·

Hälso- och sjukvårdsadministration

Hälsovård

Hälsovårds-IT / CIO

Dataportabilitet: offentlig kontra privat sjukvård enligt EU-lagstiftning

Förstå hur GDPR, EHDS och nationell hälsolagstiftning skapar olika skyldigheter för dataportabilitet för offentliga och privata vårdgivare i Europa

Patientdatabärbarhet mellan offentliga och privata sjukvårdsleverantörer

Vårdorganisationer i hela Europa är skyldiga att tillhandahålla dataportabilitet för patienter. Det är inte en teknisk ambition utan en rättslig skyldighet. Skyldigheten gäller dock inte enhetligt. En privat klinik i Amsterdam, ett offentligt sjukhus i Madrid och en vårdgivare med blandad modell i Berlin kan alla hantera samma typ av patientjournal men möta väsentligt olika rättsliga krav när en patient begär att ta med sig sina data någon annanstans. Anledningen ligger i en strukturell egenskap hos EU-rätten: dataskyddsregler fastställs på överstatlig nivå, men hälso- och sjukvården är fortsatt en nationell angelägenhet. Den rättsliga grund på vilken en vårdgivare behandlar patientdata avgör vilka portabilitetsrättigheter som faktiskt gäller. För beslutsfattare inom hälso- och sjukvården som ansvarar för efterlevnad, IT-infrastruktur eller klinisk verksamhet är det viktigt att förstå denna skillnad innan tidsplanerna för implementeringen av det europeiska hälsodatarummet börjar närma sig. Att förstå skyldigheter kring datasäkerhet och integritet är en förutsättning för denna analys.

Det rättsliga ramverket: vad EU-lagstiftningen faktiskt kräver

Tre olika regelverk styr patientdataportabilitet i Europa. De samverkar på olika sätt beroende på typ av vårdgivare.

Det första är den allmänna dataskyddsförordningen (GDPR), som fastställer den grundläggande rätten till dataportabilitet enligt artikel 20 men innehåller en avgörande begränsning som kraftigt minskar dess tillämpning inom offentlig hälso- och sjukvård. Det andra är förordningen om det europeiska hälsodatarummet (EHDS), förordning (EU) 2025/327, som trädde i kraft den 26 mars 2025 och innebär den mest betydande strukturella förändringen av styrningen av hälsodata i EU:s historia. Det tredje lagret är nationell genomförandelagstiftning, som styr hur offentliga hälsosystem hanterar journaltillgång och överföring, ofta genom sektorspecifik hälsolagstiftning snarare än dataskyddslagstiftning.

Dessa lager fungerar inte oberoende av varandra. GDPR förblir det primära dataskyddsramverket. EHDS introducerar sektorspecifika skyldigheter som existerar vid sidan av detta. Som Taylor Wessings analys av EHDS-GDPR-relationen noterar, ersätter EHDS inte GDPR utan bygger ett sektorspecifikt ramverk ovanpå det, med stegvis implementering från mars 2027 för allmänna bestämmelser och mars 2029 för regler om primär och sekundär användning. Beslutsfattare behöver förstå alla tre lagren för att bedöma sina skyldigheter korrekt. Att enbart förlita sig på GDPR ger en ofullständig bild.

GDPR artikel 20: där skillnaden mellan offentligt och privat först framträder

GDPR artikel 20 ger individer rätten att få sina personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format och att överföra dem till en annan personuppgiftsansvarig. Denna rätt är inte universell. Den gäller endast när behandlingen grundar sig på samtycke (artikel 6.1 a eller artikel 9.2 a) eller på ett avtal (artikel 6.1 b). När behandlingen grundar sig på en rättslig skyldighet eller utförandet av en uppgift av allmänt intresse, det vill säga artiklarna 6.1 c respektive 6.1 e, gäller inte artikel 20.

