·
Klinisk dokumentasjon
Helsevesen
Praksisledar / Admin
GDPR-journalrettelser: hva klinikere må gjøre
Lær hva GDPR krever når pasienter ber om rettelser eller sletting av kliniske journaler, inkludert revisjonsspor og juridiske unntak

Helsejournaler befinner seg i skjæringspunktet mellom to juridiske forpliktelser som kan trekke i motsatte retninger. Personvernforordningen (GDPR) gir pasienter meningsfulle rettigheter over sine personopplysninger, inkludert retten til å få rettet unøyaktig informasjon og, under visse omstendigheter, få den slettet. Samtidig krever profesjonelle og regulatoriske rammeverk at klinikere opprettholder fullstendig, nøyaktig og uendret klinisk dokumentasjon av behandling. For kliniske administratorer som håndterer disse forespørslene daglig, er det ikke valgfritt å forstå nøyaktig hvor disse forpliktelsene begynner, slutter og overlapper. Det er et grunnleggende krav til GDPR-etterlevelse i helsevesenet.
De to GDPR-rettighetene som er relevante her: retting og sletting
To artikler i GDPR er direkte relevante når en pasient utfordrer innholdet i sin kliniske journal.
Artikkel 16, retten til retting, gir enkeltpersoner rett til å få rettet unøyaktige personopplysninger uten unødig opphold, og til å få fullført ufullstendige personopplysninger. Som den irske datatilsynsmyndigheten bekrefter, gjelder denne retten relativt ukomplisert for faktiske personopplysninger, som feil fødselsdato, feil adresse eller feilstavet navn. Det blir betydelig mer komplekst når dataene det gjelder er en klinisk vurdering, en diagnose eller et behandlingsnotat.
Artikkel 17, retten til sletting (også kalt retten til å bli glemt), gir enkeltpersoner rett til å be om sletting av sine personopplysninger under spesifikke omstendigheter: der dataene ikke lenger er nødvendige for formålet de ble samlet inn for, der samtykke er trukket tilbake, eller der dataene ble behandlet ulovlig. Som Information Commissioner's Office (ICO) sin veiledning om retten til sletting gjør klart, er denne retten ikke absolutt. Retten gjelder kun for personopplysninger som behandlingsansvarlig innehar på tidspunktet forespørselen mottas.
Begge rettighetene kan påberopes av enhver identifisert registrert person – i denne sammenhengen pasienten hvis journal oppbevares. Begge har en svarfrist på én kalendermåned. Ingen av dem fungerer uten betydelige forbehold i en helsemessig sammenheng.
Når en pasient ber om en rettelse: hva GDPR faktisk forplikter deg til å gjøre
Når en pasient sender inn en rettingsforespørsel, krever artikkel 16 at behandlingsansvarlig – typisk helseorganisasjonen – vurderer om dataene det gjelder virkelig er unøyaktige eller ufullstendige, og handler deretter innen én måned.
For enkle faktafeil som feil NHS-nummer eller feil fødselsdato, er dette relativt ukomplisert. Oppføringen rettes, endringen logges, og pasienten varsles. Kompleksiteten oppstår med kliniske oppføringer, inkludert diagnoser, observasjoner, risikovurderinger og medikamentbeslutninger, der begrepet unøyaktighet ikke er selvinnlysende.
ICO adresserer dette direkte. Deres veiledning om retting fastslår at hvis en pasient mottar en diagnose som senere viser seg å ikke stemme, bør pasientjournalen registrere både den opprinnelige diagnosen og de endelige funnene. Den opprinnelige oppføringen slettes ikke. Den kontekstualiseres. Dette gjenspeiler et kjerneprinsipp i klinisk dokumentasjon: journalen eksisterer for å vise hva som var kjent og besluttet på et gitt tidspunkt, ikke bare hva som for øyeblikket forstås som sant.
Retting i en klinisk journalkontekst betyr nesten alltid et tillegg eller en merknad, ikke overskrivning. GDPR-Hub-kommentaren til artikkel 16 bekrefter at retting kan oppnås ved å endre data, ved delvis eller fullstendig sletting, eller ved fullføring, og at den registrerte i noen situasjoner kan velge mellom å be om retting eller sletting. I praksis, for kliniske journaler, er fullføring via en tilleggsuttalelse den vanligste og juridisk forsvarlige tilnærmingen.
