(fra departementets EØS-notat, sist oppdatert 27.11.2025)

Sammendrag av innhold

Helsedataforordningen er et viktig skritt for å sikre bedre helse- og omsorgstjenester i Europa og Norge. Den har som mål å etablere en felles ramme for bruk og utveksling av digitale helsedata i EU/EØS. Forordningen skiller mellom primær- og sekundærbruk av helsedata. Primærbruk omhandler bruk av helsedata til helsehjelpsformål, mens sekundærbruk handler om gjenbruk av helsedata til andre formål som forskning.

Enkeltpersoners tilgang til og kontroll over digitale helsedata som omhandler dem selv forbedres, samtidig som visse data kan gjenbrukes til formål av allmenn interesse, politikkutforming og forskning (sekundærbruk). Forordningen fremmer et helsespesifikt dataøkosystem som støtter et indre marked for digitale helse- og omsorgstjenester og -produkter. Den etablerer også en felles juridisk og teknisk ramme for elektroniske pasientjournalsystemer, som fremmer interoperabilitet, innovasjon og et velfungerende indre marked.

 Det europeiske helsedataområdet vil:

• gi enkeltpersoner mulighet til å få tilgang til, kontrollere og dele digitale helsedata over landegrensene for helsetjenester (primærbruk),
• muliggjøre sikker og pålitelig gjenbruk av helsedata til forskning, innovasjon, beslutningstaking og reguleringsformål (sekundærbruk),
• fremme et indre marked for digitale helsetjenester og -produkter, slik som elektroniske pasientjournalsystemer.

På denne måten kan sikker deling, bruk og gjenbruk av helsedata maksimeres, til fordel for pasienter, helsepersonell, forskere, leverandører, innovatører og myndigheter.

Helsedataforordningen består av flere kapitler som regulerer ulike aspekter.

Kapittel 1 (artikkel 1 og 2) om formål og virkeområde

Artikkel 1 angir forordningens formål og virkeområde, mens definisjoner er inntatt i artikkel 2.

Kapittel 2 (artikkel 3 til 24) om primærbruk

Artiklene i kapittelet gir enkeltpersoner utvidede rettigheter knyttet til helseopplysninger om seg selv, inkludert tilgang til og mulighet til å kontrollere og dele pasientoppsummeringer, elektroniske resepter, medisinske bildediagnostiske undersøkelser, medisinske testresultater og utskrivningsrapporter. Se artiklene 3 til 10. Helsepersonell i andre europeiske land skal kunne gis tilgang til prioriterte journalopplysninger fra norske virksomheter, og motsatt. Det stilles krav om å benytte et europeisk format for utveksling av prioriterte kategorier av helseopplysninger, identifikasjonsstyring og teknisk gjennomføring. Videre stilles det krav til etablering av digital helsemyndighet, klageadgang, teknisk infrastruktur for deling av helseopplysninger (Myhealth@EU), interoperabilitet mv. Se artikkel 19 til 24.

Kapittel 3 (artikkel 25 til 49) – om pasientjournalsystemer og helse- og livsstilsapplikasjoner

Artiklene inneholder krav om at alle innbyggere skal få digital tilgang til helseopplysninger om seg selv, og mulighet til å gi ytere av helsetjenester tilgang til helseopplysningene.

Prioriterte kategorier av helseopplysninger skal gjøres tilgjengelig i et felles europeisk format og det er obligatoriske krav til interoperabilitet, sikkerhet og personvern for deling av helseopplysninger mellom helsepersonell og helsevirksomheter internt i det enkelte land og på tvers av landegrensene i EU/EØS.

Leverandører av pasientjournalsystemer skal «selvdeklarere» sine produkter og bekrefte at de følger forordningens krav til interoperabilitet, sikkerhet, personvern mv. Leverandører av helse- og livsstilsapplikasjoner (wellness applications) som skal utveksle data med pasientjournalsystemer skal merke sine applikasjoner, dersom de oppfyller kravene til interoperabilitet, sikkerhet, personvern mv.

Det stilles krav om obligatorisk tilknytning til grensekryssende digital infrastruktur for utveksling av helseopplysninger (MyHealth@EU) til primærbruk.

Videre skal det etableres og forvaltes en ny myndighetsfunksjon, Markedstilsynsmyndighet (Market Surveillance Authority) som bl.a. skal rapportere til EU-kommisjonen.

Artikkel 49 om EU-database for registrering av pasientjournalsystemer og helse- og livsstilsapplikasjoner, krever at kommisjonen oppretter og vedlikeholder en offentlig tilgjengelig database med informasjon om systemer og applikasjoner som er i samsvar med kravene i forordningen, og som har fått EU-samsvarserklæring eller merke. Produsenter må registrere nødvendige data før systemer eller applikasjoner gjøres tilgjengelig på markedet.

Kapittel 4 (artikkel 50 til 81) om sekundærbruk

Artiklene inneholder krav om utvikling av en ny, desentralisert EU-infrastruktur for sekundærbruk av helsedata (HealthData@EU), og et felles EU-rammeverk for bruk av helsedata til forskning, utvikling, folkehelse, styringsgrunnlag og persontilpasset medisin mv.

