Bakgrund

  1. Det som går under beteckningen "tillitsmärken" är en joker i leken och det har visat sig vara av särskild betydelse att förstå hur EHM tänker sig att använda sådana. Vid ett möte den 8 oktober beskrevs på hög juridisk abstraktionsnivå två exempel,
    1. dels användning för kommunikation mellan två vårdgivare,
    2. dels användning för tillgång till uppgifter i den nationella läkemedelslistan (NLL).
  2. Innan de beskrivningarna redovisas ska det emellertid beröras
    1. hur metadata hanteras enligt ny standardisering, och
    2. vad som i juridiska sammanhang avses med behörighetskontroll.

Metadatahantering nu och i framtiden 

Beskrivning av funktionssätt

  1. En identitetsintygstjänst respektive en behörighetsintygstjänst kan beskrivas genom metadata. Metadata för id & behörighet är inte integrerade utan stämplade för sig, dvs. olika digitalt stämplade handlingar som därmed är digitala urkunder och åtnjuter straffrättsligt skydd mot förfalskningar och andra manipulationer.

  2. Med ”gammal” standard 

    1. stämplas alla metadata för e-identifiering av en aktör

      1. Digg granskar idag viss del av metadata (stämplas inte särskilt), 

      2. Metadata ger i princip tillgång till parts adress och nycklar.

  3. Med "ny” standard (det som nu planeras för e-identifiering och behörighetskontroll)

    1. stämplas visserligen alla metadata av en aktör (den Federationsområdesansvarige, inom här beskrivet område EHM),

i) så att det går att veta vad som är en parts (här vårdaktörs) metadata, men

b) delmängder av metadata kan nu förses med särskild stämpel,

i) så att ett visst intygande kan ske av något i metadata, så att

ii) denna stämplade uppgift därmed kan verifieras automatiserat,

iii) efter att ha intygats vid straffansvar av den som stämplat (aktören själv eller en granskare).

4. Detta skapar oändliga möjligheter att informera via metadata. Endast fantasin sätter gränserna. Det man då glömmer är att juridiken och den tekniska verkligheten kräver gränser.

a) Medan det tidigare i princip bara var fråga om adress- och nyckelinformation,

b) kan metadata nu byggas ut, vad avser innehåll och ändamål, för att upplysa på ett säkert sätt om aktörens 

i) förmåga att uppfylla krav på informationssäkerhet 

a) vid själva behörighetskontrollerna,

b) i den tjänst som får användas när behörighet visats,

c) vid direktåtkomst (om tjänsten utformats för sådan).

ii) uppfyllelse av andra villkor

a) vid själva behörighetskontrollerna,

b) när en tjänst används efter att behörighet visats

a. t.ex. ändamål för nyttjande eller att att en sekretessbrytande regel gäller

c) vid direktåtkomst till den digitala tjänst som nyttjas, efter en behörighetskontroll (i de fall tjänsten används med gammalt teknik, dvs. direktåtkomst).

iii) ingångna (tilläggs)avtal(spaket) med den aktör som tillhandahåller den digitala tjänst som brukas efter en juridisk behörighetskontroll.

Preliminära slutsatser

  1. Med ”tillitsmärke” menas därmed ett stämplat intyg där texten (data som stämplats) utgörs av vissa delar av en aktörs metadata (delar av den helhet av metadata som den Federationsområdesansvarige stämplat i syfte att skapa ett bevis för vad som är en viss parts samlade metadata).
  2. Experter på teknik, arkitektur och verksamhetsutveckling är kreativa och ser många nya möjligheter att lösa tidigare manuella uppgifter automatiserat.

  3. Juristers och verksamhetsansvarigas roll är bl.a  att sätta gränser och fördela ansvar efter att ha tydliggjort inom vilka gränser något ska användas och vem som ska ansvara för vad.

  4. Endast metadata av betydelse för behörighetskontroll? Min tanke är att det verkar gå att fördela ansvar korrekt och att uppfatta det som en naturlig del av en behörighetsinfrastruktur om nya stämplade intyg införs, som innehåller uppgifter/data som utgör en delmängd av den metadatasträng som en federationsområdesansvarig har stämplat, och utgör uppgifter som behövs för en juridisk behörighetskontroll, dvs. för att kunna genomföra tillräckliga kontroller av en medarbetares eller en digital aktörs juridiska behörighet. Även beskrivande metadata bör således få införas enligt standard i den mån det krävs för kontrollen av den juridiska behörigheten.

