Blockchain och patientjournalsystem En undersökning i genomförbarhet

Transkript

1 Uppsala Universitet Inst. för Informatik och Media Blockchain och patientjournalsystem En undersökning i genomförbarhet Blomberg, Axel & Jönelid, Erik Kurs: Examensarbete Nivå: C Termin: VT-18 Datum:

2 Sammanfattning: Uppsatsen tar upp blockchain-teknologin och undersöker om den kan användas vid hantering av patientjournaler i ett svenskt patientjournalsystem. Genom att kombinera en genomförbarhetsstudie och SWOT-analys har tre aspekter; tekniska, legala och organisatoriska undersökts med hjälp av perspektiven från SWOT. De tekniska, legala och organisatoriska aspekterna berör viktiga faktorer och frågor som bör uppfyllas för ett projekt ska anses genomförbart. Uppsatsen är en explorativ fallstudie med dokumentanalys som metod. Primärt har akademisk litteratur samt lagar och författningar undersökts och analyserats. Med hjälp av informationen från insamlade dokument analyseras och diskuteras innehållet utifrån teknisk, legal genomförbarhet och organisatorisk genomförbarhet. Den tekniska samt legala aspekten antyder att blockchain i dess nuvarande form inte är genomförbart för att användas som stöd i svenskt patientjournalsystem. Emellertid har en hög genomförbarhet identifierats inom den organisatoriska aspekten. Nyckelord: blockchain, distributed ledger, patientjournalsystem, genomförbarhetsstudie, SWOT-analys, Sverige 2

3 Abstract: This paper examines whether blockchain-technology can be used to assist an EHR system (electronic health records) in Sweden. By combining a feasibility study and SWOT-analysis, three major aspects; technical, legal and organizational, have been examined with help from the perspectives in SWOT. The aspects cover key factors and questions which ought to be fulfilled for a project to be considered feasible. An exploratory case study has been conducted combined with the method of document analysis. The documents have primarily consisted of academic literature and law acts and constitutions such as GDPR. The feasibility aspects have been analysed and discussed with the help of found literature. The technical and legal aspects suggest that the use of blockchain in its current shape and form is not feasible in assisting an EHR system. However, within the organizational aspect, a high level of feasibility has been concluded. Key words: blockchain, distributed ledger, EHR system, feasibility study, SWOT-analysis, Sweden 3

4 Innehållsförteckning 1. Introduktion och bakgrund Inledning Problemformulering Syfte Avgränsningar Patientdata i Sverige Blockchain Vad är Blockchain Blockets uppbyggnad Header Hash Transaktion Nätverkets uppbyggnad Olika blockkedjor Smart Contract Tillåtelser Karaktärsdrag för Blockchain Distribuerad Konsensus Oföränderlig Teori Teknisk genomförbarhet Organisatorisk genomförbarhet Legal genomförbarhet SWOT-analys Metod Forskningsansats Metodval Forskningsprocessen Genomförbarhetsstudie och SWOT-analys Sökord Granskning och kodning Dataresultat Empiri Legala aspekter 24 4

5 4.1.1 Krav på ledningssystem och informationshantering Nya och befintliga rättigheter Tekniska aspekter MedRec Ny teknologi Organisatoriska aspekter Kontemporära projekt i Sverige Matspårbarhet Lantmäteriet Vision E-hälsa Analys Teknisk genomförbarhet Legal genomförbarhet Organisatorisk genomförbarhet Slutsats Diskussion Vidare forskning Källförteckning 47 Bilaga 1 53 Artikel 6 - Laglig behandling av personuppgifter (2016/679) 53 Artikel 9 - Behandling av särskilda kategorier av personuppgifter (2016/679) 53 Artikel 17 - Rätt till radering ( rätten att bli bortglömd ) (2016/679) 54 5

6 1. Introduktion och bakgrund 1.1 Inledning Hösten 2017 gick kryptovalutan Bitcoin från att tidigare varit känd inom mindre kretsar till att bli ett populärt samtalsämne hos befolkningen världen om. Anledningen kan troligtvis knytas till den ökning i värde som gjorde under hösten. Från 1 oktober till 16 december ökade priset för en bitcoin med cirka 440% (se fig. 1 & 2). En kryptovaluta är ett digitalt betalningssätt utan regulationer vilket bland annat möjliggörs med hjälp av kryptografi (Antonopoulos, 2015). Bitcoin är idag den 23 maj 2018 störst bland kryptovalutorna sett till värdet dess värde på 135 miljarder dollar (Worldcoinindex, 2018). Fig. 1. Värdet för en bitcoin (1 BTC). 2 feb, feb, 2018 (Källa: Coindesk, 2018) Fig. 2. Sökningar för orden bitcoin ( röd) och blockchain ( blå). 5 feb, feb 2, 2018 (Källa: Google, 2018) Bitcoin introducerades 2008, då en anonym utvecklare under pseudonymen Satoshi Nakamoto presenterade hur man kunde använda ett elektroniskt betalningssystem genom matematisk bevisning (Nakamoto, 2008). Betalningssystemet är decentraliserat eftersom statlig myndighet eller bank inte behövs för att kontrollera och godkänna en transaktion. Istället görs transaktioner direkt mellan användare, där blockchains höga säkerhet samt egenskaper som distribuerad liggare möjliggör att användare kan lita på varandra utan en central enhet (Antonopoulos, 2015, s.3). Sedan Bitcoin lanserades har antalet kryptovalutor kraftigt ökat och i nuläget finns fler än 1500 stycken (Coinmarketcap, 2018). Gemensamt för 6

7 kryptovalutorna är att de använder blockchain som bakomliggande teknologi, men hur detta har gjorts varierar beroende på kryptovalutans syfte (Kharpal, 2017). Bitcoins framfart har under de senare åren skapat ett bredare intresse för den bakomliggande teknologin, blockchain och hur den kan komma att användas i andra sektorer av samhället. (McKinsey, 2017) Idag ser vi hur initiativtagare från alla världens hörn är med och formar startup-företag där finansiering sker utifrån den så kallade ICO-modellen ( Initial Coin Offering ) där företag erbjuder sin underliggande kryptovaluta mot vanlig valuta eller bitcoin för att således få en möjlighet att växa och utveckla sin affärsidé. (Blockgeeks, 2017) Det är tydligt att det stora fokuset, både medialt, kommersiellt och finansiellt har varit inriktat mot den privata sfären. I skrivande stund har börsvärdet för kryptovalutor nått 400 miljarder dollar och nya ICO s dyker ständigt upp på marknaden (Coinmarketcap, 2018). Initiativen inom den publika sektorn är betydligt färre relativt sett, trots att blockchain medför högt skydd mot integritets-och säkerhetskänslig data som många myndigheter behandlar idag (McKinsey, 2017) Initiativen har varierat från förbättring av bitcoins ursprungs-blockchain (se ) till branschspecifik användning. I Estland har blockchain används i statliga ändamål sedan Arbetsuppgifterna har inbegripit att registrera data för bland annat juridiska och säkerhetsmässiga ändamål, men även inom hälso- och sjukvården (E-Estonia, 2018a). I nuläget är många processer inom Estlands hälso- och sjukvård digitaliserade, där ett centraliserat system sammanställer patientdata från olika leverantörer och visar upp detta i ett standardformat. Varje patient har en elektronisk patientjournal i vilken information kring patientens medicinska tillstånd sparas. Patientjournalen innehåller känslig information där blockchain används för att försäkra att integriteten behålls vid behandling och lagring (E-Estonia, 2018b). 1.2 Problemformulering I Sverige finns flertalet journalsystem som används vid behandling av patientdata. Landstingen bestämmer vilket system som passar dem och vilken leverantör som ska leverera systemet. Mellan olika patientjournalsystem kan det skilja upp till 20 år, och krav på att kunna kommunicera med andra system har aldrig varit aktuellt vid utveckling av systemen. Detta har lett till stora interoperabilitets-problem mellan och inom landstingen för de tillhörande sjukhusen (Cederberg, 2016). I Sverige har viss digitalisering skett inom sjukvården. Elektrisk journal, eller e-journal började införas av svenska landsting 2014, där Region Västernorrland blev sist att införa detta 2018 ( Glimberg, 2015; Pagels, 2018). E-journalen möjliggör att privatpersoner kan nå begränsad medicinsk information som lagras om denne online. Exempelvis kan en patient ta del av resultaten av blodprov online istället för att behöva träffa en läkare. Denna specifika förändring ses dock som problematisk i vissa hänseenden. En läkare hävdar att tillgängligheten e-journalen medför har försvårat det dagliga arbetet, eftersom en patient kan utan läkares kommentar lätt misstolka information som skrivs ned i patientjournalen (Torvinen, 2018). 7

