Samspel mellan juridiska krav och tekniska lösningar inom det dynamiska IT-området

Helena Andersson

1. Kan juridik och teknik samspela?

IT:s utveckling

Det är ingen tvekan om att den tekniska utvecklingen inom IT (informationsteknik) har gått med en svindlande hastighet de senaste åren. Numera använder nästan alla datorer på sina arbeten, stora mängder av information lagras digitalt, möjligheterna att kommunicera via nätverk har blivit en självklarhet och till viss del ersatt både telefon, fax och traditionell posthantering. Stora och små företag använder sig av integrerade affärsdatasystem som tar hand om i stort sett hela deras arbetsprocess och fler och fler funktioner styrs av datorer, allt från trafikljus till övervakningssystem i atomkraftverk.

IT och juridik

Hur förhåller sig denna tekniska utveckling till det juridiska området? Måste juridiken ställa krav på eller ska den passivt anpassa sig till tekniken?

Om juridiken och tekniken inom IT-området utvecklas helt oberoende av varandra uppstår med stor sannolikhet en mängd oklarheter, exempelvis beträffande ansvarsfrågor, vilken vikt man kan lägga vid olika tekniska bevismedel, vid vilken tidpunkt man slutit ett för båda parter bindande avtal, under vilken juridisk rubrik en viss teknisk företeelse hör hemma, vad som är otillåtet m.m. Detta kan i värsta fall ge upphov till en mängd tillfälliga särlösningar, ineffektivitet och i onödan skapade tvister.

För att undvika detta scenario är det av intresse att skapa ett fungerande samspel mellan det tekniska och det juridiska IT-området, dvs. ett aktivt och medvetet samarbete där det gemensamma målet torde vara att ta till vara den nya teknikens alla möjligheter men på ett sådant sätt att den juridiska regleringens syften samtidigt säkerställs.

Juridiken kan ta sig uttryck i många olika former; lagstiftning, utvecklad rättspraxis, möjliggöra självsanering genom marknadsaktörernas försorg etc. Den tekniska utvecklingen inom IT-området uppvisar en lika mångfacetterad samt därtill en starkt föränderlig form. För att få en bild av hur relationerna mellan två så olika områden som juridik och teknik kan se ut kommer två praktiska exempel att behandlas.

Handlingsbegreppet inom offentlighetsprincipen

Det första är ett exempel från tryckfrihetsförordningens område och visar hur teknisk utveckling påverkar juridiska överväganden. Den centrala frågan gällde hur man skulle hantera handlingsbegreppet inom offentlighetsprincipen med avseende på elektroniskt hanterade och lagrade dokument. Dittills hade ju det till största delen handlat om pappersbaserade meddelanden, dvs fysiska ting. Det var därvid förhållandevis enkelt att konstatera vad som var en handling och vad som inte uppfyllde handlingsrekvisiten, traditionell uppfattning om detta gav ofta tillräcklig ledning.

Med IT:s intåg fann man det nödvändigt att börja analysera begreppet handling och se om den ständigt växande mängden information som hanterades och lagrades på elektronisk väg kunde inneslutas i TF:s handlingsbegrepp (1) eller om den skulle falla utanför. Konsekvenserna om denna typ av informationshantering helt skulle falla utanför skulle naturligtvis bli allvarliga. En stor mängd information skulle inte längre bli tillgänglig för allmänheten om offentlighetsprincipen endast skulle gälla pappersbaserade handlingar.

Vid analys av det traditionella handlingsbegreppet fann man att några av karaktärsdragen var: (2, 3)

• det handlar om fysiska saker

• det finns original och kopior

• det finns ett självklart samband mellan texten, underskriften och bäraren av informationen, d.v.s. pappret.

• formen är identisk i lagrad och läsbar form och läsaren behöver inte några särskilda hjälpmedel för att ta del av innehållet.

Ovan nämnda egenskaper gör att det är mycket svårt att inordna IT-baserad information i det traditionella handlingsbegreppet. Denna typ av informationsmängd är ju exempelvis inte knuten till något fysiskt medium, informationsmängdens innehåll kan förändras beroende på hur man söker, man behöver tekniska hjälpmedel för att göra informationen läsbar och talet om original och kopia har egentligen ingen betydelse i IT-miljö - möjligtvis kan man tala om ett originalinnehåll.

