Illustration man med nyckel

E-hälsomyndighetens säkerhetslösning

För att kunna ansluta till Nationella läkemedelslistan via nya tjänstegränssnitten, behöver alla aktörer använda E-hälsomyndighetens säkerhetslösning. Detta behöver ske senast 1 maj 2023.

E-hälsomyndigheten tillhandahåller ett antal tjänster till vård- och apoteksaktörer. Tjänsterna är till för att underlätta informationsutbytet mellan olika verksamheter. Det gäller till exempel tjänster och register som används vid förskrivning och expedition av e-recept. Informationen i dessa tjänster och system innehåller känsliga personuppgifter. Därför måste både tjänsterna och de aktörer som använder dem uppfylla höga säkerhetskrav.

E-hälsomyndighetens säkerhetslösning ställer höga krav på anslutande aktörer för att säkerställa identitets- och behörighetshanteringen, det vill säga att rätt person får åtkomst till rätt information. Syftet med säkerhetslösningen är att stärka skyddet för patienternas personliga integritet.

Två sätt att få åtkomst

Det finns två alternativ för identitets- och behörighetshantering för vård- och apoteksaktörer som ansluter sina system till E‑hälsomyndighetens tjänster med säkerhetslösningen.

Via Sweden Connect   

Sweden Connect är en identitetsfederation som Myndigheten för digital förvaltning, DIGG, står bakom. 

I Sweden Connect ingår de två komponenterna e-legitimation och intygsfunktion (IdP). Båda komponenterna behöver granskas och godkänds enligt Sweden Connect och avtal behöver tecknas med DIGG.

Behörighetsstyrningen i säkerhetslösningen hanterar aktörerna själva inom sina respektive ledningssystem för informationssäkerhet. Detta ska ske i enlighet med E‑hälsomyndighetens kommande riktlinjer för behörighetsstyrning.

Läs mer om IdP och Sweden Connect (öppnas i ny flik)

Vilka kan använda Sweden Connect alternativet?

För tillfället är det offentlig verksamhet, det vill säga kommuner och regioner som erbjuds att teckna avtal med DIGG om anslutning till Sweden Connect. Läs mer om Teckna avtal för anslutning till Sweden Connect (öppnas i ny flik)

Privata vårdgivare förväntas få möjlighet att teckna avtal på motsvarande villkor som offentlig verksamhet.

Privata företag utan avtal med offentlig verksamhet så som apotek och veterinärer förväntas även på sikt erbjudas möjlighet att teckna avtal med DIGG om anslutning till Sweden Connect, men villkoren för detta är ännu inte fastställda.

Läs mer om hur villkoren för att teckna av avtal med Sweden Connect kan förändras för privata aktörer i promemoria ”Auktorisationssysten för elektronisk identifiering och digital post”, samt i E-hälsomyndighetens remissvar och DIGGs synpunkter på promemorian:

Auktorisationssystem för elektronisk identifiering och för digital post - Regeringen.se (öppnas i ny flik)

E-hälsomyndighetens remissvar 

Promemoria - auktorisationssystem för elektronisk identifiering och digital post | DIGG (öppnas i ny flik)

Via federationen Sambi

Ett annat alternativ för att uppfylla kraven för E-hälsomyndighetens säkerhetslösning är genom den identitets- och behörighetshantering som sker genom Sambi. Vård- och apoteksaktörer kan alltså även i fortsättningen välja Sambi när de ansluter till E‑hälsomyndighetens tjänster.

Vilka kan använda Sambi alternativet?

Alla aktörer, oavsett om de är privat eller offentligt finansierade, kan ansluta via Sambi.

Läs mer om att bli granskad och godkänd av Sambi (öppnas i ny flik)

Vad innebär kraven?

E-hälsomyndighetens säkerhetslösning innebär att alla aktörer som vill få åtkomst till Nationella läkemedelslistan via nya tjänstegränssnitten behöver göra vissa tekniska och administrativa förändringar. I stora drag innebär det att aktörerna ska ha:

  • E-legitimation godkänd enligt kvalitetsmärket Svensk e-legitimation
  • Intygsutfärdare (IdP) - granskad och godkänd av Sweden Connect eller Sambi 
  • Attributförsörjning enligt E-hälsomyndighetens kommande riktlinjer för Sweden Connect alternativt attributförsörjning enligt Sambis krav.

Vilka aktörer påverkas?

E-hälsomyndighetens säkerhetslösning innebär förändringar för alla aktörer som hanterar förskrivning och expediering av e-recept och som i fortsättningen vill använda våra tjänster. För att skydda patienternas personuppgifter behöver följande verksamheter göra anpassningar:

  • Systemleverantörer av förskrivnings- eller receptexpeditionssystem
  • Apoteksaktörer
  • Vårdaktörer, både offentligt finansierade vårdgivare och privata vårdgivare inklusive tandvård
  • Veterinärer

Vad gäller för veterinärer?

För veterinärer och de system som hanterar e-recept för djur och som inte berörs av lagen om nationell läkemedelslista gäller samma krav på identitets- och behörighetshantering och därmed E-hälsomyndighetens säkerhetslösning. Anpassning till E-hälsomyndighetens säkerhetslösning måste alltså göras senast 1 maj 2023.

Därför höjer vi kraven

För att öka säkerheten vid hantering av personuppgifter, och på så vis skydda medborgarnas integritet. Det gör vi genom att tillämpa dessa lagar:

  • Lag (2018:1212) om nationell läkemedelslista
  • EU:s dataskyddsförordning (GDPR)