Et steg nærmere veiledning for sikreanalyserom i Norge

Prosjektet FAIR Secure Provision and Use of Health data in Norway (SPUHiN) inngår i arbeidet med å klargjøre Norge til å møte EUs fremtidige krav til sekundærbruk av data. SPUHIN er i regi av Folkehelseinstituttet og Helsedirektoratet som samarbeider tett med analyseinfrastrukturene TSD ved Universitetet i Oslo, HUNT Cloud ved Norges teknisk-naturvitenskapelige universitet (NTNU) og SAFE ved Universitetet i Bergen. Ett av målene er å levere krav til sikre analyserom og sikker datatransport for sekundærbruk av helsedata i Norge. Som et ledd i dette arbeidet publiserte prosjektgruppa «Gap analysis report – SPE requirements» i slutten av februar. Gruppen har kommet med noen konkrete forslag til krav for sikre analyserom. Disse kravene bygger blant annet på: 

• Krav til lukket og sikker analyseinfrastruktur i forskrift om nasjonal løsning for tilgjengeliggjøring av helsedata og lov om helseregistre og behandling av helsedata. 

• Artikkel 50 i EHDS-forordningsforslaget og gjennomgang av resultater fra EHDS-relaterte prosjekter som TEHDAS og HealthData@EU-piloten 

• Resultater fra trusselmodellering av analyseinfrastrukturene i prosjektet 

• Gjennomgang av eksisterende relevante standarder, som eksempelvis ISO27001 

• Behov for grunnleggende funksjonalitet i et analyserom ved bruk av helsedata for sekundærformål 

De har også sett nærmere på hva som gjør de overnevnte leverandørene egnet til å levere sikre analyserom og hvordan dette sammenfaller med de foreløpige krav som er tatt frem. – Vi ser at det er høyt fokus på sikkerhet og brukernes behov, noe som er positivt. Vi planlegger å utarbeide veiledning som vil være relevant for alle som skal levere og ta i bruk sikre analyserom for sekundærbruk av helsedata, sier Klara Lundgren, informasjonssikkerhetsleder for avdeling Helsedata i Folkehelseinstituttet og del av prosjektgruppa i SPUHIN. Arbeidet i SPUHiN vil gi et godt grunnlag inn i TEHDAS2-prosjektet som starter sommeren 2024 og hvor det vil jobbes med anbefalinger til krav på EU-nivå. Prosjektperioden for SPUHIN varer ut 2025. Innen da vil prosjektgruppen levere veiledere for brukere og leverandører av sikre analyserom. I tillegg vil prosjektet utarbeide en verifiseringsordning, som for eksempel kan være en selvdeklarering for etterlevelse av veiledningen. Les rapporten her.

Frem mot sommeren vil det avholdes regelmessige arbeidsmøter hvor formålet er å legge grunnlaget for å utarbeide veiledere for brukere og leverandører av sikre analyserom. Se datoer nedenfor. Hvis du er interessert i å delta, skriv til redaksjonen@helsedata.no.