Innledning
Person- og helseopplysninger må behandles slik at formålet med behandlingen av opplysningene oppnås samtidig som den enkeltes personvernvern og opplysningenes informasjonssikkerhet ivaretas. God informasjonssikkerhet er en forutsetning for digitalisering. De regionale helseforetakene ved HSØ har fått i oppdrag å etablere et genomsenter, inkludert den tekniske løsningen. Vi gir derfor en generell gjennomgang og vurdering av krav til informasjonssikkerhet her.
Informasjonssikkerhet deles gjerne inn i tre ulike hensyn som skal ivaretas; konfidensialitet, integritet og tilgjengelighet. Ivaretakelse av opplysningenes konfidensialitet innebærer å sikre at noen ikke urettmessig får adgang eller kjennskap til opplysninger. At innbyggerne kan stole på at opplysninger om deres mest personlige forhold håndteres på en trygg måte, er helt avgjørende for tilliten til helse- og omsorgstjenestene, forskningsinstitusjoner mv. Tilegnelse av opplysninger man ikke har rettmessig tilgang til kan skje både tilsiktet og utilsiktet. Ivaretakelse av opplysningenes integritet innebærer å sikre at opplysningene ikke utilsiktet eller uautorisert blir endret eller slettet. En situasjon der man ikke kan være sikker på at man har oppdatert og fullstendig informasjon, kan også innebære et integritetsbrudd. Feilaktige, ufullstendige eller utdaterte helseopplysninger kan gå utover pasientsikkerheten. Tilgjengelighet innebærer å sikre at personer med tjenstlig behov har tilgang til nødvendig informasjon når de trenger det, eller at innbygger får innsyn i sine egne helseopplysninger. Både konfidensialiteten, integriteten og tilgjengeligheten til helseopplysninger har betydning for innbyggernes liv og helse, personvern, virksomhetenes omdømme og samfunnet for øvrig.
Gjeldende rett
Krav til informasjonssikkerhet etter personvernforordningen og helselovgivningen
Personvernforordningen stiller krav til at personopplysninger behandles i tråd med en rekke prinsipper, og de registrerte har en rekke rettigheter som den dataansvarlige skal ivareta. Blant annet skal den dataansvarlige gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen ved behandlingen av opplysningene, jf. artikkel 32. Behandling av helseopplysninger i nasjonal rett reguleres blant annet av pasientjournalloven og helseregisterloven. Todelingen er begrunnet med behovet for å skille mellom primær- og sekundærbruk.
Ved å benytte genomdata til helsehjelp, forskning og annen sekundærbruk vil formålet i utgangspunktet samsvare med det saklige virkeområdet i begge de to nevnte lovene. Krav til informasjonssikkerhet er fastsatt i henholdsvis pasientjournalloven § 22 med utfyllende krav i pasientjournalforskriften og i helseregisterloven § 21. Både pasientjournalloven § 22 og helseregisterloven § 21 viser til personvernforordningen artikkel 32, og er utformet som funksjonelle krav, altså hva man skal oppnå, og ikke hvordan noe mer spesifikt skal gjøres, slik som ved detaljerte krav. Det som skal oppnås er et sikkerhetsnivå som er egnet i forhold til risikoen. Dette innebærer at den dataansvarlige må gjøre vurdering av risiko, altså verdier, sårbarheter, trusler og sannsynlighet, og vurdere både hvilke tiltak som er egnet og hvor omfattende de ulike tiltakene skal være. Det følger av pasientjournalloven § 22 at sikkerhetstiltakene blant annet skal omfatte tilgangsstyring, logging og etterfølgende kontroll.
