Säkerhetskrav på extern part för enskild individs direktåtkomst till E-hälsomyndighetens register


Denna sida beskriver E‑hälsomyndighetens säkerhetskrav på aktörer som ansluter sig till E‑hälsomyndighetens tjänster och förmedlar privatpersoners direktåtkomst till egna uppgifter hos E‑hälsomyndigheten. 





 Definitioner

I detta dokument används följande beteckningar med nedan angiven betydelse

Beteckning

Betydelse

Aktör

En extern part som E‑hälsomyndigheten använder som kanal för att ge enskilda individer direktåtkomst till sina egna uppgifter i E‑hälsomyndighetens register.

Direktåtkomst

Direktåtkomst till data i E‑hälsomyndighetens register via tjänstegränssnitt. I detta dokument avses enbart enskilda individers direktåtkomst till egna uppgifter i dessa register.

Klient

Det system som slutanvändaren använder och interagerar med, till exempel en webbläsare eller mobil app.

Personuppgifter

All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.

Slutanvändare

Den enskilde individ som ansluter till aktören för att få direktåtkomst till egna uppgifter hos E‑hälsomyndigheten.

Allmän information 

E‑hälsomyndigheten anpassar sin säkerhetsarkitektur och därmed åtkomst till erbjudna tjänster baserat på löpande riskbedömningar.

Generella säkerhetskrav

Krav S1

Den aktör som fungerar som E‑hälsomyndighetens kanal för individens direktåtkomst till hans/hennes personuppgifter hos E‑hälsomyndigheten ska förutom kraven i detta dokument även leva upp till de generella säkerhetskraven som beskrivs i Övergripande krav kring it- och informationssäkerhet.

KRAV

Krav S2

Den aktör som förmedlar individers direktåtkomst till dennes personuppgifter hos E‑hälsomyndigheten agerar därvid som personuppgiftsbiträde till E‑hälsomyndigheten. Det innebär bland annat att aktören enligt Artikel 28 i Dataskyddsförordningen bara får behandla personuppgifterna i enlighet med instruktionerna från E‑hälsomyndigheten.

KRAV

Krav S3

Den aktör som fungerar som E‑hälsomyndighetens kanal för individens direktåtkomst till hans/hennes personuppgifter hos E‑hälsomyndigheten får endast göra detta förutsatt att alla säkerhetskrav som beskrivs i detta dokument uppfylls.

KRAV

Krav S4

Aktörens system ska hålla god säkerhet, vara utvecklade och verifierade för att åtminstone hantera hot som är relevanta för applikationen, exempelvis OWASP Top 10 för webbapplikationer och OWASP Top 10 Mobile Risks för mobila applikationer.

Motiv/kommentar: En tillräcklig nivå av säkerhet i applikationerna är nödvändig för att applikationerna inte ska kunna missbrukas för obehörig åtkomst av information hos E‑hälsomyndigheten.

KRAV

Specifika säkerhetskrav för privatpersoners direktåtkomst

Krav på autentisering och sessionshantering

Krav S5

Slutanvändares identitet måste fastställas genom stark autentisering.

Motiv/kommentar: Personuppgifterna som behandlas av E‑hälsomyndigheten är i huvudsak känsliga personuppgifter enligt Artikel 9 i Dataskyddsförordningen och E‑hälsomyndigheten gör bedömningen att tjänsterna som exponeras idag därför ska kräva tillitsnivå 3 (e-legitimations­nämndens tillitsramverk) för identitetsuppgifterna.

KRAV

Krav S6

Slutanvändarens identitet får inte lagras för automatisk inloggning, vare sig det rör sig om en webbapplikation eller mobil app. Det ska alltid krävas fullständig autentisering som uppfyller krav S5 för åtkomst till slutanvändarens uppgifter hos E‑hälsomyndigheten.

Motiv/kommentar: Det måste finnas åtgärder som säkerställer att enbart innehav av den mobila enheten i praktiken inte blir det enda som behövs för att kunna ta del uppgifterna.