8 Informationen som lagras i patientjournalen är känslig och kan resultera i problem om informationen hamnar i fel händer. I en artikel (Humer & Finkle, 2014) beskrivs medicinsk information vara värd tio gånger mer jämfört med ett amerikanskt kreditkort, sett från priset på svarta marknaden. En ökning av attacker för att stjäla medicinsk information har ökat och FBI har varnat hälso- och sjukvårdare att skydda sig mot cyber-attacker. Trots att varningen är fyra år gammal är problemet fortfarande aktuellt (U.S. Department of Health and Human Services, 2018). Cyber-hotet mot patientdata finns inte bara i USA. Tidigare i år bröt en främmande stat sig in i ett norskt datasystem ägt av Helse Sør-Øst, som hanterar cirka 2.8 miljoner norrmäns patientdata. Anledningen till attacken var okänd och man vet inte vilken information angriparen sökte efter (Mikalsen, 2018). Utifrån dessa problem kan ett rimligt antagande vara att förbättring av befintliga patientjournalsystem behövs. 1.3 Syfte Syftet med denna uppsats är att undersöka om teknologin blockchain kan användas som stöd i ett svenskt patientjournalsystem. Detta undersökts närmare utifrån styrkor, svagheter, möjligheter och hot rörande blockchain och dess användningsområde inom patientjournalsystem. Mycket av informationen är teknisk. På grund av detta görs en grundlig genomgång för blockchain-teknologin i bakgrunden (se 1.6), med syfte att ge förståelse för information som senare lyfts fram i empiri, analys samt slutsats. Syftet undersöks utifrån tre aspekter: teknisk, organisatorisk och legal. Respektive aspekt innehåller en mindre fråga vilket i sig besvaras: Teknisk: Can we build it? Organisatorisk: If we build it, will they come? Legal: Are we allowed to build it? Utifrån svaren på dessa tre aspekter ämnar vi att besvara forskningsfrågan: Är det möjligt att blockchain kan användas som stöd för ett svenskt patientjournalsystem? 8

9 1.4 Avgränsningar Inom genomförbarhetsstudien vilket vidare beskrivs i punkt 2.1. tas tre aspekter upp: teknisk, organisatorisk och legal. Vanligtvis ingår även ett ekonomiskt perspektiv i en genomförbarhetsstudie. Detta är något vi inte kommer inkludera i denna uppsats, eftersom en ekonomisk genomförbarhet kräver till viss del konkret information kring ett projekts finansiella situation. Vi har inte tillgång till denna typ av information då ett konkret projekt inte existerar. 1.5 Patientdata i Sverige I Sverige finns lagstadgad skyldighet att föra dokumentation om en patient, d.v.s. en journalhandling. Journalen ska inbegripa bedömningar och beslut, samt planering, genomförande och utvärdering. Konkret innebär detta framställning i skrift, bild eller upptagning om patientens hälsotillstånd (1 kap :355). Patientjournalen består av en eller flera journalhandlingar och fungerar som ett verktyg vilket ska användas för alla parter i en vårdsituation: patient och ansvarig personal. Ett systematiskt förhållningssätt i utformning och innehåll bedrivs med syfte att journalen ska vara lättbegriplig, tillförlitlig och tillgänglig. Informationshanteringen ska tillgodose patientsäkerhet, kvalitet och kostnadseffektivitet (Björvell, 2017 a). 1.6 Blockchain Terminologi: Asymmetrisk kryptering, även kallat Public Key Encryption. Fungerar genom att användare A och B har ett varsitt nyckelpar, en publik och en privat nyckel. Ett meddelande som krypteras med en publik nyckel kan endast öppnas med motsvarande privat nyckel från samma par (Rivest, Shamir, Adleman, 1978, s.122). Digital Signatur - en privat nyckel är unik för användare A, vilket innebär om något krypteras med denna nyckel implicerar detta att A måste har gjort denna kryptering. Detta eftersom A i teorin är den enda som har tillgång till den privata nyckeln (Ibid, s.122). Mesh-nätverk: en nätverkstopologi med anslutning mellan varje nod i ett nätverk (Comer, 2009, s.230) 9

10 1.6.1 Vad är Blockchain Enligt Ølnes, Ubacht och Janssen (2017) finns det inte en bestämd form på vad blockchain är, utan blockchain kan se ut på många olika sätt. Faktorer som permissioned eller permissionless ( se ), att teknologien i blockchain är mer avancerad än dess ursprungsformat (se 1.6.4) och syftet för en blockchain - allt bidrar till att en blockchain kan se olika ut. Mycket av definitionerna av blockchain baseras utifrån dess första användningsområde inom kryptovalutor, specifikt Bitcoin: The Bitcoin blockchain technically a distributed public ledger is an unalterable record of peer-to-peer transactions that is transparent to all, and not reliant on a third party for management ( Nasdaq, 2016, s.1 ). Mer generellt summerar IBM (2018) blockchain som... a shared ledger for recording the history of transactions - that cannot be altered ( s.1 ). Samtidigt som definitionen tar avstånd från användningsområdet kryptovalutor saknas fortfarande viktiga element. En täckande definition gjordes av Bergquist (2017) vilket förklarar vad blockchain är samt hur det fungerar : A blockchain is a distributed computing architecture where a computer is called a node if they are participating in the blockchain network. Every node has full knowledge of all the transactions that have occurred, information is shared. Transactions are grouped into blocks that are successively added to the distributed database. Only one block at a time can be added, and for a new block to be added it has to contain a mathematical proof that verifies that it follows in sequence from the previous block. The blocks are thus connected to each other in a chronological order. ( Bergquist, 2017, s.11) I följande sektioner vidareutvecklas de element och processer som beskrivs i definitionen ovan för att närmare beskriva hur blockchain är uppbyggd och fungerar. Detta kommer göras utifrån den blockchain Bitcoin använder, eftersom denna ger en god representation av teknologin och dess huvudsakliga karaktärsdrag Blockets uppbyggnad En blockchain består av en kedja som utgörs av flertalet block. I denna del behandlas hur ett block ser ut och vad det är uppbyggt av Header En header innehåller metadata för ett block: referens till det föregående blocket i kedjan, en tidsstämpel när blocket skapades och en påhittad variabel, kallad nonce ( Antonopoulos, 2015, s.163). Värdet för nonce varierar och används för att bestämma hur hash-värdet för hela blocket ser ut. Vid skapandet av ett block är målet att dess hash ska börja med ett bestämt antal nollor. Datorkraft används för att beräkna rätt värde på nonce, för att kravet på nollor 10

