Återtagen 20210504

Sverige har som mål att bli världsbäst på e-hälsa. För att möjliggöra visionen världens bästa e-hälsa måste både leverantörer och vårdgivare skapa möjligheten att snabbare innovera och anpassa sig till omvärldens krav. Att kunna nyttja externa molntjänster för sin mjukvaruutveckling och genom det öka innovationstakten har länge setts som en möjliggörare för moderna ehälso-leverantörer som tillåter dem att utmana status quo och leverera värde till patienter snabbare.

Publika moln har i Sverige länge varit synonymt med de amerikanska moln-jättarna AWS, Microsoft eller Google.

På grund av den kulturella skillnaden i synen på personuppgifter har dock användandet av amerikanska molntjänster länge varit ifrågasatt både av europeiska och svenska myndigheter. USA anser att staten behöver kunna utkräva personuppgifter för att skydda sin medborgare, och har instiftat lagar som Foreign Intelligence Surveillance Act (FISA) och Executive Order 12333 för att möjliggöra detta oavsett vilket land personuppgifterna härrör från. EU på den andra sidan anser att det är en mänsklig rättighet att själv kunna bestämma över sina personuppgifter och har instiftat General Data Protection Regulation (GDPR, i Sverige Dataskyddsförordningen) för att se till att säkerheten för Europeiska medborgares personuppgifter efterlevs.

Även fast säkerheten för medborgares personuppgifter har varit ifrågasatt har vi kunnat luta oss mot bilaterala avtal som Safe Harbor och Privacy Shield och ändå kunnat fortsätta nyttja amerikanska molntjänster.

Den 16 juli 2020 ogiltigförklarade EU-domstolen dataöverförings-avtalet Privacy Shield eftersom de anser att amerikansk lagstiftning inte ger tillräckligt skydd för europeiska medborgares personuppgifter.

Det här har medfört att organisationer som använt sig av några av de över 5000 tjänster som förlitat sig på Privacy Shield som överföringsmekanism hamnat i stor rättslig osäkerhet. Nu har även de Europeiska dataskydds-myndigheterna ökat takten av kontroller vilket inte minst syns i decembers tillslag från Datainspektionen i Sverige där bland annat vårdgivarna Aleris, Region Östergötland, Region Västerbotten, Sahlgrenska Universitetssjukhuset och Karolinska Universitetssjukhuset alla bötfälldes för brister i sin personuppgiftshantering.

Det är alltså ännu mer kritiskt än någonsin att göra rätt då det kommer till hur man hanterar sina användares personuppgifter. Det rättsliga läget upplevs av många som oklart och de tekniska valen exakt hur man bör nyttja molntjänster, både amerikanska och europeiska, är något många har varit förskonade från att behöva fundera på.

Allt är inte nattsvart dock utan det finns möjligheter att använda moderna molntjänster även om man som ehälso-organisation behöver hantera stora mängder kritiska personuppgifter.

Den här presentationen kommer utifrån praktiska erfarenheter från transformationer till molnbaserad och regulatorisk korrekt mjukvaruutveckling i hårt reglerade branscher som ehälsa och offentlig sektor illustrera hur man kan nytta både amerikanska och europeiska molntjänster och samtidigt efterleva lagkrav som GDPR och Patientdatalagen.