Utvalgte hurtiglenker

    Proposisjoner til Stortinget

    Prop. 152 L (2024–2025)

    Endringer i helselovgivningen (tilgjengeliggjøring av helsedata og krav til tekniske og organisatoriske sikkerhetstiltak)

    Til innholdsfortegnelse
    Neste kapittel
    Forrige kapittel

    5 Forslag til endringer i pasientjournalloven § 22 og helseregisterloven § 21

    5.1 Bakgrunn

    Pasientjournalloven § 22 og helseregisterloven § 21 regulerer informasjonssikkerhet ved behandling av personopplysninger. Paragrafenes virkeområde er begrenset gjennom henvisning til personvernforordningen artikkel 32. Dette ivaretar ikke andre sikkerhetsutfordringer som er aktualisert etter endringene i den sikkerhetspolitiske situasjonen, se omtale i punkt 2.1.

    5.2 Høringsforslaget

    Departementet foreslo å endre pasientjournalloven § 22 og helseregisterloven § 21, slik at det tydelig fremgår at bestemmelsene også dekker andre sikkerhetsutfordringer enn det som er knyttet til personvernforordningen. Det ble foreslått at det også inntas en plikt til å gjennomføre en risikovurdering av nettverks- og informasjonssystemer som benyttes for å levere tjenester etter disse to lovene. Ved vurderingen av hva som er et forsvarlig sikkerhetsnivå, ble det foreslått at det blant annet skal ses hen til den teknologiske utviklingen og nasjonale sikkerhetsinteresser. Departementet foreslo derfor at lovbestemmelsens overskrift endres til «Tekniske og organisatoriske sikkerhetstiltak». Departementet foreslo videre at det i pasientjournalloven § 22 og helseregisterloven § 21 presiseres at det i forskrift kan fastsette nærmere krav til tekniske og organisatoriske sikkerhetstiltak.

    I tilknytning til forslaget om bakgrunnssjekk av personell med privilegerte tilganger til IKT-systemene, foreslo departementet krav om å legge fram uttømmende og utvidet politiattest.

    5.3 Høringsinstansenes syn

    Helsedirektoratet støtter i all hovedsak de foreslåtte tiltakene, og slutter seg til departementets beskrivelse av utfordringsbildet. Direktoratets vurdering er at det er viktig å iverksette tiltak for å redusere sårbarheter og øke motstandskraften mot trusselaktører. Når det gjelder uttømmende og utvidet politiattest, mener Helsedirektoratet hjemmel for å få tilgjengeliggjort opplysningene direkte fra politiets registre kunne være mer hensiktsmessig, eksempelvis på tilsvarende måte som etter klareringsforskriften § 8 med hensyn til personkontrollen som utføres i forbindelse med en sikkerhetsklarering. I sikkerhetsloven § 8-5 niende ledd er det fastsatt at «Behandlingsansvarlige for relevante registre skal legge til rette for digitalisert overføring av registeropplysninger til sikkerhetsmyndigheten». Etter direktoratets oppfatning vil de aktuelle opplysningene da kunne innhentes på en måte som bedre ivaretar prinsippet om dataminimering, fremfor at den enkelte selv innhenter og videreformidler politiattest.

    Også Helse Vest RHF, Vestre Viken HF, Fürst Medisinsk Laboratorium og Visma Flyt AS støtter i all hovedsak departementets vurderinger og forslag til lovendringer. Oslo universitetssykehus HF støtter vurderingene av de sikkerhetsmessige utfordringene og er grunnleggende positiv til de foreslåtte lovendringer.

    Datatilsynet mener endringene medfører at bestemmelsene er bedre tilpasset innholdet i personvernforordningen artikkel 32. Artikkel 32 omhandler personopplysningssikkerhet, som er noe mer enn kun informasjonssikkerhet, jf. den nåværende overskriften i pasientjournalloven § 22 og helseregisterloven § 21. Speilingen av ordlyden i artikkel 32, så vel som en konkretisering av lovkravene, ser Datatilsynet som positivt. Datatilsynet ser også positivt på en forskriftshjemmel der sikkerhetstiltakene kan utdypes og konkretiseres ytterligere.

