Utvalgte hurtiglenker

    Proposisjoner til Stortinget

    Prop. 152 L (2024–2025)

    Endringer i helselovgivningen (tilgjengeliggjøring av helsedata og krav til tekniske og organisatoriske sikkerhetstiltak)

    Til innholdsfortegnelse
    Neste kapittel
    Forrige kapittel

    3 Gjeldende rett

    3.1 Pasientjournalloven

    Lovens formål er at behandling av helseopplysninger skal skje på en måte som gir pasienter og brukere helsehjelp av god kvalitet ved at relevante og nødvendige opplysninger på en rask og effektiv måte blir tilgjengelige for helsepersonell. Samtidig skal loven sikre at opplysninger ikke gis til uvedkommende, og sikre pasienters og brukeres personvern, pasientsikkerhet og rett til informasjon og medvirkning.

    Pasientjournalloven gjelder behandling av helseopplysninger som er nødvendige for å yte, administrere eller kvalitetssikre helsehjelp til enkeltpersoner, jf. § 3.

    Krav til informasjonssikkerhet følger av § 22. I bestemmelsen er det bestemt at den dataansvarlige og databehandleren, skal gjennomføre tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen. Den dataansvarlige og databehandleren skal blant annet sørge for tilgangsstyring, logging og etterfølgende kontroll. Bestemmelsen er direkte knyttet til personvernforordningen artikkel 32 ved henvisning.

    Av § 22 andre ledd følger at departementet i forskrift kan fastsette nærmere krav til informasjonssikkerhet ved behandling av helseopplysninger.

    3.2 Helseregisterloven

    Lovens formål er å legge til rette for innsamling og annen behandling av helseopplysninger, for å fremme helse, forebygge sykdom og skade og gi bedre helse- og omsorgstjenester. Loven skal sikre at behandlingen foretas på en etisk forsvarlig måte, ivaretar den enkeltes personvern og brukes til individets og samfunnets beste. Dette følger av § 1.

    Lovens saklige virkeområde er regulert i § 3. Loven gjelder for behandling av helseopplysninger til statistikk, helseanalyser, forskning, kvalitetsforbedring, planlegging, styring og beredskap i helse- og omsorgsforvaltningen og helse- og omsorgstjenesten.

    Helseregisterloven § 19 til § 19 h regulerer adgangen til å tilgjengeliggjøre og sammenstille helseopplysninger fra helseregistre. Utarbeidelse og tilgjengeliggjøring av anonym statistikk og andre anonyme opplysninger er regulert i § 19. Det er fri adgang til å tilgjengeliggjøre anonym statistikk og andre anonyme opplysninger, fordi slike data ikke kan knyttes til enkeltpersoner og derfor ikke omfattes av reglene om personvern og taushetsplikt.

    Paragrafene (§ 19 til § 19 h) er utformet i samsvar med prinsippet om dataminimering i personvernforordningen artikkel 5 nr. 1 bokstav c. Det følger av dette prinsippet at graden av personidentifikasjon skal være så liten som mulig (jf. helseregisterloven § 6 andre ledd første punktum). Utgangspunktet er derfor at opplysninger fra helseregistre som tilgjengeliggjøres skal være anonyme. Direkte eller indirekte personidentifiserende opplysninger kan bare tilgjengeliggjøres dersom det er nødvendig ut fra formålet med behandlingen.

    Tilgjengeliggjøring av helseopplysninger er regulert i § 19 a. Bestemmelsen fastsetter vilkårene for tilgjengeliggjøring av direkte og indirekte personidentifiserbare helseopplysninger fra helseregistre, inkludert sammenstilte datasett. Dersom vilkårene i helseregisterloven § 19 a er oppfylt, er det ikke bare tillatt, men også en plikt, for den dataansvarlige å tilgjengeliggjøre opplysningene.

    Reglene for dispensasjon fra taushetsplikten følger av § 19 e. Helseopplysninger i helseregistre er taushetsbelagte, jf. helseregisterloven § 17 som viser til helsepersonelloven §§ 21 flg. Dersom søkeren skal kunne få opplysningene, må enten de registrerte ha samtykket til tilgjengeliggjøringen eller så må tilgjengeliggjøringen være i samsvar med unntak eller dispensasjon fra taushetsplikten. Helseregisterloven § 19 e fastsetter hvilke vilkår som må være oppfylt for å kunne gi dispensasjon fra taushetsplikten ved tilgjengeliggjøring fra helseregistre. Bestemmelsen regulerer vedtak om dispensasjon fra taushetsplikten ved tilgjengeliggjøring av opplysninger som er omfattet av helseregisterloven. Ved helsepersonells tilgjengeliggjøring av opplysninger fra pasientjournaler og andre behandlingsrettede helseregistre, gjelder helsepersonelloven § 29.

