← Tilbake til stortingsforslag

Endringer i helselovgivningen (tilgjengeliggjøring av helsedata og krav til tekniske og organisatoriske sikkerhetstiltak)

Behandlet 02.12.2025 Sak 103872 behandlet lovsak
Se full dokumentasjon på Stortinget.no
Helse- og omsorgskomiteen
Voteringer
4
Tagger
1
Status
behandlet

Tagger på saken

Felles tagger for saken. Uten votering vises hovedsak-tagger. Med votering speiler disse taggene på voteringene.

Økt satsning på forskning og innovasjon

Dokumenttekst

Sammendrag Her er en oppsummering av Prop. 152 L (2024–2025): * Regjeringen foreslår endringer i pasientjournalloven, helseregisterloven og helsepersonelloven for å styrke sikkerheten rundt helsedata som følge av en endret sikkerhetspolitisk situasjon og et skjerpet digitalt trusselbilde. * Det foreslås hjemmel for å begrense deling av store datasett med helseopplysninger for å hindre at trusselaktører får tilgang til informasjon som kan true samfunnssikkerheten, kritiske samfunnsfunksjoner eller liv og helse. * Lovforslaget definerer helsedata vidt, slik at det omfatter alle typer helseopplysninger uavhengig av om de er anonyme, direkte identifiserbare eller indirekte identifiserbare. * Ved vurdering av hva som er et forsvarlig sikkerhetsnivå for pasientjournaler og helseregistre, skal det heretter også tas hensyn til den teknologiske utviklingen og beskyttelse av kritiske samfunnsfunksjoner. * Forslaget om omfattende bakgrunnssjekk av personell er i hovedsak tatt ut av proposisjonen fordi dette ivaretas av sikkerhetsloven, men det foreslås en spesifikk hjemmel for innhenting av politiattest for enkelte funksjoner. * Departementet har justert begrepsbruken fra «nasjonale sikkerhetsinteresser» til fokus på «kritiske samfunnsfunksjoner» for å sikre at lovverket dekker alle forhold som truer helse- og omsorgstjenestens operative evne.

Voteringer i saken

Klikk på en votering for å vise resultatet per parti. Klikk igjen for å skjule.

Votering 1 – Forkastet

FOR
16
MOT
87
IKKE TIL STEDE / IKKE AVGITT
66
Votering ID: 26534
Forslag nr. 2 fra Sosialistisk Venstreparti, Rødt
Vis forslagstekst

Stortinget ber regjeringen etablere fora og rutiner for dialog med medisinske og helsefaglige forskningsmiljøer og slik sikre at sikkerhetstiltak ikke blir til hinder for forskning og utvikling på helsefeltet.

Tagger på denne voteringen:
Økt satsning på forskning og innovasjon
Logg inn for å legge til tagger og stemme.

Voteringsresultat per parti

Votering 2 – Forkastet

FOR
48
MOT
55
IKKE TIL STEDE / IKKE AVGITT
66
Votering ID: 26535
Forslag nr. 1 fra Fremskrittspartiet, Høyre
Vis forslagstekst

Stortinget ber regjeringen innen to år på egnet måte redegjøre for Stortinget for hvordan lov om endringer i helselovgivningen, jf. Prop. 152 L (2024–2025), fungerer, med særlig vekt på i hvilken grad begrenset tilgang til store helsedatasett hemmer forskning, medisinsk innovasjon og utvikling av nye behandlinger.

Tagger på denne voteringen:
Økt satsning på forskning og innovasjon
Logg inn for å legge til tagger og stemme.

Voteringsresultat per parti

Votering 3 – Enstemmig vedtatt

Votering ID: 26536
Komiteens tilråding
Vis forslagstekst

om endringer i helselovgivningen (tilgjengeliggjøring av helsedata og krav til tekniske og organisatoriske sikkerhetstiltak)

I

I lov 2. juli 1999 nr. 64 om helsepersonell m.v. skal § 29 fjerde ledd nytt tredje punktum lyde:

Dersom tilgjengeliggjøring av opplysninger kan true samfunnets evne til å verne grunnleggende verdier og funksjoner og sette liv og helse i fare, skal opplysningene ikke gjøres tilgjengelig.

II

I lov 20. juni 2014 nr. 42 om behandling av helseopplysninger ved ytelse av helsehjelp gjøres følgende endringer:

§ 22 skal lyde:
§ 22 Tekniske og organisatoriske sikkerhetstiltak

Den dataansvarlige og databehandleren skal gjennomføre nødvendige tekniske og organisatoriske tiltak for å ivareta sikkerheten ved behandling av personopplysninger. Tiltakene skal være egnet med hensyn til risikoen ved behandlingen av personopplysningene, jf. personvernforordningen artikkel 32. Den dataansvarlige og databehandleren skal også gjennomføre risikovurderinger av nettverks- og informasjonssystemene som benyttes for å levere tjenester i henhold til denne loven.

