You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 51 Next »

Bakgrund

  1. Det som går under beteckningen "tillitsmärken" är en joker i leken och det har visat sig vara av särskild betydelse att förstå hur EHM tänker sig att använda sådana. Vid ett möte den 8 oktober beskrevs på hög juridisk abstraktionsnivå två exempel,
    1. dels användning för kommunikation mellan två vårdgivare,
    2. dels användning för tillgång till uppgifter i den nationella läkemedelslistan (NLL).
  2. Innan de beskrivningarna redovisas ska det emellertid beröras
    1. hur metadata hanteras enligt ny standardisering, och
    2. vad som i juridiska sammanhang avses med behörighetskontroll.

Metadatahantering nu och i framtiden 

Beskrivning av funktionssätt

  1. En identitetsintygstjänst respektive en behörighetsintygstjänst kan beskrivas genom metadata. Metadata för id & behörighet är inte integrerade utan stämplade för sig, dvs. olika digitalt stämplade handlingar som därmed är digitala urkunder och åtnjuter straffrättsligt skydd mot förfalskningar och andra manipulationer.

  2. Med ”gammal” standard 

    1. stämplas alla metadata för e-identifiering av en aktör

      1. Digg granskar idag viss del av metadata (stämplas inte särskilt), 

      2. Metadata ger i princip tillgång till parts adress och nycklar.

  3. Med "ny” standard (det som nu planeras för e-identifiering och behörighetskontroll)

    1. stämplas visserligen alla metadata av en aktör (den Federationsområdesansvarige, inom här beskrivet område EHM),

i) så att det går att veta vad som är en parts (här vårdaktörs) metadata, men

b) delmängder av metadata kan nu förses med särskild stämpel,

i) så att ett visst intygande kan ske av något i metadata, så att

ii) denna stämplade uppgift därmed kan verifieras automatiserat,

iii) efter att ha intygats vid straffansvar av den som stämplat (aktören själv eller en granskare).

4. Detta skapar oändliga möjligheter att informera via metadata. Endast fantasin sätter gränserna. Det man då glömmer är att juridiken och den tekniska verkligheten kräver gränser.

a) Medan det tidigare i princip bara var fråga om adress- och nyckelinformation,

b) kan metadata nu byggas ut, vad avser innehåll och ändamål, för att upplysa på ett säkert sätt om aktörens 

i) förmåga att uppfylla krav på informationssäkerhet 

a) vid själva behörighetskontrollerna,

b) i den tjänst som får användas när behörighet visats,

c) vid direktåtkomst (om tjänsten utformats för sådan).

ii) uppfyllelse av andra villkor

a) vid själva behörighetskontrollerna,

b) när en tjänst används efter att behörighet visats

a. t.ex. ändamål för nyttjande eller att att en sekretessbrytande regel gäller

c) vid direktåtkomst till den digitala tjänst som nyttjas, efter en behörighetskontroll (i de fall tjänsten används med gammalt teknik, dvs. direktåtkomst).

iii) ingångna (tilläggs)avtal(spaket) med den aktör som tillhandahåller den digitala tjänst som brukas efter en juridisk behörighetskontroll.

Preliminära slutsatser

  1. Med ”tillitsmärke” menas därmed ett stämplat intyg där texten (data som stämplats) utgörs av vissa delar av en aktörs metadata (delar av den helhet av metadata som den Federationsområdesansvarige stämplat i syfte att skapa ett bevis för vad som är en viss parts samlade metadata).
  2. Experter på teknik, arkitektur och verksamhetsutveckling är kreativa och ser många nya möjligheter att lösa tidigare manuella uppgifter automatiserat.

  3. Juristers och verksamhetsansvarigas roll är bl.a  att sätta gränser och fördela ansvar efter att ha tydliggjort inom vilka gränser något ska användas och vem som ska ansvara för vad.

  4. Endast metadata av betydelse för behörighetskontroll? Min tanke är att det verkar gå att fördela ansvar korrekt och att uppfatta det som en naturlig del av en behörighetsinfrastruktur om nya stämplade intyg införs, som innehåller uppgifter/data som utgör en delmängd av den metadatasträng som en federationsområdesansvarig har stämplat, och utgör uppgifter som behövs för en juridisk behörighetskontroll, dvs. för att kunna genomföra tillräckliga kontroller av en medarbetares eller en digital aktörs juridiska behörighet. Även beskrivande metadata bör således få införas enligt standard i den mån det krävs för kontrollen av den juridiska behörigheten.

  5. Användning av metadata för att på annat sätt stödja själva handläggningen, av ett ärende som väckts i den digitala tjänsten, än att förenkla och automatisera kontroll av juridisk behörighet hör inte primärt till en behörighetsinfrastruktur.

a) Det blir något annat än en sedvanlig behörighetskontroll om vi, generellt för hela behörighetsinfrastruklturen, ska utforma stöd via metadata för att

i) producera och förmedla bevis exempelvis för att

- förlitande part bara använder mottagna uppgifter för visst ändamål,

- omfattas av en sekretessbrytande regel, eller

- uppfyller tillräckliga säkerhetskrav för att kunna erbjudas direktåtkomst till en viss digital tjänst hos en vårdgivare.

ii) ingå tilläggsavtal rörande digitala tjänster,

b) Det kan uppkomma nya partsförhållanden vid en vidgad användning av metadata och det kan bli komplicerat att utforma en reglering för en så omfattande hantering.

Ett första försök till beskrivning av metadataanvändningen inom EHM

Vid vårt möte den 8 oktober beskrevs följande två exempel översiktligt.

