Denne veiledningen om vilkår for tilgjengeliggjøring av pasientens journaldokumenter via kjernejournal, vil bli oppdatert med ytterligere utdyping av regelverket. Blant annet vil det omtales nærmere hvilken betydning de vedtatte endringene i reglene om taushetsplikt, jf. lov 23. januar 2026 nr. 1 om endringer i helsepersonelloven og pasientjournalloven mv. (taushetsplikt og tilgjengeliggjøring av pasientopplysninger), vil få for tjenesten pasientens journaldokumenter.
Hvem kan få tilgang?
Pasientens journaldokumenter er basert på dokumentdeling gjennom kjernejournal. Selv om dokumentene tilgjengeliggjøres av den enkelte dataansvarlige kilde, forutsetter det at virksomheten og helsepersonellet har tilgang til Nasjonal kjernejournal. Mange virksomheter har plikt til bruk, jf. forskrift om standarder og nasjonale e-helseløsninger § 10. For virksomheter som ikke har plikt til bruk, vil de være Helsedirektoratet som dataansvarlig for kjernejournal, som bestemmer om den enkelte virksomhet kan få tilgang, basert på en vurdering av tjenstlig behov.
Det er et krav at man må være helsepersonell for å kunne få tilgang til kjernejournal. I praksis innebærer dette også at man må ha et HPR-nummer. Hvilket helsepersonell som kan få tilgang til helseopplysninger i Nasjonal kjernejournal, bestemmes av det tjenstlige behovet for tilgang. Den enkelte virksomhet har ansvar for tilgangsstyringen i egen virksomhet. Helsepersonells adgang til å gjøre oppslag i dokumenter i tjenesten pasientens journaldokumenter må være innen rammen av kjernejournals formål, som vil si enten til ytelse av helsehjelp, som samsvarer med formålet i helsepersonelloven § 45 (§ 25 etter vedtatte lovendringer), eller til egen læring eller kvalitetssikring av tidligere ytt helsehjelp i samsvar med helsepersonelloven § 29 c (§ 28 første ledd bokstav a etter vedtatte lovendringer).
Hva kan de få tilgang til?
I pasientens journaldokumenter gis helsepersonell tilgang til helseopplysninger i en annen virksomhet via referanser til utvalgte dokumenter i kjernejournal. Dokumentreferansene er en del av kjernejournal jf. pasientjournalloven § 13, jf. kjernejournalforskriften § 4 første ledd nr. 8 referanse til ytterligere informasjon. Selve dokumentene som referansene viser til, er imidlertid ikke en del av kjernejournal. Tilgjengeliggjøring av dokumentene har sitt rettslige grunnlag i de ordinære bestemmelsene om tilgjengeliggjøring av helseopplysninger.
Regelverket som regulerer kjernejournal, kommer til anvendelse også for tjenesten pasientens journaldokumenter som en ytre ramme. Dette innebærer at tjenesten vil være avgrenset til tilgjengeliggjøring av dokumenter som innholdselementet «referanse til ytterligere informasjon» peker til. I bestemmelsens ordlyd eksemplifiseres dette til epikriser, prøvesvar, billedundersøkelser og henvisninger. Denne opplistingen er ikke uttømmende, men et løpende journaldokument vil eksempelvis falle utenfor hva det er rettslig grunnlag for å tilgjengeliggjøre på bakgrunn av referansen.
Oppsummerende eller sammenfattende karakter mv som fellesnevner for dokumenter som kan tilgjengeliggjøres
Helsedirektoratet har lagt til grunn i vår fortolkning av hvilke dokumenttyper som kan tilgjengeliggjøres innen rammen av kjernejournalforskriften § 4 første ledd nr. 8. Overordnet har Helsedirektoratet lagt vekt på dokumentenes oppsummerende eller sammenfattende karakter, typisk fra gjennomførte undersøkelser, i motsetning til journaldokumenter som har preg av å være del av den løpende journalføringen. Dette vil bli utdypet nærmere i en oppdatert versjon av denne siden.
