Vi vill skicka provsvar till patienten digitalt.  Finns det möjlighet att på ett säkert sätt kunna förmedla digitalt? T.ex. via mail med bifogat dokument som är krypterat- i så fall, vad krävs för att det ska vara tillräckligt säkert (krav på lösenordet, tvåstegs-inlogg eller liknande)?

Det finns särskilda säkerhetskrav när känsliga personuppgifter om t.ex. hälsa kommuniceras över öppna nät. De här kraven återfinns i 3 kap. 15 § HSLF-FS 2016:40.  När ni skickar provsvar digitalt måste ni alltså uppfylla dessa krav.

Ni som vårdgivare ansvarar då för att uppgifterna förs över på ett sådant sätt att inte obehöriga kan ta del av dem (krypterad förbindelse eller krypterade uppgifter). Kravet på kryptering innebär att uppgifterna inte får skickas via vanlig mejl eller sms. Det beror på att datan måste vara krypterad.  Vidare måste åtkomsten föregås av stark autentisering (s.k. tvåfaktorsautentisering). Det betyder att mottagaren behöver bekräfta  sin identitet på minst två av följande sätt:

A. Utifrån vad användaren kan (t.ex. lösenord eller pinkod)
B. Utifrån vad användaren har (t.ex. kodbox, certifikat, smartkod, engångskod eller mobil)
C. Utifrån användaren själv (t.e.x fingeravtryck eller avläsning av iris)

Den vanligaste kombinationen utifrån dagens teknik är A+B. Rent praktiskt kan det gå till som så att mottagaren skriver in användarnamn + lösenord och legitimerar sig via BankID, SITHS-kort eller annan e-legitimation. Detta betraktas ofta som den allra säkraste lösningen. Ett annat alternativ är att mottagaren skriver in användarnamn + lösenord och sedan anger en engångskod som skickas till t.ex. säkerhetsdosa (gärna kombinerad med en säkerhetsnyckel) eller mobiltelefon. Om inloggning, d.v.s. åtkomst till uppgifterna, endast kan ske på något av de sätt som anges är kravet på tvåfaktorsautentisering uppfyllt. Har ni möjlighet att sköta all kommunikation via någon form av säker e-tjänst är det att rekommendera.

 

Lagstöd:

HSLF-FS 2016:40 Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården; 3 kap. 15 §