En identitetsintygstjänst respektive en behörighetsintygstjänst kan beskrivas genom metadata. Metadata för id & behörighet är inte integrerade utan stämplade för sig, dvs. olika digitalt stämplade handlingar som därmed är digitala urkunder och åtnjuter straffrättsligt skydd mot förfalskningar och andra manipulationer.
Med ”gammal” standard
stämplas alla metadata för e-identifiering av en aktör
Digg granskar idag viss del av metadata (stämplas inte särskilt),
Metadata ger i princip tillgång till parts adress och nycklar.
Med "ny” standard (det som nu planeras för e-identifiering och behörighetskontroll)
stämplas visserligen alla metadata av en aktör (den Federationsområdesansvarige, inom här beskrivet område EHM),
i) så att det går att veta vad som är en parts (här vårdaktörs) metadata, men
b) delmängder av metadata kan nu förses med särskild stämpel,
i) så att ett visst intygande kan ske av något i metadata, så att
ii) denna stämplade uppgift därmed kan verifieras automatiserat,
iii) efter att ha intygats vid straffansvar av den som stämplat (aktören själv eller en granskare).
4. Detta skapar oändliga möjligheter att informera via metadata. Endast fantasin sätter gränserna. Det man då glömmer är att juridiken och den tekniska verkligheten kräver gränser.
a) Medan det tidigare i princip bara var fråga om adress- och nyckelinformation,
b) kan metadata nu byggas ut, vad avser innehåll och ändamål, för att upplysa på ett säkert sätt om aktörens
i) förmåga att uppfylla krav på informationssäkerhet
a) vid själva behörighetskontrollerna,
b) i den tjänst som får användas när behörighet visats,
c) vid direktåtkomst (om tjänsten utformats för sådan).
ii) uppfyllelse av andra villkor
a) vid själva behörighetskontrollerna,
b) när en tjänst används efter att behörighet visats
a. t.ex. ändamål för nyttjande eller att att en sekretessbrytande regel gäller
c) vid direktåtkomst till den digitala tjänst som nyttjas, efter en behörighetskontroll (i de fall tjänsten används med gammalt teknik, dvs. direktåtkomst).
iii) ingångna (tilläggs)avtal(spaket) med den aktör som tillhandahåller den digitala tjänst som brukas efter en juridisk behörighetskontroll.
Juristers och verksamhetsansvarigas roll är bl.a att sätta gränser och fördela ansvar efter att ha tydliggjort inom vilka gränser något ska användas och vem som ska ansvara för vad.
Endast metadata av betydelse för behörighetskontroll? Min tanke är att det verkar gå att fördela ansvar korrekt och att uppfatta det som en naturlig del av en behörighetsinfrastruktur om nya stämplade intyg införs, som innehåller uppgifter/data som utgör en delmängd av den metadatasträng som en federationsområdesansvarig har stämplat, och utgör uppgifter som behövs för en juridisk behörighetskontroll, dvs. för att kunna genomföra tillräckliga kontroller av en medarbetares eller en digital aktörs juridiska behörighet. Även beskrivande metadata bör således få införas enligt standard i den mån det krävs för kontrollen av den juridiska behörigheten.
Användning av metadata för att på annat sätt stödja själva handläggningen, av ett ärende som väckts i den digitala tjänsten, än att förenkla och automatisera kontroll av juridisk behörighet hör inte primärt till en behörighetsinfrastruktur.
a) Det blir något annat än en sedvanlig behörighetskontroll om vi, generellt för hela behörighetsinfrastruklturen, ska utforma stöd via metadata för att
i) producera och förmedla bevis exempelvis för att
- förlitande part bara använder mottagna uppgifter för visst ändamål,
- omfattas av en sekretessbrytande regel, eller
- uppfyller tillräckliga säkerhetskrav för att kunna erbjudas direktåtkomst till en viss digital tjänst hos en vårdgivare.
ii) ingå tilläggsavtal rörande digitala tjänster,
b) Det kan uppkomma nya partsförhållanden vid en vidgad användning av metadata och det kan bli komplicerat att utforma en reglering för en så omfattande hantering.
Vid vårt möte den 8 oktober beskrevs följande två exempel översiktligt.
