Innledning
Vi viser til Justis- og beredskapsdepartementets (JD) høringsnotat med høringsfrist 06. januar 2025. Våre tilbakemeldinger til høringsnotatet følger under.
Om Norsk helsenett SF
Norsk helsenett SF (NHN) er et statseid foretak, heleid av Helse- og omsorgsdepartementet. NHN leverer IKT-tjenester og kritisk infrastruktur til norsk helsesektor, og har både ansatte som er autorisert for BEGRENSET, og ansatte som er klarert og autorisert på høyere nivåer.
Om hjemmelsgrunnlag for å kunne stille spørsmål til personell som skal autoriseres for BEGRENSET
Hovedkriteriet for autorisering fremkommer i sikkerhetsloven § 8-9 og endres ikke. Det er fremdeles et vilkår for autorisasjon at "den autorisasjonsansvarlige ikke har opplysninger som gir rimelig grunn til å tvile på om en person er sikkerhetsmessig skikket". Dette er et kriterium som krever skjønnsvurderinger som kan være krevende og gi rom for usikkerhet om hvor grensene går. NHN tror at innføring av plikt til å gi egenopplysninger vil være en hensiktsmessig måte å sikre at autorisasjonsansvarlig har et tilstrekkelig godt grunnlag for å vurdere autorisasjon. Videre tror vi at forskriftsregulering som spesifiserer hvilke opplysninger som er relevante vil gi klarere kriterier, noe som både kan forenkle vurderingene og sikre at relevante vurderinger faktisk bli gjennomført i tilstrekkelig grad. NHN støtter derfor høringsnotatets forslag om å sikre dette gjennom forskrift.
NHN vil imidlertid trekke frem høringsnotatets kapittel 3.1.2 første avsnitt siste setning:
“I motsetning til autorisasjon av personer som er sikkerhetsklarert, har ikke autorisasjonsansvarlig i dag tilgang til egenopplysninger i form av en personopplysningsblankett fra den som skal autoriseres for BEGRENSET. Departementet foreslår derfor å innta en klar hjemmel i § 8-9 om at det kan gis forskrift om krav til egenopplysninger før autorisasjon, slik det er krav om ved sikkerhetsklarering og adgangsklarering, jf. klareringsforskriften §§ 6 og 7. Det vil da måtte legges opp til å innhente mindre omfattende opplysninger enn ved klarering, da autorisasjon for BEGRENSET innebærer en lavere risiko enn tilgang til høyere gradert informasjon.”
Det er uklart hva det menes med “å innhente mindre omfattende opplysninger”, men NHN mener at det ved en autorisasjonssamtale på nivå BEGRENSET i utgangspunktet bør åpnes for å stille spørsmål rundt ethvert forhold som kan være til hinder for den autorisertes sikkerhetsmessige skikkethet. Slike forhold kan eksempelvis være eget eller nærståendes tette bånd til fremmede stater, rus- eller økonomiproblemer mv. Med andre ord bør autorisasjonsansvarlige her ha hjemmel til å stille de samme spørsmålene som ved en autorisasjon til høyere nivåer.
Forskjellen på autorisasjonsnivåene bør heller ivaretas utfra vektingen av eventuelle negative forhold. Dvs. at en skal ha større grad av aksept for eventuelle negative forhold ved en autorisasjon for BEGRENSET, og ikke ved at muligheten til å stille spørsmål om enkelte slike forhold avgrenses i forskrift. Når ny forskrift er vedtatt, bør Nasjonal sikkerhetsmyndighet oppdatere sin veileder i autorisasjon (Autorisasjonshåndboka) og der tydeligere beskrive hvordan slik vekting skal gjøres.
NHN viser her til at sikkerhetsloven legger opp til at den enkelte virksomhet i større grad enn tidligere nå skal kunne gjøre vurderinger om egne verdier og sårbarheter. For én virksomhet, kan ansattes tilknytning til andre stater (sågar kanskje ett konkret land) være av mye større betydning enn eventuelle økonomiske problemer, mens det motsatte kan være tilfelle for en annen virksomhet. Det er derfor viktig at virksomhetene gis den fleksibilitet til å kunne stille de spørsmål som er relevante for å kunne ivareta egen sikkerhet.
Dersom forskriften skal gi hjemmel til innhenting av mange og sensitive (særskilte kategorier) personopplysninger, kan det kanskje være hensiktsmessig å åpne opp for at i enkelte egenopplysninger til en viss grad skal kunne gis i form av avkreftende opplysninger, og at dette kan "dempe" graden av inngrep i personvernet, men likevel gi tilstrekkelig informasjon.
NHN nevner for ordens skyld også at vi legger til grunn at autorisasjonsansvarlige i sin vurdering av en persons sikkerhetsmessige skikkethet kan benytte opplysninger som er fremkommet i bakgrunnssjekk utenfor sikkerhetslovens virkeområde.
