Kapittel 3.1Rettigheter for innbygger

Krav i forordningen

EHDS-forordningen skal gi fysiske personer (heretter omtalt som innbyggere) bedre tilgang til og kontroll på egne helseopplysninger enn hva innbyggere har etter personvernforordningen i dag. Innbyggere skal ha rett til digitalt innsyn i minimum de prioriterte kategoriene av helseopplysninger. Innsyn skal være gratis og som hovedregel gis umiddelbart etter at opplysningene er registrert. Hvert land kan fastsette bestemmelser om utsatt innsyn innenfor angitte rammer. Innbyggere har rett til å laste ned en kopi av helseopplysningene, på et felles europeisk format, og dele disse med helsepersonell eller annen helsevirksomhet i EU/EØS som skal kunne ta imot disse på det felles formatet. Oppslag i og deling av data skal registreres i en digital tilgangslogg, som innbyggere skal ha rett til digitalt innsyn i. I hvert land skal det etableres en eller flere aksesstjenester for å gi innbygger, og innbyggers representanter, tilgang til helseopplysningene. I tilknytning til aksesstjenestene skal det etableres elektronisk fullmaktstjeneste hvor innbygger kan autorisere andre til å ha digital tilgang. Innbyggeren skal også ha mulighet til å skrive inn supplerende opplysninger i egen pasientjournal, eventuelt i en personlig journal som helsepersonell har tilgang til. Det innbygger skriver skal tydelig skilles fra det helsepersonell dokumenterer. Innbygger har ikke rett til å endre på det som er dokumentert av helsepersonell, men kan digitalt be om retting av opplysninger helsepersonell har dokumentert. Innbygger har rett til å begrense helsepersonells og helsevirksomheters mulighet til innsyn i hele eller deler av deres helseopplysninger. Hvert land kan fastsette nærmere bestemmelser om tilgangsbegrensninger og reservasjon. Alle europeiske innbyggere skal kunne identifisere og autentisere seg med bruk av e-id som er anerkjent etter artikkel 6 i eIDAS, og hvert land kan fastsette tilleggsbestemmelser for å sikre identitet over landegrensene.

Figur 3 viser hvilke rettigheter en innbygger/pasient vil ha i Norge og på tvers av landegrenser som følge av EHDS. Innbygger skal ha tilgang til og kunne kontrollere sine helseopplysninger innenfor de prioriterte kategorier. Innbygger skal kunne laste ned kopi av opplysningene, avgjøre hvem som skal kunne se opplysningene, og også kunne følge med på hvem som har hatt tilgang til opplysningene i ettertid. Det skal også være mulig å be om retting, legge til informasjon og reservere seg mot primærbruk av opplysningene.
Figur 3: Primærbruk av helsedata, rettigheter for innbygger/pasient

Situasjonen i Norge i dag

Innbyggers digitale tilgang til og kontroll på egne helseopplysninger varierer. Per i dag har innbyggere i Norge bedre digital tilgang til journaldokumenter fra sykehus enn fra den kommunale helse- og omsorgstjenesten, da helseforetakene gjennom forskrift er forpliktet til å tilgjengeliggjøre innsyn via Helsenorge, men det mangler likevel tilgang på flere områder og aktører. Norge har vedtatt å implementere kravene i eIDAS-forordningen om elektroniske tillitstjenester, og EHDS vil bygge videre på dette.

Foreløpige gap-beskrivelser

Gap-beskrivelser

#

Tema

Art.

Gap

Status

1

Digital tilgang
til egne
helseopplysninger

Innsyn,
overføre data, logg

 

3, 7, 9

Kravet er delvis oppfylt. Aksesstjenestene Helsenorge og HelsaMi dekker ikke fullt

ut de prioriterte kategoriene av helseopplysninger og ikke informasjon fra alle aktører i sektor.

Via Helsenorge har norske innbyggere mulighet for innsyn i helseopplysninger

(eksempelvis legemidler, kjernejournal og utvalgte journaldokumenter), og disse

er delvis i samsvar med de prioriterte kategoriene.

