Innstilling fra helse- og omsorgskomiteen om Endringer i helselovgivningen (tilgjengeliggjøring av helsedata og krav til tekniske og organisatoriske sikkerhetstiltak)

Dette dokument

Innst. 41 L (2025–2026)
Kildedok: Prop. 152 L (2024–2025)
Utgiver: helse- og omsorgskomiteen
Sidetall: 4

Tilhører sak

Endringer i helselovgivningen (tilgjengeliggjøring av helsedata og krav til tekniske og organisatoriske sikkerhetstiltak)

Gå til saker

Alt om

Gå til alle temaer

Til Stortinget

Innledning

Helse- og omsorgsdepartementet legger i proposisjonen frem forslag til endringer i pasientjournalloven, helseregisterloven og helsepersonelloven. Ifølge departementet synliggjør den sikkerhetspolitiske situasjonen og endringene i risikobildet et behov for regelendringer for bedre å kunne ivareta helse- og omsorgstjenestens oppgaver og den enkeltes personvern, ved å redusere risiko for at kritiske samfunnsfunksjoner påvirkes og at store sett med helsedata blir tilgjengelig for aktører som kan utgjøre en trussel. Den teknologiske utviklingen og bruk av kunstig intelligens har ytterligere aktualisert problemstillingen.

For det første gir lovforslaget en adgang til å begrense deling av enkelte store sett med helsedata. Departementet foreslår spesifikt at det ikke skal gis unntak fra taushetsplikten etter helsepersonelloven § 29 dersom tilgjengeliggjøring av helseopplysninger kan true samfunnets evne til å verne grunnleggende verdier og funksjoner og sette liv og helse i fare. Departementet foreslår videre å gjøre unntak fra plikten til å utarbeide statistikk og tilgjengeliggjøring av helseopplysninger etter helseregisterloven § 19 og § 19 a dersom anonyme datasett kan true samfunnets evne til å verne grunnleggende verdier og funksjoner og sette liv og helse i fare.

For det andre foreslår departementet endringer i både pasientjournalloven § 22 og helseregisterloven § 21. Paragrafene regulerer informasjonssikkerhet ved behandling av personopplysninger. Departementet mener det bør fremgå tydelig at bestemmelsene også dekker andre sikkerhetsutfordringer enn det som er knyttet til personvernforordningen. Det foreslås en plikt til å gjennomføre risikovurdering av nettverks- og informasjonssystemer. Ved vurderingen av hva som er et forsvarlig sikkerhetsnivå, skal det tas hensyn til personvern, kritiske samfunnsfunksjoner, helse- og omsorgstjenestens evne til å ivareta sine oppgaver og den teknologiske utviklingen.

I høringen foreslo departementet også et krav til bakgrunnssjekk av personell med enkelte kritiske funksjoner. Den endrede sikkerhetspolitiske situasjonen har medført at denne delen av forslaget i hovedsak vil ivaretas gjennom sikkerhetsloven. Forslaget om bakgrunnssjekk er derfor ikke videreført i lovforslaget, med unntak av hjemmelen for innhenting av politiattest for personell som har privilegerte tilganger til IKT-systemene.

De økonomiske og administrative konsekvensene av lovendringen antas i all hovedsak å gjelde i begrenset omfang for noen statlige aktører, og merutgiftene for dette vil dekkes innenfor gjeldende budsjettrammer.

Komiteens behandling

Komiteen gjennomførte en skriftlig høring i saken. Innen fristen ble det sendt inn to høringsinnspill. Disse kan leses på sakens side på stortinget.no.

Komiteens merknader

Komiteen, medlemmene fra Arbeiderpartiet, Farahnaz Bahrami, Ragnhild Bergheim, Sander Delp Horn, Truls Vasvik og Kai Steffen Østensen, fra Fremskrittspartiet, Stig Atle Abrahamsen, Kristian August Eilertsen, Anne Grethe Hauan og Julia Brännström Nordtug, fra Høyre, Erlend Svardal Bøe og Margret Hagerup, fra Sosialistisk Venstreparti, Kathy Lie, fra Senterpartiet, lederen Kjersti Toppe, fra Rødt, Seher Aydar, og fra Kristelig Folkeparti, Ida Lindtveit Røse, viser til Prop. 152 L (2024–2025), der det på grunn av endringer i den sikkerhetspolitiske situasjonen og risikobildet foreslås å gi adgang til å begrense deling av enkelte store sett med helsedata. Videre foreslås det endringer i lovregulering knyttet til informasjonssikkerhet ved behandling av personopplysninger. Komiteen påpeker at det bør fremgå tydelig at bestemmelsene også dekker andre sikkerhetsutfordringer enn det som er knyttet til personvernforordningen.

Komiteen viser til at lovforslagene i proposisjonen vil gi endringer i pasientjournalloven, helseregisterloven og helsepersonelloven. Komiteen merker seg at høringsinstansene i departementets høringsrunde i hovedsak var positive til lovforslagene i sine innspill.

