Personuppgifter i ett nationellt eller regionalt kvalitetsregister är, enligt såväl offentlighets- och sekretesslagen som personuppgiftslagen, att betrakta som utlämnade från den inrapporterande vårdgivaren (PUA) till den centralt personuppgiftsansvarige myndigheten (CPUA).

Av 2 kap. 5 § SOSFS 2008:14 framgår det bl.a. att en vårdgivare som använder öppna nät för att hantera patientuppgifter har ansvar för att det finns rutiner som säkerställer att åtkomst till patientuppgifter föregås av stark autentisering. Sjunet är, t.ex. i likhet med Internet, att betrakta som ett öppet nät, en vårdgivares egna nät som ligger bakom brandväggar är att betrakta som ett slutet nät.

I praktiken innebär detta att direktåtkomst av personuppgifter över ett öppet nät måste föregås av stark autentisering.

Stark autentisering, dvs. identifiering av en person och verifiering av identifikatorns autenticitet och riktighet bygger på tillämpning av att minst 2 av 3 inloggningsfaktorer som definierade enligt urvalet nedan: 

  1. Något man vet dvs. Kunskaps faktorn som till exempelvis ett lösenord eller en pinkod.

  2. Något man har dvs. en Teknisk faktor som ett fysiskt objekt, ett kort (SITHs) eller en säkerhetsdosa.

  3. Något man är dvs. Faktorer som är unika för individen såsom exemelvis ett finger­avtryck.

I korthet innebär detta att ett användarenamn tillsammans med ett lösenord inte är att betrakta som stark autentisering.

Kvalitetsregister anslutna till kompetenscentrum UCR kommer alla att erbjudas möjligheten att nyttja SITHS kort och ett HSA-ID för stark autentisering vid åtkomst till uppgifter i registeret. Nedan återfinns ett dokument som beskriver hur en användares HSA-ID kan knytas till dennes användarenamn i registret.

Dokument som beskriver inloggning med SITHS kort till register finns nedan.

Tillbaka till toppen