...
| draw.io Diagram |
|---|
| border | false |
|---|
| |
|---|
| diagramName | Olika lösningsmönster |
|---|
| simpleViewer | false |
|---|
| width | |
|---|
| links | auto |
|---|
| tbstyle | inline |
|---|
| lbox | true |
|---|
| diagramWidth | 962961 |
|---|
| height | 471 |
|---|
| revision | 2 |
|---|
|
| draw.io Diagram |
|---|
| border | false |
|---|
| |
|---|
| diagramName | Lösningsmönster - ansvarsfördelning |
|---|
| simpleViewer | false |
|---|
| width | |
|---|
| links | auto |
|---|
| tbstyle | inline |
|---|
| lbox | true |
|---|
| diagramWidth | 1610 |
|---|
| height | 544 |
|---|
| revision | 1 |
|---|
|
Lösningsmönster enligt EHDS
- EHDS bygger på en decentraliserad ansvarsfördelning där varje medlemsstat ansvarar för de uppgifter som härrör från dess nationella hälso- och sjukvårdssystem. Enligt artikel 12.1 EHDS ska varje medlemsstat inrätta en nationell eHealth-nod (National Contact Point for eHealth). Denna nod ska säkerställa att gränsöverskridande tillgång till elektroniska hälsouppgifter endast beviljas till auktoriserad hälso- och sjukvårdspersonal och endast för tillåtna ändamål.
- Vidare följer av artikel 14.1 att medlemsstaterna ska ”garantera att åtkomst till elektroniska hälsouppgifter av hälso- och sjukvårdspersonal från en annan medlemsstat sker endast efter verifiering av identitet, yrkesmässig behörighet och ändamål, samt i enlighet med tillämplig nationell rätt”. Bestämmelsen innebär att den medlemsstat som innehar uppgifterna (den utlämnande staten) ansvarar för att kontrollera dessa förutsättningar innan utlämnande sker. Kontrollen ska utföras genom den nationella eHealth-noden, som fungerar som en förlitande part (relying party) enligt eIDAS-förordningens terminologi (förordning (EU) nr 910/2014, särskilt artikel 6).
I Sverige sker som framgått utlämnande genom direktåtkomst där den begärande parten själv autentiserar och får tillgång utan att den utlämnande parten gör en individuell prövning. Detta är inte förenligt med den modell EHDS beskriver, eftersom utlämnande enligt EU-rätten alltid förutsätter att den som innehar uppgifterna självständigt verifierar och beslutar om utlämnande (se EHDS:sartikel 14.1 och skäl 28 där det framgår att ansvaret för verifiering och beslut vid utlämnande ligger hos den utlämnande medlemsstaten). I följande sammanställning redovisas närmare att en utlämnande stat inte får förlita sig enbart på att den begärande statens eHealth-nod har gjort en korrekt behörighetskontroll utan själv måste verifiera det elektroniska identitetsintyget och behörighetsintyget (”health professional attribute credential”) innan uppgifterna görs tillgängliga.
| Led i processen | Begärande stat | Utlämnande stat |
|---|
| Autentisering | Identifierar vårdpersonal med eIDAS-godkänd e-legitimation (art. 7 EHDS). | Verifierar den mottagna eID:n enligt eIDAS (art. 6 EHDS; art. 6 eIDAS). |
| Behörighetsverifiering | Utfärdar intyg om yrkesbehörighet. | Kontrollerar att intyget är giltigt och motsvarar tillåten åtkomst (art. 14.1 EHDS). |
| Beslut om utlämnande | Ej beslutsfattande. | Beslutar om utlämnande efter fullständig verifiering (art. 14.1 EHDS; art. 5.2 GDPR). |
4. Det kan därmed konstateras att den svenska ordningen med direktåtkomst, där utlämnande i praktiken sker utan individuell prövning av den utlämnande parten, utgör ettnationellt undantag från det EU-gemensamma lösningsmönstret, vilket framgår vid en tolkning av EHDS, särskilt artiklarna 12 och 14, samt av den bakomliggande dataskyddsrättsliga ansvarsfördelningen enligt GDPR (artiklarna 5.2 och 32). Även av kommissionens motivering till förslaget framgår att varje medlemsstat ska säkerställa ”control over access to data and clear accountability for disclosure decisions” (skäl 28 i förordningsförslaget).
...