KRAV

Krav S7

Slutanvändarens autentiserade session ska upphöra att gälla efter maximalt 20 minuters inaktivitet i systemet, varefter en fullständig autentisering måste göras för förnyad åtkomst. För mobila enheter ska denna tid vara begränsad till enbart 10 minuters inaktivitet.

Motiv/kommentar: Risken att en obehörig person kommer över och kan utnyttja en autentiserad session måste minimeras, därför är det oacceptabelt att en autentisering gäller en längre tid efter att slutanvändaren aktivt använder tjänsten. Detta är speciellt viktigt för mobila enheter som löper en högre risk att hamna i fel händer.

KRAV

Krav S8

Aktörens system ska uppmana slutanvändaren att alltid logga ut efter färdigt bruk av systemet, och efter utförd utloggning ska systemet uppmana användaren att stänga alla webbläsarfönster om det rör sig om en webbapplikation.

Motiv/kommentar: För att minimera risken med obehörig åtkomst till känsliga personuppgifter bör en inloggad session avslutas så fort den inte länge är nödvändig. Dessutom bör webbläsaren stängas för att minimera risken att temporärt sparade personuppgifter eller autentiseringsdata görs tillgängliga för obehöriga som använder samma enhet.

KRAV

Krav S9

Vid utloggning ska den autentiserade sessionen tas bort eller göras ogiltig även på serversidan hos aktören och inte enbart i slutanvändarens klient.

Motiv/kommentar: Om en utloggning enbart resulterar i att till exempel en autentiseringscookie på klienten tas bort skulle det fortfarande vara möjligt för en obehörig som kommit över autentiseringscookien att fortsätta utnyttja sessionen även efter att den legitima slutanvändaren loggat ut.

KRAV

Krav S10

Den sessionshantering som används för att identifiera en autentiserad användare ska åtminstone implementera skydd mot följande typer av angrepp för obehörig åtkomst till ett giltigt sessions-id/token:

  • Gissning av giltigt sessions-id/token
  • Obehörig åtkomst av sessions-id/token under transport på nätverk
  • Obehörig åtkomst av sessions-id/token i klienten

Motiv/kommentar: Sessionshanteringen ansvarar ofta för att identifiera användaren vid upprepade anrop till aktörens system för att slutanvändaren inte ska behöva göra en ny inloggning vid varje anrop. Därför är det viktigt att detta görs på ett säkert sätt och inte riskerar att bli en svag länk i säkerställandet av slutanvändarens identitet. Det är alltså av största vikt att förhindra att någon obehörig kan gissa sig till ett giltigt token eller fånga upp det under transport eller i klienten. Dessa krav kan till exempel realiseras genom att använda en säker slumpmässig generering och längd på sessions-id så att det är osannolikt att någon obehörig kan gissa sig till ett giltigt värde, att enbart skicka en sessions-cookie över SSL/TLS och kräva detta av klienten genom att sätta flaggan "secure" och att förbjuda åtkomst till sessions-cookien i klienten via script genom att sätta flaggan "httpOnly".

KRAV

Krav på identitetshantering

Krav S11

Vid anrop mot E‑hälsomyndighetens register för en privatpersons räkning måste slutanvändarens personnummer användas som sökbegrepp för hämtning av information.

Motiv/kommentar: För att säkerställa att individers direktåtkomst till sina uppgifter hos E‑hälsomyndigheten enbart innebär utlämnade av uppgifter om den autentiserade personen, och därmed är förenligt med 5 kap 6 § i lagen (2018:1212) om nationell läkemedelslista, får det inte finnas någon risk för en sammanblandning med andra personers uppgifter. Därför måste en entydig identifierare som personnummer användas istället för namnsökningar.

