Rettslige rammer

Oversikt over regelverk for pasientens journaldokumenter

Forslag til endringer i reglene om taushetsplikt i helsepersonelloven og pasientjournalloven mv. har vært på høring. Helse- og omsorgsdepartementet arbeider med å følge opp høringsinnspillene.

Hvem kan få tilgang?

Pasientens journaldokumenter er basert på dokumentdeling gjennom kjernejournal. Tilgang forutsetter dermed tilgang til Nasjonal kjernejournal. Hvilket helsepersonell som kan få tilgang til helseopplysninger i Nasjonal kjernejournal, bestemmes av det tjenstlige behovet for tilgang. Helsedirektoratet er dataansvarlig for kjernejournal og vurderer på overordnet nivå helsepersonellets arbeidsoppgaver i en type virksomhet og om det for disse, foreligger et tjenstlig behov tilgang. Den enkelte virksomhet har ellers ansvar for tilgangsstyringen i egen virksomhet.

Helsepersonells adgang til å gjøre oppslag i dokumenter i tjenesten pasientens journaldokumenter må være innen rammen av kjernejournals formål, som vil si enten til ytelse av helsehjelp, som samsvarer med formålet i helsepersonelloven § 45, eller til egen læring eller kvalitetssikring av tidligere ytt helsehjelp i samsvar med helsepersonelloven § 29 c.
 

Hva kan de få tilgang til?

I pasientens journaldokumenter gis helsepersonell tilgang til helseopplysninger i en annen virksomhet via referanser til utvalgte dokumenter i kjernejournal. Dokumentreferansene er en del av kjernejournal jf. pasientjournalloven § 13, jf. kjernejournalforskriften § 4 første ledd nr. 8 referanse til ytterligere informasjon. Selve dokumentene som referansene viser til, er imidlertid ikke en del av kjernejournal. Tilgjengeliggjøring av dokumentene har sitt rettslige grunnlag i de ordinære bestemmelsene om tilgjengeliggjøring av helseopplysninger.

Regelverket som regulerer kjernejournal, kommer til anvendelse også for tjenesten pasientens journaldokumenter som en ytre ramme. Dette innebærer at tjenesten vil være avgrenset til tilgjengeliggjøring av dokumenter som innholdselementet «referanse til ytterligere informasjon» peker til. I bestemmelsens ordlyd eksemplifiseres dette til epikriser, prøvesvar, billedundersøkelser og henvisninger. Denne opplistingen er ikke uttømmende, men et løpende journaldokument vil eksempelvis falle utenfor hva det er rettslig grunnlag for å tilgjengeliggjøre på bakgrunn av referansen.

Hva er kildens ansvar?

Kilden er ansvarlig for helseopplysninger som er nedtegnet i virksomheten, herunder for tilgjengeliggjøring av dem. 

  • Dette innebærer at kilden har ansvaret for at den enkelte tilgjengeliggjøringen er rettmessig (herunder at vilkårene for tilgjengeliggjøring etter hpl. § 45 er oppfylt)

Kilden bestemmer på hvilken måte helseopplysninger skal tilgjengeliggjøres, jf. pjl. § 19

  • Eksempelvis kan dette skje gjennom dokumentdeling via kjernejournal eller andre metoder for tilgjengeliggjøring

Kilden skal sørge for tekniske og organisatoriske tiltak for å ivareta informasjonssikkerheten, herunder tilgangsstyring, logging og etterfølgende kontroll, jf. pjl. § 22. 

  • Dette må baseres på en risikovurdering hvor det tas hensyn til at tilgjengeliggjøringen skjer gjennom en automatisert prosess. 
  • Begge parter må logge

Dataansvaret kan ikke delegeres, men oppgaver kan fordeles. 

Hva er konsumentens ansvar ?

Virksomhetene som slår opp i journaldokumenter fra andre, har et generelt ansvar for at virksomheten drives forsvarlig og lovlig.

  • Forsvarlighetskravet, herunder tilrettelegge for at helsepersonellet kan overholde sine plikter jf. sphtl. § 2-2 og hpl. § 16
  • Krav om forsvarlige journalsystemer jf. sphtl. § 3-2

Hva er helsepersonellets ansvar?

Helsepersonell har ansvar for å opptre i samsvar med lovkrav for yrkesutøvelsen. 

  • Forsvarlighetskravet jf. hpl. § 4 
  • Taushetsplikten og forbudet mot «snoking» jf. hpl. §§ 21 og 21 a.
    • Har til formål å ivareta tilliten til helsepersonell og helse- og omsorgstjenesten, slik at innbyggerne kan være trygge på at opplysninger de gir til helsepersonell ikke tilflyter uvedkommende 
    • Helsepersonell og andre som får kjennskap til opplysninger om noens helsemessige forhold eller andre personlige forhold i kraft av sitt virke, har lovbestemt taushetsplikt (individansvar).
      Innebærer ikke bare plikt til å tie, men også en plikt til aktivt å hindre at andre får kunnskap om opplysningene
    • Unntak fra taushetsplikten kan kun skje i lovbestemte tilfeller, og ikke i større utstrekning enn nødvendig 
      Hpl. § 45 – gis tilgang til opplysninger som er nødvendige og relevante for å kunne yte forsvarlig helsehjelp 
      Taushetsplikten gjelder «overfor alle», også annet helsepersonell med taushetsplikt
    • Mottaker av opplysningene får taushetsplikt om opplysningene
    • Gjelder både internt i en virksomhet og på tvers av virksomheter

Les mer om de juridiske rammene for pasientens journaldokumenter i reguleringsplan for e-helse.

Regelverk for offentlige anskaffelser og statsstøtte

Den enkelte virksomhet er selv ansvarlig for å vurdere om regelverket for offentlige anskaffelser kommer til anvendelse og i så all sørge for å etterleve kravene i dette regelverket.

Aktører som ønsker å tilby tjenester til andre virksomheter, må vurdere om de er omfattet av regelverket for statsstøtte og ta hensyn til dette.

Helsedirektoratet har i rapportene om anbefaling av tilgjengeliggjøring av journaldokumenter fra kommuner og avtalespesialister gjort noen rettslige vurderinger, hvor blant annet regelverket om statsstøtte og offentlige anskaffelser er omtalt.

Først publisert: 15.05.2025 Siste faglige endring: 22.05.2025 Se tidligere versjoner