Dato: 30.09.2024 Svartype: Med merknad Høringssvar – Krav om bakgrunnssjekk av personell UiT Norges arktiske universitet ved det helsevitenskapelige fakultet (UiT) viser til høring fra Helse- og omsorgsdepartementet. Høringsnotatet inneholder forslag til endringer i pasientjournalloven, helseregisterloven og helsepersonelloven, for å kunne sjekke bakgrunnen til personell i kritiske stillinger og funksjoner, samt begrenset deling av store datasett. UiT vil innledningsvis presisere at vi er enig i at det er behov for å kunne sikre et forsvarlig sikkerhetsnivå for informasjon og systemer som ikke faller inn under sikkerhetsloven. Enkelte forhold bør imidlertid utredes nærmere, herunder prinsipielle spørsmål. UiT forvalter flere av befolkningsundersøkelsene i Norge. Dette gjelder Tromsøundersøkelsen, som er landets mest omfattende befolkningsundersøkelse, og SAMINOR, Kvinner og Kreft og Fit Futures. Data fra befolkningsundersøkelsene utgjør et betydelig bidrag til forskning på helsedata, både nasjonalt og internasjonalt. UiTs høringssvar er derfor i hovedsak rettet mot de konsekvensene vi ser de foreslåtte endringene kan få for forskning. Prinsipielle spørsmål Om bakgrunnen for høringsnotatet viser departementet innledningsvis (side 4) til at det «{…} er blitt synliggjort et behov for å kunne begrense deling av enkelte store sett med helsedata av hensyn til de nasjonale sikkerhetsinteressene. Utviklingen og bruk av kunstig intelligens har også aktualisert problemstillingene. Dette gjelder store aggregerte datasett med anonyme eller indirekte identifiserbare helsedata. Med store datasett mener departementet datasett som alene eller sammen med andre, sier noe om en befolkningsgruppe». I høringsnotatet er dette blant annet fulgt opp med endringer i helseregisterloven §§ 19, 19 a og 19 e som gir hjemmel til å begrense tilgjengeliggjøring av store sett med helsedata, dersom helsedata kan ha betydning for nasjonale sikkerhetsinteresser . Det foreslås videre et krav om bakgrunnssjekk av mottaker av data som et alternativ til å nekte tilgjengeliggjøring. Ved lovendring i 2021 ble det innført endringer i helseregisterloven kapittel 19 flg. som skulle gi økt og enklere tilgjengeliggjøring av helseopplysninger og andre helsedata. Lovens utgangspunkt er at det foreligger en plikt til å tilgjengeliggjøre direkte og indirekte personidentifiserbare helseopplysninger når vilkårene for dette er oppfylt. I tillegg til et mer oversiktlig og harmonisert regelverk, ønsket lovgiver også å oppnå en mer ensartet praktisering av vilkårene for tilgjengeliggjøring. Høringsnotatet inneholder ingen vurdering av i hvilken grad de foreslåtte endringene påvirker balansen mellom hensynet til konfidensialitet og hensynet til tilgjengelighet. Det er ikke vurdert hvorvidt de foreslåtte begrensningene i deling av store datasett kan påvirke helseforskning og forskningssamarbeid. Helseforskning er et område med mye internasjonalt samarbeid, forskning på tvers av landegrenser og forskning med store datasett. Ofte vil større internasjonale kohorter være en forutsetning for forskningen. UiT som forskningsinstitusjon og forvalter av store befolkningsundersøkelser savner en vurdering av disse momentene, og vi kan ikke se at dette er berørt i særlig grad i høringsforslaget. Slik lovforslaget foreligger i dag ser vi også utfordringer med de faktiske vurderingene av hvilke datasett som vil kunne ha betydning for nasjonale sikkerhetsinteresser. Dette er krevende vurderinger, som krever en kompetanse som UiT ikke har per i dag. Etter vår vurdering, kan de foreslåtte endringene i tilgjengeliggjøring av data komme i konflikt med lovgivers tidligere intensjoner om et oversiktlig og harmonisert regelverk, som skulle sikre lik praksis. Kravet til bakgrunnssjekk ved tilgjengeliggjøring av data UiT mener forslaget om krav til bakgrunnssjekk kan ha stor betydning for forvaltningen av våre befolkningsundersøkelser, hvor tilgjengeliggjøring av data til forskning har stor samfunnsnytte. Begrensningene i tilgjengeliggjøring av data med tilhørende krav til bakgrunnssjekk, kan få store konsekvenser for gjennomføring av forskningsprosjekter. I et forskningsprosjekt vil normalt en søknad om tilgang til data komme på et tidspunkt hvor det allerede er lagt ned mye ressurser i prosjektet. Søknad om utlevering av data er først aktuelt når prosjektbeskrivelser, finansiering, kontraktinngåelser mv. er på plass. Dersom man på dette tidspunktet risikerer at forskere i prosjektet må gjennom omfattende bakgrunnssjekker før data kan utleveres, kan dette få stor betydning for prosjektgjennomføringen. For eksempel