← Tilbake til stortingsforslag

Endringer i helselovgivningen (tilgjengeliggjøring av helsedata og krav til tekniske og organisatoriske sikkerhetstiltak)

Behandlet i registeret: 02.12.2025 Siste registrerte hendelse: 15.04.2026 Sak 103872 Vedtatt regjering
Se full dokumentasjon på Stortinget.no
Behandles av Helse- og omsorgskomiteen

Om saken

Helse- og omsorgsdepartementet foreslår endringer i pasientjournalloven, helseregisterloven og helsepersonelloven som svar på et skjerpet sikkerhetsrisikobilde. Formålet er å ivareta helse- og omsorgstjenestens oppgaver og personvernet ved å redusere risikoen for at kritiske samfunnsfunksjoner blir påvirket. Forslaget muliggjør begrenset deling av store datasett og oppdaterer kravene til tekniske og organisatoriske sikkerhetstiltak. Dette skal sikre at helsetjenesten kan fungere effektivt i møte med digitale trusler.
Hva ble bestemt
Stortinget har behandlet et lovforslag om endringer i pasientjournalloven, helseregisterloven og helsepersonelloven. Lovforslaget gir mulighet for å begrense deling av store sett med helsedata dersom det kan true kritiske samfunnsfunksjoner. Det foreslås også en plikt til å gjennomføre risikovurderinger av systemer der personopplysninger behandles. Stortinget vedtok lovendringen.

Behandlingsstatus

Fremmet 10.06.2025
Komitebehandling 23.10.2025
Første behandling 11.12.2025
Andre behandling 16.12.2025
Vedtatt som lov 22.12.2025

Status: Vedtatt

Tema

🏥 Helse

Politiske tagger

Partipolitiske tagger fra voteringer – grønn (FOR) eller rød (MOT) avhengig av hva som voteres over.

Økt satsning på forskning og innovasjon

Dokumenttekst

Sammendrag Sammendrag Her er en oppsummering av Prop. 152 L (2024–2025): * Regjeringen foreslår endringer i pasientjournalloven, helseregisterloven og helsepersonelloven for å styrke sikkerheten rundt helsedata som følge av en endret sikkerhetspolitisk situasjon og et skjerpet digitalt trusselbilde. * Det foreslås hjemmel for å begrense deling av store datasett med helseopplysninger for å hindre at trusselaktører får tilgang til informasjon som kan true samfunnssikkerheten, kritiske samfunnsfunksjoner eller liv og helse. * Lovforslaget definerer helsedata vidt, slik at det omfatter alle typer helseopplysninger uavhengig av om de er anonyme, direkte identifiserbare eller indirekte identifiserbare. * Ved vurdering av hva som er et forsvarlig sikkerhetsnivå for pasientjournaler og helseregistre, skal det heretter også tas hensyn til den teknologiske utviklingen og beskyttelse av kritiske samfunnsfunksjoner. * Forslaget om omfattende bakgrunnssjekk av personell er i hovedsak tatt ut av proposisjonen fordi dette ivaretas av sikkerhetsloven, men det foreslås en spesifikk hjemmel for innhenting av politiattest for enkelte funksjoner. * Departementet har justert begrepsbruken fra «nasjonale sikkerhetsinteresser» til fokus på «kritiske samfunnsfunksjoner» for å sikre at lovverket dekker alle forhold som truer helse- og omsorgstjenestens operative evne.

Voteringer i saken

Klikk på en votering for å vise resultatet per parti. Klikk igjen for å skjule.

Votering 1 – Forkastet

FOR
16
MOT
87
IKKE TIL STEDE / IKKE AVGITT
66
Delekort
Votering ID: 26534
Dato: 11.12.2025 kl. 15:37
Forslag nr. 2 fra Sosialistisk Venstreparti, Rødt
Vis forslagstekst

Stortinget ber regjeringen etablere fora og rutiner for dialog med medisinske og helsefaglige forskningsmiljøer og slik sikre at sikkerhetstiltak ikke blir til hinder for forskning og utvikling på helsefeltet.