11 uppfylls. Flera miljoner beräkningar kan göras innan rätt värde hittas vilket kräver en hög datorkraft. Processen kallas för Proof-of-Work (PoW) - ett kvitto på att den bakomliggande matematiska bevisningen har gjorts (Satoshi, 2008, s.3). Se fig. 3 för exempel på en hash c5b9b723850e6fe9fac63b129c173ca1cb0d79a0445df Fig. 3 - Block nummer i bitcoins blockchain (Källa: Blockchain, 2018) Hash En hash är en binär string med bestämd längd och används för att identifiera ett unikt block i kedjan (se fig. 4). Hashen skapas utifrån informationen i headern för ett block, som krypteras två gånger med krypteringsalgoritmen SHA256. Genom att hashen bygger på headern, som i sin tur innehåller en referens till föregående blocks hash, skapas en kedja mellan blocken (se fig. 4). Om informationen i ett block förändras kommer även dess hash att ändras. Detta leder till en dominoeffekt där samtliga block som skapats efter ett specifikt block X behöver ändras. För att göra denna ändring behövs PoW göras om för varje block som påverkas, vilket kräver enorm datorkraft (Antonopoulos, 2015, s ). Fig. 4 - Proof-of-Work (Källa: Nakamoto, 2008, s.3) Transaktion En Bitcoin går inte att äga likt en exempelvis svensk krona. Istället har man rätten att överföra Bitcoin, och det är genom denna rätt som Bitcoin kan föras över mellan två parter. Transaktionerna bygger på in- och utmatning, där inmatningen är den summa som skickas och utmatningen är till den part det skickas till. Varje inmatning har en referens var den mängd Bitcoin som ska överföras kommer ifrån, vilket är en tidigare utmatning i en annan transaktion (Antonopoulos, 2015, s.18-20). Överföringen av Bitcoin mellan två parter sker med hjälp av asymmetrisk kryptering. Varje användare har en publik nyckel och en privat nyckel - vilket kan liknas ett kontonummer och en PIN-kod (Antonopoulos, 2015, s.61). Part A som vill överföra rätten för dennes Bitcoin, behöver uppge den publika nyckeln för motpart B, likt en adress. Förutom att endast kryptera med B s publika nyckel krypterar även A med sin privata nyckel för att digitalt signera transaktionen. Vidare behövs ett villkor implementeras som behöver gå i uppfyllelse för att en transaktion kan skapas. Ett villkor kan vara att B måste uppge korrekt privat nyckel, som matchar med den publika nyckel transaktionen redan är krypterad med. (Ibid, s.22-24). När 11

12 villkoret uppfylls placeras transaktionen temporärt i ett väntrum, innan transaktionen sedan valideras och godkänns, för att sedan föras in i ett block (Ibid, s.28) Nätverkets uppbyggnad Den bidragande faktorn till att Bitcoin skapades var enligt Nakamoto att vi i dagens elektroniska betalningssystem förlitar oss för mycket på den tredje part som alla betalningar går genom (Nakamoto, 2008, s.1). Arkitekturen i nätverket för den blockchain bitcoin använder eliminerar tredje part. Istället är nätverket Peer-to-Peer ( P2P ) - alla som är delaktiga i nätverket är jämlikar och interaktion sker mellan två parter (Antonopoulos, 2015, s.139). Nätverket är av topologi-typen mesh, där noderna i nätverket utgörs av användarna, eller rättare sagt datorer som är uppkopplade till nätverket (Ibid, s.139). En typ av användare, full node eller komplett nod, upprätthåller kopior av den blockchain de befinner sig. Detta görs genom att den kompletta noden lyssnar på nätverket efter nya block som publiceras, för att sedan själv verifiera detta block och lägga till i sin egna kopia. (Ibid, s.147). En annan typ av användare är en miner - någon som använder sin datorkraft för att bryta fram Bitcoins ur blockchain ( Ibid, s.183). Processen att bryta fram Bitcoins är det enda sättet att skapa nya Bitcoins, vilket sker i form av en belöning från systemet när en miner utfört ett PoW (Ibid, s.177). I beskrivs hur en transaktion skapas, men inte hur en transaktion slutförs. En miner hämtar transaktioner från väntrummet, validerar att samtlig information i transaktionen är korrekt och godkänner sedan att transaktionen läggs till i ett block. Blockets PoW behöver sedan göras. I denna process är minern inte ensam, utan över nätverket finns det flera miners som tävlar mot varandra i vem som snabbast kan lösa blockets PoW (Antonopoulos, 2015, s.177). Den som först kommer fram till korrekt PoW sprider nyheten över nätverket, att ett nytt block skapats och resten av noderna är välkomna att även dem verifiera att transaktionerna är korrekta (Nakamoto, 2008, s.3). Processen börjar sedan om på nytt och miners fortsätter att tävla om att vara snabbast (Antonopoulos, 2015, s.28) Olika blockkedjor Även om bitcoins blockchain var först och beskriver de generella egenskaperna som blockkedje-teknologien innefattar är detta inte den enda typen av blockchain som existerar. Efter att bitcoins blockchain skapades var utvecklare intresserade av att själva skapa ett liknande distribuerat, konsensus-baserat nätverk som bitcoins blockchain. Detta gjordes genom att antingen bygga ett helt nytt nätverk eller utveckla ett protokoll ovanpå bitcoins blockchain. Det förstnämnda visade sig vara svårt då få användare anslöt sig för att bygga en blockchain. Istället var det mer lämpligt att utveckla något med hjälp av den redan existerande blockchain:en bitcoin använder (Buterin, 2014, s.10-11). 12

