Innspill fra personvernombudet ved UNN
Om bakgrunnen for forslaget til lovendring
Personvernombudet ved UNN viser til Helse- og omsorgsdepartementets forslag til «Krav om bakgrunnssjekk av personell i kritiske stillinger og funksjoner, og begrenset deling av store datasett – endringer i helselovgivningen».
Departementet begrunner de foreslåtte lovendringene i ivaretakelse av nasjonale sikkerhetsinteresser som ikke omfattes av sikkerhetsloven, hvor det er behov for å beskytte tilgjengeligheten og integriteten til informasjon og systemer som ikke er sikkerhetsgradert. Selv om disse ikke omfatte av sikkerhetslovens krav, er det ifølge departementet slik at «Informasjonen vil likevel kunne ha betydning for nasjonale sikkerhetsinteresser, dersom den blir kompromittert (side 3 og 21).
Begrepet «nasjonale sikkerhetsinteresser» er ikke konkret definert av departementet i forslaget, men det fremgår på side 26 i høringsnotatet at det favner noe videre enn legaldefinisjonen i sikkerhetsloven. Departementet skriver i samme avsnitt at «Skadefølgene vil være noe mindre enn ved kompromittering av objekter som er skjermet etter sikkerhetsloven, men kritiske samfunnsfunksjoner vil likevel rammes».
Den gjeldende trusselen mot nasjonale sikkerhetsinteresser synes særlig å være knyttet til kompromittering av informasjon og systemer hvor «[p]otensiale for skade er stort, og misbruk vil kunne true helse- og omsorgstjenestens evne til å ivareta sine oppgaver og befolkningens helse og sikkerhet, og derigjennom vil kunne skade de nasjonale sikkerhetsinteressene.» (side 3 og nærmere på s. 21, samt første avsnitt på side 23).
Personvernombudet ved UNN forstår det som at en primært ønsker å sikre at helsevesenets evne til å ivareta sine oppgaver til å yte forsvarlig helsehjelp til befolkningen opprettholdes ved at opplysningene i systemene deres er tilgjengelige og riktige til enhver tid. Denne evnen må opprettholdes også i tilfeller der hvor nasjonale sikkerhetsinteresser gjør seg gjeldende, som for eksempel ved sabotasjeoperasjoner, terrorisme, krig, og andre situasjoner hvor rikets sikkerhet trues.
Utover dette, har personvernombudet ved UNN vanskelig for å se at den enkelte dataansvarlige alene vil være i stand til å ta stilling til- og avgjøre hva som utgjør nasjonale sikkerhetsinteresser i bred forstand, dvs. nasjonale sikkerhetsinteresser utover det som angår den enkelte virksomheten. Om det er tenkt at de nasjonale sikkerhetsinteressene går utover det som er nevnt ovenfor her, bør det i så fall redegjøres nærmere for hvordan de dataansvarlige skal settes i stand til å identifisere og vurdere disse.
Formålet med lovendringen synes dermed å være ivaretakelse av nasjonale sikkerhetsinteresser ved å sikre helseopplysningenes tilgjengelighet, integritet og konfidensialitet.
Dagens muligheter til å gjennomføre bakgrunnssjekk etter pasientjournalloven og helseregisterloven
Departementet har i høringsnotatet vurdert at ikke vil være anledning til å gjennomføre bakgrunnssjekk av kritisk personell/funksjoner med dagens lovgivning. Dette begrunnes med at pasientjournalloven § 22 og helseregisterloven § 21 er begrenset til å gjelde informasjonssikkerhet ved behandling av personopplysninger gjennom henvisningen til personvernforordningen artikkel 32.
Dersom den nasjonale sikkerhetsinteressen er å sikre helseopplysningenes tilgjengelighet, integritet og konfidensialitet, er personvernombudet ved UNN av den oppfatning at dagens lovgivning allerede åpner for gjennomføring av bakgrunnssjekk av det nevnte personellet. Bakgrunnssjekk vil da kunne være et av flere mulige tiltak for å oppnå et egnet sikkerhetsnivå i virksomheten.
Tilsvarende gjelder for plikten til å gjennomføre risikovurdering av nettverks- og informasjonssystemer, hvor det etter vårt syn også følger av dagens lovgivning at dette skal gjøres, se særlig personvernforordningen artikkel 32.
