Frågor och svar

Nedan hittar ni svar på frågor som har kommit in under dialogmöten. Arbete pågår för att ta hand om fler inkomna frågor som löpande kommer att publiceras här. 

1.1.1. Generella frågor

1.1.1.1. Vad är Covidbevis?

Svar: Covidbevis ska underlätta den fria rörligheten och möjliggöra ett säkert resande i EU under coronapandemin. Covidbevis baseras på en ny EU-förordning.

Covidbevis visar att du:

  1. Är vaccinerad mot Covid-19, ett vaccinationsbevis utfärdas. Den 1 juli 2021 hämtas vaccinationsbeviset på covidbevis.se 
  2. Testat negativt för Covid-19, ett testbevis utfärdas. (giltighetstid mindre än 72h för testresultatet). Det är denna lösning som presenteras på denna samverkansyta och som innebär att: 
    1. Vårdgivaren identifierar individen och tar ett prov
    2. Individen begär att ett Covidbevis ska genereras och ber vårdgivaren dela provresultatet med E-hälsomyndigheten
    3. Negativa provsvar skickas via API till E-hälsomyndigheten
    4. E-hälsomyndigheten returnerar ett Covidbevis som en PDF innehållande en QR-kod via API:t till vårdgivaren 
    5. Covidbevis på negativt provsvar delas med individen via vårdgivaren samt via digital brevlåda (för personer som har e-legitimation)
  3. Tillfrisknat från Covid-19, ett tillfrisknandebevis utfärdas (max 180 dagar, dvs ej antikroppar). Arbete pågår, ingen dialog startad med externa aktörer.

Läs mer om Covidbevis på https://www.ehalsomyndigheten.se/tjanster/covidbevis/

1.1.1.2. Länkar till EU-förordningarna: 

Svar: 

https://eur-lex.europa.eu/legal-content/SV/TXT/PDF/?uri=CELEX:32021R0953&from=SV

https://eur-lex.europa.eu/legal-content/SV/TXT/PDF/?uri=CELEX:32021R0954&from=SV

1.1.1.3. Vad gäller för resa till andra länder, är det inom EU eller globalt?

Svar: Covidbevis är utvecklat för att underlätta resandet till andra länder inom EU under coronapandemin. Syftet med EU:s digitala covidbevis är att främja säker och fri rörlighet inom EU under covid-19-pandemin. Alla EU-medborgare har rätt att röra sig fritt inom unionen, även utan bevis, men Covidbevisen kommer att göra det lättare att resa och kommer också att göra att innehavaren slipper restriktioner, som karantän. Kommissionen strävar också efter att göra Covidbevisen kompatibla med system i andra länder utanför EU. Lista med anslutna länder till Covidbevis finns här: EU Digital COVID Certificate | European Commission (europa.eu)

1.1.1.4. Kommer Covidbeviset att vara giltigt i andra sammanhang än vid resor, till exempel konserter, teaterföreställningar och idrottsevenemang?

Svar: Regeringen tittar på om det ska vara möjligt att använda vaccinationsbevis eller liknande för vissa allmänna sammankomster och offentliga tillställningar under en begränsad period. Regeringen ska återkomma med ett ställningstagande i mitten på juni.

1.1.1.5. Vid en eventuell försening av införandet av nationell intyg för Covidbevis (efter 1 juli), kommer nuvarande lösningar från respektive vårdaktör att fortsätta att vara giltiga för resande?

Svar: EU har bestämt att det ska finnas en övergångsperiod på sex veckor från 1 juli. Den innebär att reseintyg för negativa testsvar som vårdgivare i Sverige utfärdar ska kunna användas fram till den 12 augusti. Ett krav är dock att de innehåller samma information som ett testbevis enligt EU-förordningen. Efter den 12 augusti är det upp till varje land att bestämma vilka bevis de godkänner.

1.1.1.6. Är det den 12 augusti som lösningen för testbevis går live, eller är det senaste datum för att gå live? Om vi har en lösning är klar tidigare, kommer den att fungera då?