Komiteen stiller seg positive til regelendringer som bedre ivaretar helse- og omsorgstjenestens oppgaver og den enkeltes personvern i en mer uforutsigbar sikkerhetspolitisk situasjon med et endret risikobilde.

Begrenset deling av store sett med helsedata

Betydning for helsefaglig forskning

Komiteen merker seg at flere høringsinstanser både i departementets høringsrunde og i høringsinnspill til komiteens behandling uttrykker bekymring for at begrensning av helsedata vil kunne hemme forskning og medisinsk utvikling, og viser blant annet til Kreftforeningen sitt høringsinnspill til komiteen:

«Samtidig må økt sikkerhet ikke skape hindringer for deling av helsedata til forskning og kvalitetsforbedring. For kreftfeltet er tilgang til store og langvarige datagrunnlag helt avgjørende for medisinske gjennombrudd, evaluering av behandlinger og utvikling av nye diagnostiske verktøy. Et for restriktivt regime kan bremse livsviktig forskning, hemme innovasjon og svekke Norges rolle som kunnskapsnasjon på helseområdet.»

Det trekkes blant annet frem at helsesektoren er avhengig av tilgang til store helsedata for å drive frem medisinsk innovasjon, og at restriksjoner potensielt kan begrense viktige forskningsprosjekter. Komiteen noterer seg at regjeringen i proposisjonen fremhever at «den klare hovedregelen fortsatt bør være tilgjengeliggjøring, herunder til forskning og analyse, når de øvrige vilkårene er oppfylt».

Komiteen forutsetter derfor at forskningsinstitusjoner og andre organisasjoner der det er lav sannsynlighet for at helsedata kan misbrukes på en måte som kan skade samfunnets evne til å verne grunnleggende verdier og funksjoner og liv og helse, fremdeles vil ha lett tilgang til ønskede datasett.

Komiteen mener det vil være hensiktsmessig at regjeringen følger med på hvordan lovendringene påvirker forskning, utvikling og innovasjon, og at Stortinget holdes orientert.

Komiteens medlemmer fra Fremskrittspartiet og Høyre fremmer følgende forslag:

«Stortinget ber regjeringen innen to år på egnet måte redegjøre for Stortinget for hvordan lov om endringer i helselovgivningen, jf. Prop. 152 L (2024–2025), fungerer, med særlig vekt på i hvilken grad begrenset tilgang til store helsedatasett hemmer forskning, medisinsk innovasjon og utvikling av nye behandlinger.»

Komiteens medlemmer fra Sosialistisk Venstreparti og Rødt forutsetter at etablerte og viktige forskningsinstitusjoner fremdeles vil ha tilgang til data de har behov for, og fremmer på denne bakgrunn følgende forslag:

«Stortinget ber regjeringen etablere fora og rutiner for dialog med medisinske og helsefaglige forskningsmiljøer og slik sikre at sikkerhetstiltak ikke blir til hinder for forskning og utvikling på helsefeltet.»

Veiledning til virksomheter som skal foreta vurderingene

Komiteen støtter at deling av enkelte store sett med data skal kunne begrenses av hensyn til samfunnets evne til å verne grunnleggende verdier og funksjoner og liv og helse, og viser til at dette også støttes av de fleste høringsinstansene.

Komiteen merker seg imidlertid at forholdet mellom dispensasjonsmyndighet og dataansvarlig kan være uklart. Det er derfor viktig med tett dialog mellom de ulike virksomhetene som skal foreta de ulike vurderingene, og de nasjonale instansene med særskilt kompetanse på samfunnssikkerhet. Det kan som eksempel være utfordrende for en dataansvarlig å vurdere hvorvidt tilgjengeliggjøring av datasett vil utgjøre en trussel mot nasjonale sikkerhetsinteresser. Virksomhetene bør derfor tilbys informasjon og veiledning om hva som til enhver tid anses å utgjøre en aktuell trussel.

Forslag til endringer i sikkerhetsbestemmelsene i pasientjournalloven § 22 og i helseregisterloven § 21

Komiteen støtter de foreslåtte endringene i pasientjournalloven § 22 og helseregisterloven § 21. Dette er paragrafer som i dag regulerer informasjonssikkerhet ved behandling av personopplysninger, men der det bør fremgå tydelig at bestemmelsene også dekker andre sikkerhetsutfordringer enn det som er knyttet til personvernforordningen. Komiteen støtter videre at det innføres en plikt til å gjennomføre risikovurdering av nettverks- og informasjonssystemer, og at det i denne vurderingen av hva som er et forsvarlig sikkerhetsnivå, skal tas hensyn til personvern, kritiske samfunnsfunksjoner, helse- og omsorgstjenestens evne til å ivareta sine oppgaver og den teknologiske utviklingen.

Komiteen støtter også forslaget om en hjemmel for å kunne kreve uttømmende og utvidet politiattest for personell som skal ha privilegerte tilganger til IKT-systemene.