NHN vil imidlertid trekke frem høringsnotatets kapittel 3.1.2 første avsnitt siste setning:
“I motsetning til autorisasjon av personer som er sikkerhetsklarert, har ikke autorisasjonsansvarlig i dag tilgang til egenopplysninger i form av en personopplysningsblankett fra den som skal autoriseres for BEGRENSET. Departementet foreslår derfor å innta en klar hjemmel i § 8-9 om at det kan gis forskrift om krav til egenopplysninger før autorisasjon, slik det er krav om ved sikkerhetsklarering og adgangsklarering, jf. klareringsforskriften §§ 6 og 7. Det vil da måtte legges opp til å innhente mindre omfattende opplysninger enn ved klarering, da autorisasjon for BEGRENSET innebærer en lavere risiko enn tilgang til høyere gradert informasjon.”
Det er uklart hva det menes med “å innhente mindre omfattende opplysninger”, men NHN mener at det ved en autorisasjonssamtale på nivå BEGRENSET i utgangspunktet bør åpnes for å stille spørsmål rundt ethvert forhold som kan være til hinder for den autorisertes sikkerhetsmessige skikkethet. Slike forhold kan eksempelvis være eget eller nærståendes tette bånd til fremmede stater, rus- eller økonomiproblemer mv. Med andre ord bør autorisasjonsansvarlige her ha hjemmel til å stille de samme spørsmålene som ved en autorisasjon til høyere nivåer.
Forskjellen på autorisasjonsnivåene bør heller ivaretas utfra vektingen av eventuelle negative forhold. Dvs. at en skal ha større grad av aksept for eventuelle negative forhold ved en autorisasjon for BEGRENSET, og ikke ved at muligheten til å stille spørsmål om enkelte slike forhold avgrenses i forskrift. Når ny forskrift er vedtatt, bør Nasjonal sikkerhetsmyndighet oppdatere sin veileder i autorisasjon (Autorisasjonshåndboka) og der tydeligere beskrive hvordan slik vekting skal gjøres.
NHN viser her til at sikkerhetsloven legger opp til at den enkelte virksomhet i større grad enn tidligere nå skal kunne gjøre vurderinger om egne verdier og sårbarheter. For én virksomhet, kan ansattes tilknytning til andre stater (sågar kanskje ett konkret land) være av mye større betydning enn eventuelle økonomiske problemer, mens det motsatte kan være tilfelle for en annen virksomhet. Det er derfor viktig at virksomhetene gis den fleksibilitet til å kunne stille de spørsmål som er relevante for å kunne ivareta egen sikkerhet.
Dersom forskriften skal gi hjemmel til innhenting av mange og sensitive (særskilte kategorier) personopplysninger, kan det kanskje være hensiktsmessig å åpne opp for at i enkelte egenopplysninger til en viss grad skal kunne gis i form av avkreftende opplysninger, og at dette kan "dempe" graden av inngrep i personvernet, men likevel gi tilstrekkelig informasjon.
NHN nevner for ordens skyld også at vi legger til grunn at autorisasjonsansvarlige i sin vurdering av en persons sikkerhetsmessige skikkethet kan benytte opplysninger som er fremkommet i bakgrunnssjekk utenfor sikkerhetslovens virkeområde.
Om presisering av varslingsplikten for autorisert personell
NHN støtter forslaget om at opplysningsplikten heretter skal gjelde for autorisert personell (og ikke sikkerhetsklarert og autorisert personell), samt at dette skal gjelde for alle nivåer.
Mulig behov for å koordinere regler i sikkerhetsloven med forskrifter med annet pågående regelverksarbeid
Det er nylig gjennomført en høringsprosess for regelverksendringer i helselovgivningen som blant annet gjelder krav om bakgrunnssjekk av personell i kritiske stillinger og funksjoner. Dette er en regulering for områder som faller utenfor sikkerhetslovens område. Endringene i høringsnotatet som gjelder sikkerhetsloven tar for seg det laveste graderingsområdet. Norsk helsenett har inntrykk av at de to reguleringene kan overlappe hva gjelder type personopplysninger og vurderinger. Lovgiver bør sikre koordinering mellom slike regelverk slik at det ikke oppstår forskjeller som er utilsiktet. Dersom helselovgivningens endringer vil gi en mer omfattende adgang til å hente inn og legge vekt på forskjellige personopplysninger enn man vil kunne gjøre ved en autorisering etter sikkerhetsloven, vil det være hensiktsmessig om forskjellene mellom regelverkene blir omtalt.
Andre merknader
Dersom departementet vurderer at behandlingen av personopplysninger vil gi høy personvernrisiko for de registrerte, ønsker Norsk helsenett at forholdet til DPIA-plikten belyses nærmere, og at departementet vil vurdere adgangen til å redegjøre for personvernkonsekvenser, slik at den enkelte behandlingsansvarlige (dataansvarlige) ikke får plikt til å gjennomføre egne DPIA-er. Vi viser her til personvernforordningen artikkel 35 nr 10.
Jostein Jensen divisjonsdirektør for sikkerhet Norsk helsenett
Jostein Jensen divisjonsdirektør for sikkerhet Norsk helsenett