Versions Compared

Old Version 33

changes.mady.by.user Henric Norlander

Saved on

compared with

New Version 34

changes.mady.by.user Per Furberg

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Vad menas med behörighetskontroll

Hur

...

Digg uppfattat frågan

  1. Digg har uppfattat sitt uppdrag så att myndigheten, när den nya infrastrukturen finns på plats, ska ansvara för tillgången till infrastruktur och tjänster för juridisk behörighetskontroll.
  2. Digg har vidare definierat juridisk behörighetskontroll som en granskning av om en medarbetare, i juridisk mening
    1. är behörig att agera för angiven huvudmans räkning, eller
    2. har en yrkesroll som innefattar en rätt att agera på det sätt som sker.
    3. Till detta har tillagts följande, "eller c) deltar i verksamhet hos huvudmannen där medarbetaren behöver vidta en åtgärd eller agera på annat sätt", med tanke på att hantera behov som rör elever vid skola, även om det i den delen inte handlar om en juridisk behörighet att agera för annan eller en yrkesroll i egentlig mening utan bara om att få direkt tillgång till system.

...

2.    Tanken har också varit att behörighetskontroll ska ske inom vedertagna juridiska ramar – det vill säga hur det går till enligt lag, förordning och rättspraxis. Det beror på att uppdraget är att etablera en nationell infrastruktur och det en jurist i första hand tänker på när den en behörighetskontroll sker ska ske är registreringsbevis från Bolagsverket och fullmakter.  Vi Vi parkerar dessutom den här viktiga frågan om behörighetskontroll av en digital aktörbeträffande digitala aktörer, exempelvis en robot, för att hantera den frågan i ett senare avsnittsteg.

3. När ett mål eller ett ärende kommer in till en myndighet ska först en formell prövning ske, bland annat av om den som agerar är behörig att göra det vidta åtgärden (t.ex. att initiera ett ärende hos en myndighet , exempelvis genom att använda en digital tjänst). Finns inte sådan behörighet avvisas målet Saknas juridisk behörighet ska ärendet avvisas (efter att tillfälliga tillfälle getts att styrka sin behörighetbehörigheten). En handläggning i sak (t.ex. en sekretessprövning eller en ändamålsprövningsprövning enligt en registerförfattning) ska äga rum sker först efter att dessa denna formalia har klarats av.

3. Samma mönster följs i princip genom att en digitala aktör, exempelvis en robot, inte ska få använda en digital tjänst om den tillhandahåller uppgifter som är juridiskt skyddade annat än om en kontroll  som bedöms vara juridiskt tillräcklig har ägt rum av robotens bara om en kontroll gjorts av robotens behörighet att agera för "huvudmannen".

4. Jag tror antar att vi alla har tänkt tänker att den nya infrastrukturen bara för behörighetskontroller, inte ska användas för att handlägga själva ärendet , t.ex. som kan handla exempelvis om en handling ska lämnas ut utan hinder av sekretess, utan för den initiala formella kontrollen av om ärendet eller transaktionen har initierats av en behörig medarbetare eller teknisk aktör, exempelvis en robot, och att vi haft förvaltningslagens (och rättegångsbalkens) regler i tankarna.

Andra regler gäller för behörighetskontroll inom hälso- och sjukvård

  1. Frågan blir då vad som gäller för en behörighetskontroll i de två exemplen i avsnitten 3.1 och 3.2, enligt bl.a. PDL och NLL.
  2. Vad som menas med "behörighetskontroll" är där
    1. hårt särreglerat, genom bestämmelser som inte följer det ovan beskrivna mönstret, och
    2. tar sikte på direktåtkomst, medan den teknik som numera införts även inom hälso- och sjukvården  sjukvård följer mönstret för utlämnande på medium (fråga och svar enligt högsta förvaltningsdomstolen Högsta förvaltningsdomstolens bedömning i det så kallade LEFI online-målet) följer mönstret för utlämnande på medium.

Exemplet där uppgifter behövs från den nationella läkemedelslistan

  1. Lagen (2018:1212) om nationell läkemedelslista (”läkemedelslistelagen”) reglerar behandling av personuppgifter i den nationella läkemedelslistan läkemedelslista som förs av E-hälsomyndigheten.

  2. Tillgången till uppgifter i läkemedelslistan är hårt särreglerad, och ett grundläggande krav är att endast den som är"behörig"får ta del av uppgifter. Kravet på behörighetskontroll är därmed centralt för systemets rättsenlighet, både ur integritetssynpunkt och för att uppfylla de krav på informationssäkerhet som följer av EU:s dataskyddsförordning (GDPR) och hälso- och sjukvårdens sekretessbestämmelser.

