Om Horizont Blogg Podcasts Prenumerera Beställ material Tyck till
Fredrik Blix om cybersäkerhet – lägger hälsodata i vågskålen för framtida offentlig vård
april 2023
Fredrik Blix

Han har utbildat tusentals experter inom cybersäkerhet och varit rådgivare åt över hundra företag och myndigheter. 

Fredrik Blix är doktor i cybersäkerhet. Han anser att debatten om hälsodata är snedvriden och rädslan för orätta händer nästan överdriven. Samtidigt varnar han för utpressningsvirus och oslagbara algoritmer, och förklarar varför det kan vara nödvändigt för individer att dela med sig av sin hälsodata för att få offentlig vård i framtiden. 

Berättelsen om hälsodata kantas av etiska överväganden – mellan rätt och fel, ont och gott. I den ena änden hittar vi den oerhörda potentialen, i den andra finns faran för medborgarnas liv och säkerhet.

En som har etikfrågorna i blodet är Fredrik Blix. Han är äldste sonen i en gotländsk släkt där man “alltid har jobbat i det allmännas tjänst”. Hans far, farfar, farfars far och så vidare var präster.

Själv blev han doktor i cybersäkerhet, en roll som han tycker påminner om förfädernas yrkesval.

– Jag ser cybersäkerhet som en fråga som är helt central för bevarande av demokrati, frihet och mänskliga rättigheter. I digitaliseringens nästa steg kommer datorerna komma ut i vår värld, och då kommer cybersäkerhet stå för kontrollen. Så egentligen kanske det inte är så långt ifrån rollen som kyrkan hade förr, skrattar han.

Kontroll, lagar, regleringar. Det är teman som även återkommer i de nutida diskussionerna om hur hälsodata ska få användas. Själv tycker Fredrik Blix att debatten ofta blir lite snedvriden ur ett säkerhetsperspektiv.

– Riskanalyserna ska inte bara titta på vad som kan gå fel med hälsodata, utan även vad som kan gå rätt.  Man är nästan överdrivet rädd för att känsliga vårduppgifter ska hamna i orätta händer. Men det är inte den enda säkerhetsaspekten vi ska ha för ögonen. Jag vill slå ett slag för att det viktigaste är tillgänglighet till högkvalitativ vård, säger han med emfas.

Som exempel tar han diabetespatienter som skulle kunna ha stor nytta av olika digitala hjälpmedel, men som kräver att man delar med sig av sin hälsodata.

Fredrik Blix

Fredrik Blix tycker att det i princip bör vara tillåtet för vården att använda hälsodata när det gynnar patienterna mer än det riskerar att skada dem – att man gör en kostnads-nyttoanalys. Även om det förmodligen skulle kräva ändringar i lagarna om patientuppgifter.

– Hälsodata är guld! Man har börjat använda guldet men det mesta av potentialen ligger framför oss. 

Han förklarar att många av lösningarna sannolikt kommer att involvera it-system som är baserade på artificell intelligens. Som exempel tar han förskrivning av läkemedel:

– Genom att mata ett AI-baserat it-system med hälsodata kommer läkare kunna hitta eller bekräfta diagnos och behandling givet vissa symptom, och få tillbaka egenrapporter från patienterna om behandlingens verkan. Det blir som en ”loop” där datan hela tiden förbättrar vården och vårdsäkerheten för patienterna.

Men innan dess måste man reda ut vem som ska få hantera patientuppgifterna. Fredrik Blix ser flera etiska dilemman.

– Vård är en tjänst som inte ska styras av vem som har mest pengar, så man måste fundera över hur systemen med patientuppgifter och loopar ska utformas. Vill man ha kunskapen centralt? Vad händer när stora bolag äger uppgifterna? 

Redan idag finns smarta klockor och appar där man kan se sin egen kroppstemperatur, syresättning, hjärtrytm och puls. Fredrik Blix påpekar vikten av att diskutera vem som ska få tillgång till uppgifterna. Släktingar, vårdgivare, försäkringsbolag – intressenterna är många.

– De som äger och tränar AI-algoritmer kommer bli oslagbara inom sitt terapiområde. Man bör därför, av mänskliga skäl, undersöka om inte det offentliga bör ha en större roll, säger han och jämför situationen med sociala medier. 

– Där delar vi med oss av information som styr våra konsumtionsmönster. Den typen av affärsmodeller tycker jag inte att vi ska ha in i vården. 

Han utvecklar:

– Många av affärsmodellerna inom hälsodata bygger på en aggregatoridé, där dina uppgifter kan hjälpa nästa patient och omvänt, du får avancerad vård för att andra har bjudit på sin data före dig. Det är när det gäller aggregerad data som det offentliga kanske ska hålla på uppgifterna – att hälsodatan inte ägs av privata aktörer, när det kan vara till gagn för det stora flertalet att den ägs av den offentligt finansierade vården.

