Dato: 27.09.2024 Svartype: Med merknad Høringssvar fra Norsk helsenett SF til høringsnotat om "Krav om bakgrunnssjekk av personell i kritiske stillinger og funksjoner, og begrenset deling av store datasett – endringer i helselovgivningen" Innledning Vi viser til Helse- og omsorgsdepartementets høringsnotat med høringsfrist 1. oktober 2024. Norsk helsenett er positive til at det gis tydelige regler om bakgrunnssjekk. Våre tilbakemeldinger til høringsnotatet følger under. Vårt høringssvar konsentrerer seg om forslagene til nye bestemmelser i helseregisterloven § 21a og pasientjournalloven § 22a. Behovet for lovregulering Personellsikkerhet er et viktig område i Norsk Helsenett. Vi har etablert interne rutiner for kritiske stillinger innenfor de føringene dagens regler gir for å avklare sikkerhetsmessig skikkethet utenfor sikkerhetslovens område. Det kan imidlertid være krevende å avklare hva man har adgang til etter gjeldende regler. En lovregulering bør ha som formål å både klargjøre og utvide handlingsrommet for arbeidsgiver. Det er positivt at departementet setter fokus på dette området, og kanskje kan dette bidra til en mer generell gjennomgang med tanke på regulering på tvers av sektorer som vil ha nytte av tydelige regler for bakgrunnssjekk og en noe videre adgang til bakgrunnssjekk enn man har i dag. Generelt om bakgrunnssjekk som sikkerhetstiltak Departementet skriver følgende på side 21, første avsnitt: "Uten egen lovhjemmel, er det begrenset anledning til bakgrunnssjekk av den enkelte som innehar eller søker en kritisk stilling." Denne formuleringen kan misforstås. Det er viktig å kommunisere at det er både normalt og påkrevd å gjennomføre forskjellige former for kontroll før ansettelse, men at det er begrenset adgang til å gjøre inngripende kontrolltiltak. Bakgrunnssjekk som omfatter særskilte kategorier personopplysninger Slik Norsk Helsenett forstår det, vil forslaget innebære at lovlig grunnlag i henhold til personvernforordningen skal være artikkel 6 nr 1 bokstav e), og at de foreslåtte bestemmelsene vil utgjøre nødvendig supplerende grunnlag i nasjonal rett. Forbudet i artikkel 9 har unntak for behandling av personopplysninger som er "nødvendig av hensyn til viktige allmenne hensyn, på grunnlag av …..medlemsstatenes nasjonale rett…." (bokstav g). Dette betyr at det, til forskjell fra bakgrunnssjekk innenfor rammene av en interesseavveiing etter artikkel 6 nr 1 bokstav f) (som i dag), vil bli adgang til å behandle særskilte kategorier personopplysninger. Bakgrunnssjekk skal, som departementet peker på i høringsnotatet (side 22) "være forholdsmessig og begrenset til det som er nødvendig". Norsk helsenett støtter behovet for hjemmel til å innhente også særskilte kategorier personopplysninger der det er behov. Hvem er den dataansvarlige i forslaget til nye bestemmelser i helseregisterloven § 21a og pasientjournalloven § 22a? Helseregisterloven og pasientjournalloven regulerer behandling av personopplysninger om innbyggerne til primære og sekundære helseformål. Bakgrunnssjekken vil imidlertid dreie seg om behandling av personopplysninger om virksomhetens personell (og personer som skal få utlevert store datasett) med sikte på å avklare deres sikkerhetsmessige skikkethet. I henhold til ordlyden er det "den dataansvarlige" som skal kreve og gjennomføre bakgrunnssjekk av "personer". Norsk helsenett forstår det slik at begrepet "dataansvarlig" i disse bestemmelsene betyr den virksomhet som er (eventuelt vil bli) arbeidsgiver for den registrerte som bakgrunnssjekken gjelder for. Vår forståelse av reglene ser ut til å ha støtte i teksten i høringsnotatet. I høringsnotatet benyttes begrepene "virksomheten" og "personell", og på side 25 i femte avsnitt vises det til "arbeidsgiveren/dataansvarlig", noe som kan tyde på at departementet forutsetter at det er arbeidsgiver som er ansvarlig for bakgrunnssjekk. For å unngå tvil om hvem som har hvilket ansvar, bør dette avklares i det videre regelverksarbeidet. Andre merknader Samtykke og klage Dersom dette er bestemmelser som gir den registrerte rettigheter, kan det være en fordel å regulere dem i samme ledd i bestemmelsen. NHN ser det også som en fordel om klagereglene avklares ytterligere, herunder arbeidsrettslige konsekvenser, for eksempel for fremdriften i en ansettelsesprosess. Kritiske stillinger og funksjoner – lovforslagets virkeområde I høringsnotatet på side 24 beskriver departementet hva lovforslagets virkeområde er, og hva som menes med en kritisk stilling og funksjon. Tilgang til store datasett er ett av mange eksempler på hva en kritisk stilling kan være. I § 22a Bakgrunnssjekk står det "Den dataansvarlige skal kreve og gjennomføre bakgrunnssjekk av personer som skal ha eller har bred tilgang til objekter eller infrastruktur hvor det behandles store datasett med person- og helseopplysninger som er kritisk for helse- og omsorgstjenestens evne til å ivareta sine oppgaver." Forslaget kan slik det står i dag oppfattes som å kun gjelde for tilgang til infrastruktur/objekter hvor det behandles store datasett, og ikke andre typer av kritiske stillinger og funksjoner. For å unngå tvil om virkeområdet bør lovteksten oppdateres til å reflektere forslagets virkeområde (side 24 i høringsnotatet). Personvernkonsekvensvurdering i tilknytning til det videre regelverksarbeidet Det er uklart for NHN om bakgrunnssjekk vil gi høy personvernrisiko for arbeidssøkere og ansatte, slik at det blir spørsmål om å gjøre en DPIA. For å unngå at alle virksomheter selv må vurdere det, ville det være en stor fordel om departementet gjør slike personvernkonsekvensvurderinger på generelt grunnlag som del av regelverksutviklingen. Vi viser her til personvernforordningen artikkel 35 nr 10: "Dersom behandling i henhold til artikkel 6 nr. 1 bokstav c) eller e) har et rettslig grunnlag i unionsretten eller retten i medlemsstaten som den behandlingsansvarlige er underlagt, og nevnte rett regulerer den eller de aktuelle spesifikke behandlingsaktivitetene, og det allerede er utført en vurdering av personvernkonsekvenser som en del av en generell konsekvensvurdering i forbindelse med vedtakelse av nevnte rettslige grunnlag, får nr. 1-7 ikke anvendelse, med mindre medlemsstatene anser det nødvendig å utføre en slik vurdering før behandlingsaktivitetene." Med hilsen Jostein Jensen divisjonsdirektør for sikkerhet Norsk helsenett Helse- og omsorgsdepartementet Til høringen Til toppen <div class="page-survey" data-page-survey="133" data-page-survey-api="/api/survey/SubmitPageSurveyAnswer" data-text-hidden-title="Tilbakemeldingsskjema" data-text-question="Fant du det du lette etter?"