    I helseregisterloven § 19 b er det gitt et særskilt unntak fra taushetsplikten ved tilgjengeliggjøring av indirekte identifiserbare helseopplysninger fra nasjonale helseregistre omfattet av lovens § 11. Vilkåret er at «hensynet til den registrertes integritet og konfidensialitet er ivaretatt og behandlingen av opplysningene er av vesentlig interesse for samfunnet.»

    Bestemmelsene om tilgjengeliggjøring er nærmere beskrevet i Prop. 63 L (2019–2020) Endringer i helseregisterloven m.m. (tilgjengeliggjøring av helsedata).

    Kravene til informasjonssikkerhet følger av helseregisterloven § 21. Den dataansvarlige og databehandleren skal gjennomføre tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen. Den dataansvarlige og databehandleren skal blant annet sørge for tilgangsstyring, logging og etterfølgende kontroll. Bestemmelsen er direkte knyttet til personvernforordningen artikkel 32 ved henvisning. Av § 21 andre ledd følger at departementet i forskrift kan fastsette nærmere krav til informasjonssikkerhet ved behandling av helseopplysninger.

    3.3 Sikkerhetsloven

    Loven skal bidra til a) å trygge Norges suverenitet, territorielle integritet og demokratiske styreform og andre nasjonale sikkerhetsinteresser, b) å forebygge, avdekke og motvirke sikkerhetstruende virksomhet og c) at sikkerhetstiltak gjennomføres i samsvar med grunnleggende rettsprinsipper og verdier i et demokratisk samfunn. Se loven § 1-1.

    Objekter og infrastruktur er skjermingsverdige dersom det enten kan skade grunnleggende nasjonale funksjoner om de får redusert funksjonalitet eller blir utsatt for skadeverk, ødeleggelse eller rettsstridig overtakelse, eller kan skade nasjonale sikkerhetsinteresser på annen måte, jf. § 7-1.

    Dersom informasjonen det gjelder har et skadepotensiale som er løsere eller mer indirekte knyttet til nasjonale sikkerhetsinteresser, vil det ikke direkte falle inn under sikkerhetslovens regler om beskyttelse av informasjon.

    Av loven § 8-1 følger at personer som skal få tilgang til sikkerhetsgradert informasjon, skal autoriseres i samsvar med § 8-9. Det samme gjelder personer som skal ha adgang til skjermingsverdige objekter og infrastruktur som det er fattet vedtak om etter § 8-3.

    Videre følger at personer som skal autoriseres for tilgang til informasjon gradert konfidensielt eller høyere, må ha gyldig sikkerhetsklarering. Personer som skal autoriseres for tilgang til skjermingsverdige objekter og infrastruktur som det er fattet vedtak om etter § 8-3, må ha gyldig adgangsklarering. Adgangsklarering kan benyttes som sikkerhetstiltak dersom fysisk eller logisk tilgang til hele eller deler av et objekt eller en infrastruktur gjør det mulig å skade grunnleggende nasjonale funksjoner. Det følger av klareringsforskriften (forskrift om sikkerhetsklarering og annen klarering) § 15 at hvert departement, innenfor sitt ansvarsområde kan fatte vedtak om krav til adgangsklarering der et objekt eller en infrastruktur kan være et mål for ikke-statlig terror, attentat eller annen alvorlig kriminalitet. Kan objektet eller infrastrukturen være mål for statlig sabotasje eller andre tilsiktede anslag fra en annen stat, kan departementet fatte vedtak om krav til utvidet adgangsklarering.

    En person kan bare klareres dersom det ikke finnes rimelig grunn til å tvile på at personen er sikkerhetsmessig skikket, jf. § 8-4. Klareringsmyndigheten fatter avgjørelse om klarering. I vurderingen skal det legges vekt på forhold som er relevante for personens pålitelighet, lojalitet og dømmekraft i forbindelse med behandling av gradert informasjon og tilgang til skjermingsverdige objekter og infrastruktur. Vurderingen skal gjøres basert på en bakgrunnssjekk.

    3.4 Offentleglova

    Formålet med loven er å legge til rette for at offentlig virksomhet er åpen og gjennomsiktig, for slik å styrke informasjons- og ytringsfriheten, den demokratiske deltakelsen, den enkeltes rettssikkerhet, tillit til det offentlige og kontrollen fra allmenheten. Loven skal også legge til rette for viderebruk av offentlig informasjon.