Detta är den punkt där skillnaden mellan offentligt och privat först blir operativt betydelsefull. De flesta offentliga vårdgivare behandlar patientdata enligt ett lagstadgat mandat. En nationell hälsotjänst som behandlar en patient gör det inte på grundval av ett avtal med patienten, och inte heller vanligtvis på grundval av samtycke. Den fullgör en lagstadgad offentlig funktion. Detta innebär att GDPR:s portabilitetsrätt inte direkt gäller för majoriteten av databehandlingen inom offentliga hälsosystem i EU.

Den praktiska konsekvensen är att patienter som vill överföra sina journaler från ett offentligt sjukhus till en privat specialist, eller från ett nationellt hälsosystem till ett annat, inte kan förlita sig på GDPR artikel 20. De måste istället förlita sig på nationella hälsolagstiftningsbestämmelser, som varierar avsevärt mellan medlemsstaterna.

Hur offentliga vårdgivare behandlas enligt EU-rätt och nationell lagstiftning

Offentliga vårdgivare i hela EU implementerar patientjournaltillgång och överföringsrättigheter genom sektorspecifik lagstiftning, inte genom GDPR:s portabilitetsbestämmelser. Skyldigheterna finns, men de är förankrade i hälsolagstiftningsramverk som skiljer sig väsentligt åt mellan jurisdiktioner.

På viktiga europeiska marknader är bilden fragmenterad:

  • Nordiska modeller (Danmark, Finland, Sverige) har relativt välutvecklad nationell infrastruktur för journalsystem och patientportaler, med lagstadgade rättigheter till journalåtkomst inbäddade i hälsolagstiftningen. Finlands Kanta-system ger till exempel patienter en centraliserad digital åtkomstpunkt till journaler som hålls av offentliga vårdgivare.

  • Tyskland införde en lagstadgad rätt för patienter att få kopior av sina journaler enligt patienträttslagen (Patientenrechtegesetz), där vårdgivare måste svara utan onödigt dröjsmål. Landet har även utvecklat sin Telematikinfrastruktur (TI) som nationell ryggrad för interoperabilitet.

  • Frankrike har infört plattformen Mon Espace Santé som ett patientvänligt hälsodatarum, vilket ger tillgång till journaler från offentliga vårdgivare enligt ramverket för nationell digital hälsolagstiftning.

  • Sydeuropeiska offentliga system (Spanien, Italien, Portugal) har lagstadgade åtkomsträttigheter men uppvisar större variation på regional nivå, där implementeringskvaliteten är nära kopplad till de regionala hälsomyndigheternas kapacitet.

Nyckelpunkten för beslutsfattare är att dessa skyldigheter är verkliga och verkställbara, men de administreras genom hälsodepartementens ramverk, inte av dataskyddsmyndigheter. Detta innebär att tillsynsorgan, verkställighetsmekanismer och tillämpliga tidslinjer alla kan skilja sig från de som gäller för privata vårdgivare enligt GDPR.

Hur privata vårdgivare behandlas enligt GDPR

Privata vårdgivare som behandlar patientdata på grundval av samtycke eller avtal omfattas direkt av GDPR artikel 20. Detta gäller för de flesta privata kliniker, specialistmottagningar och oberoende diagnostiska tjänster som verkar i EU där inget lagstadgat mandat styr behandlingsrelationen.

Enligt artikel 20 kan patienter begära:

  • Sina personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format

  • Direkt överföring av dessa data till en annan personuppgiftsansvarig, där det är tekniskt möjligt

  • Ett svar inom en månad från begäran, förlängningsbart med ytterligare två månader om begäran är komplex eller omfattande (med besked till patienten inom den första månaden)

Vad som räknas som "personuppgifter" för portabilitetsändamål i ett kliniskt sammanhang är bredare än vad många privata vårdgivare tror. Det inkluderar data som aktivt tillhandahålls av patienten (registreringsinformation, medicinsk historia vid inskrivning) och data som genereras genom servicerelationen (journalanteckningar om besök, anteckningar från patientsamtal, testresultat). Det inkluderar inte data som härleds eller tolkas av vårdgivaren, en distinktion som blir relevant vid AI-genererade kliniska koder eller riskpoäng.

