Studiens slutsats

6.1.1 Hur arbetar fallorganisationen med interoperabilitet i sitt förändringsarbete för

att uppfylla de nya kraven om dataportabilitet i dataskyddsförordningen?

I dagsläget är arbetet med dataskyddsförordningen i en uppstartssträcka, ett dataskyddsombud har anställts vilket är förenligt med förordningen. Dataskyddsombudet genomför en GAP-analys för att se över vilka bitar som behöver förändras för att möta kraven i dataskyddsförordningen. GAP- analysen baseras utifrån intervjuer i verksamheten som genomförs av dataskyddsombudet och en extern konsult. På grund av att analysen ännu pågår har fallorganisationen inte börjat med förändringsarbete som kan anses vara anknutet till de ökade kraven. Däremot finns det utmaningar inom organisationen och organisationen jobbar redan med interoperabilitetsfrågor på grund av behov i verksamheten.

6.1.2 Vilka utmaningar finns kopplat till interoperabilitet för att uppnå efterlevnad om

dataskyddsförordningens krav om dataportabilitet för personuppgifter?

Vi har funnit att Region Östergötland tycker att definitionerna i dataskyddsförordningen är otydligt formulerade och att olika personer inom organisationen inte vet hur de ska tolka lagstiftningen vid tillfällen. Ett exempel som tas upp är att IT-arkitekten och informationsarkitekten inte vet om PDF kan anses uppfylla de kraven som ställs om dataportabilitet då det inte är garanterat att PDF är databearbetningsbart. De olika definitionerna av dataportabilitet påverkar också vad som kan anses vara godtagbart. De här två problemen resulterar i utmaningar gällande juridisk och organisatorisk interoperabilitet. Organisationen vet inte hur de ska tolka lagtexten och det finns en delad uppfattning om vad dataportabilitet innebär vilket därmed resulterar i olika uppfattningar om vad som behöver göras interoperabelt för att kunna möta dataskyddförordningens krav om dataportabilitet för personuppgifter.

Utmaningarna som finns för att upnå förbättrad interoperabilitet är att det finns många olika system inom Region Östergötland som är utformade på olika sätt, från den väldefinierade HSA-katalogen till den ostrukturerade höstacken som är komplementjournalen. Att få de många olika systemen, inom Region Östergötland, interoperabla med varandra är i sig en utmaning. Det blir än mer komplext när varje system, med sin egen systemarkitektur, ska kopplas till externa system både

semantiskt och tekniskt, speciellt när en del av dessa använder egenpåhittade eller olika versioner av standarder. Vidare finns även komplexiteten att olika system har en mängd olika tillägg för att översätta mellan olika system, istället för att använda sig av en översättning finns det en uppsjö och en del tillägg gör samma sak. Detta skapar en problematik för att kunna uppnå dataportabilitet, hur systemen ska kunna kommunicera med varandra genom sina kontaktpunkter.

Det finns en utmaning i hur data hanteras, enligt dataskyddsförordningen ska persondata vara riktig och korrekt vilket inte är fallet enligt chefsarkitekten, det finns här en utmaning i att möta det juridiska kravet i de olika system som finns i organisationen. Enligt respondenterna finns det system som innehåller personuppgifter men vart uppgifter är ouppdaterade och det finns en utmaning i att se över sina system och uppdatera kvalitetssäkringsprocesserna.

6.1.3 Hur hanterar organisationen dessa utmaningar och vilka lärdomar från studien

kan andra organisationer ha nytta av?

Den komplexa IT-strukturen som finns inom organisationen innebär svårigheter för semantisk interoperabilitet då det finns en mängd olika system som ska kunna samverka och skicka information mellan sig. Region Östergötland menar att det görs försök till att reducera antalet system och på så sätt minska komplexiteten och underlätta semantiken men att det finns en illvilja att ta bort system utan vidare. Vidare använder Region Östergötland sig av standarder för att underlätta informationsspridning vid exempelvis HSA-katalogen. Region Östergötland försöker också att samarbeta med andra för att skapa liknande system som det samarbete som finns i den sydöstra sjukvårdsregionen. Det finns ett uttryckt behov av att samarbeta för att säkerställa att information går att överföras och inte förstöras vid inmatning i system.

För att komma till bukt med den spridda uppfattningen om dataskyddsförordningen och dataportabilitet anser vi inte att det finns en speciell plan för att hantera frågorna. Det genomförs i nuläget utbildningar om dataskyddsförordningen men till vår vetskap är de inte riktade till att skapa en enhetlig bild av dataportabilitet. Vi rekommenderar organisationen att på ett samstämmigt sätt komma överens om vad begreppet betyder och hur det påverkar organisationens arbete. När det gäller de juridiska aspekterna finns det utredningar som genomförs och kommer presenteras. Organisationen påpekar även att det ibland kan vara svårt att veta vilka åtgärder som behöver vidtas innan tillskyddsmyndigheten har gjort en tillsyn och sagt att någonting inte är adekvat.

För att möta kravet om korrekt och uppdaterad data gör Region Östergötland inget särskilt enligt enhetschefen. Här bör Region Östergötland tänka om hur information behandlas och lagras för att säkerställa att den är korrekt och riktig.

Utifrån det studerade fallet anser vi att andra organisationer kan ta lärdom av flera delar av vad som framkommer i studien. Framförallt anser vi att offentliga vårdorganisationer kan ta särskild lärdom från fallet för hur arbete och problem med dataportabilitet och interoperabilitet kan behandlas samt fördjupa sin förståelse i frågorna ytterligare. Vi ser också att andra organisationer kan ta lärdom av vad som presenteras i fallet om hur interoperabilitet kan brytas ner på flera olika nivåer för att arbeta med dataportabilitet. Utifrån vår tematiska analysmodell baserad på tidigare arbete av forskare inom informatik (Chen & Daclin, 2006; Goldkuhl & Röslinger, 2015; Klischewski & Scholl, 2008; Scholl & Klischewski, 2007; Scholl et al., 2012) menar vi att såväl praktiker som forskare kan använda vår konceptuella modell för att utvärdera förutsättningar för dataportabilitet i verksamheter baserat på interoperabilitet på olika nivåer. I fallet som analyseras med vår tematiska analysmodell framkommer det att organisatorisk interoperabilitet och semantisk interoperabilitet är de områden som organisationen tycks behöva arbeta mest med för att skapa förutsättningar för dataportabilitet. Fallet visar att man i grunden redan har goda förutsättningar för att uppnå hög teknisk interoperabilitet. Det framkommer att det som är avgörande för organisationens dataportabilitet är att organisationen i förhållande till andra organisationer har fungerande gemensamma spelregler vilka snarare styrs av organisation, samarbete, lagstiftning och gemensamma standarder än av organisationens tekniska förutsättningar. Studien visar också vikten av tydlig kommunikation inom organisationen och utbildning för att gemensamt kunna ta sig framåt i arbetet eftersom språkliga oklarheter kring viktiga begrepp (såsom interoperabilitet) kan försvåra arbetet för involverade parter (Öhlund, 2017). Baserat på vår analys av fallorganisationen menar vi att andra organisationer, praktiker och forskare kan nyttja den tematiska analysmodellen vi har tagit fram för att utvärdera, analysera och diskutera interoperabilitet som en förutsättning för dataportabilitet ur ett perspektiv som innefattar såväl juridiska, organisatoriska, tekniska som semantiska aspekter. Detta eftersom vi menar att förutsättningarna att uppnå dataportabilitet förbättras om interoperabilitet betraktas som ett mångfacetterat koncept där hänsyn tas till alla de fyra nivåerna i vår modell.