...

Preliminär bedömning

Allmänt

1. I både lagen om nationell läkemedelslista och patientdatalagen är behörighetskontroller hårt särreglerade där föreskrivna krav på behörighetskontroll utgör en komponent i den rättsliga regleringen av elektronisk informationshantering inom hälso- och sjukvården. Trots att de två regelverken har olika systematik och ansvarsfördelning – där E-hälsomyndigheten är personuppgiftsansvarig för läkemedelslistan medan varje vårdgivare är ansvarig för sin egen journalföring – bygger båda på samma rättsliga logik: tillgång till uppgifter förutsätter säker identifiering, korrekt prövad behörighet och ett lagligt ändamål.
2. I båda fallen består behörighetskontrollen av ett antal steg:

   1. Identifiering (autentisering) – den som begär åtkomst ska styrka sin identitet med en e-legitimation som uppfyller fastställda säkerhetskrav, vanligen SITHS.

   2. Behörighetsverifiering – det ska finnas uppgift om användarens roll eller funktion (t.ex. läkare, farmaceut, sjuksköterska) som grund för åtkomst.

   3. Ändamålsprövning – åtkomst får endast ske inom ramen för de ändamål som uttryckligen anges i respektive lag (vårddokumentation, förskrivning, expedition m.m.).

   4. Spärr- och samtyckeshantering – innan uppgifter lämnas ut ska systemet kontrollera eventuella spärrar som beslutats av patienten samt de undantag som gäller vid nödsituationer.

   5. Loggning och uppföljning – varje åtkomst ska registreras och regelbundet granskas för att upptäcka obehörig åtkomst eller missbruk.

3. Skillnaden mellan regelverken ligger främst i ansvarsfördelningen och kontrollnivån.

• I NLL är det E-hälsomyndigheten som tillhandahåller systemet och därför måste kunna verifiera användarens behörighet i realtid, men med stöd av uppgifter som tillhandahålls av den vårdgivare eller apoteksaktör som ansvarar för användaren.

• I PDL är det däremot varje vårdgivare som själv ansvarar för behörighetsstyrning, loggning och kontroll inom sin organisation, och som ska kunna visa att åtkomst endast medges när det är nödvändigt för vården.

1. 1. Vid direktåtkomst gäller i båda lagarna att kontrollerna ska vara genomförda innan någon uppgift lämnas ut. Vid utlämnande på medium för automatiserad behandling räcker det däremot att den utlämnande organisationen identifierar mottagande organisation, eftersom det personuppgiftsrättsliga ansvaret då övergår till mottagaren.

Förhållandet till andra typer av behörighetskontroll

1. Digg har uppfattat sitt uppdrag så att en nationell – och därmed generellt användbar – infrastruktur för kontroll av juridisk behörighet ska tas fram och att den ska baseras på modern teknik, inte direktåtkomst. 
2. Regeringen har emellertid knutit leveransen till ett område där behörighetskontroller är hårt särreglerade och där det som innefattas i en behörighetskontroll går långt utanför den ovan beskrivna inledande formella kontrollen innan ett ärende börjar handläggas i sak.
3. Om vårt arbete inte knyts till en annan pilot där den sedvanliga tolkningen av begreppet behörighetskontroll gäller kommer leveransen från Digg bara fungera inom de områden där det är fråga om hälso- och sjukvård.
4. Vi behöver analysera detta närmare samtidigt som det står klart att de ovan beskrivna exemplen i avsnitten 3.1 och 3.2 behöver justeras.
5. För att få fram detta så här snabbt har AI haft en betydande roll. Det måste därför kontrolleras att inget i texten ovan är hallucinerat.
6. Rent praktiskt bör den infrastruktur vi tar fram kunna stödja även här beskriver hantering, men det behöver diskuteras och övervägas närmare.