Helse- og omsorgsdepartementet legger i proposisjonen frem forslag
til endringer i pasientjournalloven, helseregisterloven og helsepersonelloven.
Ifølge departementet synliggjør den sikkerhetspolitiske situasjonen og
endringene i risikobildet et behov for regelendringer for bedre
å kunne ivareta helse- og omsorgstjenestens oppgaver og den enkeltes
personvern, ved å redusere risiko for at kritiske samfunnsfunksjoner
påvirkes og at store sett med helsedata blir tilgjengelig for aktører
som kan utgjøre en trussel. Den teknologiske utviklingen og bruk
av kunstig intelligens har ytterligere aktualisert problemstillingen.
For det første gir lovforslaget en adgang til å begrense deling
av enkelte store sett med helsedata. Departementet foreslår spesifikt
at det ikke skal gis unntak fra taushetsplikten etter helsepersonelloven
§ 29 dersom tilgjengeliggjøring av helseopplysninger kan true samfunnets
evne til å verne grunnleggende verdier og funksjoner og sette liv
og helse i fare. Departementet foreslår videre å gjøre unntak fra
plikten til å utarbeide statistikk og tilgjengeliggjøring av helseopplysninger
etter helseregisterloven § 19 og § 19 a, dersom anonyme datasett kan
true samfunnets evne til å verne grunnleggende verdier og funksjoner
og sette liv og helse i fare.
For det andre foreslår departementet endringer i både pasientjournalloven
§ 22 og helseregisterloven § 21. Paragrafene regulerer informasjonssikkerhet
ved behandling av personopplysninger. Departementet mener det bør
fremgå tydelig at bestemmelsene også dekker andre sikkerhetsutfordringer
enn det som er knyttet til personvernforordningen. Det foreslås
en plikt til å gjennomføre risikovurdering av nettverks- og informasjonssystemer.
Ved vurderingen av hva som er et forsvarlig sikkerhetsnivå skal
det tas hensyn til personvern, kritiske samfunnsfunksjoner, helse-
og omsorgstjenestens evne til å ivareta sine oppgaver og den teknologiske
utviklingen.
I høringen foreslo departementet også et krav til bakgrunnssjekk
av personell med enkelte kritiske funksjoner. Den endrede sikkerhetspolitiske
situasjonen har medført at denne delen av forslaget i hovedsak vil
ivaretas gjennom sikkerhetsloven. Forslaget om bakgrunnssjekk er
derfor ikke videreført i lovforslaget, med unntak av hjemmelen for
innhenting av politiattest for personell som har privilegerte tilganger
til IKT-systemene.
De økonomiske og administrative konsekvensene av lovproposisjonen
antas i all hovedsak å gjelde i begrenset omfang for noen statlige
aktører, og merutgiftene for dette vil dekkes innenfor gjeldende
budsjettrammer.