Når en pasient ber om sletting: grensene for artikkel 17 i helsevesenet
Retten til sletting er forespørselen kliniske administratorer mest sannsynlig vil håndtere feil – enten ved å behandle den som automatisk gyldig eller ved å avslå den uten skikkelig vurdering. Ingen av tilnærmingene er i samsvar med regelverket.
Den fullstendige teksten til artikkel 17(3) angir flere unntak som er direkte relevante for helsejournaler. Sletting gjelder ikke der oppbevaring er nødvendig:
For overholdelse av en juridisk forpliktelse i henhold til unions- eller medlemsstatslovgivning
Av hensyn til allmennhetens interesse på området folkehelse i henhold til artikkel 9(2)(h) og (i)
For arkivformål i allmennhetens interesse, eller for vitenskapelig eller historisk forskning
For å fastsette, utøve eller forsvare rettskrav
I praksis faller de fleste kliniske journaler inn under minst ett av disse unntakene. Nasjonal lovgivning på tvers av EU-medlemsland og Storbritannia pålegger lovpålagte minimumsoppbevaringsperioder for medisinske journaler – typisk mellom åtte og tretti år avhengig av journaltype og jurisdiksjon – som utgjør en juridisk forpliktelse i henhold til artikkel 17(3)(a). Secure Privacy sin veiledning for personvernombud i helsevesenet bekrefter at der en lovpålagt oppbevaringsplikt gjelder, kan slettingsforespørsler lovlig avslås.
Den koordinerte håndhevingsaksjonen fra Det europeiske personvernrådet (EDPB) i 2025, som analyserte svar fra 764 behandlingsansvarlige over hele Europa, fant at behandlingsansvarlige ofte feilanvendte artikkel 17(3)-unntak ved å behandle dem som automatisk gjeldende uten å gjennomføre individuelle vurderinger. Ni datatilsynsmyndigheter igangsatte formelle håndhevingsundersøkelser som resultat. Lærdommen for kliniske administratorer er klar: å avslå en slettingsforespørsel krever dokumentert begrunnelse, ikke en generell policy.
Selv når en slettingsforespørsel lovlig avslås, må organisasjonen fortsatt svare pasienten innen én måned, forklare grunnlaget for avslaget, og informere dem om deres rett til å klage til relevant tilsynsmyndighet.
Kravet til revisjonsspor: hva må registreres når en journal endres
Når en klinisk journaloppføring rettes, kommenteres eller merkes som omstridt, må organisasjonen opprettholde et fullstendig revisjonsspor. Dette er både et GDPR-ansvarlighetskrav og en medisinsk-juridisk nødvendighet.
Et regeletterlevende revisjonsspor for en journalendring må fange opp:
Identiteten til personen som gjorde endringen
Dato og tidspunkt for endringen
Årsaken til endringen
Innholdet i den opprinnelige oppføringen, bevart i sin helhet
Arten av endringen (tillegg, rettelse eller tvistemarkering)
Fastlegepraksis sin policy for tilgang til journaler i samsvar med NHS-veiledning fastslår eksplisitt: «Informasjon kan fjernes fra visning, men revisjonssporet vil alltid holde journalen fullstendig. Endringer i journaler kan gjøres forutsatt at endringene gjøres på en måte som indikerer hvorfor endringen ble gjort, slik at det er klart at journaler ikke har blitt tuklet med.»
Å overskrive eller slette opprinnelige oppføringer uten spor er en av de mest alvorlige etterlevelsesfeilene en klinisk administrator kan gjøre. Det skaper samtidig GDPR-risiko (svikt i ansvarlighet i henhold til artikkel 5(2)) og medisinsk-juridisk risiko (potensielt bevis på journalmanipulering i en klinisk uaktsomhets- eller regulatorisk undersøkelse). Revisjonsspor må være manipuleringssikre og bør fange opp detaljerte opplysninger for hver interaksjon, inkludert brukeridentitet, tidsstempel, IP-adresse, enhetsidentifikator, dataklassifisering og utført handling, som kreves av GDPR-ansvarlighetsprinsipper og NHS-veiledning om håndtering av helsejournaler.
Hvordan profesjonelle standarder og regulatoriske organer samhandler med GDPR-forpliktelser
GDPR setter et gulv, ikke et tak. Nasjonale medisinske råd, profesjonelle regulatorer og helsesystemorganer legger til flere forpliktelser på toppen. I de fleste tilfeller forsterker disse heller enn motsier GDPR-tilnærmingen til journalintegritet.
