Molntjänster är tjänster som tillhandahålls över internet. Inom hälso- och sjukvården kan det vara allt från personalscheman till läkares medicinska system, exempelvis beslutsstöd där information skickas till och från externa servrar. Det sistnämnda kan handla om medicinska bilder som analyseras med artificiell intelligens, något som kräver stora mängder dataresurser och ofta hanteras på servrar utomlands. 

Och molnet spelar allt större roll inom den svenska sjukvården.

– Vi ser att majoriteten av Sveriges regioner upphandlar nya journalsystem och beslutsstödsystem, så den här typen av molntjänster kommer att bli ännu vanligare i det kliniska arbetet, säger Daniel Forslund (L), innovationslandstingsråd i Stockholm och ordförande i digitaliseringsberedningen på Sveriges Kommuner och landsting (SKL).

Men här finns ett problem. Flera molntjänster är internationella och sträcker sig ibland utanför EU. Och nyligen kom en varning från E-samverkansprogrammet (Esam), som är ett samarbete mellan SKL och 23 myndigheter.

De menar att sekretessreglerade uppgifter som behandlas i en molntjänst är att betrakta som röjda, om tjänsten ägs av ett utländskt företag där lagstiftningen kan tvinga företaget att lämna ut information i vissa situationer. Även om känslig patientinformation primärt lagras i Sverige, skulle vissa utländska myndigheter kunna begära data.

Esam ger rådet att noggrant analysera vilken typ av information man bör lägga i en molntjänst och göra risk- och konsekvensanalyser. Men SKL ser en överhängande risk för att osäkerheten bromsar digitala satsningar i Sverige.

– Offentliga aktörer vet inte riktigt hur de ska tolka rådet från Esam. Då kanske de i stället bromsar utvecklingen och håller verksamheten kvar i äldre och sämre system som inte är lika säkra som de kommersiella tjänsterna, säger Daniel Forslund.

I USA antogs för en tid sedan lagen »Cloud act«. Den ger vissa utredande myndigheter, såsom FBI eller CIA, möjlighet att ta del av information som rör sig i ett amerikanskt moln, till exempel om svensk data skickas till och från en server i USA.

Men Cloud act sträcker sig också längre. Enligt lagen ska de amerikanska myndigheterna kunna begära ut information av amerikanska företag som driftar system i utlandet, även om datan inte passerar servrar i USA.

Det här är högaktuellt för Skåne och Vänstra Götalandsregionen som båda upphandlat vårdinformationssystemet Millennium från amerikanska Cerner. Västra Götaland sköter driften av systemet på egen hand, vilket gör att regionen har kontroll över informationen i de primära funktionerna. Men det rättsligt osäkra läget hindrar dem från att använda allt regionen vill.

 – Det som gör att den här frågan är otroligt viktig för oss är att det finns funktionalitet i vårt kontrakt som vi absolut vill – måste – ha, men inte kan ta i bruk för att den ligger i molnet, säger Ragnar Lindblad som är högste ansvarig tjänsteman för Framtidens vårdinformationsmiljö.

Problemet i Västra Götalandsregionen är alltså inte att man bryter mot sekretessen, utan att det finns funktioner som man hindras från att införa i nuläget.

– Vi vill utnyttja artificiell intelligens och där är hela den internationella utvecklingen molnbaserad.

Frågan rör alla regioner som vill använda internationella molntjänster. Och nu vill SKL se en nationell samsyn och att regeringen tar tag i frågan.

– Det vi från SKL efterfrågar är en bred branschdialog mellan den offentliga sidan, alltså staten och sjukvårdshuvudmännen, men också med de kommersiella aktörerna, säger Daniel Forslund.

Han vill ha med IT-jättar som Amazon och Google i samtalen.

– Krävs lagändringar så behöver regeringen agera. Därför pekar vi framför allt på att regeringskansliet behöver ta taktpinnen och sammankalla till en sådan dialog.

 

Läs även:

Västra Götalandsregionen väljer nytt IT-system för två miljarder

Skåne får nytt enhetligt vårdinformationssystem