Det savnes en grundigere vurdering av gjeldende rett, og dermed også en grundigere begrunnelse for behovet for lovendringene som foreslås.
Det er imidlertid positivt at man i forbindelse med ny lovgivning oppstiller krav til når og hvordan slike bakgrunnssjekker kan gjennomføres.
Hvilke virksomheter som vil ha behov for å gjennomføre bakgrunnssjekk av personell
Departementet synes å legge til grunn at det primært er spesialisthelsetjenesten som i praksis vil omfattes av lovendringene, ved at det er der behovet for bakgrunnssjekk er. Det vises til punkt 4.2.1 på side 20: «Innen helse- og omsorgssektoren vil det primært være de fire regionale IKTleverandørene, de regionale helseforetakene, enkelte helseforetak, Norsk helsenett SF, Helseplattformen AS, Folkehelseinstituttet, Direktoratet for strålevern og atomberedskap og Helsedirektoratet som vil ha behov for å kunne få utført bakgrunnssjekk av personell». Tilsvarende også under økonomiske og administrative konsekvenser av forslaget på s. 34.
Personvernombudet ved UNN har ut fra høringsnotatet vanskelig for å følge dette resonnementet, da det er flere virksomheter enn de ovenfor nevnte som er omfattet av den aktuelle lovgivningen. Pasientjournalloven gjelder for alle virksomheter som yter helsehjelp. Vi savner f.eks. en nærmere redegjørelse og vurdering knyttet til kommunenes behov og deres forutsetninger for etterlevelse av kravene. Kommunene er ikke nevnt som aktuelle virksomheter som vil ha behov for gjennomføring av bakgrunnssjekk av kritisk personell, og noen slik avgrensningen synes ikke å være begrunnet. Etter vårt syn vil også kommunehelsetjenesten være sentral i nasjonens evne til å tilby forsvarlig helsehjelp til befolkning også i tilfeller krig, terror og andre trusler mot rikets sikkerhet. Det anbefales at departementet vurderer den totale evnen til å yte helsehjelp til befolkningen, og ikke bare spesialisthelsetjenestens bidrag til dette.
Om det er ment at andre virksomheter som omfattes av de aktuelle lovene ikke skal omfattes, bør dette begrunnes nærmere og komme tydelig frem av lovteksten.
Klageinstans og virkning av klage på avgjørelse om å kreve bakgrunnssjekk
Departementet foreslår å lovfeste at avgjørelsen om å kreve bakgrunnssjekk etter pasientjournalloven §§ 22a og helseregisterloven § 21a kan påklages. Som departementet presiserer på side 25 i høringsnotatet, er det selve avgjørelsen om å kreve bakgrunnssjekk som kan påklages, ikke utfallet eller konsekvensen av (den utførte) bakgrunnssjekken. Hvem som vil være klageinstans for en slik klage er ikke avklart eller drøftet i høringen, og overlates til forskriftsregulering.
Personvernombudet ved UNN finner det vanskelig å ta stilling- og gi innspill til hvem som bør være klageinstans når høringen på dette punktet er så lite opplyst.
Utover at utfallet og konsekvensene av avgjørelsen om å kreve bakgrunnssjekk ikke kan påklages, er det heller ikke sagt noe om når, hvordan og av hvem avgjørelsen om å kreve bakgrunnssjekk skal kunne påklages, og heller ikke hva som vil være konsekvensen dersom en virksomhet (feilaktig) har bestemt at det skal gjennomføres bakgrunnssjekk.
Personvernombudet ved UNN har vanskelig for å se for seg hvordan dette klageprosessen er tenkt gjennomført og hvordan det skal kunne få en reell betydning for søkere til stillinger som omfattes av kravet til bakgrunnssjekk. Avgjørelsen om å kreve bakgrunnssjekk må være avklart før en stilling utlyses. Informasjon om bakgrunnssjekken må, slik vi forstår det, i alle eller de fleste tilfeller inngå i utlysningsteksten eller på annen måte gjøres kjent for kandidatene før ansettelsesprosessen går i gang.
