Versions Compared

Old Version 21

changes.mady.by.user Per Furberg

Saved on

compared with

New Version 22

changes.mady.by.user Per Furberg

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

  1. Lagen (2018:1212) om nationell läkemedelslista (”läkemedelslistelagen”) reglerar behandling av personuppgifter i den nationella läkemedelslistan som förs av E-hälsomyndigheten.

  2. Tillgången till uppgifter i läkemedelslistan är hårt särreglerad, och ett grundläggande krav är att endast den som är behörigfår ta del av uppgifter. Kravet på behörighetskontroll är därmed centralt för systemets rättsenlighet, både ur integritetssynpunkt och för att uppfylla de krav på informationssäkerhet som följer av EU:s dataskyddsförordning (GDPR) och hälso- och sjukvårdens sekretessbestämmelser.

  3. Av 8–12 §§ läkemedelslistelagen framgår att endast vissa aktörer får ha direktåtkomst till uppgifter i läkemedelslistan, och endast i den utsträckning det behövs för deras uppgifter.

    • 8 § anger att E-hälsomyndigheten ska göra uppgifter i läkemedelslistan tillgängliga för:

      1. den enskilde själv,

      2. den som förskriver läkemedel eller förskrivningsberättigade varor,

      3. den som expedierar läkemedel (apotekspersonal), och

      4. vissa andra aktörer som anges i lagen.

    • 9 § preciserar att tillgången ska vara begränsad till vad som är nödvändigt för respektive ändamål.

    • 10–11 §§ reglerar särskilda fall, t.ex. förskrivares tillgång till en patients uppgifter och den enskildes möjlighet att spärra uppgifter.

  4. Dessa bestämmelser förutsätter att en behörighetskontroll kan säkerställa två saker:

    1. Att användaren är identifierad (vem den är).

    2. Att användaren har rätt att ta del av uppgifterna i den aktuella rollen och för det aktuella ändamålet(behörighet).

  5. Enligt 17 § ska E-hälsomyndigheten se till att obehörig åtkomst förhindras. Av förarbetena (prop. 2017/18:223 s. 183 f.) framgår att detta innebär krav på ett tekniskt och organisatoriskt system för behörighetskontroll. Myndigheten ska säkerställa att endast personer med korrekt vårdrelation, roll och ändamål får åtkomst. Behörighetskontrollen ska bygga på en säker identitetshantering och tilldelning av roller och åtkomsträttigheter som motsvarar den enskildes funktion i vården, vilket innebär att E-hälsomyndigheten inte själv beslutar vem som är behörig i vårdorganisationen, men myndigheten ska kunna kontrollera och verifiera att åtkomsten grundas på giltig behörighetsinformation från den vårdgivare eller apoteksaktör som ansvarar för användaren.

  6. I 4 kap. 2 § föreskrivs att E-hälsomyndigheten ska föra loggar och vidta tekniska åtgärder för att säkerställa att åtkomst endast ges till behöriga. Förordningen preciserar att myndigheten ska kunna kontrollera vilken funktion eller yrkesrollsom ligger till grund för åtkomsten. Detta konkretiseras i myndighetens föreskrifter (HSLF-FS 2020:24) om tekniska krav, där det krävs att vårdgivaren överför behörighetsattribut till E-hälsomyndigheten i samband med åtkomstbegäran.

Behörighetskontrollen enligt lagen består alltså av följande komponenter:

MomentInnehållRättsligt stöd
IdentifieringSäker autentisering av individen som begär åtkomst, vanligen via SITHS eller motsvarande godkänd e-legitimation.17 § läkemedelslistelagen; 4 kap. 2 § förordningen
Rollbaserad behörighetKontroll av att individen har en yrkesroll (t.ex. läkare, farmaceut) som medför rätt att se uppgifterna.8–11 §§ läkemedelslistelagen
ÄndamålsprövningKontroll av att åtkomsten sker inom ramen för en vårdrelation eller i samband med expedition på apotek.9 § läkemedelslistelagen
SpärrkontrollKontroll av om patienten spärrat uppgifter och om åtkomsten ändå är tillåten (t.ex. vid nödsituation).11 § läkemedelslistelagen
Loggning och efterhandskontrollAll åtkomst ska loggas och kunna granskas i efterhand.4 kap. 2 § förordningen

Slutsatser

    1. Behörighetskontroll är ett uttryckligt lagkrav enligt läkemedelslistelagen.

    2. E-hälsomyndigheten ansvarar för att tekniskt och organisatoriskt säkerställa att åtkomst endast ges till behöriga.

    3. Vårdgivaren och apoteksaktören ansvarar för att ange korrekt behörighet för sina användare och att hålla denna information aktuell.