Svar: Övergångsperioden som EU har beslutat om gäller fram till den 12 augusti (se ovan). Men E-hälsomyndigheten har för avsikt att bli klar med tjänsten för testbevis redan tidigare. Målet vi jobbar mot är att ha allt på plats i produktion från mitten av juli. Då ska API:t vara tillgängligt i produktion så att vårdgivare, via godkända system, ska kunna börja skapa testbevis enligt EU-förordningen. Det förutsätter såklart att anslutande system är klara med sin utveckling och kvalitetssäkring.

1.1.1.7. Vad innehåller testbeviset/QR koden? 

Svar: En QR-kod är en teknisk lösning för att presentera information som snabbt ska kunna läsas av. Ofta förknippas den med webbadresser, men lika vanligt är att den används som informationsbärare till exempel i boardingkort, olika former av biljetter eller som i fallet med Covidbevis, information om personen och dess status när det gäller vaccin, test eller tillfrisknande.

Den information som lagras i EU:s digitala covidintyg är begränsad till

  • namn
  • födelsedatum
  • utfärdandedatum
  • information om vaccin/test/tillfrisknande
  • en unik identitetsbeteckning

Informationen i QR-koden har en digital signatur som kontrolleras när QR-koden läses av en kontrollant.

1.1.1.8. Vaccinationsbevisen har inget personnummer, men testbevisen är alltså annorlunda?

Svar: Nej. Personnummer ska anges när man anropar tjänsten för testbevis för personer som har ett svenskt personnummer. Då inhämtar E-hälsomyndigheten för- och efternamn från Skatteverkets folkbokföringsregister för att skriva ut på testbeviset. Dessutom använder E-hälsomyndigheten personnummer för att skicka beviset till individens digitala brevlåda. Personnummer kommer inte att skrivas ut på testbeviset, utan beviset kommer enbart innehålla födelsedatum.

1.1.1.9. Planeras någon typ av subventionering i Sverige av tester utifrån de EU-pengar som avsatts för detta?

Svar: Nej

1.1.1.10. Tar E-hälsomyndigheten ut några avgifter från systemleverantörer eller vårdgivare i samband med användning av tjänsten för testbevis?

Svar: Nej. E-hälsomyndigheten tar inte ut någon avgift, varken för att systemleverantörer ska få sitt system godkänt eller för att vårdgivare ska ansluta det godkända systemet. Däremot kan systemleverantörer och vårdgivare behöva bära kostnader som tas ut från annat håll, till exempel för inköp av certifikat från Expisoft.

1.1.1.11. EU reglerar väl inte att myndigheterna har ensamrätt på den här intygshantering? Det är väl tillåtet att använda privata alternativ?

Svar: E-hälsomyndigheten är den enda part som är behörig att utfärda EU-covidbevisen i Sverige (se aktuella EU-förordningar och svensk förordning, se avtalen). Bevis som inte baseras på EU-förordningen kan däremot utfärdas av andra parter.

1.1.1.12. Kommer materialet på engelska, som en del annat material?

Svar: Det finns ingen plan att publicera materialet på engelska.

1.1.2. Identifiering

1.1.2.1. Vad gäller för individer som saknar e-legitimation? Kommer den här lösningen vara applicerbar för dom?

Svar: Enligt det flöde som vi presenterat så ska vårdgivaren kunna lämna ut ett bevis till den individ som de utfört provtagning på. Det är på detta sätt som en person utan e-legitimation ska kunna få ut ett testbevis.

1.1.2.2. Hur skapas bevis för individer som ej har svenskt personnummer?

Svar: För de individer som inte har svenskt personnummer kommer vårdgivaren att kunna skicka in namn och födelsedatum till E-hälsomyndigheten. E-hälsomyndigheten kommer att skapa ett bevis utifrån det och returnera ett bevis till vårdgivaren som distribuerar det till individen.

1.1.2.3. Vilken identifiering måste vårdgivaren använda?

Svar: Det är vårdgivarens ansvar att utföra en säker identifiering. Om vårdgivaren ska tillgängliggöra testbeviset digitalt till individen så kräver E-hälsomyndigheten, i egenskap av personuppgiftsansvarig, att individen identifierar sig med godkänd e-legitimation.