KRAV

Krav S12

Vid anrop mot E‑hälsomyndighetens register för en privatpersons räkning, som görs via en aktörs identitet istället för slutanvändarens identitet, måste aktören säkerställa att rätt identitet förmedlas till E‑hälsomyndigheten så att det inte föreligger någon risk att slutanvändaren får information som tillhör någon annan person. E‑hälsomyndigheten har rätt att begära nödvändig information om hur detta säkerställs hos aktören för att kunna verifiera lösningens lämplighet.

Motiv/kommentar: Se motiv till S10 samt Artikel 87 i dataskyddsförordningen jämför 3 kap 10 § lag (2018:218) med kompletterande bestämmelser till dataskyddsförordningen.

KRAV

 Krav på behörighetshantering

Krav S13

Vid anrop mot E‑hälsomyndighetens register för en privatpersons räkning, som görs via en aktörs identitet istället för slutanvändarens identitet, måste aktören säkerställa att enbart anrop görs som privatpersoner är behöriga till i E‑hälsomyndighetens tjänster enligt Tjänster och behöriga roller.

Motiv/kommentar: Det får inte föreligga någon risk att privatpersoner kommer åt mer information än vad som tillåts av 5 kap 6 § i lagen (2018:1212) om nationell läkemedelslista.

KRAV

Krav på sekretess

Krav S14

Information som förmedlas från E‑hälsomyndighetens register till slutanvändaren får inte överföras över en okrypterad förbindelse, all information ska förmedlas i en krypterad kommunikationskanal. För asymmetriska nycklar rekommenderas en nyckellängd på minst 2048 bitar och för symmetrisk kryptering gäller en nyckellängd på minst 128 bitar.

Motiv/kommentar: Känsliga personuppgifter får aldrig förmedlas i klartext över ett öppet nätverk, lämpliga åtgärder måste vidtas för att skydda dessa mot obehörig insyn, se Artikel 87 i dataskyddsförordningen jmfr 3 kap 10 § lag (2018:218) med kompletterande bestämmelser till dataskyddsförordningen.

KRAV

Krav S15

Information som förmedlas från E‑hälsomyndighetens register till slutanvändaren får inte lagras i något beständigt minne i dennes enhet utan endast hållas i volatilt minne så länge det används.

Motiv/kommentar: Det får inte finnas någon risk att känsliga personuppgifter blir tillgängliga för någon obehörig person som kommer över slutanvändarens enhet vari uppgifterna behandlats. Detta medför till exempel att en webbserver bör ge direktiv som förbjuder cachning i klienten samt att mobila appar inte får spara någon information lokalt.

KRAV

Krav S16

Information som förmedlas från E‑hälsomyndighetens register till slutanvändaren får inte förmedlas i klartext inom aktörens nätverk eller lagras okrypterat på något beständigt minne hos aktören.

Motiv/kommentar: Det får inte finnas någon risk att känsliga personuppgifter blir tillgängliga för någon obehörig person hos aktören, vare sig det gäller under transport på dess nätverk eller lagring på beständigt media (exempelvis i loggar, cache-servrar eller liknande).

KRAV

 Krav på spårbarhet

Krav S17

Vid anrop mot E‑hälsomyndighetens register för en privatpersons räkning, som görs via en aktörs identitet istället för slutanvändarens identitet, måste aktören logga information om aktiviteten ur spårbarhetssynpunkt på ett sådant sätt att det är möjligt att avgöra om åtkomsten varit obehörig eller ej. Det måste framgå vem den autentiserade slutanvändaren är samt vilken identitet som anropet till E‑hälsomyndighetens system gällde, samt i vilket sammanhang det gjordes. Känsliga personuppgifter får dock inte lagras i dessa loggar.

Motiv/kommentar: E‑hälsomyndigheten har enligt 8 Kap 1 § och 2 § i lagen (2018:1212) om nationell läkemedelslista skyldighet att logga och kontrollera om någon obehörigen kommer åt uppgifter som omfattas av denna lag.

KRAV

Versionshistorik

VersionDatumKommentar
1.02021-11-27Ny handbok vård- och apotekstjänster