    4. En fungerande behörighetsinfrastruktur är därför en förutsättning för att lagen ska kunna tillämpas rättsenligt och effektivt.

Kontroller som krävs innan direktåtkomst ges (förhandskontroller)

KontrollmomentBeskrivningRättsligt stöd
1. Identifiering (autentisering)Den som begär åtkomst måste styrka sin identitet genom en e-legitimation som uppfyller E-hälsomyndighetens säkerhetskrav (t.ex. SITHS).17 § läkemedelslistelagen; 4 kap. 2 § förordningen
2. Behörighetsverifiering (roll och funktion)Systemet måste kunna verifiera att individen har en yrkesroll eller funktion (t.ex. läkare, farmaceut) som enligt 8–9 §§ har rätt att ta del av uppgifter.8–9 §§ läkemedelslistelagen; prop. 2017/18:223 s. 183 f.
3. Ändamålskontroll (åtkomstens syfte)Åtkomsten måste ske inom ramen för den aktuella vårdrelationen eller i samband med expedition på apotek.9 § läkemedelslistelagen
4. Spärrkontroll (patientens val)Innan åtkomst medges ska systemet kontrollera om patienten spärrat sina uppgifter och om något undantag (t.ex. nödsituation) gäller.11 § läkemedelslistelagen; prop. 2017/18:223 s. 178 f.
5. Teknisk åtkomstkontroll (systemnivå)E-hälsomyndigheten ska ha rutiner och systemstöd som i realtid kontrollerar behörighetsattribut innan uppgifter lämnas ut.17 § läkemedelslistelagen; 4 kap. 2 § förordningen

Dessa kontroller är villkor för att direktåtkomst över huvud taget ska medges. De ska alltså utföras automatiskt eller administrativt innan någon uppgift lämnas ut från den nationella läkemedelslistan.

5.2.2 Kontroller som ska göras löpande eller i efterhand (efterhandskontroller)

KontrollmomentBeskrivningRättsligt stöd
1. Loggning av all åtkomstVarje åtkomst ska registreras med uppgift om vem som tagit del av vad, när och för vilket ändamål.4 kap. 2 § förordningen; 8 kap. 1 § läkemedelslistelagen
2. Systematisk uppföljning av loggarE-hälsomyndigheten ska systematiskt och återkommande granska loggarna för att upptäcka obehörig åtkomst.8 kap. 1 § läkemedelslistelagen
3. Incident- och avvikelsehanteringVid misstanke om obehörig åtkomst ska E-hälsomyndigheten utreda händelsen och underrätta berörda parter.8 kap. 1 § läkemedelslistelagen; förordningen 4 kap. 2 §
4. Revision och tillsynE-hälsomyndigheten ska kunna uppvisa loggar och kontrollsystem för tillsynsmyndigheter (IMY m.fl.) och vid behov korrigera brister.8 kap. 1–2 §§ läkemedelslistelagen
5. Återkallelse av åtkomstOm en användares behörighet upphör eller missbrukas ska åtkomsten omedelbart återkallas.17 § läkemedelslistelagen; prop. 2017/18:223 s. 185

Exemplet där uppgifter behövs från en annan vårdgivares patientjournal

  1. Lagen (2008:355) om patientdatalagen (”patientdatalagen”) reglerar behandling av personuppgifter inom hälso- och sjukvården och syftar till att tillgodose både patientsäkerhet och integritet. Lagen bygger på att varje vårdgivare är personuppgiftsansvarig för den behandling av uppgifter som sker inom den egna verksamheten.
  2. Tillgången till uppgifter i patientjournaler är starkt reglerad. Ett grundläggande krav är att endast den som behöver uppgifterna för sitt arbete inom hälso- och sjukvården, eller för annat särskilt tillåtet ändamål, får ta del av dem. Kravet på behörighetskontroll är därför centralt för att säkerställa att åtkomst sker i enlighet med patientdatalagen, offentlighets- och sekretesslagen (2009:400) samt dataskyddsförordningen (GDPR).
  3. Av 6 kap. 5–7 §§ patientdatalagen framgår att vårdgivaren ska begränsa tillgången till personuppgifter så att endast den som behöver uppgifterna för sitt arbete får ha åtkomst. Behörighetsstyrningen ska ske individuellt och utifrån arbetsuppgifter, och vårdgivaren ska föra loggar som gör det möjligt att i efterhand kontrollera åtkomst. Enligt 3 kap. 2 och 9 §§ patientdataförordningen (2008:360) ska vårdgivaren ha tekniska och organisatoriska rutiner för behörighetsstyrning, loggning och uppföljning.
  4. Behörighetskontrollen enligt patientdatalagen ska säkerställa att:

    1. användaren är korrekt identifierad,

    2. användaren har behörighet grundad på roll och arbetsuppgift, och

    3. åtkomsten sker för ett tillåtet ändamål enligt 4 kap. 2 § patientdatalagen, såsom vårddokumentation, kvalitetssäkring eller forskning.

