Billigast vinner: Därför slutar upphandlingar i rena haverier

Text:

Bristen på sjukvårdsmateriel som sterila handskar, katetrar och EKG-elektroder i fem av Sveriges regioner hade tvingat sjukhus att ställa in planerade operationer och gå upp i stabsläge. Krisen, som pågått i veckor, uppstod i samband med att den gemensamma nämnden för regionerna, Varuförsörjningsnämnden, bytt distributör. Det nya företaget, Apotekstjänst AB, ägt av ett par före detta videouthyrare, tog den 1 oktober i år över leveransen av sjukvårdsmateriel till de fem regionerna, men misslyckades redan från början. Förklaringen från Apotekstjänst, vars vd Tomas Hilmo nu har avgått, blev att regionernas beställningar var mycket större än vad som angavs i avtalet.

Frågan är då varför regionerna valde att anlita ett företag som Apotekstjänst, som tidigare nischat sig inom bland annat glass- och kaffeleverans.

Tommy Levinsson (S), vice ordförande i Varuförsörjningsnämnden, försvarar nämndens val. Bland de tre bolag som lämnade anbud i upphandlingen – Onemed, tidigare leverantören Mediq och Apotekstjänst – erbjöd det sistnämnda lägst pris.

– Samtliga bolag uppfyllde kvalitetskraven. Då blir det priset som avgör. Vi tyckte att vi ställde bra krav på leveranssäkerhet och på 48 timmar mellan order och leverans. Lagen om offentlig upphandling är tydlig. Hade vi valt någon annan, hade beslutet överklagats.

Beslutet att ge Apotekstjänst uppdraget överklagades ändå till förvaltningsrätten, som dock bedömde att bolaget uppfyllde kvalitetskraven.

– Ingenting tydde på att det kunde bli på detta sätt.

Ser ni problem med en lagstiftning där ni måste välja det billigaste alternativet?

– Lagstiftningen får riksdagspolitiker ta ställning till, säger Tommy Levinsson.

Men just bristfälliga upphandlingar är gemensam nämnare för flera säkerhetshaverier på senare tid, enligt it-säkerhetsexpert Leif Nixon; för den nuvarande materielbristen; för it-läckan vid 1177 Vårdguiden tidigare i år; liksom för den vid Transportstyrelsen för två år sedan.

– I samtliga fall har man tappat den egna kontrollen när man lejt ut på dem som gett lägst pris, säger han till Fokus.

I upphandlingen ska regionerna välja den leverantör som är billigast och som samtidigt uppfyller kraven. Och visst finns i upphandlingen med Apotekstjänst krav på att leverantören ska kunna leverera med god precision. Där står också uttryckligen att de beställda volymerna kan bli både större och mindre än de historiska siffrorna.

– Men här har man inte lyckats verifiera att leverantören uppfyller kravet. Då har man misslyckats med sin utvärdering, säger Leif Nixon.

Likaså banade en bristfällig upphandling väg för den läcka som nättidningen Computer Sweden avslöjade i februari 2019. Då visade sig 2,7 miljoner inspelade samtal till 1177 Vårdguiden, under flera års tid ha legat tillgängliga som ljudfiler på en oskyddad webbserver, helt utan lösenordsskydd. Samtal, som togs emot av vårdentreprenören Medicall, ett Thailandsbaserat dotterbolag till Medhelp, som förutom samtal från Region Stockholm även tog emot samtal till 1177 från Sörmland och Värmland. Vem som helst med vanlig webbläsare kunde lyssna på och ladda ner ljudfiler med samtalen, som innehöll känsliga uppgifter om olika människors krämpor, sjukdomar och hälsoproblem. Av tillgängliga samtal visade sig 55 ha laddats ner. Bristande säkerhet hos underleverantören Voice Integrate Nordic AB, som tillhandahållit ett molnbaserat telefonsystem för vårdsamtalen, uppgavs ha orsakat problemet, men flera aktörer var inblandade. Datainspektionens tillsyn av 1177 Vårdguiden omfattar nu företagen Voice Integrate Nordic AB, Medhelp, Inera (det SKL-ägda bolag som samordnar regionernas arbete med 1177 Vårdguiden), samt regionerna Stockholm, Sörmland och Värmland.

Läckan från 1177 beskrivs av de säkerhetsexperter som Fokus talat med endast som ett exempel på en följd av vårdens bristande IT-säkerhet, som kan vara lika skör och lättbruten som fintrådig spindelväv.