På grund av sin tekniska särart verkade den IT-baserade informationen hamna utanför offentlighetsprincipens område. Detta ansågs, naturligtvis mot bakgrund av myndigheternas allt större användning av IT, inte godtagbart. Problemet måste åtgärdas på något sätt. Det var inte möjligt att ålägga myndigheterna att förvara och hantera allt IT-baserat material även i pappersform. Detta skulle naturligtvis leda till att alla rationaliseringsvinster som IT-användningen hade skapat försvann eller kraftigt minskades. Lösningen blev istället att utvidga offentlighetsprincipen till att på ett entydigt sätt omfatta även IT-baserat material. Detta åstadkoms genom att införa begreppet upptagning - d.v.s. något som kan läsas, avlyssnas, eller på annat sätt uppfattas endast med tekniskt hjälpmedel. Upptagningen kan utgöras av "varje konstellation av sakligt sammanhängande uppgifter" (4), en definition som tar hänsyn till de stora möjligheter den nya tekniken ger beträffande sökning och sammanställning av information.

IT-säkerhetsaspekter på elektroniska patientjournaler.

I nästa exempel studeras det juridiska regelverket kring elektroniska patientjournaler. Här återfinns en rad regleringar som är av stor betydelse ur ett IT-säkerhetsperspektiv.

IT-säkerhet kan kort beskrivas som ett säkerställande av att: (5)

• de tekniska systemen är fysiskt sett skyddade (mot vattenskador, brandskador, stöld mm),
• IT-systemens funktion och driftsäkerhet är tryggad,
• informationen som behandlas i IT-systemen är skyddade mot obehörig insyn och förändring och
• informationen som behandlas i systemen är av god kvalitet, aktuell, relevant m.m.

Ett område där IT-säkerhetsfrågor naturligtvis aktualiseras i allra högsta grad är hälso- och sjukvårdsområdet. Det juridiska regelverket består här av ett flertal lagar, förordningar och rekommendationer som bl.a. har som syfte att säkerställa att patienterna erhåller en högkvalitativ vård samt att de uppgifter som finns om respektive patient är korrekta och hanteras/förvaras på ett säkert sätt. Ett axplock av relevanta lagar på området är hälso- och sjukvårdslagen, patientjournallagen, vårdregisterlagen, sekretesslagen m.fl.

Vårdgivarna ställs i allt större utsträckning inför krav på en ändåmålsenlig och samtidigt kostnadseffektiv vård. Sjukhus och andra vårdinrättningar önskar bl.a. därför i allt större utsträckning hantera den stora mängden information som förvaras i arkiv och ute på avdelningar m.m. elektroniskt. Ett exempel på detta är användningen av elektroniska patientjournaler. Det juridiska integritetsskyddet blir därvid en mycket viktig fråga eftersom en stor del av informationen som hanteras inom hälso- och sjukvården är av mycket känsligt slag.

Regler för hur en patientjournal ska se ut, användas och förvaras återfinns främst i patientjournallagen. (6) När en patient erhåller vård upprättas alltid en patientjournal som innehåller patientens namn och personnummer. I patientjournalen förs i kronologisk ordning in uppgifter om ex. remisser och vilka undersökningar som gjorts. Varje anteckning i journalen skall signeras av den som svarar för uppgiften. En införd uppgift får i princip inte tas bort. Patientjournalen måste naturligtvis förvaras/hanteras så att inte obehöriga får tillgång till den.

När detta förfarande skall översättas till digital miljö måste först och främst den förhållandevis enkla kronologiska ordningen med tillhörande signaturer återskapas. (7) Det krävs därvid förhållandevis komplicerade tekniska system för att uppnå samma struktur. Detta hör samman med IT-miljöns svårigheter att fixera ett informationsinnehåll samt att koppla samman ett visst informationsinnehåll med en signatur eller underskrift (d.v.s. uppgift om utställare). För att svara upp mot lagens krav måste IT-systemet dela upp anteckningarna gjorda i den elektroniska patientjournalen i olika databasposter som var och en erhåller olika statusindikeringar eller digitala signaturer som skall motsvara den handskrivna signaturen. I många system krävs det för att skapa en statusindikering eller digital signatur att den som svarar för uppgiften har uppgivit sitt personliga lösenord. Andra säkerhetsaspekter såsom att:

• på ett godtagbart sätt identifiera vilka som begär tillgång till den elektroniska journalen,

• se till att inga obehöriga får tillgång till journalen,

• säkerställa att behöriga får tillgång till den samt att

• tillägg i journalen görs på ett korrekt sätt,

måste man också säkerställa (ex. genom kryptering och behörighetskontrollsystem).