13 Smart Contract Ett protokoll som utvecklades med hjälp av den underliggande bitcoin-blockchain:en, som sedan skulle bli en självständig blockchain, är Ethereum (Buterin, 2014, s.13). Avsikten var att förbättra de befintliga koncepten som fanns från början i bitcoins blockchain. Detta gjordes bland annat genom Smart contract ( Ibid, s.13). Smart contract är en utveckling av det villkor inom bitcoin som behöver uppfyllas för att en transaktion ska kunna läggas till i ett block (se ). Med Smart contract kan villkoret göras mer avancerat för att kunna appliceras på fler användningsområden. (Ibid, s.1). Ett exempel är följande: A kan ta ut X antal valuta-enheter per dag, B kan ta ut Y antal per dag, A och B kan tillsammans ta ut vad som helst, och A kan stänga av B s möjlighet att ta ut valuta-enheter. ( Buterin, 2014, s.1) Tillåtelser Ett sätt att skilja olika blockkedjor är att de kan delas upp i termerna permissioned och permissionless ( Mattila, 2016, s.7). Både Bitcoin och Ethereum har gemensamt att båda är permissionless, dvs vem som helst har tillåtelse att ansluta sig till nätverket för att övervaka och bidra (Nakamoto 2008; Buterin 2015). Tanken bakom en permissioned blockchain är att öka kontrollen på vilka som får ansluta sig till nätverket. I en permissioned blockchain finns det en eller flera aktörer som styr denna blockchain, vilket kan bestämma och ge ut tillåtelse att interagera med blockchain. Eftersom tillåtelse förmodligen tilldelas trovärdiga användare ökar kontrollen över blockchain då användarna på nätverket är kända för de som styr. Den ökade kontrollen samt trovärdigheten gentemot användarna innebär att PoW inte behövs på samma sätt som i en permissionless blockchain (se ). I sin tur kan detta leda till en blockchain som kräver mindre datorkraft för att utvecklas, vilket gör den snabbare än en permissionless blockchain. Nackdelar blir dock att säkerheten minskar och möjligheten att manipulera tidigare historik blir mindre krävande (se ) ( Mattila, 2016, s.7-8.) Karaktärsdrag för Blockchain Baserat på ovanstående information vilket förklarar hur blockchain-teknologin är uppbyggd och fungerar kan tre karaktärsdrag för teknologin identifieras, vilket beskrivs i nedanstående punkter Distribuerad Blockchain är en form av Distributed Ledger Technology (DLT), vilket som namnet föreslår kan det liknas en loggbok i vilken man i bitcoins fall listar transaktioner. I blockchain finns ett flertal noder spridda över nätverket. Noderna har en kopia av hela loggboken med samtliga transaktioner som gjorts. Den distribuerade egenskapen hos blockchain är en naturlig styrka, eftersom nätverket blir mer tillgängligt. Skulle en nod och dess kopia av 13

14 blockchain förstöras innebär detta inte en krasch för hela nätverket, då det finns flertalet noder till med samma kopia av blockchain (Antonopoulos, 2015) Konsensus I blockchain finns det alltid en kopia som har kommit längre än de andra och ses som den universella sanningen hur blockchain:en ser ut. Bland noderna råder det då en konsensus att denna kopia är den rätta och är den som alla andra bör sträva efter att skapa sin egna kopia från (Antonopoulos, 2015, s.181). Det kan ses som en röstning, där noder i nätverket röstar på den blockchain som kommit längst, eller den blockchain som de väljer är sann. I bitcoins blockchain är detta den blockchain som använt mest datorkraft, d.v.s. uträttat flest PoW (se ) Oföränderlig Om en användare vill förändra informationen lagrad i blockchain behöver denne övertyga majoriteten av alla noder att dennes version av den nu manipulerade blockchain:en faktum är sanningen. För att detta teoretiskt ska ske behöver denne majoriteten av datorkraften, eller röster, som finns i över nätverket. Detta för att kunna skapa en ny sanning hur informationen i blockchain ser ut. Mängden datorkraft eller antalet röster som krävs för att åstadkomma detta i verkligheten kan skilja sig åt beroende på hur nätverket för den specifika blockchain:en ser ut. I bitcoins blockchain är detta nästintill omöjligt eftersom mängden datorkraft som krävs är för stor. Svårigheten att ändra information i blockchain har gett egenskapen immutability - att informationen är oföränderlig (Antonopoulos, 2015, s ). 14

15 2. Teori Projektutveckling är en dyr och komplicerad process vilket kräver mycket planering och engagemang. En Feasibility Study eller genomförbarhetsstudie, görs i början av ett projekt i samband med dess planeringsfas (Dennis, Wixom, Roth, 2012). Syftet med en genomförbarhetsstudie är att att identifiera och förstå genomförbarheten för ett projekt. Genom att framställa och analysera relevant information påvisar genomförbarhetsstudien de krav som ställs på projektet samt styrkor och svagheter för att objektivt bedöma projektets chans att lyckas (Justis & Kreigsmann, 1979). Om riskerna i ett projekt väger tyngre än dess fördelar kan projektet avbrytas. Bakomliggande krav behöver uppfyllas för att genomförandet, och implementation av projektet ska lyckas (Dennis et al, 2012). Genomförbarhetsstudien är vidare uppbyggd av genomförbarhetsanalyser där olika aspekter inom projektet analyseras närmare utifrån de risker som knyts till respektive aspekt (Ibid). 2.1 Teknisk genomförbarhet För att gå vidare från planeringsfasen behöver en riskbedömning göras på projektet - huruvida det går att designa, utveckla och implementera. Med detta i åtanke genomsyrar frågan Can We Build It? (Dennis et al, 2012, s.24) genomförbarheten inom den tekniska aspekten. Ett viktigt steg att undersöka är bekantskapen med det som ska utvecklas. Om det finns något liknande sedan tidigare eller om området projektet sker inom är nytt ökar bekantskapen. För att minimera riskerna i projekt är det viktigt att känna till det område projektet görs inom, dels för att se saker som kan förbättras genom tidigare erfarenhet, och dels för att undvika missförståelse på vad som krävs (Dennis et al, 2012). Utöver det område projektet görs inom är det viktigt att analysera bekantskapen som finns med teknologin. En högre risk uppstår om den teknologi som ska utvecklas i projektet är ny för den grupp människor utvecklar den. Likt bekantskapen med det man utvecklar är det även här essentiellt att kunna teknologien för att kunna se förbättringar exempelvis. Är teknologien själv i sin tur ny och outforskad blir risken ännu högre (Ibid, s.24-25). Kompatibiliteten med tidigare teknologi och IT-system som finns installerat är viktigt att undersöka. IT-system byggs sällan för helt nytt - istället byggs det på existerande infrastruktur. Detta innebär att det är viktigt att analysera hur väl det nya och gamla kan kommunicera och samarbeta (Dennis et al, 2012, s.25). 15

16 2.2 Organisatorisk genomförbarhet Organisatorisk genomförbarhet handlar om att bedöma hur systemet i slutändan kommer att accepteras av användarna och bli integrerat i verksamheten. Ett sätt att mäta denna genomförbarhet är att jämföra hur väl projektmålen sammanfaller med de övergripande affärsmässiga målsättningarna. Om skillnaderna är stora så ökar risken för misslyckande ur ett organisatoriskt perspektiv. Det är exempelvis vanligt att projekt misslyckas när IT-avdelningar själva genomför förändringar utan andras inverkan. Om frågan gällande den tekniska genomförbarheten var om det kunde göras, är frågan nu If we build it, will they come? (Dennis et al, s.32-33) Ett annat sätt att angripa den organisatoriska genomförbarheten är att planera och leda en intressentanalys ( stakeholder analysis ). En intressent är en person, grupp eller organisation som på ett eller annat sätt är inblandad för systemets genomförande. De viktigaste intressenterna tenderar att vara projekt-initierarna, användarna och den högsta ledningen. Utöver dessa så är det inte heller ovanligt att staten i olika nivåer är inblandade som intressent. Ledningens stöd ska medföra till resten av organisationen att det finns ett högt värde i att systemet utvecklas. Att blanda in användare i ett tidigt skede av processen minskar risken för missnöje då användarna kan ge feedback så att de rätta behoven och kraven tillgodoses (Dennis et al, 2012, s.33-34). Interoperabilitet är ett mått på hur system, organisationer eller verksamhetsprocesser fungerar och kommunicerar med varandra. Semantisk interoperabilitet är förmågan att förstå varandra. Betydelsen av den information som utbyts måste vara enhetlig för att säkerställa avsedda effekter. Teknisk interoperabilitet är förmågan att tekniskt utbyta information med hjälp av tjänster på ett säkert sätt och med den kvalitet som överenskommits (SKL, 2016). 2.3 Legal genomförbarhet Trots att de tekniska och organisatoriska aspekterna inom genomförbarhetsstudien visar goda möjligheter att fortsätta utvecklingen återstår den legala aspekten. Om projektet i utvecklingen, eller som implementation, bryter mot nationella eller internationella bestämmelser, lagar eller krav är projektet i sin helhet inte genomförbart eftersom dess implementation kan vara brottsligt och straffbar. För att undvika detta behöver den legala aspekten tas i hänsyn för att projektet ska kunna fortgå i samarbete med lagen. Tvärtom kan risken minska om egenskaper i projektet visar att projektet sker i enlighet med befintlig lag. Frågan som bör stå i centrum för denna aspekt blir således Are we allowed to build it?. 16