  • Helseforetak gir innbygger tilgang til utvalgte journaldokumenter via Helsenorge,
    men det varierer hvilke dokumenter som er tilgjengelig.
  • Helseforetak og kommuner i Midt-Norge som bruker Helseplattformen,
    tilbyr innsyn i opplysninger og utvalgte journaldokumenter via HelsaMi.
  • Avtalespesialister og aktører i kommunal helse- og omsorgstjeneste tilbyr
    per i dag ikke tjenester for innsyn (ut over det som er tilgjengelig i e-resept og kjernejournal).
  • Det er per i dag ikke støtte for å kunne overføre og
    laste ned data på formater som EU krever.
  • Det finnes løsninger for logg over bruk,men kun et fåtall er tilgjengelig digitalt for innbygger.
  • Det er per i dag ikke støtte for å vise innbygger helseopplysninger fra andre EU/EØS-land.  
Kakediagram som er fylt 1/2

 

2

Involvering
i egen helse

Aksesstjenester, fullmakt, legge til info, be om retting og sletting

 

4, 5, 6

Kravet er i liten grad oppfylt. Involvering ved bruk av Helsenorge dekker ikke opplysninger

fra alle aktører i sektoren, og det mangler en helhetlig fullmaktstjeneste.

  • De fleste bosatt i Norge kan benytte Helsenorge som aksesstjeneste,
    men det er per i dag ikke alle helseaktører i den offentlige helsetjenesten som tilbyr tjenester via Helsenorge. Opplysningene som er tilgjengelig dekker delvis informasjonsinnholdet i de prioriterte kategoriene av helseopplysninger. 
  • Helsenorge dekker ikke helprivate helseaktører og mangler også opplysninger fra pasientbehandling i andre medlemsland.
  • Helsenorge tilgjengeliggjør digitale skjema for å be om retting og sletting i journaldokumenter i helseforetak.
  • Innbyggers representanter kan i de fleste tilfeller få tilgang på Helsenorge,
    men det er noen mangler f.eks. for fosterforeldre og for personer med d-nummer/uten fødselsnummer.
  • EHDS krever en brukervennlig fullmaktstjeneste, med opplysninger om representanter og tilhørende fullmakter for aksess til digitale helsetjenester på vegne av innbygger. Fullmaktstjenesten i ulike medlemsland skal være interoperable på tvers av landegrenser, samt være i tråd med kravene til fullmakter i EU Digital Identity Wallet.
Kakediagram som er fylt 1/4

 

3

Tilgangs-begrensninger

Skjerme/sperre

8, 10

Kravet er i liten grad oppfylt. Det finnes ikke noen samlet løsning som dekker kravene til mulighet for tilgangsbegrensninger i dag (også omtalt som sperring). Dagens løsninger for dette er oftest knyttet til hvert system (lokalt eller nasjonalt), og de dekker per i dag ikke omfanget av og kravene knyttet til de prioriterte kategoriene av helseopplysninger.

  • Siden innbygger i mange tilfeller ikke har innsyn i hvilken informasjon som er lagret er det også liten bevissthet rundt rettigheten og muligheten til å sperre.
  • Kjernejournal har mulighet for sperring av opplysninger, men primært for brede grupper informasjon (eks. alle besøk hos spesialisthelsetjenesten).
Kakediagram som er fylt 1/4

4

Identitet

Identifikasjon, autorisasjon av innbyggere og helsepersonell

 

16,
4,

9.1, 11.1, 11,2,

12, 13.3
eIDAS

Kravet er i liten grad oppfylt. I en del tilfeller møter ikke dagens løsninger kravene til identifisering. Dette gjelder ved registrering av helseopplysninger i helsetjenesten, der det kreves at disse lagres sammen med pasientens identifiserende opplysninger fra bostedslandet. Ved oppslag avhelseopplysninger på tvers av landegrensene er infrastrukturen påbegynt, men de prioriterte kategoriene støttes ikke og det er ikke støtte for oppslag fra utlandet. For norske innbyggeres aksess til egne helseopplysninger fungerer dette kun for personer som har tilgang i dag.
Dette er ikke tilstrekkelig og flere brukergrupper faller utenfor fordi de mangler norsk personidentifikator (PID) eller norsk eID-løsning.

