Totalt finns det runt 35 – 40 000 leverantörer inom vårdsektorn, detta utspritt på 21 regioner och 290 kommuner.
Att föreställa sig att en vårdgivare själv skall ha koll på andra eller tredje linjens leverantörer är en utopi som är svår att uppnå utan specialiserade tjänster som understödjer. Att däremot ha ingående förståelse för, och kontroll på, första linjens leverantörer, är något alla borde eftersträva.
Leverantörsgissel – några exempel
I FOI’s riskstudie ”Utländska investeringar och ägande i svensk hälso- och sjukvård” pekar man på att det finns kinesiskt ägande i en stor, svensk, privat vårdgivare. Detta är något som man rimligen kan förvänta sig att vårdgivaren i samverkan skall ha full insikt i och har gjort en riskbedömning kring.
Vårdsektorn är en samhällskritisk sektor och en ytterst kritisk del inom det svenska totalförsvaret där samtliga aktörer bär sin del av ansvaret, inte minst inom den militära förmågan. Hur bör man då tänka när det kommer till att nyttja leverantörer med ägandedel från utländska aktörer?
I fallet ovan är dessutom kinesiska staten delägare i det kinesiska bolaget. Vad skulle detta kunna ha för betydelse inför en konfliktsituation? Eller kanske bara i kartläggning av individ av intresse under fredstid.
Detta med hänvisning till att detta skulle kunna innebära spionage från den kinesiska staten.
Därtill ställs man inför problematiken att en underleverantör i sin tur kan nyttja produkter som inte alltid är lämpliga inom en sektor som är samhällskritisk.
Ett annat exempel på det här spåret är kinesiska Huawei som stoppades från deltagande i upphandlingen för uppbyggnad av den svenska 5G nätverksinfrastrukturen på inrådan från såväl Säkerhetspolisen som Försvarsmakten. Detta med hänvisning till att detta skulle kunna innebära spionage från den kinesiska staten.
Om vi ska exemplifiera ett potentiellt scenario inom vårdsektorn så nyttjar de flesta vårdaktörer centraliserade IT-lösningar som har upphandlats och driftas via en sourcingpartner.
Om en av dessa vill förskaffa sig en mindre konkurrensfördel i pris så kanske dom bygger sin infrastruktur på lite billigare komponenter än någon annan.
Detta i sig borde ju inte innebära någon större risk annat än att billigare komponenter går sönder oftare och såldes kan orsaka något fler driftavbrott, eller?
Om man ser till de sedvanliga tillverkarna inom exempelvis lagrings och serversystem som nyttjas av svenska sourcingleverantörer så är det största spelarna HPE, Dell, IBM, Cisco, Huawei, Fujitsu och till viss del Supermicro.
Dessa står för den absolut största delen nyttjad infrastruktur inom Sverige och således är en stor del i leveransen till bland annat vårdsektorn.
Ägandestrukturen för dessa?
HPE, Dell, IBM och Cisco är amerikanska bolag. Huawei är ett kinesiskt bolag. Fujitsu är ett japanskt bolag. Supermicro är ett taiwanesiskt bolag med huvudkontor i San Jose i Kalifornien, USA.
Detta innebär att vi har två enskilda regioner som levererar merparten av samtlig basinfrastruktur-hårdvara som nyttjas inom svenska sourcingleveranser – USA och Asien.
Om en sourcingpartner vill förskaffa sig en monetär fördel mot sina branschkollegor så börjar man oftast med en kostnadseffektiv infrastrukturlösning, och där är Huawei i särklass billigast med runt 50% lägre priser än deras amerikanska branschkollegor.
Om Huawei inte får leverera inom det svenska 5G-nätet finns det då någon rimlighet i att en vårdaktör ska få upphandla centrala tjänster från en tredje part som kommer nyttja samma företags produkter som bakomliggande infrastruktur i sin leverans mot sjukvårdssektorn?
Eller att den tredje parten nyttjar kommunikationstjänster från ett bolag som använder densamma tillverkarens utrustning i sin nätverksinfrastruktur?
Att kommunikationspartnern nyttjar manageringsverktyg eller tjänster från en odemokratisk nation i sin leverans?
Leverantörskontroll i upphandlingsskedet
Ofta ses en IT-relaterade upphandlingar som ett ”IT-problem” som IT-avdelningen får lösa där verksamheten bara accepterar det valet som görs. Detta är inte unikt för vårdsektorn utan är en relativt generell lägesbild bland företag i Sverige.
Självklart kan IT vara drivande i upphandlingen av ny IT-infrastruktur, men IT är specialister på just det, informationsteknologi. Kan man därför förlita sig på att IT kan upphandla den optimala lösningen för organisationen baserat på dess tekniskt djupa kunskap?
För att göra detta på ett bra sätt behöver vårdaktörerna få stöd och vägledning i sina upphandlingar av specialiserade individer och bolag som förstår varför man bör agera på ett specifikt sätt för just denna sektor.
Vård är en grundpelare för att vårt samhälle skall fortsätta fungera både i fredstid såväl som konflikttid och måste värderas och kravställas därefter.
Det är sällan vi rekommenderar det man kallar för ”multisourcing” då det ofta medför komplexitet i många led vad gäller såväl teknik och homogen cybersäkerhet, som managering av leverantörerna. Men i fallet vårdgivare är den initiala vägledningen att all form av kärninfrastruktur och system måste segregeras mellan minst två olika aktörer.
Det räcker inte med att en leverantör har flera olika datacenter så att man kan ha redundans på systemen via flera tekniska punkter, man behöver ha två eller fler separerade organisationer att förlita sig på under ett katastrofscenario.
Detta behöver inte nödvändigtvis vara två olika externa parter. Det skulle kunna innebära att vårdgivaren, i mån av kompetens, driftar en delmängd egna redundanta system (på egen plats och med egen personal) medan en större del system driftas av en extern partner, hos den partnern.
Nu finns det såklart olika grader på skalan inom sektorn som helhet. Är man en vårdaktör som tillhandahåller icke-akut vård utan samhällskritisk inverkan så finns det inte samma rimlighet i att behöva segregera drift av system som en livsuppehållande vårdaktör, men kraven på informationssäkerhet skall ändock vara desamma för dessa.
Således behöver båda dessa organisationer ta bakomliggande infrastruktur, tredjepartstjänster och mjukvara i beaktning. Låt leverantören ta hand om sådant som förbindelser, central kontors-IT-miljö, brandväggsfunktioner och datormanagering.
Det kan leda till bättre möjligheter för vårdaktören att kontrollera sina kostnader, men det kan i lika stor utsträckning vara möjligheten till en säker och kontinuerlig vård av patienterna som är i fokus. Med patientsäkerheten i fokus kan man enklare navigera i de krav och de variabler som påverkar en upphandling.