"Maskinläsbart" enligt GDPR innebär ett format som en dator kan bearbeta automatiskt, såsom JSON, XML eller CSV, snarare än en skannad PDF eller ett utskrivet dokument. I praktiken kan många privata journalsystem exportera data i dessa format, men att producera en kliniskt meningsfull, strukturerad export som bevarar kodning, terminologi och journalrelationer är en separat teknisk utmaning.

Det europeiska hälsodatarummet: att överbrygga klyftan mellan sektorer

EHDS-förordningen är den mest betydande utvecklingen på detta område för beslutsfattare inom hälso- och sjukvården att följa. Dess centrala ambition är att etablera ett enhetligt ramverk för hälsodatatillgång och portabilitet som gäller för både offentliga och privata vårdgivare, och överbrygga klyftan som skapats av GDPR:s beroende av rättslig grund.

EHDS introducerar flera mekanismer som är direkt relevanta för portabilitet:

  • En förstärkt portabilitetsrätt för primär användning enligt artikel 3(8), som går längre än GDPR artikel 20 genom att ta bort begränsningen av rättslig grund och täcka data som behandlas enligt vilken rättslig grund som helst enligt artikel 9 GDPR, inte bara samtycke eller avtal. Denna rätt gäller dock endast för datainnehavare inom hälso- och socialförsäkringssektorn. Detta innebär att patienter kan begära portabilitet av sina hälsodata från offentliga vårdgivare i denna sektor som tidigare föll utanför GDPR artikel 20:s tillämpningsområde.

  • MyHealth@EU-infrastrukturen, som möjliggör gränsöverskridande tillgång till patienthälsodata mellan deltagande medlemsstater, med nationella kontaktpunkter som koordinerar interoperabilitet.

  • Standardiserade dataformat, där HL7 FHIR framträder som interoperabilitetsbaslinje för journalsystem enligt EHDS-krav.

  • Hälsodatatillgångsorgan (HDAB:er), som kommer att styra sekundär användning av hälsodata av forskare, industri och offentliga organ, under ett tillståndssystem snarare än individuellt samtycke.

Som Skaddens juridiska briefing om EHDS bekräftar, är alla EU-etablerade vårdgivare, inklusive sjukhus, kliniker och privata mottagningar, föremål för samma EHDS-efterlevnadsskyldigheter för datadelning, interoperabilitet och patienttillgång. Bristande efterlevnad medför GDPR-ekvivalenta böter.

Den akademiska litteraturen lyfter viktiga oklarheter i EHDS-texten. En referentgranskad analys i Computer Law & Security Review noterar en spänning mellan skäl 12, som kräver att portabilitet ska gälla för alla privata eller offentliga personuppgiftsansvariga, och artikel 3(8) själv, som begränsar skyldigheterna till datainnehavare "från hälso- och socialförsäkringssektorn." Den exakta omfattningen av vem som kvalificerar sig som hälsodatainnehavare i gränsfall (välbefinnandeappar, företagshälsovårdsleverantörer, telemedicinplattformar) återstår att tolka.

Tidslinjer för journalöverföring: en jämförelse efter vårdgivartyp och marknad

Svarstider för portabilitets- och journalöverföringsbegäran varierar avsevärt beroende på vårdgivartyp, tillämplig lagstiftning och jurisdiktion.