  5. Användning av metadata för att på annat sätt stödja själva handläggningen, av ett ärende som väckts i den digitala tjänsten, än att förenkla och automatisera kontroll av juridisk behörighet hör inte primärt till en behörighetsinfrastruktur.

a) Det blir något annat än en sedvanlig behörighetskontroll om vi, generellt för hela behörighetsinfrastruklturen, ska utforma stöd via metadata för att

i) producera och förmedla bevis exempelvis för att

- förlitande part bara använder mottagna uppgifter för visst ändamål,

- omfattas av en sekretessbrytande regel, eller

- uppfyller tillräckliga säkerhetskrav för att kunna erbjudas direktåtkomst till en viss digital tjänst hos en vårdgivare.

ii) ingå tilläggsavtal rörande digitala tjänster,

b) Det kan uppkomma nya partsförhållanden vid en vidgad användning av metadata och det kan bli komplicerat att utforma en reglering för en så omfattande hantering.

Ett första försök till beskrivning av metadataanvändningen inom EHM

Vid vårt möte den 8 oktober beskrevs följande två exempel översiktligt.

Två vårdgivare kommunicerar (PDL)

En läkare hos vårdgivare A vill ha åtkomst till en journalhandling hos vårdgivare B och läkaren finner att de juridiska förutsättningarna är uppfyllda för att få ta del av handlingen. Det är då tillräckligt för vårdgivare B att kontrollera från vilken vårdgivare (vilket system) anropet kommer och att ett tillitmärke utfärdats för vårdgivaren. Informationsutbytet bygger därmed på att vårdgivare B litar på vårdgivare A:s hantering av behörigheter för åtkomst till A:s vårdsystem; alltså organisationstillit. Jag uppfattade beskrivningen så att en behörighetsinfrastruktur därmed bara behöver erbjuda

  1. rätt adress och nyckel för att det ska kunna kontrolleras från vilken aktör kommunikationen kommer, och
  2. stöd för att kommunicera ett tillitsmärke.

Frågan är om ett sådant förfarande är rättsenligt och om beskrivningen korrekt återger det som behövs.

Kommunikation med den nationella läkemedelslistan (NLL)

En läkare hos vårdgivare A vill ha åtkomst till den nationella läkemeddelslistan för en patient som är på besök. Läkaren finner att de juridiska förutsättningarna är uppfyllda för att få ta del av listan. EHM, som tillhandahåller listan för behöriga aktörer, behöver utöver att kontrollera från vilken vårdgivare (vilket system) anropet kommer och uppgifter i intyg om läkarens identitet och yrkesroll samt sjukvårdsinrättning där denne är verksam. Om ett tillitsmärke levereras med stöd av behörighetsinfrastrukturen fattar EHM automatiserat beslut om behörighet att få direktåtkomst, utan kontroll av uppgifterna i intyget. 

Den planerade behörighetsinfrastrukturen behövs därmed för att ett behörighetsintyg och ett tillitsmärke ska kunna levereras, en hantering som sker utanför behörighetsinfrastrukturen (Henric, är det rätt och vad fattas?)

– Frågan är om ett sådant förfarande är rättsenligt och om beskrivningen korrekt återger vad som krävs foe.

Vad menas med behörighetskontroll

Hur Digg uppfattat frågan

  1. Digg har uppfattat sitt uppdrag så att myndigheten, när den nya infrastrukturen finns på plats, ska ansvara för tillgången till infrastruktur och tjänster för juridisk behörighetskontroll.
  2. Digg har vidare definierat juridisk behörighetskontroll som en granskning av om en medarbetare, i juridisk mening
    1. är behörig att agera för angiven huvudmans räkning, eller
    2. har en yrkesroll som innefattar en rätt att agera på det sätt som sker.
    3. Till detta har tillagts följande, "eller c) deltar i verksamhet hos huvudmannen där medarbetaren behöver vidta en åtgärd eller agera på annat sätt", med tanke på att hantera behov som rör elever vid skola, även om det i den delen inte handlar om en juridisk behörighet att agera för annan eller en yrkesroll i egentlig mening utan bara om att få direkt tillgång till system.

