Krav på tjänsteleverantör vid förmedling av Veterinärer eller Förskrivare utan vårdgivare

Autentisering med granskad och godkänd e-legitimation

Den anslutande aktören använder en av DIGG granskad och godkänd svensk e-legitimation enligt minst tillitsnivå 3 för att autentisera användare som loggar in på deras system. Följande information ska loggas vid varje inloggning:

  • Personnummer (eller annan identifierande information från e-legitimationen).
  • Tidpunkt för inloggning.
  • Status för autentisering (godkänd/avvisad).
  • Transaktions-ID eller likvärdig identifierare som kan spåras tillbaka till autentiseringshändelsen.

Godkända e-legitimationer: Granskade och godkända e-legitimationer | Digg 

Unik session och identifierare

Efter en lyckad autentisering med e-legitimationen ska den anslutande aktören koppla en unik sessionsidentifierare till användaren, som används vid alla anrop till E-hälsomyndighetens system. Denna sessionsidentifierare ska:

  • Vara unik för varje inloggad användarsession.
  • Bifogas som en del av alla förfrågningar till E-hälsomyndighetens system.

För den unika identifieraren måste tillräckliga tekniska kontroller införas för att säkerställa att den inte förvanskas.

Loggning av användaraktiviteter

Den anslutande aktören ska logga samtliga aktiviteter som utförs av användaren efter inloggning med e-legitimationen, inklusive förfrågningar till E-hälsomyndighetens system. Loggarna ska innehålla:

  • Den unika identifieraren för användaren (t.ex. personnummer eller pseudonymiserad identifierare).
  • Tidpunkt för varje aktivitet.
  • Typ av aktivitet.
  • Status på anropet (godkänt, nekad eller fel).
  • Transaktions-ID autentiseringen för att binda den inloggade användaren till en transaktion.
  • Rekommendation att spara loggarna minst 5 år.

Metadata för spårbarhet vid förfrågningar

Alla förfrågningar från den anslutande aktören till E-hälsomyndighetens system ska minimum innehålla följande metadata:

  • Den unika identifieraren från e-legitimations-autentiseringen eller en pseudonymiserad version av den.
  • Sessions-ID kopplat till den aktuella användarsessionen.
  • Information om vilken tjänst eller funktionalitet som används.

Revisionsmöjlighet och logginsamling

Den anslutande aktören ska, utan dröjsmål, vid förfrågan bistå E-hälsomyndigheten med följande:

  • Utdrag av loggar relaterade till användares autentisering och aktiviteter i samband med förfrågningar till E-hälsomyndighetens system.
  • Utdrag av loggar för granskning av den anslutande aktörens logghantering för att verifiera att autentisering och spårbarhet sker enligt överenskomna krav.

Incidentrapportering

Vid incidenter som påverkar autentisering eller spårbarhet av förfrågningar till E-hälsomyndighetens system ska den anslutande aktören:

  • Omedelbart underrätta E-hälsomyndighetens om incidentens art och omfattning.
  • Tillhandahålla en detaljerad rapport om sådan efterfrågas.