EU-dom kan få konsekvenser for store norske e-helsesatsinger
Persontjenesten, Smittestopp og Helseanalyseplattformen kan alle måtte ta grep for ikke å bryte med nytt EU-lovverk om personvern, spår Nasjonalt e-helsestyre.Men i Helseplattformen er man ikke så bekymret.
Denne artikkelen er mer enn tre år gammel.
Som Dagens Medisin skriver, har en EU-dom fra i sommer gjort det vanskelig for e-helseleverandører, som eksempelvis Dips ASA, å lansere nye produkter som bruker skylagringsløsninger fra amerikanske selskaper.
Men det er slett ikke bare Dips Schrems II-dommen kan få konsekvenser for.
I et møtereferat fra Nasjonalt e-helsestyre fra desember 2020, fremkommer det at dommen kan få store konsekvenser for mange norske e-helseprosjekter.
– Situasjonen er nå at svært krevende og kompliserte konkrete vurderinger må gjøres av den dataansvarlige for å være sikker på at overføring kan gjøres uten at det innebærer brudd på europeiske personvernregler, heter det i møtereferatet, som også lister opp e-helseprosjekter som kan påvirkes av EU-dommen.
Rammer flere
For eksempel kan data- og analysetjenestene i Helseanalyseplattformen (HAP) rammes hardt. Nasjonalt e-helsestyre advarer om at «det i ytterste konsekvens kan bety at Helseanalyseplattformen må anskaffes på nytt».
Styringsgruppa for Smittestopp har ikke fått noen garanti fra Microsoft om at data ikke skal overføres til andre land enn EU ved bruk av Microsoft Azure. Prosjektet har derfor gjennomført kontraktsforhandlinger for hosting hos Netcompany, og ser ut til å ha mistet mindre enn en uke på å gå til on-premise-løsning.
Ut fra de juridiske vurderingene vi har fått gjennomført, vil ikke norske data som befinner seg i Helseplattform kreves utlevert. Torbjørg Vanvik, administrerende direktør i Helseplattformen
Et annet eksempel er Felles samarbeidsprogram for modernisering av Folkeregisteret i helse- og omsorgssektoren (MF Helse), ofte kalt Persontjenesten. «Dommen har ført til utsettelse av produksjonssetting av Persontjenesten ettersom Persontjenesten er basert på bruk av Microsoft Azure», heter det i møtereferatet, hvor det også varsles en forsinkelse i nasjonal innføring av Persontjenesten, som var planlagt tredje kvartal i 2021.
Også Velferdsteknologisk knutepunkt (VKP) vil kunne rammes: «Hvis ikke Microsoft Azure kan brukes som plattform for VKP må tjenesten stoppe». «Det vil medføre en vesentlig merkostnad og forsinket gevinstrealisering. Det er her verdt å merke seg at alternativene til Microsoft også er amerikanske leverandører slik at det vil være samme usikkerhet knyttet til disse leverandørene», heter det.
Andre prosjekter som Helseplattformen og SYSVAK er også forespurt av Nasjonalt e-helsestyre om konsekvenser, men hadde ikke kommet tilbake med svar før sakspapirene til styremøtet ble utarbeidet.
Helseplattformen er ikke bekymret for EU-dom
Helseplattformen kan ikke se at Schrems II-dommen får de store konsekvensene for prosjektet, som bruker amerikanske Epic som leverandør. Europeiske Epic-kunder føler seg imidlertid ikke like trygge.
Helseplattformen, som skal bli Midt-Norges felles journalløsning til kommuner og sykehus, bruker amerikanske Epic som leverandør.
Prosjektet er allerede forsinket, kunne Dagens Medisin melde i slutten av november.
Administrerende direktør Torbjørg Vanvik i Helseplattformen følger nøye med på utviklingen i kjølvannet av Schrems II-dommen, men understreker at Helseplattformen skal lagre alle pasientdata i Trondheim.
– I noen enkelttilfeller av feilretting vil tekniske eksperter fra USA få tilgang til helseopplysninger, men bare dersom det er nødvendig for å løse feilen. Da kan vi gi tidsavgrenset tilgang for den som skal løse problemet, samtidig som vi kan overvåke aktiviteten. I utgangspunktet skal de aller fleste feil kunne rettes av våre egne folk, sier hun.
– Det viktigste spørsmålet for vurderingen av hvilke konsekvenser Schrems II vil ha, har vært om norske data som befinner seg i Helseplattformen etter denne dommen kan kreves utlevert til amerikanske myndigheter. Ut fra de juridiske vurderingene vi har fått gjennomført, vil dette ikke kunne skje, legger hun til.
Har innhentet juridiske råd fra USA
– Hvilke konsekvenser vil dommen få for Helseplattformen?
– Siden vi har en amerikansk leverandør, har vi gjort vurderinger og innhentet råd fra både norske og amerikanske advokatfirma. Vi er også i dialog og søker råd hos norske fagmyndigheter. For oss har konsekvensen altså vært grundige juridiske vurderinger og risikovurderinger. I dette arbeidet har vi også samarbeidet med andre europeiske Epic-kunder. Etter dette kan vi ikke per i dag se at det fører til andre konsekvenser for prosjektet enn de særdeles strenge kravene til sikkerhet og personvern som følger av kontrakten med Epic og de interne prosessene vi er i ferd med å etablere.
– Hvordan jobber dere med å finne løsninger?
– Da dommen kom, og også i forkant av denne, startet vi dialog med Epic, og med andre Epic-kunder i Danmark og Finland. Vi følger opp saken med ansvarlige norske fagmyndigheter og spesielt med Datatilsynet. Vi har oppdatert våre risikoanalyser, og vi har innhentet juridiske betenkninger både fra norske og amerikanske advokatfirma med spisskompetanse på den nye reguleringen som kom med Schrems II.
Schrems II-dommen
- EU-domstolen har avsagt en ny, prinsipiell dom om overføring av personopplysninger til USA, gjerne kalt Schrems II-dommen.
- Dommen har fått navn fra den østerrikske personvernaktivisten Max Schrems, som krevde at det irske datatilsynet skulle stoppe overføringer av personopplysninger mellom Facebook Irland og Facebook Inc. i USA. Han begrunnet dette med at personopplysningene hans ikke var godt nok beskyttet i USA.
- Kjernen i saken er forholdet mellom europeisk personvern og amerikanske overvåkingslover når personopplysninger blir overført fra Europa til USA.
- Dommen tok stilling til hva som må til for at et selskap får lov til å overføre personopplysninger til USA.
- Kilde: Datatilsynet