Två vårdgivare kommunicerar (PDL)

En läkare hos vårdgivare A vill ha åtkomst till en journalhandling hos vårdgivare B och läkaren finner att de juridiska förutsättningarna är uppfyllda för att få ta del av handlingen. Det är då tillräckligt för vårdgivare B att kontrollera från vilken vårdgivare (vilket system) anropet kommer och att ett tillitmärke utfärdats för vårdgivaren. Informationsutbytet bygger därmed på att vårdgivare B litar på vårdgivare A:s hantering av behörigheter för åtkomst till A:s vårdsystem; alltså organisationstillit. Jag uppfattade beskrivningen så att en behörighetsinfrastruktur därmed bara behöver erbjuda

  1. rätt adress och nyckel för att det ska kunna kontrolleras från vilken aktör kommunikationen kommer, och
  2. stöd för att kommunicera ett tillitsmärke.

Frågan är om ett sådant förfarande är rättsenligt och om beskrivningen korrekt återger det som behövs.

Kommunikation med den nationella läkemedelslistan (NLL)

En läkare hos vårdgivare A vill ha åtkomst till den nationella läkemeddelslistan för en patient som är på besök. Läkaren finner att de juridiska förutsättningarna är uppfyllda för att få ta del av listan. EHM, som tillhandahåller listan för behöriga aktörer, behöver utöver att kontrollera från vilken vårdgivare (vilket system) anropet kommer och uppgifter i intyg om läkarens identitet och yrkesroll samt sjukvårdsinrättning där denne är verksam. Om ett tillitsmärke levereras med stöd av behörighetsinfrastrukturen fattar EHM automatiserat beslut om behörighet att få direktåtkomst, utan kontroll av uppgifterna i intyget. 

Den planerade behörighetsinfrastrukturen behövs därmed för att ett behörighetsintyg och ett tillitsmärke ska kunna levereras, en hantering som sker utanför behörighetsinfrastrukturen (Henric, är det rätt och vad fattas?)

– Frågan är om ett sådant förfarande är rättsenligt och om beskrivningen korrekt återger vad som krävs foe.

Vad menas med behörighetskontroll

Hur Digg uppfattat frågan

  1. Digg har uppfattat sitt uppdrag så att myndigheten, när den nya infrastrukturen finns på plats, ska ansvara för tillgången till infrastruktur och tjänster för juridisk behörighetskontroll.
  2. Digg har vidare definierat juridisk behörighetskontroll som en granskning av om en medarbetare, i juridisk mening
    1. är behörig att agera för angiven huvudmans räkning, eller
    2. har en yrkesroll som innefattar en rätt att agera på det sätt som sker.
    3. Till detta har tillagts följande, "eller c) deltar i verksamhet hos huvudmannen där medarbetaren behöver vidta en åtgärd eller agera på annat sätt", med tanke på att hantera behov som rör elever vid skola, även om det i den delen inte handlar om en juridisk behörighet att agera för annan eller en yrkesroll i egentlig mening utan bara om att få direkt tillgång till system.

3. Den huvudsakliga begränsning till a- och b-fallen har att göra med vad jurister brukar mena med behörighetskontroll.

Den fråga som ställsHur den bedöms
a. Vilken fysisk person har agerat?Härvid används underskrifter, legitimationshandlingar, m.m. — inom Infrastrukturen e-legitimation
b. För egen eller för annans räkning?I vems namn har personen agerat? Här används t.ex. firmateckning för att klargöra att åtgärden vidtagits i egenskap av företrädare för annan — inom Infrastrukturen identifieras Huvudmannen
c. Är den som agerar, behörig?Här används protokollsutdrag, registreringsbevis (visar firmateckningsrätt), fullmakter och liknande dokument — inom Infrastrukturen ett automatiserat stöd


2.    Tanken har också varit att behörighetskontroll ska ske inom vedertagna juridiska ramar – det vill säga hur det går till enligt lag, förordning och rättspraxis. Det beror på att uppdraget är att etablera en nationell infrastruktur och det en jurist i första hand tänker på när en behörighetskontroll ska ske är registreringsbevis från Bolagsverket och fullmakter. Vi parkerar den här viktiga frågan om behörighetskontroll beträffande digitala aktörer, exempelvis en robot, för att hantera den frågan i ett senare steg.

3. När ett mål eller ett ärende kommer in till en myndighet ska först en formell prövning ske, bland annat av om den som agerar är behörig att vidta åtgärden (t.ex. att initiera ett ärende hos en myndighet genom en digital tjänst). Saknas juridisk behörighet ska ärendet avvisas (efter att tillfälle getts att styrka behörigheten). En handläggning i sak (t.ex. en sekretessprövning eller en ändamålsprövningsprövning enligt en registerförfattning) sker först efter att denna formalia har klarats av.

3. Samma mönster följs i princip genom att en digitala aktör, exempelvis en robot, ska få använda en digital tjänst bara om en kontroll gjorts av robotens behörighet att agera för "huvudmannen".

4. Jag antar att vi alla tänker att den nya infrastrukturen är till bara för behörighetskontroller, inte för att handlägga själva ärendet som kan handla exempelvis om en handling ska lämnas ut utan hinder av sekretess.

Andra regler gäller för behörighetskontroll inom hälso- och sjukvård

  1. Frågan blir då vad som gäller för en behörighetskontroll i de två exemplen i avsnitten 3.1 och 3.2, enligt bl.a. PDL och NLL.
  2. Vad som menas med "behörighetskontroll" är där
    1. hårt särreglerat, genom bestämmelser som inte följer det ovan beskrivna mönstret, och
    2. tar sikte på direktåtkomst, medan den hantering som numera införts även inom hälso- och sjukvård följer mönstret för utlämnande på medium (fråga och svar enligt Högsta förvaltningsdomstolens bedömning i det så kallade LEFI online-målet).

