...
Den svenska modellen, där förlitande part i vissa fall inte fattar ett uttryckligt beslut om utlämnande, är därför inte förenlig med EHDS:s grundläggande principer för ansvar och kontroll vid datadelning utan är ett nationellt arrangemang som inte kan tillämpas för gränsöverskridande utbyte inom det europeiska hälsodataområdet.
Per föreslår följande som nya avsnitt i rapporten kap. 9:
9. Juridiska frågor
9.1 Den infrastruktur som föreslås
Utgångspunkter
Digg har i uppdrag att utveckla en sammanhållen infrastruktur för identitets- och behörighetshantering för Ena – Sveriges digitala infrastruktur (avsnitt 1.1.1), medan E-hälsomyndigheten har i uppdrag är att ta fram en sådan infrastruktur för hälso- och sjukvårdsområdet (avsnitt 1.1.2). Digg ska således utveckla en infrastruktur för samhället som helhet medan E-hälsomyndighetens uppdrag är begränsat till hälso- och sjukvårdsområdet. Den sammanhållna infrastrukturen ska vidare stödja juridisk kontroll av behörig. Det är alltså inte fråga om ett behörighetskontrollsystem (BKS) i teknisk mening, utan om att digitalt tillgängliggöra de uppgifter som behövs vid juridiska kontroller av identitet och behörighet. Digg har härvid definierat juridisk behörighetskontroll som en granskning av om en medarbetare, i juridisk mening
a) är behörig att agera för en angiven huvudmans räkning, eller
b) har en yrkesroll som innefattar en rätt att agera på det sätt som sker.
I definitionen har dessutom tillagts "eller deltar i verksamhet hos huvudmannen där medarbetaren behöver vidta en åtgärd eller agera på annat sätt”, för att även kontrollbehov som rör elever vid skola ska kunna hanteras inom infrastrukturen, även om det här inte handlar om en juridisk behörighet att agera för annan eller en yrkesroll i egentlig mening utan om att få tillgång till informationssystem m.m.
När dessa funktioner utvecklas behöver det beaktas att det både finns materiella regler, som föreskriver under vilka förutsättningar en aktör anses vara behörig, och processuella regler, som föreskriver vilken prövning av juridisk behörighet som krävs i ett mål, ett ärende eller annars vid ett informationsutbyte. Den som ska göra en behörighetskontroll behöver således ha klart för sig
1. vad som gäller (materiellt) för att en aktör ska anses vara behörig (exempelvis vad som krävs för att få agera för en viss myndighet eller för att få företräda ett företag), och
2. hur omfattande behörighetskontroller som måste göras i ett ärende eller vid en transaktion (exempelvis kräver rättegångsbalken kontroll av fullmakt medn förvaltningslagen och den civilrättsliga regleringen lämnar över till den som handlägger ärendet eller transaktionen att bedöma om en fullmakt ska krävas i det enskilda fallet).
Som framgått innefattar Diggs och E-hälsomyndighetens uppdrag inte själva behörighetskontrollen utan avser det stöd som kan ges genom federationer för att inhämta underlag i form av identitetsintyg för säker identifiering och behörighetshandlingar för juridiska behörighetskontroller. En utgångspunkt är härvid vilket underlag som behövs för att avgöra
1. vem det är som agerar (identifiering),
2. om en medarbetare som agerar för en viss huvudmans räkning eller med stöd av en yrkesroll har juridisk rätt att göra på det sätt som sker (behörighetskontroll), och
3. om en digital aktör, exempelvis en robot som utför motsvarande åtgärder automatiserat, satts i funktion så att ”huvudmannen” blir bunden av de automatiserade åtgärderna (behörighetskontroll).
Inom svensk förvaltningsrätt och civilrätt sker en behörighetskontroll regelmässigt i samband med att ett ärende ska inledas eller att en rättshandling ska utföras. I traditionell fysisk miljö förväntas det att den som agerar (t.ex. en befattningshavare vid en myndighet eller en företrädare för ett aktiebolag) tillhandahåller de behörighetshandlingar som krävs. Eftersom den förlitande parten normalt står risken om den som agerar inte är behörig är det förlitande part som gör behörighetskontrollen, med stöd av exempelvis protokollsutdrag där det framgår att en arbetsuppgift har delegerats, registreringsbevis från Bolagsverket där det framgår vem som är ställföreträdare, en fullmakt eller någon annan behörighetsstyrkande handling där det framgår att en viss individ har rätt att agera för en huvudmans räkning, eller ett bevis om en yrkesroll som innefattar viss behörighet.
Allt fler tjänster har emellertid vuxit fram för att digitalt inhämta uppgifter om behörighet. Det har fört med sig att myndigheter, domstolar och företag allt oftare själv inhämtar behörighetshandlingar. För detta krävs emellertid avtal med olika leverantörer och olika tekniska och administrativa funktioner som inte är samordnade, vilket fört med sig administrativa kostnader och tidsutdräkt för att få tillgång till behörighetshandlingar. Samtidigt förutsätter ofta de digitala tjänster numera införs en åtkomst till behörighetsinformation i realtid. Behovet av de funktioner och tjänster som Digg och E-hälsomyndigheten har fått i uppdrag att ta fram är därmed starkt uttalat.
9.2 Olika förfaranden vid juridiska behörighetskontroller
Sedvanliga behörighetskontroller
Diggs och E-hälsomyndighetens uppdrag är visserligen begränsat till att ta fram stöd för en en sammanhållen infrastruktur för identitets- och behörighetshantering, men det innebär inte att vi kan bortse från hur behörighetskontroller går till. De funktioner som utvecklas behöver fungera på ett ändamålsenligt sätt. Därför behöver det klargöras vilken part som ska samla in underlag för en behörighetskontroll – förlitande part eller den part som begär behörighetsinformation – och vilken part som ska kontrollera att behörighet föreligger.