En läkare hos vårdgivare A vill ha åtkomst till en journalhandling hos vårdgivare B och läkaren finner att de juridiska förutsättningarna är uppfyllda för att få ta del av handlingen. Det är då tillräckligt för vårdgivare B att kontrollera från vilken vårdgivare (vilket system) anropet kommer och att ett tillitmärke utfärdats för vårdgivaren. Informationsutbytet bygger därmed på att vårdgivare B litar på vårdgivare A:s hantering av behörigheter för åtkomst till A:s vårdsystem; alltså organisationstillit. Jag uppfattade beskrivningen så att en behörighetsinfrastruktur därmed bara behöver erbjuda
– Frågan är om ett sådant förfarande är rättsenligt och om beskrivningen korrekt återger det som behövs.
En läkare hos vårdgivare A vill ha åtkomst till den nationella läkemeddelslistan för en patient som är på besök. Läkaren finner att de juridiska förutsättningarna är uppfyllda för att få ta del av listan. EHM, som tillhandahåller listan för behöriga aktörer, behöver utöver att kontrollera från vilken vårdgivare (vilket system) anropet kommer och uppgifter i intyg om läkarens identitet och yrkesroll samt sjukvårdsinrättning där denne är verksam. Om ett tillitsmärke levereras med stöd av behörighetsinfrastrukturen fattar EHM automatiserat beslut om behörighet att få direktåtkomst, utan kontroll av uppgifterna i intyget.
Den planerade behörighetsinfrastrukturen behövs därmed för att ett behörighetsintyg och ett tillitsmärke ska kunna levereras, en hantering som sker utanför behörighetsinfrastrukturen (Henric, är det rätt och vad fattas?)
– Frågan är om ett sådant förfarande är rättsenligt och om beskrivningen korrekt återger vad som krävs foe.
3. Den huvudsakliga begränsning till a- och b-fallen har att göra med vad jurister brukar mena med behörighetskontroll.
| Den fråga som ställs | Hur den bedöms |
|---|---|
| a. Vilken fysisk person har agerat? | Härvid används underskrifter, legitimationshandlingar, m.m. — inom Infrastrukturen e-legitimation |
| b. För egen eller för annans räkning? | I vems namn har personen agerat? Här används t.ex. firmateckning för att klargöra att åtgärden vidtagits i egenskap av företrädare för annan — inom Infrastrukturen identifieras Huvudmannen |
| c. Är den som agerar, behörig? | Här används protokollsutdrag, registreringsbevis (visar firmateckningsrätt), fullmakter och liknande dokument — inom Infrastrukturen ett automatiserat stöd |
2. Tanken har också varit att behörighetskontroll ska ske inom vedertagna juridiska ramar – det vill säga hur det går till enligt lag, förordning och rättspraxis. Det beror på att uppdraget är att etablera en nationell infrastruktur och det en jurist i första hand tänker på när en behörighetskontroll ska ske är registreringsbevis från Bolagsverket och fullmakter. Vi parkerar den här viktiga frågan om behörighetskontroll beträffande digitala aktörer, exempelvis en robot, för att hantera den frågan i ett senare steg.
3. När ett mål eller ett ärende kommer in till en myndighet ska först en formell prövning ske, bland annat av om den som agerar är behörig att vidta åtgärden (t.ex. att initiera ett ärende hos en myndighet genom en digital tjänst). Saknas juridisk behörighet ska ärendet avvisas (efter att tillfälle getts att styrka behörigheten). En handläggning i sak (t.ex. en sekretessprövning eller en ändamålsprövningsprövning enligt en registerförfattning) sker först efter att denna formalia har klarats av.
3. Samma mönster följs i princip genom att en digitala aktör, exempelvis en robot, ska få använda en digital tjänst bara om en kontroll gjorts av robotens behörighet att agera för "huvudmannen".
4. Jag antar att vi alla tänker att den nya infrastrukturen bara för behörighetskontroller, inte för att handlägga själva ärendet som kan handla exempelvis om en handling ska lämnas ut utan hinder av sekretess.
