Rettslige rammer

Oversikt over regelverk for pasientens journaldokumenter

I pasientens journaldokumenter gis helsepersonell tilgang til helseopplysninger i en annen virksomhet via referanser til utvalgte dokumenter i kjernejournal. Dokumentreferansene er en del av kjernejournal jf. pasientjournalloven § 13, jf. kjernejournalforskriften § 4 første ledd nr. 8 "referanse til ytterligere informasjon". Selve dokumentene som referansene viser til, er imidlertid ikke en del av kjernejournal. Tilgjengeliggjøring av selve dokumentene har sitt rettslige grunnlag i pasientjournalloven § 19, jf. helsepersonelloven § 25. Tilgjengeliggjøringen innebærer dermed at helsevirksomheter (kilder) gir helsepersonell ansatt hos andre virksomheter (konsumenter) tilgang til kildens journalsystem, nærmere bestemt i utvalgte forhåndsbestemte kategorier journaldokumenter. Dokumentene omfattes logisk sett av virksomhetenes journal, også om de er kopier lagret på egne samarbeidsområder. Helsepersonelloven § 25 andre ledd andre punktum presiserer adgangen til direkte tilgang mellom virksomheter.

Hvem kan få tilgang til pasientens journaldokumenter

Selv om dokumentene tilgjengeliggjøres av den enkelte dataansvarlige kilde, forutsetter det at virksomheten og helsepersonellet har tilgang til kjernejournal. 

Mange virksomheter har plikt til bruk, jf. forskrift om standarder og nasjonale e-helseløsninger § 10. For virksomheter som ikke har plikt til bruk, vil det være Helsedirektoratet som dataansvarlig for kjernejournal, som bestemmer om den enkelte virksomhet kan få tilgang, basert på en helhetlig vurdering, blant annet av antatt tjenstlig behov.  

Det er et krav at man må være helsepersonell for å kunne få tilgang til kjernejournal. I praksis innebærer dette også at man må ha et HPR-nummer. Hvilket helsepersonell som kan få tilgang til helseopplysninger i kjernejournal, bestemmes av det tjenstlige behovet for tilgang. Den enkelte virksomhet har ansvar for tilgangsstyringen i egen virksomhet, jf. kjernejournalforskriften § 9 første ledd.

Helsepersonells adgang til å gjøre oppslag i dokumenter i tjenesten pasientens journaldokumenter må være innen rammen av kjernejournals formål, som vil si enten til ytelse av helsehjelp, som samsvarer med formålet i helsepersonelloven § 25, eller til egen læring eller kvalitetssikring av tidligere ytt helsehjelp i samsvar med helsepersonelloven § 28 første ledd bokstav a. Kjernejournals formål er snevrere enn formålet til de virksomhetsinterne behandlingsrettede helseregistrene (pasientjournaler).

Rene forebyggende tjenester, samt administrasjon av helsehjelp, faller utenfor kjernejournals formål. Videre kan ikke helsepersonellet benytte kjernejournal til oppgaver som følger av lovpålagte oppgaver i forbindelse med bedriftshelsetjeneste jf. arbeidsmiljøloven § 3-3, jf. forskrift om organisering, ledelse og medvirkning kap 13.  I en del tilfeller kjøper virksomhetene også tilleggstjenester, som eksempelvis allmennlegetjenester, av leverandøren som bistår med de lovpålagte oppgavene etter arbeidsmiljøloven. Slike tjenester vil imidlertid ofte være ytelse av helsehjelp.

Hovedregelen er at pasienten må samtykke til at helsepersonellet gis tilgang til opplysninger i kjernejournal, jf. pasientjournalloven § 13 fjerde ledd. Imidlertid er det fastsatt flere unntak fra samtykkekravet. Dette gjelder både for flere roller og grupper av helsepersonell, samt for enkelte situasjoner. Helse- og omsorgsdepartementet har imidlertid sendt på høring forslag om lovendringer som gjennomfører helsedataforordningen i norsk rett. Høringen omfatter også forslag om opphevelse av kravet om samtykke for tilgang til kjernejournal.

