...
Behörighetskontrollen enligt lagen består alltså av följande komponenter:
| Moment | Innehåll | Rättsligt stöd |
|---|---|---|
| Identifiering | Säker autentisering av individen som begär åtkomst, vanligen via SITHS eller motsvarande godkänd e-legitimation. | 17 § läkemedelslistelagen; 4 kap. 2 § förordningen |
| Rollbaserad behörighet | Kontroll av att individen har en yrkesroll (t.ex. läkare, farmaceut) som medför rätt att se uppgifterna. | 8–11 §§ läkemedelslistelagen |
| Ändamålsprövning | Kontroll av att åtkomsten sker inom ramen för en vårdrelation eller i samband med expedition på apotek. | 9 § läkemedelslistelagen |
| Spärrkontroll | Kontroll av om patienten spärrat uppgifter och om åtkomsten ändå är tillåten (t.ex. vid nödsituation). | 11 § läkemedelslistelagen |
| Loggning och efterhandskontroll | All åtkomst ska loggas och ska kunna granskas i efterhand. | 4 kap. 2 § förordningen |
Slutsatser
Behörighetskontroll är ett uttryckligt lagkrav enligt läkemedelslistelagen.
E-hälsomyndigheten ansvarar för att tekniskt och organisatoriskt säkerställa att åtkomst endast ges till behöriga, men
det är vårdgivaren respektive apoteksaktören som ansvarar för att ange korrekt behörighet för sina användare och att hålla denna information aktuell.
Kontroller som krävs innan direktåtkomst ges (förhandskontroller)
| Kontrollmoment | Beskrivning | Rättsligt stöd |
|---|---|---|
| 1. Identifiering (autentisering) | Den som begär åtkomst måste styrka sin identitet genom en e-legitimation som uppfyller E-hälsomyndighetens säkerhetskrav (t.ex. SITHS). | 17 § läkemedelslistelagen; 4 kap. 2 § förordningen |
| 2. Behörighetsverifiering (roll och funktion) | Systemet måste kunna verifiera att individen har en yrkesroll eller funktion (t.ex. läkare, farmaceut) som enligt 8–9 §§ har rätt att ta del av uppgifter. | 8–9 §§ läkemedelslistelagen; prop. 2017/18:223 s. 183 f. |
| 3. Ändamålskontroll (åtkomstens syfte) | Åtkomsten måste ske inom ramen för den aktuella vårdrelationen eller i samband med expedition på apotek. | 9 § läkemedelslistelagen |
| 4. Spärrkontroll (patientens val) | Innan åtkomst medges ska systemet kontrollera om patienten spärrat sina uppgifter och om något undantag (t.ex. nödsituation) gäller. | 11 § läkemedelslistelagen; prop. 2017/18:223 s. 178 f. |
| 5. Teknisk åtkomstkontroll (systemnivå) | E-hälsomyndigheten ska ha rutiner och systemstöd som i realtid kontrollerar behörighetsattribut innan uppgifter lämnas ut. | 17 § läkemedelslistelagen; 4 kap. 2 § förordningen |
Dessa kontroller är villkor för att direktåtkomst över huvud taget ska medges. De ska alltså utföras automatiskt eller administrativt innan någon uppgift lämnas ut från den nationella läkemedelslistan.
...
5.2.2 Kontroller som ska göras löpande eller i efterhand (efterhandskontroller)
| Kontrollmoment | Beskrivning | Rättsligt stöd |
|---|---|---|
| 1. Loggning av all åtkomst | Varje åtkomst ska registreras med uppgift om vem som tagit del av vad, när och för vilket ändamål. | 4 kap. 2 § förordningen; 8 kap. 1 § läkemedelslistelagen |
| 2. Systematisk uppföljning av loggar | E-hälsomyndigheten ska systematiskt och återkommande granska loggarna för att upptäcka obehörig åtkomst. | 8 kap. 1 § läkemedelslistelagen |
| 3. Incident- och avvikelsehantering | Vid misstanke om obehörig åtkomst ska E-hälsomyndigheten utreda händelsen och underrätta berörda parter. | 8 kap. 1 § läkemedelslistelagen; förordningen 4 kap. 2 § |
| 4. Revision och tillsyn | E-hälsomyndigheten ska kunna uppvisa loggar och kontrollsystem för tillsynsmyndigheter (IMY m.fl.) och vid behov korrigera brister. | 8 kap. 1–2 §§ läkemedelslistelagen |
| 5. Återkallelse av åtkomst | Om en användares behörighet upphör eller missbrukas ska åtkomsten omedelbart återkallas. | 17 § läkemedelslistelagen; prop. 2017/18:223 s. 185 |
Exemplet där uppgifter behövs från en annan vårdgivares patientjournal
- Patientdatalagen (2008:355) reglerar behandling av personuppgifter inom hälso- och sjukvården och syftar till att tillgodose både patientsäkerhet och integritet. Lagen bygger på att varje vårdgivare är personuppgiftsansvarig för den behandling av uppgifter som sker inom den egna verksamheten.