Forslag fra mindretall

Forslag fra Fremskrittspartiet og Høyre:

Forslag 1

Stortinget ber regjeringen innen to år på egnet måte redegjøre for Stortinget for hvordan lov om endringer i helselovgivningen, jf. Prop. 152 L (2024–2025), fungerer, med særlig vekt på i hvilken grad begrenset tilgang til store helsedatasett hemmer forskning, medisinsk innovasjon og utvikling av nye behandlinger.

Forslag fra Sosialistisk Venstreparti og Rødt:

Forslag 2

Stortinget ber regjeringen etablere fora og rutiner for dialog med medisinske og helsefaglige forskningsmiljøer og slik sikre at sikkerhetstiltak ikke blir til hinder for forskning og utvikling på helsefeltet.

Komiteens tilråding

Komiteens tilråding fremmes av en samlet komité.

Komiteen har for øvrig ingen merknader, viser til proposisjonen og rår Stortinget til å gjøre følgende

vedtak til lov

om endringer i helselovgivningen (tilgjengeliggjøring av helsedata og krav til tekniske og organisatoriske sikkerhetstiltak)

I lov 2. juli 1999 nr. 64 om helsepersonell m.v. skal § 29 fjerde ledd, nytt tredje punktum lyde:

Dersom tilgjengeliggjøring av opplysninger kan true samfunnets evne til å verne grunnleggende verdier og funksjoner og sette liv og helse i fare, skal opplysningene ikke gjøres tilgjengelig.

I lov 20. juni 2014 nr. 42 om behandling av helseopplysninger ved ytelse av helsehjelp gjøres følgende endringer:

§ 22 skal lyde:

§ 22 Tekniske og organisatoriske sikkerhetstiltak

Den dataansvarlige og databehandleren skal gjennomføre nødvendige tekniske og organisatoriske tiltak for å ivareta sikkerheten ved behandling av personopplysninger. Tiltakene skal være egnet med hensyn til risikoen ved behandlingen av personopplysningene, jf. personvernforordningen artikkel 32. Den dataansvarlige og databehandleren skal også gjennomføre risikovurderinger av nettverks- og informasjonssystemene som benyttes for å levere tjenester i henhold til denne loven.

Sikkerhetstiltakene skal være proporsjonale og tilpasset risikoen. Ved vurderingen av hva som er et forsvarlig sikkerhetsnivå, skal det tas hensyn til den enkeltes personvern, kritiske samfunnsfunksjoner, helse- og omsorgstjenestens evne til å ivareta sine oppgaver og den teknologiske utviklingen.

Den dataansvarlige og databehandleren skal iverksette tiltak for å forebygge, avdekke og redusere konsekvensene av skadelige hendelser. Dette omfatter tiltak som blant annet tilgangsstyring, logging og etterfølgende kontroll. Den dataansvarlige og databehandleren kan kreve uttømmende og utvidet politiattest, jf. politiregisterloven § 41 nr. 2, fra personer som skal ha privilegerte tilganger til nettverks- og informasjonssystemer.

Departementet kan i forskrift fastsette nærmere krav til tekniske og organisatoriske sikkerhetstiltak.

III

I lov 20. juni 2014 nr. 43 om helseregistre og behandling av helseopplysninger gjøres følgende endringer:

§ 19 nytt femte ledd skal lyde:

Plikten til å utarbeide statistikk etter andre og tredje ledd gjelder ikke dersom tilgjengeliggjøring av opplysningene kan true samfunnets evne til å verne grunnleggende verdier og funksjoner og sette liv og helse i fare.

§ 19 a nytt åttende ledd skal lyde:

Dersom tilgjengeliggjøring av helseopplysninger kan true samfunnets evne til å verne grunnleggende verdier og funksjoner og sette liv og helse i fare, skal opplysningene ikke gjøres tilgjengelig.

§ 19 b nytt andre ledd skal lyde:

Dersom tilgjengeliggjøring av helseopplysninger kan true samfunnets evne til å verne grunnleggende verdier og funksjoner og sette liv og helse i fare, skal opplysningene ikke gjøres tilgjengelig.

§ 19 e fjerde ledd første punktum skal lyde:

Det kan bare gis dispensasjon dersom tilgjengeliggjøringen er ubetenkelig ut fra etiske, medisinske og helsefaglige hensyn og ikke vil true samfunnets evne til å verne grunnleggende verdier og funksjoner og ikke sette liv og helse i fare.

§ 21 skal lyde:

§ 21 Tekniske og organisatoriske sikkerhetstiltak

Den dataansvarlige og databehandleren skal gjennomføre nødvendige tekniske og organisatoriske tiltak for å ivareta sikkerheten ved behandlingen av personopplysninger. Tiltakene skal være egnet med hensyn til risikoen ved behandlingen av personopplysningene, jf. personvernforordningen artikkel 32. I registre som er etablert med hjemmel i §§ 10 eller 11, skal navn, fødselsnummer og andre personidentifiserende kjennetegn lagres kryptert. Den dataansvarlige og databehandleren skal også gjennomføre risikovurderinger av nettverks- og informasjonssystemene som benyttes for å levere tjenester i henhold til denne loven.