Dato: 01.10.2024 Svartype: Med merknad Høringsuttalelse fra Universitetet i Bergen om krav om bakgrunnssjekk Universitetet i Bergen viser til høringsbrev av 24 juni 2024, om krav om bakgrunnssjekk av personell i kritiske stillinger og funksjoner, og begrenset deling av store datasett – endringer i helselovgivningen. Vi takker for muligheten til å komme med innspill. Universitetet i Bergen har følgende kommentarer og innspill: 1. Innledning - oppsummering Med bakgrunn i en mer kompleks sikkerhetspolitisk situasjon, øker behovet for å ivareta nasjonal sikkerhet og kontroll med egne data også i Norge. Universitetet i Bergen ser at dette kan kreve en tydeligere hjemmel i lovgivning for å kunne gjennomføre bakgrunnssjekk ved behandling og eventuell utlevering av helseopplysninger. Samtidig er åpenhet og kunnskapsdeling en forutsetning for forskning. Med åpen forskning endres måten forskningen utføres, deles og vurderes på slik at potensialet for høy kvalitet og verdiskapning i samfunnet øker. Dette er en ønsket situasjon fra regjeringen og Forskningsrådet. I tillegg til deling av data, omhandler politikken rundt åpen forskning også åpen deling av programvare og analyseverktøy. Mye av dette er laget av individuelle forskere/utviklere som kommer fra forskjellige deler av verden. De foreslåtte endringene i helselovginingen vil kunne blokkere for deler av denne åpne forskningen ved at det blir vanskeligere å dele data og rekruttere internasjonalt. Høringsdokumentet inneholder flere uklare definisjoner. De foreslåtte reglene medfører dermed en rekke uavklarte spørsmål av både prinsipiell karakter og av mer praktisk art. Det er krevende å vurdere konsekvensene når begrep som «store datasett» og «som kan ha betydning for nasjonale sikkerhetsinteresser» kan tolkes på ulike måter. De foreslåtte endringene vil kunne få flere konsekvenser for både studenter på helseutdanninger, våre forskere, utviklere/programmerere og IT-personell. Det er viktig med tydelige retningslinjer og avklaringer rundt det nye regelverket, slik at det blir enkelt for våre studenter og ansatte samt for helseforetak å forholde seg til. Det er behov for tydeligere definisjoner og avgrensninger for å ikke å ramme unødvendig bredt i forståelse og praktisk håndtering av lovgivingen. 2. Uklare definisjoner Det er uklart hva som defineres som "store datasett" i lovforslaget, noe som skaper forvirring om hvilke datasett som faktisk omfattes av regelverket. Det er viktig med en tydelig definisjon for å unngå at tilgangen til viktige forskningsdata og annen pasientinformasjon blir unødvendig begrenset – både for studenter og ansatte. Et eksempel er hvis Elektronisk Pasientjournal (EPJ) tolkes som et "stort datasett", kan det føre til krav om bakgrunnssjekk for alle studenter som skal ut i praksis i sykehus, apotek eller ved fastlegekontor o.l. Studenter som ikke består bakgrunnssjekken, risikerer å ikke få tilgang til EPJ og dermed ikke kunne gjennomføre en fullverdig praksis. Uten godkjent praksis kan de ikke fullføre studiet, noe som kan føre til diskriminering av enkelte studentgrupper. I høringsnotat defineres store datasett som “ [...] datasett som alene eller sammen med andre datasett, sier noe om en befolkningsgruppe ”. Dette er en definisjon som vil kunne omfatte det aller meste av biomedisinsk forskning på mer enn noen få personer. Det er allerede i dag krevende å benytte sensitive data grunnet eksisterende lovgivning, både nasjonal og europeisk, sammen med lokale fortolkninger av regelverk. Med den sterke utviklingen av presisjonsmedisin vil grensen mellom forskning og behandling i stadig større grad utviskes, med stadig økende sekundærbruk av data. Videre