Exemplet där uppgifter behövs från den nationella läkemedelslistan

  1. Lagen (2018:1212) om nationell läkemedelslista (läkemedelslistelagen”) reglerar behandling av personuppgifter i den nationella läkemedelslista som förs av E-hälsomyndigheten.

  2. Tillgången till uppgifter i läkemedelslistan är hårt särreglerad, och ett grundläggande krav är att endast den som är "behörig" får ta del av uppgifter. Kravet på behörighetskontroll är därmed centralt för systemets rättsenlighet, både ur integritetssynpunkt och för att uppfylla de krav på informationssäkerhet som följer av EU:s dataskyddsförordning (GDPR) och hälso- och sjukvårdens sekretessbestämmelser.

  3. Av 8–12 §§ läkemedelslistelagen framgår att endast vissa aktörer får ha direktåtkomst till uppgifter i läkemedelslistan, och endast i den utsträckning det behövs för deras arbetsuppgifter.

    • 8 § anger att E-hälsomyndigheten ska göra uppgifter i läkemedelslistan tillgängliga för bland annat den som förskriver läkemedel eller och den som expedierar läkemedel.

    • 9 § preciserar att tillgången ska vara begränsad till vad som är nödvändigt för respektive ändamål.

    • 10–11 §§ reglerar särskilda fall, t.ex. förskrivares tillgång till en patients uppgifter och den enskildes möjlighet att spärra uppgifter.

  4. Dessa bestämmelser förutsätter att en behörighetskontroll kan säkerställa två saker:

    1. Att användaren är identifierad (vem den är).

    2. Att användaren har rätt att ta del av uppgifterna i den aktuella rollen och för det aktuella ändamålet(behörighet).

  5. Enligt 17 § ska E-hälsomyndigheten se till att obehörig åtkomst förhindras. Av förarbetena (prop. 2017/18:223 s. 183 f.) framgår att detta innebär krav på ett tekniskt och organisatoriskt system för behörighetskontroll. Myndigheten ska säkerställa att endast personer med korrekt vårdrelation, roll och ändamål får åtkomst. Behörighetskontrollen ska bygga på en säker identitetshantering och tilldelning av roller och åtkomsträttigheter som motsvarar den enskildes funktion i vården, vilket innebär att E-hälsomyndigheten inte själv beslutar vem som är behörig i vårdorganisationen, men myndigheten ska kunna kontrollera och verifiera att åtkomsten grundas på giltig behörighetsinformation från den vårdgivare eller apoteksaktör som ansvarar för användaren.

  6. I 4 kap. 2 § föreskrivs att E-hälsomyndigheten ska föra loggar och vidta tekniska åtgärder för att säkerställa att åtkomst endast ges till behöriga. Förordningen preciserar att myndigheten ska kunna kontrollera vilken funktion eller yrkesroll som ligger till grund för åtkomsten. Detta konkretiseras i myndighetens föreskrifter (HSLF-FS 2020:24) om tekniska krav, där det krävs att vårdgivaren överför behörighetsattribut till E-hälsomyndigheten i samband med åtkomstbegäran (men inte att E-hälsomyndigheten momentant kontrollerar att behörighet föreligger).

Behörighetskontrollen enligt lagen består alltså av följande komponenter:

MomentInnehållRättsligt stöd
IdentifieringSäker autentisering av individen som begär åtkomst, vanligen via SITHS eller motsvarande godkänd e-legitimation.17 § läkemedelslistelagen; 4 kap. 2 § förordningen
Rollbaserad behörighetKontroll av att individen har en yrkesroll (t.ex. läkare, farmaceut) som medför rätt att se uppgifterna.8–11 §§ läkemedelslistelagen
ÄndamålsprövningKontroll av att åtkomsten sker inom ramen för en vårdrelation eller i samband med expedition på apotek.9 § läkemedelslistelagen
SpärrkontrollKontroll av om patienten spärrat uppgifter och om åtkomsten ändå är tillåten (t.ex. vid nödsituation).11 § läkemedelslistelagen
Loggning och efterhandskontrollAll åtkomst ska loggas och ska kunna granskas i efterhand.4 kap. 2 § förordningen

Slutsatser

    1. Behörighetskontroll är ett uttryckligt lagkrav enligt läkemedelslistelagen.

    2. E-hälsomyndigheten ansvarar för att tekniskt och organisatoriskt säkerställa att åtkomst endast ges till behöriga, men

    3. det är vårdgivaren respektive apoteksaktören som ansvarar för att ange korrekt behörighet för sina användare och att hålla denna information aktuell.

Kontroller som krävs innan direktåtkomst ges (förhandskontroller)

KontrollmomentBeskrivningRättsligt stöd
1. Identifiering (autentisering)Den som begär åtkomst måste styrka sin identitet genom en e-legitimation som uppfyller E-hälsomyndighetens säkerhetskrav (t.ex. SITHS).17 § läkemedelslistelagen; 4 kap. 2 § förordningen
2. Behörighetsverifiering (roll och funktion)Systemet måste kunna verifiera att individen har en yrkesroll eller funktion (t.ex. läkare, farmaceut) som enligt 8–9 §§ har rätt att ta del av uppgifter.8–9 §§ läkemedelslistelagen; prop. 2017/18:223 s. 183 f.
3. Ändamålskontroll (åtkomstens syfte)Åtkomsten måste ske inom ramen för den aktuella vårdrelationen eller i samband med expedition på apotek.9 § läkemedelslistelagen
4. Spärrkontroll (patientens val)Innan åtkomst medges ska systemet kontrollera om patienten spärrat sina uppgifter och om något undantag (t.ex. nödsituation) gäller.11 § läkemedelslistelagen; prop. 2017/18:223 s. 178 f.
5. Teknisk åtkomstkontroll (systemnivå)E-hälsomyndigheten ska ha rutiner och systemstöd som i realtid kontrollerar behörighetsattribut innan uppgifter lämnas ut.17 § läkemedelslistelagen; 4 kap. 2 § förordningen

Dessa kontroller är villkor för att direktåtkomst över huvud taget ska medges. De ska alltså utföras automatiskt eller administrativt innan någon uppgift lämnas ut från den nationella läkemedelslistan.