3. Den huvudsakliga begränsning till a- och b-fallen har att göra med vad jurister brukar mena med behörighetskontroll.

Den fråga som ställsHur den bedöms
a. Vilken fysisk person har agerat?Härvid används underskrifter, legitimationshandlingar, m.m. — inom Infrastrukturen e-legitimation
b. För egen eller för annans räkning?I vems namn har personen agerat? Här används t.ex. firmateckning för att klargöra att åtgärden vidtagits i egenskap av företrädare för annan — inom Infrastrukturen identifieras Huvudmannen
c. Är den som agerar, behörig?Här används protokollsutdrag, registreringsbevis (visar firmateckningsrätt), fullmakter och liknande dokument — inom Infrastrukturen ett automatiserat stöd


2.    Tanken har också varit att behörighetskontroll ska ske inom vedertagna juridiska ramar – det vill säga hur det går till enligt lag, förordning och rättspraxis. Det beror på att uppdraget är att etablera en nationell infrastruktur och det en jurist i första hand tänker på när en behörighetskontroll ska ske är registreringsbevis från Bolagsverket och fullmakter. Vi parkerar den här viktiga frågan om behörighetskontroll beträffande digitala aktörer, exempelvis en robot, för att hantera den frågan i ett senare steg.

3. När ett mål eller ett ärende kommer in till en myndighet ska först en formell prövning ske, bland annat av om den som agerar är behörig att vidta åtgärden (t.ex. att initiera ett ärende hos en myndighet genom en digital tjänst). Saknas juridisk behörighet ska ärendet avvisas (efter att tillfälle getts att styrka behörigheten). En handläggning i sak (t.ex. en sekretessprövning eller en ändamålsprövningsprövning enligt en registerförfattning) sker först efter att denna formalia har klarats av.

3. Samma mönster följs i princip genom att en digitala aktör, exempelvis en robot, ska få använda en digital tjänst bara om en kontroll gjorts av robotens behörighet att agera för "huvudmannen".

4. Jag antar att vi alla tänker att den nya infrastrukturen bara för behörighetskontroller, inte för att handlägga själva ärendet som kan handla exempelvis om en handling ska lämnas ut utan hinder av sekretess.

Andra regler gäller för behörighetskontroll inom hälso- och sjukvård

  1. Frågan blir då vad som gäller för en behörighetskontroll i de två exemplen i avsnitten 3.1 och 3.2, enligt bl.a. PDL och NLL.
  2. Vad som menas med "behörighetskontroll" är där
    1. hårt särreglerat, genom bestämmelser som inte följer det ovan beskrivna mönstret, och
    2. tar sikte på direktåtkomst, medan den teknik som numera införts även inom hälso- och sjukvård följer mönstret för utlämnande på medium (fråga och svar enligt Högsta förvaltningsdomstolens bedömning i det så kallade LEFI online-målet).

Exemplet där uppgifter behövs från den nationella läkemedelslistan

  1. Lagen (2018:1212) om nationell läkemedelslista (”läkemedelslistelagen”) reglerar behandling av personuppgifter i den nationella läkemedelslista som förs av E-hälsomyndigheten.

  2. Tillgången till uppgifter i läkemedelslistan är hårt särreglerad, och ett grundläggande krav är att endast den som är "behörig" får ta del av uppgifter. Kravet på behörighetskontroll är därmed centralt för systemets rättsenlighet, både ur integritetssynpunkt och för att uppfylla de krav på informationssäkerhet som följer av EU:s dataskyddsförordning (GDPR) och hälso- och sjukvårdens sekretessbestämmelser.

  3. Av 8–12 §§ läkemedelslistelagen framgår att endast vissa aktörer får ha direktåtkomst till uppgifter i läkemedelslistan, och endast i den utsträckning det behövs för deras arbetsuppgifter.