Nærmere om tjenstlig behov

For å ha tjenstlig behov må helsepersonellet være i en situasjon hvor det er et konkret behov for opplysningene om pasienten for å utføre de arbeidsoppgavene vedkommende er satt til å gjøre. Der det ytes helsehjelp vil dette for eksempel omfatte situasjoner hvor pasienten faktisk mottar helsehjelp, samt de situasjoner hvor helsepersonellet planlegger eller forbereder slik helsehjelp. Videre omfattes etterarbeid knyttet til den helsehjelpen som er gitt.

Hva kan helsepersonellet få tilgang til?

Selv om selve journaldokumentene tilgjengeliggjøres av kilden for opplysningene med hjemmel i helsepersonelloven § 25, er den sammenstilte oversikten over referanser til journaldokumenter hjemlet i innholdselementet referanse til ytterligere informasjon, jf. kjernejournalforskriften § 4 første ledd nr. 8. Regelverket som regulerer kjernejournal, kommer til anvendelse også for tjenesten pasientens journaldokumenter som en ytre ramme. Hjemmelsgrunnlaget for denne oversikten setter dermed begrensninger for hvilke typer helseopplysninger som kan tilgjengeliggjøres nasjonalt.

Dette innebærer blant annet at tjenesten vil være avgrenset til tilgjengeliggjøring av dokumenter som innholdselementet «referanse til ytterligere informasjon» peker til. I bestemmelsens ordlyd eksemplifiseres dette til epikriser, prøvesvar, billedundersøkelser og henvisninger. Opplistingen er imidlertid ikke uttømmende. Eksemplene må imidlertid anses å gi føringer for hvordan bestemmelsen er å forstå. For å vurdere hva som kan tilgjengeliggjøres innen rammen av "referanse til ytterligere informasjon" må det derfor sees hen til både eksemplenes karakter, omtale i forarbeidene og formålet med kjernejournal.

På bakgrunn av hva som kan utledes av eksemplifiseringen og forarbeidene, jf. prop. 89 L (2011-2012), vurderer Helsedirektoratet at dette i all hovedsak kan beskrives som informasjon som er av en oppsummerende eller sammenfattende karakter, herunder resultater fra og vurderinger av ulike typer undersøkelser. Forståelsen av at informasjonen skal ha en oppsummerende og sammenfattende karakter understøttes også av formålet med kjernejournalforskriften, hvor det vises til at nasjonal kjernejournal skal sammenstille “vesentlige” opplysninger, jf. § 1 som tilsier at tilgjengeliggjorte dokumenter skal være avgrenset til det som er en oppsummering eller sammenfatning av den viktigste informasjonen. Dette vil typisk være dokumenter som er utarbeidet med tanke på at annet helsepersonell er adressat. Dette altså i motsetning til journaldokumenter som skrives med det formål å løpende dokumentere ytt helsehjelp, jf. helsepersonelloven §§ 39 og 40. Et løpende journaldokument vil dermed falle utenfor hva det er rettslig grunnlag for å tilgjengeliggjøre på bakgrunn av referansen.

I forarbeidene vises det til at epikriser er inkludert fordi "epikrisene inneholder informasjon om pasienten som vil kunne være nyttig for en behandler av en ukjent pasient i et ikke-planlagt pasientforløp. Epikrisen vil kunne gi verdifull informasjon om konteksten pasientens situasjon skal sees i." Epikrisen er i tillegg skrevet for å deles ved ytelse av helsehjelp. Epikrise er en type dokument som er skrevet av helsepersonell med det formål at informasjonen kan være relevant for annet helsepersonell som skal behandle pasienten. I helsepersonelloven § 26 første ledd andre punktum er epikrise definert som "et sammendrag av tilgjengelige journalopplysninger som gjelder en undersøkelse eller behandling av en pasient, og som er nødvendige for at videre behandling eller oppfølging av pasienten innenfor helse- og omsorgstjenesten kan skje på en forsvarlig måte". Det kan derfor utledes av forarbeidene og hvilken type dokument en epikrise er, at formålet er at helsepersonell skal ha tilgang til informasjon som annet helsepersonell har vurdert kan være nyttig for helsepersonell som skal behandlepasienten, og som nettopp er skrevet for at annet helsepersonell skal være mottakere av informasjonen. Dette tilsier at "ytterligere informasjon" er oppsummerende og sammenfattende informasjon skrevet av helsepersonell for at det skal ha relevans for annet helsepersonell i sin behandling av pasienten.