Kontext

Tillämpligt ramverk

Tidslinje

Privat vårdgivare (samtyckes-/avtalsbasis)

GDPR artikel 20

En månad, förlängningsbar med två månader

Offentlig vårdgivare (uppgift av allmänt intresse)

Nationell hälsolagstiftning

Varierar mellan medlemsstater

Tyskland (privat och offentlig)

Patienträttslagen

Utan onödigt dröjsmål

Frankrike

Nationell digital hälsolagstiftning

Varierar efter journaltyp

Efter EHDS (alla vårdgivare)

EHDS bestämmelser om primär användning

Ska specificeras i genomförandeakter

EHDS förväntas införa mer harmoniserade tidsfrister över medlemsstaterna, men de specifika tidslinjerna för patientvända portabilitetsbegäran enligt EHDS ramverk för primär användning kommer att bestämmas genom genomförandeakter och medlemsstaternas införlivande. Beslutsfattare bör noga följa nationella EHDS-införlivandeprocesser, eftersom dessa kommer att sätta de operativa parametrarna för efterlevnadsprogram.

Formatkrav: strukturerad data, interoperabilitet och vad systemen måste stödja

GDPR kräver att portabel data tillhandahålls i ett maskinläsbart format men föreskriver inte någon specifik teknisk standard. Detta har lett till betydande variation i praktiken, där vissa vårdgivare tillhandahåller JSON- eller XML-exporter och andra erbjuder CSV-filer som saknar strukturerade anteckningar eller terminologikontext.

EHDS adresserar detta direkt. Som bekräftat av A&O Shearmans analys av EHDS journalsystemkrav, kräver förordningen att hälsodatainnehavare upprätthåller strukturerad, interoperabel data i format som är kompatibla med EHDS tekniska ramverk, med HL7 FHIR som den framväxande standarden för kliniskt datautbyte.

För journalsystem som används i både offentliga och privata miljöer skapar detta flera praktiska krav:

  • Förmåga att exportera strukturerad klinisk data i HL7 FHIR-kompatibla format, som bevarar SNOMED CT-koder, ICD-klassifikationer och läkemedelsterminologi

  • Patientvända åtkomstportaler som gör det möjligt för individer att visa, ladda ner och överföra sina journaler utan att behöva administrativ handläggning

  • Granskningsloggning av alla datatillgångs- och exporthändelser, för att visa efterlevnad av både GDPR:s ansvarsskyldigheter och EHDS åtkomstkontroller

  • Interoperabilitet med nationell journalsysteminfrastruktur (såsom Tysklands TI, Frankrikes Mon Espace Santé eller Finlands Kanta) där det är tillämpligt

Legacy-system i offentliga institutioner utgör en särskild utmaning. Många nationella hälsosystem använder journalsystemplattformar som inte designades med strukturerad dataexport i åtanke, och kostnaden och komplexiteten för att uppgradera eller ersätta dessa system är betydande. Forskning om EHDS-kompatibel säker infrastruktur visar att uppfyllandet av artikel 50:s krav på säkra bearbetningsmiljöer och interoperabilitetsstandarder kräver stora tekniska investeringar, särskilt i institutioner som historiskt har använt isolerade, icke-interoperabla system.

Samtyckevillkor och rättslig grund: varför de förändrar allt

Den rättsliga grund som en vårdgivare förlitar sig på för behandling av patientdata är den enskilt mest avgörande faktorn för att avgöra vilka portabilitetsskyldigheter som gäller. Detta är inte en teknisk detalj, utan grunden för hela efterlevnadsanalysen.

För offentliga vårdgivare är de relevanta grunderna typiskt artikel 6.1 c (rättslig skyldighet) och artikel 6.1 e (uppgift av allmänt intresse), kombinerat med artikel 9.2 h (hälso- eller socialvårdsändamål) för särskilda kategorier av data. Dessa grunder utesluter vårdgivaren från GDPR artikel 20 men tar inte bort alla portabilitetsrelaterade skyldigheter. Nationell hälsolagstiftning styr fortfarande journaltillgång och överföring.

