Utvalgte hurtiglenker

    Proposisjoner til Stortinget

    Prop. 152 L (2024–2025)

    Endringer i helselovgivningen (tilgjengeliggjøring av helsedata og krav til tekniske og organisatoriske sikkerhetstiltak)

    Til innholdsfortegnelse
    Neste kapittel
    Forrige kapittel

    7 Merknader til de enkelte bestemmelsene

    Til endringer i helsepersonelloven

    Til helsepersonelloven § 29

    Formålet med forslaget er å ha et rettslig grunnlag for å kunne unnlate å dele datasett med helsedata, som kan ha betydning for samfunnets evne til å verne seg mot og håndtere hendelser som truer grunnleggende verdier og funksjoner og setter liv og helse i fare. Dette gjelder også aggregerte (anonyme) data.

    «Helsedata» er et vidt begrep som kan omfatte alle typer opplysninger om helse, enten de frembringes i helse- og omsorgstjenestene, gjennom de store befolkningsundersøkelsene eller på andre måter. Begrepet helsedata favner videre enn begrepet helseopplysninger slik det er definert i personvernforordningen artikkel 4 nr. 15. Helsedata kan være anonyme, direkte identifiserbare eller indirekte identifiserbare.

    Helsedata brukes både til å administrere og yte helsehjelp (primærbruk) og til å holde oversikt over helsetilstanden i befolkningen, over aktivitet og ressursbruk i helse- og omsorgstjenesten, til å forstå hva som påvirker helsen i befolkningen, til å planlegge framtidens behov for helsetjeneste og til å utvikle kunnskap om forebygging, diagnostikk, behandling og effekter av behandlingen (sekundærbruk).

    Unntak fra deling med begrunnelse av at slik deling antas å ville ha betydning for samfunnets evne til å verne seg mot og håndtere hendelser som truer grunnleggende verdier og funksjoner og setter liv og helse i fare, må vurderes konkret. Departementet antar imidlertid at det i de fleste saker om tilgjengeliggjøring ikke er nødvendig med en særskilt vurdering av hensynet til samfunnssikkerheten. Behovet for slike vurderinger vil trolig være forbeholdt noen få saker med tilgang til store datasett.

    Departementets presiserer at helsedata med et skadepotensiale som faller inn under sikkerhetslovens regler om beskyttelse av informasjon, skal reguleres av sikkerhetsloven.

    Bestemmelsen må ses i sammenheng med forslag til endringer i helseregisterloven §§ 19, 19 a, 19 b og 19 e.

    Det vises til de alminnelige merknadene i punkt 4.4.

    Til endringer i pasientjournalloven

    Til pasientjournalloven § 22

    Det følger av forslaget at det ved vurderingen av hva som er et forsvarlig sikkerhetsnivå, også skal tas hensyn til den teknologiske utviklingen og kritiske samfunnsfunksjoner. Departementet foreslår videre at det presiseres at departementet i forskrift kan fastsette nærmere krav til tekniske og organisatoriske sikkerhetstiltak.

    Departementet foreslår videre at paragrafens ordlyd endres slik at det tydelig fremgår at bestemmelsen også dekker andre sikkerhetsutfordringer. Det foreslås derfor at det også inntas en plikt til å gjennomføre en risikovurdering av nettverks- og informasjonssystemer som benyttes for å levere tjenester etter pasientjournalloven. Ved vurderingen av hva som er et forsvarlig sikkerhetsnivå, skal det tas hensyn til den enkeltes personvern, kritiske samfunnsfunksjoner, helse- og omsorgstjenestens evne til å ivareta sine oppgaver og den teknologiske utviklingen.