Referanser til prøvesvar ble omfattet fordi opplysninger om viktige svar fra gjennomført undersøkelse ved annet sykehus eller institutt kan forhindre at undersøkelser som allerede er gjort må gjøres på nytt. Svar fra laboratorie- og radiologiundersøkelser er også, i likhet med en epikrise, en oppsummering og sammenfatning etter en bestemt analyse eller undersøkelse. Prøvesvar er i ettertid tatt inn som et eget innholdselement i kjernejournal, og skal derfor ikke tilgjengeliggjøres i pasientens journaldokumenter, men at prøvesvar ble tatt i som eksempel på "referanse til ytterligere informasjon" underbygger vurderingen av at det er dokumenter av oppsummerende og sammenfattende karakter det pekes på under innholdselementet "referanse til ytterligere informasjon".

Det fremgår av forarbeidene at henvisninger er omfattet fordi de sier noe om planlagt helsehjelp, og inneholder en oppsummering av tilstanden pasienten skal motta helsehjelp for.

I forarbeidene pekes det tydelig på at kjernejournal ikke skal være en erstatning for pasientjournalen, og ikke inneholde alle opplysninger om pasienten. Selv om journalen skal føres på en måte som er lett å forstå for annet kvalifisert helsepersonell, er det primært en dokumentasjon av ytt helsehjelp, hvor helsepersonellet gjerne nedtegner tanker, refleksjoner og vurderinger, som ikke er ment eller egnet for deling med et vidt spekter av helsepersonell, og dessuten har lav klinisk verdi. Løpende journaldokumenter faller derfor utenfor de dokumenttyper som kan tilgjengeliggjøres i pasientens journaldokumenter.

Videre må det avgrenses til dokumenter som sannsynligvis vil ha relevans når annet helsepersonell på et senere tidspunkt skal yte helsehjelp til pasienten. Altså ikke opplysninger som primært er av interesse på et snevert område og relevant kun for en kortere periode. Slike behov for utveksling av opplysninger må løses bilateralt.

Kjernejournalregelverket som rettslig ramme - forholdet til tilgjengeliggjøring etter pasientjournalloven § 19, jf. helsepersonelloven § 25

Helsedirektoratet erfarer at det har blitt stilt spørsmål ved hvorfor tilgjengeliggjøring av opplysninger i tjenesten pasientens journaldokumenter er avgrenset av kjernejournals rammer, når virksomhetene potensielt vil kunne tilgjengeliggjøre også andre opplysninger med hjemmel i pasientjournalloven § 19, jf. helsepersonelloven § 25.

Hovedregelen for behandling av pasientopplysninger er helsepersonellets taushetsplikt. All deling av pasientopplysninger er unntaksregler fra taushetsplikten. Unntakene kan grovt sett deles i to; generelle bestemmelser om tilgjengeliggjøring som åpner for at i prinsippet enhver opplysning om pasienten kan deles med hvilket som helst helsepersonell når vilkårene er oppfylt (pasientjournalloven § 19, jf. helsepersonelloven § 25) og tilgjengeliggjøring gjennom nasjonale registre/samhandlingsløsninger, hvor formålet er å tilgjengeliggjøre sentrale helseopplysninger som det er sannsynlig at helsepersonell som senere behandler pasienten vil ha behov for, uavhengig av hvor opplysningene er dokumentert (pasientjournalloven § 13). De rettslige rammene for hva som kan deles avhenger dermed av om opplysningene tilgjengeliggjøres i nasjonale løsninger eller om den foregår i mindre skala i en snevrere og mer spesifikk kontekst. Rammene for nasjonal tilgjengeliggjøring må være snevrere enn deling som skjer eksempelvis bilateralt knyttet til helt spesifikke behov, hvor pasientjournalloven § 19, jf. helsepersonelloven § 25 alene vil være hjemmelsgrunnlaget. Nasjonale samhandlingsløsninger er ikke ment å favne ethvert konkret lokalt behov for utveksling av pasientopplysninger. Det er en forutsetning at opplysningene er vurdert som egnet for tilgjengeliggjøring for en større gruppe helsepersonell, som potensielt vil kunne ha tjenstlig behov for opplysningene. Ivaretakelse av snevre behov skal derfor ikke løses i en nasjonal løsning.

Føringen er at sammenstilling og tilgjengeliggjøring av helseopplysninger nasjonalt, som hovedregel skal skje innenfor kjernejournal som juridisk ramme. Kjernejournalforskriften regulerer innhold og er ikke knyttet til konkrete løsninger eller teknologier.