    Helse Sør-Øst RHF anbefaler at endringer i helseregisterloven § 21 og pasientjournalloven § 22 avventes til CER-direktivet og NIS/NIS II er gjennomført i norsk rett. Helse Sør-Øst RHF mener dagens regelverk fungerer godt, og forslagene gir fare for at oppmerksomheten vris fra områdene med størst risiko til dem som omtales i bestemmelsen. Videre påpekes at helseforetakene behandler en rekke opplysninger som ikke er knyttet til personer, for eksempel opplysninger om medisiner, bygg o.a. Informasjonssikkerhetsbrudd for slike opplysninger vil kunne ha betydelige konsekvenser. Endring av sikkerhetskrav for annet enn personopplysninger (herunder anonymiserte datasett) bør etter Helse Sør-Øst RHF syn knyttes til annet regelverk enn pasientjournalloven/helseregisterloven.

    Politidirektoratet uttaler at det for politiet vil være kostnader knyttet til utstedelse av politiattester og eventuell annen utlevering av opplysninger. Politiets enhet for vandelskontroll og politiattester (vandelsenheten) opplever at kommuner, helseforetak mv. forsøker å innhente politiattest av personer der det etter det aktuelle hjemmelsgrunnlaget ikke er hjemmel til dette. For eksempel av personell som ikke yter spesialisthelsetjenester eller tannhelsetjenester til barn jf. helsepersonelloven § 20 a. Det bør derfor være klart presisert i loven eller forskriften når kravet faktisk kan inntre. Videre uttaler Vandelsenheten at det kommer stadig flere lovendringer som gir nye hjemler for krav om politiattest, eller som utvider personkretsen i eksisterende hjemler. I sum kan dette medføre en større belastning for enheten. En saksbehandler ved vandelsenheten behandler i gjennomsnitt ca. 20 000 politiattester per år.

    Advokatforeningen støtter forslaget om å lovfeste plikten til å utføre tekniske og organisatoriske sikkerhetstiltak i pasientjournalloven mv., herunder henvisningen til nasjonale sikkerhetsinteresser.

    5.4 Departementets vurderinger

    Departementet mener den teknologiske utviklingen gjør det nødvendig med endringer i bestemmelsene om informasjonssikkerhet i pasientjournalloven og helseregisterloven. Truslene mot viktige samfunnsfunksjoner er i stor grad av sofistikerte angripere med høy evne og kapasitet. Aktørene kan være statlige eller statsfinansierte grupper som bryter seg inn i IKT-systemer for å påføre skade eller hente informasjon som kan benyttes for å nå økonomiske, politiske eller militære mål. Statlige aktører kan være andre staters etterretnings- og sikkerhetstjenester, inkludert aktører engasjert av disse. Motivene kan i ytterste konsekvens være forberedelser til fremtidige sabotasjeoperasjoner, terrorisme eller krig. Utsatte grupper er leverandører, utviklere og operatører knyttet til kritisk infrastruktur, for eksempel i forbindelse med plassering av digitale bakdører og utro tjenere.

    Høringsinstansene deler i hovedsak departementets syn på risikobildet og sikkerhetsutfordringene helse- og omsorgstjenesten står overfor. Departementet oppfatter at det også er bred enighet om behovet for økt bevissthet om oppdaterte og effektive sikkerhetstiltak. Departementet merker seg imidlertid at få av høringsinstansene uttaler seg konkret om denne delen av forslaget.

    Etter gjeldende rett regulerer pasientjournalloven § 22 og helseregisterloven § 21 informasjonssikkerhet ved behandling av personopplysninger. Bestemmelsene er begrenset til å gjelde ved behandling av personopplysninger gjennom henvisning til personvernforordningen artikkel 32. Etter departementets syn ivaretar dette ikke andre sikkerhetsutfordringer knyttet til ivaretakelse av kritiske samfunnsfunksjoner og helse- og omsorgstjenestens evne til å ivareta sine oppgaver.