Informasjonssikkerhet innebærer at det skal iverksettes tiltak for å sikre opplysningenes konfidensialitet, integritet, tilgjengelighet og robusthet. Ved valg av egnede tiltak skal virksomheten vurdere tiltakene i forhold til virksomhetens størrelse, art og omfang for behandling av helse- og personopplysninger, pasientsikkerhet, risikobildet mv. Ved gjennomføring av risikovurderinger må det vurderes hvilke trusler som er aktuelle, og det må vurderes hvilke sårbarheter som kan reduseres med ulike sikkerhetstiltak. Hvilke trusler og risikoreduserende tiltak som er aktuelle vil avhenge av en rekke ulike forhold. Iverksettelse av sikkerhetstiltak må besluttes ut fra vurdering av risiko. Informasjonssikkerhetstiltak må altså velges basert på risikoprofil for brudd på henholdsvis konfidensialitet, integritet og tilgjengelighet. Tiltakene vil være en kombinasjon av tekniske og organisatoriske tiltak. I pasientjournalforskriften er det fastsatt spesifikke krav til tilgangsstyring og logging. Vurdering av risiko og iverksatte tiltak må gjøres løpende. Eksempelvis vil endringer i systemer kunne introdusere nye sårbarheter, samt at sårbarheter vil kunne utnyttes av trusselaktører som følge av ny teknologi.
Genomdata utgjør identifikatorer for det enkelte individ, og også for biologiske slektninger, herunder både nåværende og senere etterkommere. Opplysningene kan i utgangspunktet gi informasjon om opphav, nåværende og fremtidig helse, og familiære forhold. Dette innebærer at genomdata utgjør en ekstra sårbarhet i forhold til "ordinære" helseopplysninger. At uvedkommende får tilgang til genomdata (brudd på konfidensialiteten), kan derfor få store konsekvenser, ikke bare for den det gjelder, men også for personens nære slektninger. Det vil ikke være mulig å foreta avbøtende tiltak i etterkant dersom genomdata med navn og fødselsnummer har kommet på avveie. Informasjonssikkerhetstiltakene som iverksettes må derfor være egnet i forhold til denne særskilte høye risikoen. For å sikre at konfidensialiteten ivaretas må det både sikres at det finnes mekanismer som ivaretar den lovbestemte taushetsplikten (hindre intern uautorisert tilgang) og beskyttelsestiltak mot digitale angrep fra eksterne trusselaktører. Eksterne trusselaktører kan også utnytte bevisste eller ubevisste innsidere til urettmessig å tilegne seg opplysninger. For å sikre ivaretakelse av opplysningenes konfidensialitet er det krav til iverksettelse av tiltak som autorisasjon, autentisering og tilgangsstyring, samt god sikkerhetskultur.
Ivaretakelse av genomdataenes integritet vil også være av kritisk betydning. Brudd på integriteten kan utgjøre en fare for pasientsikkerheten ved at pasienten det gjelder kan feilbehandles eller ikke får den behandling vedkommende skulle hatt. Når det gjelder forskning og annen sekundærbruk vil brudd på integriteten eksempelvis kunne medføre at man bygger på uriktige fakta, som igjen vi kunne innebære en trussel mot pasientsikkerheten for et høyt antall personer i lang tid fremover.
For å oppnå formålet med behandlingen av genomdata er det også avgjørende at dataene er tilgjengelige for de som trenger dem på riktig tidspunkt. Formålet og behovet for dataene har betydning for hvordan tilgangen gis.
Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren (Normen) er en bransjenorm som er utarbeidet og forvaltes av organisasjoner og virksomheter i helse- og omsorgssektoren. Normens krav utdyper og supplerer gjeldende regelverk. Det er utarbeidet et omfattende veiledningsmateriell bestående av veiledere og faktaark. Normen skal bidra til tilfredsstillende informasjonssikkerhet og personvern hos den enkelte virksomhet, i felles systemer og infrastruktur, og i sektoren generelt. Videre skal Normen bidra til å sikre at en virksomhet som etterlever og innretter seg etter Normen har egnede tekniske og organisatoriske tiltak for informasjonssikkerhet og personvern for sin behandling av helse- og personopplysninger. Ved å følge Normen vil kravene til informasjonssikkerhet i stor grad kunne være dekket. I Normen beskrives organisatoriske og tekniske tiltak som anses egnet for å oppnå tilfredsstillende informasjonssikkerhet og personvern i sektoren.
