Datatilsynet advarer sterkt mot nytt regime for bakgrunnssjekk i helsesektoren

Norsk helsenett SF, et statseid foretak for IT-driften i helsevesenet, konkluderte tidligere i år med at det er meget sannsynlig at fremmede stater ser på helsesektoren som et mål for spionasje.

«Det er sannsynlig at norsk helse- og kommunesektor vil treffes av angrep fra aktører som et ledd i det generelle arbeidet til statlige eller stats-sponsede etterretningstjenester», skrev de videre. Dette fikk regjeringen til å foreslå en lov som skal øke muligheten til å granske med tilgang til store mengder data i norsk helsesektor. Dette vil typisk være driftspersonell innen IT og sikkerhetspersonell, men også forskere, skrev Helse- og omsorgsdepartementet i høringsnotatet.

– Svært kritiske

Bakgrunnssjekken skal kunne omfatte opplysninger fra andre relevante offentlige registre. Det legges derfor opp til en fullstendig oppheving av de offentlige registrenes taushetsplikt dersom noen i helsesektoren, av en eller annen grunn, beslutter bakgrunnssjekk.

I dag går høringsfristen på forslaget ut, og av høringen fremgår det at Datatilsynet er sterkt uenig, slik forslaget det er i dag. Tilsynet skriver:

«Datatilsynet deler departementets syn på risikobildet og sikkerhetsutfordringene helse- og omsorgstjenesten står overfor.

Vi er likevel svært kritiske til hovedforslaget om krav om bakgrunnssjekk av personell og hvordan en slik bakgrunnssjekk skal foregå. Slik forslaget er utformet, er rammene for innhenting av personopplysninger etter vårt syn altfor vide. Dette gjelder uavhengig av om den det gjelder skal samtykke til at bakgrunnssjekk gjennomføres.»

Høy risiko

Datatilsynet kaller forslaget innebærer «et alvorlig inngrep i personvernet», og peker at folk kan bli utestengt fra jobber uten adgang til å klage på utfallet av bakgrunnssjekken.

«Hver dataansvarlig skal selv vurdere hvorvidt bakgrunnssjekk skal skje og eventuelt hvilke opplysninger som skal innhentes. Etter vårt syn, innebærer dette en iboende høy risiko for ulik praktisering av regelverket og innhenting av overskuddsinformasjon. Den dataansvarlige får også et stort, selvstendig ansvar for å gjøre sikkerhetsmessige vurderinger av opplysninger fra ulike kilder», skriver tilsynet.

Tilsynet mener dessuten at det må settes rammer i direkte loven for hvilke type registre det kan hentes fra. Lovforslaget legger opp til at dette skal gjøres i forskrift.

«Det svekker den demokratiske kontrollen med forslaget, og det gir heller ikke den fullstendige oversikten over hvor stort personverninngrepet faktisk er. Som nevnt over, er det også en stor svakhet ved forslaget at bakgrunnssjekk, og innholdet i bakgrunnssjekken, skal besluttes av den enkelte dataansvarlige. Etter vårt syn, bør ikke en slik ordning tre i kraft før en sentralisert enhet for bakgrunnssjekk er operativ», skriver tilsynet.

Hele høringen finner du her.