Forslag til endringer i pasientjournalloven, helseregisterloven og helsepersonelloven, for å kunne sjekke bakgrunnen til personell
1 Innledning
Advokatforeningens tillitsvalgte advokater utfører et omfattende frivillig og ulønnet arbeid for å ivareta rettsstaten, rettssikkerheten og menneskerettighetene. En del av dette arbeidet består i å utarbeide høringsuttalelser.
Advokatforeningens høringsarbeid er organisert i 28 lovutvalg og 13 faste utvalg, oppdelt etter særskilte rettsområder og rettslige interesseområder. Om lag hundre høringsuttalelser utarbeides av Advokatforeningens tillitsvalgte advokater hvert år.
Alle våre høringsuttalelser er forfattet av advokater med ekspertise innenfor det rettsområdet som lovforslaget gjelder. En ekspertise som ikke er hentet kun fra juridisk teori, men fra advokatenes praktiske erfaring med å bistå sine klienter – i den norske rettsstatens hverdag. Denne høringsuttalelsen er skrevet ut fra Advokatforeningens ønske om å bidra til gode lovgivningsprosesser, og gode lover.
2 Sakens bakgrunn
Vi viser til høring fra Helse- og omsorgsdepartementet om krav til bakgrunnssjekk, publisert den 24. juni 2024, med høringsfrist den 1. oktober 2024. Høringen gjelder forslag til endringer i pasientjournalloven, helseregisterloven og helsepersonelloven, for å kunne sjekke bakgrunnen til personell i kritiske stillinger og funksjoner i helse- og omsorgssektoren, utover det som følger av sikkerhetsloven.
Denne høringsuttalelsen er utarbeidet av Advokatforeningens lovutvalg for IKT og personvern. Lovutvalget består av Malin Tønseth (leder), Eirin Helen Hauvik, Christopher Sparre-Enger Clausen, Gry Hvidsten, Knut-Erik Jakhelln og Kari Gimmingsrud, som alle har lang erfaring og god kompetanse innenfor det aktuelle rettsområdet.
3 Kommentarer
3.1 Innledning
Overordnet støtter Advokatforeningen Helse- og omsorgsdepartementets forslag om krav til bakgrunnssjekk av personell i kritiske stillinger og funksjoner i helse- og omsorgssektoren, samt regler for begrenset deling av store datasett av hensyn til nasjonale sikkerhetsinteresser.
Advokatforeningen deler også departementets vurdering av risikoen og nødvendigheten av et forsvarlig sikkerhetsnivå for å sørge for at helse- og omsorgstjenesten har evne og robusthet til å ivareta oppgaver og befolkningens helse og sikkerhet. Myndighetenes trusselvurderinger har de siste årene fremhevet et økende trusselbilde også mot helsesektoren, jf. Situasjonsbilde fra Norsk Helsenett for 2. tertial 2024 hvor det blant annet vurderes som meget sannsynlig at fremmede stater ser på helsesektoren som et mål for spionasje – "Vi vurderer forskning, helse- og personopplysninger, informasjon om politiske beslutninger og beredskaps- og krisehåndteringsevne som de mest sannsynlige spionasjemålene i sektoren …". Dette tilsier at myndighetene bør iverksette ytterligere sikkerhetstiltak også for den delen av sektoren som ikke er underlagt sikkerhetsloven.
3.2 Bakgrunnssjekk av personell
Departementet foreslår nye bestemmelser om bakgrunnssjekk i pasientjournalloven og helseregisterloven. Advokatforeningen er enig i at det er behov for å kunne stille krav til bakgrunnssjekk av personell i kritiske stillinger og funksjoner utover det som følger av sikkerhetsloven, men har noen kommentarer til utformingen av bestemmelsene.