Tillgången till uppgifter i läkemedelslistan är hårt särreglerad, och ett grundläggande krav är att endast den som är "behörig" får ta del av uppgifter. Kravet på behörighetskontroll är därmed centralt för systemets rättsenlighet, både ur integritetssynpunkt och för att uppfylla de krav på informationssäkerhet som följer av EU:s dataskyddsförordning (GDPR) och hälso- och sjukvårdens sekretessbestämmelser.
Av 8–12 §§ läkemedelslistelagen framgår att endast vissa aktörer får ha direktåtkomst till uppgifter i läkemedelslistan, och endast i den utsträckning det behövs för deras arbetsuppgifter.
8 § anger att E-hälsomyndigheten ska göra uppgifter i läkemedelslistan tillgängliga för bland annat den som förskriver läkemedel eller och den som expedierar läkemedel.
9 § preciserar att tillgången ska vara begränsad till vad som är nödvändigt för respektive ändamål.
10–11 §§ reglerar särskilda fall, t.ex. förskrivares tillgång till en patients uppgifter och den enskildes möjlighet att spärra uppgifter.
Dessa bestämmelser förutsätter att en behörighetskontroll kan säkerställa två saker:
Att användaren är identifierad (vem den är).
Att användaren har rätt att ta del av uppgifterna i den aktuella rollen och för det aktuella ändamålet(behörighet).
I 4 kap. 2 § föreskrivs att E-hälsomyndigheten ska föra loggar och vidta tekniska åtgärder för att säkerställa att åtkomst endast ges till behöriga. Förordningen preciserar att myndigheten ska kunna kontrollera vilken funktion eller yrkesroll som ligger till grund för åtkomsten. Detta konkretiseras i myndighetens föreskrifter (HSLF-FS 2020:24) om tekniska krav, där det krävs att vårdgivaren överför behörighetsattribut till E-hälsomyndigheten i samband med åtkomstbegäran (men inte att E-hälsomyndigheten momentant kontrollerar att behörighet föreligger).
Behörighetskontrollen enligt lagen består alltså av följande komponenter:
| Moment | Innehåll | Rättsligt stöd |
|---|---|---|
| Identifiering | Säker autentisering av individen som begär åtkomst, vanligen via SITHS eller motsvarande godkänd e-legitimation. | 17 § läkemedelslistelagen; 4 kap. 2 § förordningen |
| Rollbaserad behörighet | Kontroll av att individen har en yrkesroll (t.ex. läkare, farmaceut) som medför rätt att se uppgifterna. | 8–11 §§ läkemedelslistelagen |
| Ändamålsprövning | Kontroll av att åtkomsten sker inom ramen för en vårdrelation eller i samband med expedition på apotek. | 9 § läkemedelslistelagen |
| Spärrkontroll | Kontroll av om patienten spärrat uppgifter och om åtkomsten ändå är tillåten (t.ex. vid nödsituation). | 11 § läkemedelslistelagen |
| Loggning och efterhandskontroll | All åtkomst ska loggas och ska kunna granskas i efterhand. | 4 kap. 2 § förordningen |
Slutsatser
Behörighetskontroll är ett uttryckligt lagkrav enligt läkemedelslistelagen.
E-hälsomyndigheten ansvarar för att tekniskt och organisatoriskt säkerställa att åtkomst endast ges till behöriga, men
det är vårdgivaren respektive apoteksaktören som ansvarar för att ange korrekt behörighet för sina användare och att hålla denna information aktuell.
| Kontrollmoment | Beskrivning | Rättsligt stöd |
|---|---|---|
| 1. Identifiering (autentisering) | Den som begär åtkomst måste styrka sin identitet genom en e-legitimation som uppfyller E-hälsomyndighetens säkerhetskrav (t.ex. SITHS). | 17 § läkemedelslistelagen; 4 kap. 2 § förordningen |
| 2. Behörighetsverifiering (roll och funktion) | Systemet måste kunna verifiera att individen har en yrkesroll eller funktion (t.ex. läkare, farmaceut) som enligt 8–9 §§ har rätt att ta del av uppgifter. | 8–9 §§ läkemedelslistelagen; prop. 2017/18:223 s. 183 f. |
| 3. Ändamålskontroll (åtkomstens syfte) | Åtkomsten måste ske inom ramen för den aktuella vårdrelationen eller i samband med expedition på apotek. | 9 § läkemedelslistelagen |
| 4. Spärrkontroll (patientens val) | Innan åtkomst medges ska systemet kontrollera om patienten spärrat sina uppgifter och om något undantag (t.ex. nödsituation) gäller. | 11 § läkemedelslistelagen; prop. 2017/18:223 s. 178 f. |
| 5. Teknisk åtkomstkontroll (systemnivå) | E-hälsomyndigheten ska ha rutiner och systemstöd som i realtid kontrollerar behörighetsattribut innan uppgifter lämnas ut. | 17 § läkemedelslistelagen; 4 kap. 2 § förordningen |
Dessa kontroller är villkor för att direktåtkomst över huvud taget ska medges. De ska alltså utföras automatiskt eller administrativt innan någon uppgift lämnas ut från den nationella läkemedelslistan.
