Nye lovregler som åpner for å stanse deling av helsedata når det er nødvendig av hensyn til samfunnssikkerheten, trer i kraft 15. april. Samtidig skjerpes kravene til sikkerhet i digitale systemer i helse- og omsorgstjenesten.
Helse- og omsorgstjenesten er blitt mer digital de siste årene, og myndighetene peker på at trusselbildet samtidig er blitt mer alvorlig. Målet med lovendringene er å redusere risikoen for at store helsedatasett eller sårbare digitale løsninger kan svekke kritiske samfunnsfunksjoner og helse- og omsorgstjenestens evne til å levere trygge tjenester.
De nye reglene innebærer at helseopplysninger ikke skal gjøres tilgjengelige dersom deling kan true samfunnets evne til å verne grunnleggende verdier og funksjoner, og i verste fall sette liv og helse i fare. I enkelte tilfeller kan dette også omfatte anonyme datasett.
Samtidig videreføres hovedregelen om at helsedata fortsatt skal kunne brukes til forskning, analyse og andre viktige formål, når vilkårene ellers er oppfylt. Det understrekes at behovet for å begrense deling trolig vil gjelde et begrenset antall saker, særlig der det er snakk om tilgang til store datasett.
– Vi skal fortsatt bruke helsedata til forskning, analyse og utvikling av bedre tjenester. Men i en tid med større digital risiko, må vi også kunne skjerme data når deling kan true samfunnssikkerheten, sier helse- og omsorgsminister Jan Christian Vestre.
Lovendringene innebærer også strengere krav til tekniske og organisatoriske sikkerhetstiltak i pasientjournalsystemer og helseregistre. Virksomhetene får ansvar for å gjennomføre risikovurderinger av nettverks- og informasjonssystemene de benytter, og de må sette inn tiltak som kan forebygge, avdekke og redusere konsekvensene av skadelige hendelser.
Når det skal vurderes hva som er et forsvarlig sikkerhetsnivå, skal det blant annet tas hensyn til personvern, kritiske samfunnsfunksjoner, helse- og omsorgstjenestens evne til å løse oppgavene sine og den teknologiske utviklingen.
Fra 15. april kan virksomheter også kreve uttømmende og utvidet politiattest av personer som skal ha privilegerte tilganger til nettverks- og informasjonssystemer. Dette gjelder tilganger med særlige rettigheter til administrative eller sensitive oppgaver, som adgang til kritiske systemer, mulighet til å gjøre konfigurasjonsendringer og administrasjon av sikkerhetsinnstillinger.
Ordningen gjelder ikke personell som allerede har slike tilganger når loven trer i kraft.
