Dato: 01.10.2024 Svartype: Med merknad Fürst Medisinsk Laboratorium legger for sin høringsuttalelse til grunn at de observasjoner gjort av Departementet, Stortinget og tilliggende myndigheter om den senere tids trussel- og risikobilde, er gjeldende for den «vesentlige tjenestevirksomhet» og de informasjonsaktiva Fürst håndterer, jfr. NIS2-direktivet. De i lovforslaget beskrevne behov for implementering av tekniske og organisatoriske tiltak, både materielt og prosessuelt, vil derfor følgelig tilsluttes. Til den praktiske gjennomføring av de i forslaget forelagte tiltak, tilkommer likevel enkelte innvendinger og merknader fra vår side. Det nevnes for ordens skyld at innvendingene gjelder begge forespeilede tiltak, herunder bakgrunnssjekk og begrensning av deling av større helsedatasett: Det fremheves i høringsnotatet at vurderinger for bakgrunnssjekk på sikt tenkes tillagt en sentral myndighet med «[…] særlig kompetanse på personkontroll». Gitt det hittil begrensede tilfang av ressurser og erfaringer innenfor helsesektoren og dennes aktører når det gjelder et slikt klareringsregime, burde bakgrunnssjekk som sådan utsettes til en slik myndighet faller på plass. Alternativt anbefaler vi at nivå for bakgrunnssjekk midlertidig settes til lovens minstekrav, herunder kontroll av identitet og vitnemål, da i påvente av at myndighet som nevnt etableres. Til videre støtte for en utsettelse, belyser vi den risiko for fragmentering og manglende harmonisering av sikkerhetspraksis som gjør seg gjeldende. Bakgrunnssjekk foretatt av arbeidsgiver skal, som nevnt i forslaget, skje konkret for den enkelte tiltenkte rolle og de kritiske enheter denne får befatning med. Arbeidsgiver skal som premissleverandør for vurderingen også bestemme den aksept av risiko som skal gjelde for nevnte rolle, herunder hva som er forholdsmessig og nødvendig i lys av de observerte risiko, sett hen til den teknologiske utvikling og nasjonale sikkerhetsinteresser. Til dette tilkommer at forslaget vektlegger ansvar hos den enkelte virksomhet for å kategorisere hvilke kritiske enheter, herunder objekter og infrastruktur, som skal utløse behov for et slikt klareringsregime. Begge nivåer, herunder vurdering av kritisk enhet og tilknyttede roller vil, foruten den betydelige kompetanse og ressurser som trenges, utgjøre betydelig risiko for forskjellig praktisering av regelverk på tvers av virksomheter. Uten en harmonisert tilnærming, vil det fremstå som uforsvarlig og tilfeldig hvorvidt reell beskyttelse av de berørte kritiske aktiva er oppnådd, og hvorvidt det enkelte individs personvern og grunnleggende rettigheter er ivaretatt. Bakgrunnssjekker er som kjent meget tidkrevende, med betydelige konsekvenser for rekrutteringsprosesser og med vesentlige krav til arbeidsgivers kompetanse og tilgjengelige ressurser. Dersom sikkerhetsordningen og tilhørende vurderinger innledningsvis tillegges den enkelte arbeidsgiver i sin helhet, vil dette medføre betydelige behov for detaljerte forskrifter i nevnte lovgivning, opplæring, veiledning og utforming av veiledningsmateriell for berørt personell hos arbeidsgiver. Ansettelser foretatt kun på basis av slike kontroller vil også kunne komme på tale, dersom man skal kunne gjennomføre de krav til oppfølging og vedlikehold et slikt tiltak fordrer. Gjennomføringen av bakgrunnssjekk innebærer videre i seg selv en kapasitetsrisiko, uansett om denne tillegges de enkelte aktører eller sentral myndighet. Sektoren har, grunnet det etablerte trussel- og risikobilde, et tidssensitivt og løpende behov for den typen kvalifisert personell som kan falle inn under lovforslagets virkeområde. Førtidig innføring av et klareringsregime, uten tilstrekkelige støttestrukturer