Det stilles krav om at det må opprettes helsedatatilgangsorgan (Health data access bodies) med ansvar for å tilgjengeliggjøre elektroniske helsedata til sekundærbruk. Helsedatatilgangsorganer kan også kreve gebyrer for å gjøre elektroniske helsedata tilgjengelige, tilbakekalle datatillatelser og stoppe databehandling ved manglende overholdelse og ileggelse av overtredelsesgebyr.

Helsedatainnehavere må kunne gjøre relativt store datasett tilgjengelig for sekundærbruk, innen rammene av forordningen. Kun anonymiserte og pseudonymiserte helsedata skal benyttes til sekundærbruk, og det er forbudt å re-identifisere enkeltpersoner. Helseopplysninger avgitt til sekundære formål, skal ikke kunne benyttes til å fatte beslutninger som går ut over enkeltpersoner, som å øke forsikringspremier basert på sykdomsbilde eller målrettet markedsføring.

 Et helsedatatilgangsorgan kan gi informasjon til pasienter/personens behandlende lege om «klinisk signifikante funn» om deres helse. Det er adgang til å gi nasjonale regler om slik informasjon.

Det stilles krav om om ombligatorisk tilknytning til EUs grensekryssende infrastrktur for sekundærbruk av data, HealthData@EU.

Kapittel 5 til 9 (artikkel 82 til 105) om koordinering, organisering, delegering, overtredelsesgebyr og ytterligere tiltak

Regler for sanksjoner ved brudd på forordningen, som ikke omfattes av bestemmelsene om overtredelsesgebyr etter artikkel 63 og 64, skal fastsettes nasjonalt. Sanksjonene skal være effektive, proporsjonale og avskrekkende.

Flere av artiklene kommer trinnvis til anvendelse 4, 6 eller 10 år etter ikrafttredelsen i EU. Gjennomføringsrettsakter skal vedtas innen 2 år etter ikrafttredelsen og gjelde fra 4 år etter ikrafttredelsen i EU.

Rettslige konsekvenser

Lovverket må tilpasses for å dekke kravene, noe som blant annet kan innebære endringer i helselovgivningens regulering av deling av helseopplysninger for både primær- og sekundærbruk. Departementet vil komme tilbake til dette i høringen av lovforslag. 

Forordningen krever artikkel 103-forbehold, da den både fordrer nasjonale lovendringer og vil få budsjettmessige og organisatoriske konsekvenser. Det vil derfor tas forbehold om Stortingets godkjenning i EØS-komitévedtak om innlemmelse. Forordningen inngår som en del av EUs strategiske agenda for 2024-2029, vedtatt i rådet 27. juni 2024.

Forordningen er hjemlet i artikkel 16 og 114 i TEUV, som hhv. gjelder rett til vern om personopplysninger og harmonisering av medlemsstatenes lovgivning vedrørende det indre markeds funksjon.

Økonomiske og administrative konsekvenser for Norge

Det er fortsatt stor usikkerhet ved de totale samfunnsøkonomiske kostnadene ved tiltak for å oppfylle kravene. Gjennomføringen av helsedataforordningen vil ha relativt store økonomiske og administrative konsekvenser, særlig knyttet til teknisk utvikling, tilpasning og innføring, men også knyttet til forvaltningsstruktur. Aktørene i Norge som vil bli berørt av forordningen er blant annet den sentrale helseforvaltningen, offentlige og private helsevirksomheter, kommersielle leverandører av digitale løsninger og eiere av helseregistre og nasjonale e-helseløsninger. Samtidig antas det at summen av tiltak også vil ha betydelige positive effekter, og vil bidra til å legge til rette for bedre bruk av helsedata, styrke innbyggernes kontroll over egne opplysninger og gjøre det lettere for norsk helsenæring å tilby løsninger i et større europeisk marked.

Styringsfunksjoner

Håndhevingen av regelverket forutsetter etablering av både en europeisk og en nasjonal forvaltningsstruktur. På EU-nivå skal det blant annet etableres et Europeisk helsedataråd, interessentforum og styringsgrupper for å fremme samarbeid og informasjonsutveksling. Etablering av en forvaltningsstruktur på nasjonalt nivå følger av forordningen og er nødvendig for å sikre korrekt håndheving av regelverket. Dette innebærer overvåking, veiledning og sanksjonering ved brudd på regelverk.

Vurdering

Forordningen vurderes som EØS-relevant og akseptabel. 

Forordningen krever artikkel 103-forbehold, da den både fordrer nasjonale lovendringer og vil få budsjettmessige og organisatoriske konsekvenser. Det vil derfor tas forbehold om Stortingets godkjenning i EØS-komitévedtak om innlemmelse. Forordningen inngår som en del av EUs strategiske agenda for 2024-2029, vedtatt i rådet 27. juni 2024.

Forordningen er hjemlet i artikkel 16 og 114 i TEUV, som hhv. gjelder rett til vern om personopplysninger og harmonisering av medlemsstatenes lovgivning vedrørende det indre markeds funksjon.

Status

Den 3. mai 2022 la Kommisjonen fram forslag til forordning om Det europeiske helsedataområdet (European Health Data Space, EHDS). Helsedataforordningen ble vedtatt 11. februar 2025, publisert i EUs lovbok (Official journal) den 5. mars 2025. Forordningen får anvendelse i EU fra 26. mars 2027. Forordningen inneholder hjemmelsgrunnlag for gjennomføringsrettsakter og delegerte rettsakter.

Rettsakten er nå til vurdering i EØS- EFTA-medlemsstatene for innlemmelse i EØS-avtalen