Även om regionerna jobbar för säkerhet i både befintliga och nya system vet de, enligt Leif Nixon, inte alltid vilka krav de bör ställa: som exempelvis att standarden ISO 27 000 eller motsvarande bör finnas; och att man är certifierad och har dokumenterat rutiner och processer. Eller att man regelbundet bör testa systemens säkerhet, även journalsystemens.

– Journalsystemen är ett ständigt sorgebarn, säger Leif Nixon i en nästan resignerad ton.

Ibland resulterar den bristande it-säkerheten i direkta vårdskador, som felmedicinering eller felbehandling av patienter. Inom vården har anmälningar som rör informationssäkerhet också ökat avsevärt de senaste tre åren, visar siffor som Fokus har begärt ut från Inspektionen för vård och omsorg (IVO). Av anmälningarna är en väsentlig del kopplad till it-säkerhet, som exempelvis driftsstopp, felaktig läkemedelsbehandling eller bristfällig informationshantering.  

Patrik Sundström, programansvarig som
arbetar med digitaliseringsfrågor vid SKL, tror däremot inte att regionerna i allmänhet skulle sakna fokus på arbete med informationssäkerhet. Av landets 21 regioner befinner sig 13 i en fas där de moderniserar sina it-miljöer och förnyar sina journalsystem, meddelar han.

– De övriga åtta har redan system som funkar, och i de upphandlingar som görs är informationssäkerhet en central del.

Särskilt central tycks den dock inte ha varit när Region Halland för tre år sedan, enligt Hallandspostens avslöjande, lämnade ut känsliga personuppgifter från en halv miljon halländska patientbesök till Brigham and women’s Hospital i Boston, USA. Detta för att få hjälp med statistisk analys och metoder.

Numera uppger sig Region Halland dock vara noga med it-säkerheten.

»Bristerna åtgärdades i samband med att de identifierades«, skriver Elisabeth Funkquist, vid Region Hallands kommunikationsavdelning, till Fokus. Region Skåne har största delen av sin it-drift outsourcad. Men enligt pressekreterare Klas Andersson är det »aldrig enbart priset som avgör vilket system som upphandlas. De krav som finns upptagna i upphandlingen måste självklart uppnås för att man ska kunna välja just den leverantören«.

Region Stockholm lovar i sin tur bättring efter 1177-läckan.

»I samband med händelsen på 1177 Vårdguiden ställdes krav på att vårdgivaren skulle vidta de säkerhetsåtgärder som krävdes för att händelsen inte skulle kunna återupprepas. Hälso- och sjukvårdsförvaltningen har tagit fram en åtgärdsplan tillsammans med vårdgivaren Medhelp för att åtgärda de brister som granskningen identifierat«, uppger Lena Furmark, avdelningschef för digital hälso-och sjukvård, Region Stockholm, i sitt mejlsvar.

Det är dock inte bara inom vården som okunskap i upphandlingar äventyrar säkerheten, enligt Leif Nixon. För ett par år sedan ledde avslöjandet av Transportstyrelsens it-läcka till flera ministrars och statssekreterares avgång. I samband med att IBM fått i uppdrag att ta över Transportstyrelsens it-drift från Trafikverket 2015 beslutade Transportstyrelsens dåvarande generaldirektör Maria Ågren att avsteg kunde göras från lagar som skyddar känsliga personuppgifter. Beslut, som sedan ifrågasattes av Internrevision. I slutet av juli 2017 avslöjade DN att uppgifter som möjliggjort spårning och registrering av personer med hemliga adresser och skyddad identitet funnits bland de röjda uppgifterna. Oppositionen riktade misstroendeförklaring mot flera statsråd, som tidigare fått information om händelsen. När Stefan Löfven under sommaren ombildade regeringen, avgick Anders Ygeman (S), som »vemodig och stolt« såg tillbaka på sina tre år som inrikesminister, men vidhöll att han handlat korrekt; att det var näringsdepartementet som borde informerat statsministern om it-läckan. I samma veva avgick även infrastrukturminister Anna Johansson (S), som i sin tur uppgav att hennes dåvarande statssekreterare inte framfört information om it-läckan till henne. 

Men att skylla haveriet vid Transportstyrelsen på Maria Ågren och statsråden är alltför enkelt, menar Leif Nixon. När Transportstyrelsen sa upp avtalet med Trafikverket fick man en hård deadline för när migreringen av systemet till IBM skulle vara klar.

– Den tidskurva som tidigare fastställts i upphandlingen för hur länge projektet skulle pågå var orealistisk. När Maria Ågren tillträdde som generaldirektör fick hon detta problem i knät.