- Tillgången till uppgifter i patientjournaler är hårt särreglerad. Ett grundläggande krav är att endast den som behöver uppgifterna för sitt arbete inom hälso- och sjukvården, eller för annat särskilt tillåtet ändamål, får ta del av dem. Kravet på behörighetskontroll är därför centralt för att säkerställa att åtkomst sker i enlighet med patientdatalagen, offentlighets- och sekretesslagen (2009:400) samt dataskyddsförordningen (GDPR).
- Av 6 kap. 5–7 §§ patientdatalagen framgår att vårdgivaren ska begränsa tillgången till personuppgifter så att endast den som behöver uppgifterna för sitt arbete får ha åtkomst. Behörighetsstyrningen ska ske individuellt och utifrån arbetsuppgifter, och vårdgivaren ska föra loggar som gör det möjligt att i efterhand kontrollera åtkomst. Enligt 3 kap. 2 och 9 §§ patientdataförordningen (2008:360) ska vårdgivaren ha tekniska och organisatoriska rutiner för behörighetsstyrning, loggning och uppföljning.
- Behörighetskontrollen enligt patientdatalagen ska säkerställa att:
användaren är korrekt identifierad,
användaren har behörighet grundad på roll och arbetsuppgift, och
åtkomsten sker för ett tillåtet ändamål enligt 4 kap. 2 § patientdatalagen, såsom vårddokumentation.
- Enligt förarbetena (prop. 2007/08:126 s. 149 ff.) ska vårdgivaren säkerställa att åtkomst ges endast till personal med faktisk vårdrelation till patienten eller till annan personal som behöver uppgifterna för definierade uppgifter inom vårdgivarens verksamhet. Systemen ska därför utformas så att behörigheter tilldelas utifrån arbetsuppgifter och uppdateras löpande.
- I 6 kap. 7 § anges att alla åtkomster ska loggas och att loggarna ska användas för intern kontroll och tillsyn.
- Behörighetskontrollen enligt lagen består alltså av följande komponenter:
| Moment | Innehåll | Rättsligt stöd |
|---|---|---|
| Identifiering | Säker autentisering av individen som begär åtkomst, normalt genom SITHS eller annan e-legitimation med motsvarande säkerhetsnivå. | 6 kap. 5 § PDL; 3 kap. 2 § patientdataförordningen |
| Roll- och arbetsuppgiftsbaserad behörighet | Kontroll av att individen har en yrkesroll eller arbetsuppgift som kräver åtkomst till uppgifterna. | 6 kap. 5 § PDL; prop. 2007/08:126 s. 149 f. |
| Ändamålskontroll | Åtkomsten ska ske endast för tillåtet ändamål enligt 4 kap. 2 §, t.ex. vårddokumentation eller kvalitetssäkring. | 4 kap. 2 § PDL |
| Samtyckes- och spärrkontroll | Patienten kan spärra uppgifter enligt 4 kap. 3 §. Systemet ska kontrollera om spärr finns och om undantag (t.ex. nödöppning) gäller. | 4 kap. 3 § PDL |
| Loggning och uppföljning | All åtkomst ska loggas och kunna granskas i efterhand. | 6 kap. 7 § PDL; 3 kap. 9 § patientdataförordningen |
Slutsatser
Krav på behörighetskontroll följer uttryckligen av 6 kap. 5–7 §§ patientdatalagen.
Vårdgivaren ansvarar för att tekniskt och organisatoriskt säkerställa att endast behörig personal har åtkomst till patientuppgifter.
Behörigheten ska kopplas till individens roll, funktion och vårdrelation samt till lagens tillåtna ändamål.
