Torbjörn Kronander: Svår avvägning mellan integritet och kvalitet i vårdens IT-system
Ett modernt sjukhus är en av samhällets mest komplexa miljöer. Speciellt gäller detta för vård av multisjuka patienter som måste hanteras av flera olika delar av vården. IT-systemen i vården blir följaktligen också en av de mest komplexa IT-strukturer vi har. Dessutom skall otaliga IT-system och IT-anslutna utrustningar kunna kommunicera med varandra för att vården ska fungera.
En sådan IT-miljö är oerhört komplicerad att bygga, drifta och vidareutveckla. Ju fler krav som ställs, desto större blir risken att andra krav missas. Eller att problem uppstår, inte minst i kommunikationen mellan systemets olika komponenter.
Vilka typer av krav ställs då?
Vi har först och främst de direkta vårdkraven. Det gäller bland annat patienters vård och vårdplanering.
Sedan har vi kraven på användbarhet. Ett fundamentalt krav för både effektivitet och kvalitet är att IT-systemen är snabba och lättanvända och att till exempel login är enkelt och snabbt.
Nära knutet till detta är krav på systemstabilitet. IT-system som står still kan lätt leda till katastrof i en digitaliserad vård. Ju mer komplex en IT-infrastruktur blir, desto större risk är det att systemet som helhet blir instabilt.
I tillägg har vi krav på datasäkerhet. Detta växande problem skrev jag om i min förra krönika. Ju mer komplext ett system blir, desto större risk är det också för dataintrång och läckor. Ett avsiktligt dataintrång på ett sjukhus riskerar inte bara att ge upphov till ekonomisk skada, det medför också direkt fara för liv och hälsa.
Därefter har vi krav på integritetsskydd för individuella patienter. Detta kan också vara en fråga om liv eller död, men ofta mer indirekt och för färre patienter, vilket dock inte innebär att risken ska förringas.
Vad debatten ofta missar är att dessa olika krav i praktiken ofta är motstridiga. En IT-struktur som är optimerad för effektivast möjliga vårdprocess är sällan lika bra på patientintegritet och vice versa. Och slutligen ska alla krav samsas inom fastslagna ekonomiska ramar.
För att exemplifiera utmaningen kan vi ta ett exempel med en ung invandrarkvinna som söker vård för att genomföra en abort. Hon är livrädd för att det ska komma fram, på grund av hederskulturen i hennes släkt. Det är en situation där ett svagt integritetsskydd i vården skulle kunna exponera kvinnan för livsfara.
Ett exempel i andra änden på skalan skulle kunna vara att samma kvinna kommer in på akuten tre månader senare i systemchock efter en svår trafikolycka. Hon är inte kontaktbar. Vid den tidigare aborten hade man upptäckt att hon inte tål vissa läkemedel, vilka kan ge henne livshotande reaktioner. Detta står i journalen men på grund av begränsning i accessrättigheter ser personalen på akuten inte detta. Man behandlar som vid normal chock och flickan avlider då hon inte klarar en allergisk chock ovanpå den chock hon redan har.
Detta må vara ytterlighetsexempel. Men de är inte otänkbara. Liknande situationer har förekommit.
Ibland är det uppenbart att de som syns mest i debatten, samt lagstiftare i Bryssel och Stockholm, inte har tillräcklig förståelse för komplexa IT-miljöer. Regler och lagar som tas fram i all välmening kan i sjukvården i värsta fall resultera i direkt patientfara eller i vart fall sämre vård.
I Sverige har vi dessutom patientdatalagen (PDL) som i vissa avseenden går ännu längre och som tolkas strikt av Integritetsskyddsmyndigheten (tidigare Datainspektionen). Lagen kräver att varje medarbetares access till patientdata ska behovs- och riskanalyseras individuellt.
Komplexiteten blir enorm, både i konstruktion och drift av denna IT-miljö. ALLA ovan nämnda krav måste ju vägas in, inte bara integritetsperspektivet. Inget så komplext system blir felfritt. Jag skulle påstå att ingen i förväg kan bedöma vilken läkare eller sjuksköterska som behöver åtkomst till vilken data.
Lägg till forskningens behov och läkares egna behov av kompetensutveckling och lärande.
Myndigheten för vård- och omsorgsanalys har skrivit ett dokument på området med några reflektioner som sätter fingret på det här. Några utdrag:
”[…] dilemman bottnar i skilda värderingar och ideologiska övertygelser, och kan bara hanteras genom att värdera och väga olika intressen och i viss mån olika gruppers intressen mot varandra. En fråga handlar om vad som ska ges företräde: att all relevant information om en individ alltid ska finnas där den behövs – till priset av att informationen kan hamna också där den inte bör vara – eller att ingen information hamnar fel, till priset av att information ibland saknas där den behövs.”
”Patientgrupper med stora samordningsbehov och vars hälso- och sjukvård inte medför stigma gynnas av en policy som prioriterar så få hinder i informationsflödena som möjligt. Detsamma gäller grupper som är beroende av en snabb medicinsk kunskapsutveckling. Grupper som har isolerade vårdbehov, som har vårdbehov förknippade med stigmatisering eller vars livssituation i övrigt innebär att de är sårbara om deras uppgifter hamnar fel, gynnas snarare av en policy där integritetsskyddet tillåts väga tyngre än intresset av informationstillgång. Enskilda individer kan naturligtvis tillhöra båda dessa grupper. En tentativ reflektion är att kvinnor i högre utsträckning än män tillhör gruppen som gynnas av ett starkare integritetsskydd.”
Det system som i mina ögon är det bästa är att i stort sett öppna systemen för access för all vårdpersonal, men logga vem som ser på vad. Dock med tillägget att vissa utsatta patienters journaler kan sekretesstämplas, med de risker och konsekvenser för vårdkvalitet detta kan medföra för den patienten.
All misstänkt access får då följas upp. Obehörig access bör få stora konsekvenser för den som utför det. Omedelbart avsked, begränsad möjlighet att få nytt jobb inom vården samt en kännbar rättslig påföljd är rimliga konsekvenser.