...
- EHDS bygger på en decentraliserad ansvarsfördelning där varje medlemsstat ansvarar för de uppgifter som härrör från dess nationella hälso- och sjukvårdssystem. Enligt artikel 12.1 EHDS ska varje medlemsstat inrätta en nationell eHealth-nod (National Contact Point for eHealth). Denna nod ska säkerställa att gränsöverskridande tillgång till elektroniska hälsouppgifter endast beviljas till auktoriserad hälso- och sjukvårdspersonal och endast för tillåtna ändamål.
- Vidare följer av artikel 14.1 att medlemsstaterna ska ”garantera att åtkomst till elektroniska hälsouppgifter av hälso- och sjukvårdspersonal från en annan medlemsstat sker endast efter verifiering av identitet, yrkesmässig behörighet och ändamål, samt i enlighet med tillämplig nationell rätt”. Bestämmelsen innebär att den medlemsstat som innehar uppgifterna (den utlämnande staten) ansvarar för att kontrollera dessa förutsättningar innan utlämnande sker. Kontrollen ska utföras genom den nationella eHealth-noden, som fungerar som en förlitande part (relying party) enligt eIDAS-förordningens terminologi (förordning (EU) nr 910/2014, särskilt artikel 6).
I svensk rätt, enligt 6 kap. 2 § PDL, sker som framgått utlämnande genom direktåtkomst där den begärande parten själv autentiserar sig och uppgifterna tillgängliggörs utan att den utlämnande parten gör en individuell prövning. Detta är inte förenligt med den modell EHDS beskriver, eftersom utlämnande enligt EU-rätten alltid förutsätter att den som innehar uppgifterna självständigt verifierar och beslutar om utlämnande (av EHDS:sartikel 14.1 och skäl 28 framgår således att ansvaret för verifiering och beslut vid utlämnande ligger hos den utlämnande medlemsstaten), se följande sammanställning där det framgår att den utlämnande staten inte får förlita sig enbart på att den begärande statens eHealth-nod har gjort en korrekt behörighetskontroll utan själv måste verifiera det elektroniska identitetsintyget och behörighetsintyget (”health professional attribute credential”) innan uppgifterna görs tillgängliga.
| Led i processen | Begärande stat | Utlämnande stat |
|---|---|---|
| Autentisering | Identifierar vårdpersonal med eIDAS-godkänd e-legitimation (art. 7 EHDS). | Verifierar den mottagna eID:n enligt eIDAS (art. 6 EHDS; art. 6 eIDAS). |
| Behörighetsverifiering | Utfärdar intyg om yrkesbehörighet. | Kontrollerar att intyget är giltigt och motsvarar tillåten åtkomst (art. 14.1 EHDS). |
| Beslut om utlämnande | Ej beslutsfattande. | Beslutar om utlämnande efter fullständig verifiering (art. 14.1 EHDS; art. 5.2 GDPR). |
...
4. Det kan därmed konstateras att den svenska ordningen med direktåtkomst, där utlämnande i praktiken sker utan individuell prövning av den utlämnande parten, utgör ettnationellt undantag från det EU-gemensamma behörighetsmönstret, vilket framgår indirekt vid en tolkning av EHDS, särskilt artiklarna 12 och 14, samt av den bakomliggande dataskyddsrättsliga ansvarsfördelningen enligt GDPR (artiklarna 5.2 och 32). Även kommissionens motivering till förslaget anger att varje medlemsstat ska säkerställa ”control over access to data and clear accountability for disclosure decisions” (skäl 28 i förordningsförslaget).
Den svenska modellen, där förlitande part i vissa fall inte fattar ett uttryckligt beslut om utlämnande, är därför inte förenlig med EHDS:s grundläggande principer för ansvar och kontroll vid datadelning. Den får betraktas som ett nationellt arrangemang som inte kan tillämpas för gränsöverskridande utbyte inom det europeiska hälsodataområdet.