Revolution inom hälsodata: Cybersäkerhet & EHDS
Välkommen till den tredje delen i vår bloggserie om den nya lagstiftningen EHDS och dess påverkan på hälsodata. I detta inlägg kommer vi att fördjupa oss i de viktiga aspekterna av cybersäkerhet kopplade till EHDS och hur de påverkar medlemsstaterna.
Läs vår del 1 och 2 av tidigare blogginlägg som beskriver vad EHDS är och när det träder ikraft.
European Health Data Space (EHDS), en ny reglering som syftar till att förbättra tillgången till och användningen av hälsodata för att främja bättre forskning, innovation och vård över hela EU är nu beslutad och kommer att vara verklighet år 2027. En central aspekt av EHDS är balansen mellan datadelning och skydd av personuppgifter. Den nya lagstiftningen bygger på att patientdata och personuppgifter kan delas säkert mellan medlemsstaterna samtidigt som integritetsskyddet förblir starkt. Detta möjliggörs primärt genom den redan väletablerade förordningen GDPR, som på många sätt ger ett starkt skydd för personuppgifter. I takt med att fler aktörer involveras och digitaliseringen inom vårdsektorn accelererar, behöver vi också stärka de skyddande åtgärderna för att säkerställa att data förblir skyddad och att personuppgifter hanteras på ett ansvarsfullt sätt. Men det är inte bara dataskydd som aktualiseras, även cybersäkerhetsaspekter har blivit särskilt viktigt med tanke på den växande hotbilden där cyberangrepp är del av hybrida hot mot samhällsviktiga sektorer.
Cybersäkerhet: En nödvändig ågärd
Under 2023 rapporterades rekordmånga allvarliga cyberattacker mot just hälso- och sjukvårdssektorn. I Sverige visar MSB:s årliga it-incidentrapport för 2024 att en stor andel, över 70% av rapporterna, kommer från hälso- och sjukvårdssektorn. Även EU har betonat att sjukvårdssektorn är en av de mest sårbara sektorerna för cyberattacker och i januari 2025 lanserade EU sin Action Plan for Cybersecurity in the Healthcare Sector som ett svar på de ökande cyberangreppen mot hälso- och sjukvården. EU:s nya handlingsplan för cybersäkerhet inom hälsosektorn fokuserar på att stärka skyddet mot cyberhot, särskilt ransomwareattacker, mot sjukhus och vårdgivare. Planen betonar vikten av samarbete på EU-nivå och ökad cybersäkerhet för att främja motståndskraft. Den är nära kopplad till NIS2-direktivet och kommer att stödja EHDS genom att säkerställa tryggt datautbyte inom EU:s digitala hälsosystem.
Handlingsplanens inriktning är att förebygga och på så vis förhindra att cybersäkerhetsincidenter inträffar. I det förebyggande arbetet är förbättrade beredskapsåtgärder såsom riskhantering och riskbedömning centrala. Vidare omfattar handlingsplanen åtgärder för att upptäcka cyberhot, i syfte att möjliggöra snabbare agerande. Till exempel kan bättre verktyg bidra till snabbare agerande. Handlingsplanen omfattar vidare åtgärder för att hantera och minimera påverkan av cybersäkerhetsincidenter, genom att till exempel säkerställa tillgängligheten till incidenthanteringstjänster. Den omfattar slutligen åtgärder vars syfte är att avskräcka cyberhotsaktörer från att attackera hälso- och sjukvårdssystemen i EU. Det är till exempel viktigt att hålla kriminella aktörer ansvariga. För mer information kan du läsa den fullständiga texten här.
Enligt kommissionens rapport från den 15 januari 2025, är cybersäkerhet en central fråga för den framtida utvecklingen av EHDS. Rapporten pekar på behovet av att alla aktörer inom hälso- och sjukvårdssektorn – från sjukhus och kliniker till företag som utvecklar medicintekniska produkter – måste implementera starka cybersäkerhetsåtgärder för att skydda känslig hälsodata.