I Storbritannia krever både General Medical Council (GMC) og Nursing and Midwifery Council (NMC) at klinikere fører klare, nøyaktige og samtidige journaler. NHS-veiledning om journalhåndtering spesifiserer oppbevaringsplaner som bestemmer minimumsperioden for hvor lenge ulike journaltyper må oppbevares. Disse forpliktelsene samhandler direkte med artikkel 17(3)(a): der et lovpålagt eller regulatorisk oppbevaringskrav eksisterer, gir det rettsgrunnlaget for å avslå en slettingsforespørsel.
På tvers av EU-medlemsland er bildet lignende, men variabelt. Nasjonale lovgivningsrammeverk i Sverige, Storbritannia og Tyskland speiler i stor grad GDPR samtidig som de tilbyr forskjellige tilleggsmekanismer for å håndtere feil i journalsystemer. Det kommende European Health Data Space (EHDS) forventes å posisjonere rettingsprosessen innenfor digitale helsetjenester, potensielt muliggjøre pasientinnspill i systemet, selv om dette fortsatt er prospektivt på skrivende tidspunkt.
Kliniske administratorer som opererer på tvers av landegrenser, eller i organisasjoner underlagt både britisk GDPR og EU GDPR, bør være klar over at medlemsstatenes regler kan være strengere enn GDPR-grunnlinjen og bør søke jurisdiksjonsspesifikk juridisk rådgivning der det gjeldende rammeverket er uklart.
Den korrekte prosessen for å håndtere en rettingsforespørsel steg for steg
Følgende arbeidsflyt gjenspeiler kravene i artikkel 16 og 19 GDPR, én-måneds svarfristen, og beste praksis for klinisk journalhåndtering.
Steg 1: Motta og logg forespørselen. Registrer mottaksdatoen. Én-måneds klokken starter umiddelbart, uavhengig av hvordan forespørselen ble sendt inn (brev, e-post, nettskjema eller muntlig forespørsel etterfulgt av skriftlig bekreftelse).
Steg 2: Verifiser pasientens identitet. Ikke behandle forespørselen før identiteten er bekreftet. Dette beskytter mot uautoriserte endringer i tredjepartsjournaler.
Steg 3: Identifiser de spesifikke dataene det gjelder. Be pasienten om å spesifisere nøyaktig hvilken oppføring eller oppføringer de anser som unøyaktige eller ufullstendige, og hvilken rettelse de søker.
Steg 4: Konsulter den ansvarlige klinikeren. NHS-tilpasset journalpolicy er klar: «Der tvisten gjelder en medisinsk oppføring, bør klinikeren som gjorde oppføringen konsulteres og det bør vurderes om det er hensiktsmessig å endre den.» Dette steget er ikke valgfritt.
Steg 5: Bestem passende handling. Basert på klinikerens vurdering og arten av dataene:
Hvis oppføringen inneholder en klar faktafeil (feil dato, feil navn): rett den og bevar originalen i revisjonssporet
Hvis oppføringen er en klinisk vurdering klinikeren står ved: legg til et tilleggsnotat som registrerer pasientens tvil uten å endre originalen
Hvis oppføringen er genuint ufullstendig: legg til en fullføringsuttalelse
Steg 6: Oppdater journalen i samsvar med regelverket. Bevar den opprinnelige oppføringen, dater og attribuer endringen tydelig, og dokumenter årsaken til endringen.
Steg 7: Varsle pasienten om utfallet. Svar innen én kalendermåned fra den opprinnelige forespørselen. Hvis forespørselen avslås helt eller delvis, forklar grunnlaget og informer pasienten om deres rett til å klage til tilsynsmyndigheten.
Steg 8: Dokumenter beslutningsprosessen. Registrer hva som ble vurdert, hvem som ble konsultert, hvilken beslutning som ble tatt, og hvorfor. Denne dokumentasjonen er organisasjonens bevis på etterlevelse hvis beslutningen senere utfordres.
Hva du skal gjøre når du er uenig med pasientens versjon av hendelsene
En pasient kan hevde at en klinisk oppføring er unøyaktig når klinikeren som gjorde oppføringen står ved dens nøyaktighet. Dette er et av de vanligste og mest misforståtte scenariene i klinisk journalhåndtering.