Eventuelle søkere til stillingen vil ikke ha noen informasjon om at det er stilt krav om bakgrunnssjekk og hva som er bakgrunnen for kravet før tidligst etter stillingen er utlyst. Det fremstår usannsynlig at en eventuell klage på avgjørelsen vil ha noen reell betydning for de som berøres i disse tilfellene. Alternativet vil være at ansettelsesprosessen må stoppes i påvente av klageorganets behandling og avgjørelse. Dette må i så fall reguleres nærmere i lovteksten eller forskriften. En slik løsning fremstår umiddelbart som uhensiktsmessig, da det vil få konsekvenser for ansettelsen i det som allerede er definert som en kritisk stilling. I tillegg kommer mulig risiko for at arbeidsgivere, i frykt av at prosessen ellers vil kunne stoppe opp, vil unnlate å kreve bakgrunnssjekk i tilfeller hvor det etter forskriften er anledning og/eller krav til at det gjennomføres.
Det er også en risiko for at kvalifiserte søkere i stedet unnlater å søke på stillinger hvor de mener at kravet til bakgrunnssjekk ikke er rettmessig.
For personer som allerede er ansatt i en stilling hvor det i ettertid besluttes at det skal gjennomføres bakgrunnssjekk, vil derimot en klageadgang kunne ha reell virkning.
Departementet bør også utrede nærmere hvilke utilsiktede og/eller usaklige konsekvenser en mulig klage vil kunne få for enkeltpersoner, forutsatt at det er de som direkte berøres av avgjørelsen som har klagerett. Det er ikke utenkelig at dette vil kunne innvirke på klagerens muligheter til å ansettes i den aktuelle stillingen eller andre stillinger i virksomheten. Det savnes reguleringer og tiltak for å motvirke slike uønskede konsekvenser.
Departementet har i notatet heller ikke berørt konsekvenser for virksomheter som krever- og gjennomfører bakgrunnssjekk uten at det er rettslig grunnlag for det, eller som gjennomfører en bakgrunnssjekk i strid med kravene i loven og den kommende forskriften. Eksempelvis dersom det innhentes og behandles opplysninger som ikke er relevante, at opplysningene benyttes for ulovlige formål, eller at behandlingen av opplysningene ellers er i strid med den aktuelle reguleringen og de generelle personvernprinsippene.
Forholdet til klage etter annet lovverk, f.eks. brudd på Likestillings- og diskrimineringsloven, er ikke berørt i høringsnotatet og det er uklart om den nye loven og forskrift vil ha betydning for andre klagemuligheter.
Bemerkninger til utforming av lovhjemmel
Personvernombudet ved UNN vil anbefale at departementet ser nærmere på utformingen av forslaget til lovendringer i pasientjournalloven § 22a og helseregisterloven § 21a. Det foreslås at oppsettet i bestemmelsene i stedet henter inspirasjon fra annet regelverk, f.eks. helseregisterloven § 8, hvor det i lovteksten stilles krav om at det opprettes en forskrift for at man skal kunne gjennomføre den aktuelle aktiviteten. Det er en fordel om lovteksten også sier noe om hvilke forhold denne forskriften skal angi krav om. Det gis et et ikke utfyllende eksempel for å illustrere det aktuelle oppsettet som vi foreslår at bestemmelsen utformes etter:
«Departementet kan gi forskrift som pålegger dataansvarlig å gjennomføre bakgrunnssjekk.
Det kan bare utføres bakgrunnssjekk for personer som skal ha eller har bred tilgang til objekter eller infrastruktur, hvor det behandles store datasett med person- og helseopplysninger som er kritisk for den dataansvarlige og databehandlerens evne til å ivareta sine oppgaver. Beslutning om krav til bakgrunnssjekk for den konkrete stillingen skal begrunnes.
Det skal ikke kreves bakgrunnssjekk dersom det kan iverksettes andre egnede sikkerhetstiltak.
Forskriften skal blant annet angi
- Hvilke virksomheter som skal gjennomføre bakgrunnssjekk - Gjennomføring av bakgrunnssjekk - Hvilke opplysninger som kan behandles - Hvilke kilder som kan benyttes - Krav til informasjon - Garantier - Klageadgang - Osv.»
Dette foreslås for bedre å få frem at hjemmelen til å gjennomføre bakgrunnssjekk er direkte knyttet til at det opprettes en forskrift om bakgrunnssjekk. Dette er også i tråd med departementets intensjon, se høringsnotatets side 25 hvor det forutsettes at «lovbestemmelsene om bakgrunnssjekk ikke kan settes i verk før forskriften er fastsatt».
