Jag är f d IT specialist för Journalen (journalen.1177.se) och NPÖ (npo.se) och arbetar idag med Personuppgifts- och Säkerhetstjänsterna på Inera. Frågan och svaren är komplexa, som exempel; vad du menar med "säker" och "oskyddad" är inte samma sak som nästa person.
Det är väsentligt att skilja på 1177 (ineras varumärke/sajt) och regionernas upphandlade "backend" men det tycks de flesta ha hajjat, bra!
All trafik över den nationella tjänsteplattformen är dubbelriktat krypterad (mTLS) och åtkomstbehörighet för personal i t ex NPÖ sköts med tvåfaktorsautentisering (SITHS kort, PIN) samt tydliga regelverk finns för eTjänster, användare av systemen samt organisationerna som ansluts efter ordentlig prövning. nya producenter End-2-End-testas i veckor så informationen blir korrekt oavsett vilken vårdgivare och IT system som producerar den. (Demo: http://82.196.191.237/ resp http://demo.npo.se)
Ta en titt på vad som produceras och konsumeras nationellt; https://integrationer.tjansteplattform.se, läs om autentisering och regler: https://www.inera.se/tjanster/sakerhetstjanster/Sakerhetstjan... samt https://www.inera.se/tjanster/nationell-patientoversikt-npo/N...
Revision och efterlevnad över tid är bristområden ja, som på många andra samhällsområden där intern kompetens urholkats via upphandling och systemförvaltning behandlas som något valbart efter man fixat fler knappar, funktioner och ny logga att visa sina invånare... järnvägen och annan infrastruktur har samma problem, ehälsan är inte annorlunda.
"Teknik" har uppenbarligen läst lite för mycket konspirationsteorier och uttrycker sig som ett vanligt troll men hens oro är berättigad. Den tekniska skulden som finns i de flesta organisationer finns även hos våra vårdgivare, systemleverantörer och hos Inera men förståelsen för den insats som skulle behövas innan "digitaliseringen" är mer lämplig att genomföra (i vid bemärkelse) saknas hos de flesta styrande politiker (som är Ineras/SKLs ägare).
"ThunderboltDrgn" har lite rätt och lite fel, skulle rekommendera att surfa en stund på inera.se (bra info men tyvärr inte särskilt bra kommunikativt eller informatiskt, vi släpar även med detta efter flera år av nya tjänster som tagits över från regioner/statliga projekt)
NPÖ lagrar ingen journaldata
Alla PDL-loggar krypteras och lagras i fem år
Osv.
Spärrar man (inre eller yttre spärr) sin journal kan det ligga en i fatet den dag man hamnar på akuten, medvetslös även om de flesta system har s k nödöppning. Men det är helt upp till individen att kontakta sin VG och begära spärr.
Accessen till våra driftsleverantörers produktionssystem (PDL-loggar) undviks i det längsta är väldigt noggrant begränsad, loggas och följs upp. Största delen av läsning av loggar etc rör faktiskt polisärenden där tydliga befogenheter och behov finns bakom.
osv.
Tycker det är bra att detta kommer upp i samhällsdebatten, det rör ju faktiskt långt mer kritisk information än alla transaktionsloggar för ens bank- och kreditkort som har PCI klassning, stenhård extern granskning och helt andra budgetramar...