  4. Dessa bestämmelser förutsätter att en behörighetskontroll kan säkerställa två saker:

    1. Att användaren är identifierad (vem den är).

    2. Att användaren har rätt att ta del av uppgifterna i den aktuella rollen och för det aktuella ändamålet(behörighet).

  5. Enligt 17 § ska E-hälsomyndigheten se till att obehörig åtkomst förhindras. Av förarbetena (prop. 2017/18:223 s. 183 f.) framgår att detta innebär krav på ett tekniskt och organisatoriskt system för behörighetskontroll. Myndigheten ska säkerställa att endast personer med korrekt vårdrelation, roll och ändamål får åtkomst. Behörighetskontrollen ska bygga på en säker identitetshantering och tilldelning av roller och åtkomsträttigheter som motsvarar den enskildes funktion i vården, vilket innebär att E-hälsomyndigheten inte själv beslutar vem som är behörig i vårdorganisationen, men myndigheten ska kunna kontrollera och verifiera att åtkomsten grundas på giltig behörighetsinformation från den vårdgivare eller apoteksaktör som ansvarar för användaren.

  6. I 4 kap. 2 § föreskrivs att E-hälsomyndigheten ska föra loggar och vidta tekniska åtgärder för att säkerställa att åtkomst endast ges till behöriga. Förordningen preciserar att myndigheten ska kunna kontrollera vilken funktion eller yrkesroll som ligger till grund för åtkomsten. Detta konkretiseras i myndighetens föreskrifter (HSLF-FS 2020:24) om tekniska krav, där det krävs att vårdgivaren överför behörighetsattribut till E-hälsomyndigheten i samband med åtkomstbegäran (men inte att E-hälsomyndigheten momentant kontrollerar att behörighet föreligger).

Behörighetskontrollen enligt lagen består alltså av följande komponenter:

MomentInnehållRättsligt stöd
IdentifieringSäker autentisering av individen som begär åtkomst, vanligen via SITHS eller motsvarande godkänd e-legitimation.17 § läkemedelslistelagen; 4 kap. 2 § förordningen
Rollbaserad behörighetKontroll av att individen har en yrkesroll (t.ex. läkare, farmaceut) som medför rätt att se uppgifterna.8–11 §§ läkemedelslistelagen
ÄndamålsprövningKontroll av att åtkomsten sker inom ramen för en vårdrelation eller i samband med expedition på apotek.9 § läkemedelslistelagen
SpärrkontrollKontroll av om patienten spärrat uppgifter och om åtkomsten ändå är tillåten (t.ex. vid nödsituation).11 § läkemedelslistelagen
Loggning och efterhandskontrollAll åtkomst ska loggas och ska kunna granskas i efterhand.4 kap. 2 § förordningen

Slutsatser

    1. Behörighetskontroll är ett uttryckligt lagkrav enligt läkemedelslistelagen.

    2. E-hälsomyndigheten ansvarar för att tekniskt och organisatoriskt säkerställa att åtkomst endast ges till behöriga, men

    3. det är vårdgivaren respektive apoteksaktören som ansvarar för att ange korrekt behörighet för sina användare och att hålla denna information aktuell.

Kontroller som krävs innan direktåtkomst ges (förhandskontroller)

KontrollmomentBeskrivningRättsligt stöd
1. Identifiering (autentisering)Den som begär åtkomst måste styrka sin identitet genom en e-legitimation som uppfyller E-hälsomyndighetens säkerhetskrav (t.ex. SITHS).17 § läkemedelslistelagen; 4 kap. 2 § förordningen
2. Behörighetsverifiering (roll och funktion)Systemet måste kunna verifiera att individen har en yrkesroll eller funktion (t.ex. läkare, farmaceut) som enligt 8–9 §§ har rätt att ta del av uppgifter.8–9 §§ läkemedelslistelagen; prop. 2017/18:223 s. 183 f.
3. Ändamålskontroll (åtkomstens syfte)Åtkomsten måste ske inom ramen för den aktuella vårdrelationen eller i samband med expedition på apotek.9 § läkemedelslistelagen
4. Spärrkontroll (patientens val)Innan åtkomst medges ska systemet kontrollera om patienten spärrat sina uppgifter och om något undantag (t.ex. nödsituation) gäller.11 § läkemedelslistelagen; prop. 2017/18:223 s. 178 f.
5. Teknisk åtkomstkontroll (systemnivå)E-hälsomyndigheten ska ha rutiner och systemstöd som i realtid kontrollerar behörighetsattribut innan uppgifter lämnas ut.17 § läkemedelslistelagen; 4 kap. 2 § förordningen

Dessa kontroller är villkor för att direktåtkomst över huvud taget ska medges. De ska alltså utföras automatiskt eller administrativt innan någon uppgift lämnas ut från den nationella läkemedelslistan.

