Høringsuttalelse – krav om bakgrunnssjekk – deres ref. 24/2513
Vi viser til deres høringsbrev datert 24. juni om endringer i pasientjournalloven, helseregisterloven og helsepersonelloven for å kunne sjekke bakgrunnen til personell i kritiske stillinger og funksjoner i helse- og omsorgssektoren. Helse Midt-Norge RHF, Helse Nord-Trøndelag HF, St. Olav Hospital HF, Sykehusapotekene i Midt-Norge HF, Helse Møre og Romsdal HF, Helseplattformen AS og Hemit HF avgir med dette en felles høringsuttalelse.
Alle virksomhetene i Helse Midt-Norge stiller seg positive til at det kommer regulering for bakgrunnssjekk for personell med vide tilganger. Dette er et viktig steg i retning av å øke sikkerheten i helsetjenesten. Vi har likevel noen innspill til de foreslåtte lovendringene, oppsummert under.
Helsesektoren opplever til dels mange jobbsøkere fra land uten sikkerhetssamarbeid med Norge, deriblant fra såkalte «høyrisikoland». Dette kan ofte være godt kvalifiserte søkere. Medarbeidere med nevnte landbakgrunn utgjør ikke nødvendigvis en sikkerhetsrisiko for virksomheten, men kan gjøre det dersom det er snakk om nøkkelposisjoner med vide tilganger. Høringsnotatet nevner kartlegging av nasjonalitet som en mulig del av bakgrunnssjekk, men det gjenstår å konkretisere hvordan dette skal gjennomføres i praksis uten å komme i konflikt med diskrimineringsregelverket. Dette kan for eksempel være å konkretisere kriterier for når ekskludering på grunnlag av nasjonalitet kan komme til anvendelse.
I forslaget står det at den som skal underlegges bakgrunnssjekk må ha gitt sitt "samtykke" til det. Av høringsnotatet fremgår det tydelig at dette ikke er ment som et "GDPR-samtykke". Vi mener imidlertid at mange vil kunne forveksle disse formene for samtykke. Vi mener derfor at det er mer hensiktsmessig å bruke formuleringer som "tillatelse" eller "godkjenne".
Høringsutkastet legger opp til at dataansvarlig må sørge for bakgrunnssjekk. Ofte vil ansatte hos databehandler ha slike tilganger som utløser behov for bakgrunnssjekk. Vi anbefaler at man skriver at dataansvarlig og databehandler skal sørge for bakgrunnssjekk.
I forslaget er det foreslått at det skal kreves bakgrunnssjekk av personer som skal ha eller har bred tilgang til objekter eller infrastruktur. Når forslaget bruker ord som "objekter" er det lett å tenke reguleringer i sikkerhetsloven. Det hadde vært hensiktsmessig å bruke begrep som ikke er så lett å forveksle med tilsvarende begrep i sikkerhetsloven. Det samme gjelder for bruken av begrepet «nasjonale sikkerhetsinteresser» som begrunnelse for kravet om bakgrunnssjekk.
Det nevnes også i høringsnotatet at det kan komme en forskrift som vil utpeke en sentral aktør som får ansvaret for gjennomføring av bakgrunnssjekk. Det positive med det er at man vil få lik behandling av disse sakene i hele sektoren. Et sentralt register vil også gjøre det mulig for en dataansvarlig å innhente informasjon om bakgrunnssjekk som er gjennomført hos andre virksomheter. Dette vil redusere behov for overlappende bakgrunnssjekker og vil gi dataansvarlig trygghet for at forskere og leverandører som har behov for tilgang har bestått bakgrunnssjekk.
Vi ser imidlertid også noen utfordringer med en slik sentralisert ordning:
I forskrift bør det tydeliggjøres bedre hvem som skal omfattes av bakgrunnssjekk. Dette for å bidra til lik behandling i sektoren og for å sikre felles forståelse hos dataansvarlig og databehandler for når bakgrunnssjekk skal gjennomføres.
Alle virksomhetene i Helse Midt-Norge stiller seg positive til at det kommer regulering for bakgrunnssjekk for personell med vide tilganger. Dette er et viktig steg i retning av å øke sikkerheten i helsetjenesten. Vi har likevel noen innspill til de foreslåtte lovendringene, oppsummert under.
Helsesektoren opplever til dels mange jobbsøkere fra land uten sikkerhetssamarbeid med Norge, deriblant fra såkalte «høyrisikoland». Dette kan ofte være godt kvalifiserte søkere. Medarbeidere med nevnte landbakgrunn utgjør ikke nødvendigvis en sikkerhetsrisiko for virksomheten, men kan gjøre det dersom det er snakk om nøkkelposisjoner med vide tilganger. Høringsnotatet nevner kartlegging av nasjonalitet som en mulig del av bakgrunnssjekk, men det gjenstår å konkretisere hvordan dette skal gjennomføres i praksis uten å komme i konflikt med diskrimineringsregelverket. Dette kan for eksempel være å konkretisere kriterier for når ekskludering på grunnlag av nasjonalitet kan komme til anvendelse.
I forslaget står det at den som skal underlegges bakgrunnssjekk må ha gitt sitt "samtykke" til det. Av høringsnotatet fremgår det tydelig at dette ikke er ment som et "GDPR-samtykke". Vi mener imidlertid at mange vil kunne forveksle disse formene for samtykke. Vi mener derfor at det er mer hensiktsmessig å bruke formuleringer som "tillatelse" eller "godkjenne".
Høringsutkastet legger opp til at dataansvarlig må sørge for bakgrunnssjekk. Ofte vil ansatte hos databehandler ha slike tilganger som utløser behov for bakgrunnssjekk. Vi anbefaler at man skriver at dataansvarlig og databehandler skal sørge for bakgrunnssjekk.
I forslaget er det foreslått at det skal kreves bakgrunnssjekk av personer som skal ha eller har bred tilgang til objekter eller infrastruktur. Når forslaget bruker ord som "objekter" er det lett å tenke reguleringer i sikkerhetsloven. Det hadde vært hensiktsmessig å bruke begrep som ikke er så lett å forveksle med tilsvarende begrep i sikkerhetsloven. Det samme gjelder for bruken av begrepet «nasjonale sikkerhetsinteresser» som begrunnelse for kravet om bakgrunnssjekk.
Det nevnes også i høringsnotatet at det kan komme en forskrift som vil utpeke en sentral aktør som får ansvaret for gjennomføring av bakgrunnssjekk. Det positive med det er at man vil få lik behandling av disse sakene i hele sektoren. Et sentralt register vil også gjøre det mulig for en dataansvarlig å innhente informasjon om bakgrunnssjekk som er gjennomført hos andre virksomheter. Dette vil redusere behov for overlappende bakgrunnssjekker og vil gi dataansvarlig trygghet for at forskere og leverandører som har behov for tilgang har bestått bakgrunnssjekk.
Vi ser imidlertid også noen utfordringer med en slik sentralisert ordning:
I forskrift bør det tydeliggjøres bedre hvem som skal omfattes av bakgrunnssjekk. Dette for å bidra til lik behandling i sektoren og for å sikre felles forståelse hos dataansvarlig og databehandler for når bakgrunnssjekk skal gjennomføres.
Med vennlig hilsen
For Helse Midt-Norge RHF
For Helse Midt-Norge RHF