Risiko ved ulike former for lagring av opplysninger
Sentral lagring av data, gjerne referert til som «alle eggene i en kurv», krever meget høy grad av tiltak for informasjonssikkerhet, og har potensielt svært store konsekvenser ved brudd på informasjonssikkerhet. En sentral samling av store mengder sensitive data, slik som genomdata om store deler av den norske befolkningen, vil kunne være et attraktivt mål for trusselaktører. Det må kunne legges til grunn at enkelte trusselaktører vil ha høy motivasjon for å få tilgang til opplysningene, og besitter kapasiteter til å gjennomføre avanserte digitale angrep. Ivaretagelse av informasjonssikkerhet forutsetter derfor at virksomheten evner å etablere robuste organisatoriske og tekniske tiltak. Dette forutsetter blant annet god sikkerhetsmessig kompetanse, grundige risikovurderinger og risikostyring, implementering av egnede tiltak, kontinuerlig overvåkning av systemene og evne til raskt å agere ved trusler mot informasjonssikkerheten. Dersom én aktør skal etablere løsning med lagring av sensitive opplysninger vil denne aktøren ofte ha mer ressurser og kompetanse for å ivareta informasjonssikkerhet og beredskapsmessige forhold enn hva som vil være tilfelle med mindre aktører.
Ved lokal lagring, eller «eggene er fordelt i ulike kurver» kan det være noe mindre konsekvenser ved brudd på informasjonssikkerheten enn ved bruk av (kun) én sentral aktør, siden den totale mengden av informasjon vil være mindre. Lokal lagring av mindre mengder informasjon vil i de fleste tilfeller være mindre attraktive mål for trusselaktører, enn om alt er samlet hos en sentral med større informasjonsmengder. Iverksatte informasjonssikkerhetstiltak må likevel være egnet i forhold til risikoen basert på en konkret vurdering. Lokal lagring innebærer ikke nødvendigvis at det benyttes lokal infrastruktur for fysisk lagring. Lagringen ansees også for å være lokal selv om det benyttes infrastruktur hos leverandører med databehandleravtaler.
Risiko ved bruk av skytjenester
Skytjenester brukes som en samlebetegnelse på skalerbare datatjenester som leveres over nett, og omfatter alt fra dataprosessering og datalagring til programvare på servere som er tilgjengelig fra eksterne serverparker. Skytjenestemarkedet er i kontinuerlig utvikling. Det er vanlig å dele skytjenester opp i ulike tjeneste- og leveransemodeller. Tjenestetypen sier noe om hva som omfattes av tjenesten, altså graden av det som overlates til leverandøren. De tre vanligste tjenestemodellene omtales gjerne som (1) programvare som tjeneste (SaaS), (2) plattform som tjeneste (PaaS) og (3) infrastruktur som tjeneste (IaaS). Leveransetypen sier noe om i hvilken grad skytjenesten er delt med andre virksomheter. Skyinfrastrukturen kan være tilbudt eksklusivt til én virksomhet (privat sky), til et fellesskap av virksomheter som har samme formål og behov (gruppesky/fellesskapssky) eller som standardiserte tjenester som tilbys i det åpne markedet og stort sett er like for alle kunder (allmenn sky). Ofte vil tjenesten bestå av en kombinasjon av de nevnte modellene.
Det som ofte trekkes frem som den store fordelen med skytjenester er den høye graden av fleksibilitet og skalerbarhet. Kapasiteten kan tilpasses behovet kunden har til enhver tid, og kunden betaler for faktisk bruk. En sikkerhetsmessig fordel ved denne typen lagring er at det ikke vil være behov for fysisk sikring av lokalt installerte servere hos virksomheten. Videre omfatter tjenestene gjerne profesjonell håndtering av betydning for sikkerheten, eksempelvis hyppige sikkerhetsoppdateringer, sikkerhetskopieringer og høy oppetid.
