...
Per föreslår följande som nya avsnitt i rapporten kap. 9:
9. Juridiska frågor
9.1 Den infrastruktur som föreslås
Utgångspunkter
Digg har i uppdrag att utveckla en sammanhållen infrastruktur för identitets- och behörighetshantering för Ena – Sveriges digitala infrastruktur (avsnitt 1.1.1), medan E-hälsomyndigheten har i uppdrag är att ta fram en sådan infrastruktur för hälso- och sjukvårdsområdet (avsnitt 1.1.2). Digg ska således utveckla en infrastruktur för samhället som helhet medan E-hälsomyndighetens uppdrag är begränsat till hälso- och sjukvårdsområdet. Den sammanhållna infrastrukturen ska vidare stödja juridisk kontroll av behörig. Det är alltså inte fråga om ett behörighetskontrollsystem (BKS) i teknisk mening, utan om att digitalt tillgängliggöra de uppgifter som behövs vid juridiska kontroller av identitet och behörighet. Digg har härvid definierat juridisk behörighetskontroll som en granskning av om en medarbetare, i juridisk mening
...
Allt fler tjänster har emellertid vuxit fram för att digitalt inhämta uppgifter om behörighet. Det har fört med sig att myndigheter, domstolar och företag allt oftare själv inhämtar behörighetshandlingar. För detta krävs emellertid avtal med olika leverantörer och olika tekniska och administrativa funktioner som inte är samordnade, vilket fört med sig administrativa kostnader och tidsutdräkt för att få tillgång till behörighetshandlingar. Samtidigt förutsätter ofta de digitala tjänster numera införs en åtkomst till behörighetsinformation i realtid. Behovet av de funktioner och tjänster som Digg och E-hälsomyndigheten har fått i uppdrag att ta fram är därmed starkt uttalat.
9.2 Olika förfaranden vid juridiska behörighetskontroller
Sedvanliga behörighetskontroller
...
Det en jurist härvid menar med en behörighetskontroll bygger på följande förfarande.
Den fråga som ställs | Hur den bedöms |
a. Vilken fysisk person har agerat? | Härvid används underskrifter, legitimationshandlingar, m.m. — inom Infrastrukturen för e-legitimering |
b. För egen eller för annans räkning? | I vems namn har personen agerat? Här används t.ex. firmateckning för att klargöra att åtgärden vidtagits i egenskap av företrädare för annan — inom infrastrukturen identifieras huvudmannen |
c. Är den som agerar behörig att agera för annans räkning? | Här används protokollsutdrag, registreringsbevis som visar firmateckningsrätt, fullmakter, bevis om viss yrkesroll och liknande behörighetshandlingar — inom Infrastrukturen digitala behörighetshandlingar |
Detta förfarande har valts eftersom förlitande part står risken i förhållande till angiven huvudman för om någon annan agerat än den som angivits (bristande identifiering) eller om den som agerat saknat juridisk behörighet att utföra åtgärden (bristande behörighet). Identitets- och behörighetskontroller behöver ske i enlighet med rättsordningen inom vedertagna juridiska ramar så som de sedan länge tillämpats av jurister.
...
Eftersom Diggs uppdrag knutits till E-hälsomyndighetens uppdrag har Digg inlett sitt arbete utifrån antagandet att behörighetskontroller inom hälso- och sjukvården skulle utgöra ett typfall för hur frågor om behörighet regleras och bör kontrolleras inom andra områden. Behörighetskontroller visade sig emellertid vara hårt särreglerade i patientdatalagen (2008:355; PDL) och lagen (2018:1212) om nationell läkemedelslista (NLL). Denna hantering avviker därför på flera sätt från vad som normalt gäller vid juridiska behörighetskontroller. För det första är det inte den förlitande parten, i betydelsen den som mottar en begäran om att få tillgång till hälso- och sjukvårdsdata, som beställer intyg om identitet och behörighet och med detta underlag gör de kontroller som behövs. Det är den vårdgivare som begär åtkomst (exempelvis vårdgivare A) som anskaffar de identitets- och behörighetshandlingar som behövs och sänder med dem tillsammans med en begäran till den förlitande parten om att få åtkomst. För det andra loggar visserligen den förlitande parten (vårdgivare B) mottagna behörighetshandlingar, men gör inte någon egen identifiering eller kontroll av behörighet, utan litar på att den enskilde användaren är identifierad genom en säker e-legitimation och att dennes roll och arbetsuppgift kontrollerats av vårdgivare A. Däremot kontrollerar vårdgivare B att begäran gäller ett tillåtet ändamål och att patienten inte spärrat sin uppgifter. Granskning ska kunna ske i efterhand. Behörighetskontroller enligt NLL följer en liknande struktur. Inom hälso- och sjukvården är dessutom informationssäkerheten särskilt reglerad genom ett sektorsspecifika bestämmelser i PDL och NLL, medan kraven på informationssäkerhet inom övriga områden normalt följer av särskild författningar om informationssäkerhet.
9.3 Bedömning
När PDL och NLL tillämpas sker kontrollerna således mera i syfte att uppfylla lagstadgade krav på informationssäkerhet och dataskydd, inte för att förlitande part initialt ska kontrollera vem som agerar och om denne är behörig att agera på det sätt som sker. Hanteringen enligt PDL och NLL kan därmed inte läggas till grund för en generell modell för juridisk behörighetskontroll. Det som där betecknas behörighetskontroll framstår i stället somen särskild tillämpning av dataskydds- och sekretessrätten, inte en modell för juridisk behörighetsprövning i allmän mening. Dessutom bygger denna hantering enligt PDL och NLL på direktåtkomst.
...