För privata vårdgivare är situationen mer komplex. Många behandlar data enligt en kombination av grunder: samtycke för valfri dataanvändning (marknadsföring, forskningsdeltagande), avtal för den centrala behandlingsrelationen, och i vissa fall rättslig skyldighet för obligatorisk rapportering. Portabilitetsrätten enligt GDPR artikel 20 gäller endast för data som behandlas enligt samtycke eller avtal. Detta innebär att en privat vårdgivare måste kunna identifiera, på journalnivå, vilken data som behandlats på vilken grund.

Vårdgivare med blandad modell, såsom privata kliniker som kontrakteras för att leverera tjänster inom ett offentligt hälsosystem, eller offentliga sjukhus med privata patientavdelningar, möter den mest komplexa analysen. Arnold & Porters rådgivning om EHDS noterar att EHDS-definitionen av "hälsodatainnehavare" gäller för alla juridiska personer med rätt eller skyldighet att behandla personuppgifter om hälsa, oavsett om de formellt är offentliga eller privata. Fysiska personer och mikroföretag (färre än 10 anställda och en årsomsättning eller balansomslutning som inte överstiger 2 miljoner euro) är undantagna från hälsodatainnehavarskyldigheter som standard, även om medlemsstater kan utvidga skyldigheterna till dem.

En PubMed-indexerad analys av EHDS ramverk för sekundär användning noterar att förordningens utformning återspeglar ett medvetet politiskt val att gå bort från samtycke som den primära mekanismen för hälsodatastyrning och ersätta det med ett tillståndsbaserat system som administreras av hälsodatatillgångsorgan för sekundär användning. För primär användning kringgår den förstärkta portabilitetsrätten enligt artikel 3(8) beroendet av rättslig grund, men endast när de relevanta EHDS-bestämmelserna träder i kraft i mars 2029.

Gränsöverskridande portabilitet: vad händer när patienter flyttar mellan medlemsstater

Gränsöverskridande journalportabilitet är det område där fragmenteringen är som störst och där EHDS förväntas få störst praktisk betydelse. För närvarande har en patient som flyttar från Frankrike till Nederländerna, eller en gränsarbetare som får vård i en annan medlemsstat, ingen tillförlitlig mekanism för att säkerställa att deras hälsojournaler följer med dem. Nationella journalsystem använder olika datamodeller, kodningssystem och åtkomstprotokoll.

EHDS adresserar detta genom MyHealth@EU-infrastrukturen, som kräver att medlemsstater deltar i gränsöverskridande hälsodatautbyte genom nationella kontaktpunkter. Infrastrukturen bygger på det befintliga epSOS/eHealth Digital Service Infrastructure (eHDSI)-ramverket men utökar avsevärt dess omfattning och rättsliga mandat.

Forskning om implementering av EHDS hälsodatatillgångsorgan identifierar flera kvarstående utmaningar för gränsöverskridande sekundär användning av hälsodata: inkonsekvent mognad av digitala hälsosystem över medlemsstater, varierande datakvalitetsstandarder och frånvaron av harmoniserade styrningsramverk för hälsodatatillgångsorgan. Dessa utmaningar gäller i minst lika hög grad för primär användning och gränsöverskridande portabilitet, där den tekniska och rättsliga infrastrukturen för sömlös journalöverföring fortfarande är underutvecklad i de flesta medlemsstater.

För vårdgivare som verkar i gränsregioner, såsom den tysk-franska gränsen, Benelux-korridoren eller den nordiska gränsöverskridande arbetsmarknaden, eller som betjänar internationellt mobila patientgrupper, innebär den nuvarande praktiska lösningen patienthållna journaler (på papper eller digitalt) som en tillfällig åtgärd tills EHDS-infrastrukturen är på plats.

Praktiska konsekvenser för IT-infrastruktur i blandade offentlig-privata miljöer

För beslutsfattare som hanterar IT över både offentliga och privata vårdmiljöer översätts den rättsliga analysen ovan till en uppsättning konkreta operativa krav.