  1. Förhandskontrollerna genomförs i samverkan mellan vårdgivarens eller apoteksaktörens behörighetssystem och E-hälsomyndighetens åtkomsttjänst:
    1. Vårdgivaren/apoteksaktören svarar för identifiering och behörighetsverifiering genom att tilldela och intyga korrekta användarroller (1–2).
    2. E-hälsomyndigheten svarar för teknisk åtkomstkontroll och spärrkontroll i realtid vid utlämnandet (4–5).
    3. Ändamålskontrollen sker gemensamt, där vårdgivarens system anger roll och vårdrelation och E-hälsomyndigheten endast verifierar att sådan åtkomsten ryms inom lagens tillåtna ändamål. 
  2. Det innebär alltså att den som medger direktåtkomst (E-hälsomyndigheten) i realtid endast behöver utföra den momentana kontrollen av spärr, teknisk åtkomst och ändamålsöverensstämmelse, medan de mer omfattande kontrollerna av identitet och roll redan är genomförda av medarbetarens huvudman innan åtkomstbegäran sänds.

5.2.2 Kontroller som ska göras löpande eller i efterhand (efterhandskontroller)

KontrollmomentBeskrivningRättsligt stöd
1. Loggning av all åtkomstVarje åtkomst ska registreras med uppgift om vem som tagit del av vad, när och för vilket ändamål.4 kap. 2 § förordningen; 8 kap. 1 § läkemedelslistelagen
2. Systematisk uppföljning av loggarE-hälsomyndigheten ska systematiskt och återkommande granska loggarna för att upptäcka obehörig åtkomst.8 kap. 1 § läkemedelslistelagen
3. Incident- och avvikelsehanteringVid misstanke om obehörig åtkomst ska E-hälsomyndigheten utreda händelsen och underrätta berörda parter.8 kap. 1 § läkemedelslistelagen; förordningen 4 kap. 2 §
4. Revision och tillsynE-hälsomyndigheten ska kunna uppvisa loggar och kontrollsystem för tillsynsmyndigheter (IMY m.fl.) och vid behov korrigera brister.8 kap. 1–2 §§ läkemedelslistelagen
5. Återkallelse av åtkomstOm en användares behörighet upphör eller missbrukas ska åtkomsten omedelbart återkallas.17 § läkemedelslistelagen; prop. 2017/18:223 s. 185

Exemplet där uppgifter behövs från en annan vårdgivares patientjournal

  1. Patientdatalagen (2008:355) reglerar behandling av personuppgifter inom hälso- och sjukvården och syftar till att tillgodose både patientsäkerhet och integritet. Lagen bygger på att varje vårdgivare är personuppgiftsansvarig för den behandling av uppgifter som sker inom den egna verksamheten.
  2. Tillgången till uppgifter i patientjournaler är hårt särreglerad. Ett grundläggande krav är att endast den som behöver uppgifterna för sitt arbete inom hälso- och sjukvården, eller för annat särskilt tillåtet ändamål, får ta del av dem. Kravet på behörighetskontroll är därför centralt för att säkerställa att åtkomst sker i enlighet med patientdatalagen, offentlighets- och sekretesslagen (2009:400) samt dataskyddsförordningen (GDPR).
  3. Av 6 kap. 5–7 §§ patientdatalagen framgår att vårdgivaren ska begränsa tillgången till personuppgifter så att endast den som behöver uppgifterna för sitt arbete får ha åtkomst. Behörighetsstyrningen ska ske individuellt och utifrån arbetsuppgifter, och vårdgivaren ska föra loggar som gör det möjligt att i efterhand kontrollera åtkomst. Enligt 3 kap. 2 och 9 §§ patientdataförordningen (2008:360) ska vårdgivaren ha tekniska och organisatoriska rutiner för behörighetsstyrning, loggning och uppföljning.
  4. Behörighetskontrollen enligt patientdatalagen ska säkerställa att:

    1. användaren är korrekt identifierad,

    2. användaren har behörighet grundad på roll och arbetsuppgift, och

    3. åtkomsten sker för ett tillåtet ändamål enligt 4 kap. 2 § patientdatalagen, såsom vårddokumentation.

  5. Enligt förarbetena (prop. 2007/08:126 s. 149 ff.) ska vårdgivaren säkerställa att åtkomst ges endast till personal med faktisk vårdrelation till patienten eller till annan personal som behöver uppgifterna för definierade uppgifter inom vårdgivarens verksamhet. Systemen ska därför utformas så att behörigheter tilldelas utifrån arbetsuppgifter och uppdateras löpande.
  6. I 6 kap. 7 § anges att alla åtkomster ska loggas och att loggarna ska användas för intern kontroll och tillsyn.
  7. Behörighetskontrollen enligt lagen består alltså av följande komponenter:


MomentInnehållRättsligt stöd
IdentifieringSäker autentisering av individen som begär åtkomst, normalt genom SITHS eller annan e-legitimation med motsvarande säkerhetsnivå.6 kap. 5 § PDL; 3 kap. 2 § patientdataförordningen
Roll- och arbetsuppgiftsbaserad behörighetKontroll av att individen har en yrkesroll eller arbetsuppgift som kräver åtkomst till uppgifterna.6 kap. 5 § PDL; prop. 2007/08:126 s. 149 f.
ÄndamålskontrollÅtkomsten ska ske endast för tillåtet ändamål enligt 4 kap. 2 §, t.ex. vårddokumentation eller kvalitetssäkring.4 kap. 2 § PDL
Samtyckes- och spärrkontrollPatienten kan spärra uppgifter enligt 4 kap. 3 §. Systemet ska kontrollera om spärr finns och om undantag (t.ex. nödöppning) gäller.4 kap. 3 § PDL
Loggning och uppföljningAll åtkomst ska loggas och kunna granskas i efterhand.6 kap. 7 § PDL; 3 kap. 9 § patientdataförordningen

Slutsatser

  • Krav på behörighetskontroll följer uttryckligen av 6 kap. 5–7 §§ patientdatalagen.