På den annen side kan det være stor risiko forbundet med skytjenester. Skytjenester kan være etablert på tvers av landegrenser, med ulikt lovverk, gjennom en kompleks kjede av ulike leveranser som det kan være vanskelig å skaffe seg oversikt over. I slike tilfeller vil virksomheten derfor vanskeligere kunne ha kontroll på den underliggende infrastrukturen. Konfigurasjonsfeil eller for svak konfigurasjonsstyring kan føre til uautorisert innsyn og tilgang mellom ulike virksomheters opplysninger og konfigurasjoner. Privat sky gir presumptivt lavest risiko ved at virksomheten har større grad av kontroll. Imidlertid vil infrastrukturen som applikasjonen og databasen kjører på i noen tilfeller kunne være delt med andre kunder. For svak konfigurasjonskontroll hos leverandøren eller feil i programvaren vil da kunne medføre lekkasje mellom virksomhetene.
Virksomheter som vurderer å tjenesteutsette behandling av personopplysninger må risikovurdere dette og foreta en konkret vurdering av hvorvidt skytjenester er egnet. Dersom det skal behandles svært sensitive opplysninger, slik som genomdata, må det tas hensyn til i risikovurderingen. Blant Normens veiledningsmateriell finnes en egen veileder i bruk av skytjenester til behandling av helse- og personopplysninger. Veilederen omfatter blant annet områder som bør inngå i en risikovurdering og momenter som bør innarbeides i avtaler om skytjenester.
For virksomheter som overfører personopplysninger til såkalte “tredjeland”, altså land utenfor EU/EØS-området, gjelder det i tillegg særskilte krav til overføringsgrunnlag for at behandlingen skal være lovlig. Formålet med dette er å sikre at ikke beskyttelsesnivået i personvernforordningen undergraves ved overføringen.
Alle virksomheter som benytter seg av en leverandør i forbindelse med behandling av personopplysninger plikter å inngå en databehandleravtale med leverandøren.
Potensialet for effektivisering ved overgang til skytjenester har blitt vektlagt i en rekke offentlige dokumenter, som del av en bredere satsing på digitalisering av offentlig sektor. Regjeringen utga en nasjonal strategi for bruk av skytjenester i 2016. Denne er gjennomgående positiv til skytjenester, og er fulgt opp med etablering av den offentlige markedsplassen for skytjenester. Målet med denne markedsplassen er å gjøre det enklere for virksomhetene å anskaffe sikre, lovlige og kostnadseffektive skytjenester. Den inneholder en voksende samling avtaler som offentlige virksomheter kan bruke, blant annet basert på en kontraktsfestet referansearkitektur som bygger på NSMs grunnprinsipper for IKT-sikkerhet og NIST sikkerhetsstandarder.
Samtidig pekes det på at det, avhengig av hvilken type informasjon som behandles, kan foreligge behov for kontroll over hvem som forvalter informasjon og hvor dette gjøres. Ut fra hensynet til henholdsvis konfidensialitet (eksempelvis risiko for dataavlesning), integritet (eksempelvis risiko for manipulasjon) og tilgjengelighet (eksempelvis i en krisesituasjon) vil det kunne foreligge behov for nasjonal kontroll over data og infrastruktur. En nasjonal sky med datasenter som er lokalisert i Norge og underlagt statlig kontroll, vil kunne tilpasses tekniske og fysiske krav ut fra ønsket sikkerhetsnivå, uten risiko for at opplysningene omfattes av andre lands jurisdiksjon og eventuelt krav om utlevering til andre lands myndigheter. En nasjonal sky vil derfor ha klare sikkerhetsmessige fortrinn sammenliknet med rent kommersielle skytjenester som tilbys i det åpne markedet.