vil også bruk av KI vanskeliggjøres med denne type lovregulering, fordi sammenstilling av data er en nødvendig forutsetning for læringsprosesser ved KI. Forslaget vil derfor også på denne bakgrunn være svært inngripende for norsk forskning, og vil potensielt være til stor hinder for den frie forskning som tilstrebes. Vi mener et nødvendig minimum må være å tydeligere definere grensene for hva som utgjør slike sensitive datasett, samt at det er helt nødvendig å detaljere hvilke typer data som vil utløse de foreslåtte tiltak. Dette kan gjøres ved å etablere en gruppe med både jurister og eksperter på ulike typer helsedata, som skal gi råd og sikre at lovgivingen ikke rammer unødvendig bredt. Vi ser i denne sammenheng også behovet for en begrepsavklaring av begrepet «mottaker» i foreslåtte lovtekst. Dersom det blir behov for bakgrunnssjekk ved utlevering av store datasett med helseopplysninger, står det formulert at dette skal gjøres av mottaker. Dersom en forsker skal ha utlevert et stor sett med helsedata og blir gjenstand for bakgrunnssjekk, vil det også fra et sikkerhetsmessig ståsted være behov for å ha kontroll med resten av kjeden som eventuelt vil kunne få tilgang til disse opplysningene. Dette vil potensielt gjelde intern IT-avdeling som gjerne drifter plattformer for lagring og prosessering av data, eventuelle leverandører som får tilgang og eventuelle forskingssamarbeidspartnere i det aktuelle forskningsprosjektet som ber om utlevering av disse datasettene. Det er behov for en tydeligere definisjon av hva som legges i begrepet «mottaker», og som tas direkte inn i lovteksten som en definisjon. Forslag til nye formuleringer i Helseregisterloven ( § 21a Bakgrunnssjekk) omtaler elementer en bakgrunnssjekk skal inneholde, samt eksempler på hva annet den kan inneholde. Det er dermed for uklart hva en bakgrunnssjekk faktisk vil innebære. I høringsnotatet omtales en del ting som i praksis vil være svært vanskelig å vurdere. Eksempelvis «forhold som kan føre til at personen selv, eller personens nærstående, utsettes for trusler slik at personen kan bli presset til å handle i strid med sikkerhetsinteresser», «tilknytning til andre stater og annet som kan gi grunn til å frykte at en person vil kunne opptre i strid med nasjonale sikkerhetsinteresser». Det fremstår derfor som uklart på hvilket grunnlag en ansatt eller student ikke vil passere en bakgrunnssjekk. Dette kan i ytterste konsekvens være svært diskriminerende og hindre mangfold, inkludering og likestilling i mange profesjoner. De fleste av de helsefaglige studentene leverer allerede politiattest ved oppstart, og det vil være problematisk om det midtveis i et langt studie som f.eks. medisin (6 år) plutselig blir strengere kriterier for å kunne komme videre i studiet. Det er behov for en tydelig beskrivelse for hva en bakgrunnssjekk skal inneholde og hvilke kriterier det skal vurderes etter. 3. Begrenset deling av store datasett til forskning Norske forskere og forskningsinstitusjoner deltar i en rekke større og langvarige nasjonale og internasjonale forsknings- og utviklingssamarbeid hvor store sett med helsedata inngår. Datasett kan for eksempel bestå av helsedata i form av genetiske og genomiske data fra større antall (tusenvis) individer (pasienter): DNA- og RNA-sekvensdata, data om genetisk variasjon. Deltakelsen i slike samarbeid er av to hovedtyper: 1) utvikling og drift av bioinformatisk infrastruktur for å trygge/sikre lagring og deling av genetiske og genomiske data og 2) forskningssamarbeid om analyser av genetiske og genomiske data. Dersom ny lovgiving begrenser mulighetene for Norge å delta i slike initiativ på grunn av innskrenket adgang til å dele