Ömsesidig påverkan mellan juridik och teknik.

Exemplet rörande utformningen av handlingsbegreppet inom Tryckfrihetsförordningen visar bl.a. på vikten av att man inom det rättsliga systemet förstår innebörden av den tekniska utvecklingen och vilka konsekvenser detta får för att sedan noga överväga hur denna utveckling på ett naturligt sätt kan införlivas och omfattas av rättssystemet. I detta fall blev man tvungen att utvidga ett tidigare etablerat begrepp, i andra fall kanske den tekniska utvecklingen skapar företeelser som ryms inom det redan etablerade systemet.

I det andra exemplet rörande utveckling och användning av elektroniska patientjournaler visades på hur viktigt det är att de som skapar tekniska lösningar som skall uppfylla juridiska krav på bl.a hantering av information, förstår både innebörd och bakomliggande syfte med den juridiska regleringen för att kunna skapa tekniska system som svarar upp mot de juridiska kraven. Denna kunskap om det juridiska systemet kan inte införskaffas när systemet är färdigutvecklat utan måste finnas redan i samband med planeringen av hur IT-systemet skall utformas, i annat fall är risken stor att lösningarna inte blir ändamålsenliga och att man eventuellt måste göra vissa komplicerade tillägg och speciallösningar, vilka kan skapa ineffektivitet och minska systemets användbarhet. I det här fallet var det bl.a. viktigt att utöver kravet på att journalerna skulle förvaras oåtkomliga för obehöriga även förstå betydelsen av att skapa tydligt avgränsade poster som läkare m.fl. kunde föra in i den elektroniska patientjournalen samt knyta en säker identifikation av utställaren till de enskilda posterna.

2. Kan problem uppstå?

Naturligtvis är det inte helt enkelt att skapa och upprätthålla ett väl fungerande samspel mellan teknik och juridik på IT-området. Inledningsvis bör man välja hur samspelet ska skapas, hur förbindelserna mellan teknik och juridik ska utformas. Ska det ske exempelvis genom lagstiftning, överlåtas åt rättspraxis eller eventuellt till marknadens aktörer genom självsanering? De olika varianterna har olika för- respektive nackdelar. Valet mellan de olika åtgärderna måste dock vara medvetet och genomtänkt och anpassas till den tekniska utvecklingen. Om man exempelvis väljer lagstiftning, ska den då vara detaljerad eller allmän, begränsad till ett visst område eller generell etc.?

Juridisk problematik på IT-området

Ett på senare år vanligt påstående är att "lagstiftningen inte hänger med den snabba tekniska utvecklingen på IT-området". (8)

Vad innebär det att hänga med? I detta sammanhang förmodligen att:

1. ha en beredskap att ta hand om tvister och problem som kan uppstå och
2. bidra till att styra handlingsmönster och utveckling mot ett för samhället accepterat sätt, ex förbjuda vissa handlingar som dataintrång,

sammantaget ge den enskilde möjlighet att förutse vilka konsekvenser hans/hennes handlingar kan få. För att nå denna målsättning måste juristen hantera en rad komplikationer: (9)

• juridiken bör vara förutseende och långsiktig men problem uppstår genom att få kan spå vilka tekniska innovationer som kommer nästa vecka.
• juridiken ska helst vara teknikoberoende - men detta kan i vissa fall leda till att den blir alltför allmänt hållen och inte kan effektivt styra tekniken vid behov.
• juridiken ska snabbt lösa lokala och nationella problem men måste ta hänsyn till globala förhållanden och förutsättningar (tekniken är internationell).
• juridiken måste skapas snabbt för att hålla jämna steg med utvecklingen men samtidigt vara noga genomtänkt och hållbar.