17 2.4 SWOT-analys SWOT-analys är ett analytiskt ramverk eller modell som traditionellt sett använts för att för att identifiera styrkor ( strengths ), svagheter ( weaknesses ), möjligheter ( opportunities ) och hot ( threats ) ur ett företagsekonomiskt perspektiv. Med detta åsyftas affärsmässigt beslutsfattande inom företag. Styrkor och svagheter är positiva respektive negativa perspektiv som är interna för ett företag eller organisation. Möjligheter och hot är motsvarande perspektiv fast för den externa delen, företagets omvärld (Axelsson & Agndal, 2016, s. 69). Se fig. 5 för exempel. Trots att SWOT-analys traditionellt använts inom företagsekonomi finns det exempel hur det kan användas i andra projekt, där perspektiven behöver identifieras för att uppnå ett specifikt mål. Rizzo och Kim (2005) har använt SWOT-analys i ett icke-företagsekonomiskt sammanhang. De gjorde en initial efterforskning om SWOT-analys och påvisade flera arbeten där SWOT-analys använts i andra sammanhang, bl.a., inom stadsplanering, webbdesign och utvärdering av forskningsinstitutioner. SWOT-analys har rekommenderats för sin enkelhet samt värdet i att den fokuserar på viktiga frågor som kan påverka utveckling och tillväxt (Pickton & Wright, 1998). Internal Strengths Monopolies Commission hostile to big brewers Strong and broad cult following Strong cash flow Financial backing of Stakis Group External Opportunities Increasing availability of licensed premises Guest beers Brewing of lager Further growth in London High growth potential in rest of the UK Weaknesses Dubious name may limit expansion opportunities Management complacency Erosion of Firkinism Threats Lack of direction under Stakis management Loss of entrepreneurial management Increasing competition Poor location of current pubs Saturated London market? Fig An example SWOT Analysis Ð Firkin Pubs and Brewery. (Source: Competitive Marketing Strategy for Europe, Brown and McDonald 1994, p. 284 with permission of Macmillan Press Ltd.) 17

18 3. Metod 3.1 Forskningsansats Forksningssfrågan har angripits explorativt och utifrån vad Oates (2006) definierar som en fallstudie; A case study focuses on one instance of the thing that is to be investigated: an organization, a department, an information system, a discussion forum, a systems developer,a development project, a decision, and so on. (Oates, 2006, s.135) En blockchain-lösning för ett svenskt patientjournalsystem kan utifrån denna beskrivning definieras som ett specifikt fall, eller skeende. Oates definierar en explorativ fallstudie som att definiera frågor och hypoteser för en studie och där mycket är okänt sedan tidigare. Utifrån vår synpunkt så kan detta exemplifieras med att det i allmänhet finns få fall där blockchain är implementerat och i synnerhet inom svensk publik sektor där det inte existerar över huvud taget. Den empiriska datan innehar kvalitativa egenskaper då källorna, relativt sett, är få till antalet men har djupt innehåll. 3.2 Metodval Dokumentanalys användes som metod eftersom mycket av informationen knuten till denna fallstudie är i form av dokument. Bowen (2009) definierar en dokumentanalys som systematic procedure for reviewing or evaluating documents both printed and electronic (s.27). Resultatet av en välgjord dokumentanalys ska generera mening, skapa förståelse och bidra med empiriskt underlag vilket analysen sedan ska baseras på. Detta passade vår undersökning eftersom vi ämnade att förstå blockchain-teknologin för att kunna undersöka dess genomförbarhet som stöd för ett svenskt patientjournalsystem. Likt en intervju eller enkät kan dokument ses som en källa för information. (Oates, 2006, s.233). Funna dokument syftar dokument som existerade innan den nuvarande forskningen började. Dokument med skrift och bild, som inte skapats av en forskare i forskningssyfte, t.ex. en transkriberad intervju. En typ av funna dokument kan vara akademisk litteratur som böcker, artiklar och rapporter (Ibid, s.234). I denna uppsats är det endast funna dokument som ligger till grund för information. Dokumentanalys kräver att mycket dokument granskas för att undersöka om det kan bidra med information till den undersökning som bedrivs. Trovärdighet läsaren har i den insamlade datan kommer direkt kunna knytas till personen som samlat in datan (Patton, 1999, s.1205). På grund av detta viktigt att vara grundlig och systematisk vid granskning av dokument, samt att samma genomgående förhållningssätt till samtliga dokument görs. Detta innebar att vi lade stor vikt att applicera ett strukturerat tillvägagångssätt för varje dokument (se 3.3.3). 18

19 För att avgöra om ett dokument är användbart för vår studie utförde vi till en början content analysis, innehållsanalys. Innehållsanalysen används för att snabbt kunna läsa igenom ett dokument för att undersöka dess relevans och hitta information som kan användas för att svara på de centrala forskningsfrågorna (Bowen, 2009, s.32). Vidare granskning av dokumentet görs med inspiration av en thematic analys, tematisk analys. En process för att koda kvalitativ information m.h.a teman. Ett tema kan beskrivas som ett mönster som återfinns i texterna - antingen något direkt skrivet eller något som kan läsas mellan raderna (Boyatzis, 1998, s.4). För att upptäcka denna underliggande mening läses dokumentet igenom en eller flera gånger för att hitta mönster och vidare koda in dokumentet i de områden och vinklar som beskrivs i fig. 6. Den mängd dokument som kommer att analyseras och användas i uppsatsen var sedan tidigare ej bestämd. Vid insamling har strävan varit att hitta ett dokument som kan knytas till varje cell i fig. 6. Genomförbarhetsstudie Teknisk genomförbarhet Legal genomförbarhet Styrkor Svagheter Styrkor Svagheter Möjligheter Hot Möjligheter Hot Organisatorisk genomförbarhet Styrkor Möjligheter Fig. 6 - Genomförbarhetsstudie kombinerat med SWOT-analys Svagheter Hot 3.3 Forskningsprocessen I denna punkt beskrivs hur vi använt kombinationen av genomförbarhetsstudie och SWOT-analys samt i större detalj hur sökandet, urvalet och kodningen såg ut i dokumentanalysen Genomförbarhetsstudie och SWOT-analys En genomförbarhetsstudie utgår vanligtvis från ett verkligt projekt under planeringsfasen. I vår undersökning appliceras genomförbarhetsstudien på en högre abstrakt nivå eftersom den behandlar ett potentiellt framtidsscenario snarare än ett faktiskt projekt. Därmed har, t.ex., den organisatoriska genomförbarheten inte innehållit en detaljerad intressentanalys utan främst behandlat högre nivåer såsom stat och myndighet. 19