  • Vårdgivaren ansvarar för att tekniskt och organisatoriskt säkerställa att endast behörig personal har åtkomst till patientuppgifter.

  • Behörigheten ska kopplas till individens roll, funktion och vårdrelation samt till lagens tillåtna ändamål.

Kontroller som krävs innan direktåtkomst ges (förhandskontroller)

KontrollmomentBeskrivningRättsligt stöd
1. Identifiering (autentisering)Den som begär åtkomst måste styrka sin identitet genom en e-legitimation som uppfyller vårdgivarens säkerhetskrav (t.ex. SITHS).6 kap. 5 § PDL; 3 kap. 2 § patientdataförordningen
2. Behörighetsverifiering (roll och arbetsuppgift)Systemet ska verifiera att individen har den roll eller funktion som krävs för åtkomst till den aktuella informationen.6 kap. 5 § PDL; prop. 2007/08:126 s. 149 f.
3. Ändamålskontroll (åtkomstens syfte)Åtkomsten ska ske för ett tillåtet ändamål enligt 4 kap. 2 § PDL.4 kap. 2 § PDL
4. Spärrkontroll (patientens val)Systemet ska kontrollera om patienten spärrat sina uppgifter och om undantag (t.ex. nödöppning) är tillämpligt.4 kap. 3 § PDL
5. Teknisk åtkomstkontroll (systemnivå)Vårdgivaren ska ha rutiner och systemstöd som kontrollerar behörighetsattribut innan åtkomst medges.3 kap. 2 § patientdataförordningen


  1. Vid direktåtkomst mellan vårdgivare gäller ett delat ansvar där båda parter har självständiga skyldigheter enligt patientdatalagen.
    1. Den begärande vårdgivaren (A) ansvarar för att endast behöriga medarbetare begär åtkomst, att identiteten är verifierad, att rätt behörighetsattribut sänds med åtkomstbegäran och att behandlingen sker för ett lagligt ändamål inom den egna verksamheten.
    2. Den utlämnande vårdgivaren (B) ansvarar för att pröva om åtkomsten är förenlig med PDL, att patientens spärrar respekteras, samt att utlämnandet loggas och skyddas med tekniska kontroller innan uppgifterna lämnas ut.
  2. Detta innebär att varje åtkomst mellan vårdgivare måste stödjas av ett ömsesidigt tillitsförhållande och en standardiserad överföring av behörighetsattribut.
    1. Här är det alltså fråga om en hårt särreglerad speciallösning för direktåtkomst inom hälso- och sjukvårdsområdet.

Kontroller som ska göras löpande eller i efterhand (efterhandskontroller)

KontrollmomentBeskrivningRättsligt stöd
1. Loggning av all åtkomstVarje åtkomst ska registreras med uppgift om vem som tagit del av vad, när och för vilket ändamål.6 kap. 7 § PDL; 3 kap. 9 § patientdataförordningen
2. Systematisk uppföljning av loggarVårdgivaren ska regelbundet granska loggarna för att upptäcka obehörig åtkomst.6 kap. 7 § PDL
3. Incident- och avvikelsehanteringVid misstanke om obehörig åtkomst ska vårdgivaren utreda händelsen och underrätta berörda parter.6 kap. 7 § PDL; prop. 2007/08:126 s. 150
4. Revision och tillsynLoggar och kontrollsystem ska kunna uppvisas för tillsynsmyndigheter (IMY, IVO) och granskas vid behov.6 kap. 7 § PDL
5. Återkallelse av åtkomstOm en användares roll eller anställning förändras ska behörigheten omedelbart ändras eller återkallas.6 kap. 5 § PDL

Preliminär bedömning

Allmänt

  1. I både lagen om nationell läkemedelslista och patientdatalagen är behörighetskontroller hårt särreglerade där föreskrivna krav på behörighetskontroll utgör en komponent i den rättsliga regleringen av elektronisk informationshantering inom hälso- och sjukvården. Trots att de två regelverken har olika systematik och ansvarsfördelning – där E-hälsomyndigheten är personuppgiftsansvarig för läkemedelslistan medan varje vårdgivare är ansvarig för sin egen journalföring – bygger båda på samma rättsliga logik: tillgång till uppgifter förutsätter säker identifiering, korrekt prövad behörighet och ett lagligt ändamål.
  2. I båda fallen består behörighetskontrollen av ett antal steg:

    1. Identifiering (autentisering) – den som begär åtkomst ska styrka sin identitet med en e-legitimation som uppfyller fastställda säkerhetskrav, vanligen SITHS.

    2. Behörighetsverifiering – det ska finnas uppgift om användarens roll eller funktion (t.ex. läkare, farmaceut, sjuksköterska) som grund för åtkomst.

    3. Ändamålsprövning – åtkomst får endast ske inom ramen för de ändamål som uttryckligen anges i respektive lag (vårddokumentation, förskrivning, expedition m.m.).

    4. Spärr- och samtyckeshantering – innan uppgifter lämnas ut ska systemet kontrollera eventuella spärrar som beslutats av patienten samt de undantag som gäller vid nödsituationer.