  1. Förhandskontrollerna genomförs i samverkan mellan vårdgivarens eller apoteksaktörens behörighetssystem och E-hälsomyndighetens åtkomsttjänst:
    1. Vårdgivaren/apoteksaktören svarar för identifiering och behörighetsverifiering genom att tilldela och intyga korrekta användarroller (1–2).
    2. E-hälsomyndigheten svarar för teknisk åtkomstkontroll och spärrkontroll i realtid vid utlämnandet (4–5).
    3. Ändamålskontrollen sker gemensamt, där vårdgivarens system anger roll och vårdrelation och E-hälsomyndigheten endast verifierar att sådan åtkomsten ryms inom lagens tillåtna ändamål. 
  2. Det innebär alltså att den som medger direktåtkomst (E-hälsomyndigheten) i realtid endast behöver utföra den momentana kontrollen av spärr, teknisk åtkomst och ändamålsöverensstämmelse, medan de mer omfattande kontrollerna av identitet och roll redan är genomförda av medarbetarens huvudman innan åtkomstbegäran sänds.

5.2.2 Kontroller som ska göras löpande eller i efterhand (efterhandskontroller)

KontrollmomentBeskrivningRättsligt stöd
1. Loggning av all åtkomstVarje åtkomst ska registreras med uppgift om vem som tagit del av vad, när och för vilket ändamål.4 kap. 2 § förordningen; 8 kap. 1 § läkemedelslistelagen
2. Systematisk uppföljning av loggarE-hälsomyndigheten ska systematiskt och återkommande granska loggarna för att upptäcka obehörig åtkomst.8 kap. 1 § läkemedelslistelagen
3. Incident- och avvikelsehanteringVid misstanke om obehörig åtkomst ska E-hälsomyndigheten utreda händelsen och underrätta berörda parter.8 kap. 1 § läkemedelslistelagen; förordningen 4 kap. 2 §
4. Revision och tillsynE-hälsomyndigheten ska kunna uppvisa loggar och kontrollsystem för tillsynsmyndigheter (IMY m.fl.) och vid behov korrigera brister.8 kap. 1–2 §§ läkemedelslistelagen
5. Återkallelse av åtkomstOm en användares behörighet upphör eller missbrukas ska åtkomsten omedelbart återkallas.17 § läkemedelslistelagen; prop. 2017/18:223 s. 185

Exemplet där uppgifter behövs från en annan vårdgivares patientjournal

  1. Patientdatalagen (2008:355) reglerar behandling av personuppgifter inom hälso- och sjukvården och syftar till att tillgodose både patientsäkerhet och integritet. Lagen bygger på att varje vårdgivare är personuppgiftsansvarig för den behandling av uppgifter som sker inom den egna verksamheten.
  2. Tillgången till uppgifter i patientjournaler är hårt särreglerad. Ett grundläggande krav är att endast den som behöver uppgifterna för sitt arbete inom hälso- och sjukvården, eller för annat särskilt tillåtet ändamål, får ta del av dem. Kravet på behörighetskontroll är därför centralt för att säkerställa att åtkomst sker i enlighet med patientdatalagen, offentlighets- och sekretesslagen (2009:400) samt dataskyddsförordningen (GDPR).
  3. Av 6 kap. 5–7 §§ patientdatalagen framgår att vårdgivaren ska begränsa tillgången till personuppgifter så att endast den som behöver uppgifterna för sitt arbete får ha åtkomst. Behörighetsstyrningen ska ske individuellt och utifrån arbetsuppgifter, och vårdgivaren ska föra loggar som gör det möjligt att i efterhand kontrollera åtkomst. Enligt 3 kap. 2 och 9 §§ patientdataförordningen (2008:360) ska vårdgivaren ha tekniska och organisatoriska rutiner för behörighetsstyrning, loggning och uppföljning.
  4. Behörighetskontrollen enligt patientdatalagen ska säkerställa att:

    1. användaren är korrekt identifierad,

    2. användaren har behörighet grundad på roll och arbetsuppgift, och

    3. åtkomsten sker för ett tillåtet ändamål enligt 4 kap. 2 § patientdatalagen, såsom vårddokumentation.