ved at prosjektet må utsettes, ikke kan gjennomføres, bytte av prosjektpartnere og mulig kontraktsbrudd. Eksportkontrollregelverk kommer allerede til anvendelse ved forskningssamarbeid og deling av informasjon med utenlandske institusjoner. Vi savner også en nærmere vurdering av hvorvidt det er behov for å harmonisere de foreslåtte endringene opp mot dette regelverket. Når stilles det krav til bakgrunnssjekk. Den nærmere avgrensningen av krav om bakgrunnssjekk. Som det fremgår av høringsnotatet, er bakgrunnssjekk et svært inngripende tiltak overfor enkeltindivider. Slik vi leser høringsnotatet og de foreslåtte lovendringene, kommer det ikke tydelig fram når det er et krav til bakgrunnssjekk. Vurderingen av behovet for bakgrunnssjekk gjøres av den dataansvarlige selv. Vurdering av behovet for bakgrunnssjekk kan generelt være en vanskelig øvelse, og vi mener behovet for tydelige vilkår er stort. For eksempel vil utføring av bakgrunnssjekk der det ikke er krav, være svært inngripende overfor den enkelte, og kunne innebære et alvorlig brudd retten til et privatliv. Tydelige krav for når det skal kreves bakgrunnssjekk kan være et tiltak som reduserer risikoen for at det utføres bakgrunnssjekk uten at det er nødvendig Sett i lys av bakgrunnssjekkens inngripende karakter overfor enkeltindivider, savner vi også en drøfting av om det bør differensieres på noen måte mellom behovet for bakgrunnssjekk i helse og omsorgssektoren og i de tilfeller hvor det dreier seg om deling av data. Etter vår vurdering er det ikke nødvendigvis like legitimt med et slikt inngripende tiltak overfor enkeltindivider ved deling av data, som når det kan få direkte betydning for liv og helse. Hvem gjelder kravet om bakgrunnssjekk for ved tilgjengeliggjøring av data For befolkningsbaserte helseundersøkelser er det gitt en egen forskrift som regulerer blant annet tilgjengeliggjøring og informasjonssikkerheten. For tilgjengeliggjøring av data fremgår det av forskriftens § 4-1 at: «Helseopplysninger i befolkningsbaserte helseundersøkelser skal behandles i samsvar med personvernforordningen, personopplysningsloven og de alminnelige vilkårene i helseregisterloven § 6 og reglene om taushetsplikt i helseregisterloven § 17, jf. helsepersonelloven §§ 21 flg. Ved tilgjengeliggjøring og sammenstilling av opplysninger i registeret gjelder i tillegg helseregisterloven § 19 til § 19h.» Dette innebærer at de foreslåtte endringene i helseregisterloven § 19a åttende ledd også vil kunne få anvendelse på store datasett fra befolkningsundersøkelsene. Det fremstår mer uklart hvorvidt den nye § 21a også skal gjelde for befolkningsbaserte undersøkelser utover muligheten for å kreve bakgrunnssjekk av mottakere av enkelte store datasett. Dersom man tenker at datasett fra de befolkningsbaserte helseundersøkelsene skal kunne utløse en bakgrunnssjekk for mottaker, bør det også klargjøres om det skal være anledning til å kreve bakgrunnssjekk for driftspersonell med høyt tilgangsnivå eller kontroll over løsningene hvor datasettene behandles. Dersom det er tilfelle må det vurderes om det er behov for å endre forskrift om befolkningsbaserte helseundersøkelser § 4-5. Ressursbruk I høringsnotatet (side 27) uttaler departementet at bakgrunnssjekken skal profesjonaliseres for å sikre rettssikkerhet og enhetlig praksis, slik at «den over tid skal utføres av en sentral aktør med særlig kompetanse på personkontroll». Inntil en slik sentral aktør er på plass, kan det synes som om departementet legger opp til en ordning hvor den dataansvarlige skal ha ansvaret for å gjennomføre bakgrunnssjekk. For UiT sitt vedkommende vil forslaget være ressurskrevende, og kreve oppbygging av en kompetanse som institusjonen per i dag ikke har. Innføring av disse kravene vil komme på toppen av en allerede presset ressurssituasjon. Kravene til gjennomføring av bakgrunnssjekk griper dessuten inn i den private sfære på en slik måte at det kan oppstå juridiske konflikter som må håndteres. F. eks arbeidsrettslige utfordringer og kontraktsbrudd. Vi mener også det vil være dårlig ressursutnyttelse å først måtte bygge opp kompetanse internt, dersom intensjonen er at dette etter hvert skal utføres av en sentral aktør. Etter vår mening bør derfor sentrale strukturer som profesjonalisering av bakgrunnssjekk og klageordning for bakgrunnssjekk være på plass allerede ved ikrafttredelse. Helse- og omsorgsdepartementet Til høringen Til toppen <div class="page-survey" data-page-survey="133" data-page-survey-api="/api/survey/SubmitPageSurveyAnswer" data-text-hidden-title="Tilbakemeldingsskjema" data-text-question="Fant du det du lette etter?"