Att stödja flera rättsliga grunder inom en och samma plattform är den mest omedelbara utmaningen. Ett journalsystem som används i en miljö med blandad modell måste kunna registrera och hantera olika behandlingsgrunder för olika datakategorier och patientgrupper, och generera portabilitetsexporter som korrekt återspeglar vilken data som omfattas av GDPR artikel 20 respektive vilken data som kommer att täckas av EHDS artikel 3(8) när den träder i kraft.

Gransknings- och loggningsskyldigheter gäller inom båda ramverken. GDPR:s ansvarsskyldigheter (artikel 5.2) kräver att personuppgiftsansvariga kan visa efterlevnad, vilket i praktiken innebär loggning av alla datatillgångs-, export- och överföringshändelser. EHDS lägger till ytterligare loggningskrav för interaktioner med hälsodatatillgångsorgan och gränsöverskridande utbyten.

Interoperabilitetsarkitekturbeslut som fattas nu kommer att avgöra efterlevnadsberedskap 2027 till 2029. EU:s datalag (förordning (EU) 2023/2854), som blev tillämplig den 12 september 2025, lägger till ytterligare datadelningsskyldigheter för anslutna medicintekniska produkter och digitala hälsoverktyg, vilket skapar ett ytterligare efterlevnadslager för privata vårdgivare som använder IoT-aktiverad klinisk utrustning eller bärbara hälsoövervakningsenheter. För en bredare översikt av det regulatoriska landskapet, se vår guide till EU:s regleringar för AI inom hälso- och sjukvård.

Patientvända åtkomstportaler blir alltmer ett efterlevnadskrav. Både GDPR (genom rätten till tillgång enligt artikel 15) och EHDS (genom tillgångsrätt vid primär användning) kräver att patienter kan få tillgång till sina data på ett snabbt och tillgängligt sätt. Vårdgivare som förlitar sig på manuella begäranprocesser, såsom pappersformulär, administrativa team eller postleverans, riskerar både efterlevnadsproblem och operativ ineffektivitet när antalet begäranden ökar.

Viktiga efterlevnadsbrister att bedöma före EHDS-implementering

De vanligaste områdena där offentliga och privata vårdgivare för närvarande inte uppfyller den framväxande efterlevnadsstandarden är tydliga utifrån den rättsliga och tekniska analysen ovan. För IT- och efterlevnadsteam som bygger färdplaner inför EHDS stegvisa deadlines är följande de högst prioriterade bristerna:

  • Icke-maskinläsbara journalformat: Många vårdgivare, särskilt i offentliga system, genererar fortfarande klinisk dokumentation i format som skannade PDF:er eller proprietära äldre format som inte kan bearbetas automatiskt. Att uppfylla EHDS formatkrav kommer att kräva antingen systemersättning eller mellanvarulösningar som kan omvandla äldre utdata till HL7 FHIR-kompatibla exporter.

  • Frånvaro av patientvända datatillgångsportaler: Vårdgivare som ännu inte har infört självbetjäningsportaler för patienter behöver bygga eller anskaffa denna kapacitet. EHDS ramverk för primär användning förutsätter digital tillgång som standard.

  • Oklar samtyckesdokumentation i privata miljöer: Privata vårdgivare som förlitar sig på samtycke som rättslig grund för viss behandling måste kunna visa att samtycke gavs frivilligt, var specifikt, informerat och otvetydigt, och måste kunna koppla samtyckesjournaler till specifika datakategorier för portabilitetsändamål.

  • Legacy-journalsystem som inte kan exportera strukturerad data: Detta är den mest betydande infrastrukturbristen i offentliga hälsosystem. IMPaCT-Data-forskning om EHDS-kompatibel infrastruktur visar att uppfyllandet av EHDS artikel 50:s säkerhets- och interoperabilitetskrav kräver betydande tekniska investeringar, och att många befintliga offentliga journalsystem saknar arkitekturen för att stödja detta utan omfattande åtgärder.