Problematik i samband med begreppsdefinitioner

Enligt TF är ju en upptagning något som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel. Upptagningar kan utgöras av olika sammanställningar av lagrade data, d.v.s. potentiella handlingar. En definition på en elektronisk informationsmängd som innefattar möjligheten att kunna sammanställa information på olika sätt passar utmärkt när man letar i stora register och informationsmängder.

När man däremot skulle skapa ett begrepp för elektroniska dokument i tullagen (10) så bedömdes istället möjligheterna att verifiera dokumentets innehåll och utställare vara mycket viktiga. Den använda definitionen blev därför "ett elektroniskt dokument är en upptagning vars innehåll och utställare kan verifieras genom ett visst tekniskt förfarande". Dokumentet får m.a.o. inte förändras, man måste i efterhand kunna hämta fram den ursprungliga versionen. Samma definition har förts in i författningar på skatte- och exekutionsområdet.

När man införde möjligheten att skapa elektroniska journalhandlingar i patientjournallagen (11) använde man samma definition på upptagning som hade använts i TF. Det är dock mycket svårt att tänka sig en journalhandling som potentiell handling, dvs något som kan skapas tillfälligt beroende på söksättet. En patientjournal är, såsom följer av patientjournallagen m fl, något statiskt vilket inte ska presenteras med något annat än det på korrekt sätt uppbyggda innehållet. Att i detta fall använda TF:s begrepp leder därför fel.

Exemplet visar att det är viktigt att tänka igenom vilka funktioner tekniken har och vilket syfte som juridiken har med att möjliggöra viss teknikanvändning. Ibland är det viktigt att tydligt begränsa vad tekniken kan göra för att möjliggöra ett effektivt samspel mellan juridik och teknik.

Problematik i samband med bedömning av teknisk IT-säkerhet

För att skapa ett tillräckligt säkert skydd för känsliga uppgifter i en traditionell, pappersbaserad patientjournal brukar journaler låsas in i ett arkivskåp. Regler för vilka som skall få tillgång till journalen och under vilka förutsättningar detta skall ske återfinns bl.a. i sekretesslagen. När det gäller elektroniskt förvarade journaler aktualiseras naturligtvis samma regler. Sättet att säkerställa vem det är som begär tillgång till journalen, vilken typ av behörighet denna person har, hur känslig information i journalen skyddas mot obehörig åtkomst etc. skiljer sig dock avsevärt.

Ett första steg mot ökad säkerhet är att kryptera informationen i journalen/journalanteckningarna. (12) Detta ger dock direkt upphov till frågan om vilken typ av kryptering som bör användas. Det finns idag enkla kryptosystem som med olika hjälpmedel kan dechiffreras på några minuter/sekunder och andra krypteringssystem som istället kräver timmar, dagar, veckor eller år att lösa. Det är dock inte klart vilken nivå som krävs för att ge samma säkerhetsgrad som för de inlåsta pappersjournalerna i det juridiskt accepterade låsbara och säkra arkivskåpet.

Det räcker ju inte med att kryptera informationen för att skapa en tillräckligt säker miljö för patientjournalen. Det är samtidigt nödvändigt att vissa ska få se journalen samt göra anteckningar och tillägg i den. Enligt sekretesslagen (13) gäller sekretess i fråga om uppgifter i patientjournalen (med några undantag) utom i förhållande till hälso- och sjukvårdspersonal om uppgiften behövs för vård eller behandling. Det blir därför nödvändigt att införa behörighetskontrollsystem för att begränsa och styra tillgången till patientjournalens information.(14) Detta ställer i första hand krav på att man skall kunna identifiera dem som begär tillgång till journalen. Räcker det härvid med ett s k smart card med lösenord eller behövs ett annat identifieringssystem? I de fall man använder sig av lösenord uppkommer frågor om hur pass säkert lösenordet är, hur ofta det byts, hur kortet förvaras med mera. Eftersom uppgifterna bara skall vara tillgängliga för hälso- och sjukvårdspersonal när de behövs för vård och behandling måste man även kunna skilja mellan olika anställdas uppgifter och dela in personalen i behörighetskategorier. Frågor som om de ska få tillgång till alla uppgifter i journalen eller om dessa bör delas upp, exempelvis klassificerat enligt känslighetsgrad uppstår naturligtvis. När uppgifterna i journalen på grund av vårdskäl behövs på ett annat sjukhus än där patienten befinner sig måste man även säkerställa att korrekt information mottas av korrekt mottagare utan att obehöriga skall ha fått eller kunnat få tillgång till den. Fortfarande gäller lagens regler om att informationen i patientjournalen endast skall vara tillgänglig för behöriga. Fråga uppkommer dock om lagens regler ger tillräcklig vägledning för att man ska kunna bygga upp system som man ur juridisk synvinkel på förhand kan säga ger tillräcklig säkerhet.

