Stockholms universitet har av Regeringskansliet (Socialdepartementet) anmodats att inkomma med synpunkter på betänkandet från Utredningen om välfärdsteknik i äldreomsorgen Framtidens teknik i omsorgens tjänst (SOU 2020:14).  

Stockholms universitet tillstyrker i stort de förslag som lämnas i betänkandet. Välfärdstekniken har en stor potential att förbättra samhället men det finns också risker med denna tekniska utveckling, inte minst vad beträffar den personliga integriteten. Därför skulle universitetet i några delar önska vidare analyser, vilket diskuteras i det följande.

Centralt i betänkandet (avsnitt 3.5, ss. 69ff.) är den balansering av intressen som krävs när man har att göra med personer med nedsatt beslutsförmåga. Behovet av en jämlik vård ställs mot den inskränkning som en ökad användning av välfärdsteknik kan ha på den personliga integriteten. Stockholms universitet vill betona att det finns andra intressen som kan inskränkas med ökad användning av välfärdstekniken, som är kopplade till individens värdighet. Ett exempel är rätten till människans värdighet som regleras i artikel 1 i Europeiska unionens stadga om de grundläggande rättigheterna och som inte har exakt samma innebörd som den personliga integriteten. Ett alltför stort fokus på den personliga integriteten kan leda till att andra intressen eller rättigheter inte beaktas vid bedömningen av vad som är bäst för personer med nedsatt beslutsförmåga. Universitetet förespråkar därför en bredare analys avseende det fullständiga rättighetsskyddet för personer med nedsatt beslutsförmåga.
 
Ett kännetecken för den moderna tekniska utvecklingen är det tilltagande antalet sensorer runtomkring oss, som används för att mäta allt möjligt i de miljöer vi befinner oss i, även i förhållande till våra fysiologiska värden. Ett paraplybegrepp i det här sammanhanget är ”big data” (stora datamängder). Som framgår av betänkandet (avsnitt 8.8, s. 418) kan dessa stora mängder data ha ett stort ekonomiskt värde, och många kommersiella aktörer vill därför ha tillgång till dem. Den tekniska infrastrukturens arkitektur innebär svårigheter att begränsa vilka aktörer som har tillgång till vilka data. Detta är en risk som bör beaktas vid balanseringen av olika intressen. I detta sammanhang är det viktigt att problematisera att nuvarande lösningar för att reglera persondata kan ersättas av andra lösningar, t.ex. där marknaden reglerar tillgång till och möjligheten att behandla persondata. Det innebär att persondata har ett monetärt värde och skulle kunna säljas till den högsta budgivaren eller att en person helt enkelt kan sätta ett pris på sina data. Vem kommer då att tjäna pengar på en försäljning av data rörande personer med nedsatt beslutsförmåga?

Det har också betydelse att det inte bara är data om patienter som kommer att sparas och analyseras. Ju mer avancerad välfärdstekniken blir desto mer ökar möjligheten att spåra vem som har gjort vad inom vård och omsorg. Det kan handla om hur någon har agerat i en viss situation (dvs. hur de har interagerat med system men också vilka beslut de fattat). Detta är en naturlig konsekvens, inte minst då en verksamhet kräver att fler informationssäkerhetsåtgärder vidtas, t.ex. behörighetskontroller på individnivå. I betänkandet (avsnitt 8.9.2, s. 450)  betonas särskilt att sådana åtgärder i sin tur leder till ett ökat antal behörighetskontroller samt övervakning. Det innebär mer konkret en tilltagande övervakning av personalen inom vård och omsorg, en arbetsrättslig fråga som inte är obetydlig i sammanhanget. En juridisk fråga i anslutning till detta är var all systemdata ska sparas samt vem som har tillgång till dessa systemdata. Det blir ännu mer relevant i ett sammanhang där systemdata eller metadata kan användas som ”bevis” på att personalen har agerat rätt eller fel. Detta kan leda till att individer inte använder de olika systemen som de ska, på grund av rädsla för övervakning. Det är därför av särskild vikt att ha stringenta riktlinjer i förhållande till de parter som har tillgång till stora datamängder, historiska data samt för vilka ändamål de får användas. På temat ”big data” blickar betänkandet också framåt (avsnitt 8.16, s. 538) och i detta avseende är det viktigt att försöka förutspå i vilken grad ”big data” kommer att kunna utnyttjas för att få insyn i individers hälsotillstånd. De som har rätt att utnyttja de här datakällorna kommer att ha stor makt över individer vars uppgifter ingår i ”big data”.   
Betänkandet lyfter också fram ansvarsfrågor som aktualiseras vid införande av välfärdsteknik (avsnitt 8.4, ss. 339ff.). Det konstateras att det är oklart var ansvaret ligger för den teknik som ska införas. Vidare är det osäkert vad som menas med ”ansvar” i det här sammanhanget. Är det ansvar för implementeringen av välfärdstekniken, underhållet av välfärdstekniken eller ansvar för skyddet av välfärdstekniken eller allt detta?