    Hovedregelen om innsyn følger av § 3:

    Saksdokument, journalar og liknande register for organet er opne for innsyn dersom ikkje anna følgjer av lov eller forskrift med heimel i lov. Alle kan krevje innsyn i saksdokument, journalar og liknande register til organet hos vedkommande organ.

    Etter offentlighetsloven § 21 kan det «gjerast unntak frå innsyn for opplysningar når det er påkravd av nasjonale tryggingsomsyn eller forsvaret av landet». Bestemmelsen gir forvaltningen en adgang, men ikke en plikt til å nekte innsyn i slike dokumenter. Dette innebærer at det også skal vurderes om det likevel skal gis innsyn (merinnsyn).

    Unntaket etter bestemmelsen favner videre enn opplysninger som er gradert iht. sikkerhetsloven, men er likevel begrenset. Unntak fra innsyn må være nødvendig. Dette betyr at det må være en reell fare for at innsyn kan føre til betydelige skadevirkninger på nasjonens sikkerhet eller landets forsvar. Små og fjerne farer er ikke tilstrekkelig. Hvis det er svært sannsynlig at skadevirkninger vil oppstå ved offentliggjøring, kreves det ikke at skadevirkningene må være like store som i situasjoner der det er lite sannsynlig at skadevirkninger vil oppstå. Nasjonale sikkerhetshensyn omfatter opplysninger som kan skade politiets virksomhet, brannvesenet og det sivile beredskapsopplegget. Det kan også gjøres unntak for opplysninger om nøkkelpersoner i samfunnet, som deres oppholdssted og transportplaner.

    3.5 Personopplysningsloven og personvernforordningen

    EUs personvernforordning er gjennomført i norsk rett ved lov 15. juni 2018 nr. 38 om behandling av personopplysninger § 1. Personvernforordningen fastsetter regler om vern av fysiske personer i forbindelse med behandling av personopplysninger, samt regler om fri utveksling av personopplysninger. Det er presisert i artikkel 1 at forordningen sikrer vern av fysiske personers grunnleggende rettigheter og friheter, særlig deres rett til vern av personopplysninger. Personvernforordningen skal leses i lys av andre menneskerettigheter.

    Personvernforordningen bygger på noen grunnleggende prinsipper som må ivaretas ved behandling av person- og helseopplysninger. Dette følger av artikkel 5 og består av:

    • Prinsippene om lovlighet, rettferdighet og åpenhet

    • Prinsippet om formålsbegrensning

    • Prinsippet om dataminimering

    • Prinsippet om riktighet

    • Prinsippet om lagringsbegrensninger

    • Prinsippene om integritet og konfidensialitet

    • Prinsippet om ansvar

    Prinsippene gir uttrykk for både grunnleggende hensyn som personvernforordningen skal ivareta, og konkrete krav til hvordan personopplysninger skal behandles. Prinsippene er selvstendige regler som stiller krav til all behandling av personopplysninger. I tillegg skal de brukes i tolkningen av andre bestemmelser i forordningen og personvernbestemmelser i andre lover, herunder lover som regulerer behandling av personopplysninger i helse- og omsorgssektoren.

    Enhver behandling av person- og helseopplysninger krever en eller flere behandlingsansvarlige (dataansvarlige). Behandlingsansvaret påhviler i utgangspunktet den virksomheten «som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes». Dette følger av personvernforordningen artikkel 4 nr. 7.

    Videre krever behandling av «vanlige» og såkalt særlig kategorier av personopplysninger – blant annet helseopplysninger – et behandlingsgrunnlag etter personvernforordningen artikkel 6 nr. 1. Behandlingen av særlig kategorier av personopplysninger må også oppfylle vilkårene i et av unntakene i artikkel 9.

    Det er et vilkår i artikkel 6 nr. 3 og artikkel 9 nr. 2 bokstav h at behandlingen også skal fastsettes i nasjonal rett eller unionsretten. Dette kalles et supplerende rettslig grunnlag.

