Blogg

2015/10/22

Socialstyrelsen har inte belägg för sina rekommendationer

Robert Österlind

System Developer

Läste i Dagens Medicin idag om en överläkare som fick avslag från Socialstyrelsen på sin förfrågan om att få meddela patienter om (vissa typer av) provresultat via SMS snarare än telefonsamtal.

– Tanken med sms är att kunna stilla oro, och meddela att vi har sett proverna och att de ser bra ut. Det handlar om bekräftelsen hos patienten, säger Eero Lindholm till Dagens Medicin.

Artikeln avslutas med ett kaxigt utlåtande från Socialstyrelsen att:
– Vi följer patientdatalagen, patientuppgifter måste hanteras med försiktighet och sms och mejl bedöms inte vara säkert generellt. Det kan du kolla med vilken säkerhetsavdelning som helst, säger Maria Jacobsson, handläggare på Socialstyrelsen, till Dagens Medicin.

I egenskap av Occidents säkerhetsavdelning bestämde jag mig för att kolla detta med mig själv. I sann myndighetsanda tillsatte jag således en utredning kring detta, då jag var skeptisk till att telefonsamtal skulle vara så mycket säkrare än SMS.

Hur ska det fungera i teorin?

Först jagade jag rätt på relevanta bestämmelser för att se vad den citerade handläggaren egentligen referar till. Lättare sagt än gjort, men till slut hittade jag en handbok för hantering av patientuppgifter, som jag antar att dessa provsvar lyder under (handläggare på Socialstyrelsen eller andra med relevanta kunskaper inom området är mer än välkomna att rätta samtliga antaganden jag gjort i mina efterforskningar). Framför allt kapitlet om “öppna nät”  är intressant, eftersom där förklaras det hur patientuppgifter får överföras på andra sätt än ansikte mot ansikte. 

Öppna nät kan beskrivas som datornätverk som en enskild användare har tillgång till, exempelvis Internet. […] Telenät räknas också som ett öppet nät.

Tyvärr står det inget specifikt i denna handbok om vare sig röstsamtal eller SMS (fax däremot behandlas separat av någon anledning), men generellt framgår dels att passiv avlyssning måste försvåras* genom att kryptera informationen, samt att man måste kontrollera mottagarens identitet med så kallad “stark autentisering”.

Stark autentisering – innebär att vårdgivaren använder inloggningslösningar som ställer krav på att identiteten kontrolleras på minst två olika sätt, exempelvis

  • med någonting användaren kan − till exempel lösenord
  • med någonting användaren har − till exempel kodbox, certifikat, smartkort, engångskoder eller mobiltelefon
  • med hjälp av användaren själv – till exempel fingeravtryck eller avläsning av iris.

Så vad innebär det då i frågan om huruvida SMS är säkrare än ett röstsamtal? De båda uppfyller ett krav, “någonting användaren har – till exempel mobiltelefon“. Men för att det ska vara acceptabelt måste minst två av dessa krav uppfyllas. Och det är i den här detaljen vi hittar djävulen. 

Om röstsamtal ska vara säkrare än SMS måste alltså användaren (enligt 2 kap. 5 § SOSFS 2008:14) antingen uppge någonting som endast användaren kan (därför räcker exempelvis inte personnummer, då det är publika uppgifter), eller autentisera sig “med hjälp av användaren själv“. Röstigenkänningsteknologin är förmodligen inte på den nivå att detta skulle räcka som autentisering, och jag betvivlar starkt att någon vårdgivare utnyttjar ett sådant system i vilket fall som helst. Jag kan inte hitta ett enda exempel vare sig på internet eller bland bekanta på ett provsvar över telefon där denna identitetskontroll gått längre än att vårdgivaren frågar “är det rätt person jag talar med?” och litar på mottagarens ärlighet i svaret. 

Vidare är det tveksamt (baserat på handboken) huruvida vare sig SMS eller röstsamtal uppfyller kravet på kryptering för att undvika passiv avlyssning. Det beror på många omständigheter som vilken krypteringsalgoritm som används, hur stora resurser en eventuell avlyssnare har, och så vidare. För våra syften spelar dock detta ingen roll, då både SMS och röstsamtal är utsatta för samma risk på den punkten; om man kan avlyssna SMS kan man avlyssna röstsamtal, och vice versa. Mer detaljer från IDG

Hur fungerar det i praktiken?