På frågan om det i framtiden kommer att vara möjligt för patienter att själva avgöra om de vill dela med sig av sin data för att få tillgång till olika lösningar svarar han: 

– Datan skulle kunna bli snedvriden om medborgarna ges möjlighet att tacka nej. Det är först när du har aggregerad data från alla patienter som du kan skapa så oerhört stora värden. Så helst vill man att alla ska dela med sig. Om alla med, säg, paranoida drag tackar nej, då blir kanske datasetet mindre användbart.

Fredrik Blix

Kan vi då lita på datan?

– Exakt. Jag kan tänka mig att samhället kommer att stifta lagar åt andra hållet: om du vill ha offentligt finansierad sjukvård måste du dela med dig av dina uppgifter för att förbättra din och andras vård i framtiden.

Och säkra lösningar som skyddar integriteten är på gång. Med hjälp av smarta algoritmer kan man skapa ”syntetiska” hälsodata som kan anonymiseras, berättar Fredrik Blix.

– Syntetiska data skapas slumpvis inom vissa intervall, så att du som forskare kan bedriva lika bra forskning som på riktiga data, utan att avslöja något om de ursprungliga patienterna.

Resultatet är stora mängder data med samma kvalitet som riktiga data, men som inte innehåller uppgifter som gör att enskilda kan identifieras, och som kan användas för att träna AI-system. Men tekniken är fortfarande ganska ny och under utveckling, medger han.

Mellan 2020 och 2021 fördubblades antalet riktade it-attacker mot sjukvården. Fredrik Blix är bekymrad över att det saknas fullgott skydd mot utpressningsvirus, så kallat ransomware, på en del håll.

– Det räcker med ett litet säkerhetshål för att angriparna ska ta sig in. Ett typiskt scenario är internetexponerade it-system som inte är uppdaterade, och därför släpper in angriparen, säger han.

När en vårdgivare drabbas av ett utpressningsvirus kan stora delar av vården slås ut.

– Nästan alla system och all utrustning styrs av datorer idag. Du har journalsystem, diagnostik, magnetröntgen, ventilation etc, och det ska kommuniceras bilder till experter på andra sidan jorden.

Angriparen slår klorna i systemet och kräver sjukhuset på en lösensumma för att ge tillbaka kontrollen. 

– Det hände i Düsseldorf och ledde till att en patient dog, berättar han.

Även Kalix kommun drabbades av en liknade it-attack 2021. Fredrik Blix betonar vikten av att sjukvården tränar inför angrepp, gärna tillsammans med leverantörerna av de olika systemen.

– Attackerna kommer att komma. Det viktiga är att det finns en organisation för hur man kommer tillbaka till ett normalläge, och hur man ska leverera vård under tiden , säger han.

Enligt säkerhetsdoktorn finns ingen anledning att vänta tills organisationen blir angripen. 

– Då är det för sent. Man blir lite ledsen över att det ska behöva ske först, när man hade kunnat förbereda sig och träna i lugn och ro. Utgå från att du kommer att bli angripen. Information om vem, hur och varför du angripits är inte avgörande då. Det viktiga är vilka system som angripits och att du har en plan för hur systemen ska ominstalleras så att angriparen åker ut, säger Fredrik Blix.

Budskapet i hans predikan till vården är tydligt:

– Du har redan idag tillgång till all information du behöver för att planera och öva inför ett cyberangrepp. Kör!  

Fredrik Blix

GÖR: Doktor i cybersäkerhet, universitetslektor i informationssäkerhet på Stockholms universitet och rådgivare på Knowit cybersecurity & law
BOR: I Stockholm med hustrun och fyra döttrar

94 %
Så mycket ökade antalet ransomware-attacker riktade mot sjukvården mellan 2021 och 2022.

3 av 4 
Tre fjärdedelar av vårdorganisationerna lyckades tack vare säkerhetskopior få tillbaka delar av sin data efter attacken.

Källa: Sophos 

Vad säger lagen? 

Det finns flera lagar som reglerar sekundäranvändning av hälsodata, varav några är:

Patientdatalagen (PDL) reglerar vad vi får göra med känsliga personuppgifter och hur den får användas i forskning. Lagen tillåter i nuläget inte delning av hälsodata i den utsträckning som krävs för många precisionsmedicinska tillämpningar.

Dataskyddsförordningen (GDPR) talar om vad en personuppgift är. Hälsodata betraktas som ”känsliga personuppgifter” och är särskilt hårt reglerade i GDPR. 
Från kod till vård – så leder hälsodata till större värde för patienter
Horizont # 16 | 2023 maj

Det här numret av Horizont ägnar vi helt åt att beskriva värdet av hälsodata. Hur kan hälsodata stärka modern forskning, patientmedverkan, introduktion av nya, effektivare läkemedel, ge rätt vård och behandling idag och i morgon?

Ladda ner hela numret här
Prenumerera på nästa nummer

Få nästa nummer av Horizont i din brevlåda eller inkorg.

Få nästa nummer av Horizont i din brevlåda eller inkorg.

Prenumerera nu!
ONC-SE-2300022