| Kontrollmoment | Beskrivning | Rättsligt stöd |
|---|---|---|
| 1. Loggning av all åtkomst | Varje åtkomst ska registreras med uppgift om vem som tagit del av vad, när och för vilket ändamål. | 4 kap. 2 § förordningen; 8 kap. 1 § läkemedelslistelagen |
| 2. Systematisk uppföljning av loggar | E-hälsomyndigheten ska systematiskt och återkommande granska loggarna för att upptäcka obehörig åtkomst. | 8 kap. 1 § läkemedelslistelagen |
| 3. Incident- och avvikelsehantering | Vid misstanke om obehörig åtkomst ska E-hälsomyndigheten utreda händelsen och underrätta berörda parter. | 8 kap. 1 § läkemedelslistelagen; förordningen 4 kap. 2 § |
| 4. Revision och tillsyn | E-hälsomyndigheten ska kunna uppvisa loggar och kontrollsystem för tillsynsmyndigheter (IMY m.fl.) och vid behov korrigera brister. | 8 kap. 1–2 §§ läkemedelslistelagen |
| 5. Återkallelse av åtkomst | Om en användares behörighet upphör eller missbrukas ska åtkomsten omedelbart återkallas. | 17 § läkemedelslistelagen; prop. 2017/18:223 s. 185 |
användaren är korrekt identifierad,
användaren har behörighet grundad på roll och arbetsuppgift, och
åtkomsten sker för ett tillåtet ändamål enligt 4 kap. 2 § patientdatalagen, såsom vårddokumentation.
| Moment | Innehåll | Rättsligt stöd |
|---|---|---|
| Identifiering | Säker autentisering av individen som begär åtkomst, normalt genom SITHS eller annan e-legitimation med motsvarande säkerhetsnivå. | 6 kap. 5 § PDL; 3 kap. 2 § patientdataförordningen |
| Roll- och arbetsuppgiftsbaserad behörighet | Kontroll av att individen har en yrkesroll eller arbetsuppgift som kräver åtkomst till uppgifterna. | 6 kap. 5 § PDL; prop. 2007/08:126 s. 149 f. |
| Ändamålskontroll | Åtkomsten ska ske endast för tillåtet ändamål enligt 4 kap. 2 §, t.ex. vårddokumentation eller kvalitetssäkring. | 4 kap. 2 § PDL |
| Samtyckes- och spärrkontroll | Patienten kan spärra uppgifter enligt 4 kap. 3 §. Systemet ska kontrollera om spärr finns och om undantag (t.ex. nödöppning) gäller. | 4 kap. 3 § PDL |
| Loggning och uppföljning | All åtkomst ska loggas och kunna granskas i efterhand. | 6 kap. 7 § PDL; 3 kap. 9 § patientdataförordningen |
Krav på behörighetskontroll följer uttryckligen av 6 kap. 5–7 §§ patientdatalagen.
Vårdgivaren ansvarar för att tekniskt och organisatoriskt säkerställa att endast behörig personal har åtkomst till patientuppgifter.
