2019-03-11

1177 och ansvar

Vi i Sverige har möjlighet att få kvalificerad rådgivning om sjukvård dygnet runt genom att ringa telefonnummer 1177 oavsett var i landet vi befinner oss. Beroende på var så kopplas vi till den rådgivning som varje av de 21 sjukvårdsregioner valt. 18 regioner hanterar det i egen regi och med egna journalsystem och köper telefonitjänsterna från Inera AB. Inera ägs av Sveriges Kommuner och Landsting (SKL) vilket är en medlemsorganisation för landets samtliga regioner och kommuner.
Tre av landets regioner har dock valt att upphandla rådgivning av MedHelp AB. Det är dessa tre regioner, Stockholm, Sörmland och Värmland som drabbats av läckande patientuppgifter. Hur stort läckaget är kan inte sägas för dagen men någonstans mellan 55 och 2,7milj rådgivningssamtal har läckt, den lägre siffran är vad MedHelp medger, den högre vad som fanns tillgängligt på internet.

MedHelp AB är av Inspektionen för vård och omsorg (IVO) registrerad vårdgivare och här därmed rätt att ge råd för häls- och sjukvård. IVO är också tillsynsmyndighet vad gäller vårdkvalitet och dess förmåga att leva upp till del lagar och förordningar som reglerar sjukvård. Vad gäller person- och patientinformation gäller dataskyddslagen, den svenska anpassningen av GDPR/dataskyddsförordningen och patientdatalagen (PDL). För GDPR och PDL är Datainspektionen (DI) tillsynsmyndighet och skall bevaka efterlevnaden av båda dessa lagar. Tillsyn görs dock normalt bara efter misstanke eller anmälan om brott mot lagarna.

Eftersom MedHelp är av IVO godkänd vårdgivare så kunde regionerna, om det föregåtts av en korrekt upphandling, tryggt teckna avtal med MedHelp. Som vårdgivare är MedHelp både enligt PDL och GDPR fullt ansvariga för hantering och skydd av person- och patientuppgifter. MedHelp har också fullt ansvar  för hanteringen de uppgifter som ev. underleverantörer behandlar.  Regionerna har inte rätt att få insyn i en vårdgivares patientdokumentation och kan därmed inte heller granska hanteringen. Det kan bara tillsynsmyndigheterna göra.

Men har då inte regionerna något ansvar för att läckaget kunde hända? Jo det har man vid upphandling, kravställning på informationssäkerhet och uppföljning av denna bör göras mycket tydlig. Något som uppenbart inte gjorts i de ursprungliga upphandlingarna 2013. Man kan ställa detaljkrav på säkerhet och t.ex. krav på riskanalyser där beställaren är involverad. Men man bör också ställa krav på systematiskt säkerhetsarbete i form av ledningssystem för informationssäkerhet (LIS) där även regelbunden uppföljning ingår och där beställaren också kan ta del av uppföljningarnas resultat. Hade ett fungerande LIS funnits på plats så hade sannolikt läckaget inte hänt.

Vilket ansvar har då SKL/Inera för det som hänt? Inledningsvis så drabbades Inera av misstankar om att de medverkat till informationsläckaget vilket inte var korrekt i att de 18 regionerna som använde Ineras telefonilösning inte var drabbade.

Men... Inera äger varumärket "1177" och är därmed, i varje fall moraliskt, ansvarig för hur varumärket används. Varje region har uppenbart varit fri att använda varumärket för sin rådgivning även om de haft olika lösningar för detta. Den som ringer 1177 förväntar sig nog samma kvalitet och säkerhet på tjänsten oavsett var i landet man befinner sig.
När läckaget blev känt så smutsades varumärket och förtroendet för detta ner även för regioner som skött sig väl p.g.a. av att en leverantör till tre av de 21 regionerna hade misskött sitt uppdrag. Här har Inera ett ansvar för hur varumärket 1177 hanterats. Jämför man med starka varumärken som på franchisebasis låter andra utnyttja det så brukar franchisegivarna ställa mycket detaljerade krav på de man låter använda varumärket. Detta bl.a. för att en franchisetagare som inte sköter sig kan orsaka mycket stor skada för varumärket. Tänk tanken att en McDonaldsresturang skulle välja en underleverantör med dåligt kött och att kunder blir sjuka. Det får bara inte hända.
Här har Inera missat, de har ett ansvar för hur varumärket används och kan inte avsvära sig den badwill de nu råkat ut för.