...
Digg har i uppdrag att utveckla en sammanhållen infrastruktur för identitets- och behörighetshantering för Ena – Sveriges digitala infrastruktur (avsnitt 1.1.1), medan E-hälsomyndigheten har i uppdrag är att ta fram en sådan infrastruktur för hälso- och sjukvårdsområdet (avsnitt 1.1.2). Digg ska således utveckla en infrastruktur för samhället som helhet medan E-hälsomyndighetens uppdrag är begränsat till hälso- och sjukvårdsområdet. Den sammanhållna infrastrukturen ska vidare stödja juridisk kontroll av behörigbehörighet. Det är alltså inte fråga om ett behörighetskontrollsystem (BKS) i teknisk mening, utan om att digitalt tillgängliggöra de uppgifter som behövs vid juridiska kontroller av identitet och behörighet. Digg har härvid definierat juridisk behörighetskontroll som en granskning av om en medarbetare, i juridisk mening
...
2. hur omfattande behörighetskontroller som måste göras i ett ärende eller vid en transaktion (exempelvis kräver rättegångsbalken kontroll av fullmakt medn medan förvaltningslagen och den civilrättsliga regleringen lämnar över till den som handlägger ärendet eller transaktionen att bedöma om en fullmakt ska krävas i det enskilda fallet).
...
Eftersom Diggs uppdrag knutits till E-hälsomyndighetens uppdrag har Digg inlett sitt arbete utifrån antagandet att behörighetskontroller inom hälso- och sjukvården skulle utgöra ett typfall för hur frågor om behörighet regleras och bör kontrolleras inom andra områden. Behörighetskontroller visade sig emellertid vara hårt särreglerade i patientdatalagen (2008:355; PDL) och lagen (2018:1212) om nationell läkemedelslista (NLL). Denna hantering avviker därför på flera sätt från vad som normalt gäller vid juridiska behörighetskontroller. För det första är det inte den förlitande parten, i betydelsen den som mottar en begäran om att få tillgång till hälso- och sjukvårdsdata, som beställer intyg om identitet och behörighet och med detta underlag gör de kontroller som behövs. Det är den vårdgivare som begär åtkomst (exempelvis vårdgivare A) som anskaffar de identitets- och behörighetshandlingar som behövs och sänder med dem tillsammans med en begäran till den förlitande parten om att få åtkomst. För det andra loggar visserligen den förlitande parten (vårdgivare B) mottagna behörighetshandlingar, men gör inte någon egen identifiering eller kontroll av behörighet, utan litar på att den enskilde användaren är identifierad genom en säker e-legitimation och att dennes roll och arbetsuppgift kontrollerats av vårdgivare A. Däremot kontrollerar vårdgivare B att begäran gäller ett tillåtet ändamål och att patienten inte spärrat sin sina uppgifter. Granskning ska kunna ske i efterhand. Behörighetskontroller enligt NLL följer en liknande struktur. Inom hälso- och sjukvården är dessutom informationssäkerheten särskilt reglerad genom ett sektorsspecifika bestämmelser i PDL och NLL, medan kraven på informationssäkerhet inom övriga områden normalt följer av särskild författningar om informationssäkerhet.
...