    5. Loggning och uppföljning – varje åtkomst ska registreras och regelbundet granskas för att upptäcka obehörig åtkomst eller missbruk.

  3. Skillnaden mellan regelverken ligger främst i ansvarsfördelningen och kontrollnivån.

  • I NLL är det E-hälsomyndigheten som tillhandahåller systemet och därför måste kunna verifiera användarens behörighet i realtid, men med stöd av uppgifter som tillhandahålls av den vårdgivare eller apoteksaktör som ansvarar för användaren.

  • I PDL är det däremot varje vårdgivare som själv ansvarar för behörighetsstyrning, loggning och kontroll inom sin organisation, och som ska kunna visa att åtkomst endast medges när det är nödvändigt för vården.

    1. Vid direktåtkomst gäller i båda lagarna att kontrollerna ska vara genomförda innan någon uppgift lämnas ut. Vid utlämnande på medium för automatiserad behandling räcker det däremot att den utlämnande organisationen identifierar mottagande organisation, eftersom det personuppgiftsrättsliga ansvaret då övergår till mottagaren.

Förhållandet till andra typer av behörighetskontroll

  1. Digg har uppfattat sitt uppdrag så att en nationell – och därmed generellt användbar – infrastruktur för kontroll av juridisk behörighet ska tas fram och att den ska baseras på modern teknik, inte direktåtkomst. 
  2. Regeringen har emellertid knutit leveransen till ett område där behörighetskontroller är hårt särreglerade och där det som innefattas i en behörighetskontroll går långt utanför den ovan beskrivna inledande formella kontrollen innan ett ärende börjar handläggas i sak.
  3. Om vårt arbete inte knyts till en annan pilot där den sedvanliga tolkningen av begreppet behörighetskontroll gäller kommer leveransen från Digg bara fungera inom de områden där det är fråga om hälso- och sjukvård.
  4. Vi behöver analysera detta närmare samtidigt som det står klart att de ovan beskrivna exemplen i avsnitten 3.1 och 3.2 behöver justeras.
  5. För att få fram detta så här snabbt har AI haft en betydande roll. Det måste därför kontrolleras att inget i texten ovan är hallucinerad.
  6. Rent praktiskt bör den infrastruktur vi tar fram kunna stödja även här beskriver hantering, men det behöver diskuteras och övervägas närmare.

Beskrivning av två helt olika lösningsmönster


Olika lösningsmönster

Schematisk beskrivning av de två lösningsmönstren.

Lösningsmönster - ansvarsfördelning

Schematisk teknisk beskrivning av hur de två lösningsmönstren kan realiseras och hur ansvar kan fördelas mellan deltagande parter

Lösningsmönster enligt EHDS

  1. EHDS bygger på en decentraliserad ansvarsfördelning där varje medlemsstat ansvarar för de uppgifter som härrör från dess nationella hälso- och sjukvårdssystem. Enligt artikel 12.1 EHDS ska varje medlemsstat inrätta en nationell eHealth-nod (National Contact Point for eHealth). Denna nod ska säkerställa att gränsöverskridande tillgång till elektroniska hälsouppgifter endast beviljas till auktoriserad hälso- och sjukvårdspersonal och endast för tillåtna ändamål.
  2. Vidare följer av artikel 14.1 att medlemsstaterna ska ”garantera att åtkomst till elektroniska hälsouppgifter av hälso- och sjukvårdspersonal från en annan medlemsstat sker endast efter verifiering av identitet, yrkesmässig behörighet och ändamål, samt i enlighet med tillämplig nationell rätt”. Bestämmelsen innebär att den medlemsstat som innehar uppgifterna (den utlämnande staten) ansvarar för att kontrollera dessa förutsättningar innan utlämnande sker. Kontrollen ska utföras genom den nationella eHealth-noden, som fungerar som en förlitande part (relying party) enligt eIDAS-förordningens terminologi (förordning (EU) nr 910/2014, särskilt artikel 6).

  3. I Sverige sker som framgått utlämnande genom direktåtkomst där den begärande parten själv autentiserar och får tillgång utan att den utlämnande parten gör en individuell prövning. Detta är inte förenligt med den modell EHDS beskriver, eftersom utlämnande enligt EU-rätten alltid förutsätter att den som innehar uppgifterna självständigt verifierar och beslutar om utlämnande (se EHDS:s artikel 14.1 och skäl 28 där det framgår att ansvaret för verifiering och beslut vid utlämnande ligger hos den utlämnande medlemsstaten). I följande sammanställning redovisas närmare att en utlämnande stat inte får förlita sig enbart på att den begärande statens eHealth-nod har gjort en korrekt behörighetskontroll utan själv måste verifiera det elektroniska identitetsintyget och behörighetsintyget (”health professional attribute credential”) innan uppgifterna görs tillgängliga.

Led i processenBegärande statUtlämnande stat
AutentiseringIdentifierar vårdpersonal med eIDAS-godkänd e-legitimation (art. 7 EHDS).Verifierar den mottagna eID:n enligt eIDAS (art. 6 EHDS; art. 6 eIDAS).
BehörighetsverifieringUtfärdar intyg om yrkesbehörighet.Kontrollerar att intyget är giltigt och motsvarar tillåten åtkomst (art. 14.1 EHDS).
Beslut om utlämnandeEj beslutsfattande.Beslutar om utlämnande efter fullständig verifiering (art. 14.1 EHDS; art. 5.2 GDPR).

4. Det kan därmed konstateras att den svenska ordningen med direktåtkomst, där utlämnande i praktiken sker utan individuell prövning av den utlämnande parten, utgör ett nationellt undantag från det EU-gemensamma lösningsmönstret, vilket framgår vid en tolkning av EHDS, särskilt artiklarna 12 och 14, samt av den bakomliggande dataskyddsrättsliga ansvarsfördelningen enligt GDPR (artiklarna 5.2 och 32). Även av kommissionens motivering till förslaget framgår att varje medlemsstat ska säkerställa ”control over access to data and clear accountability for disclosure decisions” (skäl 28 i förordningsförslaget).