Aktørenes ansvar

Ansvar som påhviler helsevirksomhetene generelt

Det påhviler virksomheter som yter helsetjenester en rekke krav fastsatt i helselovgivningen, og som derfor gjelder for både kildevirksomheter og konsumentvirksomheter. Dette omfatter blant annet krav til å organisere virksomheten slik at helsepersonellet blir i stand til å overholde sine lovpålagte plikter, jf. helsepersonelloven § 16. Videre stilles det krav om at virksomhetenes behandlingsrettede helseregistre skal være utformet og organisert slik at krav fastsatt i eller i medhold av lov kan oppfylles, jf. pasientjournalloven § 7. Virksomhetene er også pålagt å iverksette tekniske og organisatoriske tiltak for å ivareta informasjonssikkerheten, jf. pasientjournalloven § 22. Dette omfatter tilgangsstyring, loging og etterfølgende kontroll. Tiltakene må blant annet baseres på en risikovurdering hvor det tas hensyn til at tilgjengeliggjøringen skjer gjennom en automatisert prosess. Krav til internkontroll er fastsatt i pasientjournalloven § 23.

Ansvar som påhviler helsepersonellet generelt

Helsepersonell har ansvar for å opptre i samsvar med lovkrav for yrkesutøvelsen. Helsepersonelloven § 4 oppstiller et generelt krav til at helsepersonell skal utføre sitt arbeid i samsvar med de til faglig forsvarlighet. I denne konteksten er taushetsplikten særlig relevant. Hovedregelen om taushetsplikt følger av helsepersonelloven § 21. Den innebærer at helsepersonell ikke skal tilgjengeliggjøre pasientopplysninger som de får i egenskap av å være helsepersonell for andre, de skal hindre at andre får adgang eller kjennskap til opplysningene, og de skal ikke skal lese, søke etter eller på annen måte tilegne seg taushetsbelagte opplysninger de ikke har tjenstlig behov for. Det rettslige grunnlaget for at helsepersonell med tjenstlig behov for opplysningene i forbindelse med helsehjelp har adgang til å søke frem opplysninger i pasientens journaldokumenter er helsepersonelloven § 25.

Taushetsplikten gjelder «overfor alle», også annet helsepersonell med taushetsplikt. Den gjelder både internt i en virksomhet og på tvers av virksomheter. Der opplysninger deles med andre med hjemmel i lovbestemt unntak fra taushetsplikten, får mottaker av opplysningene også plikt til å bevare taushet om opplysningene.

At taushetsplikten etterleves er helt avgjørende for å bevare tilliten til helsepersonell og helse- og omsorgstjenesten. Innbyggerne kan være trygge på at opplysninger de gir til helsepersonell ikke tilflyter uvedkommende. 

Ansvaret for at oppslag er rettmessige

Helsepersonelloven § 25 tredje ledd fastsetter at det er personellet som skal bruke opplysningene, som har ansvar for å vurdere om opplysningene er relevante og nødvendige. Plikten til å yte forsvarlig helsehjelp påligger den som yter helsehjelp i den konkrete helsehjelpssituasjonen. Helsepersonellet har derfor et berettiget behov for å avklare om opplysninger er relevante og nødvendige for helsehjelpen som ytes. Denne vurderingen må helsepersonellet foreta på bakgrunn av sin helsefaglige kunnskap og sine helsefaglige oppgaver og tjenstlige behov. At personell vil få kjennskap til flere opplysninger enn det som i etterkant viser seg å være relevant og nødvendig må aksepteres og vil ikke i seg selv innebære et brudd på taushetsplikten.

