Aktiver Javascript i din nettleser for en bedre opplevelse på regjeringen.no

Høringssvar fra Direktoratet for e-helse

Dato: 12.02.2019

Svartype: Med merknad

Direktoratet for e-helse sitt høringssvar til forslag til ny lov om etterretningstjenesten


Direktoratet for e-helse er opptatt av hvordan lovforslaget påvirker elektronisk kommunikasjon i helsesektoren i Norge. Lovforslaget beskriver hvordan grensekryssende elektronisk kommunikasjon med flere virkemidler skal kunne fanges opp av etterretningstjenesten.

Direktoratet for e-helse støtter lovforslagets motivasjon om å sikre og beskytte norsk infrastruktur og systemer mot uønskede angrep og inntrengingsforsøk. Også helsesektoren er utsatt, og har blitt rammet. Etterretningstjenesten har et legitimt behov for å fremskaffe tilstrekkelig informasjon til å utøve sitt mandat og funksjon.

Direktoratet for e-helse mener videre at dette bør gjennomføres med minst mulig inngrep i fortrolig kommunikasjon mellom pasient og behandler. Det å formidle helsehjelp forutsetter høy tillit mellom pasient og behandler, samt spesifikke pasientgrupper og institusjonene som yter helsehjelpen. Denne tilliten må søkes opprettholdt, og bør heller styrkes enn utfordres. All elektronisk kommunikasjon som finner sted når en pasient benytter digitale tjenester som tilbys av helsesektoren i Norge, vil kunne være grensekryssende. Når en pasient logger seg på tjenesten Helsenorge.no eller benytter en av de mange nettsidene til helsetilbydere, er internetts grunnleggende infrastruktur bærer av kommunikasjonen.

Norsk Helsenett (NHN) formidler elektronisk kommunikasjon via Helsenettet, et eget lukket og sikret nett som benyttes av et stort antall helseaktører i Norge i dag. Kommunikasjon over Helsenettet er i stor grad kommunikasjon mellom behandlere av pasienter og mellom behandlere og deres systemer. Systemene befinner seg normalt på forskjellige geografiske steder. Helsenettet medfører dermed også grensekryssende elektronisk kommunikasjon. Siden NHN benytter en kommersiell EKOM-aktør som leverandør av infrastruktur, vil tilretteleggingsplikten som EKOM-leverandørene blir gjenstand for i lovforslaget også berøre Helsenettet.

Direktoratet for e-helse har derfor følgende kommentarer til høringsnotatet:

Tilretteleggingsplikt og domstolskontroll

Tilrettelagt innhenting av grensekryssende elektronisk kommunikasjon foreslås regulert med domstolskontroll (Oslo Tingrett) der retten kan oppstille vilkår i kjennelsen, og kjennelsen skal begrunnes.

Når det forutsettes at EKOM-leverandørene tilrettelegger for innhenting av slik grensekryssende elektronisk kommunikasjon bør trafikk over Helsenettet filtreres bort. Dette er på ingen måte teknisk komplisert, og vil imøtekomme det særskilte konfidensialitetsbehovet som pasient/behandler og behandler/behandler-kommunikasjon er avhengig av. Dersom etterretningstjenesten mener at det er maktpåliggende å innhente grensekryssende kommunikasjon også fra Helsenettet, bør dette medføre en særskilt forhåndsgodkjennelse av domstolen. Dette vil gi retten mulighet til å oppstille særlige vilkår og begrunnelse for nettopp denne innhentingsaktiviteten. Det vil gi etterretningstjenesten økt legitimitet at en særskilt domstolsbehandling må gjennomføres når det først oppleves som maktpåliggende å trenge inn i den fortrolige elektroniske dialogen over Helsenettet.

Når det gjelder annen elektronisk pasient/behandler-kommunikasjon over internett, som ikke går over Helsenettet, og som også kan være grensekryssende, vil beslutning av sjefen for etterretningstjenesten kunne være tilstrekkelig for å tilsidesette den fortrolige kommunikasjonen. Det forutsetter en generell forutgående domstols kjennelse, og at etterkontroll av vurderingene som er gjort blir mulig.

Nytteverdi

Når dette er sagt understrekes det at pasientinformasjon over Helsenettet er kryptert. Digitale tjenester som pasienter bruker med internett som bærer har også ende-til-ende-kryptering. Direktoratet for e-helse stiller spørsmål ved den reelle nytteverdien av å innhente slik kryptert kommunikasjon, og kan ikke se at denne er sannsynliggjort i tilstrekkelig grad i høringsnotatet. Det stilles spørsmål ved om tiltaket er forholdsmessig.

Formålsglidning

Direktoratet for e-helse er opptatt av at de nye registrene etterretningstjenesten etablerer ikke blir gjenstand for formålsglidning, og støtter de strenge tiltakene som høringsnotatet beskriver for å redusere denne risikoen. Samtidig er dette et område lovforslaget kan ta videre, ikke minst i hvordan overskuddsinformasjon håndteres.

Nedkjølingseffekter

Høringsnotatet har ikke utredet hensynet til potensielle nedkjølingseffekter. Det foreligger lite kunnskap om dette. Direktoratet for e-helse anbefaler at temaet utredes nærmere. Vi er spesielt opptatt av sektorspesifikke nedkjølingseffekter. Plausible risikoscenarier eksisterer, der pasienter eller pårørende kvier seg for å oppsøke helsehjelp eller bruke digitale helsetjenester fordi tilliten til at helsetjenesten kan bevare konfidensialitet reduseres når etterretningstjenesten har potensiell systematisk tilgang til kommunikasjonen. Direktoratet for e-helse deltar gjerne i et slikt utredningsarbeid, med den hensikt å avdekke risiko og identifisere risikoreduserende tiltak.

Det vises for øvrig til Direktoratet for e-helses høringssvar til Lysne II-utvalgets rapport om digitalt grenseforsvar.

Vedlegg

Til toppen