GDPR krever ikke at helsetjenester aksepterer en pasients foretrukne versjon av hendelsene som fakta. Den irske datatilsynsmyndighetens veiledning er eksplisitt på at verken retten til retting eller retten til sletting gjelder lett for medisinske vurderinger, diagnoser og kliniske behandlingsnotater, nettopp fordi disse representerer profesjonelle vurderinger heller enn objektive fakta.
Det GDPR-etterlevende svaret i et omstridt klinisk oppføringsscenario er å legge til et notat i journalen som indikerer at pasienten bestrider oppføringen, samtidig som klinikerens opprinnelige dokumentasjon forblir intakt. Denne tilnærmingen:
Bevarer integriteten til den opprinnelige kliniske journalen
Anerkjenner pasientens rett til å få sitt syn registrert
Skaper et transparent revisjonsspor som viser at tvisten ble håndtert
Krever ikke at organisasjonen dømmer mellom konkurrerende versjoner
Én-måneds svarfristen gjelder fortsatt. Pasienten må informeres om utfallet, inkludert det faktum at den opprinnelige oppføringen er beholdt, og om deres rett til å eskalere til tilsynsmyndigheten hvis de fortsatt er misfornøyde.
Varsling av tredjeparter: må du informere noen andre om endringen
Artikkel 19 i GDPR krever at behandlingsansvarlige varsler enhver tredjepart som dataene ble utlevert til om en retting eller sletting, med mindre det å gjøre det er umulig eller innebærer uforholdsmessig innsats. Der tredjepartsvarsling har funnet sted, må behandlingsansvarlig også informere den registrerte om disse mottakerne hvis det blir bedt om.
I en klinisk kontekst har denne forpliktelsen direkte operasjonelle implikasjoner. Hvis en pasients journal har blitt endret og den journalen tidligere ble delt med en sekundær helsetjenesteleverandør etter en henvisning, en spesialist som mottok et henvisningsbrev, et forsikringsselskap eller arbeidsgiver (der pasienten samtykket til utlevering), eller et sosialomsorgsteam, så bør i prinsippet hver av disse mottakerne varsles om endringen. I praksis krever dette at kliniske administratorer opprettholder klare journaler over hvem som mottok hvilken informasjon og når.
Unntaket for uforholdsmessig innsats gir noe lettelse der varsling er genuint upraktisk – for eksempel der data ble delt for mange år siden med flere parter og kontaktinformasjon ikke lenger er tilgjengelig. Dette unntaket krever dokumentert begrunnelse. Det kan ikke påberopes som standard.
Vanlige feil kliniske administratorer gjør når de håndterer disse forespørslene
EDPB-håndhevingsfunnene fra 2025 identifiserte systematiske svikt på tvers av behandlingsansvarlige i hvordan slettingsrettigheter håndteres. I en klinisk journalkontekst inkluderer de hyppigste etterlevelsesfeilene:
Å gå glipp av én-måneds fristen. Klokken starter på mottaksdatoen, ikke datoen forespørselen er formelt logget eller tildelt. Forsinkelser i intern ruting er ikke en gyldig grunn for et forsinket svar.
Å overskrive opprinnelige oppføringer. Å erstatte en opprinnelig oppføring uten å bevare den i et revisjonsspor er både en GDPR-ansvarlighetsfeil og et potensielt medisinsk-juridisk ansvar.
Å unnlate å dokumentere beslutningsprosessen. Å beslutte å ikke endre en journal, eller å beslutte å legge til et tillegg heller enn en rettelse, krever dokumentert begrunnelse. En udokumentert beslutning er en uforsvarlig beslutning.
Å behandle alle slettingsforespørsler som automatisk gyldige. Å akseptere slettingsforespørsler uten å vurdere om et unntak gjelder – spesielt unntaket for lovpålagt oppbevaring – utsetter organisasjonen for risikoen for å ødelegge journaler den er juridisk pålagt å oppbevare.
Å behandle alle slettingsforespørsler som automatisk ugyldige. EDPB identifiserte refleksivt å avslå alle slettingsforespørsler uten individuell vurdering som en vanlig og sanksjonerbar svikt.
Å ikke eskalere til personvernombudet (DPO). Komplekse forespørsler, tvister som involverer sensitive data, eller saker der rettsgrunnlaget for oppbevaring er genuint uklart, bør gå til personvernombudet heller enn å bli løst på administrativt nivå.