Läget rörande informationssäkerheten framstår enligt betänkandet som bekymmersamt(avsnitt 8.8, ss. 416ff.). I ett samhälle där den fysiska och den digitala närvaron inte helt går att skilja från varandra är en hög nivå av informationssäkerhet helt central, liksom ansvarsfrågorna. Den tekniska infrastrukturen bakom det tilltagande användandet av välfärdsteknik är enligt utredningen komplex och omfattande, vilket delvis kan förklaras av att infrastrukturen ägs av både privata och offentliga aktörer. När många olika parter ansvarar för olika delar av infrastrukturen är det viktigt att alla parter generellt sett har en tillräckligt hög nivå på informationssäkerheten. Arbetet med informationssäkerhet måste vara systematiskt och genomsyra en organisations hela verksamhet. Metoden för att uppnå en hög nivå informationssäkerhet är med hjälp av ett ledningssystem for informationssäkerhet (LIS). Ett övergripande informationssäkerhetsarbete är bara så starkt som dess svagaste länk. Med så många olika aktörer som ansvarar för olika delar av den tekniska infrastrukturen är risken stor att det inte går att upprätthålla en tillräckligt hög grad av säkerhet. Komplexiteten i denna tekniska infrastruktur innebär också en risk för att det är lättare att undvika juridiskt ansvar i förhållande till informationssäkerhetsarbetet (avsnitt 4.7, s. 147). Detta ska ses i ljuset av att de personuppgifter som hanteras i äldreomsorg anses ha ett högt skyddsvärde (avsnitt 8.8, s. 420). Möjligheten att kunna tillhandahålla en adekvat nivå informationssäkerhet kommer att kräva en ökad samordning och styrning på central politisk nivå.

En annan aspekt som måste poängteras är faran med ”function creep” d.v.s. att en teknologi tas fram för ett syfte men sedan används för ett annat syfte som inte kunde förutses när teknologin togs fram. Det kan t.ex. handla om infrastrukturen kring trängselskatt som teoretiskt sett kan användas för att hitta människor som fuskar med arbetslöshetsbidrag (om man köra in till staden varje vardag på morgonen och hem på eftermiddagen är sannolikheten högre att man faktiskt har ett arbete).3 I en av betänkandet refererad undersökning ansåg personalgrupper att användningsområdet för kamerorna i vården kunde utvecklas ”hur mycket som helst” (avsnitt 4.2.5, s. 107). Här är det viktigt att tekniska begränsningar finns inbyggda i systemen som kan förebygga en teknisk utveckling utanför de förutbestämda gränser som lagen tillåter, vilket uttryckligen påbjuds i artikel 25 GDPR.