data, vil dette kunne true norsk deltakelse i de internasjonale samarbeidene, og føre til at Norge blir isolert fra resten av Europa (og verden forøvrig) på disse områdene. Norge deltar blant annet aktivt og omfattende i EUs ESFRI infrastruktur for bioinformatikk, kalt ELIXIR [1] , som utvikler, tilrettelegger og drifter bioinformatisk infrastruktur for trygg/sikker lagring og deling av genetiske og genomiske data. Deltakelsen i ELIXIR ledes og koordineres av Universitetet i Bergen, og har partnere ved Universitetene i Oslo, og Tromsø, NTNU og NMBU. ELIXIR har i 2024 etablert et Federated European Genome-phenome Archive (FEGA)-nettverk som muliggjør trygg/sikker deling av data, men på en slik måte at data ikke forlater Norge før etter godkjenningsprosedyre fra databehandleransvarlig. FEGA ivaretar både datasikkerhet, GDPR, og FAIR-prinsippene. Systemene som er utviklet for FEGA blir videreutviklet i det tverr-europeiske prosjektet Genomic Data Infrastructure (GDI) , og vil utgjøre det teknologiske rammeverket for det store EU flaggskip-prosjektet; 1+Million Genomes Initiative som Norge sluttet seg til via intensjonsavtale i 2018. ELIXIR har fått hovedoppdraget med å utvikle og drifte den bioinformatiske infrastrukturen for 1+MG. Det er også ventet at en rekke nye europeiske initiativer vil komme rundt oppbyggingen av det Europeiske helsedatarom (European Health Data Space, EHDS). Det vil her legges opp til samhandling på tvers av klinikk, forskning og brukermedvirkning der de foreslåtte krav vil kunne legge store begrensninger på planlagt aktivitet. Norske forskere, forskningsinstitusjoner og myndigheter inkludert UiB, deltar i en rekke initiativ som involverer deling av helsedata på tvers av organisasjoner innad i Norge og over landegrenser i EU, For å kunne realisere disse pan-Europeiske planene og samtidig sikre norsk deltakelse er det viktig at man i Norge sørger for at den aktuelle lovendringen ikke slår bena under høyprofilerte initiativ som vi deltar i, men derimot synkroniserer dette med tilsvarende endringer ellers i EU. Det vil også være tilfeller der forskere allerede har fått utlevert det som vil falle inn under kategorien «store datasett» i fremtidig regelverk uten krav til bakgrunnssjekk når disse ble utlevert, og hvor prosjektene har behov for oppdaterte opplysninger og må forholde seg til et endret regelverk. Høringsforslaget forstås slik at allerede utleverte data ikke skal være gjenstand for ytterligere prosess selv om de vil kunne falle inn under definisjonene av hva som regnes som store datasett. Det er viktig for de som driver med forskning på slike store datasett å ha noe forutsigbarhet i forhold til planleggingen og fremdriften i sine prosjekter. Dette gjelder allerede etablerte prosjekter og nye prosjekter. 4. Ressursbruk og tidsaspektet Innføring av bakgrunnssjekk for studenter vil medføre økt ressursbruk for helseforetakene, som må håndtere bakgrunnssjekkene. Det er usikkert hvor lang behandlingstid en bakgrunnssjekk vil ha. Dersom det tar lang tid, kan det bli umulig å jobbe med store datasett i forbindelse med ph.d., postdoktor-stillinger og andre kortere ansettelser. Det kan også medføre forsinkelser i studenters progresjon i studiene dersom de ikke kan få gjennomført praksis i tide. Hvis institusjonene selv må bære kostnadene ved bakgrunnssjekk, vil dette fort kunne føre til at slike personer i realiteten får yrkesforbud innen forskning som bruker registre, biobanker og befolkningsundersøkelser. Hvis en persons nasjonalitet alene er nok til å plassere vedkommende i kategorien «mulig sikkerhetsrisiko», vil dette yrkesforbudet kunne gjelde veldig mange, inkludert personer som allerede har