Versions Compared

Old Version 51

changes.mady.by.user Per Furberg

Saved on

compared with

New Version 52

changes.mady.by.user Per Furberg

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Vid vårt möte den 8 oktober beskrevs följande två exempel översiktligt.

...

En vårdgivare ger en annan vårdgivare tillgång till hälsodata  (PDL)

En läkare hos vårdgivare A vill ha åtkomst till en journalhandling hos vårdgivare B och läkaren finner att de juridiska förutsättningarna är uppfyllda för att få ta del av handlingen. Det är då tillräckligt för vårdgivare B att kontrollera från vilken vårdgivare (vilket system) anropet kommer och att ett tillitmärke utfärdats för vårdgivaren. Informationsutbytet bygger därmed på att vårdgivare B litar på vårdgivare A:s hantering av behörigheter för åtkomst till A:s vårdsystem; alltså organisationstillit. Jag uppfattade beskrivningen så att en behörighetsinfrastruktur därmed bara behöver erbjuda

  1. rätt adress och nyckel för att det ska kunna kontrolleras från vilken aktör kommunikationen kommer, och
  2. stöd för att kommunicera ett tillitsmärke.  tillitsmärken. [Här måste omfattningen av Diggs respektive EHMs uppdrag klargöras]

Frågan är om ett sådant förfarande är rättsenligt och om beskrivningen korrekt återger det som behövs [detta behöver klargöras].

Kommunikation med den nationella läkemedelslistan (NLL)

...

  1. Lagen (2018:1212) om nationell läkemedelslista (”läkemedelslistelagen”NLL) reglerar behandling av personuppgifter i den nationella läkemedelslista som förs av E-hälsomyndigheten.

  2. Tillgången till uppgifter i läkemedelslistan är hårt särreglerad, och ett grundläggande krav är att endast den som är"behörig"får ta del av uppgifter. Kravet på behörighetskontroll är därmed centralt för systemets rättsenlighet, både ur integritetssynpunkt och för att uppfylla de krav på informationssäkerhet som följer av EU:s dataskyddsförordning (GDPR) och hälso- och sjukvårdens sekretessbestämmelser.

  3. Av 8–12 §§ läkemedelslistelagen framgår att endast vissa aktörer får ha direktåtkomst till uppgifter i läkemedelslistan, och endast i den utsträckning det behövs för deras arbetsuppgifter.

    • 8 § anger att E-hälsomyndigheten ska göra uppgifter i läkemedelslistan tillgängliga för bland annat den som förskriver läkemedel eller och den som expedierar läkemedel.

    • 9 § preciserar att tillgången ska vara begränsad till vad som är nödvändigt för respektive ändamål.

    • 10–11 §§ reglerar särskilda fall, t.ex. förskrivares tillgång till en patients uppgifter och den enskildes möjlighet att spärra uppgifter.

  4. Dessa bestämmelser förutsätter att en behörighetskontroll kan säkerställa två saker:

    1. Att användaren är identifierad (vem den är).

    2. Att användaren har rätt att ta del av uppgifterna i den aktuella rollen och för det aktuella ändamålet(behörighet).

  5. Enligt 17 § ska E-hälsomyndigheten se till att obehörig åtkomst förhindras. Av förarbetena (prop. 2017/18:223 s. 183 f.) framgår att detta innebär krav på ett tekniskt och organisatoriskt system för behörighetskontroll. Myndigheten ska säkerställa att endast personer med korrekt vårdrelation, roll och ändamål får åtkomst. Behörighetskontrollen ska bygga på en säker identitetshantering och tilldelning av roller och åtkomsträttigheter som motsvarar den enskildes funktion i vården, vilket innebär att E-hälsomyndigheten inte själv beslutar vem som är behörig i vårdorganisationen, men myndigheten ska kunna kontrollera och verifiera att åtkomsten grundas på giltig behörighetsinformation från den vårdgivare eller apoteksaktör som ansvarar för användaren.

  6. I 4 kap. 2 § föreskrivs att E-hälsomyndigheten ska föra loggar och vidta tekniska åtgärder för att säkerställa att åtkomst endast ges till behöriga. Förordningen preciserar att myndigheten ska kunna kontrollera vilken funktion eller yrkesroll som ligger till grund för åtkomsten. Detta konkretiseras i myndighetens föreskrifter (HSLF-FS 2020:24) om tekniska krav, där det krävs att vårdgivaren överför behörighetsattribut till E-hälsomyndigheten i samband med åtkomstbegäran (men inte att E-hälsomyndigheten momentant kontrollerar att behörighet föreligger).

...

Det en jurist härvid menar med en behörighetskontroll bygger på följande förfarande.

Den fråga som ställs

Hur den bedöms

a. Vilken fysisk person har agerat?

Härvid används underskrifter, legitimationshandlingar, m.m. — inom Infrastrukturen för e-legitimering

b. För egen eller för annans räkning?

I vems namn har personen agerat? Här används t.ex. firmateckning för att klargöra att åtgärden vidtagits i egenskap av företrädare för annan — inom infrastrukturen identifieras huvudmannen

c. Är den som agerar behörig att agera för annans räkning?

Här används protokollsutdrag, registreringsbevis som visar firmateckningsrätt, fullmakter, bevis om viss yrkesroll och liknande behörighetshandlingar — inom Infrastrukturen digitala behörighetshandlingar

Detta förfarande har valts eftersom förlitande part står risken i förhållande till angiven huvudman för om någon annan agerat än den som angivits (bristande identifiering) eller om den som agerat saknat juridisk behörighet att utföra åtgärden (bristande behörighet). Identitets- och behörighetskontroller behöver ske i enlighet med rättsordningen inom vedertagna juridiska ramar så som de sedan länge tillämpats av jurister. 

...