Det foreslås også at departementet ser på ordlyden i de foreslåtte nye bestemmelsene i pasientjournalloven § 22a og helseregisterlov § 21a for bedre å få frem plikten til å vurdere mindre inngripende tiltak enn bakgrunnssjekk av personell.
Slik bestemmelsen nå er utformet, starter den med å angi en plikt om at den «dataansvarlige skal kreve og gjennomføre bakgrunnssjekk av personer…». Det fremkommer først i siste punktum i bestemmelsen at bakgrunnssjekk ikke skal kreves dersom det kan iverksettes andre egnede sikkerhetstiltak.
Personvernombudet ved UNN mener det vil være en fordel om bestemmelsen i stedet får en mer «oppdragende» form, slik at man unngår at det blir en aksept hos den dataansvarlige for at enkeltpersoner og funksjoner i virksomheten har så store og vide tilganger til opplysninger og systemer at det utgjør en trussel dersom den type stillinger blir besatt av en «utro tjener». Man risikerer da at bakgrunnssjekk av personell blir hovedregelen i stedet for unntaket.
Personvernombudet ved UNN viser til Helse- og omsorgsdepartementets forslag til «Krav om bakgrunnssjekk av personell i kritiske stillinger og funksjoner, og begrenset deling av store datasett – endringer i helselovgivningen».
Departementet begrunner de foreslåtte lovendringene i ivaretakelse av nasjonale sikkerhetsinteresser som ikke omfattes av sikkerhetsloven, hvor det er behov for å beskytte tilgjengeligheten og integriteten til informasjon og systemer som ikke er sikkerhetsgradert. Selv om disse ikke omfatte av sikkerhetslovens krav, er det ifølge departementet slik at «Informasjonen vil likevel kunne ha betydning for nasjonale sikkerhetsinteresser, dersom den blir kompromittert (side 3 og 21).
Begrepet «nasjonale sikkerhetsinteresser» er ikke konkret definert av departementet i forslaget, men det fremgår på side 26 i høringsnotatet at det favner noe videre enn legaldefinisjonen i sikkerhetsloven. Departementet skriver i samme avsnitt at «Skadefølgene vil være noe mindre enn ved kompromittering av objekter som er skjermet etter sikkerhetsloven, men kritiske samfunnsfunksjoner vil likevel rammes».
Den gjeldende trusselen mot nasjonale sikkerhetsinteresser synes særlig å være knyttet til kompromittering av informasjon og systemer hvor «[p]otensiale for skade er stort, og misbruk vil kunne true helse- og omsorgstjenestens evne til å ivareta sine oppgaver og befolkningens helse og sikkerhet, og derigjennom vil kunne skade de nasjonale sikkerhetsinteressene.» (side 3 og nærmere på s. 21, samt første avsnitt på side 23).
Personvernombudet ved UNN forstår det som at en primært ønsker å sikre at helsevesenets evne til å ivareta sine oppgaver til å yte forsvarlig helsehjelp til befolkningen opprettholdes ved at opplysningene i systemene deres er tilgjengelige og riktige til enhver tid. Denne evnen må opprettholdes også i tilfeller der hvor nasjonale sikkerhetsinteresser gjør seg gjeldende, som for eksempel ved sabotasjeoperasjoner, terrorisme, krig, og andre situasjoner hvor rikets sikkerhet trues.
Utover dette, har personvernombudet ved UNN vanskelig for å se at den enkelte dataansvarlige alene vil være i stand til å ta stilling til- og avgjøre hva som utgjør nasjonale sikkerhetsinteresser i bred forstand, dvs. nasjonale sikkerhetsinteresser utover det som angår den enkelte virksomheten. Om det er tenkt at de nasjonale sikkerhetsinteressene går utover det som er nevnt ovenfor her, bør det i så fall redegjøres nærmere for hvordan de dataansvarlige skal settes i stand til å identifisere og vurdere disse.
Formålet med lovendringen synes dermed å være ivaretakelse av nasjonale sikkerhetsinteresser ved å sikre helseopplysningenes tilgjengelighet, integritet og konfidensialitet.
Dagens muligheter til å gjennomføre bakgrunnssjekk etter pasientjournalloven og helseregisterloven
Departementet har i høringsnotatet vurdert at ikke vil være anledning til å gjennomføre bakgrunnssjekk av kritisk personell/funksjoner med dagens lovgivning. Dette begrunnes med at pasientjournalloven § 22 og helseregisterloven § 21 er begrenset til å gjelde informasjonssikkerhet ved behandling av personopplysninger gjennom henvisningen til personvernforordningen artikkel 32.