Regjeringspartiene erklærte i Hurdalsplattformen at regjeringen vil “Utrede opprettelsen av en statlig skyløsning for lagring av offentlige data som helsedata, finansdata og informasjon om innbyggere og infrastruktur.” NSM har ledet oppdraget med en konseptvalgutredning (KVU) om nasjonal skytjeneste. KVU[135] ble overlevert Justis- og beredskapsdepartementet i januar 2023. Fra februar 2023 til august 2023 har utredningsdokumentene vært til gjennomgang hos ekstern kvalitetssikrer. NSM fastslår i utredningen at det for enkelte typer IKT-systemer og data, eksempelvis helsedata, er sårbart å være avhengig av utenlandske skytjenester. Manglende kontroll over viktige data og systemer kan svekke statens evne til å levere sentrale offentlige tjenester, og må derfor beskyttes bedre. I ytterste konsekvens kan manglende kontroll over IKT-systemer svekke Norges suverenitet, territorielle integritet og demokratiske styreform. NSMs anbefaling er derfor å etablere nasjonale skytjenester, som kombinerer en statlig eid og driftet skyløsning på norsk jord underlagt norsk jurisdiksjon, og en skyløsning levert av et fåtall kommersielle virksomheter som skal eie, levere, videreutvikle og drifte skytjenester. NSM begrunner en slik todelt løsning med at det vil gi et høyere nivå av nasjonal kontroll og høyere funksjonalitet enn et rent statlig eller kommersielt konsept alene. NSM anbefaler videre at dagens krav ved bruk av skytjenester samles, tydeliggjøres og styrkes, og at en statlig tilsynsmyndighet og rådgivningstjeneste etableres eller styrkes."
Forholdet til sikkerhetsloven
Bestemmelsene om informasjonssikkerhet som følger av personvernforordningen og helselovgivningen har som formål å ivareta hensynet til den enkelte. I tillegg finnes det lovgivning som ikke har beskyttelse av enkeltpersoner som formål, men derimot beskyttelse av samfunnet. Et eksempel på dette er sikkerhetsloven. Den har som formål å forebygge, avdekke og motvirke tilsiktede handlinger som direkte eller indirekte kan skade nasjonale sikkerhetsinteresser. Nasjonale sikkerhetsinteresser omfatter overordnede sikkerhetspolitiske interesser knyttet til blant annet de øverste statsorganers virksomhet, forsvar, sikkerhet og beredskap, forholdet til andre stater, økonomisk stabilitet, samfunnets grunnleggende funksjonalitet og befolkningens grunnleggende sikkerhet.
Loven gjelder for statlige, fylkeskommunale og kommunale organer, og for leverandører av varer og tjenester i forbindelse med sikkerhetsgraderte anskaffelser. Hvert departement skal innen sitt ansvarsområde identifisere tjenester, produksjon og andre former for virksomhet som er av en slik betydning at et helt eller delvis bortfall av funksjonen vil få konsekvenser for statens evne til å ivareta nasjonale sikkerhetsinteresser grunnleggende nasjonale funksjoner (GNF). Et departement skal innenfor sitt ansvarsområde fatte vedtak om at loven helt eller delvis skal gjelde blant annet for virksomheter som råder over informasjon, informasjonssystemer, objekter eller infrastruktur, eller driver aktivitet, som har avgjørende som har avgjørende betydning for GNF. Et departement skal videre, innenfor sitt ansvarsområde utpeke, klassifisere og holde oversikt over skjermingsverdige objekter og infrastruktur. Objekter og infrastrukturer er skjermingsverdige dersom det kan skade GNF om de får redusert funksjonalitet eller blir utsatt for skadeverk, ødeleggelse eller rettstridig overtakelse. En virksomhet skal vurdere hvilke skadefølger det kan få for GNF om et objekt eller en infrastruktur som den råder over, blir utsatt for skadeverk, ødeleggelse eller en rettsstridig overtakelse. Sentrale momenter i en slik skadevurdering vil være hvilke konsekvenser det vil få for grunnleggende nasjonale funksjoner dersom objektets eller infrastrukturens funksjonalitet faller bort eller reduseres og i hvilken grad en rettsstridig overtakelse av objektet eller infrastrukturen kan påvirke befolkningens grunnleggende sikkerhet.