Allt detta är förstås bra men det är också värt att notera att varken hot eller åtgärder är nya eller unika just för e-hälsosektorn. Den som har god följsamhet till etablerade standarder som ISO 27001 har kommit en bra bit på vägen. Med enkla medel som regelbundna säkerhetsuppdateringar och god behörighetskontroll går det att komma långt. Det som skiljer e-hälsa från mycket annan verksamhet är att tillgänglighetskravet ofta övertrumfar konfidentialitetskravet (om patienten är döende får GDPR inte högsta prioritet). Det ställer i sin tur höga krav på att de säkerhetslösningar som påförs inte försämrar användarvänligheten hos e-hälsosystemen i fråga.
De nya reglerna och förordningens cybersäkerhetskrav
EHDS-förordningen ställer också krav på medlemsländerna att stärka sina cybersäkerhetsåtgärder för att skydda hälsodata. Förordningen specificerar hur hälsodata ska hanteras säkert och definierar detaljerade krav för dataskydd och informationssäkerhet. Dessa åtgärder inkluderar bl.a. kryptering av data, striktare autentisering och bättre spårbarhet vid datadelning.
För att stödja dessa initiativ kommer EU att arbeta nära med medlemsländerna för att säkerställa att länderna implementerar effektiva cybersäkerhetslösningar. Dessutom kommer EU att finansiera olika projekt för att hjälpa till att implementera säkerhetsåtgärder inom hälso- och sjukvårdssektorn. Men kommer det att räcka? I en tid av ökande hybrida hot och lärdomar från Rysslands krig mot Ukraina så vet vi att det är just känslig civil infrastruktur så som sjukhus som löper stor risk för att drabbas av cyberattacker. Hur kan vi arbeta för att skapa en stark cybersäkerhet så vi inte riskerar cyberangrepp där journaler blir otillgängliga och operationer måste ställas in, medicinsk teknik störs ut med konsekvenser för liv och hälsa. EHDS måste gå hand i hand med cybersäkerheten och införandet av NIS2 genom den svenska cybersäkerhetslagen är en grundförutsättning i den svenska vården för att börja bygga en högre lägsta nivå för cybersäkerhet i hälso- och sjukvården. För en säker hantering bör vi också säkerställa en mycket god nivå av cybersäkerhet för att mitigera de ökande riskerna som uppstår i storskalig datadelning och där varje aktör är en viktig länk i kedjan för att skapa en robust helhet.
Ökade risker
Vi befinner oss mitt i EU:s satsning på det så kallade ”Digital Decade”, där omfattande datadelning inom unionen snart blir verklighet genom regelverk som Data Act, AI Act och EHDS. Med varje ny lagstiftning som syftar till att möjliggöra utbyte av stora datamängder ökar också cybersäkerhetsriskerna och därmed potentiella sårbarheter för det svenska totalförsvaret. Även om avsikten bakom dessa initiativ är god och syftar till att främja innovation och fördjupa samarbetet mellan medlemsstaterna så måste säkerhetsaspekterna hanteras med största allvar.
Exempelvis så har organisationen Finabel, The European Land Force Commanders Organisation, bland annat lyft i en rapport att det nya regelverket och den ökade datadelningen kan innebära risker och påverkan på försvar och säkerhet. Det är därför avgörande att inte låta nyttan med EHDS och liknande initiativ överskugga behovet av robusta säkerhetsåtgärder.
Sammanfattning
EHDS och de nya cybersäkerhetsåtgärderna innebär att EU är på väg att skapa en mer sammanlänkad och säker hälsodata-infrastruktur. Genom att stärka cybersäkerheten inom vårdsektorn kan vi förhindra cyberhot och säkerställa att känslig information förblir skyddad. Men det är också viktigt att alla aktörer inom hälso- och sjukvården fortsätter att investera i robusta säkerhetsåtgärder för att kunna hantera de ökande riskerna som följer med digitaliseringen. I takt med att EHDS fortsätter att utvecklas kommer cybersäkerhet att förbli en nyckelfaktor för att bygga en säkrare värld för oss som medborgare där vi kan få tillgång till rätt vårdinsats när vi behöver det och en värld där EU:s medlemmar kan lättare samverka för att möta nästa pandemi eller ett förändrat klimat.
Vill du diskutera vidare om EHDS och cybersäkerhet? Välkommen till vårt webbinarium den 5 juni. Och har du frågor eller vill prata om vad EHDS betyder för din verksamhet – varmt välkommen att höra av dig till oss:
