21 november 2023

Digitalisering i vården skapar nya risker

It kan göra vård enklare och mer effektiv. Men med it-systemen kommer risker, för intrång och för vård som inte fungerar överhuvudtaget. Forskare på FOI har kartlagt riskerna med hälso- och sjukvårdens digitalisering.

Illustration med en läkare inne i en mobiltelefon.

De senaste åren har hälso- och sjukvård har i hög grad digitaliserats. Bild: Andrey Suslov/Shutterstock.

Hälso- och sjukvård har i hög grad digitaliserats inom allt från högspecialiserade delar av sjukhus till trygghetslarm i hemvård.

– Men det är nog informationsflödena som inneburit den största skillnaden. Att alla har tillgång till information när den behövs, säger förste forskare Daniel Eidenskog som i samarbete med Ulrika Eckersand och Eva Mittermaier skrivit rapporten Digitaliseringens risker i hälso- och sjukvård. Den gavs ut i början av 2023 och har bland annat uppmärksammats vid e-hälsokonferensen Vitalis.

Som i många verksamheter som digitaliserats uppstår risker. FOI:s forskare har identifierat tre grundproblem.

  1. Osäkra system leder till risker för patienter, personal och omgivning.
  2. Olämpliga system minskar effektiviteten eller ökar belastningen på personalen.
  3. Opålitlig infrastruktur leder till följdproblem i system som förlitar sig på infrastrukturen.

Kan bli katastrofala följder

Daniel Eidenskog konstaterar att det är brister vi brukar se vid digitalisering, men att konsekvenserna kan bli katastrofala inom vården. För att motverka de risker som finns resonerar forskarna i rapporten kring fem aspekter för att göra it-systemen tillförlitliga men ändå ha nödvändig tillgänglighet.

Exponering och komplexitet

Vårdens skyddsvärda system måste vara tillgängliga för många och exponeras därför för angrepp- och intrångsförsök, någon som ökar vid anslutning till internet. Systemens komplexitet är en starkt bidragande orsak till att ökad exponering är farlig.

– Komplexa system är ett generellt it-problem. Dagens hårdvara tillåter dig att använda mycket komplex mjukvara, säger Daniel Eidenskog. Enligt rapporten leder komplexiteten till oöverskådliga system som i praktiken är omöjliga att säkerhetstesta och analysera på tillräcklig nivå.

Organisatoriska aspekter

Kommunalt och regionalt självstyre ger stor självständighet även när det kommer till it-lösningar.

– 21 regioner kan ge 21 lösningar och 290 kommuner kan ge 290 lösningar, även om det inte är så illa i dag tack vare samarbeten, säger Daniel Eidenskog.

Samordning kan bli problematisk även på mindre enheter där it-säkerhetspersonal och vårdpersonal kan ha svårt att förstå varandra. Rapporten föreslår ett arbete för att öka förståelsen för cybersäkerhet hos vårdpersonal och för vård hos it-personal.

Lämpliga system

Ofta används ekonomisk effektivitet för att bedöma it-system. Men det är ett svårbedömt mått, då it-systemens kostnader kan vara svåra att räkna fram. Exempelvis kan de leda till merarbete för vårdpersonalen som inte syns i beräkningen.

– Läkare och sjuksköterskor saknar ofta kunskap och intresse för it-frågor. De som köper in måste därför garantera att systemen är lätta att använda, de får inte bli en overhead för vårdpersonal.

Pålitlig infrastruktur

Digitaliseringen förstärker hälso- och sjukvårdens redan starka beroende av samhällets infrastruktur. Men när exempelvis elförsörjning är uppbyggd i redundanta nät är digital kommunikation ofta beroende av standardtjänster hos kommersiella operatörer. Där kan kravställningen vara ganska låg, det kan vara ok med korta avbrott.

– Vi har sett mobiloperatörer som varnar för att köra trygghetslarm i deras nät, eftersom de inte är tillräckligt tillförlitliga. Hälso- och sjukvården måste vara medvetna om behoven och förmedla dem till de som bygger nätverken. De som driver näten behöver också förklara för kunderna vilka tjänster de får, säger Daniel Eidenskog.

Beredskap för kriser och krig

En it-störning kan exempelvis innebära att journalhantering, receptförskrivning och provanalyser inte fungerar.

– Problemet är om man köpt in system med målet att hantera fler patienter med mindre personal. Men om it-systemen inte funkar eller reservdelar saknas får man ta till gamla metoder, men med färre personer. På så sätt kan effektivisering stå emot krisberedskap.

Ingen väg tillbaka

Daniel Eidenskog berättar om hur det varit oroväckande lätt att hitta exempel där bristande it-säkerhet skapat stor skada inom hälso- och sjukvård.

– Det gjorde lite ont att se alla exempel på händelser som inträffat på grund av it-system eller hanteringen av dem. Det handlar om både dödsfall och psykiskt lidande, säger han.

Daniel Eidenskog ser dock ingen väg tillbaka.

– Men vi måste fortsätta att jobba för att minska riskerna. Alternativet är att skippa all it inom vården, säger han.

Ett exempel på vad som kan hända i otillförlitliga it-system inträffade hos finska psykoterapicentret Vastaamo. År 2019 lyckades en obehörig bryta sig in i it-systemen och komma över patientjournaler för fler än 30 000 personer. Personen började lägga ut patientuppgifter på nätet och hotade att publicera fler om hen inte fick pengar.

I februari i år greps en då 25-årig finsk man för datastölden. Han står nu åtalad för dataintrång samt ett mycket stort antal fall av utpressning och försök till utpressning.

Ägaren och grundaren till Vastaamo har dömts till tre månaders villkorligt fängelse för att inte ha uppfyllt de krav på anonymisering och kryptering av personuppgifter som den finska dataskyddsförordningen ställer.