1.1.2.4. Vilka är kraven kring säker identifiering för att individen ska kunna hämta testbeviset via elektronisk kanal? Kan man logga in med AppleId eller Google tex? Eller är det ok med engångslösenord som lämnas ut på kliniken?

Svar: E-hälsomyndigheten kräver att individen identifierar sig med godkänd e-legitimation. Vi ser inte hur identifiering med AppleId, Google eller engångslösenord skulle kunna möta de kraven.

1.1.2.5. Har ni något förslag på hur flödet för patienter utan godkänd e-legitimation ska fungera, till exempel för personer utan svenskt personnummer eller personer som av annan anledning inte har godkänd e-legitimation?

Svar: För utlämnande av testbevis via vårdgivarens e-tjänst kräver E-hälsomyndigheten att individen identifierar sig med godkänd e-legitimation. För individer som inte har godkänd e-legitimation ska utlämnandet ske manuellt.

1.1.2.6. Hur får barn sina testbevis? Via vårdnadshaven? 

Svar: Det är vårdgivarens ansvar att utföra en säker identifiering på barnet. E-hälsomyndigheten tar emot och ställer ut testbevis för barn. Testbevis för barn distribueras via vårdgivaren.

Om vårdgivaren ska tillgängliggöra testbeviset digitalt till individen så kräver E-hälsomyndigheten, i egenskap av personuppgiftsansvarig, att vårdnadshavaren identifierar sig med godkänd e-legitimation.

Oavsett hur vårdgivaren tillgängliggör testbeviset så ska vårdgivaren dessutom säkerställa vårdnadshavarrelationen i de fall beviset tillgängliggörs via barnets vårdnadshavare. Barn mellan 16-18 har rätt att själv kunna begära ut ett testbevis och då behövs det ingen kontroll av vårdnadshavare om barnet hämtar beviset själv. 

1.1.2.7. Hur ska personer med skyddad identitet hanteras? 

Svar: Det är viktigt att hantera den aspekten vid identifiering och hantering av det utställda testbeviset. Testbeviset kommer att innehålla information om var individen utförde provet vilket gör att det är viktigt hur beviset hanteras.

1.1.2.8. Om individen ger sitt godkännande vid testtillfället att vi kan skicka över intyget till deras e-mail (då de saknar digital brevlåda) - kan det då göras på det sättet?

Svar: Nej. Testbeviset får inte skickas till individens e-post. Om vårdgivaren ska tillgängliggöra testbeviset digitalt till individen så krävs det att individen identifierar sig med godkänd e-legitimation

1.1.3. Covid-19-tester

1.1.3.1. EUs lista på godkända tester?

Svar: https://covid-19-diagnostics.jrc.ec.europa.eu/devices?manufacturer&text_name&marking&rapid_diag&format&target_type&field-1=HSC%20common%20list%20%28RAT%29&value-1=1&search_method=AND#form_content

1.1.3.2. Krav på tester enligt förordningen?

Svar: 

  1. NAAT (Nucleic Acid Amplification Test) vanligast är så kallad PCR 
  2. RAT (Rapid Antigen Test)
  3. Assisterat prov av hälso- och sjukvårdspersonal eller annan kvalificerad testpersonal. Egentester är inte godkända. 

Det är dock upp till varje medlemsland att avgöra om det godtar antigentest i form av snabbtest, eller endast NAAT-tester (som RT-PCR-tester). Källa  Frågor och svar – EU:s digitala covidintyg (europa.eu) 

1.1.3.3. Likställs PCR-test och antigentest i EU-förordningen?

Svar: Förordningen säger att vi ska ställa ut testbevis på både NAAT och RAT. Det är viktigt att känna till att det är olika giltighetstid på dessa tester. 

1.1.3.4. Varför behövs ingen information kring namn/tillverkare om aktuellt test för NAAT?

Svar: För NAAT-tester säger EU-förordningen att man inte behöver ange namn eller tillverkare för NAAT-testet. E-hälsomyndigheten följer EU-förordningen som säger att vissa fält är frivilliga för RAT/NAAT-tester.

1.1.3.5. Följdfråga om NAAT: kan enskilda stater ställa högre krav, det vill säga att ett särskilt NAAT är använt för inresa?

Svar: Ja, enskilda stater kan ställa egna krav på testerna, bl.a. tidsgränser. 