20 SWOT-analys är en metod som främst används inom företagsekonomi, där man delar upp utifrån interna och externa faktorer för ett företag. Definitionen användes som bas för vår egen begreppsapparat vilket är enligt följande; Styrkor och svagheter; Interna faktorer som har direkt påverkan för genomförbarheten T.ex. ökad säkerhet för lagrad information med blockchain. Möjligheter och hot; Externa faktorer som har indirekt påverkan för genomförbarheten. T.ex. ett lagbeslut som hotar ett projekts framfart. För att besvara forskningsfrågorna konstruerades en tabell (se fig. 6) vilket består av aspekterna från genomförbarhetsstudien, kombinerat med perspektiven inom SWOT-analysen. Perspektiven inom SWOT-analysen ligger till grund för att analysera genomförbarheten inom varje aspekt, utifrån fråga och begrepp som står i sektion I dokumentanalysen ämnade vi att hitta data för att bidra med information till varje cell i denna tabell (se fig. 6) Sökord Dokument hämtadess online eftersom mycket av de rapporter och information vi söker hittades via internet. Den vetenskapliga sökmotorn Google Scholar användes för att hitta akademiska dokument inom den tekniska aspekten. Ett explorativt förhållningssätt användes då vi inte visste vilken information som behövdes och existerade utifrån den tekniska aspekten, vilket användningen av Google Scholar gynnade eftersom resultat från flera stora publiceringar som IEEE inkluderas i sökresultaten. Google användes för att hitta information inom den legala aspekten, eftersom vi sedan innan insåg att statliga lagar och bestämmelser, exempelvis patientdatalagen och GDPR, skulle vara relevanta källor. Slutligen användes Google också för den organisatoriska aspekten eftersom vi visste att ville undersöka den kontemporära situationen för blockchain i Sverige. För att hitta information till den tekniska aspekten i genomförbarhetsstudien och dess respektive perspektiv inom SWOT har en kombination av flertal set av söktermer applicerats. Sökorden har tagits fram utifrån vad som varit centralt inom vederbörande aspekt i genomförbarhetsstudien. Länkar och referenser inom sökresultaten av intresse följs rekursivt så länge ursprungsbetydelsen bibehålls. Set av sökord: A = { blockchain, distributed ledger } B = { healthcare, health record, sector } Kombinationen av ovanstående set har skett genom A x B. medical data, medical records, public För den organistoriska genomförbarheten har följande set av sökord applicerats för att undersöka den kontemporära situationen i Sverige. Sökorden har applicerats på både engelska och svenska. De existerande kombinationerna för C x D x E har använts. 20

21 Set av sökord: C = { blockchain, distributed ledger } D = { public sector } E = { sweden } Följande lagar, författningar eller liknande används i dokumentanalysen för den legala genomförbarheten: Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40) General Data Protection Regulation (GDPR) (2016/679) Patientdatalagen (PDL) (2008:355) Patientlagen (PL) (2014:821) Granskning och kodning Urvalsprocessen påbörjades genom att granska titeln för varje dokument som dök upp i resultatet av sökningarna. För att ett dokument bedömdes relevant att fortsätta läsa utifrån uppsatsens syfte, skulle titeln på dokumentet innehålla samtliga sökord som användes för sökningen. Detta för att försäkra att dokumentet direkt berör de sökord som valt. Om titeln för ett dokument inte uppfyllde detta krav undersöktes nästa dokument. Denna process gjordes för tio resultat av varje sökning. När ett dokument valts ut genomfördes en innehållsanalys. Detta gick ut på att läsa igenom dokumentet och skapa en uppfattning. För ett funnet dokument som akademisk litteratur börjar analysen med att läsa igenom sammanfattningen, abstract och sedan se över referenslistan. Sammanfattningen ger en bild av innehållet i dokumentet och vad författarna åstadkommit - vilket är till stor nytta för att bestämma om dokumentet kan innehålla något av relevans för uppsatsen. Ett relevant sökresultat i vår undersökning kan definieras enligt följande; Innehåll som är direkt kopplat till genomförbarhet och perspektiven inom SWOT, t.ex., en IT-artefakt som påvisar teknisk genomförbarhet. Vidare undersöktes referenslistan för att få en blick över vad dokumentet baseras på, om dess källor är pålitliga. Är det många eller få källor? Vilket format är källorna i: tidningsartiklar eller vetenskapliga rapporter? Om referenslistan inte väckte uppmärksamhet och sammanfattningen gav indikationer på värdefull information gick dokumentet vidare i urvalsprocessen. För andra dokument såsom styrdokument, lagar och förordningar lästes först en sammanfattning om tillgänglig, annars genomläsning av dokumentet för att avgöra om informationen var av betydelse. Förordningar, lagar och bestämmelser är utgivna på statlig nivå, vilket innebär att staten då rimligtvis bör vara den officiella källan för denna typ av information. 21

22 Om dokumentet passerat de tidigare stegen i urvalsprocessen lästes dokumentet igenom noggrant. Detta för att konkretisera om dokumentet var relevant utifrån om det gick att finna teman i texten. Ett tema kan ses som ett mönster som talar för att dokumentet kan knytas till en aspekt inom genomförbarhetsstudien och dess tillhörande perspektiv inom SWOT. T.ex., ett dokument som behandlar utmaningar samt möjligheter i och med användningen av en distributed ledger - vilket kan tematiseras in under teknisk genomförbarhet och cellen Svagheter. Dessa teman plockades sedan ut i det stycke de stod i, för att vidare kunna kodas in i dess tillhörande cell i fig. 6. Utifrån dessa fragment skrevs sedan det empiriska materialet. Målet har varit att hitta dokument som kan knytas till varje cell för respektive aspekt Dataresultat Tabellen nedan (se tabell 1) listar resultaten från insamlingen av data. Samtliga dokument förekommer i empiri, och listas kronologiskt utifrån den aspekt de använts inom. Kolumnen Nummer används i referens-syfte i tabell 2-4 (se avsnitt ) för att visa om källan varit del av analysen utöver endast empirin. Sökprocessen applicerades inte för att hitta information om den legala aspekten, på grund av detta markeras kolumnen Sökord med -. Referens Sökord Aspekt Nummer Yue, Wang, Jin,, Li, Jiang Krawiec, Housman, White, Filipova, Quarre, Barr, Nesbitt, Fedosova, Killmeyer, Israel, Tsai blockchain + healthcare Referens från källa utifrån sökorden distributed ledger + healthcare Teknisk [1] Teknisk [2] Dagher, Mohler, Milojkovic, Marella blockchain + health Teknisk [3] Ekblaw, Azaria, Halamka, Lippman Parliamentary Office of Science & Technology Deshpande, Stewart, Lepetit, Gunashekar blockchain + medical records Referens från källa utifrån sökorden distributed ledger + healthcare distributed ledger + healthcare Teknisk [4] Teknisk [5] Teknisk [6] Mainelli & Mills Referens från källa Teknisk [7] 22