rundt, vil kunne forårsake en «flaskehals» i rekrutteringsøyemed, og viktige kandidater kan dermed gå tapt i prosessen. Dette vil igjen kunne føre til en sikkerhetsrisiko på sektornivå, dersom nødvendig kompetanse for drift av kritisk infrastruktur må utstå over lenger tid grunnet trege prosesser. Forslaget fremhever videre at kostnader til å imøtekomme de ressursfordringer tiltakene utløser, vil inntas i de eksisterende offentlige budsjettrammer. Forslaget ser imidlertid ut til å få, sett særlig hen til NIS2-direktivet og helselovgivningens virkeområde, en betydelig videre anvendelse hva gjelder aktører. Vi kan således ikke se at forslaget foreslår kompensasjon for de virksomheter som faller utenfor de offentlige budsjettrammer. Det etterspørres således hvorvidt en slik kompensasjonsordning kan komme på tale, gitt de kostnader dette potensielt innebærer. Ad klageinstituttet som fremlegges, og særlig med henblikk på den risiko for forskjellig praksis som foreligger, anbefaler vi at det inntas muligheter for innsyn ved klage for å imøtegå dette. Selve bakgrunnssjekkens utfall kan som nevnt ikke påklages etter forslaget, men hvorvidt det forelå behov for bakgrunnsjekk i utgangspunktet, vil være gjenstand for klage. Uten et innsynsinstitutt, vil det foreligge manglende transparens og mulighet for unison praksis på området. Det minnes i så måte at behandlinger som er unntatt de registrertes rett etter kap III i personvernforordningen, jfr. GDPR art. 23 flg., fortsatt må respektere personvernprinsippene, herunder prinsippet om åpenhet, jfr. GDPR art. 5 nr. 1 a). Som en del av den kommende implementeringen av NIS2-direktivet, sammenholdt med forestående lovendringer i pasientjournalloven og helseregisterloven, vil virksomheter pålegges å gi særlig oppmerksomhet mot risikovurderinger tilknyttet «nettverks- og informasjonssystemer», jfr. NIS2 art. 21 nr. 2. Det stilles spørsmål til hvordan bakgrunnsjekk eller manglende bakgrunnssjekk av personell hos leverandører av slike systemer skal vurderes, når man gjør bredere risikovurderinger av disse systemene. Per nå gir forslaget lite veiledning om klareringsregimets betydning for kontroll med eksterne leverandørledd mv. som leverer såkalte kritiske enheter. Slik vi ser dette, kan dette også fremstå som en mulig flaskehals ved anskaffelsesprosesser mv. Endelig, ad begrenset deling av store helsedatasett, finner vi det lite definert i forslaget, hvorvidt et datasett har betydning for «nasjonale sikkerhetsinteresser». Foruten å berøre de risikomomenter for forskjellig praksis, samt kompetanse- og ressursproblemer nevnt i tilknytning bakgrunnssjekk, etterlyser vi en tydeligere avveining av den betydning dette kan få for den løpende forskning på helseområdet. Det nevnes at det ved søknad om tilgjengeliggjøring av data kan gis med forbehold om bakgrunnssjekk av personell hos mottaker, da innforstått forskningssøkende institusjon. Det etterlyses avklaring om et slikt krav skal kunne fremsettes av sentral myndighet, eksempelvis REK i samarbeid med sikkerhetsmyndigheter, eller den enkelte virksomhet. Dersom dette tillegges den enkelte virksomhet, vil man kunne oppleve en betydelig byråkratisering og vanskeliggjøring av deling av data til forskning og øvrige formål som fremgår av helseregisterloven. Vi forutsetter derfor at dette med hensyn til den løpende forskning av allmenn samfunnsinteresse, tydelig utpensles i forespeilede forskrifter og rundskriv. Helse- og omsorgsdepartementet Til høringen Til toppen <div class="page-survey" data-page-survey="133" data-page-survey-api="/api/survey/SubmitPageSurveyAnswer" data-text-hidden-title="Tilbakemeldingsskjema" data-text-question="Fant du det du lette etter?"