Den svenska modellen, där förlitande part i vissa fall inte fattar ett uttryckligt beslut om utlämnande, är därför inte förenlig med EHDS:s grundläggande principer för ansvar och kontroll vid datadelning utan är ett nationellt arrangemang som inte kan tillämpas för gränsöverskridande utbyte inom det europeiska hälsodataområdet.


Per föreslår följande som nya avsnitt i rapporten kap. 9:

9. Juridiska frågor

9.1 Den infrastruktur som föreslås

Utgångspunkter

Digg har i uppdrag att utveckla en sammanhållen infrastruktur för  identitets- och behörighetshantering för Ena – Sveriges digitala infrastruktur (avsnitt 1.1.1), medan E-hälsomyndigheten har i uppdrag är att ta fram en sådan infrastruktur för hälso- och sjukvårdsområdet (avsnitt 1.1.2). Digg ska således utveckla en infrastruktur för samhället som helhet medan E-hälsomyndighetens uppdrag är begränsat till hälso- och sjukvårdsområdet. Den sammanhållna infrastrukturen ska vidare stödja juridisk kontroll av behörighet. Det är alltså inte fråga om ett behörighetskontrollsystem (BKS) i teknisk mening, utan om att digitalt tillgängliggöra de uppgifter som behövs vid juridiska kontroller av identitet och behörighet. Digg har härvid definierat juridisk behörighetskontroll som en granskning av om en medarbetare, i juridisk mening

a) är behörig att agera för en angiven huvudmans räkning, eller

b) har en yrkesroll som innefattar en rätt att agera på det sätt som sker. 

I definitionen har dessutom tillagts "eller deltar i verksamhet hos huvudmannen där medarbetaren behöver vidta en åtgärd eller agera på annat sätt”, för att även kontrollbehov som rör elever vid skola ska kunna hanteras inom infrastrukturen, även om det här inte handlar om en juridisk behörighet att agera för annan eller en yrkesroll i egentlig mening utan om att få tillgång till informationssystem m.m. 

När dessa funktioner utvecklas behöver det beaktas att det både finns materiella regler, som föreskriver under vilka förutsättningar en aktör anses vara behörig, och processuella regler, som föreskriver vilken prövning av juridisk behörighet som krävs i ett mål, ett ärende eller annars vid ett informationsutbyte. Den som ska göra en behörighetskontroll behöver således ha klart för sig 

1. vad som gäller (materiellt) för att en aktör ska anses vara behörig (exempelvis vad som krävs för att få agera för en viss myndighet eller för att få företräda ett företag), och

2. hur omfattande behörighetskontroller som måste göras i ett ärende eller vid en transaktion (exempelvis kräver rättegångsbalken kontroll av fullmakt medan förvaltningslagen och den civilrättsliga regleringen lämnar över till den som handlägger ärendet eller transaktionen att bedöma om en fullmakt ska krävas i det enskilda fallet).

Som framgått innefattar Diggs och E-hälsomyndighetens uppdrag inte själva behörighetskontrollen utan avser det stöd som kan ges genom federationer för att inhämta underlag i form av identitetsintyg för säker identifiering och behörighetshandlingar för juridiska behörighetskontroller. En utgångspunkt är härvid vilket underlag som behövs för att avgöra  

1. vem det är som agerar (identifiering), 

2. om en medarbetare som agerar för en viss huvudmans räkning eller med stöd av en yrkesroll har juridisk rätt att göra på det sätt som sker (behörighetskontroll), och

3. om en digital aktör, exempelvis en robot som utför motsvarande åtgärder automatiserat, satts i funktion så att ”huvudmannen” blir bunden av de automatiserade åtgärderna (behörighetskontroll). 

Inom svensk förvaltningsrätt och civilrätt sker en behörighetskontroll regelmässigt i samband med att ett ärende ska inledas eller att en rättshandling ska utföras. I traditionell fysisk miljö förväntas det att den som agerar (t.ex. en befattningshavare vid en myndighet eller en företrädare för ett aktiebolag) tillhandahåller de behörighetshandlingar som krävs. Eftersom den förlitande parten normalt står risken om den som agerar inte är behörig är det förlitande part som gör behörighetskontrollen, med stöd av exempelvis protokollsutdrag där det framgår att en arbetsuppgift har delegerats, registreringsbevis från Bolagsverket där det framgår vem som är ställföreträdare, en fullmakt eller någon annan behörighetsstyrkande handling där det framgår att en viss individ har rätt att agera för en huvudmans räkning, eller ett bevis om en yrkesroll som innefattar viss behörighet.

Allt fler tjänster har emellertid vuxit fram för att digitalt inhämta uppgifter om behörighet. Det har fört med sig att myndigheter, domstolar och företag allt oftare själv inhämtar behörighetshandlingar. För detta krävs emellertid avtal med olika leverantörer och olika tekniska och administrativa funktioner som inte är samordnade, vilket fört med sig administrativa kostnader och tidsutdräkt för att få tillgång till behörighetshandlingar. Samtidigt förutsätter ofta de digitala tjänster numera införs en åtkomst till behörighetsinformation i realtid. Behovet av de funktioner och tjänster som Digg och E-hälsomyndigheten har fått i uppdrag att ta fram är därmed starkt uttalat.

