En identitetsintygstjänst respektive en behörighetsintygstjänst kan beskrivas genom metadata. Metadata för id & behörighet är inte integrerade utan stämplade för sig, dvs. olika digitalt stämplade handlingar som därmed är digitala urkunder och åtnjuter straffrättsligt skydd mot förfalskningar och andra manipulationer.
Med ”gammal” standard
stämplas alla metadata för e-identifiering av en aktör
Digg granskar idag viss del av metadata (stämplas inte särskilt),
Metadata ger i princip tillgång till parts adress och nycklar.
Med "ny” standard (det som nu planeras för e-identifiering och behörighetskontroll)
stämplas visserligen alla metadata av en aktör (den Federationsområdesansvarige, inom här beskrivet område EHM),
i) så att det går att veta vad som är en parts (här vårdaktörs) metadata, men
b) delmängder av metadata kan nu förses med särskild stämpel,
i) så att ett visst intygande kan ske av något i metadata, så att
ii) denna stämplade uppgift därmed kan verifieras automatiserat,
iii) efter att ha intygats vid straffansvar av den som stämplat (aktören själv eller en granskare).
4. Detta skapar oändliga möjligheter att informera via metadata. Endast fantasin sätter gränserna. Det man då glömmer är att juridiken och den tekniska verkligheten kräver gränser.
a) Medan det tidigare i princip bara var fråga om adress- och nyckelinformation,
b) kan metadata nu byggas ut, vad avser innehåll och ändamål, för att upplysa på ett säkert sätt om aktörens
i) förmåga att uppfylla krav på informationssäkerhet
a) vid själva behörighetskontrollerna,
b) i den tjänst som får användas när behörighet visats,
c) vid direktåtkomst (om tjänsten utformats för sådan).
ii) uppfyllelse av andra villkor
a) vid själva behörighetskontrollerna,
b) när en tjänst används efter att behörighet visats
a. t.ex. ändamål för nyttjande eller att att en sekretessbrytande regel gäller
c) vid direktåtkomst till den digitala tjänst som nyttjas, efter en behörighetskontroll (i de fall tjänsten används med gammalt teknik, dvs. direktåtkomst).
iii) ingångna (tilläggs)avtal(spaket) med den aktör som tillhandahåller den digitala tjänst som brukas efter en juridisk behörighetskontroll.
Juristers och verksamhetsansvarigas roll är bl.a att sätta gränser och fördela ansvar efter att ha tydliggjort inom vilka gränser något ska användas och vem som ska ansvara för vad.
Endast metadata av betydelse för behörighetskontroll? Min tanke är att det verkar gå att fördela ansvar korrekt och att uppfatta det som en naturlig del av en behörighetsinfrastruktur om nya stämplade intyg införs, som innehåller uppgifter/data som utgör en delmängd av den metadatasträng som en federationsområdesansvarig har stämplat, och utgör uppgifter som behövs för en juridisk behörighetskontroll, dvs. för att kunna genomföra tillräckliga kontroller av en medarbetares eller en digital aktörs juridiska behörighet. Även beskrivande metadata bör således få införas enligt standard i den mån det krävs för kontrollen av den juridiska behörigheten.
Användning av metadata för att på annat sätt stödja själva handläggningen, av ett ärende som väckts i den digitala tjänsten, än att förenkla och automatisera kontroll av juridisk behörighet hör inte primärt till en behörighetsinfrastruktur.
a) Det blir något annat än en sedvanlig behörighetskontroll om vi, generellt för hela behörighetsinfrastruklturen, ska utforma stöd via metadata för att
i) producera och förmedla bevis exempelvis för att
- förlitande part bara använder mottagna uppgifter för visst ändamål,
- omfattas av en sekretessbrytande regel, eller
- uppfyller tillräckliga säkerhetskrav för att kunna erbjudas direktåtkomst till en viss digital tjänst hos en vårdgivare.
ii) ingå tilläggsavtal rörande digitala tjänster,
b) Det kan uppkomma nya partsförhållanden vid en vidgad användning av metadata och det kan bli komplicerat att utforma en reglering för en så omfattande hantering.
Vid vårt möte den 8 oktober beskrevs följande två exempel översiktligt.
