Kan ny teknologi være skadelig?

Kronikk: Rune Winther, Ph.D. ved Høgskolen i Østfold (HiØ) og leder for utvikling av digitale produkter, Bygg og Eiendom, Multiconsult
Geir Sverre Braut, professor ved Universitetet i Stavanger (UiS)

NYE TEKNOLOGISKE løsninger innenfor helse- og omsorgstjenestene åpner for fantastiske muligheter for å yte bedre, mer effektive og mer persontilpassede tjenester. For kommunene og spesialisthelsetjenesten er denne utviklingen viktig for å opprettholde et godt tilbud. For den enkelte gir det mulighet for å bli boende i egen bolig lenger enn før.

Dessverre ser vi at en blanding av naivitet, begrenset kompetanse og manglende føringer fra myndighetene, helt unødvendig utsetter brukere/pasienter for fare. Dette skjer fordi man tar i bruk nye teknologiske løsninger uten forståelse og fokus på den risikoen disse løsningene representerer.

Det er nødvendig at både myndigheter, de som driver helse- og omsorgsaktiviteter samt utøvere i leverandørbransjen, tar inn over seg at helhetlig risikostyring må være en integrert del av både tilsyn, innkjøp, drift og produktutvikling.

RISIKOSPEKTER. De siste årene er det utarbeidet flere viktige dokumenter omkring IKT-sikkerhet i helse og omsorgssektoren, blant annet NOU 2015: 13 og Meld. St. 38 (2016-2017). Selv om disse i utgangspunktet har et bredt og helhetlig perspektiv på IKT-sikkerhet, har praksisen av IKT-sikkerhet som oftest et mer begrenset fokusområde. For å styre IKT-sikkerhet, må man ha kontroll over mange typer risikoeksponering, blant andre:

• Informasjonssikkerhet: Informasjon skal ikke være tilgjengelig for uvedkommende, til å stole på og tilgjengelig når den er ønsket.
• Pålitelighet: At systemet virker som det skal.
• Sikkerhet for liv og helse: At systemet ikke utsetter mennesker for unødig risiko.

Alle disse risikoaspektene kan bli påvirket av både tilsiktede handlinger, systemfeil og tilfeldige hendelser.

KOMPLEKST BILDE. Et eksempel kan illustrere at det er nødvendig å ha kontroll på alle disse aspektene: Fremfor å benytte «stengte dører» og begrense friheten til personer med lettere former for demens, kan GPS-sporing være et alternativ. Man kan definere et område vedkommende kan bevege seg innenfor, med varsel dersom personen går utenfor dette. Dette er åpenbart en bra tjeneste, men den kan også feile på flere måter:

• Falske alarmer, som vil medføre at personellet bruker tid på unødige oppgaver.
• Manglende alarmer, som medfører fare for menneskers liv og helse.
• Spredning av sensitiv informasjon, som medfører brudd på personvernet.

Når man også innser at alle disse feilene kan skyldes så vel tilfeldige tekniske feil som tilsiktede handlinger, tegnes et komplekst risikobilde.

HVA ER VIKTIGST? I praksis synes det å være mest fokus på informasjonssikkerhet samt sårbarheter som er relatert til tilsiktede handlinger. Det man finner om andre risikoaspekter, eksempelvis i veiledningene fra Direktoratet for e-helse, er overordnet og gir liten støtte for styring av den samlede risikoen. Skal man sette det på spissen, kan man si at det synes viktigere å verne en persons private opplysninger enn å verne deres liv.

For medisinskteknisk utstyr som brukes til diagnostiske og/eller terapeutiske oppgaver, er det etablert kjøreregler for å håndtere risiko. Løsninger, som den nevnte GPS-sporingen, er imidlertid verken diagnostisk eller terapeutisk, og faller derfor utenfor det etablerte regimet.

IKKE NOK Å FØLGE LOVKRAV. De som yter helsetjenester er vant til at det stilles strenge krav gjennom lovgivningen, og de har nok en tro på at om man følger lovkravene, er sikkerheten ivaretatt.

På direkte spørsmål har flere kommuner bekreftet at de ikke stiller krav til risikostyring ut over det som eksplisitt kreves, selv om de innser at de tar i bruk løsninger med potensielt alvorlige konsekvenser ved feil eller uønskede hendelser. Resultatet er at omfang og kvalitet på risikostyringen avgjøres av leverandørene, som ikke kan forventes å introdusere kostnadsøkende elementer ingen etterspør.

TYDELIGHET. Det må stilles tydelige krav til risikostyring. Hva er så løsningen? Først og fremst at de som tar i bruk nye teknologier, selv om det kan synes trivielt, må forstå at man beveger seg inn i et område med ny og ukjent risiko.

Et enkelt første grep vil være at man krever at leverandørene selv redegjør for kritiske forhold, og at de dokumenterer at systemene er utviklet etter faktisk kritikalitet. Før systemet tas i bruk, må dette verifiseres, blant annet gjennom testing. Bare det å legge inn dette som et krav i tilbudsgrunnlag, vil være et steg i riktig retning. Legger man til at kvaliteten på risikostyringen er et evalueringskriterium, gjør man god risikostyring til et konkurransefortrinn.

På sikt bør man tilpasse prinsipper man kjenner fra lignende problemstillinger, men dette bør gjøres gradvis slik at bransjen får mulighet til å tilpasse seg.

Interessekonflikt/disclaimer: Rune Winther er ansatt i Multiconsult ASA, et rådgivende ingeniørselskap med hovedkontor på Skøyen i Oslo som utfører tverrfaglig rådgivning, prosjektering, prosjektoppfølging, verifikasjon og kontroll. Multiconsult eier arkitektfirmaet LINK arkitektur, som har virksomhet i alle de skandinaviske landene.

Kronikk og debatt, Dagens Medisin 04/2019