Legeforeningen viser til høringsbrev fra Justis- og beredskapsdepartementet om utkast til lov som gjennomfører EUs direktiv om sikkerhet i nettverk og informasjonssystemer (NIS-direktivet) i norsk rett og til NOU 2018: 14 IKT-sikkerhet i alle ledd. Legeforeningens uttalelse begrenser seg til helsesektoren.
Overordnet vurderer Legeforeningen at høringsforslagene er fornuftige og gir sin tilslutning til forslagene, men med de merknader som fremkommer nedenfor.
Legeforeningen vil særlig peke på at rekkevidden til lovforslaget fremstår som uklar. Det er flere vilkår i forslag til lovtekst som departementet skriver at vil bli nærmere utdypet gjennom forskrift eller gjennom mer konkrete vilkår som skal utarbeides av Nasjonal sikkerhetsmyndighet. Legeforeningen er derfor usikker på hvilken innvirkning lovforslaget vil ha på helsesektoren.
Vi ser at departementet anslår at kun 40-50 av totalt 17000 helsevirksomheter vil omfattes av lovforslaget. Det er imidlertid uklart om for eksempel små legevirksomheter, herunder fastlegekontorer og avtalespesialister, som benytter samme datasystem for pasientjournaler, vil anses som én enhet og dermed kunne risikere å bli omfattet av loven. Som et konkret eksempel vises til Helseplattformen i Helse Midt-Norge.
Små legevirksomheter som fastleger og avtalespesialister står for en stor del av aktiviteten i norsk helsetjeneste. Nærmest alle bruker elektronisk pasientjournal (EPJ), tilbyr digitale tjenester til pasienter og kommuniserer elektroniske via Norsk helsenett. De små virksomhetene har begrensede ressurser til administrasjon og forvaltning av IKT-systemer. Alle er forpliktet til å følge kravene til informasjonssikkerhet oppstilt i Norm for informasjonssikkerhet i helsetjenesten og gjør det i dag. Det er fra Legeforeningens side forventet en gradvis overgang til at flere går over til skybaserte EPJ de nærmeste årene.
Dersom kravene til IKT-sikkerhet vil gjelde for små virksomheter, er det sentralt at kravene er proporsjonale med virksomhetens størrelse og aktivitet, slik som foreslått. Legeforeningens vurdering er derfor at kravene må være på et slikt nivå teknisk og kostnadsmessig at små legevirksomheter har en praktisk mulighet til å gjennomføre lovpålagte tiltak.
Det finnes allerede en betydelig sikring av pasientopplysninger innenfor dagens regelverk. Dette være seg helseopplysninger til enkeltpersoner gjennom pasientjournalloven, registerdata for forskning og kvalitetsforbedring gjennom helseregisterloven og gjennom helseberedskapsloven som skal sørge for at nødvendig informasjon er tilgjengelig under krig, kriser og katastrofer. Tilsyn med helse- og omsorgstjenestene skjer gjennom helsetilsynsloven og Statens helsetilsyn. Ved en utvidelse av dagens regelverk mener Legeforeningen at det er av betydning at IKT-sikkerhet ikke går på bekostning av pasientsikkerhet og den tilgang til informasjon og data som er essensielt for behandlere og forskere i deres arbeidsutførelse.
Det er også i dag et betydelig etterslep på digitale løsninger i sykehusene. Kravene til datasikkerhet må være så store at pasientene er sikre på at dataene om dem ikke kommer uvedkommende i hende, samtidig som helsepersonell må oppleve god funksjonalitet og nødvendig tilgang til relevante opplysninger.
Med hilsen
Den norske legeforening
Geir Riise
Generalsekretær
Lars Duvaland
Avd.direktør/advokat
Saksbehandler: Cecilie Hallan