  • Oklar klassificering av behandling i blandade modeller: Vårdgivare som verkar över offentliga och privata modaliteter utan en tydlig kartläggning av vilka aktiviteter som vilar på vilken rättslig grund är exponerade för både GDPR- och EHDS-efterlevnadsrisk. En dokumenterad kartläggning av behandlingsaktiviteter, uppdaterad för att återspegla EHDS hälsodatainnehavarskyldigheter, är en grundläggande förutsättning.

En verklig begränsning i det nuvarande kunskapsläget är värd att erkänna. Akademisk analys av EHDS portabilitetsbestämmelser identifierar olösta oklarheter i förordningens text som endast kommer att klargöras genom genomförandeakter, medlemsstaternas införlivande och så småningom tillsynsmyndighetsvägledning eller rättspraxis. Beslutsfattare bör se nuvarande efterlevnadsbedömningar som arbetshypoteser, öppna för revidering när det regulatoriska ramverket utvecklas, snarare än som fasta slutsatser.

Utvecklingen av hälsodatakonceptet över GDPR, dataförvaltningslagen och EHDS återspeglar en medveten politisk riktning mot större datatillgång och sektorsöverskridande portabilitet. Implementeringstakten och graden av harmonisering som uppnås i praktiken kommer att bero starkt på nationella införlivandebeslut som fortfarande fattas i EU:s medlemsstater.

Vanliga frågor

Ger GDPR patienter rätten att överföra sina hälsodata från vilken vårdgivare som helst?

Nej. Den allmänna dataskyddsförordningens rätt till dataportabilitet enligt artikel 20 gäller endast när behandlingen grundar sig på samtycke eller avtal. De flesta offentliga vårdgivare behandlar patientdata enligt ett lagstadgat mandat, vilket innebär att artikel 20 inte gäller för dem. Patienter som vill överföra journaler från ett offentligt sjukhus måste istället förlita sig på nationell hälsolagstiftning, som varierar avsevärt mellan EU:s medlemsstater.

Vad är det europeiska hälsodatarummet och när gäller det?

Det europeiska hälsodatarummet (EHDS) är en EU-förordning (förordning (EU) 2025/327) som trädde i kraft den 26 mars 2025. Den introducerar ett sektorspecifikt ramverk för hälsodatatillgång och portabilitet som existerar vid sidan av den allmänna dataskyddsförordningen, snarare än att ersätta den. Allmänna bestämmelser gäller från mars 2027, med regler för primär och sekundär användning som följer i mars 2029. Den gäller för alla EU-etablerade vårdgivare, inklusive både offentliga sjukhus och privata kliniker.

Hur förändrar EHDS portabilitetsrättigheter jämfört med GDPR?

EHDS introducerar en förstärkt portabilitetsrätt enligt artikel 3(8) som tar bort begränsningen av rättslig grund som finns i GDPR artikel 20. Detta innebär att patienter kommer att kunna begära portabilitet av sina hälsodata från offentliga vårdgivare som tidigare föll utanför GDPR:s tillämpningsområde. Denna rätt gäller dock endast för datainnehavare inom hälso- och socialförsäkringssektorn, och den träder inte i kraft förrän mars 2029.

Vilket format måste vårdgivare använda när de svarar på en portabilitetsbegäran?

Enligt GDPR måste portabel data tillhandahållas i ett strukturerat, allmänt använt och maskinläsbart format såsom JSON, XML eller CSV. En skannad PDF eller ett utskrivet dokument uppfyller inte detta krav. EHDS går längre genom att kräva att hälsodatainnehavare upprätthåller strukturerad, interoperabel data i format som är kompatibla med EHDS tekniska ramverk, med HL7 FHIR som framväxande standard för kliniskt datautbyte.

Hur lång tid har en privat vårdgivare på sig att svara på en dataportabilitetsbegäran?

