Varningarna fanns – ändå rullade AI-verktyget ut i svensk vård med patientdata som kan nå amerikanska servrar

När effektivitetsdriften övertrumfar patientsäkerheten

Det finns ett mönster jag sett upprepas gång på gång i digitaliseringsresor: organisationer fattar snabba beslut om nya verktyg, drivna av helt legitima behov – effektivisering, tillgänglighet, bättre patientupplevelser – men utan att den nödvändiga granskningsprocessen hinner ikapp. Fallet med Tandem Health är ett läroboksexempel på just det.

Enligt Breakit, som baserar sin rapportering på ett avslöjande från Svenska Dagbladet, befinner sig AI-bolaget Tandem Health nu under hård granskning efter att ha tagit sig in i svensk sjukvård – trots att varningstecken funnits tillgängliga redan innan tjänsten togs i bruk. Det handlar inte om okända risker som dök upp i efterhand. Varningarna var där. Ändå rullade systemet ut.

Kärnan i problemet: OpenAI, CLOUD Act och GDPR i kollision

Tandem Healths tjänst bygger på OpenAI:s underliggande språkmodell. I praktiken innebär det att patientuppgifter som matas in i systemet kan hamna på servrar i USA. Och där börjar det rättsliga huvudbryeriet på allvar.

Amerikansk lagstiftning – framför allt den så kallade CLOUD Act – ger amerikanska myndigheter befogenhet att begära ut data som lagras av amerikanska techbolag, oavsett var i världen data fysiskt befinner sig. Det är en direkt kollision med europeisk dataskyddslagstiftning, där GDPR ställer synnerligen stränga krav på hantering av känsliga personuppgifter, inte minst medicinska sådana.

Detta är inte en ny insikt. Spänningen mellan CLOUD Act och GDPR har diskuterats i rättsliga och tekniska kretsar i flera år. Att en upphandlingsprocess inom svensk sjukvård inte har fångat upp denna grundläggande risk är djupt problematisk – och reser allvarliga frågor om vilken kompetens och vilka rutiner som faktiskt tillämpas när vårdgivare väljer digitala verktyg.

Inte unikt – men ändå oacceptabelt

Jag vill vara tydlig: Tandem Health är inte ett isolerat fall. Det speglar en strukturell utmaning för hela den svenska och europeiska sjukvårdssektorn. Trycket att modernisera är enormt och välgrundat – vården behöver digitala verktyg för att möta framtidens behov. Men det trycket får aldrig bli en förevändning för att hoppa över de nödvändiga riskbedömningarna.

Det som gör Tandem Health-fallet särskilt graverande är inte att riskerna var svåra att förutse – det var de inte. Det graverande är att varningarna, enligt uppgifter till Svenska Dagbladet, faktiskt fanns tillgängliga och ändå ignorerades. Det är en processbrist av allvarlig dignitet när det handlar om patientdata av medicinsk natur.

Vad borde ha hänt – och vad måste hända nu

En gedigen upphandlingsprocess för AI-verktyg inom vården bör som minimum ställa följande frågor:

• Var lagras data, och under vilken jurisdiktion?
• Kan utländsk lagstiftning ge tredje part åtkomst till patientuppgifter?
• Hur väl uppfyller leverantören kraven i GDPR och patientdatalagen?
• Finns oberoende granskning av säkerhetsarkitekturen?

Dessa är inte avancerade frågor. De är grundläggande. Och ändå verkar de ha saknats i kedjan som ledde fram till att Tandem Healths verktyg fick fotfäste i svensk sjukvård.

Framåt måste vi se skärpta krav på regelefterlevnad vid upphandling av AI-tjänster inom offentlig sektor, med särskilt fokus på verksamheter som hanterar känsliga personuppgifter. Sverige och EU har verktygen – Datainspektionen, GDPR, den kommande AI-förordningen – men de måste tillämpas med konsekvens och kompetens redan i inköpsprocessen, inte som en brandkårsutryckning i efterhand.