Region Skåne och Västra Götalandsregionen har båda avtal om att köpa in det amerikanska vårdinformationssystemet Millennium. Tidigare har dock frågor väckts kring bland annat sekretessen på patientdata som hanteras av företag utanför EU. Det berör Millennium som är skapat av amerikanska Cerner.

I juni i fjol inledde Inspektionen för vård och omsorg (Ivo) en granskning av införandet av vårdinformationssystemet Millennium i Skåne och Västra Götaland. Granskning har skett utifrån lagen om informationssäkerhet för samhällsviktiga och digitala tjänster. Myndigheten har alltså granskat arbete med riskanalys och åtgärder, inte själva tekniken bakom systemet.

I höstas kom Ivo fram till att Västra Götalands arbete med införandet inte strider mot lagen. Och nu har myndigheten kommit fram till att samma gäller för Skånes digitala vårdsystem (SDV). Ivo gjorde två inspektioner i skiftet mellan augusti och september i fjol, och granskningen omfattade regionens redovisade riskanalyser och riskhantering.

»Det innebär att baserat på den hantering av risker som redovisades vid inspektionen, har Ivo inga synpunkter på att Region Skåne fortsätter arbetet med SDV«, skriver Patrick Barringer, avdelningschef på myndigheten, i ett mejl till Läkartidningen.

– Det är ett bra kvitto för oss att de tycker att vi har rutiner för att sköta det här arbetet och uppfylla kravet på informationssäkerhet. Så det känns bra, säger Harald Roos som är ordförande för SDV:s styrgrupp, och i grunden är ortoped med bakgrund som bland annat sjukhuschef.

Harald Roos, styrgruppsordförande för SDV. Foto: Niklas Laurin

De farhågor som tidigare lyfts gällande tekniken, handlar bland annat om att känsliga data skulle kunna bli exponerade i tredje land. Det är något som Integritetsskyddsmyndigheten har granskat. Myndigheten kom i somras fram till att det inte var förenligt med dataskyddsförordningen att skicka data till Cerner i USA och Indien, vilket från början var tanken. Det är något som Cerner nu tagit fram en lösning för.

Harald Roos intygar att data främst stannar i Sverige, och i andra undantagsfall inom EU. För att lyckas med det har Cerner under resans gång skapat en enhet för teknisk support inom EU.

– Huvuddelen av support och drift sker i Sverige. Men i vissa fall, för att uppnå hög tillgänglighet och driftsäkerhet, kommer man vara beroende av expertis utomlands. Och då blir det inom EU enligt GDPR-lagstiftningen.

Molntjänster med till exempel analys av data utomlands är inget som är aktuellt för Skåne?

– Den potentialen finns och man pratar världen över om hur man ska utnyttja stordata. Där finns fortfarande juridiska problem, så det kommer vi inte använda i första hand.

Det är inget som är nödvändigt, såsom bildtolkning, som behöver skickas utomlands?

– Redan i dag sker det lokalt. De lösningar vi har och kommer sjösätta, följer lagstiftningen.

En annan fråga har handlat om driften av systemet. Skåne kommer inte drifta Millennium, utan det gör den amerikanska tillverkaren Cerner.

– Så det blir ändå en koppling till USA, och den hanterar vi också i våra riskbedömningar, säger Harald Roos.

Ett beslut i amerikansk domstol skulle därigenom kunna göra att landets myndigheter begär data om enskilda personer i exempelvis en brottsutredning. Harald Roos säger att då måste regionen kunna ta ställning till det, precis som om svenska myndigheter skulle begära data.

– Men man måste skydda sig mot att Cerner tar ut data utan att Region Skåne ser det och ger tillstånd. Och den tekniska lösningen har vi på plats. Vi har gjort en noggrann riskbedömning kring detta.

Införandet av SDV har försenats flera gånger. Ivos beslutsgång har dock inte påverkat förseningen, utan den har till största delen berott på att olika beslut dröjt då det varit juridiska oklarheter kring dataöverföring till utlandet.

Någon ny tidsplan har ännu inte fastslagits. Projektet väntar främst på ett formellt beslut om att få överföra data och testa i skarp drift.

– Vi väljer att inte fastställa det datumet innan vi har alla saker på plats, som driftsgodkännandet som vi förväntar oss ganska snart. Sedan är det några andra fundamentala saker som kvarstår, där vi måste ha besked från vår leverantör. Det handlar inte om, utan när, säger Harald Roos.

Läs även:

Ivo granskar Millennium i Skåne och Västra Götaland

Ivo startar tillsyn om hanteringen av patientdata i Region Skåne

Skånskt beslut om patientdata väcker frågor om sekretess

Säkerheten i regionernas molntjänster ska utredas

Osäkerhet kring molntjänster bromsar IT-utveckling i vården