Kakediagram som er fylt 1/4

 

Foreløpig liste av tiltaksområder som må vurderes nærmere

  • Aksesstjeneste for innbygger: Vurdere behov for nasjonal, eventuelt regional eller lokal aksesstjeneste som kan benyttes av alle aktører i sektoren for innbyggers tilgang til de prioriterte kategorier av helseopplysninger. Vurdere Helsenorges rolle i aksesstjeneste for innbygger, og ev. om det skal kravstilles bruk av Helsenorge som aksesstjeneste for alle helseaktører i Norge.
  • Dataportabilitet: Vurdere behov for en dataportabilitetstjeneste som understøtter nedlasting til innbygger og overføring av data mellom EHR-systemer etter anmodning fra innbygger.
  • Helhetlig fullmaktstjeneste: Utrede konsept for en helhetlig representasjons- og fullmaktsløsning for helsetjenesten, og Helsenorge sin rolle i dette.
    • Vurdere videreutvikling av eksisterende fullmaktstjeneste i Helsenorge slik at opplysningene om representasjon kan benyttes av alle helseaktører i Norge samt "cross-border".
    • Vurdere behovet for tilgjengeliggjøring av manglende datagrunnlag for legale representasjonsforhold for barn i Norge.
    • Utrede behovet for pårørende- og hjelpefullmakter, samt fremtidsfullmakter knyttet til helsetjenester.
  • Identifikasjon
    • eIDAS (electronic IDentification, Authentication and trust Services): Vurdere hvilke deler av infrastrukturen som tilbys gjennom eIDAS og tilhørende digitale lommebok som er relevant. Vurdere risikoen, og evt. risikoreduserende tiltak, knyttet til implementeringen av eIDAS [17]. Vurdere å kravsette at pålogging for helsepersonell i alle EHR-systemer i Norge krever eID notifisert etter eIDAS. Vurdere å inkludere flere eIDAS-notifiserte eID-løsninger fra andre medlemsland i HelseID. Vurdere innføring av eIDAS-login fra Digdir i helsetjenesten.
    • PID (Personal Identifying Data): Vurdere virkemidler som f.eks. veiledning overfor helsetjenesten og EHR-leverandørene for at alle EHR-systemer skal støtte alle medlemslandenes personidentifiserende data/PID (Personal Identifying Data).

Prinsipielle og strategiske spørsmål

  • Vil innbyggers tilgang til helseopplysninger fra behandling i annet EU/EØS-land gjøres gjennom innbyggers aksesstjeneste i bostedslandet? [18] Er det gitt at det er MyHealth@EU-infrastrukturen som skal benyttes for den grensekryssende utveksling av helseopplysningene også for innbyggers aksesstjeneste?
  • Vil Norge gi innbyggere rett til reservasjon mot deling av helseopplysninger via tjenesten MyHealth@EU og aksesstjenestene, utsatt innsyn og/eller andre begrensninger?
  • Kan Helsenorge benyttes som aksesstjeneste også for den helprivate delen av norsk helsetjeneste?

 

 

[17] Planlagt innføring i Norge for EUDI Wallet og identitetsmatching er senere enn frist for innføring av første gruppe prioriterte kategorier helseopplysninger.

[18] For norske turister som får helsehjelp i EU vil dette bety at de logger seg inn i Helsenorge i utlandet, og får tilgang til utenlandske helseopplysninger om seg selv på denne måten.

Forrige kapittel

Overordnet vurdering av EHDS i norsk kontekst

Neste kapittel

Opplysninger til utøvelse av helsehjelp

Siste faglige endring: 19. mai 2025