Virksomheter i helsesektoren har utarbeidet skadevurderinger, som grunnlag for å identifisere virksomheter av vesentlig og avgjørende betydning for GNF, samt for å peke ut og klassifisere skjermingsverdige verdier. Hva som er å anse som skjermingsverdige objekter og infrastrukturer er imidlertid ikke statisk, men vil kunne endres over tid. Blant annet vil den kontinuerlige utviklingen i sikkerhetspolitikken og samfunnet for øvrig, påvirke hva som til enhver tid inngår i, og hva som er av betydning for de nasjonale sikkerhetsinteressene. Videre vil betydningen av objekter og infrastrukturer i seg selv kunne endres.
Forslag til lov om digital sikkerhet
Den 5. mai 2023 fremmet regjeringen i Prop. 109 LS (2022–2023) forslag til en ny lov om digital sikkerhet (digitalsikkerhetsloven). Loven har som formål å styrke den digitale sikkerheten i virksomheter som har særlig betydning for samfunnet. Lovforslaget følger opp stortingsmeldingen om nasjonal kontroll og digital motstandskraft (Meld. St. 9 (2022–2023), og bygger på Europaparlaments- og rådsdirektiv (EU) 2016/1148 av 6. juli 2016 om tiltak for å sikre et høyt felles nivå for sikkerhet i nettverks- og informasjonssystemer i hele Unionen (NIS-direktivet). Loven vil i første omgang gjelde for tilbydere av samfunnsviktige tjenester innen energi, transport, helse, vannforsyning, bank, finansmarkedsinfrastruktur og digital infrastruktur, samt tilbydere av de digitale tjenestene digitale markedsplasser, skytjeneste, og digitale søkemotorer.
Virksomhetene som blir omfattet av loven må etablere grunnleggende sikkerhetstiltak i virksomhetenes digitale systemer. Det vil for eksempel kunne bli aktuelt for virksomhetene å se hen til NSMs grunnprinsipper for IKT-sikkerhet som et utgangspunkt for sikring av sine digitale systemer.
Lovforslaget forutsetter forskrifter med tydeligere avgrensninger av hvem loven skal gjelde for og mer konkrete regler om hva som skal til for å oppfylle sikkerhets- og varslingskravene.
Vurdering av etiske prinsipper
En av de mest omtalte risikoene ved genetiske undersøkelser er faren for at sensitiv informasjon kommer på avveie. I utgangspunktet er alle helseopplysninger regnet som sensitiv, og det er straffbart å innhente og bruke slik informasjon i behandling, kvalitetssikring eller forskning uten samtykke eller annet rettslig grunnlag. Det har vært argumentert for at genomdata har egenskaper som gjør informasjonen spesielt sensitiv. For det første er det informasjon som kan ha prediktiv betydning, idet den sier noe om sykdom som kan eller vil oppstå i framtiden. For det andre er det informasjon som også vil gjelde mulige tilstander hos andre enn den opplysningene stammer fra, altså nære slektninger. Disse egenskapene reiser moralske spørsmål om hvordan genetiske opplysninger bør håndteres. Genetisk informasjon er for det tredje i prinsippet ikke fullt ut anonymiserbar. Det er likevel viktig å være presis i omtalen av opplysninger fordi det vil være ulik risiko knyttet til om det er tale om direkte identifiserbare data, data hvor navn/fødselsnummer er byttet ut med løpenummer, om det er tale om større eller mindre omfang av genetiske opplysninger.
