Självklart ställs stora krav på identifiering och behörighetstilldelning för användning av elektronisk patientinformation. Lagstiftningen är enligt min uppfattning klockren – varje åtkomst till elektroniskt lagrad patientinformation skall tillåtas enbart av användare som är säkert identifierade (tvåfaktorautentisering). För behörighetstilldelning krävs i normalfallet att användarens yrkesroll och uppdrag kan bekräftas med eID-kortet eller genom uppslagning i säkert förvaltade kataloger. Dessutom måste det finnas ett patientmedgivande för åtkomst till den personliga vårdinformationen.
Landstingen och regionerna använder SITHS/HSA för detta, även om utrullning av de säkra SITHS-korten och erforderliga säkert administrerade HSA-kataloger för alla vårdgivare ännu inte är heltäckande på flera håll. SITHS/HSA-modellen är ur ett säkerhetsperspektiv väl genomtänkt, men den tekniska realiseringen innebär att kortutgivning och katalogförvaltning medför stora administrativa belastningar på förvaltningsorganisationerna. Dagens HSA-lösning saknar dessutom tillfredsställande versionshantering av kataloginnehållet och det är arbetskrävande att hantera organisationsförändringar och personal som byter uppdrag eller behöver förnya sina eID-kort.
Därför är det lovande när Catharina Mann från SKL på årets konferens om Nationell eHälsa berättade om kommunsektorns initiativ till en mer flexibel och lättadministrerad lösning grundad på en federativ modell för säker identifiering av användare. Naturligtvis måste SITHS/HSA vara en av de federerade parterna för identifiering och rättighetstilldelning. Men det viktiga är att användaren skall kunna identifiera sig med en godkänd eID-handling och att övriga rättighetstilldelande funktioner skall kunna hanteras via säkert förvaltade kataloger. Hos SITHS/HSA-administrationen finns god kunskap om regelverk och instruktioner om hur sådana kataloger skall utvecklas och förvaltas. Den federerade miljön för behörighetstilldelning skall naturligtvis använda sk SAML2-biljetter.
Låt oss hoppas att presentationen på Nationell eHälsa innebär att dödläget på identitets- och rättighetssidan bryts, och att vi får till stånd de mer lättadministrerade lösningar som behövs för att den dagliga informationshanteringen i vård och omsorg kan ske på det sätt som lagen föreskriver.