Når du skal eskalere: ditt personvernombud, ditt juridiske team og din tilsynsmyndighet
Ikke alle rettings- eller slettingsforespørsler kan eller bør løses på klinisk administrativt nivå. Følgende scenarioer krever eskalering til personvernombudet, juridisk team, eller i noen tilfeller tilsynsmyndigheten:
Forespørsler som involverer mindreårige. Samspillet mellom foreldrerettigheter, Gillick-kompetanse (i britiske jurisdiksjoner), og barnets egne datarettigheter krever juridisk innspill.
Journaler delt på tvers av landegrenser. Der data har blitt overført til databehandlere eller mottakere i andre jurisdiksjoner, kan gjeldende oppbevarings- og slettingsregler variere.
Genuin usikkerhet om rettsgrunnlaget for oppbevaring. Hvis det ikke er klart om en lovpålagt oppbevaringsplikt gjelder, eller om et allmenninteresseunntak er engasjert, er dette et juridisk spørsmål, ikke et administrativt.
Forespørsler som ser ut til å relatere seg til et potensielt rettskrav. Der det er noen indikasjon på at pasienten vurderer eller har igangsatt rettslige skritt, har journalen potensiell bevisverdi og enhver endring krever juridisk rådgivning.
Gjentatte eller eskalerende tvister. Hvis en pasient allerede har klaget til tilsynsmyndigheten, eller har indikert at de har til hensikt å gjøre det, må personvernombudet involveres.
I henhold til artikkel 37 GDPR er de fleste EU-helseorganisasjoner som behandler helsedata i stor skala pålagt å utpeke et personvernombud. Secure Privacy sin helseveiledning bekrefter at prosesser må være på plass for at pasienter skal kunne utøve alle registrertes rettigheter, og at personvernombudets rolle inkluderer å gi råd om forespørsler som er i konflikt med lovpålagte forpliktelser. Kliniske administratorer bør vite hvem deres personvernombud er, hvordan de kan kontaktes, og hvilken terskel som utløser en henvisning – før en kompleks forespørsel ankommer, ikke etter.
Ofte stilte spørsmål
Har pasienter rett til å rette sine kliniske journaler i henhold til GDPR
Ja, men med viktige begrensninger. Artikkel 16 i personvernforordningen gir pasienter rett til å få rettet unøyaktige personopplysninger. For enkle faktafeil – en feil fødselsdato eller et feilstavet navn – er rettelse relativt ukomplisert. For kliniske oppføringer som diagnoser, risikovurderinger eller behandlingsnotater, er begrepet unøyaktighet mer komplekst. En klinikers profesjonelle vurdering er ikke det samme som et objektivt faktum, og den irske datatilsynsmyndigheten bekrefter at retten til retting ikke gjelder lett for medisinske vurderinger og kliniske behandlingsnotater.
Kan en pasient be om sletting av sine medisinske journaler i henhold til GDPR
Pasienter kan sende inn en slettingsforespørsel i henhold til artikkel 17 i GDPR, men denne retten er ikke absolutt i en helsemessig sammenheng. De fleste kliniske journaler faller inn under minst ett av artikkel 17(3)-unntakene, inkludert overholdelse av en juridisk forpliktelse, allmennhetens interesse i folkehelse, eller fastsettelse eller forsvar av rettskrav. Nasjonal lovgivning på tvers av EU-medlemsland og Storbritannia setter lovpålagte minimumsoppbevaringsperioder for medisinske journaler – typisk mellom åtte og tretti år – som utgjør en juridisk forpliktelse som tillater organisasjoner å lovlig avslå slettingsforespørsler. Avslag krever dokumentert individuell begrunnelse, ikke en generell policy.
Hva er den korrekte måten å endre en klinisk journal på når en pasient bestrider en oppføring
Den korrekte tilnærmingen er å legge til et tillegg eller en merknad i journalen, ikke å overskrive eller slette den opprinnelige oppføringen. Hvis en pasient bestrider en klinisk vurdering som den ansvarlige klinikeren står ved, bør et tilleggsnotat legges til som registrerer pasientens tvil, samtidig som den opprinnelige dokumentasjonen forblir intakt. Hvis oppføringen inneholder en genuin faktafeil, bør den rettes med originalen bevart i revisjonssporet. Information Commissioner's Office bekrefter at der en diagnose senere viser seg å være feil, bør journalen vise både den opprinnelige diagnosen og de endelige funnene.