Sikkerhetstiltakene skal være proporsjonale og tilpasset risikoen. Ved vurderingen av hva som er et forsvarlig sikkerhetsnivå, skal det tas hensyn til den enkeltes personvern, kritiske samfunnsfunksjoner, helse- og omsorgstjenestens evne til å ivareta sine oppgaver og den teknologiske utviklingen.

Den dataansvarlige og databehandleren skal iverksette tiltak for å forebygge, avdekke og redusere konsekvensene av skadelige hendelser. Dette omfatter tiltak som blant annet tilgangsstyring, logging og etterfølgende kontroll. Den dataansvarlige og databehandleren kan kreve uttømmende og utvidet politiattest, jf. politiregisterloven § 41 nr. 2, fra personer som skal ha privilegerte tilganger til nettverks- og informasjonssystemer.

Departementet kan i forskrift fastsette nærmere krav til tekniske og organisatoriske sikkerhetstiltak.

III

I lov 20. juni 2014 nr. 43 om helseregistre og behandling av helseopplysninger gjøres følgende endringer:

§ 19 nytt femte ledd skal lyde:

Plikten til å utarbeide statistikk etter andre og tredje ledd gjelder ikke dersom tilgjengeliggjøring av opplysningene kan true samfunnets evne til å verne grunnleggende verdier og funksjoner og sette liv og helse i fare.

§ 19 a nytt åttende ledd skal lyde:

Dersom tilgjengeliggjøring av helseopplysninger kan true samfunnets evne til å verne grunnleggende verdier og funksjoner og sette liv og helse i fare, skal opplysningene ikke gjøres tilgjengelig.

§ 19 b nytt andre ledd skal lyde:

Dersom tilgjengeliggjøring av helseopplysninger kan true samfunnets evne til å verne grunnleggende verdier og funksjoner og sette liv og helse i fare, skal opplysningene ikke gjøres tilgjengelig.

§ 19 e fjerde ledd første punktum skal lyde:

Det kan bare gis dispensasjon dersom tilgjengeliggjøringen er ubetenkelig ut fra etiske, medisinske og helsefaglige hensyn og ikke vil true samfunnets evne til å verne grunnleggende verdier og funksjoner og ikke sette liv og helse i fare.

§ 21 skal lyde:
§ 21 Tekniske og organisatoriske sikkerhetstiltak

Den dataansvarlige og databehandleren skal gjennomføre nødvendige tekniske og organisatoriske tiltak for å ivareta sikkerheten ved behandlingen av personopplysninger. Tiltakene skal være egnet med hensyn til risikoen ved behandlingen av personopplysningene, jf. personvernforordningen artikkel 32. I registre som er etablert med hjemmel i §§ 10 eller 11, skal navn, fødselsnummer og andre personidentifiserende kjennetegn lagres kryptert. Den dataansvarlige og databehandleren skal også gjennomføre risikovurderinger av nettverks- og informasjonssystemene som benyttes for å levere tjenester i henhold til denne loven.

Sikkerhetstiltakene skal være proporsjonale og tilpasset risikoen. Ved vurderingen av hva som er et forsvarlig sikkerhetsnivå, skal det tas hensyn til den enkeltes personvern, kritiske samfunnsfunksjoner, helse- og omsorgstjenestens evne til å ivareta sine oppgaver og den teknologiske utviklingen.

Den dataansvarlige og databehandleren skal iverksette tiltak for å forebygge, avdekke og redusere konsekvensene av skadelige hendelser. Dette omfatter tiltak som blant annet tilgangsstyring, logging og etterfølgende kontroll. Den dataansvarlige og databehandleren kan kreve uttømmende og utvidet politiattest, jf. politiregisterloven § 41 nr. 2, fra personer som skal ha privilegerte tilganger til nettverks- og informasjonssystemer.

Departementet kan i forskrift fastsette nærmere krav til tekniske og organisatoriske sikkerhetstiltak.

IV

Loven gjelder fra den tiden Kongen bestemmer. Kongen kan sette i kraft de enkelte bestemmelsene til forskjellig tid.

Tagger på denne voteringen:
Ingen tagger Logg inn for å legge til tagger og stemme.

Voteringsresultat per parti

Votering 4 – Enstemmig vedtatt

Votering ID: 26537
Komiteens tilråding
Vis forslagstekst

om endringer i helselovgivningen (tilgjengeliggjøring av helsedata og krav til tekniske og organisatoriske sikkerhetstiltak)

I

I lov 2. juli 1999 nr. 64 om helsepersonell m.v. skal § 29 fjerde ledd nytt tredje punktum lyde:

Dersom tilgjengeliggjøring av opplysninger kan true samfunnets evne til å verne grunnleggende verdier og funksjoner og sette liv og helse i fare, skal opplysningene ikke gjøres tilgjengelig.