En läkare hos vårdgivare A vill ha åtkomst till en journalhandling hos vårdgivare B och läkaren finner att de juridiska förutsättningarna är uppfyllda för att få ta del av handlingen. Det är då tillräckligt för vårdgivare B att kontrollera från vilken vårdgivare (vilket system) anropet kommer och att ett tillitmärke utfärdats för vårdgivaren. Informationsutbytet bygger därmed på att vårdgivare B litar på vårdgivare A:s hantering av behörigheter för åtkomst till A:s vårdsystem; alltså organisationstillit. Jag uppfattade beskrivningen så att en behörighetsinfrastruktur därmed bara behöver erbjuda
– Frågan är om ett sådant förfarande är rättsenligt och om beskrivningen korrekt återger det som behövs.
En läkare hos vårdgivare A vill ha åtkomst till den nationella läkemeddelslistan för en patient som är på besök. Läkaren finner att de juridiska förutsättningarna är uppfyllda för att få ta del av listan. EHM, som tillhandahåller listan för behöriga aktörer, behöver utöver att kontrollera från vilken vårdgivare (vilket system) anropet kommer och uppgifter i intyg om läkarens identitet och yrkesroll samt sjukvårdsinrättning där denne är verksam. Om ett tillitsmärke levereras med stöd av behörighetsinfrastrukturen fattar EHM automatiserat beslut om behörighet att få direktåtkomst, utan kontroll av uppgifterna i intyget.
Den planerade behörighetsinfrastrukturen behövs därmed för att ett behörighetsintyg och ett tillitsmärke ska kunna levereras, en hantering som sker utanför behörighetsinfrastrukturen (Henric, är det rätt och vad fattas?)
– Frågan är om ett sådant förfarande är rättsenligt och om beskrivningen korrekt återger vad som krävs foe.
3. Den huvudsakliga begränsning till a- och b-fallen har att göra med vad jurister brukar mena med behörighetskontroll.
| Den fråga som ställs | Hur den bedöms |
|---|---|
| a. Vilken fysisk person har agerat? | Härvid används underskrifter, legitimationshandlingar, m.m. — inom Infrastrukturen e-legitimation |
| b. För egen eller för annans räkning? | I vems namn har personen agerat? Här används t.ex. firmateckning för att klargöra att åtgärden vidtagits i egenskap av företrädare för annan — inom Infrastrukturen identifieras Huvudmannen |
| c. Är den som agerar, behörig? | Här används protokollsutdrag, registreringsbevis (visar firmateckningsrätt), fullmakter och liknande dokument — inom Infrastrukturen ett automatiserat stöd |
2. Tanken har också varit att behörighetskontroll ska ske inom vedertagna juridiska ramar – det vill säga hur det går till enligt lag, förordning och rättspraxis. Det beror på att uppdraget är att etablera en nationell infrastruktur och det en jurist i första hand tänker på när den behörighetskontroll sker är registreringsbevis från Bolagsverket och fullmakter. Vi parkerar dessutom den här viktiga frågan om behörighetskontroll av en digital aktör, exempelvis en robot, för att hantera den i senare avsnitt.
3. När ett mål eller ett ärende kommer in till en myndighet ska först en formell prövning ske, bland annat av om den som agerar är behörig att göra det (t.ex. att initiera ett ärende hos en myndighet, exempelvis genom att använda en digital tjänst). Finns inte sådan behörighet avvisas målet (efter att tillfälliga getts att styrka sin behörighet). En handläggning i sak (t.ex. en sekretessprövning eller en ändamålsprövningsprövning enligt registerförfattning) ska äga rum först efter att dessa formalia har klarats av.
3. Samma mönster följs i princip genom att en digitala aktör, exempelvis en robot, inte ska få använda en digital tjänst om den tillhandahåller uppgifter som är juridiskt skyddade annat än om en kontroll som bedöms vara juridiskt tillräcklig har ägt rum av robotens behörighet att agera för "huvudmannen".
4. Jag tror att vi alla har tänkt att den nya infrastrukturen inte ska användas för att handlägga själva ärendet, t.ex. om en handling ska lämnas ut utan hinder av sekretess, utan för den initiala formella kontrollen av om ärendet eller transaktionen har initierats av en behörig medarbetare eller teknisk aktör, exempelvis en robot, och att vi haft förvaltningslagens (och rättegångsbalkens) regler i tankarna.