Tagger på denne voteringen:
Økt satsning på forskning og innovasjon
Logg inn for å legge til tagger og stemme.

Voteringsresultat per parti

Votering 2 – Forkastet

FOR
48
MOT
55
IKKE TIL STEDE / IKKE AVGITT
66
Delekort
Votering ID: 26535
Dato: 11.12.2025 kl. 15:37
Forslag nr. 1 fra Fremskrittspartiet, Høyre
Vis forslagstekst

Stortinget ber regjeringen innen to år på egnet måte redegjøre for Stortinget for hvordan lov om endringer i helselovgivningen, jf. Prop. 152 L (2024–2025), fungerer, med særlig vekt på i hvilken grad begrenset tilgang til store helsedatasett hemmer forskning, medisinsk innovasjon og utvikling av nye behandlinger.

Tagger på denne voteringen:
Økt satsning på forskning og innovasjon
Logg inn for å legge til tagger og stemme.

Voteringsresultat per parti

Votering 3 – Enstemmig vedtatt

Delekort
Votering ID: 26536
Dato: 11.12.2025 kl. 15:38
Komiteens tilråding
Vis forslagstekst

om endringer i helselovgivningen (tilgjengeliggjøring av helsedata og krav til tekniske og organisatoriske sikkerhetstiltak)

I

I lov 2. juli 1999 nr. 64 om helsepersonell m.v. skal § 29 fjerde ledd nytt tredje punktum lyde:

Dersom tilgjengeliggjøring av opplysninger kan true samfunnets evne til å verne grunnleggende verdier og funksjoner og sette liv og helse i fare, skal opplysningene ikke gjøres tilgjengelig.

II

I lov 20. juni 2014 nr. 42 om behandling av helseopplysninger ved ytelse av helsehjelp gjøres følgende endringer:

§ 22 skal lyde:
§ 22 Tekniske og organisatoriske sikkerhetstiltak

Den dataansvarlige og databehandleren skal gjennomføre nødvendige tekniske og organisatoriske tiltak for å ivareta sikkerheten ved behandling av personopplysninger. Tiltakene skal være egnet med hensyn til risikoen ved behandlingen av personopplysningene, jf. personvernforordningen artikkel 32. Den dataansvarlige og databehandleren skal også gjennomføre risikovurderinger av nettverks- og informasjonssystemene som benyttes for å levere tjenester i henhold til denne loven.

Sikkerhetstiltakene skal være proporsjonale og tilpasset risikoen. Ved vurderingen av hva som er et forsvarlig sikkerhetsnivå, skal det tas hensyn til den enkeltes personvern, kritiske samfunnsfunksjoner, helse- og omsorgstjenestens evne til å ivareta sine oppgaver og den teknologiske utviklingen.

Den dataansvarlige og databehandleren skal iverksette tiltak for å forebygge, avdekke og redusere konsekvensene av skadelige hendelser. Dette omfatter tiltak som blant annet tilgangsstyring, logging og etterfølgende kontroll. Den dataansvarlige og databehandleren kan kreve uttømmende og utvidet politiattest, jf. politiregisterloven § 41 nr. 2, fra personer som skal ha privilegerte tilganger til nettverks- og informasjonssystemer.

Departementet kan i forskrift fastsette nærmere krav til tekniske og organisatoriske sikkerhetstiltak.

III

I lov 20. juni 2014 nr. 43 om helseregistre og behandling av helseopplysninger gjøres følgende endringer:

§ 19 nytt femte ledd skal lyde:

Plikten til å utarbeide statistikk etter andre og tredje ledd gjelder ikke dersom tilgjengeliggjøring av opplysningene kan true samfunnets evne til å verne grunnleggende verdier og funksjoner og sette liv og helse i fare.

§ 19 a nytt åttende ledd skal lyde:

Dersom tilgjengeliggjøring av helseopplysninger kan true samfunnets evne til å verne grunnleggende verdier og funksjoner og sette liv og helse i fare, skal opplysningene ikke gjøres tilgjengelig.

