Arbeidet er en del av prosjektet FAIR Secure Provision and Use of Health data in Norway (SPUHiN) – et samarbeid mellom Helsedirektoratet, Folkehelseinstituttet og flere av de mest brukte sikre analyserom i Norge (NORTRE).

Helsedirektoratet skriver at den foreslåtte kriterielisten er et nytt verktøy som skal bidra til økt åpenhet og forutsigbarhet for alle som arbeider med – eller gir tilgang til – gjenbruk av helsedata i Norge. Den retter seg særlig mot såkalte sikre analyserom (Secure Processing Environments, SPE): trygge og kontrollerte miljøer for analyse av helsedata til sekundære formål som forskning, kvalitetsforbedring og helsepolitikkutforming.

Bakgrunnen er at det kommende regelverket for European Health Data Space (EHDS) vil stille krav om bruk av SPE (jf. artikkel 73 i Regulation (EU) 2025/327), inkludert krav om regelmessige revisjoner av slike miljøer. Også norsk regelverk viser allerede til bruk av en «lukket og sikker analyseinfrastruktur» (jf. Forskrift om nasjonal løsning for tilgjengeliggjøring av helsedata). Hva kravene til sikre analyserom (SPE) konkret innebærer, er imidlertid ikke definert – og praksis varierer i dag mellom ulike aktører.

Kriterielisten er derfor utviklet for å støtte arbeidet med å etablere en felles forståelse av hva som menes med sikre analyserom. Målet er å gi både tilbydere, databrukere og myndigheter et felles utgangspunkt for trygg og ansvarlig sekundærbruk av helsedata – og samtidig forberede norske aktører på kravene som kommer gjennom EHDS og gjennomføringsrettsakter (Implementing Acts).

Formål

Formålet med kriterielisten er å:

• øke åpenhet og forutsigbarhet for tilbydere, databrukere og myndigheter
• foreslå anbefalte minstekrav for sikre analyserom
• styrke trygg og ansvarlig sekundærbruk av helsedata i Norge – i forkant av EUs gjennomføringsrettsakter (Implementing Acts)
• koble relevante artikler i EHDS-forordningen til konkrete kriterier
• fungere som et verktøy for selverklæring for tilbydere av sikre analyserom (SPE), og samtidig bistå datakontrollører i vurderingen av hvilke tjenester som gir tilstrekkelig beskyttelse av helsedata brukt til sekundærbruk.

Prosess

Kriterielisten er ikke normerende, men et praktisk hjelpemiddel for aktørene. Den bygger på

• eksisterende praksis for bruk og tilgang til helsedata
• en gap-analyse av analyserom brukt av universiteter og helseaktører
• innspill fra workshops og en uformell høring våren 2024

Utviklingen av kriterielisten har skjedd i samarbeid med bredt sammensatte fagmiljøer, inkludert forskere, dataeiere, teknologileverandører og offentlige myndigheter.

Sekretariatet for Normen har gjennomgått og vurdert de foreslåtte kriteriene for sikre analyserom. Gjennomgangen konkluderte med at kriteriene i stor grad er i tråd med Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren (versjon 6.1).

Helsedirektoratet ønsker innspill på om kriterielisten kan egne seg som et nasjonalt verktøy for sikre analyserom, og om kriterielisten inneholder vesentlige mangler eller forbedringsbehov som må løses for at den skal kunne fungere godt i praksis.

Denne høringen skal behandles av Sentralstyret.

Les mer på siden til Helsedirektoratet.

Dersom høringen virker relevant, bes det om at innspill sendes til Legeforeningen innen 26. september 2025. Det bes om at innspillene lastes opp direkte på Legeforeningens nettsider.