Helse- og omsorgsdepartementet har kommet med to nye lovforslag. Personvernkonsekvensene av lovforslagene bør etter vår vurdering utredes bedre. Uten en grundig vurdering av risikoer er det vanskelig å fastslå om lovforslagene styrker eller svekker personvernet.
Nedenfor følger en kort gjennomgang av de to lovforslagene og våre viktigste merknader til hvordan disse vil påvirke personvernet.
Forslaget til ny helseberedskapslov (regjeringen.no) har som mål å etablere et moderne og robust rammeverk for krisehåndtering i Norge. Regjeringen ønsker å sikre nødvendige fullmakter for å kunne handle raskt i alvorlige situasjoner, samtidig som Stortingets kontrollfunksjon og befolkningens rettssikkerhet ivaretas. Lovendringene bygger i stor grad på lærdommer fra koronapandemien og skal sørge for at myndighetene har klare og forutsigbare hjemler i fremtidige krisesituasjoner.
I lovforslaget til ny helseberedskapslov åpnes det for omfattende innsamling og bruk av personopplysninger uten samtykke, utvidet registerbruk og mulighet for lang lagringstid. Selv om Helse- og omsorgsdepartementet understreker at personvernet er sentralt i forholdsmessighetsvurderinger, vil slike vurderinger i praksis måtte gjøres under tidspress. Det vil kunne øke risikoen for at grunnleggende rettigheter ikke blir tilstrekkelig ivaretatt. Selv om forslaget skal styrke arbeidet med håndtering av kriser, innebærer forslaget etter vår vurdering en risiko for svekket personvern.
Forslaget til ny smittevernlov (regjeringen.no) har som mål å sikre at Norge har et moderne og robust regelverk for å håndtere smittevernutfordringer, både i hverdagen og under store kriser. Regjeringen ønsker å tydeliggjøre rammene for når smitteverntiltak kan iverksettes, og sikre en bedre balanse mellom rask krisehåndtering og demokratisk kontroll. Lovendringene bygger på erfaringer fra koronapandemien og skal sørge for at lovverket er forutsigbart og har høy tillit i befolkningen.
I lovforslaget til ny smittevernlov legges ansvaret for personvernvurderinger i stor grad på dataansvarlige. Dette betyr at det er dataansvarlige selv som må etablere systemer som ivaretar rettighetene til de berørte, i tråd med det faktiske smittevernbehovet. I kritiske situasjoner med tidspress og uoversiktlighet, vil det etter vår vurdering være høyere sannsynlighet for at en dataansvarlig myndighet innfører unødvendig inngripende tiltak og mangelfulle risiko- og personvernvurderinger.
Krisetider medfører særskilte personvernutfordringer, som økt og raskere datadeling, svakere dokumentasjon og risiko for at midlertidige registre får lengre levetid enn det som er nødvendig for formålet. Slike forhold kan svekke både taushetsplikt, sporbarhet og pasienters kontroll over egne opplysninger. Dette understreker behovet for klare rammer og tydelige vurderingskriterier, særlig når midlertidige forskrifter skal fastsettes og hensyn som barnets beste og samfunnsmessige konsekvenser skal avveies.
Datatilsynets erfaringer fra koronahåndteringen viser tydelig risikoen ved å innføre tekniske løsninger før personvernkonsekvensene er tilstrekkelig utredet. Et eksempel er den første Smittestopp-appen, hvor vi måtte nedlegge et midlertidig forbud mot behandlingen av personopplysninger. Her manglet det dokumentasjon på tiltakets faktiske nytteverdi, og det ble samlet inn store mengder lokasjonsdata i strid med prinsippet om dataminimering. Smittestopp-saken står som et eksempel på hvordan gode intensjoner i en krise kan føre til uforholdsmessig inngripende overvåking dersom man ikke har klare juridiske rammer og grundige vurderinger i bunn.