AktueltI dag trer endringer i helselovgivningen i kraft - Samfunnssikkerhet setter nye rammer for tilgjengeliggjøring av helsedata

I dag trer endringer i helselovgivningen i kraft - Samfunnssikkerhet setter nye rammer for tilgjengeliggjøring av helsedata

Stortingets vedtatte lovendringer i pasientjournalloven, helseregisterloven og helsepersonelloven trer i kraft i dag, 15. april 2026. Endringene etablerer en tydelig hjemmel for å begrense deling av helsedata av hensyn til samfunnssikkerhet, samtidig som kravene til tekniske og organisatoriske sikkerhetstiltak utvides fra et rent personvernfokus til også å omfatte kritiske samfunnsfunksjoner og virksomhetens samlede risikobilde.

Samfunnssikkerhet som begrensning for tilgjengeliggjøring av helsedata

Lovendringene må forstås i lys av et mer alvorlig og sammensatt trusselbilde, hvor digitalisering av helsesektoren og økt bruk av avansert analyse og kunstig intelligens har utvidet re-identifiseringsrisiko og dermed skadepotensialet også for datasett som tidligere ikke har vært ansett som sensitive.

Kjernen i regelendringen er et forhøyet sikkerhetsperspektiv hvor helsedata ikke skal gjøres tilgjengelig dersom deling kan "true samfunnets evne til å verne grunnleggende verdier og funksjoner eller sette liv og helse i fare". Dette gjelder også for store datasett med anonyme eller indirekte identifiserbare opplysninger, som statistikk.

Lovendringene er ikke ment som et generelt brudd med prinsippet om datadeling. Tvert imot presiseres det i proposisjonen at tilgjengeliggjøring fortsatt er hovedregelen, særlig for forskning og analyse når de øvrige vilkårene er oppfylt. Endringen ligger i at samfunnssikkerhet nå etableres som et selvstendig og tungtveiende vurderingstema ved deling, som i enkelte tilfeller kan overstyre hjemler for deling.

Utvidet vurdering av forsvarlig sikkerhetsnivå

De tidligere bestemmelsene i pasientjournalloven § 22 og helseregisterloven § 21 gjennomførte i hovedsak EUs personvernforordning (GDPR) artikkel 32, med krav om risikobaserte tekniske og organisatoriske tiltak, herunder tilgangsstyring, logging og etterfølgende kontroll. Disse grunnleggende kravene videreføres.

Lovendringene innebærer at bestemmelsene utvides til også å omfatte andre sikkerhetsutfordringer enn personopplysningssikkerhet. Vurderingen av "forsvarlig sikkerhetsnivå" skal, i tillegg til "den enkeltes personvern", nå eksplisitt også ta hensyn til "kritiske samfunnsfunksjoner, helse- og omsorgstjenestens evne til å ivareta sine oppgaver og den teknologiske utviklingen". I tillegg presiseres en plikt til å gjennomføre risikovurderinger av nettverks- og informasjonssystemene som benyttes i selve tjenesteleveransen.

Endringene innebærer dermed en dreining fra et rent personvernfokusert sikkerhetskrav til et bredere, mer helhetlig sikkerhetsperspektiv, og nærmer seg dermed strukturen i digitalsikkerhetsloven og tilhørende forskrift, særlig ved at risikovurderinger må ses i lys av virksomhetens samlede risikobilde, inkludert system- og samfunnssikkerhet.

For berørte virksomheter innebærer dette at hensyn til systemrisiko og samfunnssikkerhet må inngå i vurderingene av både tilgjengeliggjøring og sikring av helsedata. Dette forutsetter at eksisterende styringssystemer for informasjonssikkerhet, herunder rutiner for deling av helsedata, oppdateres til å reflektere et bredere risikobilde.

Kontaktpersoner

Kontaktpersoner