    Departementet foreslår på denne bakgrunn at bestemmelsenes ordlyd endres slik at det tydelig fremgår at bestemmelsene også dekker andre sikkerhetsutfordringer. Det foreslås en plikt til å gjennomføre en risikovurdering av nettverks- og informasjonssystemer som benyttes for å levere tjenester etter disse to lovene. Ved vurderingen av hva som er et forsvarlig sikkerhetsnivå, skal det tas hensyn til den enkeltes personvern, kritiske samfunnsfunksjoner, helse- og omsorgstjenestens evne til å ivareta sine oppgaver og den teknologiske utviklingen. Dataansvarlige og databehandleren skal iverksette proporsjonale tiltak for å forebygge, avdekke og redusere konsekvensene av skadelige hendelser. Tiltakene skal sikre kontinuitet i tjenesteleveransen. Tiltakene skal samlet sørge for et sikkerhetsnivå som er tilpasset risikoen. Dette omfatter tiltak som blant annet tilgangsstyring, logging og etterfølgende kontroll.

    Departementet opprettholder også forslaget om en hjemmel for å kunne kreve uttømmende og utvidet politiattest, jf. politiregisterloven § 41 nr. 2, for personell som skal ha privilegerte tilganger til IKT-systemene. Forslaget innebærer en adgang til å kreve politiattest fra personer som skal tilsettes i stillinger som skal ha slik tilgang eller annet personell som skal gis slik tilgang, for eksempel innleide konsulenter eller personell tilsatt i andre virksomheter som yter tjenester til helse- og omsorgstjenesten. Forslaget overlater således til virksomheten å avgjøre om det skal innhentes politiattest i det enkelte tilfelle. Hjemmelen har ikke tilbakevirkende kraft, slik at det ikke kan kreves attest av personell som allerede har privilegert tilgang. Dette betyr også at personer som allerede er ansatt uten privilegerte tilganger, kan avkreves politiattest dersom de skal få slike tilganger.

    Med privilegert tilgang menes tilgang med spesielle rettigheter og tillatelser som er nødvendige for å utføre administrative eller sensitive oppgaver, som ikke er tilgjengelige for vanlige brukere. Dette kan inkludere tilgang til kritiske systemer, konfigurasjonsendringer og administrasjon av sikkerhetsinnstillinger. Tilgangene gis ut fra tjenstlige behov, men kan misbrukes dersom feil person gis disse tilgangene. Potensiale for skade er stort, og misbruk vil kunne true helse- og omsorgstjenestens evne til å ivareta sine oppgaver og befolkningens helse og sikkerhet, og derigjennom kunne skade kritiske samfunnsfunksjoner.

    Departementet foreslår videre at det i pasientjournalloven § 22 og helseregisterloven § 21 presiseres at departementet i forskrift kan fastsette nærmere krav til tekniske og organisatoriske sikkerhetstiltak.

    Departementet foreslår derfor også at lovbestemmelsenes overskrift endres til «Tekniske og organisatoriske sikkerhetstiltak». Dette vil gi et bedre bilde av hva bestemmelsen regulerer. Etter gjeldende rett er forskriftshjemmelen begrenset til å «fastsette nærmere krav til informasjonssikkerhet» ved behandling av helseopplysninger.

    Departementet merker seg at Datatilsynet uttaler at endringene i pasientjournalloven § 22 og helseregisterloven § 21, medfører at de er bedre tilpasset innholdet i personvernforordningen artikkel 32. Speilingen av ordlyden i artikkel 32, så vel som en konkretisering av lovkravene, ser Datatilsynet som positivt. Datatilsynet ser også positivt på en forskriftshjemmel som gjør at sikkerhetstiltakene kan utdypes og konkretiseres ytterligere.

    Departementet merker seg videre at Helse Sør-Øst RHF er negativ til forslaget, og anbefaler at endringer i sektorregelverket avventes til CER-direktivet og NIS/NIS II er gjennomført i norsk rett. Helse Sør-Øst RHF påpeker videre at dagens regelverk fungerer godt, og forslagene gir fare for at oppmerksomheten vris fra områdene med størst risiko til de områdene som omtales i bestemmelsen. Helseforetakene er underlagt en rekke regelverk, og disse stiller dels eksplisitt og dels forutsetningsvis krav til god risikostyring.

    Departementet har forståelse for innspillet til Helse Sør-Øst RHF, men mener det er viktig at kravene presiseres i disse to lovene. Regelverket er fragmentert og det er ønskelig å synliggjøre helheten i kravene i helselovgivningen.

    Neste kapittel
    Forrige kapittel
    Neste kapittel
    Forrige kapittel
    Til forsiden
    Til toppen