Skrevet i samarbeid med Charlotte Spakmo Boe
Høyesterett legger seg (endelig) på linje med EU-domstolen, og avklarer innsynsrettens rekkevidde. I et tidligere nyhetsbrev jeg at lagmannsretten overså sentral EU-praksis i sin behandling av innsynskravet. Det hadde vært ønskelig om EU-domstolens vurderinger i Pankki-dommen hadde blitt vurdert konkret. Høyesterett har i HR-2026-372-A gjort akkurat det, og reparerer dermed den metodiske svakheten som preget lagmannsrettens begrunnelser i samme sak.
Bakgrunn for saken
En gutt med medfødt nyrelidelse og hans mor var på konsultasjon hos legevakten. Sykepleieren som gjennomførte konsultasjonen, signerte journalnotatet kun med sine initialer. I etterkant sendte legevakten en bekymringsmelding til barnevernet. Foreldrene ba om å få opplyst navn, stilling og faglig kompetanse på helsepersonellet, noe kommunen avslo. En enstemmig Høyesterett slo fast at pasienter har rett til å få opplyst fullt navn på den som har ført et journalnotat, selv om journalen opprinnelig kun er påført initialer.
Tre instanser – tre ulike tilnærminger
Tingretten tok utgangspunkt i at retten til innsyn i journal er en viktig pasientrettighet, og at alle har rett til innsyn i egen pasientjournal etter pasient- og brukerrettighetsloven § 5-1 første ledd (som eksplisitt viser til personvernforordningen artikkel 15). Tingretten ga foreldrene medhold, men uten å forankre resultatet i en selvstendig vurdering opp mot verken personvernforordningen eller EU-domstolens praksis. Retten begrunnet resultatet i en ren nasjonal helserettslig analyse.
Lagmannsrettens flertall frifant derimot kommunen, og kom til at pasienten etter pasient- og brukerrettighetsloven § 5-1 ikke hadde krav på å få kjennskap til identiteten til helsepersonellet som skrev journalen. Flertallet gikk dermed lengre enn kommunens opprinnelige anførsler skulle tilsi. Pankki S-dommen (C-579/21) ble berørt med én setning, der flertallet konkluderte uten nærmere drøftelse, at
(…) innsynsretten korresponderer med retten etter pasient- og brukerrettighetsloven og helsepersonelloven», og videre at det var«ingen motstrid mellom norsk rett og EU-rett», og at spørsmålet«faller utenfor rammene av denne saken».
Som Eva skrev i juni 2025, var dette en vesentlig metodisk svakhet ved lagmannsrettens begrunnelse.
Dette er et mønster som minner om kritikken flere utvalg har reist mot norske domstoler mer generelt. EØS-/EU-dimensjonen «havner i blindsonen» selv i saker der EU-rettslige bestemmelser er eksplisitt inntatt i nasjonal lovgivning. (Se NOU 2020: 9 (Blindsonen) og NOU 2024:7.) Det står blant annet at "EØS-retten synes i liten eller ingen grad å være behandlet" i de trygderettslige sakene som utvalget gjennomgikk. Høyesterett presiserte også viktigheten av å se hen til EU- domstolens praksis i HR-2025-490-S:
"Et utslag av homogenitetsprinsippet er følgelig at dersom EU-domstolen har tatt stilling til tolkningen av EØS-relevante regler, vil det ha stor vekt" og at nasjonale domstoler skal ta "tilbørlig hensyn" til rettsavgjørelser fra EU- domstolen (avsnitt 52).
Det er nettopp denne plikten lagmannsretten unnlot å etterleve i foreliggende sak. Saken viser at vi fortsatt ikke er i mål med EØS-rettslig bevissthet i underinstansene. Utfordringen er like aktuell i personvernretten som i trygderetten.
Det rettslige bakteppet: hva EU-domstolen har fastslått om innsynsrettens rekkevidde
For å forstå Høyesteretts avklaring, er det nødvendig å kjenne til GDPR art 15 og EU- domstolens to sentrale avgjørelser om innsynsrettens rekkevidde, herunder Österreichische Post (C-154/21) og Pankki- dommen (C-579/21).