Betänkandet ger en övertygande bild om hur välfärdsteknologin kommer att utvecklas framöver (avsnitt 8.16, s. 538). Stockholms universitet vill framhålla att det i detta sammanhang också vore betydelsefullt att få en bild om hur juridiken förväntas utvecklas framöver i förhållande till denna teknikutveckling. Det kan till exempel antas att betydelsen av ”soft law” kommer att öka då traditionell juridik inte alltid kan utvecklas i takt med den tekniska utvecklingen. I och med att betänkandet hänvisar både till inbyggt dataskydd samt vikten av att jobba med standarder, ska nämnas att en ny ISO-standard för inbyggt dataskydd på området är under utarbetande (ISO PC/317).4 I det här sammanhanget kan också nämnas ett exempel från staten Nevada i USA. En ny lag har införts i förhållande till självkörande bilar, där lagen består av en överenskommelse mellan Google, bilens tillverkare, försäkringsbolagen och konsumentorganisationer. Det ger en indikation om att framtidens lagstiftning inom det aktuella området kanske inte kommer att ske helt i enlighet med den traditionella lagstiftningsprocessen, utan i enlighet med andra metoder.  Det tydliggör också behovet av att ställa krav på att rättighetsskyddet byggs in i tekniken, så långt det är möjligt. Juridiska testbäddar, även kallade ”regulatory sandboxes” kan vara en intressant metod att utveckla i det här avseendet.

Stockholms universitet vill särskilt betona de svårigheter som kommer att uppstå rörande frågor om juridiskt ansvar för vissa beslut inom hälsa och sjukvård i förhållande till de diagnoser som kan lämnas med stöd av artificiell intelligens (AI). Betänkandet beskriver en situation där det ökade användandet av egenvårdsprodukter kan leda till
”ansvarsförskjutningar” (avsnitt 8.16, s. 544). Det är inte omöjligt att man i framtiden genom bruk av AI kommer att kunna förutspå vissa sjukdomar som individer lider av utan att det finns stöd för denna diagnos inom traditionell medicinsk diagnosticering. Frågan blir då vem som bär juridiskt ansvar när hälso-och sjukvårdspersonalen och omsorgsgivaren inte finner den diagnos som utförts med stöd av AI sannolik och att patienten därför inte får adekvat vård, eller om en diagnos som utförts med stöd av AI och som följts av sjukvårdspersonalen eller omsorgsgivaren senare visar sig vara felaktig.7 Frågor rörande det juridiska ansvaret i förhållande till välfärdstekniken kräver ytterligare analys och överväganden.
 
Ett begrepp som förekommer i betänkandet är ”självbestämmande” (eller ”autonomi”) särskilt i förhållande till personer med nedsatt beslutsförmåga i äldreomsorgen (avsnitt 8.7.1, ss. 395ff.). Det är viktigt att belysa att det inte bara är patienters eller äldre människors självbestämmande som kommer att påverkas av kraftfulla teknologier såsom AI. Även personalen inom hälso- och sjukvård och omsorg kommer potentiellt att påverkas och deras autonomi att inskränkas genom en ökad användning av sådana teknologier. Man kan ifrågasätta i vilket utsträckning personalen inom vård och omsorg, liksom människor i allmänhet, är beredda eller vågar ta beslut som går emot de beslut som maskiner eller system med inslag av AI föreslår. Det finns ofta en tendens till övertro på teknologi, dvs. att tekniken alltid har rätt i den mån den har ett vetenskapligt eller databaserat underlag.
 
Betänkandet förslår (avsnitt 8.12.6, s. 518) att ett nationellt centrum för utveckling av äldreomsorgen inrättas och att regeringen skapar ett nytt strategiskt innovationsprogram i årets forskningsproposition som rör området ”hälsa, vård, omsorg och teknik”. Stockholms universitet vill framhålla att det i detta avseende är viktigt att även juridisk kompetens beaktas inom detta tvärvetenskapliga område.

Sammanfattningsvis ställer sig Stockholms universitet överlag positivt till de åtgärder som utredningen föreslår för att ge personer med nedsatt beslutsförmåga den vård och omsorg de behöver samtidigt som deras personliga integritet skyddas. Den avvägning mellan de olika intressen som står på spel i detta sammanhang som företagits av utredningen framstår som proportionerlig. Det framstår samtidigt som angeläget att djupare analysera de risker beträffande informationssäkerheten som en ökad användning av välfärdstekniker potentiellt innebär, inte bara för individens personliga integritet utan också då bristande informationssäkerhet kan leda till fysiska skador.  

Detta beslut är fattat av universitetsdirektör Eino Örnfeldt efter föredragning av Rikard Skårfors, Ledningssekretariatet.