Problematik kring arkivering av IT-baserat material.

Enligt sekretesslagen ska uppgifterna om en enskilds hälsotillstånd m m vara belagda med sekretess i 70 år. (15) Enligt arkivlagen(16) ska arkiverade dokument gå att söka efter och arkivet skyddas mot förstörelse, skada, tillgrepp och obehörig åtkomst.

Detta ställer inte till nämnvärt med problem vad gäller traditionella pappersbaserade handlingar - man låser in dem i ett säkert arkiv sorterade på ett visst sätt. Problem uppstår dock nästan genast i förhållande till elektroniska dokument som innehåller uppgifter om enskilds hälsotillstånd eller annan känslig information. (17)

Det är ett känt fenomen att både mjukvara och hårdvara inom IT-världen uppdateras med jämna och framförallt frekventa mellanrum (ofta inte längre än 18 månader). Detta innebär att dokument som sparats i en äldre version måste konverteras för att kunna läsas av den nyare programversionen. En konvertering har dock nackdelar. För att exempelvis markera vem som har skrivit vad i en elektronisk patientjournal kan man som tidigare nämnts använda en digital signatur. Denna signatur beräknas utifrån det elektroniska dokumentets digitala mönster - konverteras journalen till en nyare version förändras mönstret och den digitala signaturen förstörs vilket naturligtvis inte kan godtas i samband med arkivering.

Ett annat sätt är att använda särskilda lagringssystem vilka inte är lika känsliga för vilken hård- respektive mjukvara som används och på det sättet undvika konverteringar. Detta medför dock tyvärr att man inte heller kan använda mer komplexa funktioner som t.ex. komplicerade digitala signaturer och kryptering. Det juridiska kravet på skydd mot bl.a. obehörig åtkomst blir därigenom svårare att upprätthålla.

Ett tredje sätt är att kontinuerligt spara den hård- och mjukvara som behövs för att läsa äldre versioner. Detta tillvägagångssätt är relativt opraktiskt och förutsätter bl a omfattande dokumentation kring arkivet för att visa hur den äldre versionen skall användas.

En annan komplikation är att krypteringstekniken hela tiden utvecklas. Detta innebär att ett krypteringssystem som var mycket svårt att knäcka när ett dokument ursprungligen lades in i arkivet några år senare kan generellt anses ge mycket lite skydd. Säkerhetsnivån sänks därigenom dramatiskt. Här ska åter påpekas att sekretesslagens krav på skydd mot obehöriga skall upprätthållas i upp till 70 år samtidigt som arkiven enligt arkivlagen måste vara sökbara.

3. Hur skapas ett aktivt, effektivt och störningsfritt samspel?

För att på ett långsiktigt och hållbart sätt överbrygga de problem som kan uppstå när juridik och teknik ska samarbeta mot ett gemensamt mål krävs en hel del arbete samt ambitionen att ta ett helhetsgrepp. Det finns inte vare sig några enkla svar eller enkla vägar men att endast skapa temporära lösningar i det enskilda fallet kan i värsta fall lägga grunden till ett inkonsekvent "lapptäcke" av regleringar. Jämför exempelvis användningen av upptagningsbegreppet i patientjournallagen.