GDPR artikkel 15 nr. 1 gir den registrerte rett til å få den behandlingsansvarliges bekreftelse på hvorvidt personopplysninger om vedkommende behandles. Videre åpner bestemmelsen opp for tilgang til opplysningene og en rekke nærmere angitte informasjonskategorier, herunder «mottakerne eller kategoriene av mottakere» som opplysningene er eller vil bli utlevert til, jf. bokstav c. Den alternative formuleringen "eller" har lenge skapt uklarhet om hvorvidt den behandlingsansvarlige fritt kunne velge å oppgi kun kategorier fremfor konkrete mottakere.
I Österreichische Post avklarte EU-domstolen dette, og fastslo at den registrerte har rett til å få opplyst de konkrete mottakerne som personopplysningene er eller vil bli utlevert til. Kategorier er dermed kun tilstrekkelig der mottakerne ikke lar seg identifisere individuelt på tidspunktet for forespørselen. Dommen løste likevel ikke et tilgrensende spørsmål om adgangen til dette for ansatte internt hos den behandlingsansvarlige, og hvorvidt de i det hele tatt anses som «mottakere» etter GDPR. Det var nettopp dette spørsmålet EU-domstolen besvarte i Pankki S.
Pankki S gjaldt krav fra en bankkunde om å få opplyst identiteten på bankansatte som hadde gjort søk i hans personopplysninger. EU-domstolen slo fast at den behandlingsansvarliges ansatte ikke uten videre kan anses som «mottakere» etter artikkel 15 nr. 1 bokstav c når de behandler personopplysninger under den behandlingsansvarliges ledelse og instruks.
Denne bestemmelse foreskriver derimod ikke en sådan ret for så vidt angår information om identiteten på de af den dataansvarliges ansatte, som har foretaget søgningerne under den dataansvarliges ledelse og efter instruks fra denne, medmindre denne information er nødvendig for, at den registrerede effektivt kan udøve sine rettigheder i henhold til denne forordning, og forudsat at de ansattes rettigheder og frihedsrettigheder iagttages (vår understreking, avsnitt 83)
Innsynsretten gir dermed ikke uten videre rett til å kjenne identiteten på interne ansatte. Det avgjørende er om den registrerte har et reelt og legitimt behov for å kjenne identiteten, og om dette behovet veier tyngre enn hensynet til den ansatte.
EU-domstolen presiserte samtidig at den registrerte som utgangspunkt kan ha krav på informasjon om søkene i seg selv, altså selve aksessloggene (herunder dato og formål) selv om identiteten på den ansatte ikke trenger å oppgis.
Saken medførte blant annet at det danske Datatilsynet gikk ut og endret sin praksis fra at innsyn ikke gis i loggfiler til at slikt innsyn kan gis. Les mer om dette i denne artikkelen hos det danske tilsynet hvor de skriver at
«Som tommelfingerregel gælder, at hvis den registrerede alene har bedt om indsigt i loggen uden at angive et specifikt formål, vil hensynet til den, som har foretaget et opslag, ofte veje tungere end hensynet til den, som anmoder om indsigt i loggen. Hvis den registrerede derimod har brug for at vide, hvem der har slået op i loggen for at kunne kontrollere lovligheden af et opslag, f.eks. fordi den registrerede har grund til at mistænke, at der er sket uberettiget opslag, vil afvejningen i mange tilfælde falde ud til fordel for den, der anmoder om indsigt. I disse tilfælde skal man altså som udgangspunkt også oplyse om, hvem der har foretaget opslaget.»
Høyesterett avklarer rettstilstanden
Med dette rettslige bakteppet på plass kan vi vende tilbake til HR-2026-372-A, og til den EU-rettslige analysen som manglet i begge underinstanser.
Det rettslige spørsmålet for Høyesterett var om unntaksadgangen i personopplysningsloven § 16 første ledd bokstav f kom til anvendelse. Bestemmelsen er Norges utnyttelse av adgangen i GDPR artikkel 23 nr. 1 til å begrense innsynsretten nasjonalt. Det er en høy terskel for unntak.
Høyesterett innledet med å konstatere at ordlyden i § 16 bokstav f selv viser at vilkårene for unntak er strenge; innsyn kan bare nektes der det vil være "i strid med åpenbare og grunnleggende private eller offentlige interesser". Kommunen viste til at sykepleieren hadde fått belastninger og sykemeldinger som følge av saken, men Høyesterett fant dette klart utilstrekkelig. Det forelå ikke holdepunkter for at opplysningene ville bli misbrukt, og unntak var derfor utelukket.