Hva må et revisjonsspor inkludere når en klinisk journal endres
Et regeletterlevende revisjonsspor må fange opp identiteten til personen som gjorde endringen, dato og tidspunkt for endringen, årsaken til endringen, det fullstendige innholdet i den opprinnelige oppføringen, og arten av endringen. NHS-veiledning er eksplisitt på at informasjon kan fjernes fra visning, men revisjonssporet må alltid holde journalen fullstendig. Å overskrive opprinnelige oppføringer uten spor skaper både en GDPR-ansvarlighetsfeil i henhold til artikkel 5(2) og en medisinsk-juridisk risiko, inkludert potensielt bevis på journalmanipulering i en klinisk uaktsomhetsundersøkelse.
Hvor lang tid har en helseorganisasjon på seg til å svare på en rettings- eller slettingsforespørsel
Både retten til retting i henhold til artikkel 16 og retten til sletting i henhold til artikkel 17 har en svarfrist på én kalendermåned. Klokken starter på datoen forespørselen mottas, ikke datoen den er formelt logget eller tildelt internt. Hvis forespørselen avslås helt eller delvis, må organisasjonen fortsatt svare innen den måneden, forklare grunnlaget for avslaget, og informere pasienten om deres rett til å klage til relevant tilsynsmyndighet.
Krever GDPR at helsetjenester aksepterer en pasients versjon av hendelsene som fakta
Nei. GDPR krever ikke at helsetjenester aksepterer en pasients foretrukne versjon av hendelsene som fakta. Den irske datatilsynsmyndigheten er eksplisitt på at retten til retting ikke gjelder lett for medisinske vurderinger, diagnoser og kliniske behandlingsnotater, fordi disse representerer profesjonelle vurderinger heller enn objektive fakta. Der en kliniker står ved sin opprinnelige oppføring, er det GDPR-etterlevende svaret å legge til et notat som registrerer at pasienten bestrider oppføringen, samtidig som den opprinnelige dokumentasjonen forblir intakt. Pasienten må deretter informeres om utfallet og om deres rett til å eskalere til tilsynsmyndigheten.
Utløser endring av en klinisk journal en plikt til å varsle tredjeparter
Ja. Artikkel 19 i GDPR krever at behandlingsansvarlige varsler enhver tredjepart som dataene ble utlevert til om en retting eller sletting, med mindre det å gjøre det er umulig eller innebærer uforholdsmessig innsats. I en klinisk kontekst kan dette inkludere sekundære helsetjenesteleverandører som mottok en henvisning, spesialister som mottok et henvisningsbrev, eller sosialomsorgsteam. Kliniske administratorer må opprettholde klare journaler over hvem som mottok hvilken informasjon og når. Unntaket for uforholdsmessig innsats kan gjelde der varsling er genuint upraktisk, men det krever dokumentert begrunnelse og kan ikke brukes som standard.
Hva er de vanligste feilene når man håndterer pasienters rettings- og slettingsforespørsler
De koordinerte håndhevingsfunnene fra Det europeiske personvernrådet i 2025 identifiserte flere tilbakevendende svikt. Disse inkluderer å gå glipp av én-måneds svarfristen, å overskrive opprinnelige oppføringer uten å bevare dem i et revisjonsspor, å unnlate å dokumentere begrunnelsen bak beslutninger, å behandle alle slettingsforespørsler som automatisk gyldige, og å behandle alle slettingsforespørsler som automatisk ugyldige uten individuell vurdering. EDPB fant at ni datatilsynsmyndigheter igangsatte formelle håndhevingsundersøkelser som resultat av behandlingsansvarlige som feilanvendte artikkel 17(3)-unntak uten skikkelig individuell vurdering.
Når bør en klinisk administrator eskalere en rettings- eller slettingsforespørsel til personvernombudet
Flere scenarioer krever eskalering heller enn løsning på administrativt nivå. Disse inkluderer forespørsler som involverer mindreårige, der foreldrerettigheter og barnets egne datarettigheter krysser hverandre. Journaler delt på tvers av landegrenser, der forskjellige oppbevaringsregler kan gjelde. Saker der det er genuin usikkerhet om rettsgrunnlaget for oppbevaring. Forespørsler som kan relatere seg til et potensielt rettskrav, der journalen har bevisverdi. Og situasjoner der pasienten allerede har klaget til tilsynsmyndigheten eller indikert at de har til hensikt å gjøre det. I henhold til artikkel 37 i GDPR er de fleste EU-helseorganisasjoner som behandler helsedata i stor skala pålagt å utpeke et personvernombud, og kliniske administratorer bør vite hvem deres personvernombud er før en kompleks forespørsel ankommer.