  5. Enligt förarbetena (prop. 2007/08:126 s. 149 ff.) ska vårdgivaren säkerställa att åtkomst ges endast till personal med faktisk vårdrelation till patienten eller till annan personal som behöver uppgifterna för definierade uppgifter inom vårdgivarens verksamhet. Systemen ska därför utformas så att behörigheter tilldelas utifrån arbetsuppgifter och uppdateras löpande.
  6. I 6 kap. 7 § anges att alla åtkomster ska loggas och att loggarna ska användas för intern kontroll och tillsyn.
  7. Behörighetskontrollen enligt lagen består alltså av följande komponenter:


MomentInnehållRättsligt stöd
IdentifieringSäker autentisering av individen som begär åtkomst, normalt genom SITHS eller annan e-legitimation med motsvarande säkerhetsnivå.6 kap. 5 § PDL; 3 kap. 2 § patientdataförordningen
Roll- och arbetsuppgiftsbaserad behörighetKontroll av att individen har en yrkesroll eller arbetsuppgift som kräver åtkomst till uppgifterna.6 kap. 5 § PDL; prop. 2007/08:126 s. 149 f.
ÄndamålskontrollÅtkomsten ska ske endast för tillåtet ändamål enligt 4 kap. 2 §, t.ex. vårddokumentation eller kvalitetssäkring.4 kap. 2 § PDL
Samtyckes- och spärrkontrollPatienten kan spärra uppgifter enligt 4 kap. 3 §. Systemet ska kontrollera om spärr finns och om undantag (t.ex. nödöppning) gäller.4 kap. 3 § PDL
Loggning och uppföljningAll åtkomst ska loggas och kunna granskas i efterhand.6 kap. 7 § PDL; 3 kap. 9 § patientdataförordningen

Slutsatser

Kontroller som krävs innan direktåtkomst ges (förhandskontroller)

KontrollmomentBeskrivningRättsligt stöd
1. Identifiering (autentisering)Den som begär åtkomst måste styrka sin identitet genom en e-legitimation som uppfyller vårdgivarens säkerhetskrav (t.ex. SITHS).6 kap. 5 § PDL; 3 kap. 2 § patientdataförordningen
2. Behörighetsverifiering (roll och arbetsuppgift)Systemet ska verifiera att individen har den roll eller funktion som krävs för åtkomst till den aktuella informationen.6 kap. 5 § PDL; prop. 2007/08:126 s. 149 f.
3. Ändamålskontroll (åtkomstens syfte)Åtkomsten ska ske för ett tillåtet ändamål enligt 4 kap. 2 § PDL.4 kap. 2 § PDL
4. Spärrkontroll (patientens val)Systemet ska kontrollera om patienten spärrat sina uppgifter och om undantag (t.ex. nödöppning) är tillämpligt.4 kap. 3 § PDL
5. Teknisk åtkomstkontroll (systemnivå)Vårdgivaren ska ha rutiner och systemstöd som kontrollerar behörighetsattribut innan åtkomst medges.3 kap. 2 § patientdataförordningen


  1. Vid direktåtkomst mellan vårdgivare gäller ett delat ansvar där båda parter har självständiga skyldigheter enligt patientdatalagen.
    1. Den begärande vårdgivaren (A) ansvarar för att endast behöriga medarbetare begär åtkomst, att identiteten är verifierad, att rätt behörighetsattribut sänds med åtkomstbegäran och att behandlingen sker för ett lagligt ändamål inom den egna verksamheten.
    2. Den utlämnande vårdgivaren (B) ansvarar för att pröva om åtkomsten är förenlig med PDL, att patientens spärrar respekteras, samt att utlämnandet loggas och skyddas med tekniska kontroller innan uppgifterna lämnas ut.
  2. Detta innebär att varje åtkomst mellan vårdgivare måste stödjas av ett ömsesidigt tillitsförhållande och en standardiserad överföring av behörighetsattribut.
    1. Här är det alltså fråga om en hårt särreglerad speciallösning för direktåtkomst inom hälso- och sjukvårdsområdet.