jobbet med denne typen data i årevis. Det vil også være et problem for studenter (inkludert PhD-, master-, forskerlinje- og hovedoppgave-studenter). Selv om kostnadene viser seg å være akseptable, vil det også kunne bli et stort problem om bakgrunnssjekken tar lang tid, slik at ansatte har yrkesforbud en lengre periode. For studenter vil en lang utsettelse av prosjektoppstart i de fleste tilfeller bety at de må finne et annet tema. Dersom nasjonalitet alene kan føre til at personer fra f.eks. Russland, Kina eller Iran ikke passerer bakgrunnssjekken vil det være snakk om permanent yrkesforbud. Høringsbrevet nevner omplassering som mulig løsning, men det vil i de fleste tilfeller være svært vanskelig å finne alternative arbeidsoppgaver som ikke involverer tilgang til data. Det er alminnelig kjent at det er generell mangel på høyt kvalifisert IT-personell innen offentlig sektor [2]. Den eksisterende utdanningskapasiteten er ikke egnet til å løse dette alvorlige problemet [3]. Dette er enda mer aksentuert innen bioinformatikk. Forskningsaktiviteten bygger i svært stor grad på internasjonalt samarbeid og rekruttering. En bakgrunnssjekk som vektlegger f.eks. opprinnelsesland, vil potensielt kunne minimere rekrutteringsgrunnlaget og vanskeliggjøre utvikling og drift av slik infrastruktur i Norge. Vi bemerker også at den foreslåtte bakgrunnssjekken fremstår mer omfattende, inngripende og vanskeligere og dermed vesentlig mer ressurskrevende enn eksportkontrolloven. 5. Andre merknader Endringene åpner for å begrense tilgang også til datasett som er anonymiserte. Dette kan gjøre det vanskeligere for studenter og forskere å bruke registerdata, biobanker og helseundersøkelser i oppgaver og forskningsprosjekter. Det er viktig at studenter og forskere fortsatt skal kunne bruke registerdata og andre helsedata i oppgaver og forskning, da dette er avgjørende for å utvikle ny kunnskap og bedre helsetjenester. Hvis tekniske og organisatoriske sikkerhetstiltak er optimale, er i prinsippet en bakgrunns-sjekk i de fleste tilfeller ikke nødvendig. Vi anerkjenner at dette vil være utfordrende, men for forskning på sensitive data er det allerede et krav at data skal oppbevares på en sikker server, f.eks. SAFE (UiB), TSD (UiO) eller HUNT Cloud (NTNU). En løsning på utfordringene med at en eventuell bakgrunnssjekk kan ta lang tid, kan være at personer (ansatte og studenter) som gjennomgår bakgrunnssjekk får lov til å jobbe på den sikre serveren mens dette pågår, men med begrensninger på rettighetene. For eksempel kan man nektes å hente ut filer (figurer, tabeller, og så videre) uten godkjenning. Uavhengig av bakgrunnssjekk kan det også reguleres fra hvor i verden man får lov å logge seg på serveren. Norske registre, infrastrukturer, biobanker og befolkningsundersøkelser er en unik ressurs som gir oss internasjonalt konkurransefortrinn innen forskning. Dersom denne lovendringen trer i kraft, er Universitetet i Bergen bekymret for at det på litt lengre sikt kan føre til at kvaliteten på norsk helseforskning vil falle. Vennlig hilsen Margareth Hagen rektor Tore Tungodden universitetsdirektør [1] ELIXIR sender også eget høringsinnspill [2] https://www.ssb.no/teknologi-og-innovasjon/informasjons-og-kommunikasjonsteknologi-ikt/statistikk/digitalisering-og-ikt-i-offentlig-sektor [3] https://www.samfunnsokonomisk-analyse.no/nye-prosjekter/2021/1/26/norges-behov-for-ikt-kompetanse-i-dag-og-framover Helse- og omsorgsdepartementet Til høringen Til toppen <div class="page-survey" data-page-survey="133" data-page-survey-api="/api/survey/SubmitPageSurveyAnswer" data-text-hidden-title="Tilbakemeldingsskjema" data-text-question="Fant du det du lette etter?"