Det en jurist härvid menar med en behörighetskontroll bygger på följande förfarande.
Den fråga som ställs | Hur den bedöms |
a. Vilken fysisk person har agerat? | Härvid används underskrifter, legitimationshandlingar, m.m. — inom Infrastrukturen för e-legitimering |
b. För egen eller för annans räkning? | I vems namn har personen agerat? Här används t.ex. firmateckning för att klargöra att åtgärden vidtagits i egenskap av företrädare för annan — inom infrastrukturen identifieras huvudmannen |
c. Är den som agerar behörig att agera för annans räkning? | Här används protokollsutdrag, registreringsbevis som visar firmateckningsrätt, fullmakter, bevis om viss yrkesroll och liknande behörighetshandlingar — inom Infrastrukturen digitala behörighetshandlingar |
Detta förfarande har valts eftersom förlitande part står risken i förhållande till angiven huvudman för om någon annan agerat än den som angivits (bristande identifiering) eller om den som agerat saknat juridisk behörighet att utföra åtgärden (bristande behörighet). Identitets- och behörighetskontroller behöver ske i enlighet med rättsordningen inom vedertagna juridiska ramar så som de sedan länge tillämpats av jurister.
Frågan är hur en sammanhållen digital infrastruktur för identitets- och behörighetshantering kan anpassas till dessa förutsättningar. När ett mål eller ett ärende kommer in till en myndighet ska först en formell prövning ske, bland annat av om den som agerar är behörig att vidta åtgärden. Saknas juridisk behörighet avvisas ärendet efter att tillfälle getts att styrka behörigheten. En handläggning i sak (t.ex. sekretessprövning, ändamålsprövningsprövning enligt en registerförfattning eller beslutsfattande) sker först efter att formalia har klarats av. Samma mönster följs i princip när en digitala aktör, exempelvis en robot använder en digital tjänst. Dessa materiella och formella krav och bedömningen av om de uppfyllts innehåller inte någon prövning av tillåtna ändamål för behandling av personuppgifter eller någon sekretessprövning eller liknande. En sådan prövning äger rum först efter att de preliminära frågorna om identitet och behörighet har blivit klarlagda. Samma mönster följs när en digitala aktör, exempelvis en robot, använder en digital tjänst.
Behörighetskontroller inom hälso- och sjukvården
Eftersom Diggs uppdrag knutits till E-hälsomyndighetens uppdrag har Digg inlett sitt arbete utifrån antagandet att behörighetskontroller inom hälso- och sjukvården skulle utgöra ett typfall för hur frågor om behörighet regleras och bör kontrolleras inom andra områden. Behörighetskontroller visade sig emellertid vara hårt särreglerade i patientdatalagen (2008:355; PDL) och lagen (2018:1212) om nationell läkemedelslista (NLL). Denna hantering avviker därför på flera sätt från vad som normalt gäller vid juridiska behörighetskontroller. För det första är det inte den förlitande parten, i betydelsen den som mottar en begäran om att få tillgång till hälso- och sjukvårdsdata, som beställer intyg om identitet och behörighet och med detta underlag gör de kontroller som behövs. Det är den vårdgivare som begär åtkomst (exempelvis vårdgivare A) som anskaffar de identitets- och behörighetshandlingar som behövs och sänder med dem tillsammans med en begäran till den förlitande parten om att få åtkomst. För det andra loggar visserligen den förlitande parten (vårdgivare B) mottagna behörighetshandlingar, men gör inte någon egen identifiering eller kontroll av behörighet, utan litar på att den enskilde användaren är identifierad genom en säker e-legitimation och att dennes roll och arbetsuppgift kontrollerats av vårdgivare A. Däremot kontrollerar vårdgivare B att begäran gäller ett tillåtet ändamål och att patienten inte spärrat sin uppgifter. Granskning ska kunna ske i efterhand. Behörighetskontroller enligt NLL följer en liknande struktur. Inom hälso- och sjukvården är dessutom informationssäkerheten särskilt reglerad genom ett sektorsspecifika bestämmelser i PDL och NLL, medan kraven på informationssäkerhet inom övriga områden normalt följer av särskild författningar om informationssäkerhet.
När PDL och NLL tillämpas sker kontrollerna således mera i syfte att uppfylla lagstadgade krav på informationssäkerhet och dataskydd, inte för att förlitande part initialt ska kontrollera vem som agerar och om denne är behörig att agera på det sätt som sker. Hanteringen enligt PDL och NLL kan därmed inte läggas till grund för en generell modell för juridisk behörighetskontroll. Det som där betecknas behörighetskontroll framstår i stället somen särskild tillämpning av dataskydds- och sekretessrätten, inte en modell för juridisk behörighetsprövning i allmän mening. Dessutom bygger denna hantering enligt PDL och NLL på direktåtkomst.
En nationell infrastruktur för kontroll av juridisk behörighet behöver istället ta sin utgångspunkt i de materiella rättsreglerna om ställföreträdar- och ombudsskap, fullmakter, delegationsordningar och yrkesroller och de processuella regler som anger vilka kontroller som behöver göras i ett ärende. Den behöver vidare bygga på att förlitande part kontrollerar identitet och behörighet och att informationen utbyts på medium för automatiserad behandling, se vidare avsnitt Z.