Behörigheten ska kopplas till individens roll, funktion och vårdrelation samt till lagens tillåtna ändamål.
| Kontrollmoment | Beskrivning | Rättsligt stöd |
|---|---|---|
| 1. Identifiering (autentisering) | Den som begär åtkomst måste styrka sin identitet genom en e-legitimation som uppfyller vårdgivarens säkerhetskrav (t.ex. SITHS). | 6 kap. 5 § PDL; 3 kap. 2 § patientdataförordningen |
| 2. Behörighetsverifiering (roll och arbetsuppgift) | Systemet ska verifiera att individen har den roll eller funktion som krävs för åtkomst till den aktuella informationen. | 6 kap. 5 § PDL; prop. 2007/08:126 s. 149 f. |
| 3. Ändamålskontroll (åtkomstens syfte) | Åtkomsten ska ske för ett tillåtet ändamål enligt 4 kap. 2 § PDL. | 4 kap. 2 § PDL |
| 4. Spärrkontroll (patientens val) | Systemet ska kontrollera om patienten spärrat sina uppgifter och om undantag (t.ex. nödöppning) är tillämpligt. | 4 kap. 3 § PDL |
| 5. Teknisk åtkomstkontroll (systemnivå) | Vårdgivaren ska ha rutiner och systemstöd som kontrollerar behörighetsattribut innan åtkomst medges. | 3 kap. 2 § patientdataförordningen |
| Kontrollmoment | Beskrivning | Rättsligt stöd |
|---|---|---|
| 1. Loggning av all åtkomst | Varje åtkomst ska registreras med uppgift om vem som tagit del av vad, när och för vilket ändamål. | 6 kap. 7 § PDL; 3 kap. 9 § patientdataförordningen |
| 2. Systematisk uppföljning av loggar | Vårdgivaren ska regelbundet granska loggarna för att upptäcka obehörig åtkomst. | 6 kap. 7 § PDL |
| 3. Incident- och avvikelsehantering | Vid misstanke om obehörig åtkomst ska vårdgivaren utreda händelsen och underrätta berörda parter. | 6 kap. 7 § PDL; prop. 2007/08:126 s. 150 |
| 4. Revision och tillsyn | Loggar och kontrollsystem ska kunna uppvisas för tillsynsmyndigheter (IMY, IVO) och granskas vid behov. | 6 kap. 7 § PDL |
| 5. Återkallelse av åtkomst | Om en användares roll eller anställning förändras ska behörigheten omedelbart ändras eller återkallas. | 6 kap. 5 § PDL |
Identifiering (autentisering) – den som begär åtkomst ska styrka sin identitet med en e-legitimation som uppfyller fastställda säkerhetskrav, vanligen SITHS.
Behörighetsverifiering – det ska finnas uppgift om användarens roll eller funktion (t.ex. läkare, farmaceut, sjuksköterska) som grund för åtkomst.
Ändamålsprövning – åtkomst får endast ske inom ramen för de ändamål som uttryckligen anges i respektive lag (vårddokumentation, förskrivning, expedition m.m.).
Spärr- och samtyckeshantering – innan uppgifter lämnas ut ska systemet kontrollera eventuella spärrar som beslutats av patienten samt de undantag som gäller vid nödsituationer.
Loggning och uppföljning – varje åtkomst ska registreras och regelbundet granskas för att upptäcka obehörig åtkomst eller missbruk.
I NLL är det E-hälsomyndigheten som tillhandahåller systemet och därför måste kunna verifiera användarens behörighet i realtid, men med stöd av uppgifter som tillhandahålls av den vårdgivare eller apoteksaktör som ansvarar för användaren.
I PDL är det däremot varje vårdgivare som själv ansvarar för behörighetsstyrning, loggning och kontroll inom sin organisation, och som ska kunna visa att åtkomst endast medges när det är nödvändigt för vården.
Schematisk beskrivning av de två lösningsmönstren.
Schematisk teknisk beskrivning av hur de två lösningsmönstren kan realiseras och hur ansvar kan fördelas mellan deltagande parter
I Sverige sker som framgått utlämnande genom direktåtkomst där den begärande parten själv autentiserar och får tillgång utan att den utlämnande parten gör en individuell prövning. Detta är inte förenligt med den modell EHDS beskriver, eftersom utlämnande enligt EU-rätten alltid förutsätter att den som innehar uppgifterna självständigt verifierar och beslutar om utlämnande (se EHDS:s artikel 14.1 och skäl 28 där det framgår att ansvaret för verifiering och beslut vid utlämnande ligger hos den utlämnande medlemsstaten). I följande sammanställning redovisas närmare att en utlämnande stat inte får förlita sig enbart på att den begärande statens eHealth-nod har gjort en korrekt behörighetskontroll utan själv måste verifiera det elektroniska identitetsintyget och behörighetsintyget (”health professional attribute credential”) innan uppgifterna görs tillgängliga.