1.1.3.6. Kan IVO säga nån om vem som ska certifiera eller signera provet?

Svar: Vårdgivaren ska följa Folkhälsomyndighetens riktlinjer, vägledning och krav vid genomförandet av ett RAT- eller NAAT test.

1.1.3.7. Vid tillhandahållande av testbeviset i pappersform, får en administrerande person skriva ut testbeviset åt patienten och ge ut?

Svar: Det är inte något som E-hälsomyndigheten kan svara på, utan det är ett vårdgivarbeslut.

1.1.3.8. Om individen tappar bort sitt testbevis i pappersformat, får personen i fråga göra ett nytt test som vi sedan skapar ett nytt testbevis för eller går det att göra på redan tagna testet?

Svar: Om personen har tappat bort sitt bevis i pappersformat, så kan vårdgivaren göra ett nytt anrop mot E-hälsomyndighetens tjänst för att kunna skapa ett nytt bevis. Detta anrop kan baseras på samma provtagning som anropet då man skapade testbeviset första gången. Det finns alltså ingen begränsning i E-hälsomyndighetens tjänst angående hur många gånger den kan anropas för att skapa ett testbevis för ett visst provtagningstillfälle.

1.1.3.9. Ska PCR-labbet vara ISO-certifierat?

Svar: E-hälsomyndigheten ställer inga krav på ISO-certifiering, men kravet kan finnas från annat håll. E-hälsomyndighetens krav är att vårdgivaren måste finnas med i Vårdgivarregistret som Inspektionen för Vård och Omsorg (IVO) tillhandahåller (Vårdgivarregistret | IVO.se). Kravet är en förutsättning för att vårdgivaren ska kunna ansluta till tjänsten för testbevis. Detta kommer att kontrolleras av E-hälsomyndigheten.

1.1.3.10. Kommer testbevis hantera PCR-test gjorda i andra länder för hemresan?

Svar: E-hälsomyndigheten kommer enbart att ställa ut testbevis för test genomförda i Sverige (detta enligt EU förordningen). Om en svensk medborgare testar sig i ett annat EU-land ska individen kunna få ett testbevis utfärdat i det landet. 

1.1.3.11. Kan testbevis endast utfärdas inom en vecka från det att testet har utförts?

Svar: Testet är giltigt ett visst antal timmar, max 72 för närvarande. Efter det finns ingen anledning att skriva ut bevis.

1.1.3.12. Om ett prov har giltighet mellan 48-72 timmar och det måste skickas till ett labb och sen skrivas på av en läkare, hur skall man ha tid att ta test och sen hämta papper när man reser (om man är utländsk medborgare)?

Svar: Denna frågeställning behöver hanteras av vårdgivarna. E-hälsomyndighetens tjänst för att skapa ett testbevis ger svar inom en sekund efter att den anropas.

1.1.4. Krav och utveckling

1.1.4.1. Kan vårdgivaren själv visa upp QR-kod på negativt provsvar i egen lösning/app?

Svar: Ja det stämmer att vårdgivaren får visa upp testbeviset i egen lösning. Vi arbetar med vilka krav som kommer att ställas gällande säkerhet etc. 

1.1.4.2. Är det en separat QR-kod för vaccin och negativt provsvar, eller är det samma?

Svar: Varje bevis har en unik QR-kod och därmed är det olika information i beviset för vaccinationer och i testbeviset (bevis på negativt provsvar). 

1.1.4.3. Finns det API specifikationer tillgängliga redan, eller jobbas det fortfarande på?

Svar: Ja, länkar ligger på förstasidan i denna samarbetsyta: Samverkansyta gällande tjänsten för testbevis - Tjänst för testbevis - Confluence (ehalsomyndigheten.se)

1.1.4.4. Är det alltså den vårdgivare som genomför testningen som ska kommunicera med E-hälsomyndigheten och inte direkt rapport från utförande laboratorium?

Svar: Det är vårdgivare som identifierat den testade som kan begära ett testbevis åt individen. Därmed är det vårdgivaren som E-hälsomyndigheten kan skicka tillbaka testbeviset till och därmed kommer att ha avtal med. 

