Tydeligere vern av helsedata
Nyhet | Dato: 31.03.2026 | Helse- og omsorgsdepartementet
Nye regler som gjør det mulig å stanse deling av helsedata når det er nødvendig av hensyn til samfunnssikkerheten, trer i kraft 15. april. Samtidig skjerpes kravene til sikkerheten i digitale systemer i helse- og omsorgstjenesten.
Helse- og omsorgstjenesten er blitt mer digital, og trusselbildet er mer alvorlig enn før.
De vedtatte lovendringene skal redusere risikoen for at store helsedatasett eller sårbare digitale løsninger kan svekke viktige samfunnsfunksjoner og helse- og omsorgstjenestens evne til å levere trygge tjenester.
Bedre beskyttelse i en mer urolig tid
De nye reglene innebærer at helseopplysninger ikke skal gjøres tilgjengelige dersom deling kan true samfunnets evne til å verne grunnleggende verdier og funksjoner og sette liv og helse i fare. Det samme gjelder i enkelte tilfeller anonyme datasett.
Samtidig ligger hovedregelen fast: Helsedata skal fortsatt være tilgjengelige for forskning, analyse og andre viktige formål når vilkårene ellers er oppfylt. I proposisjonen Prop. 152 L (2024–2025) understrekes det at behovet for å begrense deling trolig vil gjelde noen få saker med tilgang til store datasett.
– Vi skal fortsatt bruke helsedata til forskning, analyse og utvikling av bedre tjenester. Men i en tid med større digital risiko, må vi også kunne skjerme data når deling kan true samfunnssikkerheten, sier helse- og omsorgsminister Jan Christian Vestre.
Strengere krav til digital sikkerhet
Loven skjerper også kravene til tekniske og organisatoriske sikkerhetstiltak i pasientjournalsystemer og helseregistre.
Virksomhetene skal gjennomføre risikovurderinger av nettverks- og informasjonssystemene de bruker, og sette inn tiltak for å forebygge, avdekke og redusere konsekvensene av skadelige hendelser.
Ved vurderingen av hva som er et forsvarlig sikkerhetsnivå, skal det blant annet tas hensyn til personvern, kritiske samfunnsfunksjoner, helse- og omsorgstjenestens evne til å ivareta sine oppgaver og den teknologiske utviklingen.
Politiattest for særskilt kritiske tilganger
Fra 15. april kan virksomhetene også kreve uttømmende og utvidet politiattest fra personer som skal ha privilegerte tilganger til nettverks- og informasjonssystemer.
Det gjelder tilganger med særlige rettigheter til administrative eller sensitive oppgaver, som tilgang til kritiske systemer, konfigurasjonsendringer og administrasjon av sikkerhetsinnstillinger.
Regelen gjelder ikke personell som allerede har slike tilganger når loven trer i kraft.