23 Andreasyan ISO (2018 abc) utifrån sökorden distributed ledger + healthcare Referens från källa utifrån sökorden distributed ledger + healthcare Referens från källa utifrån sökorden distributed ledger + healthcare Teknisk [8] Teknisk [9] HSLF-FS (2016:40), Socialstyrelsen (2017) - Legal [10] GDPR (2016/679) - Legal [11] Glimberg Legal [12] Pagels Legal [13] Torvinen Legal [14] EU GDPR (2018 ab) - Legal [15] Datainspektionen (2018) - Legal [16] Patientdatalagen (2008:355) - Legal [17] Patientlagen (2014:821) - Legal [18] Kairos Future (2017a) Kairos Future (2016) Kairos Future (2017b) blockchain + public sector + sweden blockchain + public sector + sweden blockchain + public sector + sweden Organisatorisk [19] Organisatorisk [20] Organisatorisk [21] Regeringskansliet & SKL (2016) digitalization + healthcare + sweden Organisatorisk [22] Tabell 1. Tabell över resultaten från kodningen av dokument. 23

24 4. Empiri I detta avsnitt presenteras källorna från resultatet av dokumentanalysen. Empirin är indelad i tre avsnitt där källorna placerats utifrån den tematiska indelning som gjorts för varje aspekt. 4.1 Legala aspekter Inom den legala aspekten undersöks befintliga och kommande krav som ställs på lagring och behandling av personuppgifter i ett svenskt patientjournalsystem. Med personuppgifter åsyftas varje upplysning som avser en identifierad eller identifierbar fysisk person, där upplysningar kan vara faktorer som...är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. ( Artikel /679) Krav på ledningssystem och informationshantering I HSLF-FS (2016:40) berörs bland annat ledningssystem och informationssystem. Informationssystem enligt definitionen i 2 kap. 1 avser system som insamlar, bearbetar, lagrar eller distribuerar och presenterar information (2016:40). Ett ledningssystem är ett system för att fastställa principer för ledning av verksamheten ( 2 kap. 2016:40), där vårdgivare genom ett ledningssystem ska kunna säkerhetsställa tillgänglighet, riktighet, spårbarhet och konfidentialitet för de dokumenterade personuppgifter som finns inom informationssystemet (3 kap :40). Med tillgänglighet menas tillgång till personuppgifter inom ledningssystemet för att bidra till god och säker vård. Uppgifterna används som underlag i många fall som ofta är tidskritiska, vilket innebär att tillgänglighet behöver finnas dygnet runt. Inom tillgänglighet berörs även vem som har tillgång till information, d.v.s. behörighet. Vårdgivaren ansvarar för att rätt person har rätt behörighet, och att informationen ska finnas tillgänglig på ett överskådligt sätt för dem med rätt behörighet (Socialstyrelsen 2017, s.12). Bortsett från tillgänglighet för ett system i sin helhet finns även tillgänglighet för patienten i form av elektronisk patientjournal, e-journalen. I och med införandet av e-journalen har patienten tillgång till patientjournalen och kan ta del av uppgifter som står i denna (Glimberg, 2015). Vissa läkare menar dock att denna ökade tillgänglighet är problematisk eftersom det kan skapa oro hos patienterna. Till exempel kan provsvar läsas av en patient, innan en läkare har möjlighet att förklara vad resultaten betyder (Torvinen, 2018). Riktigheten, att personuppgifterna är korrekta och inte förvanskade, ansvarar vårdgivare för genom användning av ledningssystemet. Att dokumentationen är korrekt är liksom tillgängligheten ett viktigt steg för att möjliggöra god och säker vård. Genom reglerade krav på hur förstörelse, rättelse, styrning av behörighet och rutiner för signering av journalanteckningar ökar riktigheten (Socialstyrelsen, 2017, s.13). 24

25 Spårbarheten avser att genom ledningssystemet kunna härleda användarens handlingar denne gör i systemet (Socialstyrelsen, 2017, s.13). Konfidentialiteten i ledningssystemet innebär att obehöriga inte har tillgång till de personuppgifter som behandlas. Höga krav ställs på att bevara konfidentialiteten samtidigt som tillgången till de med behörighet bevaras (Socialstyrelsen, 2017, s.13). I 3 kap. 15 HSLF-FS finns de krav som ska uppfyllas vid behandling av personuppgifter över öppet nätverk. Öppet nätverk omfattar kommunikation över internet - exempelvis tillgång till e-journal. Ett av kraven är att överföring av information skyddas, vilket i praktiken involverar användandet av krypterade förbindelser eller krypterade uppgifter. Det andra kravet involverar att åtkomsten till personuppgifter via öppet nätverk ska ske via stark autentisering. Lösningar som upprätthåller detta krav på autentisering är att identiteten kontrolleras minst två gånger, exempelvis genom något man kan (exempelvis lösenord), något man har (exempelvis passerkort) eller något man är (exempelvis genom fingeravtryck). E-journalen kan nås med hjälp av e-legitimation, vilket involverar något man har, genom bankid, och något man är eller kan eftersom både fingeravtryck och PIN-kod kan användas (Ibid s.25-26). Vidare skydd av ledningssystemet krävs även på en fysisk nivå. 3 kap. 14 tar upp vårdgivarens ansvar att säkerhetsställa informationssystemet genom att fysiskt skydda mot skada, störning och obehörig åtkomst (2016:40). En störning innefattar allt som medför ett avbrott av systemet, vilket kan inträffa genom fysisk skada. Exempel på skador kan vara brand eller vattenläckage, men även skador orsakade av människor, som skadegörelse. För att förhindra detta bör informationsbehandlingsresurser placeras i säkra utrymmen som särskilt skyddar mot dessa fysiska hot, och skalskydd som tillträdeskontroll bör användas för att hålla undan obehöriga (Socialstyrelsen, 2017, s.24) Nya och befintliga rättigheter Den 25 maj 2018 introduceras en ny dataskyddsförordning, General Data Protection Regulation (GDPR) vilket blir gällande för samtliga medlemmar i EU (EU GDPR, 2018a). I denna dataskyddsförordning stiftas riktlinjer vilket innefattar hur skyddandet av personuppgifter bör se ut samt hur personuppgifter ska behandlas. GDPR ersätter det tidigare direktivet, Data Protection Directive 95/46/EC, vilket den svenska personuppgiftslagen (PUL) baserades på (EU GDPR 2018a; Datainspektionen, 2018). Behovet av ny bestämmelse var stor. Världen, sett ur ett informationsperspektiv, är annorlunda än tidigare, då mer data är i cirkulation, och mängden personuppgifter som lagras är större. GDPR syftar på att ge ökat skydd för individen och stärka dennes position mot dem som lagrar personuppgifter (EU GDPR, 2018b). Nya rättigheter och krav införs, vilket vidare beskrivs nedan. Rätt till dataportabilitet ( Right to Access), vilket innebär att en individ har rätt att veta från exempelvis en organisation vilken information från individen de lagrar, var informationen lagras och i vilket syfte. Individen har även rätt att få en gratis kopia på all information som finns lagrad om denne i ett system. Rätten till dataportabilitet ämnar att skapa större transparens där individen kan se vilken information som egentligen lagras (EU GDPR, 2018b; Artikel 20, 2016/679). 25