1.1.4.5. Vem är personuppgiftsansvarig för informationen?

Svar: E-hälsomyndigheten är personuppgiftsansvarig för det genererade testbeviset och vårdgivaren är personuppgiftsbiträde. Därför måste vårdgivaren hantera testbeviset i enlighet med E-hälsomyndighetens instruktioner. Se vidare i kravkatalog och avtal. 

1.1.4.6. Hur ser ni på 1177 som del av lösning? 

Svar: Huvudflödet är att vårdgivaren lämnar ut beviset till individen. För individer med e-legitimation kan testbeviset hämtas i sin digitala brevlåda. 

1.1.4.7. Finns det ett webbinterface där utförare av test kan logga in och registrera negativa test? 

Svar: I första steget kommer inte en webbapplikation utvecklas av E-hälsomyndigheten.

1.1.4.8. Kommer vårdgivare att få skriva in provsvaren eller kommer det att överföras automatiskt till E-hälsomyndigheten?

Svar: E-hälsomyndigheten tillgängliggör ett API där data om provsvar m.m. skickas in. Hur automatiserat det blir hos vårdgivaren avgörs i det system som vårdgivaren har. 

1.1.4.9. Det råder förfalskningar genom att man manipulerar PDF:en, hur ser ni på det? 

Svar: QR-koden innehåller signerad information. QR-koden skannas av valideraren som också har tillgång till den publika nyckeln som använts vid signeringen vilket gör att koden inte kan förfalskas. Därför är egentligen inte den information som står tillsammans med QR-koden viktig eftersom valideraren läser QR-koden. 

1.1.4.10. Hur snart kan ni leverera intyg efter att vårdgivaren skickat provsvar till er? 

Svar: När vårdgivaren skickar in uppgifterna via API:t så svarar API:et genom att skicka beviset (QR-koden), alternativt en felkod om anropet eller informationen inte var korrekt.

1.1.4.11. Varför får inte laboratorier ställa ut testbevis direkt via API? 

Svar: Det är vårdgivaren (den som utför testen som en del av att bedriva hälso- och sjukvård) som E-hälsomyndigheten kommer ha som avtalspart. Det är den part som kommer vara personuppgiftsbiträde till E-hälsomyndigheten när det gäller att lämna ut det skapade beviset till den enskilde. Bevisen kommer att skickas till samma part som skickar in resultatet av provet via det API som tillhandahålls. Det är viktigt att det är samma part som identifierar den enskilde och tar emot den dennes begäran om att ett testbevis ska skapas som också ansvarar för att lämna ut beviset till den enskilde.

1.1.4.12. Hur ska man tolka "actor that conducted the test"? Ordagrant betyder det ju "utfört testet". Att utföra ett NAAT/PCR är en laboratorieanalys, varför det är laboratoriet som är utförare ("actor") av själva testet. Provtagningsplatsen är ju bara ett fall av "sample collection" och i de flesta fall utförs inte testet/analysen där. Det verkar annars lite ologiskt varför utföraren skulle vara obligatorisk för NAAT, men inte för RAT.

Svar: Det är vårdgivaren som är utförare och ansvarig. Därför är det denne som ska anges.

1.1.4.13. Är det möjligt att få QR-koden i annat format utöver PDF? 

Svar: QR-koden kommer också med i form av en png.

1.1.4.14. Vilka vårdgivare kan ansluta, även de som inte har offentliga uppdrag?

Svar: Det behöver inte vara en offentligt finansierad vårdgivare. Privata vårdgivare är de som i första hand utför provtagning i syfte att utfärda reseintyg. Exakta krav på vårdgivaren kommer att beskrivas under Vägen till färdig tjänst

1.1.4.15. Är det PDF:en, eller själva QR-koden i PDF:en, som är beviset?

Svar: Det är QR koden som valideras vid gränsövergång.

1.1.4.16. Måste beviset skickas tillbaka till vårdgivaren, dvs kan det inte hämtas covidbevis.se

Svar: I ett första steg bygger lösningen på att E-hälsomyndigheten skickar tillbaka uppgifterna till vårdgivaren som lämnar ut testbeviset. För individer som har digital brevlåda (så som Kivra, e-boks, Digimail eller Min myndighetspost) kommer testbeviset även skickas dit. Utlämnande via covidbevis.se blir ett nästa steg då det ej är tillgängligt nu, men det innefattar endast individer med e-leg, dvs inte utländska medborgare eller de som saknar e-leg idag.