  5. Enligt förarbetena (prop. 2007/08:126 s. 149 ff.) ska vårdgivaren säkerställa att åtkomst ges endast till personal med faktisk vårdrelation till patienten eller till annan personal som behöver uppgifterna för definierade uppgifter inom vårdgivarens verksamhet. Systemen ska därför utformas så att behörigheter tilldelas utifrån arbetsuppgifter och uppdateras löpande.
  6. I 6 kap. 7 § anges att alla åtkomster ska loggas och att loggarna ska användas för intern kontroll och tillsyn.
  7. Behörighetskontrollen enligt lagen består alltså av följande komponenter:


MomentInnehållRättsligt stöd
IdentifieringSäker autentisering av individen som begär åtkomst, normalt genom SITHS eller annan e-legitimation med motsvarande säkerhetsnivå.6 kap. 5 § PDL; 3 kap. 2 § patientdataförordningen
Roll- och arbetsuppgiftsbaserad behörighetKontroll av att individen har en yrkesroll eller arbetsuppgift som kräver åtkomst till uppgifterna.6 kap. 5 § PDL; prop. 2007/08:126 s. 149 f.
ÄndamålskontrollÅtkomsten ska ske endast för tillåtet ändamål enligt 4 kap. 2 §, t.ex. vårddokumentation eller kvalitetssäkring.4 kap. 2 § PDL
Samtyckes- och spärrkontrollPatienten kan spärra uppgifter enligt 4 kap. 3 §. Systemet ska kontrollera om spärr finns och om undantag (t.ex. nödöppning) gäller.4 kap. 3 § PDL
Loggning och uppföljningAll åtkomst ska loggas och kunna granskas i efterhand.6 kap. 7 § PDL; 3 kap. 9 § patientdataförordningen

Slutsatser

  • Krav på behörighetskontroll följer uttryckligen av 6 kap. 5–7 §§ patientdatalagen.

  • Vårdgivaren ansvarar för att tekniskt och organisatoriskt säkerställa att endast behörig personal har åtkomst till patientuppgifter.

  • Behörigheten ska kopplas till individens roll, funktion och vårdrelation samt till lagens tillåtna ändamål.

  • En fungerande behörighetsinfrastruktur är nödvändig för att möjliggöra säker och rättsenlig åtkomst till patientuppgifter mellan olika vårdgivare.

Kontroller som krävs innan direktåtkomst ges (förhandskontroller)

KontrollmomentBeskrivningRättsligt stöd
1. Identifiering (autentisering)Den som begär åtkomst måste styrka sin identitet genom en e-legitimation som uppfyller vårdgivarens säkerhetskrav (t.ex. SITHS).6 kap. 5 § PDL; 3 kap. 2 § patientdataförordningen
2. Behörighetsverifiering (roll och arbetsuppgift)Systemet ska verifiera att individen har den roll eller funktion som krävs för åtkomst till den aktuella informationen.6 kap. 5 § PDL; prop. 2007/08:126 s. 149 f.
3. Ändamålskontroll (åtkomstens syfte)Åtkomsten ska ske för ett tillåtet ändamål enligt 4 kap. 2 § PDL.4 kap. 2 § PDL
4. Spärrkontroll (patientens val)Systemet ska kontrollera om patienten spärrat sina uppgifter och om undantag (t.ex. nödöppning) är tillämpligt.4 kap. 3 § PDL
5. Teknisk åtkomstkontroll (systemnivå)Vårdgivaren ska ha rutiner och systemstöd som kontrollerar behörighetsattribut innan åtkomst medges.3 kap. 2 § patientdataförordningen

Kontroller som ska göras löpande eller i efterhand (efterhandskontroller)

