Ladda ned Ladda ned
Patientsäkerhet - 12 mar 2019

IT-säkerhet på KRY

Den senaste tiden har frågor om datahantering och patientsäkerhet fått extra uppmärksamhet i samhällsdebatten. För Carl Svensson, säkerhetschef på KRY, är säkerhetsfrågor både hobby och arbete.

– Jag har sysslat med datorer hela livet, men mitt intresse för just säkerhetsfrågor tog fart för 8 år sedan när jag pluggade teknisk fysik på KTH. I säkerhetsarbetet får jag kombinera mitt intresse för programmering och att bygga saker med mitt intresse för att lösa gåtor och problem genom att tänka utanför boxen, säger Carl.

När Carl inte leder och utvecklar säkerhetsarbetet på KRY deltar han i internationella hacking-tävlingar och härnäst bär det av till Korea för att tävla mot världseliten i hacking.

– Att delta i hacking-tävlingar har gett mig enormt mycket. En stor del av mina IT-säkerhetskunskaper kommer därifrån, säger Carl

Carl arbetade tidigare som IT-säkerhetskonsult i både privata och offentliga organisationer innan han började arbeta på KRY. Han tycker att både IT och IT-säkerhet i offentlig sektor befunnit sig i ett eftersatt tillstånd under lång tid, med låg prioritet i både personella och ekonomiska resurser.

– Varför det har blivit så är en komplex fråga, men jag tror delvis att det beror på brister i upphandlingarna av IT-leverantörer. Kvalitetsaspekter som säkerhet eller användbarhet är mycket svåra att kvantifiera, vilket gör det svårt att upphandla. I många fall är det också praxis att ta den leverantör med lägst pris och om man ska pressa priset så ryker sådant som riskanalyser, användarstudier och att ta in externa säkerhetskonsulter. Det är synd, säger Carl.

IT är ett område i snabb förändring, därför måste också organisationers arbete med IT-säkerhet konstant pågå och utvecklas. Det får aldrig anses klart, menar Carl Svensson.

– På KRY arbetar vi i grova drag med vårt säkerhetsarbete i två spår. Dels den tekniska biten där vi tillsammans med våra ingenjörer arbetar för att säkerställa att de system vi bygger, använder och förvaltar håller god tekniskt säkerhet. Den andra delen handlar om informationssäkerhet, att analysera och utvärdera vilken data vi samlar in, hur vi lagrar den och vem som har tillgång till den, samt att skapa effektiva processer för incidenthantering om sådant uppstår.

I huvudsak bygger KRY sina IT-system själva, men i de fall man samarbetar med underleverantörer har man valt tillförlitliga och väletablerade aktörer såsom Amazon och ProReNata. För att KRY ska känna sig trygga i samarbeten med andra IT-leverantörer väljs de ut i en noggrann process utifrån ett tekniskt och avtalsmässigt perspektiv.

På frågan om något liknande som hände hos 1177 vårdguiden i början av 2019, där miljontals inspelade samtal med känsliga person- och vårduppgifter legat på öppna servar under 6 års tid, skulle kunna hända på KRY svarar Carl Svensson bestämt nej.

– Det är klart att ett företag eller system aldrig kan skydda sig helt mot att bli hackade. Men i fallet med 1177 handlade det inte om en attack av något slag. Det handlade inte ens om ett bristande säkerhetsarbete, utan om total avsaknad av ett säkerhetsarbete. På KRY arbetar vi aktivt med säkerhet som en del av hela verksamheten. Vi är både ett techbolag och ett vårdbolag, IT-säkerhet är därför i vårt DNA, det är inte något som är pålagt på slutet. Men vi tittar såklart kontinuerligt på hur vi kan förbättra våra processer och ha en tajtare kontroll med skydd i flera lager, säger Carl.

I dagsläget spelas inte KRYs videosamtal in, men planen är att man på sikt ska börja med det som en del i kvalitetsutvecklingen. När KRY väl gör det kommer samma noggranna och systematiska säkerhetsarbete som sker i övriga delar av organisationen att tillämpas.

– KRY arbetar aktivt och medvetet med säkerheten kring lagring och bearbetning av data. Det är en extremt viktig del av vår verksamhet. Alla projekt vi gör som rör behandling av patientdata har föregåtts av en riskanalys. Vi har också inbyggd teknisk övervakning av våra system och jourpersonal tillgängliga dygnet runt, säger Carl.

Carl Svensson ser både utmaningar och möjligheter med IT-säkerhet i den digitala vården.
KRY är verksam på olika Europeiska marknader och såväl IT-systemen som regelverken skiljer sig åt länder emellan, men även inom olika länder på nationell nivå, vilket är en utmaning.

– Till skillnad från personuppgiftsbehandling där GDPR gäller över hela Europa så skiljer sig regelverken för hantering av vårduppgifter mellan olika länder. Därför behöver vi skapa olika system för att anpassa oss till varje lands regler. Det hade varit en stor fördel om det istället fanns en internationell överenskommelse kring hantering av vårddata bland EU-länderna.

En stor möjlighet med ett gediget och datadrivet säkerhetsarbete är att man kan använda data i realtid för att skapa mervärde och trygghet för både patient och vårdgivare. Patientens tillgång och kontroll över sin egen data ökar också, något som Carl Svensson ser som mycket positivt.