1.1.4.17. Stämmer det att beviset skickas både som svar i API och till digital brevlåda om så finns, eller kan det vara så att det inte skickas som svar på API i fall det finns en digital brevlåda?

Svar: Det stämmer. Anropande system får alltid testbeviset som svar på sitt anrop. Om individen har en digital brevlåda skickas beviset dessutom till denna.

1.1.4.18. Varför går det automatiskt ett meddelande till digital brevlåda? Man kan anse att individen inte beställer en kommunikation från en myndighet, utan att myndigheten har en tjänst som används av vårdgivare.

Svar: E-hälsomyndigheten är personuppgiftsansvarig för det genererade testbeviset. När man tecknar sig till en digital brevlåda går all myndighetskommunikation dit. Inget extra samtycke behövs för varje tillfälle. 

1.1.4.19. Måste vi tillhandahålla testbeviset på papper, eller kan vi utgå från att individen har skrivare? 

Svar: Enligt förordningen har individen rätt att få tillgång till sitt testbevis antingen i digitalt format eller i pappersformat, beroende på vad individen begär. 

1.1.4.20. Vi vill utveckla en funktion som gör det möjligt för oss att skicka testbeviset till individen elektroniskt. I så fall borde väl inte E-hälsomyndigheten ha synpunkter på den hanteringen?

Svar: E-hälsomyndigheten är personuppgiftsansvarig för det genererade testbeviset och vårdgivaren är personuppgiftsbiträde. Därför måste vårdgivaren hantera testbeviset i enlighet med E-hälsomyndighetens instruktioner. Därmed har E-hälsomyndigheten rätt att ställa krav på hanteringen. 

1.1.4.21. Hur länge får vi spara testbeviset?

Svar: Vårdgivaren ska radera testbeviset samt personuppgifterna som erhållits från E-hälsomyndigheten när testbeviset inte längre är giltigt. Radering/gallring ska vara slutförd efter max 7 dagar/168 timmar. Maximal giltighetstid för ett testbevis är idag 72 timmar.

1.1.4.22. I kravkatalogen står att beviset får sparas i maximalt sju dagar. Men hur ska kravet tolkas? Ofta kan det ju ta flera dagar att genomföra gallring, till exempel om man behöver gallra bland tagna backuper. Gäller således kravet att gallringen ska initieras eller vara slutförd efter max 7 dagar?

Svar: Kravet är att gallringen ska vara slutförd i enlighet med kravet.

1.1.4.23. Gäller kraven kring lagringstid även om vi sparat beviset i journalen? Ska/får vi förresten journalföra beviset?

Svar: Testbeviset som skapas av E-hälsomyndigheten ska inte journalföras. Beviset är en handling från en myndighet till en individ. Vårdgivaren ska endast, i egenskap av E-hälsomyndighetens personuppgiftsbiträde, lämna ut beviset till individen (se steg 10 i processbeskrivningen). Däremot har E-hälsomyndigheten inga synpunkter på hur vårdgivaren hanterar själva provtagningen och testresultatet, utan det sker enligt vårdgivarens regelverk (se steg 1-5 i processbeskrivningen).

1.1.4.24. Vad gäller kring molnlösningar? Är det ok om vårt system, som ska anropa E-hälsomyndighetens tjänst för testbevis, ligger i molnet (till exempel AWS)?

Svar: Eftersom E-hälsomyndigheten är personuppgiftsansvarig för det utställda testbeviset, så ställer vi krav på vårdaktören (dvs personuppgiftsbiträdet) att inte hantera personuppgifterna i testbeviset i molntjänster som är baserade utanför EU. Med "hantera" så avses all hantering, det vill säga inte enbart "lagra".

1.1.4.25. Är det ok att drifta sitt system för testbevis hos en amerikansk driftsleverantör, ifall driften sker inom EU?