Uppdraget outsourcades dessutom och hamnade hos underleverantörer till IBM. Men i detta fall skulle överlämningsperioden i upphandlingen ha varit bättre reglerad.

Menar du att Maria Ågren pressades att göra avsteg från att skydda känsliga uppgifter?

– Ja, på sätt och vis. De visste inte när de ingick avtal att de kunde röja kvalificerade känsliga personuppgifter. 

Trots att staten sedan dess har tillsatt en utredning för hur man ska hantera molntjänster, samt inrättat en ny myndighet som ska ta hand om it-säkerhet, tycks inget institutionellt minne få vare sig stat eller regioner i Sverige att lära av misstagen, menar Leif Nixon.

I stället lägger man ofta skulden på enskilda personer.

– I stället för att fokusera på vems den personlige skulden är borde man, liksom i flygbranschen, lägga sådana haverier på en haverikommission. Nu riskerar liknande saker som Transportstyrelsen och läckan i 1177 att ske igen.

Hans farhågor delas av Fia Ewald, informationssäkerhetsexpert som tidigare arbetat med vårdfrågor vid Myndigheten för samhällsskydd och beredskap (MSB).

I den kedja av avtal som finns mellan regioner, Medhelp och underleverantörer är säkerhetskraven mycket svaga, menar hon.

– Jag skulle inte ens köpa en skrivare till en normal verksamhet med så låga säkerhetskrav. Det är svårt att förstå hur en så känslig upphandlingsprocess kan gå så fel.

Förutom bristfälliga upphandlingar ser Fia Ewald brist på ansvarsfördelning på en högre nivå och avsaknad av samkörning mellan olika it-system – inklusive medicinteknisk utrustning och stöd för läkemedelsförsörjning – som de främsta problemen. 

Finns inte ett säkerhetsansvar för vart och ett av dessa system?

– Vårdgivaren har det yttersta ansvaret. Men eftersom det finns en gemensam infrastruktur av olika aktörer, men utan sammanhållen styrning eller strategi för it-säkerhet, kan ingen avgöra hur säker helheten är.

Fokus har sökt energi- och digitaliseringsminister Anders Ygeman (S) för en kommentar. Hans pressekreterare hänvisar till inrikesminister Mikael Damberg, som i sin tur hänvisar tillbaka till Anders Ygeman och till socialminister Lena Hallengren.

Regeringen har implementerat Nis-direktivet i svensk rätt; ett direktiv som ställer krav på säkerhet i nätverk och informationssystem, framhåller socialminister Lena Hallengren (S) i ett mejlsvar till Fokus. Lagen om informationssäkerhet för samhällsviktiga och digitala tjänster trädde i kraft i augusti 2018, och ställer nya krav på informationssäkerheten inom bland annat hälso- och sjukvårdssektorn. De aktörer som omfattas av lagen kommer att bli föremål för tillsyn av Inspektionen för vård och omsorg (IVO).

Civilminister Lena Micko (S) är ansvarig för området offentliga upphandlingar. Hon ger inge kommentarer, men hennes departement, finansdepartementet, svarar i ett mail till Fokus att det i dag finns »goda möjligheter att genomföra effektiva offentliga inköp som ger mer värde för pengarna«.

»Nationella upphandlingsstrategin ger vägledning om hur  upphandlande myndigheter eller enheter kan göra inköp till en del av verksamhetsutvecklingen. Upphandlingsmyndigheten ger råd och stöd om hela upphandlingsprocessen«, skriver departementet.

Efter krisen med materielbristen på flera sjukhus har nu sex av åtta riksdagspartier dock öppnat för att se över lagen om offentlig upphandling, rapporterar Dagens Medicin. Miljöpartiet har inte tagit ställning och Socialdemokraterna är emot att se över lagen.

Men Fia Ewald efterlyser även en nationell styrmodell för säkerhet i vården, liknande den som nu finns i Norge, och som involverar alla aktörer i norsk vård.

 I Sverige bollas ansvar för sjukvårdens datasystem runt mellan externa IT-konsulter, leverantörsföretag och medicinsktekniska avdelningar. Inga enhetliga krav ställs på de olika aktörerna, inte heller för hur man ska hantera större störningar i vårdsystemen. Om ett stort kommunikationsavbrott skulle inträffa i landets sjukvård, skulle känsliga uppgifter ligga oskyddade, patienter riskera att bli felmedicinerade – och människors hälsa hotas.