Tillgången till uppgifter i läkemedelslistan är hårt särreglerad, och ett grundläggande krav är att endast den som är behörigfår ta del av uppgifter. Kravet på behörighetskontroll är därmed centralt för systemets rättsenlighet, både ur integritetssynpunkt och för att uppfylla de krav på informationssäkerhet som följer av EU:s dataskyddsförordning (GDPR) och hälso- och sjukvårdens sekretessbestämmelser.
Av 8–12 §§ läkemedelslistelagen framgår att endast vissa aktörer får ha direktåtkomst till uppgifter i läkemedelslistan, och endast i den utsträckning det behövs för deras uppgifter.
8 § anger att E-hälsomyndigheten ska göra uppgifter i läkemedelslistan tillgängliga för:
den enskilde själv,
den som förskriver läkemedel eller förskrivningsberättigade varor,
den som expedierar läkemedel (apotekspersonal), och
vissa andra aktörer som anges i lagen.
9 § preciserar att tillgången ska vara begränsad till vad som är nödvändigt för respektive ändamål.
10–11 §§ reglerar särskilda fall, t.ex. förskrivares tillgång till en patients uppgifter och den enskildes möjlighet att spärra uppgifter.
Dessa bestämmelser förutsätter att en behörighetskontroll kan säkerställa två saker:
Att användaren är identifierad (vem den är).
Att användaren har rätt att ta del av uppgifterna i den aktuella rollen och för det aktuella ändamålet(behörighet).
I 4 kap. 2 § föreskrivs att E-hälsomyndigheten ska föra loggar och vidta tekniska åtgärder för att säkerställa att åtkomst endast ges till behöriga. Förordningen preciserar att myndigheten ska kunna kontrollera vilken funktion eller yrkesrollsom ligger till grund för åtkomsten. Detta konkretiseras i myndighetens föreskrifter (HSLF-FS 2020:24) om tekniska krav, där det krävs att vårdgivaren överför behörighetsattribut till E-hälsomyndigheten i samband med åtkomstbegäran.
Behörighetskontrollen enligt lagen består alltså av följande komponenter:
| Moment | Innehåll | Rättsligt stöd |
|---|---|---|
| Identifiering | Säker autentisering av individen som begär åtkomst, vanligen via SITHS eller motsvarande godkänd e-legitimation. | 17 § läkemedelslistelagen; 4 kap. 2 § förordningen |
| Rollbaserad behörighet | Kontroll av att individen har en yrkesroll (t.ex. läkare, farmaceut) som medför rätt att se uppgifterna. | 8–11 §§ läkemedelslistelagen |
| Ändamålsprövning | Kontroll av att åtkomsten sker inom ramen för en vårdrelation eller i samband med expedition på apotek. | 9 § läkemedelslistelagen |
| Spärrkontroll | Kontroll av om patienten spärrat uppgifter och om åtkomsten ändå är tillåten (t.ex. vid nödsituation). | 11 § läkemedelslistelagen |
| Loggning och efterhandskontroll | All åtkomst ska loggas och kunna granskas i efterhand. | 4 kap. 2 § förordningen |
Slutsatser
Behörighetskontroll är ett uttryckligt lagkrav enligt läkemedelslistelagen.
E-hälsomyndigheten ansvarar för att tekniskt och organisatoriskt säkerställa att åtkomst endast ges till behöriga.
Vårdgivaren och apoteksaktören ansvarar för att ange korrekt behörighet för sina användare och att hålla denna information aktuell.