Svar: Nej. E-hälsomyndigheten tillåter inte att det utfärdade beviset hanteras hos en driftsleverantör med ägare utanför EU/EES. Det framgår uttryckligen av EU-förordning 2021/953 att om den personuppgiftsansvarige anlitar personuppgiftsbiträde får biträdet inte överföra personuppgifter till tredjeland (se art. 10.8).

1.1.4.26. Är det ok att drifta sitt system för testbevis hos en driftleverantör vars bolag är registrerat inom EU men ägs av amerikanskt bolag?

Svar: Nej. E-hälsomyndigheten tillåter inte att det utfärdade beviset hanteras hos en driftsleverantör med ägare utanför EU/EES. Det framgår uttryckligen av EU-förordning 2021/953 att om den personuppgiftsansvarige anlitar personuppgiftsbiträde får biträdet inte överföra personuppgifter till tredjeland (se art. 10.8).

1.1.4.27. Med funktionscertifikat så menar man certifikat från Expisoft?

Svar: Ja. I Expisofts beställning kallas det  "Serverlegitimation/Organisationslegitimation". Se vidare: 4.3 - Anslutning till Produktionsmiljö - Tjänst för testbevis - Confluence (ehalsomyndigheten.se)

1.1.4.28. Vi har redan idag ett Expisoft-certifikat som vi använder i andra sammanhang. Kan vi använda det för anrop mot tjänsten för testbevis?

Svar: Ja, så länge certifikatet innehåller organisationsnummer för den vårdgivare som har avtal med E-hälsomyndigheten att använda tjänsten för testbevis.

1.1.4.29. När QR koden valideras vid gränspassage, måste vårdgivarens namn som anges i testbeviset överensstämma med informationen i TLS-certifikatet?

Svar: TLS-certifikatet används endast för den tekniska uppkoppling (mTLS) för att säkerställa att vårdgivaren har rätt att skicka anrop till API. Inget data från certifikatet finns med i utfärdat bevis.

1.1.4.30. Är "Identifier" samma sak som provID som labbet använder?

Svar: Nej. Om ni med Identifier avser det indata som skickas till vår tjänst för testbevis, så ska det vara en unik identifierare per bevis hos vårdföretaget. E-hälsomyndigheten använder detta för att skapa en globalt unik identifierare på beviset. Se vidare https://simplifier.net/guide/EUDCCSweden/Observation

1.1.4.31. Hur hanteras tidszon för fältet "Datum och tidpunkt för provtagningen" i testbeviset?

Svar: När tjänsten anropas ska tidszon anges enligt Kravspecifikation för vårdgivare - Tjänst för testbevis (avsnitt 3). Anges ingen tidszon så antas det vara UTC (alltså inte svensk tid). I det utfärdade testbeviset konverterar vi alltid tidzonen till svensk tid (UTC +2).

1.1.4.32. Kan man anropa E-hälsomyndighetens tjänst en gång innan man fått resultat för att kontrollera att rätt personnummer och info är korrekt ifyllt och få ett svar som en person kontroll?

Svar: Nej. E-hälsomyndighetens tjänst får enbart användas i de syften den är utformad för, det vill säga för att skapa bevis om negativt covidtest. Det är på vårdgivarnas ansvar att säkerställa och skriva in rätt personnummer som står på individens legitimation/pass.

1.1.4.33. Hur ska man anropa E-hälsomyndighetens tjänst för personer som har samordningsnummer? Dessa finns ju i Skatteverkets register med alla uppgifter om personen.

Svar: Det stämmer att uppgifterna finns. Men i dagsläget har E-hälsomyndigheten bestämt att personer med samordningsnummer ska hanteras på samma sätt som övriga personer utan svenskt personnummer. Anrop mot E-hälsomyndighetens tjänst ska göras med födelsedatum och namn för personer med samordningsnummer. Vi kommer att utreda frågan vidare för att se om vi kommer att bygga stöd för personer som har ett samordningsnummer till hösten.

1.1.4.34. Behöver vi som vårdgivare informera om den personuppgiftsbehandling som sker hos E-hälsomyndigheten?

Ja. Enligt avtalet ska vårdgivaren lämna information till individen om den personuppgiftsbehandling som utförs av E-hälsomyndigheten i samband med utfärdande av testbevis.