    Dataansvarlige og databehandleren skal iverksette proporsjonale tiltak for å forebygge, avdekke og redusere konsekvensene av skadelige hendelser. Tiltakene skal sikre kontinuitet i tjenesteleveransen. Tiltakene skal samlet sørge for et sikkerhetsnivå som er tilpasset risikoen. Dette omfatter tiltak som blant annet tilgangsstyring, logging og etterfølgende kontroll. Bestemmelsen inneholder også en hjemmel for å kreve uttømmende og utvidet politiattest, jf. politiregisterloven § 41 nr. 2, for personer som skal ha privilegerte tilganger til nettverks- og informasjonssystemer. Hjemmelen har ikke tilbakevirkende kraft, slik at det ikke kan kreves attest av personell som allerede har privilegert tilgang. Med privilegert tilgang menes tilgang med spesielle rettigheter og tillatelser som er nødvendige for å utføre administrative eller sensitive oppgaver, som ikke er tilgjengelige for vanlige brukere. Dette kan inkludere tilgang til kritiske systemer, konfigurasjonsendringer og administrasjon av sikkerhetsinnstillinger. Tilgangene gis ut fra tjenstlige behov, men kan misbrukes dersom feil person gis disse tilgangene. Potensiale for skade er stort, og misbruk vil kunne true helse- og omsorgstjenestens evne til å ivareta sine oppgaver og befolkningens helse og sikkerhet, og derigjennom kunne skade kritiske samfunnsfunksjoner.

    Det vises til de alminnelige merknadene i punkt 5.4.

    Til endringer i helseregisterloven

    Til helseregisterloven § 19 nytt femte ledd

    I forslaget presiseres det at plikten til å utarbeide statistikk ikke gjelder anonyme datasett som kan true samfunnets evne til å verne grunnleggende verdier og funksjoner og sette liv og helse i fare.

    Det vises til de spesielle merknadene i omtalen av endringene i helsepersonelloven § 29 og de alminnelige merknadene i punkt 4.4.

    Til helseregisterloven § 19 a nytt åttende ledd

    I bestemmelsen presiseres at helseopplysninger som kan true samfunnets evne til å verne grunnleggende verdier og funksjoner og sette liv og helse i fare, ikke skal gjøres tilgjengelig.

    Forslaget må ses i sammenheng med tilsvarende endringer i §§ 19, 19 b, 19 e og helsepersonelloven § 29. Det vises til de spesielle merknadene i omtalen av endringene i helsepersonelloven § 29 og de alminnelige merknadene i punkt 4.4.

    Til helseregisterloven § 19 b nytt andre ledd

    Bestemmelsen er identisk med § 19 a nytt åttende ledd og presiserer at helseopplysninger som kan true samfunnets evne til å verne grunnleggende verdier og funksjoner og sette liv og helse i fare, ikke skal gjøres tilgjengelig. Forslaget må også ses i sammenheng med tilsvarende endringer i §§ 19, 19 e og helsepersonelloven § 29.

    Det vises til de spesielle merknadene i omtalen av endringene i helsepersonelloven § 29 og de alminnelige merknadene i punkt 4.4.

    Til helseregisterloven § 19 e fjerde ledd

    Av forslaget følger at det ikke kan gis dispensasjon fra taushetsplikt, når tilgjengeliggjøring vil true samfunnets evne til å verne grunnleggende verdier og funksjoner eller sette liv og helse i fare. Dette kommer i tillegg til om tilgjengeliggjøringen er ubetenkelig ut fra etiske, medisinske og helsefaglige hensyn.

    Forslaget må ses i sammenheng med tilsvarende endringer i §§ 19, 19 a, 19 b og helsepersonelloven § 29.

    Det vises til de spesielle merknadene i omtalen av endringene i helsepersonelloven § 29 og de alminnelige merknadene i punkt 4.4.

    Til helseregisterloven § 21

    Forslaget tilsvarer forslaget til endringer i pasientjournalloven § 22. Det vises derfor til omtalen av denne.

    Det vises til de alminnelige merknadene i punkt 5.4.

    Neste kapittel
    Forrige kapittel
    Neste kapittel
    Forrige kapittel
    Til forsiden
    Til toppen