II

I lov 20. juni 2014 nr. 42 om behandling av helseopplysninger ved ytelse av helsehjelp gjøres følgende endringer:

§ 22 skal lyde:
§ 22 Tekniske og organisatoriske sikkerhetstiltak

Den dataansvarlige og databehandleren skal gjennomføre nødvendige tekniske og organisatoriske tiltak for å ivareta sikkerheten ved behandling av personopplysninger. Tiltakene skal være egnet med hensyn til risikoen ved behandlingen av personopplysningene, jf. personvernforordningen artikkel 32. Den dataansvarlige og databehandleren skal også gjennomføre risikovurderinger av nettverks- og informasjonssystemene som benyttes for å levere tjenester i henhold til denne loven.

Sikkerhetstiltakene skal være proporsjonale og tilpasset risikoen. Ved vurderingen av hva som er et forsvarlig sikkerhetsnivå, skal det tas hensyn til den enkeltes personvern, kritiske samfunnsfunksjoner, helse- og omsorgstjenestens evne til å ivareta sine oppgaver og den teknologiske utviklingen.

Den dataansvarlige og databehandleren skal iverksette tiltak for å forebygge, avdekke og redusere konsekvensene av skadelige hendelser. Dette omfatter tiltak som blant annet tilgangsstyring, logging og etterfølgende kontroll. Den dataansvarlige og databehandleren kan kreve uttømmende og utvidet politiattest, jf. politiregisterloven § 41 nr. 2, fra personer som skal ha privilegerte tilganger til nettverks- og informasjonssystemer.

Departementet kan i forskrift fastsette nærmere krav til tekniske og organisatoriske sikkerhetstiltak.

III

I lov 20. juni 2014 nr. 43 om helseregistre og behandling av helseopplysninger gjøres følgende endringer:

§ 19 nytt femte ledd skal lyde:

Plikten til å utarbeide statistikk etter andre og tredje ledd gjelder ikke dersom tilgjengeliggjøring av opplysningene kan true samfunnets evne til å verne grunnleggende verdier og funksjoner og sette liv og helse i fare.

§ 19 a nytt åttende ledd skal lyde:

Dersom tilgjengeliggjøring av helseopplysninger kan true samfunnets evne til å verne grunnleggende verdier og funksjoner og sette liv og helse i fare, skal opplysningene ikke gjøres tilgjengelig.

§ 19 b nytt andre ledd skal lyde:

Dersom tilgjengeliggjøring av helseopplysninger kan true samfunnets evne til å verne grunnleggende verdier og funksjoner og sette liv og helse i fare, skal opplysningene ikke gjøres tilgjengelig.

§ 19 e fjerde ledd første punktum skal lyde:

Det kan bare gis dispensasjon dersom tilgjengeliggjøringen er ubetenkelig ut fra etiske, medisinske og helsefaglige hensyn og ikke vil true samfunnets evne til å verne grunnleggende verdier og funksjoner og ikke sette liv og helse i fare.

§ 21 skal lyde:
§ 21 Tekniske og organisatoriske sikkerhetstiltak

Den dataansvarlige og databehandleren skal gjennomføre nødvendige tekniske og organisatoriske tiltak for å ivareta sikkerheten ved behandlingen av personopplysninger. Tiltakene skal være egnet med hensyn til risikoen ved behandlingen av personopplysningene, jf. personvernforordningen artikkel 32. I registre som er etablert med hjemmel i §§ 10 eller 11, skal navn, fødselsnummer og andre personidentifiserende kjennetegn lagres kryptert. Den dataansvarlige og databehandleren skal også gjennomføre risikovurderinger av nettverks- og informasjonssystemene som benyttes for å levere tjenester i henhold til denne loven.

Sikkerhetstiltakene skal være proporsjonale og tilpasset risikoen. Ved vurderingen av hva som er et forsvarlig sikkerhetsnivå, skal det tas hensyn til den enkeltes personvern, kritiske samfunnsfunksjoner, helse- og omsorgstjenestens evne til å ivareta sine oppgaver og den teknologiske utviklingen.

Den dataansvarlige og databehandleren skal iverksette tiltak for å forebygge, avdekke og redusere konsekvensene av skadelige hendelser. Dette omfatter tiltak som blant annet tilgangsstyring, logging og etterfølgende kontroll. Den dataansvarlige og databehandleren kan kreve uttømmende og utvidet politiattest, jf. politiregisterloven § 41 nr. 2, fra personer som skal ha privilegerte tilganger til nettverks- og informasjonssystemer.

Departementet kan i forskrift fastsette nærmere krav til tekniske og organisatoriske sikkerhetstiltak.

IV

Loven gjelder fra den tiden Kongen bestemmer. Kongen kan sette i kraft de enkelte bestemmelsene til forskjellig tid.

Tagger på denne voteringen:
Ingen tagger Logg inn for å legge til tagger og stemme.

Voteringsresultat per parti