§ 19 b nytt andre ledd skal lyde:

Dersom tilgjengeliggjøring av helseopplysninger kan true samfunnets evne til å verne grunnleggende verdier og funksjoner og sette liv og helse i fare, skal opplysningene ikke gjøres tilgjengelig.

§ 19 e fjerde ledd første punktum skal lyde:

Det kan bare gis dispensasjon dersom tilgjengeliggjøringen er ubetenkelig ut fra etiske, medisinske og helsefaglige hensyn og ikke vil true samfunnets evne til å verne grunnleggende verdier og funksjoner og ikke sette liv og helse i fare.

§ 21 skal lyde:
§ 21 Tekniske og organisatoriske sikkerhetstiltak

Den dataansvarlige og databehandleren skal gjennomføre nødvendige tekniske og organisatoriske tiltak for å ivareta sikkerheten ved behandlingen av personopplysninger. Tiltakene skal være egnet med hensyn til risikoen ved behandlingen av personopplysningene, jf. personvernforordningen artikkel 32. I registre som er etablert med hjemmel i §§ 10 eller 11, skal navn, fødselsnummer og andre personidentifiserende kjennetegn lagres kryptert. Den dataansvarlige og databehandleren skal også gjennomføre risikovurderinger av nettverks- og informasjonssystemene som benyttes for å levere tjenester i henhold til denne loven.

Sikkerhetstiltakene skal være proporsjonale og tilpasset risikoen. Ved vurderingen av hva som er et forsvarlig sikkerhetsnivå, skal det tas hensyn til den enkeltes personvern, kritiske samfunnsfunksjoner, helse- og omsorgstjenestens evne til å ivareta sine oppgaver og den teknologiske utviklingen.

Den dataansvarlige og databehandleren skal iverksette tiltak for å forebygge, avdekke og redusere konsekvensene av skadelige hendelser. Dette omfatter tiltak som blant annet tilgangsstyring, logging og etterfølgende kontroll. Den dataansvarlige og databehandleren kan kreve uttømmende og utvidet politiattest, jf. politiregisterloven § 41 nr. 2, fra personer som skal ha privilegerte tilganger til nettverks- og informasjonssystemer.

Departementet kan i forskrift fastsette nærmere krav til tekniske og organisatoriske sikkerhetstiltak.

IV

Loven gjelder fra den tiden Kongen bestemmer. Kongen kan sette i kraft de enkelte bestemmelsene til forskjellig tid.

Tagger på denne voteringen:
Ingen tagger Logg inn for å legge til tagger og stemme.

Voteringsresultat per parti

Votering 4 – Enstemmig vedtatt

Delekort
Votering ID: 26537
Dato: 11.12.2025 kl. 15:38
Komiteens tilråding
Vis forslagstekst

om endringer i helselovgivningen (tilgjengeliggjøring av helsedata og krav til tekniske og organisatoriske sikkerhetstiltak)

I

I lov 2. juli 1999 nr. 64 om helsepersonell m.v. skal § 29 fjerde ledd nytt tredje punktum lyde:

Dersom tilgjengeliggjøring av opplysninger kan true samfunnets evne til å verne grunnleggende verdier og funksjoner og sette liv og helse i fare, skal opplysningene ikke gjøres tilgjengelig.

II

I lov 20. juni 2014 nr. 42 om behandling av helseopplysninger ved ytelse av helsehjelp gjøres følgende endringer:

§ 22 skal lyde:
§ 22 Tekniske og organisatoriske sikkerhetstiltak

Den dataansvarlige og databehandleren skal gjennomføre nødvendige tekniske og organisatoriske tiltak for å ivareta sikkerheten ved behandling av personopplysninger. Tiltakene skal være egnet med hensyn til risikoen ved behandlingen av personopplysningene, jf. personvernforordningen artikkel 32. Den dataansvarlige og databehandleren skal også gjennomføre risikovurderinger av nettverks- og informasjonssystemene som benyttes for å levere tjenester i henhold til denne loven.