| Led i processen | Begärande stat | Utlämnande stat |
|---|---|---|
| Autentisering | Identifierar vårdpersonal med eIDAS-godkänd e-legitimation (art. 7 EHDS). | Verifierar den mottagna eID:n enligt eIDAS (art. 6 EHDS; art. 6 eIDAS). |
| Behörighetsverifiering | Utfärdar intyg om yrkesbehörighet. | Kontrollerar att intyget är giltigt och motsvarar tillåten åtkomst (art. 14.1 EHDS). |
| Beslut om utlämnande | Ej beslutsfattande. | Beslutar om utlämnande efter fullständig verifiering (art. 14.1 EHDS; art. 5.2 GDPR). |
4. Det kan därmed konstateras att den svenska ordningen med direktåtkomst, där utlämnande i praktiken sker utan individuell prövning av den utlämnande parten, utgör ett nationellt undantag från det EU-gemensamma lösningsmönstret, vilket framgår vid en tolkning av EHDS, särskilt artiklarna 12 och 14, samt av den bakomliggande dataskyddsrättsliga ansvarsfördelningen enligt GDPR (artiklarna 5.2 och 32). Även av kommissionens motivering till förslaget framgår att varje medlemsstat ska säkerställa ”control over access to data and clear accountability for disclosure decisions” (skäl 28 i förordningsförslaget).
Den svenska modellen, där förlitande part i vissa fall inte fattar ett uttryckligt beslut om utlämnande, är därför inte förenlig med EHDS:s grundläggande principer för ansvar och kontroll vid datadelning utan är ett nationellt arrangemang som inte kan tillämpas för gränsöverskridande utbyte inom det europeiska hälsodataområdet.
Per föreslår följande som nya avsnitt i rapporten kap. 9:
Utgångspunkter
Digg har i uppdrag att utveckla en sammanhållen infrastruktur för identitets- och behörighetshantering för Ena – Sveriges digitala infrastruktur (avsnitt 1.1.1), medan E-hälsomyndigheten har i uppdrag är att ta fram en sådan infrastruktur för hälso- och sjukvårdsområdet (avsnitt 1.1.2). Digg ska således utveckla en infrastruktur för samhället som helhet medan E-hälsomyndighetens uppdrag är begränsat till hälso- och sjukvårdsområdet. Den sammanhållna infrastrukturen ska vidare stödja juridisk kontroll av behörig. Det är alltså inte fråga om ett behörighetskontrollsystem (BKS) i teknisk mening, utan om att digitalt tillgängliggöra de uppgifter som behövs vid juridiska kontroller av identitet och behörighet. Digg har härvid definierat juridisk behörighetskontroll som en granskning av om en medarbetare, i juridisk mening
a) är behörig att agera för en angiven huvudmans räkning, eller
b) har en yrkesroll som innefattar en rätt att agera på det sätt som sker.
I definitionen har dessutom tillagts "eller deltar i verksamhet hos huvudmannen där medarbetaren behöver vidta en åtgärd eller agera på annat sätt”, för att även kontrollbehov som rör elever vid skola ska kunna hanteras inom infrastrukturen, även om det här inte handlar om en juridisk behörighet att agera för annan eller en yrkesroll i egentlig mening utan om att få tillgång till informationssystem m.m.
När dessa funktioner utvecklas behöver det beaktas att det både finns materiella regler, som föreskriver under vilka förutsättningar en aktör anses vara behörig, och processuella regler, som föreskriver vilken prövning av juridisk behörighet som krävs i ett mål, ett ärende eller annars vid ett informationsutbyte. Den som ska göra en behörighetskontroll behöver således ha klart för sig
1. vad som gäller (materiellt) för att en aktör ska anses vara behörig (exempelvis vad som krävs för att få agera för en viss myndighet eller för att få företräda ett företag), och
2. hur omfattande behörighetskontroller som måste göras i ett ärende eller vid en transaktion (exempelvis kräver rättegångsbalken kontroll av fullmakt medn förvaltningslagen och den civilrättsliga regleringen lämnar över till den som handlägger ärendet eller transaktionen att bedöma om en fullmakt ska krävas i det enskilda fallet).
