Millennium-haveriet är inget vanligt misslyckat IT-projekt, det är ett säkerhetshaveri som hade kunnat förebyggas med säkerhetslagstiftning

Nov 22, 2024

Nedan några ytterligare kommentarer och reflektioner om Millennium, se också mitt förra inlägg här.

Många jämför Millennium-haveriet med andra större digitaliseringsmisslyckanden, men det mest allvarliga med Millennium är ju att det införs i en högriskbransch, att det riskerar människors liv och hälsa. Vården är en högriskbransch där säkerheten är mycket bristfälligt reglerad jämfört med andra högriskbranscher.

För järnvägen finns en EU-förordning (den så kallade CSM-RA) som reglerar införandet av ändringar inom järnvägen. Om en ändring (vilket också kan innebära något helt nytt) bedöms vara säkerhetsrelaterad och väsentlig, dvs en större och viktigare ändring, så krävs det oberoende granskning och godkännande, INNAN ändringen genomförs.

CSM-RA är så generellt skriven att den i princip skulle kunna användas rakt av för vården. Problemet är dock att det i vården saknas en infrastruktur för säkerhetsarbete, det måste byggas upp först. Jag har skrivit en utförlig artikel om hur CSM-RA skulle kunna tillämpas för vården, och hur det skulle kunnat förhindra sådant som Macchiariniskandalen och Millennium-haveriet. Det är i princip ett lagförslag. Jag skickade texten till Läkartidningen 2020, men de ansåg innehållet i artikeln var ointressant för vården… Jag lade istället ut den här på Substack: Förslag på process för riskbedömning och oberoende granskning av större förändringar inom hälso- och sjukvård, via tillämpning av järnvägens "CSM-RA"-förordning

Jag vill påstå att jag där pekar på lösningen på vad som bäst hade kunnat förhindra Millennium-haveriet.

Varför är vi så få som kräver bättre säkerhetssystem för vården efter sådana här skandaler? Varför klagas det mest på personerna som gjort fel och inte på systemfelen som tillåtit dem att göra fel? Syndabockstänkande leder inte till högre säkerhet, av flera skäl. Lägger man skulden på personer och inte på systemet som inte förhindrade felen, då kvarstår felen och andra människor kan göra samma fel senare. Att det också eventuellt kan krävas ansvarsutkrävande av juridiska skäl är en annan sak, men det viktiga för säkerheten är ju att åtgärda systemfelen.

Journalsystem klassas inte ens som medicinsk teknik (utom eventuellt ingående beslutsstöd) utan som administrativa system, därför att medicinteknik avser enskilda produkter som har en direkt klinisk effekt. Det handlar inte hur produkterna fungerar säkerhetsmässigt i ett sociotekniskt system, dvs vid interaktion med organisationen och människan. Även om medicintekniska produkter är framtagna utgående från systemsäkerhetsprinciper, så fattas ju systemsäkerhetstänkandet i vården som helhet, hur människor, teknik och organisation samverkar, och hur produkterna integreras i vården.

Om man ser på vården med en sådan helhetssyn, som ett ”system of systems” så är det ju självklart att journalsystemen är säkerhetsrelaterade på så många fler sätt än om det finns beslutsstöd eller inte, det rör även sådant som inte har en direkt klinisk effekt. Är systemet inte användarvänligt försämrar det arbetsmiljön och alla brister i arbetsmiljön är en viktig riskkälla. Och informationshantering är generellt sett ofta mer eller mindre säkerhetsrelaterad i vården. Och pengar som läggs på fel saker minskar också säkerheten indirekt.