Enligt GDPR artikel 20 måste en privat vårdgivare som behandlar data på grundval av samtycke eller avtal svara inom en månad från att ha mottagit begäran. Om begäran är komplex eller omfattande kan detta förlängas med ytterligare två månader, förutsatt att vårdgivaren meddelar patienten inom den första månaden. Offentliga vårdgivare styrs av nationell hälsolagstiftning, och tidslinjerna varierar mellan medlemsstater.

Vilka portabilitetsskyldigheter gäller för vårdgivare med blandad modell?

Vårdgivare med blandad modell, såsom privata kliniker som kontrakteras för att leverera tjänster inom ett offentligt hälsosystem, möter den mest komplexa efterlevnadsanalysen. EHDS definierar en "hälsodatainnehavare" som alla juridiska personer med rätt eller skyldighet att behandla personuppgifter om hälsa, oavsett om de formellt är offentliga eller privata. Detta innebär att vårdgivare med blandad modell behöver en tydlig kartläggning av vilka aktiviteter som vilar på vilken rättslig grund för att bedöma sina skyldigheter korrekt enligt både GDPR och EHDS.

Hur fungerar gränsöverskridande portabilitet för patienter som flyttar mellan EU:s medlemsstater?

För närvarande finns det ingen tillförlitlig mekanism för patienter som flyttar mellan medlemsstater för att säkerställa att deras hälsojournaler följer med dem. Nationella journalsystem använder olika datamodeller, kodningssystem och åtkomstprotokoll. EHDS adresserar detta genom MyHealth@EU-infrastrukturen, som kräver att medlemsstater deltar i gränsöverskridande hälsodatautbyte genom nationella kontaktpunkter. Tills den infrastrukturen är på plats förblir patienthållna journaler den praktiska lösningen för internationellt mobila patienter.

Vilka är de vanligaste efterlevnadsbristerna som vårdgivare bör adressera före EHDS-deadlines?

De högst prioriterade bristerna som identifieras i artikeln är: klinisk dokumentation lagrad i icke-maskinläsbara format såsom skannade PDF:er, frånvaron av patientvända självbetjäningsportaler för datatillgång, oklar samtyckesdokumentation i privata miljöer, legacy-journalsystem som inte kan exportera strukturerad data i HL7 FHIR-kompatibla format, och frånvaron av en dokumenterad kartläggning av behandlingsaktiviteter som särskiljer behandling av allmänt intresse från samtyckes- eller avtalsbaserad behandling.

Gäller EHDS för små privata mottagningar och mikroföretag?

Fysiska personer och mikroföretag, definierade som organisationer med färre än 10 anställda och en årsomsättning eller balansomslutning som inte överstiger 2 miljoner euro, är undantagna från hälsodatainnehavarskyldigheter enligt EHDS som standard. Medlemsstater har dock möjlighet att utvidga dessa skyldigheter till dem genom nationell införlivandelagstiftning, så vårdgivare i denna kategori bör noga följa sin egen jurisdiktions implementering.

Vad betyder EHDS för journalsystem i offentliga institutioner?

Offentliga institutioner står inför en betydande infrastrukturutmaning. Många nationella hälsosystem använder journalsystemplattformar som inte designades med strukturerad dataexport i åtanke. Att uppfylla EHDS artikel 50:s krav på säkra bearbetningsmiljöer och interoperabilitetsstandarder kräver betydande tekniska investeringar. Forskning som citeras i artikeln bekräftar att många befintliga offentliga sektorns implementeringar saknar arkitekturen för att stödja EHDS-efterlevnad utan omfattande åtgärder.

Kom igång med Tandem idag

Gör som tusentals andra som njuter av stressfri dokumentation.

Kom igång med Tandem idag

Gör som tusentals andra som njuter av stressfri dokumentation.

Kom igång med Tandem idag

Gör som tusentals andra som njuter av stressfri dokumentation.