Några viktiga grundförutsättningar för att istället försöka skapa ett fungerande, medvetet och aktivt samarbete mellan juridik och teknik på IT-området bör vara: (18)

• Tvärdisciplinär kunskap: För att kunna skapa gemensamma lösningar är det viktigt att jurister och tekniker talar samma språk, förstår varandras begrepp och tankegångar. Det är av stor betydelse att förstå dels hur det egna ämnesområdet förhåller sig till andra områden, dels vilka möjligheter tekniken har att stödja och uppfylla juridikens krav. Naturligtvis kan inte kravet på insikt i andra ämnesområden ställas så högt att exempelvis tekniker bör bli jurister och vice versa men det krävs förmodligen betydligt mer än en ytlig kunskap för att förstå alla relevanta sammanhang.
• Tvärjuridiskt angreppssätt: Juridiken måste ta sig an den tekniska utvecklingen på bred front och se till att juridiska begrepp inom olika ämnesinriktningar behandlar och betraktar IT-lösningar på samma sätt. Risken blir ju annars inkonsekvens och eventuellt felaktigt använda termer.
• Gemensam systemutveckling: Juridiken och dess krav måste vara aktuella redan i samband med att IT-system utvecklas. Ett naturligt och tidigt införlivande av juridiska krav i de tekniska systemen gör systemen mer ändamålsenliga och i behov av färre kompletteringar och tillägg för att svara mot relevanta juridiska krav. De juridiska kraven bör komma in på ett lika naturligt sätt som andra kravspecifikationer.

Ett väl fungerande och medvetet samspel mellan juridik och teknik på IT-området gör det möjligt att tillvarata den nya teknikens utvecklingspotential samtidigt som den juridiska regleringens syften säkerställs. Medvetenhet om den problematik som uppstår i gränssnitten mellan juridik och teknik samt ambitionen att se frågeställningarna i ett brett perspektiv är de första stegen mot ett sådant samspel.

Källförteckning

Joachim Benno, Transaktionens anonymisering och dess påverkan på rättsliga problemställningar, Det IT-rättsliga observatoriets rapport 1/97.

Per Furberg och Gunnar Klein, IT-relaterade rättsfrågor inom hälso- och sjukvården, preliminär rapport 1997, SPRI

Per Furberg och Cecilia Magnusson, Rättsreglerna och IT, Statskontorets rapport Elektroniska dokument och ärendehantering 1995:14

NÅR 1990, ADB, lagstiftningen och juristens roll, red

Lagerlund, Britt, Behörighet, säkerhet och sekretess- krav på system med patientinformation,

SPRI rapport 419, Stockholm 1996

Seipel, Peter, Den nya datarätten (artikel), Särtryck ur Lex Ferenda,

Seipel, Peter, Juridik och IT, 6 uppl, Norstedts juridik, 1997

Elektronisk post i förvaltningen, Toppledarforum och Statskontoret, rapport 1999:3

---

1 TF 2 kap 3§

2 Per Furberg och Gunnar Klein, IT-relaterade rättsfrågor inom hälso- och sjukvården, preliminär rapport, SPRI 1997, sid 12

3 Per Furberg och Cecilia Magnusson, Rättsreglerna och IT, Statskontorets rapport: Elektroniska dokument och ärendehantering 1995:14, sid 148 ff

4 Prop 1975/76:160

5 Seipel, Peter, Juridik och IT, 6 uppl, Norstedts juridik, 1997, sid 185 f

6 Patientjournallag (1985:562)

7 Per Furberg och Gunnar Klein, IT-relaterade rättsfrågor inom hälso- och sjukvården, preliminär rapport, SPRI 1997, sid 5

8 Benno, Joachim, Transaktionens anonymisering och dess påverkan på rättsliga problemställningar, Det IT-rättsliga observatoriets rapport 1/97, s 5.

9 Seipel, Peter, Den nya datarätten, Särtryck ur Lex Ferenda, s 221

10 Tullag (1994:1550)

11 Patientjournallag 2 §

12 Britt Lagerlund, Behörighet, säkerhet och sekretess- krav på system med patientinformation, SPRI rapport 419, Stockholm 1996, s 10

13 Sekretesslag (1980:100) 7 kap 1 §

14 Britt Lagerlund, Behörighet, säkerhet och sekretess- krav på system med patientinformation, SPRI rapport 419, Stockholm 1996, s 12 ff

15 Sekretesslag 7 kap 1 §

16 Arkivlag (1990:782) 3 - 6 §§

17 Per Furberg och Gunnar Klein, IT-relaterade rättsfrågor inom hälso- och sjukvården, preliminär rapport, SPRI 1997, sid 24

18 Seipel, Peter, Den nya datarätten, Särtryck ur Lex Ferenda, s 230 ff