Helse- og omsorgsdepartementet legger i proposisjonen
frem forslag til endringer i pasientjournalloven, helseregisterloven
og helsepersonelloven. Ifølge departementet synliggjør den sikkerhetspolitiske
situasjonen og endringene i risikobildet et behov for regelendringer for
bedre å kunne ivareta helse- og omsorgstjenestens oppgaver og den
enkeltes personvern, ved å redusere risiko for at kritiske samfunnsfunksjoner
påvirkes og at store sett med helsedata blir tilgjengelig for aktører
som kan utgjøre en trussel. Den teknologiske utviklingen og bruk
av kunstig intelligens har ytterligere aktualisert problemstillingen.
For det første gir lovforslaget en adgang til
å begrense deling av enkelte store sett med helsedata. Departementet
foreslår spesifikt at det ikke skal gis unntak fra taushetsplikten
etter helsepersonelloven § 29 dersom tilgjengeliggjøring av helseopplysninger
kan true samfunnets evne til å verne grunnleggende verdier og funksjoner
og sette liv og helse i fare. Departementet foreslår videre å gjøre
unntak fra plikten til å utarbeide statistikk og tilgjengeliggjøring
av helseopplysninger etter helseregisterloven § 19 og § 19 a dersom
anonyme datasett kan true samfunnets evne til å verne grunnleggende
verdier og funksjoner og sette liv og helse i fare.
For det andre foreslår departementet endringer
i både pasientjournalloven § 22 og helseregisterloven § 21. Paragrafene
regulerer informasjonssikkerhet ved behandling av personopplysninger.
Departementet mener det bør fremgå tydelig at bestemmelsene også dekker
andre sikkerhetsutfordringer enn det som er knyttet til personvernforordningen.
Det foreslås en plikt til å gjennomføre risikovurdering av nettverks-
og informasjonssystemer. Ved vurderingen av hva som er et forsvarlig
sikkerhetsnivå, skal det tas hensyn til personvern, kritiske samfunnsfunksjoner,
helse- og omsorgstjenestens evne til å ivareta sine oppgaver og
den teknologiske utviklingen.
I høringen foreslo departementet også et krav
til bakgrunnssjekk av personell med enkelte kritiske funksjoner.
Den endrede sikkerhetspolitiske situasjonen har medført at denne
delen av forslaget i hovedsak vil ivaretas gjennom sikkerhetsloven.
Forslaget om bakgrunnssjekk er derfor ikke videreført i lovforslaget,
med unntak av hjemmelen for innhenting av politiattest for personell
som har privilegerte tilganger til IKT-systemene.
De økonomiske og administrative konsekvensene av
lovendringen antas i all hovedsak å gjelde i begrenset omfang for
noen statlige aktører, og merutgiftene for dette vil dekkes innenfor
gjeldende budsjettrammer.