Som framgått innefattar Diggs och E-hälsomyndighetens uppdrag inte själva behörighetskontrollen utan avser det stöd som kan ges genom federationer för att inhämta underlag i form av identitetsintyg för säker identifiering och behörighetshandlingar för juridiska behörighetskontroller. En utgångspunkt är härvid vilket underlag som behövs för att avgöra
1. vem det är som agerar (identifiering),
2. om en medarbetare som agerar för en viss huvudmans räkning eller med stöd av en yrkesroll har juridisk rätt att göra på det sätt som sker (behörighetskontroll), och
3. om en digital aktör, exempelvis en robot som utför motsvarande åtgärder automatiserat, satts i funktion så att ”huvudmannen” blir bunden av de automatiserade åtgärderna (behörighetskontroll).
Inom svensk förvaltningsrätt och civilrätt sker en behörighetskontroll regelmässigt i samband med att ett ärende ska inledas eller att en rättshandling ska utföras. I traditionell fysisk miljö förväntas det att den som agerar (t.ex. en befattningshavare vid en myndighet eller en företrädare för ett aktiebolag) tillhandahåller de behörighetshandlingar som krävs. Eftersom den förlitande parten normalt står risken om den som agerar inte är behörig är det förlitande part som gör behörighetskontrollen, med stöd av exempelvis protokollsutdrag där det framgår att en arbetsuppgift har delegerats, registreringsbevis från Bolagsverket där det framgår vem som är ställföreträdare, en fullmakt eller någon annan behörighetsstyrkande handling där det framgår att en viss individ har rätt att agera för en huvudmans räkning, eller ett bevis om en yrkesroll som innefattar viss behörighet.
Allt fler tjänster har emellertid vuxit fram för att digitalt inhämta uppgifter om behörighet. Det har fört med sig att myndigheter, domstolar och företag allt oftare själv inhämtar behörighetshandlingar. För detta krävs emellertid avtal med olika leverantörer och olika tekniska och administrativa funktioner som inte är samordnade, vilket fört med sig administrativa kostnader och tidsutdräkt för att få tillgång till behörighetshandlingar. Samtidigt förutsätter ofta de digitala tjänster numera införs en åtkomst till behörighetsinformation i realtid. Behovet av de funktioner och tjänster som Digg och E-hälsomyndigheten har fått i uppdrag att ta fram är därmed starkt uttalat.
Sedvanliga behörighetskontroller
Diggs och E-hälsomyndighetens uppdrag är visserligen begränsat till att ta fram stöd för en en sammanhållen infrastruktur för identitets- och behörighetshantering, men det innebär inte att vi kan bortse från hur behörighetskontroller går till. De funktioner som utvecklas behöver fungera på ett ändamålsenligt sätt. Därför behöver det klargöras vilken part som ska samla in underlag för en behörighetskontroll – förlitande part eller den part som begär behörighetsinformation – och vilken part som ska kontrollera att behörighet föreligger.
Det en jurist härvid menar med en behörighetskontroll bygger på följande förfarande.
Den fråga som ställs | Hur den bedöms |
a. Vilken fysisk person har agerat? | Härvid används underskrifter, legitimationshandlingar, m.m. — inom Infrastrukturen för e-legitimering |
b. För egen eller för annans räkning? | I vems namn har personen agerat? Här används t.ex. firmateckning för att klargöra att åtgärden vidtagits i egenskap av företrädare för annan — inom infrastrukturen identifieras huvudmannen |
c. Är den som agerar behörig att agera för annans räkning? | Här används protokollsutdrag, registreringsbevis som visar firmateckningsrätt, fullmakter, bevis om viss yrkesroll och liknande behörighetshandlingar — inom Infrastrukturen digitala behörighetshandlingar |
Detta förfarande har valts eftersom förlitande part står risken i förhållande till angiven huvudman för om någon annan agerat än den som angivits (bristande identifiering) eller om den som agerat saknat juridisk behörighet att utföra åtgärden (bristande behörighet). Identitets- och behörighetskontroller behöver ske i enlighet med rättsordningen inom vedertagna juridiska ramar så som de sedan länge tillämpats av jurister.