Dersom den nasjonale sikkerhetsinteressen er å sikre helseopplysningenes tilgjengelighet, integritet og konfidensialitet, er personvernombudet ved UNN av den oppfatning at dagens lovgivning allerede åpner for gjennomføring av bakgrunnssjekk av det nevnte personellet. Bakgrunnssjekk vil da kunne være et av flere mulige tiltak for å oppnå et egnet sikkerhetsnivå i virksomheten.
Tilsvarende gjelder for plikten til å gjennomføre risikovurdering av nettverks- og informasjonssystemer, hvor det etter vårt syn også følger av dagens lovgivning at dette skal gjøres, se særlig personvernforordningen artikkel 32.
Det savnes en grundigere vurdering av gjeldende rett, og dermed også en grundigere begrunnelse for behovet for lovendringene som foreslås.
Det er imidlertid positivt at man i forbindelse med ny lovgivning oppstiller krav til når og hvordan slike bakgrunnssjekker kan gjennomføres.
Hvilke virksomheter som vil ha behov for å gjennomføre bakgrunnssjekk av personell
Departementet synes å legge til grunn at det primært er spesialisthelsetjenesten som i praksis vil omfattes av lovendringene, ved at det er der behovet for bakgrunnssjekk er. Det vises til punkt 4.2.1 på side 20: «Innen helse- og omsorgssektoren vil det primært være de fire regionale IKTleverandørene, de regionale helseforetakene, enkelte helseforetak, Norsk helsenett SF, Helseplattformen AS, Folkehelseinstituttet, Direktoratet for strålevern og atomberedskap og Helsedirektoratet som vil ha behov for å kunne få utført bakgrunnssjekk av personell». Tilsvarende også under økonomiske og administrative konsekvenser av forslaget på s. 34.
Personvernombudet ved UNN har ut fra høringsnotatet vanskelig for å følge dette resonnementet, da det er flere virksomheter enn de ovenfor nevnte som er omfattet av den aktuelle lovgivningen. Pasientjournalloven gjelder for alle virksomheter som yter helsehjelp. Vi savner f.eks. en nærmere redegjørelse og vurdering knyttet til kommunenes behov og deres forutsetninger for etterlevelse av kravene. Kommunene er ikke nevnt som aktuelle virksomheter som vil ha behov for gjennomføring av bakgrunnssjekk av kritisk personell, og noen slik avgrensningen synes ikke å være begrunnet. Etter vårt syn vil også kommunehelsetjenesten være sentral i nasjonens evne til å tilby forsvarlig helsehjelp til befolkning også i tilfeller krig, terror og andre trusler mot rikets sikkerhet. Det anbefales at departementet vurderer den totale evnen til å yte helsehjelp til befolkningen, og ikke bare spesialisthelsetjenestens bidrag til dette.
Om det er ment at andre virksomheter som omfattes av de aktuelle lovene ikke skal omfattes, bør dette begrunnes nærmere og komme tydelig frem av lovteksten.
Klageinstans og virkning av klage på avgjørelse om å kreve bakgrunnssjekk
Departementet foreslår å lovfeste at avgjørelsen om å kreve bakgrunnssjekk etter pasientjournalloven §§ 22a og helseregisterloven § 21a kan påklages. Som departementet presiserer på side 25 i høringsnotatet, er det selve avgjørelsen om å kreve bakgrunnssjekk som kan påklages, ikke utfallet eller konsekvensen av (den utførte) bakgrunnssjekken. Hvem som vil være klageinstans for en slik klage er ikke avklart eller drøftet i høringen, og overlates til forskriftsregulering.
Personvernombudet ved UNN finner det vanskelig å ta stilling- og gi innspill til hvem som bør være klageinstans når høringen på dette punktet er så lite opplyst.
Utover at utfallet og konsekvensene av avgjørelsen om å kreve bakgrunnssjekk ikke kan påklages, er det heller ikke sagt noe om når, hvordan og av hvem avgjørelsen om å kreve bakgrunnssjekk skal kunne påklages, og heller ikke hva som vil være konsekvensen dersom en virksomhet (feilaktig) har bestemt at det skal gjennomføres bakgrunnssjekk.