Socialstyrelsen har rätt i den utsträckning att SMS inte ens har potential att uppfylla kraven på säkerhet för att meddela provsvar (eller på annat sätt överföra patientuppgifter). Problemet är att i praktiken uppfylls inte dessa krav av röstsamtal heller, och Socialstyrelsen tillhandahåller heller inga specifika förslag på metoder som skulle kunna få röstsamtal att uppnå kraven. På samma sätt som “vem som helst” kan ta din telefon och läsa dina SMS, kan samma “vem som helst” helt enkelt svara i telefonen och utge sig för att vara ägaren av telefonen. Förutsatt telefonen ifråga tillhör en enskild person förstås, vilket i praktiken inte heller alltid uppfylls. Det är inte ovanligt att ett hemtelefonnummer uppges, eller för den delen ett jobb- eller kontorsnummer. Detta i kombination med bristen på någon annan autentisering gör att SMS förmodligen är säkrare i praktiken, då det är större sannolikhet att åtminstone kravet “någonting användaren har” uppfylls. 

Vidare verkar inte Socialstyrelsen bry sig mycket om att se till något av detta efterlevs. Jag nämnde tidigare anekdoter om bristande identitetskontroll i röstsamtal, och i en rapport från RSFL om en ungdomsmottagning i Göteborg nämns i förbifarten att resultat från HIV-test meddelats med båda metoder:
Testarna fick sina svar via telefon. Ett negativt hiv-besked kunde patienten få via sms, och ett positivt besked via telefon.” (sida 14)
Intressant nog tycker RFSL inte att SMS är ett bra sätt att ge dessa besked. Inte av någon säkerhetstanke, utan för att “ha möjlighet att prata med en person om känslor som kommer upp vid ett hivbesked, oavsett om det är positivt eller negativt“.

Gunnar Birgegård (professor på Akademiska sjukhuset) går steget längre och anser att tunga besked ska ges ansikte mot ansikte, och beskriver problematiken med röstsamtal som börjar med en kallelse till sjukhuset för att meddela resultaten, men slutar i att det sker över telefon istället.  

Patienten, som kanske sitter i sammanträde, i bilen, på toaletten eller tillsammans med mer eller mindre främmande personer, kastar trots det ofta ut den avgörande frågan »Är det cancer?« eller »Var det MS?« Läkaren kan eller vill förstås inte ljuga, och så blir det ett telefonbesked utan att det var avsikten. 

I dessa fall så är ju en kallelse över SMS ett mycket bättre alternativ, då läkaren inte kan ställas mot väggen på samma sätt.

Hur kan vi göra det bättre?

Till att börja med kan vi (eller snarare Socialstyrelsen) erkänna att i praktiken uppfyller varken röstsamtal eller SMS de krav som lagen ställer. Det finns dock teknologiska lösningar som kan hjälpa oss uppnå de befintliga kraven. Det finns gott om tredje-parts-applikationer till smartphones för att kryptera både röstsamtal och SMS. Det finns också idag bra autentiseringslösningar som till exempel mobilt bankID för att kontrollera att mottagaren är rätt individ. I den privata sektorn finns också andra metoder, som till exempel engångskoder skickat via post, som sedan används för att hämta ner svaren över internet.

Incitamentet för att genomföra detta kommer dock att vara lågt för de flesta vårdgivare så länge Socialstyrelsen låter vad som helst passera så länge man inte ringer och frågar dem. Att Socialstyrelsen inte har rimliga belägg för sina svar på dessa frågor ökar heller inte vare sig deras auktoritet eller trovärdighet. 

Jag uppmanar därför Socialstyrelsen att:

  • Se över sina rekommendationer. Gör de konsekventa, lätta att hitta och begripliga. Ge bra förslag på hur man borde göra, säg inte bara nej till nya förslag.
  • Se till att rekommendationerna efterföljs i praktiken. Om man kan komma undan genom att låta bli att fråga, gör man sig själv irrelevant.

*Man kan inte riktigt prata om att omöjliggöra passiv avlyssning eftersom, som Socialstyrelsen själva erkänner: “Teknikutvecklingen medför dock att krypteringen hela tiden måste förbättras för att minimera risken för obehörig åtkomst.” Det är dessutom en fråga om resurser. Något som tar mer än en livstid att dekryptera på en persondator behöver inte vara något problem för exempelvis en organisation som NSA eller FRA. Det är helt enkelt en fråga om att anpassa sig efter en rimlig hotbild och ta åtgärder utifrån det.

Dela på:

Relaterade nyheter