Pliktsubjektene:
I forslagene er det lagt opp til at det er den dataansvarlige (typisk et helseforetak) som skal kreve og gjennomføre bakgrunnssjekk av personell. Advokatforeningen foreslår imidlertid at departementet ser nærmere på hvem som bør omfattes av plikten til å kreve og gjennomføre bakgrunnssjekker på personell. Etter Advokatforeningens syn kan det være for snevert å begrense dette til den dataansvarlige. Også tjenesteleverandører bør vurderes å være omfattet av kravet. Viktig infrastruktur, IKT-systemer og maskinvare leveres og/eller driftes i dag av leverandører til den dataansvarlige. Hvis leverandørene ikke har mulighet til å kreve og gjennomføre bakgrunnssjekk av personell, vil det kunne være mulig å omgå sikkerhetstiltaket i leverandørkjeden.
Tjenesteleverandører bør dessuten ikke begrenses til databehandlere, da også leverandører som ikke behandler personopplysninger bør omfattes.
Vilkår for bakgrunnssjekk
Det følger av forslaget om ny § 22a i pasientjournalloven at bakgrunnssjekk skal gjennomføres av personer som skal ha eller har bred tilgang til objekter eller infrastruktur hvor det behandles store datasett med person- og helseopplysninger som er kritisk for helse- og omsorgstjenestens evne til å ivareta sine oppgaver.
Det er flere vilkår som må være til stede og det er etter Advokatforeningens syn noe vanskelig å forstå det konkrete innholdet i bestemmelsen, og ordlyden bør klargjøres. For det første er det noe uklart hva som vil omfattes av begrepet "kritisk for", og om det sikter til objektene og infrastrukturen eller de store datasettene. I høringsnotatet viser departementet til at behovet for å kunne utføre bakgrunnssjekk er begrenset og gjelder personell som er bemyndiget til å få direkte adgang eller fjernadgang til en "kritisk enhets lokaler". Med kritisk enhet mener departementet områder hvor det behandles store datamengder. Ordet kritisk enhet er imidlertid ikke gjentatt i lovteksten.
Det er også forskjeller i ordlyden i de to lovforslagene. I ny § 21 a i helseregisterloven vises det ikke til "kritisk for helse- og omsorgstjenesten", men "kritisk for den dataansvarlige og databehandlerens evne til å ivareta sine oppgaver." Det er uklart for Advokatforeningen om dette skillet er tilsiktet eller ikke, og hvilke konsekvenser en forskjell her vil ha for de foretakene og tjenestene som er omfattet. Advokatforeningen ber om at departementet klargjør dette i det videre lovarbeidet.
Videre er det etter ordlyden noe uklart for Advokatforeningen hvilke persongrupper som er omfattet. Er kravet begrenset til personell hos dataansvarlig, eller omfattes også personell i leverandørkjeden? Det siste vil etter Advokatforenings syn være nødvendig for å få et tilstrekkelig sikkerhetsnivå. Det fremgår i høringsnotatet s. 24 at også eksterne tjenestetilbydere omfattes av kravet av bakgrunnssjekk, men det reflekteres ikke i lovteksten, jf. forslaget til ny § 22 a i pasientjournalloven. For å unngå tvil må kravet klart fremgå av lovteksten, herunder om det er den dataansvarlige som må kreve det, eller om leverandøren selv er ansvarlig.
Det kan også være behov for bakgrunnssjekk av personell som ikke har "bred tilgang til objekter eller infrastruktur hvor det behandles store datasett med person- og helseopplysninger …". For eksempel kan IT-systemenes oppbygging (arkitektur) og virkemåte ha stor betydning for helseforetakenes evne til å levere tjenester. Advokatforeningen foreslår derfor at departementet vurderer om bakgrunnsjekk også bør omfatte andre forhold enn det som fremgår av høringsforslaget.
Varighet:
Advokatforeningen kan ikke se at varigheten av en bakgrunnssjekk fremgår av lovforslaget. Selv om bakgrunnssjekk utføres ved f.eks. ansettelse, kan det være behov for å gjenta bakgrunnssjekken etter en tid. Dette er også systemet for sikkerhetsklarering etter sikkerhetsloven. Advokatforeningen foreslår derfor at varigheten til en bakgrunnssjekk klargjøres i lovteksten, og at bakgrunnssjekk for personell som er omfattet eksempelvis gjøres hvert tredje år, eller hyppigere om det er nødvendig.