KontrollmomentBeskrivningRättsligt stöd
1. Loggning av all åtkomstVarje åtkomst ska registreras med uppgift om vem som tagit del av vad, när och för vilket ändamål.6 kap. 7 § PDL; 3 kap. 9 § patientdataförordningen
2. Systematisk uppföljning av loggarVårdgivaren ska regelbundet granska loggarna för att upptäcka obehörig åtkomst.6 kap. 7 § PDL
3. Incident- och avvikelsehanteringVid misstanke om obehörig åtkomst ska vårdgivaren utreda händelsen och underrätta berörda parter.6 kap. 7 § PDL; prop. 2007/08:126 s. 150
4. Revision och tillsynLoggar och kontrollsystem ska kunna uppvisas för tillsynsmyndigheter (IMY, IVO) och granskas vid behov.6 kap. 7 § PDL
5. Återkallelse av åtkomstOm en användares roll eller anställning förändras ska behörigheten omedelbart ändras eller återkallas.6 kap. 5 § PDL

Preliminär bedömning

Allmänt

  1. I både lagen om nationell läkemedelslista och patientdatalagen är behörighetskontroller hårt särreglerade där föreskrivna krav på behörighetskontroll utgör en komponent i den rättsliga regleringen av elektronisk informationshantering inom hälso- och sjukvården. Trots att de två regelverken har olika systematik och ansvarsfördelning – där E-hälsomyndigheten är personuppgiftsansvarig för läkemedelslistan medan varje vårdgivare är ansvarig för sin egen journalföring – bygger båda på samma rättsliga logik: tillgång till uppgifter förutsätter säker identifiering, korrekt prövad behörighet och ett lagligt ändamål.
  2. I båda fallen består behörighetskontrollen av ett antal steg:

    1. Identifiering (autentisering) – den som begär åtkomst ska styrka sin identitet med en e-legitimation som uppfyller fastställda säkerhetskrav, vanligen SITHS.

    2. Behörighetsverifiering – det ska finnas uppgift om användarens roll eller funktion (t.ex. läkare, farmaceut, sjuksköterska) som grund för åtkomst.

    3. Ändamålsprövning – åtkomst får endast ske inom ramen för de ändamål som uttryckligen anges i respektive lag (vårddokumentation, förskrivning, expedition m.m.).

    4. Spärr- och samtyckeshantering – innan uppgifter lämnas ut ska systemet kontrollera eventuella spärrar som beslutats av patienten samt de undantag som gäller vid nödsituationer.

    5. Loggning och uppföljning – varje åtkomst ska registreras och regelbundet granskas för att upptäcka obehörig åtkomst eller missbruk.

  3. Skillnaden mellan regelverken ligger främst i ansvarsfördelningen och kontrollnivån.

  • I NLL är det E-hälsomyndigheten som tillhandahåller systemet och därför måste kunna verifiera användarens behörighet i realtid, men med stöd av uppgifter som tillhandahålls av den vårdgivare eller apoteksaktör som ansvarar för användaren.

  • I PDL är det däremot varje vårdgivare som själv ansvarar för behörighetsstyrning, loggning och kontroll inom sin organisation, och som ska kunna visa att åtkomst endast medges när det är nödvändigt för vården.

    1. Vid direktåtkomst gäller i båda lagarna att kontrollerna ska vara genomförda innan någon uppgift lämnas ut. Vid utlämnande på medium för automatiserad behandling räcker det däremot att den utlämnande organisationen identifierar mottagande organisation, eftersom det personuppgiftsrättsliga ansvaret då övergår till mottagaren.

Förhållandet till andra typer av behörighetskontroll

  1. Digg har uppfattat sitt uppdrag så att en nationell – och därmed generellt användbar – infrastruktur för kontroll av juridisk behörighet ska tas fram och att den ska baseras på modern teknik, inte direktåtkomst. 
  2. Regeringen har emellertid knutit leveransen till ett område där behörighetskontroller är hårt särreglerade och där det som innefattas i en behörighetskontroll går långt utanför den ovan beskrivna inledande formella kontrollen innan ett ärende börjar handläggas i sak.
  3. Om vårt arbete inte knyts till en annan pilot där den sedvanliga tolkningen av begreppet behörighetskontroll gäller kommer leveransen från Digg bara fungera inom de områden där det är fråga om hälso- och sjukvård.
  4. Vi behöver analysera detta närmare samtidigt som det står klart att de ovan beskrivna exemplen i avsnitten 3.1 och 3.2 behöver justeras.
  5. För att få fram detta så här snabbt har AI haft en betydande roll. Det måste därför kontrolleras att inget i texten ovan är hallucinerat.
  6. Rent praktiskt bör den infrastruktur vi tar fram kunna stödja även här beskriver hantering, men det behöver diskuteras och övervägas närmare.