Skillnaden mellan direktåtkomst, där det krävs sekretessbrytande regler i lagstiftningen och utlämnande genom ADB (elektroniskt utlämnande) där man tillämpar regler för utlämnande av allmän handling (speciellt vad gäller menprövning), är ytterst central när vi designar nya lösningar för eHälsa. Enligt WHO är eHälsa ”användning av elektronisk informations- och kommunikationsteknologi (IKT) för hälsa för att, till exempel, behandla patienter, genomföra forskning, utbilda studerande, spåra sjukdomar och övervaka folkhälsa”.
Statskontoret har i Förstudierapport Standardmeddelande Bilaga 4: Juridiska bakgrundstexter (2004:22) uttalat följande om skillnaden (och likheten) mellan ADB-utlämnande och direktåtkomst:
”Av avgörande betydelse är att användaren vid direktåtkomst själv söker och tar del av information i en databas så att den personuppgiftsansvarige inte har kontroll över vad som lämnas ut – finns åtkomst blir uppgifterna till- gängliga på kommando, utan att den personuppgiftsansvarige ges någon beslutspunkt där det kan bestämmas huruvida utlämnande skall medges.
Motsatt funktionalitet torde avses med utlämnande på medium för automatisk behandling. Det synes därmed inte utgöra direktåtkomst om en myndighet sänder en elektronisk handling med en begäran om att få ut en handling eller vissa uppgifter och mottagande myndighets hantering av detta ärende är utformad så att det finns en punkt där myndigheten – manuellt eller genom automatiserad ärendehandläggning – bestämmer om ut- lämnande får ske och därvid har kontroll över vilka handlingar eller uppgifter som lämnas ut i det enskilda fallet. Prövningen av frågor om sekretess och skydd för uppgifterna enligt PUL eller en databaslag kan alltså ske när en framställning om utlämnande har kommit in och det är den person- uppgiftsansvarige som expedierar begärda handlingar och uppgifter, inte sökanden som hämtar dem.
Stöd för denna bedömning, när rutinerna automatiseras, kan möjligen hämtas från en jämförelse med vad som anses gälla från civilrättsliga ut- gångspunkter när ”en dator agerar”. Av 2 kap. avtalslagen följer att en fullmäktig måste vara ett rättsubjekt och att datorer följaktligen inte kan utgöra mellanmän (jfr Dotevall, Mellanmannens kunskap och huvudmannens bundenhet, s. 74). Ett handlande gentemot en part, där handlandet i praktiken utförs av en dator, anses därför rättsligt utföras av det rättssubjekt som initierat den elektroniska process som datorn utför, enligt uppställda regler. Det är alltså myndigheten själv som agerar när den, med hjälp av en dator, prövar om en handling eller en uppgift skall lämnas ut.”
Jag blir så glad 
, för då kan vi skapa:
Jag håller absolut inte med om Statskontorets formulering ”så att den personuppgiftsansvarige inte har kontroll över vad som lämnas ut ..”. Beslutspunkten de refererar till är ju redan fattad INNAN ett sådant utlämnande genom en systemuppbyggnad som om den överhuvudtaget skall få användas för uppgiften självklart inkluderar den kontrollen genom t.ex. behörigheter kopplade till befattning, stark autenticering av användaren samt loggning av alla händelser. Nej svagheterna infaller snarare vid den senare nämnda ”bedömningen” av en utlämning som ofta har en bristfällig eller i värsta fall obefintlig spårbarhet då myndigheter och dess handläggare idag brister stort i korrekt diarieföring.
Jag tror statskontoret refererar till vad som delges medarbetaren – inte vad som förs över från t.ex. journalinformation i system hos vårdgivare A för visning (utan lagring) i tillämpning hos vårdgivare B för medarbetare hos vårdgivare B. I vart fall är det så PDL ser på saken (som ju tillkom långt senare). Nog kan man tolka statskontorets formulering som kompatibel med PDL? Då är det verksamheten (B) som bereder sina medarbetare tillgång till informationen (från A) som ansvarar för behörighetskontroll – inte den tekniska komponent/tjänst som är källan för informationen (hos A). Enda kravet på A är att den del av informationsöverföringen som sker över öppet nät mellan A och B är insynsskyddad, samt att A på begäran av patienten kan visa vem (även hos B) som beretts åtkomst till patientens journal. Det senare kan t.ex. realiseras genom riktat loggutbyte mellan B och A.
Statskontoret skrev detta 2004 men formulerade sig då i mitt tycke alldeles för ”analogt” för att kommunicera ett konkret stöd till vården som redan då hade ca. 10 års blandade erfarenheter av elektronisk journalhantering. Vad gäller ”kompatibiliteten” med den senare PdL som ju ganska effektivt undviker att blanda in teknologiska begrepp trots att det är en datalagstiftning så hade man snarare försökt beskriva den ”IT-praktiska” skillnaden i ansvar och framförallt hantering mellan inre och yttre sekretess vilket redan då var etablerade begrepp som dock visat sig vara både komplicerade och dyra att implementera på informationssystemen. Vården bottnade aldrig dessa frågor innan man började med sammanhållen journalföring och det är väl ungefär där vi står fortfarande idag.
Pingback: (Swedish) Kan OAuth2 vara dörren till att öppna journalerna för marknaden? « Callista Blog