9.2 Olika förfaranden vid juridiska behörighetskontroller

Sedvanliga behörighetskontroller

Diggs och E-hälsomyndighetens uppdrag är visserligen begränsat till att ta fram stöd för en en sammanhållen infrastruktur för  identitets- och behörighetshantering, men det innebär inte att vi kan bortse från hur behörighetskontroller går till. De funktioner som utvecklas behöver fungera på ett ändamålsenligt sätt. Därför behöver det klargöras vilken part som ska samla in underlag för en behörighetskontroll – förlitande part eller den part som begär behörighetsinformation – och vilken part som ska kontrollera att behörighet föreligger. 

Det en jurist härvid menar med en behörighetskontroll bygger på följande förfarande.

Den fråga som ställs

Hur den bedöms

a. Vilken fysisk person har agerat?

Härvid används underskrifter, legitimationshandlingar, m.m. — inom Infrastrukturen för e-legitimering

b. För egen eller för annans räkning?

I vems namn har personen agerat? Här används t.ex. firmateckning för att klargöra att åtgärden vidtagits i egenskap av företrädare för annan — inom infrastrukturen identifieras huvudmannen

c. Är den som agerar behörig att agera för annans räkning?

Här används protokollsutdrag, registreringsbevis som visar firmateckningsrätt, fullmakter, bevis om viss yrkesroll och liknande behörighetshandlingar — inom Infrastrukturen digitala behörighetshandlingar

Detta förfarande har valts eftersom förlitande part står risken i förhållande till angiven huvudman för om någon annan agerat än den som angivits (bristande identifiering) eller om den som agerat saknat juridisk behörighet att utföra åtgärden (bristande behörighet). Identitets- och behörighetskontroller behöver ske i enlighet med rättsordningen inom vedertagna juridiska ramar så som de sedan länge tillämpats av jurister. 

Frågan är hur en sammanhållen digital infrastruktur för  identitets- och behörighetshantering kan anpassas till dessa förutsättningar. När ett mål eller ett ärende kommer in till en myndighet ska först en formell prövning ske, bland annat av om den som agerar är behörig att vidta åtgärden. Saknas juridisk behörighet avvisas ärendet efter att tillfälle getts att styrka behörigheten. En handläggning i sak (t.ex. sekretessprövning, ändamålsprövningsprövning enligt en registerförfattning eller beslutsfattande) sker först efter att formalia har klarats av. Samma mönster följs i princip när en digitala aktör, exempelvis en robot använder en digital tjänst. Dessa materiella och formella krav och bedömningen av om de uppfyllts innehåller inte någon prövning av tillåtna ändamål för behandling av personuppgifter eller någon sekretessprövning eller liknande. En sådan prövning äger rum först efter att de preliminära frågorna om identitet och behörighet har blivit klarlagda. Samma mönster följs när en digitala aktör, exempelvis en robot, använder en digital tjänst.  

Behörighetskontroller inom hälso- och sjukvården

Eftersom Diggs uppdrag knutits till E-hälsomyndighetens uppdrag har Digg inlett sitt arbete utifrån antagandet att behörighetskontroller inom hälso- och sjukvården skulle utgöra ett typfall för hur frågor om behörighet regleras och bör kontrolleras inom andra områden. Behörighetskontroller visade sig emellertid vara hårt särreglerade i patientdatalagen (2008:355; PDL) och lagen (2018:1212) om nationell läkemedelslista (NLL). Denna hantering  avviker därför på flera sätt från vad som normalt gäller vid juridiska behörighetskontroller. För det första är det inte den förlitande parten, i betydelsen den som mottar en begäran om att få tillgång till hälso- och sjukvårdsdata, som beställer intyg om identitet och behörighet och med detta underlag gör de kontroller som behövs. Det är den vårdgivare som begär åtkomst (exempelvis vårdgivare A) som anskaffar de identitets- och behörighetshandlingar som behövs och sänder med dem tillsammans med en begäran till den förlitande parten om att få åtkomst. För det andra loggar visserligen den förlitande parten (vårdgivare B) mottagna behörighetshandlingar, men gör inte någon egen identifiering eller kontroll av behörighet, utan litar på att den enskilde användaren är identifierad genom en säker e-legitimation och att dennes roll och arbetsuppgift kontrollerats av vårdgivare A. Däremot kontrollerar vårdgivare B att begäran gäller ett tillåtet ändamål och att patienten inte spärrat sina uppgifter. Granskning ska kunna ske i efterhand. Behörighetskontroller enligt NLL följer en liknande struktur. Inom hälso- och sjukvården är dessutom informationssäkerheten särskilt reglerad genom ett sektorsspecifika bestämmelser i PDL och NLL, medan kraven på informationssäkerhet inom övriga områden normalt följer av särskild författningar om informationssäkerhet.    

9.3 Bedömning

När PDL och NLL tillämpas sker kontrollerna således mera i syfte att uppfylla lagstadgade krav på informationssäkerhet och dataskydd, inte för att förlitande part initialt ska kontrollera vem som agerar och om denne är behörig att agera på det sätt som sker. Hanteringen enligt PDL och NLL kan därmed inte läggas till grund för en generell modell för juridisk behörighetskontroll. Det som där betecknas behörighetskontroll framstår i stället som en särskild tillämpning av dataskydds- och sekretessrätten, inte en modell för juridisk behörighetsprövning i allmän mening. Dessutom bygger denna hantering enligt PDL och NLL på direktåtkomst.

En nationell infrastruktur för kontroll av juridisk behörighet behöver istället ta sin utgångspunkt i de materiella rättsreglerna om ställföreträdar- och ombudsskap, fullmakter, delegationsordningar och yrkesroller och de processuella regler som anger vilka kontroller som behöver göras i ett ärende. Den behöver vidare bygga på att förlitande part kontrollerar identitet och behörighet och att informationen utbyts på medium för automatiserad behandling, se vidare avsnitt Z.



  • No labels