Personvernombudet ved UNN har vanskelig for å se for seg hvordan dette klageprosessen er tenkt gjennomført og hvordan det skal kunne få en reell betydning for søkere til stillinger som omfattes av kravet til bakgrunnssjekk. Avgjørelsen om å kreve bakgrunnssjekk må være avklart før en stilling utlyses. Informasjon om bakgrunnssjekken må, slik vi forstår det, i alle eller de fleste tilfeller inngå i utlysningsteksten eller på annen måte gjøres kjent for kandidatene før ansettelsesprosessen går i gang.
Eventuelle søkere til stillingen vil ikke ha noen informasjon om at det er stilt krav om bakgrunnssjekk og hva som er bakgrunnen for kravet før tidligst etter stillingen er utlyst. Det fremstår usannsynlig at en eventuell klage på avgjørelsen vil ha noen reell betydning for de som berøres i disse tilfellene. Alternativet vil være at ansettelsesprosessen må stoppes i påvente av klageorganets behandling og avgjørelse. Dette må i så fall reguleres nærmere i lovteksten eller forskriften. En slik løsning fremstår umiddelbart som uhensiktsmessig, da det vil få konsekvenser for ansettelsen i det som allerede er definert som en kritisk stilling. I tillegg kommer mulig risiko for at arbeidsgivere, i frykt av at prosessen ellers vil kunne stoppe opp, vil unnlate å kreve bakgrunnssjekk i tilfeller hvor det etter forskriften er anledning og/eller krav til at det gjennomføres.
Det er også en risiko for at kvalifiserte søkere i stedet unnlater å søke på stillinger hvor de mener at kravet til bakgrunnssjekk ikke er rettmessig.
For personer som allerede er ansatt i en stilling hvor det i ettertid besluttes at det skal gjennomføres bakgrunnssjekk, vil derimot en klageadgang kunne ha reell virkning.
Departementet bør også utrede nærmere hvilke utilsiktede og/eller usaklige konsekvenser en mulig klage vil kunne få for enkeltpersoner, forutsatt at det er de som direkte berøres av avgjørelsen som har klagerett. Det er ikke utenkelig at dette vil kunne innvirke på klagerens muligheter til å ansettes i den aktuelle stillingen eller andre stillinger i virksomheten. Det savnes reguleringer og tiltak for å motvirke slike uønskede konsekvenser.
Departementet har i notatet heller ikke berørt konsekvenser for virksomheter som krever- og gjennomfører bakgrunnssjekk uten at det er rettslig grunnlag for det, eller som gjennomfører en bakgrunnssjekk i strid med kravene i loven og den kommende forskriften. Eksempelvis dersom det innhentes og behandles opplysninger som ikke er relevante, at opplysningene benyttes for ulovlige formål, eller at behandlingen av opplysningene ellers er i strid med den aktuelle reguleringen og de generelle personvernprinsippene.
Forholdet til klage etter annet lovverk, f.eks. brudd på Likestillings- og diskrimineringsloven, er ikke berørt i høringsnotatet og det er uklart om den nye loven og forskrift vil ha betydning for andre klagemuligheter.
Bemerkninger til utforming av lovhjemmel
Personvernombudet ved UNN vil anbefale at departementet ser nærmere på utformingen av forslaget til lovendringer i pasientjournalloven § 22a og helseregisterloven § 21a. Det foreslås at oppsettet i bestemmelsene i stedet henter inspirasjon fra annet regelverk, f.eks. helseregisterloven § 8, hvor det i lovteksten stilles krav om at det opprettes en forskrift for at man skal kunne gjennomføre den aktuelle aktiviteten. Det er en fordel om lovteksten også sier noe om hvilke forhold denne forskriften skal angi krav om. Det gis et et ikke utfyllende eksempel for å illustrere det aktuelle oppsettet som vi foreslår at bestemmelsen utformes etter:
«Departementet kan gi forskrift som pålegger dataansvarlig å gjennomføre bakgrunnssjekk.
Det kan bare utføres bakgrunnssjekk for personer som skal ha eller har bred tilgang til objekter eller infrastruktur, hvor det behandles store datasett med person- og helseopplysninger som er kritisk for den dataansvarlige og databehandlerens evne til å ivareta sine oppgaver. Beslutning om krav til bakgrunnssjekk for den konkrete stillingen skal begrunnes.