    3.6 Digitalsikkerhetsloven

    Lov om digital sikkerhet (digitalsikkerhetsloven) ble vedtatt av Stortinget i desember 2023, men har ikke trådt i kraft ennå. Loven gjelder blant annet for tilbydere av samfunnsviktige tjenester etter § 6 i nærmere angitte sektorer, herunder «helse», jf. § 2 første ledd bokstav a. Etter § 6 tredje ledd kan Kongen gi forskrift om hvilke virksomheter som skal regnes som tilbydere av samfunnsviktige tjenester. Justis- og beredskapsdepartementet har i høringsnotat 11. september 2024 foreslått en bestemmelse i forskrift til digitalsikkerhetsloven (digitalsikkerhetsforskriften) § 1 nr. 19 til 22 at følgende tilbydere av samfunnsviktige tjenester i sektoren helse er:

    • Helse- og omsorgsdepartementet med underliggende etater og foretak, som utgjør den nasjonale helseberedskapen

    • tjenester som tilbys av de regionale helseforetakene

    • sentrale systemer for rekvirering og utlevering av legemidler og andre medisinske produkter

    • helse- og omsorgstjenester som tilbys av en kommune med

      • flere enn 50 000 innbyggere, eller

      • flere enn 20 000 brukere som er avhengige av tjenesten, og

      • tjenesten ikke kan overføres eller avlastes av andre tjenester.

    Digitalsikkerhetsloven forplikter virksomheter som har en særlig viktig rolle for å opprettholde kritisk samfunnsmessig og økonomisk aktivitet, til å opprettholde et forsvarlig sikkerhetsnivå for nettverk og informasjonssystemet gjennom å overholde digitale sikkerhetskrav og varsle om alvorlige digitale hendelser. Loven stiller overordnede krav til sikkerhet og varsling, og etablerer rammeverk for tilsyn med virksomhetene. Videre åpner loven for ileggelse av pålegg og eventuelt overtredelsesgebyr ved manglende oppfyllelse av pliktene. Myndighetene skal også ta imot varsler om alvorlige digitale hendelser.

    Justis- og beredskapsdepartementet har som nevnt i høringsnotat 11. september 2024 foreslått forskriftsbestemmelser til digitalsikkerhetsloven. Forskriften er ikke fastsatt ennå. Blant annet er det foreslått presiseringer av kravene til digital sikkerhet, herunder at tilbyder av samfunnsviktig tjeneste etablerer og vedlikeholder et styringssystem for sikkerhet, at det utarbeides, vedlikeholdes og dokumenteres risikovurderinger og at det utarbeides plan for å håndtere risiko. Videre foreslås det bestemmelser om organisatoriske, teknologiske og fysiske sikkerhetstiltak. I forskriftsforslaget § 12 er det foreslått sikkerhetstiltak for personell. Tilbyder skal etter forslaget til første ledd iverksette nødvendige sikkerhetstiltak for ansatte, leverandører og oppdragstakere som kan få tilgang til virksomhetens nettverk og informasjonssystemer. Videre skal tilbydere iverksette tiltak for adgangskontroll, brukerautentisering og tilgangskontroll, slik at kun personell med tjenstlig behov får tilgang til tilbyders nettverk og informasjonssystemer, jf. forslaget til andre ledd. Tilbyder skal også sørge for at personell nevnt i første ledd er gjort kjent med relevante sikkerhetstiltak og at de har tilstrekkelig kompetanse innenfor sikkerhet og gis nødvendig opplæring ved behov, jf. forslaget til tredje ledd.

    I Norge skal NIS1-direktivet implementeres gjennom digitalsikkerhetsloven med forskrifter, se Prop. 109 LS (2022–2023) og Innst. 78 L (2023–2024). Som nevnt har ikke loven trådt i kraft ennå, og forskriften er ikke fastsatt.

    NIS2-direktivet (EU) 2022/2555 ble vedtatt i EU 14. desember 2022 og skal erstatte NIS1-direktivet (EU) 2016/1148. NIS2-direktivet er en del av en større pakke med tiltak fra EU, hvor også direktiv (EU) 2022/2557 om kritiske enheters motstandsdyktighet (CER-direktivet) inngår. Medlemsstatene skal sikre en koordinert gjennomføring av NIS2-direktivet og CER-direktivet.

    NIS2-direktivet innfører mer presise bestemmelser om varsling av hendelser, herunder hva det skal varsles om og når det skal varsles. Direktivet er også nært knyttet til CER-direktivet. Formålet med CER-direktivet er å sikre leveransen av tjenester i det indre marked, som er avgjørende for å opprettholde kritiske samfunnsfunksjoner eller økonomiske aktiviteter, og å styrke motstandskraften til enheter som tilbyr slike tjenester. Spørsmål knyttet til cybersikkerhet er omhandlet i NIS2 direktivet.

    NIS2-direktivet og CER-direktivet er foreløpig ikke inntatt i EØS-avtalen eller i norsk rett. Begge direktivene er vurdert EØS-relevante og akseptable.

    Neste kapittel
    Forrige kapittel
    Neste kapittel
    Forrige kapittel
    Til forsiden
    Til toppen