Å opprette et genomregister, hvor store mengder gen- og annen helseinformasjon skal sammenstilles, deles, og kunne benyttes til så vel behandlings- som forskningsformål, gir en betydelig risiko for lekkasje av sensitiv informasjon. Informasjon kan komme på avveie på grunn av svakheter ved systemet, menneskelig svikt, innbrudd, og så videre. Det er også risiko for uberettigede oppslag i registrene. Utformingen av og sikkerheten til de tekniske løsningene, og rutinene for håndtering av data som inkluderes i og forvaltes av genomsenteret, er derfor av stor etisk betydning. Videre må en kunne gi deltakerne relevant og fyllestgjørende informasjon om hvilken informasjonssikkerhetsrisiko de løper ved å inkluderes i registeret.
Spørsmål om hvem som har tilgang på hvilken informasjon og på hvilket grunnlag, er avgjørende for den etiske vurderingen. For forskningsformål er det ofte ønskelig med tilgang til mest mulig informasjon for å sikre at en har det en trenger for å gjennomføre et prosjekt. Dersom man ikke har tilstrekkelig gode sikringssystemer, vil sensitiv informasjon kunne spres.
Selv om datalagring, dataansvar etc. ikke er endelig avklart, er det rimelig å legge til grunn at formålet uansett krever en relativt omfattende flyt av informasjon mellom ulike aktører/helseforetak. En slik omfattende flyt eller tilgjengeliggjøring av sensitiv informasjon er i seg selv en sikkerhetsmessig utfordring, og forsterker problemene skissert over. Dette er ikke bare et spørsmål om etisk forsvarlig håndtering av den informasjonen som den enkelte overlater til genomregisteret, men om tilliten til genomsenteret spesielt, og til norsk helsetjeneste generelt. Tillit er en grunnforutsetning for at genomsenteret og registerløsningene skal kunne fungere etter intensjonene.
Vurdering og anbefaling
Vi viser til fremstillingen av gjeldende rett ovenfor og at den konkrete tekniske løsningen som velges må baseres på kravene som er gjengitt der. Det er av stor betydning for befolkningen og samfunnet generelt at genomdata sikres på en måte som gir tillit. Generell informasjon om genomsenteret og genomregisteret vil ha betydning for forståelsen og kunnskapen om behovet for disse tiltakene.
Pasientjournalloven gjelder for primærbruk og helseregisterloven gjelder for sekundærbruk og har respektive bestemmelser om informasjonssikkerhet i henholdsvis pasientjournalloven § 22 og helseregisterloven § 21. Kravene i disse bestemmelsene har en risikobasert tilnærming. Behandling av genomdata, og andre helseopplysninger, krever at det iverksettes adekvate tiltak for å ivareta opplysningenes konfidensialitet, integritet og tilgjengelighet. Plikten påhviler dataansvarlig. Det skal blant annet sørges for tilgangsstyring, logging og etterfølgende kontroll. Tiltakene må besluttes og iverksettes på bakgrunn av vurdering av risiko, blant etter en vurdering av grad av identifisering. Det må da tas særlig hensyn til genomdataenes særlige karakter. Vurdering av risiko og tiltak må gjøres løpende. Det kan være stor forskjell i hva ulike deler av genetiske opplysninger kan inneholde av informasjon og det vil derfor være av avgjørende betydning at det gjøres vurderinger av hvilke opplysninger som er nødvendig i det enkelte prosjekt.
Ved anskaffelse av skytjenester i det kommersielle markedet, må de særegne risikoer forbundet med dette vurderes, herunder lovlighet etter personvernforordningen knyttet til problematikk ved overføring til tredjeland.
Etablering av en nasjonal skytjeneste er under utredning. Avhengig av innretningen på denne, vil dette kunne være en mulig løsning for behandling av genomdata.