Det skal ikke kreves bakgrunnssjekk dersom det kan iverksettes andre egnede sikkerhetstiltak.
Forskriften skal blant annet angi
- Hvilke virksomheter som skal gjennomføre bakgrunnssjekk - Gjennomføring av bakgrunnssjekk - Hvilke opplysninger som kan behandles - Hvilke kilder som kan benyttes - Krav til informasjon - Garantier - Klageadgang - Osv.»
Dette foreslås for bedre å få frem at hjemmelen til å gjennomføre bakgrunnssjekk er direkte knyttet til at det opprettes en forskrift om bakgrunnssjekk. Dette er også i tråd med departementets intensjon, se høringsnotatets side 25 hvor det forutsettes at «lovbestemmelsene om bakgrunnssjekk ikke kan settes i verk før forskriften er fastsatt».
Det foreslås også at departementet ser på ordlyden i de foreslåtte nye bestemmelsene i pasientjournalloven § 22a og helseregisterlov § 21a for bedre å få frem plikten til å vurdere mindre inngripende tiltak enn bakgrunnssjekk av personell.
Slik bestemmelsen nå er utformet, starter den med å angi en plikt om at den «dataansvarlige skal kreve og gjennomføre bakgrunnssjekk av personer…». Det fremkommer først i siste punktum i bestemmelsen at bakgrunnssjekk ikke skal kreves dersom det kan iverksettes andre egnede sikkerhetstiltak.
Personvernombudet ved UNN mener det vil være en fordel om bestemmelsen i stedet får en mer «oppdragende» form, slik at man unngår at det blir en aksept hos den dataansvarlige for at enkeltpersoner og funksjoner i virksomheten har så store og vide tilganger til opplysninger og systemer at det utgjør en trussel dersom den type stillinger blir besatt av en «utro tjener». Man risikerer da at bakgrunnssjekk av personell blir hovedregelen i stedet for unntaket.
Innspill fra Stab sikkerhet og beredskap ved UNN
Stab sikkerhet og beredskap v/UNN er positive til en forskrift som gir verktøy for å i større grad kunne kravstille sikkerhetsmessig skikkethet hos ansatte. Høringen er også gitt til jurister ved personal- og organisasjonssenteret i UNN.
Slik staben tolker høringsnotatet, legger forslaget legger opp til at en må definere kritiske roller i det enkelte foretak. Notatet definerer noen rammer, men sier ikke noe om omfanget av nivået på tilgangene, som f.eks store lokale , regionale eller nasjonale . Det legges vekt på at det primært vil være IKT-leverandørene i helse- og omsorgssektoren, i tillegg til enkelte helseforetaket som vil være aktuelle. Dette peker på at med store tilganger menes her tilganger til regionale og nasjonale systemer/datasett. Samtidig peker notatet også på at informasjonen kan være virksomhetskritisk , altså til og med et lokalt nivå, men hvor omfanget grenser opp mot nasjonale sikkerhetsinteresser. Etter stab sikkerhet og beredskap UNN syn bør forskriften også inkludere stillinger med tilgang til virksomhetskritisk infrastruktur da dette er med på å understøtte regionale og nasjonale systemer.
Stab sikkerhet og beredskap har ingen ytterligere innspill.
Slik staben tolker høringsnotatet, legger forslaget legger opp til at en må definere kritiske roller i det enkelte foretak. Notatet definerer noen rammer, men sier ikke noe om omfanget av nivået på tilgangene, som f.eks store lokale , regionale eller nasjonale . Det legges vekt på at det primært vil være IKT-leverandørene i helse- og omsorgssektoren, i tillegg til enkelte helseforetaket som vil være aktuelle. Dette peker på at med store tilganger menes her tilganger til regionale og nasjonale systemer/datasett. Samtidig peker notatet også på at informasjonen kan være virksomhetskritisk , altså til og med et lokalt nivå, men hvor omfanget grenser opp mot nasjonale sikkerhetsinteresser. Etter stab sikkerhet og beredskap UNN syn bør forskriften også inkludere stillinger med tilgang til virksomhetskritisk infrastruktur da dette er med på å understøtte regionale og nasjonale systemer.
Stab sikkerhet og beredskap har ingen ytterligere innspill.