Versions Compared

Old Version 35

changes.mady.by.user Per Furberg

Saved on

compared with

New Version 36

changes.mady.by.user Per Furberg

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Dessa kontroller är villkor för att direktåtkomst över huvud taget ska medges. De ska alltså utföras automatiskt eller administrativt innan någon uppgift lämnas ut från den nationella läkemedelslistan.

  1. Förhandskontrollerna genomförs i samverkan mellan vårdgivarens eller apoteksaktörens behörighetssystem och E-hälsomyndighetens åtkomsttjänst:
    1. Vårdgivaren/apoteksaktören svarar för identifiering och behörighetsverifiering genom att tilldela och intyga korrekta användarroller (1–2).
    2. E-hälsomyndigheten svarar för teknisk åtkomstkontroll och spärrkontroll i realtid vid utlämnandet (4–5).
    3. Ändamålskontrollen sker gemensamt, där vårdgivarens system anger roll och vårdrelation och E-hälsomyndigheten endast verifierar att sådan åtkomsten ryms inom lagens tillåtna ändamål. 
  2. Det innebär alltså att den som medger direktåtkomst (E-hälsomyndigheten) i realtid endast behöver utföra den momentana kontrollen av spärr, teknisk åtkomst och ändamålsöverensstämmelse, medan de mer omfattande kontrollerna av identitet och roll redan är genomförda av medarbetarens huvudman innan åtkomstbegäran sänds.

5.2.2 Kontroller som ska göras löpande eller i efterhand (efterhandskontroller)

...

KontrollmomentBeskrivningRättsligt stöd
1. Identifiering (autentisering)Den som begär åtkomst måste styrka sin identitet genom en e-legitimation som uppfyller vårdgivarens säkerhetskrav (t.ex. SITHS).6 kap. 5 § PDL; 3 kap. 2 § patientdataförordningen
2. Behörighetsverifiering (roll och arbetsuppgift)Systemet ska verifiera att individen har den roll eller funktion som krävs för åtkomst till den aktuella informationen.6 kap. 5 § PDL; prop. 2007/08:126 s. 149 f.
3. Ändamålskontroll (åtkomstens syfte)Åtkomsten ska ske för ett tillåtet ändamål enligt 4 kap. 2 § PDL.4 kap. 2 § PDL
4. Spärrkontroll (patientens val)Systemet ska kontrollera om patienten spärrat sina uppgifter och om undantag (t.ex. nödöppning) är tillämpligt.4 kap. 3 § PDL
5. Teknisk åtkomstkontroll (systemnivå)Vårdgivaren ska ha rutiner och systemstöd som kontrollerar behörighetsattribut innan åtkomst medges.3 kap. 2 § patientdataförordningen


  1. Vid direktåtkomst mellan vårdgivare gäller ett delat ansvar där båda parter har självständiga skyldigheter enligt patientdatalagen.
    1. Den begärande vårdgivaren (A) ansvarar för att endast behöriga medarbetare begär åtkomst, att identiteten är verifierad, att rätt behörighetsattribut sänds med åtkomstbegäran och att behandlingen sker för ett lagligt ändamål inom den egna verksamheten.
    2. Den utlämnande vårdgivaren (B) ansvarar för att pröva om åtkomsten är förenlig med PDL, att patientens spärrar respekteras, samt att utlämnandet loggas och skyddas med tekniska kontroller innan uppgifterna lämnas ut.
  2. Detta innebär att varje åtkomst mellan vårdgivare måste stödjas av ett ömsesidigt tillitsförhållande och en standardiserad överföring av behörighetsattribut.
    1. Här är det alltså fråga om en hårt särreglerad speciallösning för direktåtkomst inom hälso- och sjukvårdsområdet.

Kontroller som ska göras löpande eller i efterhand (efterhandskontroller)

...

    1. Vid direktåtkomst gäller i båda lagarna att kontrollerna ska vara genomförda innan någon uppgift lämnas ut. Vid utlämnande på medium för automatiserad behandling räcker det däremot att den utlämnande organisationen identifierar mottagande organisation, eftersom det personuppgiftsrättsliga ansvaret då övergår till mottagaren.

...

  1. Digg har uppfattat sitt uppdrag så att en nationell – och därmed generellt användbar – infrastruktur för kontroll av juridisk behörighet ska tas fram och att den ska baseras på modern teknik, inte direktåtkomst. 
  2. Regeringen har emellertid knutit leveransen till ett område där behörighetskontroller är hårt särreglerade och där det som innefattas i en behörighetskontroll går långt utanför den ovan beskrivna inledande formella kontrollen innan ett ärende börjar handläggas i sak.
  3. Om vårt arbete inte knyts till en annan pilot där den sedvanliga tolkningen av begreppet behörighetskontroll gäller kommer leveransen från Digg bara fungera inom de områden där det är fråga om hälso- och sjukvård.
  4. Vi behöver analysera detta närmare samtidigt som det står klart att de ovan beskrivna exemplen i avsnitten 3.1 och 3.2 behöver justeras.
  5. För att få fram detta så här snabbt har AI haft en betydande roll. Det måste därför kontrolleras att inget i texten ovan är hallucinerathallucinerad.
  6. Rent praktiskt bör den infrastruktur vi tar fram kunna stödja även här beskriver hantering, men det behöver diskuteras och övervägas närmare.