Kontroller som ska göras löpande eller i efterhand (efterhandskontroller)

KontrollmomentBeskrivningRättsligt stöd
1. Loggning av all åtkomstVarje åtkomst ska registreras med uppgift om vem som tagit del av vad, när och för vilket ändamål.6 kap. 7 § PDL; 3 kap. 9 § patientdataförordningen
2. Systematisk uppföljning av loggarVårdgivaren ska regelbundet granska loggarna för att upptäcka obehörig åtkomst.6 kap. 7 § PDL
3. Incident- och avvikelsehanteringVid misstanke om obehörig åtkomst ska vårdgivaren utreda händelsen och underrätta berörda parter.6 kap. 7 § PDL; prop. 2007/08:126 s. 150
4. Revision och tillsynLoggar och kontrollsystem ska kunna uppvisas för tillsynsmyndigheter (IMY, IVO) och granskas vid behov.6 kap. 7 § PDL
5. Återkallelse av åtkomstOm en användares roll eller anställning förändras ska behörigheten omedelbart ändras eller återkallas.6 kap. 5 § PDL

Preliminär bedömning

Allmänt

  1. I både lagen om nationell läkemedelslista och patientdatalagen är behörighetskontroller hårt särreglerade där föreskrivna krav på behörighetskontroll utgör en komponent i den rättsliga regleringen av elektronisk informationshantering inom hälso- och sjukvården. Trots att de två regelverken har olika systematik och ansvarsfördelning – där E-hälsomyndigheten är personuppgiftsansvarig för läkemedelslistan medan varje vårdgivare är ansvarig för sin egen journalföring – bygger båda på samma rättsliga logik: tillgång till uppgifter förutsätter säker identifiering, korrekt prövad behörighet och ett lagligt ändamål.
  2. I båda fallen består behörighetskontrollen av ett antal steg:

    1. Identifiering (autentisering) – den som begär åtkomst ska styrka sin identitet med en e-legitimation som uppfyller fastställda säkerhetskrav, vanligen SITHS.

    2. Behörighetsverifiering – det ska finnas uppgift om användarens roll eller funktion (t.ex. läkare, farmaceut, sjuksköterska) som grund för åtkomst.

    3. Ändamålsprövning – åtkomst får endast ske inom ramen för de ändamål som uttryckligen anges i respektive lag (vårddokumentation, förskrivning, expedition m.m.).

    4. Spärr- och samtyckeshantering – innan uppgifter lämnas ut ska systemet kontrollera eventuella spärrar som beslutats av patienten samt de undantag som gäller vid nödsituationer.

    5. Loggning och uppföljning – varje åtkomst ska registreras och regelbundet granskas för att upptäcka obehörig åtkomst eller missbruk.

  3. Skillnaden mellan regelverken ligger främst i ansvarsfördelningen och kontrollnivån.
    1. Vid direktåtkomst gäller i båda lagarna att kontrollerna ska vara genomförda innan någon uppgift lämnas ut. Vid utlämnande på medium för automatiserad behandling räcker det däremot att den utlämnande organisationen identifierar mottagande organisation, eftersom det personuppgiftsrättsliga ansvaret då övergår till mottagaren.

Förhållandet till andra typer av behörighetskontroll

  1. Digg har uppfattat sitt uppdrag så att en nationell – och därmed generellt användbar – infrastruktur för kontroll av juridisk behörighet ska tas fram och att den ska baseras på modern teknik, inte direktåtkomst. 
  2. Regeringen har emellertid knutit leveransen till ett område där behörighetskontroller är hårt särreglerade och där det som innefattas i en behörighetskontroll går långt utanför den ovan beskrivna inledande formella kontrollen innan ett ärende börjar handläggas i sak.
  3. Om vårt arbete inte knyts till en annan pilot där den sedvanliga tolkningen av begreppet behörighetskontroll gäller kommer leveransen från Digg bara fungera inom de områden där det är fråga om hälso- och sjukvård.
  4. Vi behöver analysera detta närmare samtidigt som det står klart att de ovan beskrivna exemplen i avsnitten 3.1 och 3.2 behöver justeras.
  5. För att få fram detta så här snabbt har AI haft en betydande roll. Det måste därför kontrolleras att inget i texten ovan är hallucinerad.
  6. Rent praktiskt bör den infrastruktur vi tar fram kunna stödja även här beskriver hantering, men det behöver diskuteras och övervägas närmare.