Hva er kildens ansvar?
Kilden er ansvarlig for helseopplysninger som er nedtegnet i egen virksomhet, herunder for tilgjengeliggjøring av dem. Kilden bestemmer imidlertid på hvilken måte helseopplysninger skal tilgjengeliggjøres, jf. pjl. § 19. Eksempelvis kan dette skje gjennom dokumentdeling via kjernejournal eller andre metoder for tilgjengeliggjøring. Når en kilde gjør et utvalg av sine journaldokumenter tilgjengelig nasjonalt, har de ansvar for å:
- Virksomheter som skal tilgjengeliggjøre journaldokumenter, har ansvar for at det gjøres en forhåndsvurdering av hvilke dokumentmaler som skal gjøre tilgjengelig, innen rammen av kjernejournalforskriften § 4 første ledd nr. 8 referanse til ytterligere informasjon. I tillegg må virksomheten sørge for at de kliniske fagsystemene er konfigurert i henhold til dette. Helsedirektoratets veiledningsmateriell om hva som kan deles og hvilke dokumenttyper som skal brukes, vil være til støtte i en slik forberedende prosess.
- Kilden skal sørge for tekniske og organisatoriske tiltak for å ivareta informasjonssikkerheten, herunder logging og etterfølgende kontroll, jf. pjl. § 22. Dette må baseres på en risikovurdering hvor det tas hensyn til at tilgjengeliggjøringen skjer gjennom en automatisert prosess. Begge parter har plikt til å logge.
Dataansvaret kan ikke delegeres, men oppgaver kan fordeles.
Hva er konsumentens ansvar ?
Virksomhetene som slår opp i journaldokumenter fra andre, har et generelt ansvar for at virksomheten drives forsvarlig og lovlig. Forsvarlighetskravet, herunder tilrettelegge for at helsepersonellet kan overholde sine plikter jf. sphtl. § 2-2 og hpl. § 16. Krav om forsvarlige journalsystemer jf. sphtl. § 3-2
Endringene i bestemmelsene om taushetsplikt mv.
Den endringen som følger av lov 23. januar 2026 nr. 1 om endringer i helsepersonelloven og pasientjournalloven mv. (taushetsplikt og tilgjengeliggjøring av pasientopplysninger) som vil ha størst betydning for pasientens journaldokumenter er overføringen av ansvar fra kildevirksomhet til konsumentvirksomhet. Lovendringene vil imidlertid ikke ha betydning for hva som kan deles med hjemmel i kjernejournalforskriften § 4 første ledd nr. 8. Dette vil bli utdypet nærmere i en oppdatert versjon av denne siden.
Hva er helsepersonellets ansvar?
Helsepersonell har ansvar for å opptre i samsvar med lovkrav for yrkesutøvelsen.
- Forsvarlighetskravet jf. hpl. § 4
- Taushetsplikten og forbudet mot «snoking» jf. hpl. § 21
- Har til formål å ivareta tilliten til helsepersonell og helse- og omsorgstjenesten, slik at innbyggerne kan være trygge på at opplysninger de gir til helsepersonell ikke tilflyter uvedkommende
- Helsepersonell og andre som får kjennskap til opplysninger om noens helsemessige forhold eller andre personlige forhold i kraft av sitt virke, har lovbestemt taushetsplikt (individansvar).
Innebærer ikke bare plikt til å tie, men også en plikt til aktivt å hindre at andre får kunnskap om opplysningene - Unntak fra taushetsplikten kan kun skje i lovbestemte tilfeller, og ikke i større utstrekning enn nødvendig
Hpl. § 45 – gis tilgang til opplysninger som er nødvendige og relevante for å kunne yte forsvarlig helsehjelp
Taushetsplikten gjelder «overfor alle», også annet helsepersonell med taushetsplikt - Mottaker av opplysningene får taushetsplikt om opplysningene
- Gjelder både internt i en virksomhet og på tvers av virksomheter
Les mer om de juridiske rammene for pasientens journaldokumenter i reguleringsplan for e-helse.