Norsk helsedata skal flyte — ikke parkeres

Fra 1. januar 2026 gjelder to nye lover i Norge som stille og rolig endrer spillereglene for digital helse. Ingen store pressekonferanser. Ingen overskrifter i VG. Men for oss som jobber med å koble pasientgenererte helsedata inn i norske journalsystemer, er dette et vendepunkt.

La meg forklare hva som faktisk har skjedd — og hvorfor det betyr noe for deg som pasient, pårørende eller kliniker.

To lover som løser opp en gammel floke

Stortinget vedtok i desember 2025 to endringer i norsk helselovgivning som trer i kraft nå i år. Begge lovene er en del av regjeringens arbeid med å realisere målene i Nasjonal e-helsestrategi 2023–2030 — en strategi som slår fast at Norge skal ha en sammenhengende, sikker og interoperabel digital helseinfrastruktur.

Prop. 152 L endrer pasientjournalloven, helseregisterloven og helsepersonelloven. Den stiller nye krav til teknisk og organisatorisk sikkerhet hos alle som behandler helsedata — og krever at de kan dokumentere forsvarlig risikovurdering av sine informasjonssystemer. Loven presiserer at sikkerhetsnivået skal vurderes opp mot den teknologiske utviklingen og kritiske samfunnsfunksjoner — ikke bare mot gjeldende praksis.

Prop. 154 L endrer reglene for taushetsplikt og tilgjengeliggjøring av pasientopplysninger. Den erkjenner eksplisitt noe vi i helsetech-miljøet har sagt lenge: at desentralisert, silobasert lagring av helsedata er et sikkerhetsproblem i seg selv. Tilnærmet samme informasjon lagret på mange steder, bare oppdatert ett sted — det er ikke forsvarlig infrastruktur. Loven stiller krav om at dataansvarlige skal sikre at personvernet ivaretas i virksomhetenes tekniske løsninger, og at sikkerhetstiltak er adekvate og dimensjonerte til enhver tid.

Begge lovene ble sanksjonert av Kongen i statsråd 22. desember 2025 og trådte i kraft 1. januar 2026.

Sett under ett sender disse to lovene ett tydelig signal til norsk helsevesen: pasientdata skal forvaltes forsvarlig, strukturert og innenfor norsk kontroll.

Hva dette betyr i praksis for diabetespasienter

For de over 33 300 personene i Norge som lever med diabetes type 1, er den digitale hverdagen preget av fragmentering. CGM-data fra kontinuerlige blodsukkersensorer og insulinpumpedata samles i utenlandske skyplattformer eid av amerikanske selskaper — alle underlagt US CLOUD Act. Det betyr at amerikanske myndigheter kan kreve tilgang til norske pasientdata uten at verken pasienten eller norske myndigheter varsles.

Når legen vil se på dataene i konsultasjonen, skrives rapporter ut fra disse plattformene og skannes inn i journalen som PDF-filer — eller analyseres i tredjepartsverktøy utenfor journalsystemet og utenfor norske helsestandarder som HelseID, for deretter å bli manuelt overført inn i norske journaler.

Resultatet er todelt: klinikere bruker verdifull konsultasjonstid på manuell databehandling fremfor pasientbehandling — og risikoen for feilregistrering av kritiske pasientdata øker betraktelig.

Det er ikke digitalisering. Det er papirarbeid med en skanner i midten — og sensitive pasientdata på servere utenfor norsk kontroll.

Dette er ikke et marginalt problem. Forskning fra UiT og Nasjonalt senter for e-helseforskning (2025) viser at mangelen på automatisert dataflyt mellom medisinsk utstyr og journalsystemer er en av de største uløste utfordringene i moderne diabetesbehandling — globalt, og særlig i Norge.

De nye lovene stiller nå krav om at tekniske løsninger som behandler sensitive helsedata skal ha et sikkerhetsnivå som er egnet med hensyn til risikobildet. En løsning der norske pasientdata lagres på servere i USA — uten eksplisitt norsk kontroll og uten åpne standarder for datadeling — er i direkte spenning med det lovverket nå krever. Helseforetak som fortsetter å bruke slike plattformer uten dokumentert og oppdatert risikovurdering, er i et juridisk grenseland de ikke bør bli værende i.

Og så kommer EHDS — fra mars 2027

Parallelt med de norske lovene trer EUs forordning om det europeiske helsedataområdet (EHDS) i kraft 26. mars 2027. Den vil gjelde for Norge gjennom EØS-avtalen.

EHDS-forordningen (EU) 2025/327 ble vedtatt 11. februar 2025 og representerer det største regulatoriske spranget innen digital helse i Europa på mange år. Den gir pasienter en lovfestet rett til egne helsedata i et strukturert, maskinlesbart format — og stiller krav om at data kan deles på tvers av systemer og landegrenser via åpne, standardiserte grensesnitt. Det er FHIR-standarden i praksis, forankret i EU-lov.

EHDS vil i praksis bety at norske helseforetak og leverandører av helseteknologi må støtte åpen, standardisert eksport og import av helsedata — noe som vil sette ytterligere press på løsninger som i dag opererer som lukkede siloer.

Norge har tre valg: henge etter, henge med — eller gå foran.

Regjeringen har selv signalisert at Norge skal forberede seg aktivt på EHDS, og at Norsk helsenett og nasjonal e-helseinfrastruktur skal utvikles i takt med de europeiske kravene. Tidsvinduet for å bygge riktig infrastruktur er akkurat nå.

Hva Luca MedTech bygger

Vi bygger infrastruktur for å koble diabetespasientdata direkte inn i norske journalsystemer — via åpne standarder (FHIR, openEHR), norsk skylagring og HelseID. Ingen manuell overføring. Ingen PDF-skanning. Ingen data ut av Norge.

Det er ikke bare et nyttig produkt. Det er infrastruktur norsk helserett nå krever.

Til deg som leser dette

Enten du er forelder til et barn med T1D, kliniker som ønsker bedre verktøy, eller noen som jobber med e-helse i norsk helsevesen — vi vil gjerne høre fra deg.

Regelverket er nå i ryggen vår. Nå handler det om å bygge raskt nok til at pasientene merker det.