Det sentrale spørsmålet var om Pankki S-dommen stengte for denne konklusjonen. Det gjorde den ikke. Høyesterett uttalte at dommen gir «anvisning på en nærmere avveining av personverninteressene til den som krever innsyn, og til den hvis navn vil bli kjent for den innsynsberettigede», og presiserte:
«Jeg legger til at jeg ikke kan se at Pankki S-dommen er til hinder for at det i en slik interesseavveining legges vesentlig vekt på en pasients interesse i å få vite hvem som har skrevet et journalnotat for blant annet å kunne vurdere om helsehjelpen har vært forsvarlig» (avsnitt 54).
Det er her Høyesterett foretar en rettsavklarende utfylling av Pankki S-dommens avveiningsmodell. EU-domstolen anga ikke hvilke momenter som skal tillegges vekt ved vurderingen av om unntaket er oppfylt, og Høyesterett utnytter dette handlingsrommet - og viser at pasientens interesse i å kontrollere og etterprøve helsehjelpen er et slikt tungtveiende moment. Vage anførsler om belastninger på den ansattes side var dermed ikke tilstrekkelig til å velte denne interesseavveiningen. Slik viser Høyesterett at avveiningsmodellen ikke er statisk, men kan fylles med innhold som varierer etter hvilken sektor og hvilke rettigheter som står på spill.
Hvilke praktiske konsekvenser medfører dette for din virksomhet?
Forbered deg på innsynskrav om intern aksess
For virksomheter der ansatte regelmessig aksesserer sensitive personopplysninger som banker, finansinstitusjoner, energiselskaper, forsikringsselskaper, og private helseforetak - vil rettsutviklingen innebære at man må være forberedt på å besvare innsynskrav som gjelder intern aksess. Det forhold at interne brukere som hovedregel ikke er «mottakere» etter GDPR, er ikke i seg selv tilstrekkelig til å begrunne avslag. Det kreves i tillegg en konkret vurdering av om den registrerte likevel har behov for opplysningene for effektivt å kunne utøve sine rettigheter, avveid mot hensynet til den ansatte.
Norsk tilsynspraksis fra de siste tre årene viser at denne typen krav allerede er en realitet. I PVN-2023-28 krevde en NAV-bruker å få innsyn i hvilke NAV-ansatte som hadde aksessert en spesialisterklæring om ham, og i PVN-2024-7 krevde en klager innsyn i logg over hvem som hadde åpnet saksbehandlingssystemet i sin egen klagesak hos Helseklage. I begge sakene ble avslaget opprettholdt, men ikke fordi interne brukere ikke kan identifiseres. Det avgjørende var at den registrerte ikke hadde et tilstrekkelig konkret og legitimt behov som ikke allerede var ivaretatt gjennom annen informasjon. Etter HR-2026-372-A er det klart at der dette behovet er sterkt nok, kan avveiningen falle ut til den registrertes favør.
Avveiningsmodellen er sektorspesifikk – kjenn de relevante hensynene i din bransje
Ethvert innsynskrav om intern aksess krever altså en konkret interesseavveining. Momentene vil derfor variere fra sektor til sektor, og resultatet kan bli ulikt.
I pasientforholdet i HR-2026-372-A veide interessen i å kontrollere hvem som hadde ført opplysninger om en selv og i å etterprøve forsvarlig helsehjelp svært tungt. I Gulating lagmannsretts dom fra 2024 (LG-2024-036502) falt avveiningen motsatt ut. Saken handlet om en person som krevde innsyn i identiteten til polititjenestepersonen som hadde registrert opplysninger om ham i politiets registre. Lagmannsretten la til grunn at politiregisterloven er ment å være i samsvar med GDPR, og viste til at EU-domstolen i Pankki-saken kom til at retten til innsyn ikke omfattet opplysninger om hvilke personer som hadde behandlet personopplysningene. Lagmannsretten la vekt på at dersom navnet på den som registrerte opplysningene ble kjent for den registrerte, ville det oppstå risiko for at tjenestepersonen kunne bli oppsøkt eller kontaktet, noe som igjen kunne påvirke hva som registreres og hvilke vurderinger som nedtegnes.