26 Rätten till radering ( Right to be Forgotten ) ger individen rätt att kräva information som finns lagrad om denna ska raderas utan onödigt dröjsmål. Informationen får inte spridas vidare och tredje parter som kan ha tillgång till informationen får inte längre använda bruka den (EU GDPR, 2018b; Artikel 17, 2016/679). I PDL har rätten att få sin patientjournal helt eller delvis förstörd funnits sedan tidigare. Med GDPR blir villkoren för denna rätt mer omfattande (8 kap :355). Villkoren kan vara att individen återkallar samtycke som denne lämnat i enlighet med artikel 6.1 a eller 9.2 a, eller att informationen inte längre är nödvändig för de ändamål de samlades in för (Artikel 17.1 ab, 2016/679) (Se Bilaga 1). Dock gäller inte dessa om det strider mot artikel 9.2 h - vilket berättar att om informationen är nödvändig för en patients sjukvård får den inte tas bort, där även skäl 46 säger: Behandling av personuppgifter bör även anses laglig när den är nödvändig för att skydda ett intresse som är av avgörande betydelse för den registrerades eller en annan fysisk persons liv (Skäl /679; Artikel 9.2 h, 17.3 c, 2016/679). Vidare gäller villkoren inte borttagningen av personuppgifter avsedd i punkt 9.1, om de används i ändamål med punkt 9.2 h - när uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt (Artikel /679) (Se Bilaga 1). Inbyggd integritet ( Privacy By Design ) är i grunden ett koncept inom design av system, där integriteten, eller privacy, inkluderas i designen redan från starten - istället för att det är något som läggs till i slutändan. Bland annat inkluderas data minimisation i konceptet vilket innebär att endast information som är absolut nödvändig får användas i ett system. Detta speglas i artikel 23 vilket listar de fall där lagring och processering av personlig information är absolut nödvändig, bland annat; den nationella säkerheten, försvaret, den allmänna säkerheten och folkhälsa (EU GDPR, 2018b; Artikel 23.1 abce 2016/679). Utöver rättigheter som presenteras tillsammans med GDPR finns det i svensk lag redan rättigheter sjukvården har mot individen. Patientlagen (2014:821) utfärdades 2014 med syfte att stärka patienten och belysa de skyldigheter som vårdgivare inom hälso- och sjukvården har gentemot individen (1 kap :821). Lagen behandlar samtycke, att patientens självbestämmande ska respekteras och att patienten måste uttrycka samtycke för att hälsooch sjukvård ska ges (4 kap. 1, :821) - om inte undantag, som medvetslöshet eller akut livsfara råder (4 kap :821). 26

27 4.2 Tekniska aspekter Förslag finns, i form av modeller och prototyper, hur blockchain kan användas vid hanteringen av patientjournalsystem. Mycket av litteraturen berör hur patienten ska ha makten att välja vem som får ta del av dennes patientjournal. I en forskningsartikel av Yue, Wang, Jin, Li & Jiang (2016) beskrivs hur patienten genom en applikation via smartphone, kan kontrollera vem som har tillgång till patientens information. Applikationen fungerar som en gateway då det endast genom patientens applikation går att se och lägga till information - i vilket patienten själv bestämmer vad som godkänns. Användningen av blockchain sker i form av ett lagringssystem, via en molnlösning, vilket ska bidra med skalbarhet och hög tillgänglighet. Tanken bakom lösningen är att patienten ska få större kontroll var dennes personliga patientdata hamnar. Patientdata avser information kring en patient som lagras i ett patientjournalsystem. En mer omfattande lösning gjordes av Deloitte (Krawiec, Housman, White, Filipova, Quarre, Barr, Nesbitt, Fedosova, Killmeyer, Israel, Tsai. 2016). I denna rapport illustreras hur det skulle kunna se ut genom att dela upp vad som lagras på blockchain genom begreppen on-chain och off-chain. Lagring off-chain är nödvändigt eftersom information som t.ex. röntgenbilder inte kan lagras i blockchain, men referenser till dessa bilder kan lagras. Tillgången till dessa justeras genom blockchain med liknande krypterade länkar - men huvudsaken är att den fysiska lagringsplatsen inte är direkt på kedjan. Information som lagras direkt på on-chain är all övrig information som personnummer, diagnoser, ingrepp och annan data som inte är abstrakt. Informationen läggs sedan upp på blockchain genom smart contracts (se ), där krav på informationen måste uppfyllas för att informationen får lagras. Till exempel att ett värde behöver vara numeriskt och alla fält ifyllda (Krawiec et al. 2016, s.6). Känslig information som kan identifiera en patient skyddas med publika och privata nycklar, vilket även används för patienten att ge tillåtelse till andra att se dennes patientjournal. För att agera på nätverket behövs tillåtelse (se ) vilket patienter och hälso- och sjukvårdspersonal har. Även sjukhus och forskningsinstitut eller liknande kan ges tillåtelse. På nätverket lagras information som inte är känslig och kan knytas till en patient öppet - detta för att underlätta insamling av information i forskningssyfte MedRec Av funna dokument relaterade till den tekniska aspekten upptäcktes två väl utarbetade förslag, MedRec ( Ekblaw, Azaria, Halamka, Lippman ) och Ancile (Dagher, Mohler, Milojkovic, Marella, 2018). Vi valde att undersöka ett av dem, MedRec. Ett team från MIT ( Ekblaw et al, 2016) har skapat en prototyp vid namn MedRec. Liknande Deloittes förslag ska patienter och sjukvård dra nytta genom att hög säkerhet och kontroll erbjuds till patienten, samtidigt som mycket av informationen är öppen att använda och läsa i forskningssyfte. För att vara delaktig i nätverket krävs tillåtelse, vilket ges till patienter och behörig personal inom hälsa- och sjukvård. Utöver dessa kan även forskningsinstitut ges 27

28 tillåtelse. I utbyte krävs att de arbetar som miners, d.v.s. bistår med datorkraft för att driva nätverket och upprätthålla kopior av blockchain. För att få tillåtelse behöver användarens identitet kännas till, vilket innebär att samtliga användare som verkar på nätverket är verifierade och pålitliga till en viss grad. Detta innebär en ökad trovärdighet, vilket i sin tur innebär att kraven på PoW (se ) kan minska. Istället för att verifiera nya block, genom tävling i datorkraft, röstar verifierade användare på block som de godkänner att vara del i blockchain:en ( Ekblaw et al, 2016). I MedRec s blockchain består ett block delvis av vem som äger datan, d.v.s. patienten - vilket har konstant tillgång till sin lagrade information. Blocket består även av vem som har rätten att visa datan. Hur detta bestäms sker genom smart contract, vilket är uppbyggt av av tre delar: Registrar Contract ( RC ), Patient-Provider Relationship Contract ( PPR ) och Summary Contract ( SC ) ( Ekblaw et al, 2016) (se fig. 7).. Fig. 7. Hur blockchain används i MedRec. (Källa: Ekblaw, Azaria, Halamka, Lippman s.5) I RC finns två adresser lagrade, en till SC och en till deltagarens konto. En deltagare kan antingen vara patienten eller en person inom sjukvården, här kallad provider. Kontot ligger lagrat off-chain och för att nå det behöver man veta dess adress - vilket i sin tur lagras on-chain. Denna adress leder till patientens personliga information, som personnummer och namn. Adressen är det som visas publikt i blockchain och skyddas med hjälp av asymmetrisk kryptering (se 1.6), vilket innebär att endast patienten kan bestämma om någon annan ska få se dennes personliga information. Om integriteten för en patient och adressen skulle äventyras går det att ändra adressen eller skapa en ny - någonting som endast auktoriserade institutioner kan göra. Exempel på auktoriserad institution inom MedRec är ett sjukhus. I fig. 7 visas även namn som Jane och John i RC. Detta är något som författarna av rapporten menar endast visuellt ska berätta att adressen går till en person med namn ( Ekblaw et al, 2016, s.5). 28