Kontroller som krävs innan direktåtkomst ges (förhandskontroller)
| Kontrollmoment | Beskrivning | Rättsligt stöd |
|---|---|---|
| 1. Identifiering (autentisering) | Den som begär åtkomst måste styrka sin identitet genom en e-legitimation som uppfyller vårdgivarens säkerhetskrav (t.ex. SITHS). | 6 kap. 5 § PDL; 3 kap. 2 § patientdataförordningen |
| 2. Behörighetsverifiering (roll och arbetsuppgift) | Systemet ska verifiera att individen har den roll eller funktion som krävs för åtkomst till den aktuella informationen. | 6 kap. 5 § PDL; prop. 2007/08:126 s. 149 f. |
| 3. Ändamålskontroll (åtkomstens syfte) | Åtkomsten ska ske för ett tillåtet ändamål enligt 4 kap. 2 § PDL. | 4 kap. 2 § PDL |
| 4. Spärrkontroll (patientens val) | Systemet ska kontrollera om patienten spärrat sina uppgifter och om undantag (t.ex. nödöppning) är tillämpligt. | 4 kap. 3 § PDL |
| 5. Teknisk åtkomstkontroll (systemnivå) | Vårdgivaren ska ha rutiner och systemstöd som kontrollerar behörighetsattribut innan åtkomst medges. | 3 kap. 2 § patientdataförordningen |
- Vid direktåtkomst mellan vårdgivare gäller ett delat ansvar där båda parter har självständiga skyldigheter enligt patientdatalagen.
- Den begärande vårdgivaren (A) ansvarar för att endast behöriga medarbetare begär åtkomst, att identiteten är verifierad, att rätt behörighetsattribut sänds med åtkomstbegäran och att behandlingen sker för ett lagligt ändamål inom den egna verksamheten.
- Den utlämnande vårdgivaren (B) ansvarar för att pröva om åtkomsten är förenlig med PDL, att patientens spärrar respekteras, samt att utlämnandet loggas och skyddas med tekniska kontroller innan uppgifterna lämnas ut.
- Detta innebär att varje åtkomst mellan vårdgivare måste stödjas av ett ömsesidigt tillitsförhållande och en standardiserad överföring av behörighetsattribut.
- Här är det alltså fråga om en hårt särreglerad speciallösning för direktåtkomst inom hälso- och sjukvårdsområdet.
Kontroller som ska göras löpande eller i efterhand (efterhandskontroller)
| Kontrollmoment | Beskrivning | Rättsligt stöd |
|---|---|---|
| 1. Loggning av all åtkomst | Varje åtkomst ska registreras med uppgift om vem som tagit del av vad, när och för vilket ändamål. | 6 kap. 7 § PDL; 3 kap. 9 § patientdataförordningen |
| 2. Systematisk uppföljning av loggar | Vårdgivaren ska regelbundet granska loggarna för att upptäcka obehörig åtkomst. | 6 kap. 7 § PDL |
| 3. Incident- och avvikelsehantering | Vid misstanke om obehörig åtkomst ska vårdgivaren utreda händelsen och underrätta berörda parter. | 6 kap. 7 § PDL; prop. 2007/08:126 s. 150 |
| 4. Revision och tillsyn | Loggar och kontrollsystem ska kunna uppvisas för tillsynsmyndigheter (IMY, IVO) och granskas vid behov. | 6 kap. 7 § PDL |
| 5. Återkallelse av åtkomst | Om en användares roll eller anställning förändras ska behörigheten omedelbart ändras eller återkallas. | 6 kap. 5 § PDL |
Preliminär bedömning
Allmänt
...
- Digg har uppfattat sitt uppdrag så att en nationell – och därmed generellt användbar – infrastruktur för kontroll av juridisk behörighet ska tas fram och att den ska baseras på modern teknik, inte direktåtkomst.
- Regeringen har emellertid knutit leveransen till ett område där behörighetskontroller är hårt särreglerade och där det som innefattas i en behörighetskontroll går långt utanför den ovan beskrivna inledande formella kontrollen innan ett ärende börjar handläggas i sak.
- Om vårt arbete inte knyts till en annan pilot där den sedvanliga tolkningen av begreppet behörighetskontroll gäller kommer leveransen från Digg bara fungera inom de områden där det är fråga om hälso- och sjukvård.
- Vi behöver analysera detta närmare samtidigt som det står klart att de ovan beskrivna exemplen i avsnitten 3.1 och 3.2 behöver justeras.
- För att få fram detta så här snabbt har AI haft en betydande roll. Det måste därför kontrolleras att inget i texten ovan är hallucinerad.
- Rent praktiskt bör den infrastruktur vi tar fram kunna stödja även här beskriver hantering, men det behöver diskuteras och övervägas närmare.
Beskrivning av två helt olika lösningsmönster
| draw.io Diagram | ||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|