En fungerande behörighetsinfrastruktur är därför en förutsättning för att lagen ska kunna tillämpas rättsenligt och effektivt.
| Kontrollmoment | Beskrivning | Rättsligt stöd |
|---|---|---|
| 1. Identifiering (autentisering) | Den som begär åtkomst måste styrka sin identitet genom en e-legitimation som uppfyller E-hälsomyndighetens säkerhetskrav (t.ex. SITHS). | 17 § läkemedelslistelagen; 4 kap. 2 § förordningen |
| 2. Behörighetsverifiering (roll och funktion) | Systemet måste kunna verifiera att individen har en yrkesroll eller funktion (t.ex. läkare, farmaceut) som enligt 8–9 §§ har rätt att ta del av uppgifter. | 8–9 §§ läkemedelslistelagen; prop. 2017/18:223 s. 183 f. |
| 3. Ändamålskontroll (åtkomstens syfte) | Åtkomsten måste ske inom ramen för den aktuella vårdrelationen eller i samband med expedition på apotek. | 9 § läkemedelslistelagen |
| 4. Spärrkontroll (patientens val) | Innan åtkomst medges ska systemet kontrollera om patienten spärrat sina uppgifter och om något undantag (t.ex. nödsituation) gäller. | 11 § läkemedelslistelagen; prop. 2017/18:223 s. 178 f. |
| 5. Teknisk åtkomstkontroll (systemnivå) | E-hälsomyndigheten ska ha rutiner och systemstöd som i realtid kontrollerar behörighetsattribut innan uppgifter lämnas ut. | 17 § läkemedelslistelagen; 4 kap. 2 § förordningen |
Dessa kontroller är villkor för att direktåtkomst över huvud taget ska medges. De ska alltså utföras automatiskt eller administrativt innan någon uppgift lämnas ut från den nationella läkemedelslistan.
| Kontrollmoment | Beskrivning | Rättsligt stöd |
|---|---|---|
| 1. Loggning av all åtkomst | Varje åtkomst ska registreras med uppgift om vem som tagit del av vad, när och för vilket ändamål. | 4 kap. 2 § förordningen; 8 kap. 1 § läkemedelslistelagen |
| 2. Systematisk uppföljning av loggar | E-hälsomyndigheten ska systematiskt och återkommande granska loggarna för att upptäcka obehörig åtkomst. | 8 kap. 1 § läkemedelslistelagen |
| 3. Incident- och avvikelsehantering | Vid misstanke om obehörig åtkomst ska E-hälsomyndigheten utreda händelsen och underrätta berörda parter. | 8 kap. 1 § läkemedelslistelagen; förordningen 4 kap. 2 § |
| 4. Revision och tillsyn | E-hälsomyndigheten ska kunna uppvisa loggar och kontrollsystem för tillsynsmyndigheter (IMY m.fl.) och vid behov korrigera brister. | 8 kap. 1–2 §§ läkemedelslistelagen |
| 5. Återkallelse av åtkomst | Om en användares behörighet upphör eller missbrukas ska åtkomsten omedelbart återkallas. | 17 § läkemedelslistelagen; prop. 2017/18:223 s. 185 |
användaren är korrekt identifierad,
användaren har behörighet grundad på roll och arbetsuppgift, och
åtkomsten sker för ett tillåtet ändamål enligt 4 kap. 2 § patientdatalagen, såsom vårddokumentation, kvalitetssäkring eller forskning.
| Moment | Innehåll | Rättsligt stöd |
|---|---|---|
| Identifiering | Säker autentisering av individen som begär åtkomst, normalt genom SITHS eller annan e-legitimation med motsvarande säkerhetsnivå. | 6 kap. 5 § PDL; 3 kap. 2 § patientdataförordningen |
| Roll- och arbetsuppgiftsbaserad behörighet | Kontroll av att individen har en yrkesroll eller arbetsuppgift som kräver åtkomst till uppgifterna. | 6 kap. 5 § PDL; prop. 2007/08:126 s. 149 f. |
| Ändamålskontroll | Åtkomsten ska ske endast för tillåtet ändamål enligt 4 kap. 2 §, t.ex. vårddokumentation eller kvalitetssäkring. | 4 kap. 2 § PDL |
| Samtyckes- och spärrkontroll | Patienten kan spärra uppgifter enligt 4 kap. 3 §. Systemet ska kontrollera om spärr finns och om undantag (t.ex. nödöppning) gäller. | 4 kap. 3 § PDL |
| Loggning och uppföljning | All åtkomst ska loggas och kunna granskas i efterhand. | 6 kap. 7 § PDL; 3 kap. 9 § patientdataförordningen |
Krav på behörighetskontroll följer uttryckligen av 6 kap. 5–7 §§ patientdatalagen.
