Shadow IT – Skuggsystem : En förklarande fallstudie om när verksamheten tar makten över IT

Malmer, Johan, Seipel, Niklas

January 2017

Sådana system i en organisation som inte är sanktionerade kallas skuggsystem. I detta arbete har vi genomfört en fallstudie vid Försvarets materielverk FMV för att undersöka vad som orsakar att skuggsystem uppkommer. I studien har ett antal skuggsystem identifierats och möjliga orsaker har analyserats. Det är viktigt för en organisation att skaffa kunskap om skuggsystemens existens för att kunna hantera dem och därför är det viktigt med en förståelse för orsakerna bakom. / Systems in an organization that are not formally sanctioned are called shadow systems. In this paper we have conducted a case study at the Swedish Defence Material Administration FMV to better understand the drivers behind the creation of shadow systems. The study has identified a number of shadow systems and possible drivers have been analyzed. It is important for an organization to gain knowledge about the existence of shadow systems in order to manage them. Therefore it is important to have an understanding of the drivers behind shadow systems.

shadow systems

shadow IT

feral systems

not sanctioned systems

case management systems

skuggsystem

shadow systems

shadow IT

feral systems

icke sanktionerade system

ärendehanteringssystem

Feral Information Systems i Vårdverksamheter : En fallstudie om risker som kan uppstå när de inte uppfyller vårdverksamheters krav på IT-system / Feral Information Systems in Health Care : A case study on risks that can arise when they do not meet healthcare requirements for IT systems

Breid, Anders, Mehari, Lemlem

January 2017

Although healthcare information systems improve healthcare and efficiency they are often complex and provide a limited service. For these and other similar reasons, users often take it upon themselves to create their own solutions. These user created solutions are called feral information systems. It is not always that these feral information systems meet the standard requirements of healthcare information systems and as a result of this they have the potential to create risk that might put the patient, management and the organization at risk. This is an undergraduate thesis that aims to research the risks that can rise when feral information systems fail to meet the standard requirements of healthcare information systems. The report is an interpretive case study that focuses on three different feral information system within a regional healthcare organization. Ten standard requirements of healthcare information systems are described and written from three distinctive divisions – Technique oriented, information oriented and user oriented requirements. Information is gathered using a semi-structured interview with the developer of the three systems, a user of one of the systems and two managers from the maintenance department of the organization. The data gathered about the feral information system is then interpreted and analyzed using the ten requirements of IT system in healthcare from the perspective of the three different divisions. As a result of the research we have come to the conclusion that the failure to meet the user and information and technical oriented requirements have the potential to create certain risk in some aspects but not all. Feral information systems in health care services can pose a risk to patient safety and that there are probably several of these systems that violate the patient data act or personal data law. Failure to handle data integrity and follow the patient data law in feral information systems often results in lacking user traceability. In addition, there is an extra cost to maintain systems that are usually not analyzed by the operations. We see that feral information systems often uses self- defined healthcare terminology which obstructs the ability to integrate with other systems. The lack of documentation obstructs the use of the system without a special training. These trainings take time, resources and are often not free. Making the organization more and more dependent on the experienced users. Furthermore, the lack of documentation also obstructs the possibility of further developing the system.  However, the potential of feral information system to cause risk is often neglected and underestimated. This is because feral information systems often fulfill only a small and particular need within a certain division of the organization. / IT-system inom hälso- och sjukvård förbättrar vården och effektiviteten. De är dock ofta komplexa och ger en begränsad service. Av detta och andra liknande skäl skapar ofta användarna egenutvecklade IT-system. Dessa användarskapade IT-system kallas feral information systems. Det är inte alltid så att dessa feral information system uppfyller de krav som ställs på IT-system inom hälso- och sjukvård och som ett resultat av detta har de potential att skapa risker för patienten, förvaltningen och organisationen i helhet. Denna kandidatuppsats syftar till att undersöka de risker som kan uppstå när feral information systems inte uppfyller de krav som ställs på IT-system inom hälso- och sjukvård. Studien är en tolkande fallstudie som fokuserar på tre olika feral information systems inom en regional hälsovårdsorganisation. Vi har tagit fram tio kriterier som vi anser IT-system inom hälso- och sjukvård bör uppfylla. Dessa kriterier beskrivs och uttrycks från tre kategorier: teknikorienterade, informationsorienterade och användarorienterade krav. Vårt empiriska material samlas in med hjälp av semistrukturerade intervjuer med utvecklaren av de tre systemen, en användare av ett av systemen samt två chefer från organisationens förvaltningsorganisation. Insamlade data om dessa feral information systems tolkas och analyseras sedan med hjälp av de tio kriterierna vi tagit fram för IT-system inom hälso- och sjukvård och summeras i de tre kategorierna. Feral information systems i vårdverksamheter kan innebära risk för patientsäkerheten och att det troligen är flera av dessa system som bryter mot patientdatalagen eller personuppgiftslagen. Brister i att hantera dataintegritet och patientdatalagen leder till att feral information systems ofta saknar spårbarhet. Dessutom finns en kostnad för att underhålla systemen som oftast inte är analyserade av verksamheterna. Vi ser att feral information systems ofta följer sina egna definitioner av begrepp vilket försvårar integrationen med andra system. Avsaknaden av dokumentation leder till svårigheter i att använda systemen utan utbildning. Utbildningen tar tid, så denna resurs är oftast inte gratis. Detta gör att verksamheten blir beroende av de mer erfarna användarna. Avsaknaden av dokumentation skapar även svårigheter i övertagandet av existerande feral information systems samt vid behovet av vidareutveckling. Eftersom feral information systems oftast uppfyller små och nischade behov inom en verksamhet, försummas och underskattas systemets potential att skapa risk.

FIS

Feral Information Systems

Healthcare

Health Care Organisations

Workarounds

Shadow Systems

FIS

Feral Information Systems

Vilda Informationssystem

Vård och Omsorg

Vårdverksamhet

Workarounds

Shadow Systems

Information Systems