Frågan är hur en sammanhållen digital infrastruktur för identitets- och behörighetshantering kan anpassas till dessa förutsättningar. När ett mål eller ett ärende kommer in till en myndighet ska först en formell prövning ske, bland annat av om den som agerar är behörig att vidta åtgärden. Saknas juridisk behörighet avvisas ärendet efter att tillfälle getts att styrka behörigheten. En handläggning i sak (t.ex. sekretessprövning, ändamålsprövningsprövning enligt en registerförfattning eller beslutsfattande) sker först efter att formalia har klarats av. Samma mönster följs i princip när en digitala aktör, exempelvis en robot använder en digital tjänst. Dessa materiella och formella krav och bedömningen av om de uppfyllts innehåller inte någon prövning av tillåtna ändamål för behandling av personuppgifter eller någon sekretessprövning eller liknande. En sådan prövning äger rum först efter att de preliminära frågorna om identitet och behörighet har blivit klarlagda. Samma mönster följs när en digitala aktör, exempelvis en robot, använder en digital tjänst.
Behörighetskontroller inom hälso- och sjukvården
Eftersom Diggs uppdrag knutits till E-hälsomyndighetens uppdrag har Digg inlett sitt arbete utifrån antagandet att behörighetskontroller inom hälso- och sjukvården skulle utgöra ett typfall för hur frågor om behörighet regleras och bör kontrolleras inom andra områden. Behörighetskontroller visade sig emellertid vara hårt särreglerade i patientdatalagen (2008:355; PDL) och lagen (2018:1212) om nationell läkemedelslista (NLL). Denna hantering avviker därför på flera sätt från vad som normalt gäller vid juridiska behörighetskontroller. För det första är det inte den förlitande parten, i betydelsen den som mottar en begäran om att få tillgång till hälso- och sjukvårdsdata, som beställer intyg om identitet och behörighet och med detta underlag gör de kontroller som behövs. Det är den vårdgivare som begär åtkomst (exempelvis vårdgivare A) som anskaffar de identitets- och behörighetshandlingar som behövs och sänder med dem tillsammans med en begäran till den förlitande parten om att få åtkomst. För det andra loggar visserligen den förlitande parten (vårdgivare B) mottagna behörighetshandlingar, men gör inte någon egen identifiering eller kontroll av behörighet, utan litar på att den enskilde användaren är identifierad genom en säker e-legitimation och att dennes roll och arbetsuppgift kontrollerats av vårdgivare A. Däremot kontrollerar vårdgivare B att begäran gäller ett tillåtet ändamål och att patienten inte spärrat sin uppgifter. Granskning ska kunna ske i efterhand. Behörighetskontroller enligt NLL följer en liknande struktur. Inom hälso- och sjukvården är dessutom informationssäkerheten särskilt reglerad genom ett sektorsspecifika bestämmelser i PDL och NLL, medan kraven på informationssäkerhet inom övriga områden normalt följer av särskild författningar om informationssäkerhet.
När PDL och NLL tillämpas sker kontrollerna således mera i syfte att uppfylla lagstadgade krav på informationssäkerhet och dataskydd, inte för att förlitande part initialt ska kontrollera vem som agerar och om denne är behörig att agera på det sätt som sker. Hanteringen enligt PDL och NLL kan därmed inte läggas till grund för en generell modell för juridisk behörighetskontroll. Det som där betecknas behörighetskontroll framstår i stället som en särskild tillämpning av dataskydds- och sekretessrätten, inte en modell för juridisk behörighetsprövning i allmän mening. Dessutom bygger denna hantering enligt PDL och NLL på direktåtkomst.
En nationell infrastruktur för kontroll av juridisk behörighet behöver istället ta sin utgångspunkt i de materiella rättsreglerna om ställföreträdar- och ombudsskap, fullmakter, delegationsordningar och yrkesroller och de processuella regler som anger vilka kontroller som behöver göras i ett ärende. Den behöver vidare bygga på att förlitande part kontrollerar identitet och behörighet och att informationen utbyts på medium för automatiserad behandling, se vidare avsnitt Z.