Vårdgivaren ansvarar för att tekniskt och organisatoriskt säkerställa att endast behörig personal har åtkomst till patientuppgifter.
Behörigheten ska kopplas till individens roll, funktion och vårdrelation samt till lagens tillåtna ändamål.
En fungerande behörighetsinfrastruktur är nödvändig för att möjliggöra säker och rättsenlig åtkomst till patientuppgifter mellan olika vårdgivare.
| Kontrollmoment | Beskrivning | Rättsligt stöd |
|---|---|---|
| 1. Identifiering (autentisering) | Den som begär åtkomst måste styrka sin identitet genom en e-legitimation som uppfyller vårdgivarens säkerhetskrav (t.ex. SITHS). | 6 kap. 5 § PDL; 3 kap. 2 § patientdataförordningen |
| 2. Behörighetsverifiering (roll och arbetsuppgift) | Systemet ska verifiera att individen har den roll eller funktion som krävs för åtkomst till den aktuella informationen. | 6 kap. 5 § PDL; prop. 2007/08:126 s. 149 f. |
| 3. Ändamålskontroll (åtkomstens syfte) | Åtkomsten ska ske för ett tillåtet ändamål enligt 4 kap. 2 § PDL. | 4 kap. 2 § PDL |
| 4. Spärrkontroll (patientens val) | Systemet ska kontrollera om patienten spärrat sina uppgifter och om undantag (t.ex. nödöppning) är tillämpligt. | 4 kap. 3 § PDL |
| 5. Teknisk åtkomstkontroll (systemnivå) | Vårdgivaren ska ha rutiner och systemstöd som kontrollerar behörighetsattribut innan åtkomst medges. | 3 kap. 2 § patientdataförordningen |
| Kontrollmoment | Beskrivning | Rättsligt stöd |
|---|---|---|
| 1. Loggning av all åtkomst | Varje åtkomst ska registreras med uppgift om vem som tagit del av vad, när och för vilket ändamål. | 6 kap. 7 § PDL; 3 kap. 9 § patientdataförordningen |
| 2. Systematisk uppföljning av loggar | Vårdgivaren ska regelbundet granska loggarna för att upptäcka obehörig åtkomst. | 6 kap. 7 § PDL |
| 3. Incident- och avvikelsehantering | Vid misstanke om obehörig åtkomst ska vårdgivaren utreda händelsen och underrätta berörda parter. | 6 kap. 7 § PDL; prop. 2007/08:126 s. 150 |
| 4. Revision och tillsyn | Loggar och kontrollsystem ska kunna uppvisas för tillsynsmyndigheter (IMY, IVO) och granskas vid behov. | 6 kap. 7 § PDL |
| 5. Återkallelse av åtkomst | Om en användares roll eller anställning förändras ska behörigheten omedelbart ändras eller återkallas. | 6 kap. 5 § PDL |
Identifiering (autentisering) – den som begär åtkomst ska styrka sin identitet med en e-legitimation som uppfyller fastställda säkerhetskrav, vanligen SITHS.
Behörighetsverifiering – det ska finnas uppgift om användarens roll eller funktion (t.ex. läkare, farmaceut, sjuksköterska) som grund för åtkomst.
Ändamålsprövning – åtkomst får endast ske inom ramen för de ändamål som uttryckligen anges i respektive lag (vårddokumentation, förskrivning, expedition m.m.).
Spärr- och samtyckeshantering – innan uppgifter lämnas ut ska systemet kontrollera eventuella spärrar som beslutats av patienten samt de undantag som gäller vid nödsituationer.
Loggning och uppföljning – varje åtkomst ska registreras och regelbundet granskas för att upptäcka obehörig åtkomst eller missbruk.
I NLL är det E-hälsomyndigheten som tillhandahåller systemet och därför måste kunna verifiera användarens behörighet i realtid, men med stöd av uppgifter som tillhandahålls av den vårdgivare eller apoteksaktör som ansvarar för användaren.
I PDL är det däremot varje vårdgivare som själv ansvarar för behörighetsstyrning, loggning och kontroll inom sin organisation, och som ska kunna visa att åtkomst endast medges när det är nödvändigt för vården.