Sikkerhetstiltakene skal være proporsjonale og tilpasset risikoen. Ved vurderingen av hva som er et forsvarlig sikkerhetsnivå, skal det tas hensyn til den enkeltes personvern, kritiske samfunnsfunksjoner, helse- og omsorgstjenestens evne til å ivareta sine oppgaver og den teknologiske utviklingen.

Den dataansvarlige og databehandleren skal iverksette tiltak for å forebygge, avdekke og redusere konsekvensene av skadelige hendelser. Dette omfatter tiltak som blant annet tilgangsstyring, logging og etterfølgende kontroll. Den dataansvarlige og databehandleren kan kreve uttømmende og utvidet politiattest, jf. politiregisterloven § 41 nr. 2, fra personer som skal ha privilegerte tilganger til nettverks- og informasjonssystemer.

Departementet kan i forskrift fastsette nærmere krav til tekniske og organisatoriske sikkerhetstiltak.

III

I lov 20. juni 2014 nr. 43 om helseregistre og behandling av helseopplysninger gjøres følgende endringer:

§ 19 nytt femte ledd skal lyde:

Plikten til å utarbeide statistikk etter andre og tredje ledd gjelder ikke dersom tilgjengeliggjøring av opplysningene kan true samfunnets evne til å verne grunnleggende verdier og funksjoner og sette liv og helse i fare.

§ 19 a nytt åttende ledd skal lyde:

Dersom tilgjengeliggjøring av helseopplysninger kan true samfunnets evne til å verne grunnleggende verdier og funksjoner og sette liv og helse i fare, skal opplysningene ikke gjøres tilgjengelig.

§ 19 b nytt andre ledd skal lyde:

Dersom tilgjengeliggjøring av helseopplysninger kan true samfunnets evne til å verne grunnleggende verdier og funksjoner og sette liv og helse i fare, skal opplysningene ikke gjøres tilgjengelig.

§ 19 e fjerde ledd første punktum skal lyde:

Det kan bare gis dispensasjon dersom tilgjengeliggjøringen er ubetenkelig ut fra etiske, medisinske og helsefaglige hensyn og ikke vil true samfunnets evne til å verne grunnleggende verdier og funksjoner og ikke sette liv og helse i fare.

§ 21 skal lyde:
§ 21 Tekniske og organisatoriske sikkerhetstiltak

Den dataansvarlige og databehandleren skal gjennomføre nødvendige tekniske og organisatoriske tiltak for å ivareta sikkerheten ved behandlingen av personopplysninger. Tiltakene skal være egnet med hensyn til risikoen ved behandlingen av personopplysningene, jf. personvernforordningen artikkel 32. I registre som er etablert med hjemmel i §§ 10 eller 11, skal navn, fødselsnummer og andre personidentifiserende kjennetegn lagres kryptert. Den dataansvarlige og databehandleren skal også gjennomføre risikovurderinger av nettverks- og informasjonssystemene som benyttes for å levere tjenester i henhold til denne loven.

Sikkerhetstiltakene skal være proporsjonale og tilpasset risikoen. Ved vurderingen av hva som er et forsvarlig sikkerhetsnivå, skal det tas hensyn til den enkeltes personvern, kritiske samfunnsfunksjoner, helse- og omsorgstjenestens evne til å ivareta sine oppgaver og den teknologiske utviklingen.

Den dataansvarlige og databehandleren skal iverksette tiltak for å forebygge, avdekke og redusere konsekvensene av skadelige hendelser. Dette omfatter tiltak som blant annet tilgangsstyring, logging og etterfølgende kontroll. Den dataansvarlige og databehandleren kan kreve uttømmende og utvidet politiattest, jf. politiregisterloven § 41 nr. 2, fra personer som skal ha privilegerte tilganger til nettverks- og informasjonssystemer.

Departementet kan i forskrift fastsette nærmere krav til tekniske og organisatoriske sikkerhetstiltak.

IV

Loven gjelder fra den tiden Kongen bestemmer. Kongen kan sette i kraft de enkelte bestemmelsene til forskjellig tid.

Tagger på denne voteringen:
Ingen tagger Logg inn for å legge til tagger og stemme.

Voteringsresultat per parti