Øvrige kommentarer til lovteksten:
Advokatforeningen har også enkelte andre kommentarer til lovtekstene:
- Det bør klargjøres i lovteksten hvem som er "nærstående" da bakgrunnssjekken etter omstendighetene kan omfatte slike personer hvis det er sikkerhetsmessig relevant.
- Lovteksten bør klargjøre hva som menes med "relevante offentlige registre" da disse vil ha en plikt til å utlevere informasjon om enkeltpersoner. Det må foreligger et klart lovgrunnlag for en slik utlevering.
- Sikkerhetsklarering etter sikkerhetsloven kan være på ulik grad, jf. sikkerhetsloven § 5-3. I lovforslaget om bakgrunnssjekk er det vist til at personell med sikkerhets- eller adgangsklarering etter sikkerhetsloven antas å oppfylle kravene. Lovforslagene bør imidlertid klargjøre hvilket klareringsnivå som kreves for at det skal være godkjent. Eksempelvis mener Advokatforeningen at sikkerhetsgrad "BEGRENSET" ikke kan være tilstrekkelig.
- I forslaget fremgår det at "Dersom det er tvil om en person er sikkerhetsmessig skikket, skal det avholdes en sikkerhetssamtale med personen". Det er imidlertid ikke fastsatt hvem som er ansvarlig for å gjennomføre denne samtalen.
- Videre foreslår Advokatforeningen at en person som har gjennomført bakgrunnssjekk, får en lovfestet plikt til å varsle den som er ansvarlig for bakgrunnssjekken om forhold som kan være av betydning for om personen fortsatt er sikkerhetsmessig skikket.
- Departementet har i lovforslaget ikke inntatt noen bestemmelser om konsekvenser av en ikke-godkjent bakgrunnssjekk, herunder adgangen for en dataansvarlig (eller databehandler) til å endre status for bakgrunnssjekk etter at den første gang er godkjent. Dette er praktiske forhold som kan være hensiktsmessig å vurdere i det pågående lovarbeidet.
Særlig om personvern:
Advokatforeningen finner også grunn til å bemerke at selv om høringsnotatet inneholder enkelte vurderinger av personvernrettslige forhold (blant annet s. 28 flg.), bør departementet utføre en mer systematisk vurdering av de personvernmessige konsekvensene av forslagene som fremsettes. Det fremgår klart av veilederen til Utredningsinstruksen (Vurdering av personvernkonsekvenser) at dersom saken har personvernmessige konsekvenser, skal disse utredes som et ledd i den ordinære utredningsprosessen. Ved bakgrunnssjekk vil en vurdering av personvernkonsekvensene stå sentralt, og bør derfor inngå i departementets utredning.
3.3 Informasjonssikkerhet
Advokatforeningen støtter forslaget om å lovfeste plikten til å utføre tekniske og organisatoriske sikkerhetstiltak i pasientjournalloven mv., herunder henvisningen til nasjonale sikkerhetsinteresser.
3.4 Store datasett
Advokatforeningen støtter departementets forslag om begrenset deling av store datasett der hvor dette kan ha betydning for nasjonal sikkerhet, men understreker viktigheten av at en slik hjemmel ikke legger større begrensinger på blant annet forskning enn det som er absolutt nødvendig. Norge har gjennomgående små forskningsmiljøer og internasjonalt samarbeid er nødvendig. Det er derfor viktig at kriteriene i større grad utdypes og beskrives i forskriftsarbeidet og eventuelt i rundskriv.
Videre mener Advokatforeningen at ansvarlig departement bør gjøre en jevnlig evaluering av om begrensningene som praktiseres fungerer etter hensikten eller ikke.
4 Avslutning/oppsummering
Oppsummert er Advokatforeningens syn at lovforslagene i stor grad støttes, men at det bør gjøres videre vurderinger av enkelte detaljer, herunder utføres en personvernkonsekvensvurdering.
Vennlig hilsen
Siri Teigum Merete Smith
leder generalsekretær