1.1.4.35. Var hittar man information om E-hälsomyndighetens personuppgiftsbehandling?

Svar: På E-hälsomyndighetens webbplats finns information om hur E-hälsomyndigheten hanterar personuppgifter för covidbevis: https://www.ehalsomyndigheten.se/behandling-av-personuppgifter/behandling-av-personuppgifter-privatpersoner/covidbevis/

1.1.4.36. Med vilken legal grund sker delningen av testresultatet mellan vårdgivaren och E-hälsomyndigheten? E-hälsomyndigheten är ju inte en vårdgivare. Är det verkligen så att EU-förordningen går före andra lagar?

Svar: EU förordning 2021/953 är direkt tillämplig och gäller som lag i Sverige. Den innebär en uppgiftsskyldighet för vårdgivare, som utfört tester för utfärdande av ett testbevis, att till Behörig myndighet (dvs E-hälsomyndigheten) översända de uppgifter som är nödvändiga för att kunna utfärda ett testbevis.

1.1.4.37. Behöver vi som vårdgivare på något sätt inhämta individens samtycke för att dela det negativa provsvaret med E-hälsomyndigheten och finns i så fall förslag på standardformulering för detta?

Svar: Förordningen ger vårdgivare en rättslig grund att behandla personuppgifterna vid överföring till E-hälsomyndigheten, därmed krävs inget samtycke som rättslig grund för personuppgiftsbehandlingen. Men om vårdgivaren bedömer att samtycke från individen behöver inhämtas utifrån någon annan för vårdgivaren tillämplig författning är det inte något som E-hälsomyndigheten kan lägga sig i. Samtycke ska dock inte förväxlas med att ett testbevis endast får utfärdas på den enskildes begäran.

1.1.5. Godkännande och anslutning 

1.1.5.1. Vem av er godkänner systemen?

Svar: Det är E-hälsomyndigheten som ansvarar för att godkänna systemen och ansluta vårdgivaren. Läs mer under Godkännande och Anslutning

1.1.5.2. Vilka krav finns för godkännande?

Svar: Kraven på anslutande system och process för godkännande och anslutning återfinns under Vägen till färdig tjänst

1.1.5.3. Hur ansöker man om godkännande?

Svar: E-hälsomyndigheten godkänner systemet som ska användas vid anslutning mot E-hälsomyndigheten och det är den som utvecklar systemet (systemleverantören) som ska anmäla om ett önskat godkännande. Mer information om hur du praktiskt går tillväga finns under Godkännande.

1.1.5.4. Finns det någon lista över system som är godkända?

Svar: E-hälsomyndigheten publicerar löpande vilka system som har blivit godkända: System godkända för anslutning till tjänsten för testbevis.

1.1.5.5. Hur, när och var kan en vårdgivare anmäla sig för att bli berättigad att skicka uppgifterna till E-hälsomyndigheten?

Svar: Under Anslutning kan du läsa mer om hur du som vårdgivare ansluter dig till E-hälsomyndighetens tjänst. Observera att systemet ni använder för anslutning mot API:t måste vara godkänt enligt Godkännande

1.1.5.6. Vad behöver man göra för att komma med på er lista över vårdgivare som är anslutna till tjänsten för testbevis?

Svar: Utöver att den tekniska åtkomsten ska vara på plats (avtal, godkänt system och åtkomst till produktionsmiljön) så vill vi att vårdgivaren bekräftar att man är redo att ta emot individer för provtagning i syfte att få testbevis för att kunna resa. Det gör man genom att svara på det mejl som E-hälsomyndigheten skickar när den tekniska åtkomsten är klar.

1.1.5.7. Behöver vårdgivare anmäla till E-hälsomyndigheten vid uppgradering till ny version av ett anslutningssystem?

Svar: Nej, en vårdgivare behöver inte anmäla till E-hälsomyndigheten när man går upp på en ny version av ett redan godkänt system. Det är bara när man ansluter första gången som vi samlar in information om vilket system och systemversion används. Vårdgivaren ansvarar för att anslutningssystemet som används är godkänt av E-hälsomyndigheten. Detta framgår av det avtal som vårdgivaren har tecknat med E-hälsomyndigheten.