  3. Av 8–12 §§ läkemedelslistelagen framgår att endast vissa aktörer får ha direktåtkomst till uppgifter i läkemedelslistan, och endast i den utsträckning det behövs för deras uppgifterarbetsuppgifter.

    • 8 § anger att E-hälsomyndigheten ska göra uppgifter i läkemedelslistan tillgängliga för :

    • den enskilde själv,

      • den

      bland annat den som förskriver läkemedel eller

      förskrivningsberättigade varor,

    • den som expedierar läkemedel (apotekspersonal), och

      • vissa andra aktörer som anges i lagen

      och den som expedierar läkemedel.

    • 9 § preciserar att tillgången ska vara begränsad till vad som är nödvändigt för respektive ändamål.

    • 10–11 §§ reglerar särskilda fall, t.ex. förskrivares tillgång till en patients uppgifter och den enskildes möjlighet att spärra uppgifter.

  4. Dessa bestämmelser förutsätter att en behörighetskontroll kan säkerställa två saker:

    1. Att användaren är identifierad (vem den är).

    2. Att användaren har rätt att ta del av uppgifterna i den aktuella rollen och för det aktuella ändamålet(behörighet).

  5. Enligt 17 § ska E-hälsomyndigheten se till att obehörig åtkomst förhindras. Av förarbetena (prop. 2017/18:223 s. 183 f.) framgår att detta innebär krav på ett tekniskt och organisatoriskt system för behörighetskontroll. Myndigheten ska säkerställa att endast personer med korrekt vårdrelation, roll och ändamål får åtkomst. Behörighetskontrollen ska bygga på en säker identitetshantering och tilldelning av roller och åtkomsträttigheter som motsvarar den enskildes funktion i vården, vilket innebär  innebär att E-hälsomyndigheten inte själv beslutar vem som är behörig i vårdorganisationen, men myndigheten ska kunna kontrollera och verifiera att åtkomsten grundas på giltig behörighetsinformation från den vårdgivare eller apoteksaktör som ansvarar för användaren.

  6. I 4 kap. 2 § föreskrivs att E-hälsomyndigheten ska föra loggar och vidta tekniska åtgärder för att säkerställa att åtkomst endast ges till behöriga. Förordningen preciserar att myndigheten ska kunna kontrollera vilken funktion eller yrkesroll som ligger till grund för åtkomsten. Detta konkretiseras i myndighetens föreskrifter (HSLF-FS 2020:24) om tekniska krav, där det krävs att vårdgivaren överför överför behörighetsattribut till E-hälsomyndigheten i samband med åtkomstbegäran (men inte att E-hälsomyndigheten momentant kontrollerar att behörighet föreligger).

Behörighetskontrollen enligt lagen består alltså av följande komponenter:

MomentInnehållRättsligt stöd
IdentifieringSäker autentisering av individen som begär åtkomst, vanligen via SITHS eller motsvarande godkänd e-legitimation.17 § läkemedelslistelagen; 4 kap. 2 § förordningen
Rollbaserad behörighetKontroll av att individen har en yrkesroll (t.ex. läkare, farmaceut) som medför rätt att se uppgifterna.8–11 §§ läkemedelslistelagen
ÄndamålsprövningKontroll av att åtkomsten sker inom ramen för en vårdrelation eller i samband med expedition på apotek.9 § läkemedelslistelagen
SpärrkontrollKontroll av om patienten spärrat uppgifter och om åtkomsten ändå är tillåten (t.ex. vid nödsituation).11 § läkemedelslistelagen
Loggning och efterhandskontrollAll åtkomst ska loggas och ska kunna granskas i efterhand.4 kap. 2 § förordningen

Slutsatser

    1. Behörighetskontroll är ett uttryckligt lagkrav enligt läkemedelslistelagen.

    2. E-hälsomyndigheten ansvarar för att tekniskt och organisatoriskt säkerställa att åtkomst endast ges till behöriga., men

    3. det är vårdgivaren respektive apoteksaktören som Vårdgivaren och apoteksaktören ansvarar för att ange korrekt behörighet för sina användare och att hålla denna information aktuell.

      4. En fungerande behörighetsinfrastruktur är därför en förutsättning för att lagen ska kunna tillämpas rättsenligt och effektivt

    4. .

Kontroller som krävs innan direktåtkomst ges (förhandskontroller)

...

Dessa kontroller är villkor för att direktåtkomst över huvud taget ska medges. De ska alltså utföras automatiskt eller administrativt innan någon uppgift lämnas ut från den nationella läkemedelslistan.

vem gör vilken respektive kontroll  och på vilket sätt

5.2.2 Kontroller som ska göras löpande eller i efterhand (efterhandskontroller)

...