"Patientdata hamnar i ChatGPT medan vården saknar AI-policy"

Parallell IT-miljö växer fram

När personalen får kämpa med långsamma system, föråldrade verktyg eller inte har tydliga regler eller policys att gå efter, växer parallella IT-miljöer fram – så kallad skugg-IT.

Det kan handla om att personalen laddar ner appar som inte är godkända, eller till och med använder privata mobiler och laptops för att lösa sina arbetsuppgifter mer effektivt. För IT-avdelningen kan det skapa komplexa säkerhetsrisker som snabbt kan bli okontrollerbara.

I andra branscher uppskattas att upp till hälften av de verktyg som används ligger utanför IT-avdelningens radar. I vården skulle sådana siffror kunna få enorma konsekvenser.

När personalen använder appar vid sidan av officiella appar, program och system – utan IT-avdelningens vetskap – ökar risken för dataläckor, cyberhot, bristande efterlevnad av GDPR och att känslig information oavsiktligt sprids.

Skugg-AI

Utöver skugg-IT växer ett nytt problem fram: skugg-AI. Det handlar om AI-verktyg som används utan IT-avdelningens godkännande – ofta för att spara tid.

När personal matar in patientdata i öppna AI-tjänster som ChatGPT eller Copilot, hamnar information snabbt utanför verksamhetens kontroll och riskerar att skapa oreglerade AI-flöden som vårdens IT-system inte kan spåra.

Det ökar risken för dataläckor och att känsliga uppgifter delas med tredje part.

Ett exempel gäller en läkare inom primärvården som tidigare i år anmäldes till Ivo efter att arbetsplatsen misstänkt att läkaren använt Chat GPT vid sitt journalskrivande.

Problemet var inte att läkaren använde AI, utan att han matade in sekretessbelagd patientinformation i oreglerade och av arbetsgivaren icke godkända verktyg. Bedömningen var att både patientsäkerhet och patientsekretess hade äventyrats.  

Vägen framåt

Vi vet inte i vilken utsträckning AI redan används under radarn i vården, men det är rimligt att anta att den följer trenden i andra branscher. 

För att garantera patientsäkerheten behövs moderna, framtidssäkrade IT-system som klarar AI-integrering och ger IT-avdelningarna full överblick och kontroll över enheter, appar och program.

En hygienfaktor är att det syns vilka appar och program som är uppkopplade på verksamhetens nätverk och som hela tiden kan upptäcka obehöriga appar, program och trafik. 

Det är också viktigt att säkerställa att alla mobila enheter följer verksamhetens säkerhetspolicys, och att uppdateringar eller patchar snabbt kan rullas ut för att täppa till eventuella sårbarheter. Först då har man möjlighet att ligga steget före skugg-IT, istället för att jaga efter den.

Regler stärker säkerheten

Samtidigt behövs tydliga riktlinjer och policys som gör det klart hur AI får användas – och vilka juridiska och etiska ramar som gäller.

Tydliga regler skapar trygghet i användningen, minskar juridisk osäkerhet och ger personalen kunskap om vad AI kan – och inte kan, eller får – göra.

Riktlinjerna måste vara tydliga och begripliga, uppdateras kontinuerligt och kommuniceras till medarbetare på alla nivåer – annars riskerar de att rundas eller ignoreras.

Först med rätt teknik, tydliga regler och utbildade medarbetare kan vården dra full nytta av AI – utan att kompromissa med eller bryta mot säkerhetsramverk och efterlevnad.

Stefan Spendrup
Nord- och västeuropachef, SOTI