Beskrivning av två helt olika lösningsmönster


Lösningsmönster enligt EHDS

  1. EHDS bygger på en decentraliserad ansvarsfördelning där varje medlemsstat ansvarar för de uppgifter som härrör från dess nationella hälso- och sjukvårdssystem. Enligt artikel 12.1 EHDS ska varje medlemsstat inrätta en nationell eHealth-nod (National Contact Point for eHealth). Denna nod ska säkerställa att gränsöverskridande tillgång till elektroniska hälsouppgifter endast beviljas till auktoriserad hälso- och sjukvårdspersonal och endast för tillåtna ändamål.
  2. Vidare följer av artikel 14.1 att medlemsstaterna ska ”garantera att åtkomst till elektroniska hälsouppgifter av hälso- och sjukvårdspersonal från en annan medlemsstat sker endast efter verifiering av identitet, yrkesmässig behörighet och ändamål, samt i enlighet med tillämplig nationell rätt”. Bestämmelsen innebär att den medlemsstat som innehar uppgifterna (den utlämnande staten) ansvarar för att kontrollera dessa förutsättningar innan utlämnande sker. Kontrollen ska utföras genom den nationella eHealth-noden, som fungerar som en förlitande part (relying party) enligt eIDAS-förordningens terminologi (förordning (EU) nr 910/2014, särskilt artikel 6).

  3. I Sverige sker som framgått utlämnande genom direktåtkomst där den begärande parten själv autentiserar och får tillgång utan att den utlämnande parten gör en individuell prövning. Detta är inte förenligt med den modell EHDS beskriver, eftersom utlämnande enligt EU-rätten alltid förutsätter att den som innehar uppgifterna självständigt verifierar och beslutar om utlämnande (se EHDS:s artikel 14.1 och skäl 28 där det framgår att ansvaret för verifiering och beslut vid utlämnande ligger hos den utlämnande medlemsstaten). I följande sammanställning redovisas närmare att en utlämnande stat inte får förlita sig enbart på att den begärande statens eHealth-nod har gjort en korrekt behörighetskontroll utan själv måste verifiera det elektroniska identitetsintyget och behörighetsintyget (”health professional attribute credential”) innan uppgifterna görs tillgängliga.

Led i processenBegärande statUtlämnande stat
AutentiseringIdentifierar vårdpersonal med eIDAS-godkänd e-legitimation (art. 7 EHDS).Verifierar den mottagna eID:n enligt eIDAS (art. 6 EHDS; art. 6 eIDAS).
BehörighetsverifieringUtfärdar intyg om yrkesbehörighet.Kontrollerar att intyget är giltigt och motsvarar tillåten åtkomst (art. 14.1 EHDS).
Beslut om utlämnandeEj beslutsfattande.Beslutar om utlämnande efter fullständig verifiering (art. 14.1 EHDS; art. 5.2 GDPR).

4. Det kan därmed konstateras att den svenska ordningen med direktåtkomst, där utlämnande i praktiken sker utan individuell prövning av den utlämnande parten, utgör ett nationellt undantag från det EU-gemensamma lösningsmönstret, vilket framgår vid en tolkning av EHDS, särskilt artiklarna 12 och 14, samt av den bakomliggande dataskyddsrättsliga ansvarsfördelningen enligt GDPR (artiklarna 5.2 och 32). Även av kommissionens motivering till förslaget framgår att varje medlemsstat ska säkerställa ”control over access to data and clear accountability for disclosure decisions” (skäl 28 i förordningsförslaget).

Den svenska modellen, där förlitande part i vissa fall inte fattar ett uttryckligt beslut om utlämnande, är därför inte förenlig med EHDS:s grundläggande principer för ansvar och kontroll vid datadelning utan är ett nationellt arrangemang som inte kan tillämpas för gränsöverskridande utbyte inom det europeiska hälsodataområdet.