Opplysninger som den enkelte tilegner seg, skal være innenfor rammene av det den enkelte er autorisert for (rolle) og i henhold til rutinene i virksomheten der vedkommende yter helsehjelp. At personellet som skal bruke opplysningene har ansvar for å vurdere om opplysningene er relevante og nødvendige, betyr ikke at personell med tjenstlig behov kan kreve digital tilgang til opplysninger hos andre virksomheter. Det er virksomheten hvor opplysningene er nedtegnet som bestemmer på hvilken måte opplysningene skal gjøres tilgjengelige, jf. pasientjournalloven § 19 andre ledd. Dette innebærer at det er de dataansvarlige kildene selv som bestemmer i hvilken grad de tilgjengeliggjør journaldokumenter i tjenesten pasientens journaldokumenter. Virksomheter har ingen plikt til å tilgjengeliggjøre opplysninger i pasientens journaldokumenter. Blant annet må det gjøres på en måte som ivaretar informasjonssikkerheten, herunder krav til konfidensialitet/taushetsplikt, jf. pasientjournalloven § 19 andre ledd andre punktum. Kilden må derfor, blant annet gjennom avtaleverk/bruksvilkår, forsikre seg om at virksomhetene den tilgjengeliggjør opplysninger til, har systemer for ivaretakelse av taushetsplikten mv.

At det er helsepersonellet som har ansvaret for å vurdere om vilkårene opplysningene er relevante og nødvendige for helsehjelpen som ytes, innebærer at det formelle ansvaret for hvorvidt det konkrete oppslaget er rettmessig, påhviler virksomheten hvor oppslaget foretas. Det er denne virksomheten som skal autorisere eget personell og være ansvarlig for tilgangsstyring i egen virksomhet, noe som også skal gjenspeile det tjenstlige behovet for å kunne gjøre oppslag i opplysninger hos andre virksomheter.

Virksomheten hvor helsepersonellet er tilknyttet, har ansvar for blant annet å forebygge urettmessige oppslag gjennom virksomhetens styringssystem, herunder styring gjennom rutiner, prosedyrer, logging av oppslag som gjøres og etterfølgende kontroll av logg.

Ansvar for logging og etterfølgende kontroll

Pasientjournalloven § 22 fastsetter krav til informasjonssikkerhet, og i § 22 a er det oppstilt eksplisitte krav til logging. Logging av oppslag i pasientjournalsystemene som gjøres mellom ulike virksomheter, forutsetter at helsepersonellets handlinger kan «følges» mellom virksomhetene. Kravene til logg påhviler både kildevirksomhet og konsumentvirksomhet. Virksomhetene kan ikke avtale løsninger som innebærer at oppslagets rettmessighet ikke kan vurderes, og dermed vil begrense pasientenes rettigheter.

Virksomheten hvor helsepersonellet er tilknyttet, har ansvar for blant annet å forebygge urettmessige oppslag i journal gjennom virksomhetens internkontroll og informasjonssikkerhet, som styring gjennom rutiner, prosedyrer, logging av oppslag som gjøres i journalsystemene og etterfølgende kontroll av logg.

Gjennomføring av etterfølgende kontroll av logger, for å kunne avdekke eventuelle urettmessige oppslag, forutsetter at den dataansvarlige kilden har tilstrekkelig informasjon til å vurdere hvorvidt oppslaget var rettmessig. Eksempelvis kan dette være informasjon som genereres i virksomheten hvor oppslaget gjøres, og som overføres til den dataansvarlige via mekanismen som autentiserer helsepersonellet. Dette betyr at begge virksomheter må ha en oversikt over foretatte oppslag. Selv om den virksomheten som tilgjengeliggjør opplysningene ikke vil ha ansvaret for den konkrete vurderingen av om en tilgjengeliggjøring er rettmessig, er det en forutsetning at det følges opp og kontrolleres hvilke opplysninger det er foretatt oppslag i, selv om oppslaget er foretatt fra andre virksomheter. Den oppfølgende kontrollen må altså gjennomføres i et samarbeid. Det må for det første kontrolleres hvilke oppslag egne ansatte har foretatt, også i andre virksomheters journalsystemer. For det andre må hvilke oppslag som er foretatt i virksomhetens journalsystemer fra personell i andre virksomheter også følges opp. Loggkontroll ut fra disse to perspektivene skal utfylle hverandre og være egnet til å avdekke urettmessige oppslag.

Tilliten til et system der journalopplysninger deles på tvers av virksomheter forutsetter at den enkelte virksomhet sørger for at det blir gjennomført etterkontroll av loggene. Ansvaret påhviler den enkelte dataansvarlige virksomhet, men kan løses på ulike måter, eksempelvis gjennom felles prosesser.

Lenke til rundskrivet Helsepersonelloven med kommentarer

    Først publisert: 15.05.2025 Siste faglige endring: 26.06.2026 Se tidligere versjoner

    Til toppen