Som gjennomgått over ble avslagene i PVN-2023-28 og PVN-2024-7 opprettholdt, men av ulike grunner. I PVN-2023-28 var det avgjørende at innsynsbegjæringen ikke var tilstrekkelig begrunnet med et konkret behov for å kjenne identiteten på de ansatte. I PVN-2024-7 hadde klageren allerede fått opplyst dato og formål for oppslagene, og det ytterligere formålet å avdekke «hvor godt forberedt» sakens behandlere hadde vært, gikk ut over det innsynsretten er ment å ivareta. Begge sakene illustrerer at avslag kan opprettholdes, men at det i begge tilfeller krevdes en konkret begrunnelse forankret i den registrertes faktiske behov.
Sammenholdt bekrefter rettskildebildet at Pankki S-dommens avveiningsmodell er det felles rettslige utgangspunktet, men at utfallet avhenger av hvilke konkrete interesser som gjør seg gjeldende på begge sider i den aktuelle sektoren. Virksomheter bør derfor kartlegge hvilke hensyn som er relevante i deres bransje, og sikre at rutinene for håndtering av innsynskrav er innrettet deretter.
Det er verdt å merke seg at de nevnte avgjørelsene ble truffet før Høyesterett eksplisitt slo fast at avveiningsmodellen aktivt skal fylles med sektorspesifikt innhold. En klager med et mer konkret og dokumentert behov, tilsvarende pasientens i HR-2026-372-A – ville dermed ikke nødvendigvis møtt samme resultat i dag.
Gjennomgå interne rutiner – praksis uten rettslig hjemmel holder ikke
Som det fremgikk av avgjørelsen i tingretten, hadde kommunen ikke en generell praksis med å holde tilbake navn på ansatte i journalsaker. En tidligere enhetsleder ved legevakten uttalte likevel i sin forklaring til tingretten at
«(..)… de ikke generelt holder tilbake navnet på ansatte som har ført journal, men at dette bare gjelder i saker hvor det blir sendt bekymringsmelding til barnevernet – slik tilfellet er i denne saken» (vår understreking).
Tingretten fant at en slik sektorspesifikk praksis var i strid med de forutsetninger lovgivningen bygger på.
Fra et personvernperspektiv er dette illustrerende for en risiko mange virksomheter bærer: intern praksis for håndtering av innsynskrav utvikles ofte over tid, uten at praksisen er systematisk forankret i en gyldig rettslig hjemmel. Dette illustrerer at virksomheter som ikke gjennomgår og forankrer sin innsynspraksis rettslig, risikerer å stå uten gyldig hjemmel når et krav eventuelt eskalerer til domstolene.
Aksesslogger – et krav om innhold, ikke bare eksistens
Interesseavveiningen som er beskrevet i punkt 5.2, forutsetter at virksomheten faktisk vet hvem som har aksessert hvilke opplysninger, når og med hvilket formål. Dette gjør aksessloggen til mer enn et teknisk tiltak; den er en forutsetning for å kunne håndtere innsynskrav i samsvar med gjeldende rett.
Personvernnemndas avgjørelse i PVN-2024-23 illustrerer en praktisk konsekvens som er direkte relevant for virksomheters systeminnretning. Saken gjaldt spørsmål om innholdet i den elektroniske tilgangsloggen til en pasientjournal ved et sykehus. Nemnda la til grunn med direkte henvisning til Pankki S avsnitt 83, at den registrerte har rett til
«information vedrørende søgninger i en persons personoplysninger og vedrørende datoerne for og formålet med disse søgninger».
En logg som kun viser at noen har åpnet en fil, er dermed ikke tilstrekkelig. Loggen må også vise dato og formål for oppslaget, og den må være tilgjengelig på en måte som gjør det mulig å gi innsyn.
Dagens rettskildebilde om innsynskravets rekkevidde skaper dermed ikke bare et praktisk insentiv, men en forpliktelse for virksomheter til å etablere aksesslogger med tilstrekkelig innhold. Spørsmålet om manglende loggføring i seg selv kan innebære et selvstendig brudd på GDPR artikkel 15, er foreløpig ikke avklart, men rettsutviklingen gir god grunn til å ta dette spørsmålet på alvor.
