NCS3 - Informations- och styrsystem inom hälso- och sjukvård. En kartläggning av produkter och incidenter

Hälso- och sjukvården i Sverige är en kritisk samhällsfunktion som på en kort tid genomgått en omfattande teknisk modernisering. Tanken med denna modernisering är att minska den administrativa och operativa arbetsbördan och bidra med mer precisa analyser och behandlingar. Den har dock också bidragit till att vanliga IT-relaterade brister såsom mjukvarubuggar numera kan ha en reell effekt på mänskligt liv. Denna studie undersöker vilka informations- och styrsystem som finns inom hälsooch sjukvård i Sverige och vilka incidenter som förekommit som en följd av datorrelaterade problem med dessa system. Analysen baseras på vetenskaplig litteratur, incidentdatabaser i Sverige och USA, intervjuer och en enkät. Resultatet visar att det finns över 20 000 olika typer av medicintekniska produkter (MTP) som nyttjas och att allt från laserskrivare till infusionspumpar ses som MTP:er. Intervjuerna visar dock att produkter som ligger närmre administration och drift (t.ex. patientjournalsystem, routrar och nätverkskablar) ses som informationsteknologi (IT), medan produkter som ligger närmre patienter (t.ex. infusionspumpar och pacemakers) ses som "riktiga" MTP:er. Analys av incidentdatabasen REIDAR som registrerar svenska MTP-relaterade incidenter visar att cirka 30% av alla incidenter inom Sveriges hälso- och sjukvård har varit datorrelaterade, samt att antalet datorrelaterade incidenter ökar i ungefär samma takt som antalet icke-datorrelaterade incidenter minskar (ett liknande mönster kan ses för USA). Dödsfall orsakas av cirka 1.7% av alla datorrelaterade incidenter, och primärt av lungventilatorer, dialysapparater och defibrillatorer. De allra flesta datorrelaterade incidenter rör dock infusionspumpar. Denna incidentdatabas ses av respondenterna som kritisk för god nationell samverkan - det som händer ett sjukhus händer sannolikt även andra så småningom - men rapporteringsfrekvensen till den har sedan den startades varit lägre än förväntat. Ett sätt att öka den vore att modernisera webbapplikationen som exponerar databasen, särskilt gällande sök- och analysfunktionalitet. Resultatet visar även att en bättre intern kommunikation behövs mellan IT och medicinteknik/vården. Detta kan exempelvis behandlas genom fysisk samverkan, utbildning eller sammanslagning av medicinteknik och IT (vilket har gjorts inom vissa Landsting i Sverige). Slutligen så finns det relativt få omfattande IT-säkerhetsrelaterade incidenter, såsom datormaskar, som uppmärksammats i Sverige. Sårbarheten för IT-attacker är dock stor och framtida IT-attacker är en risk som bör tas på stort allvar.