Nye bekendtgørelser og EU-forordninger styrker rammerne for digital sundhedsdataudveksling via MyHealth@EU, skærper kravene til tillidstjenester under eIDAS og adresserer cybersikkerhed i kritisk infrastruktur med NIS2-direktivet. Også regler for IT-systemnedbrud i arbejdsmiljødata justeres.
Nye regler ændrer lige nu spillereglerne for digitale sundhedsdata, tillidstjenester og cybersikkerhed – fra udveksling af patientoplysninger via MyHealth@EU til finansiering af NIS2-beredskab i energisektoren og håndtering af IT-nedbrud i arbejdsmiljødata.
Nye Regler for Digital Sundhedsdata, Tillidstjenester og Cybersikkerhed
De seneste måneder har budt på en række markante opdateringer inden for IT-ret, der tilsammen strammer grebet om datasikkerhed, gennemsigtighed og digital infrastruktur på tværs af sundhedssektoren, forsyningssektoren og det digitale indre marked. For virksomheder og myndigheder betyder det både nye tekniske krav, skærpede dokumentationsforpligtelser – og enkelte steder lidt mere manøvrefrihed, når IT-systemerne svigter.
Grænseoverskridende Sundhedsdata via MyHealth@EU
Sundhedsdatastyrelsen som digitalt knudepunkt
Med den nye bekendtgørelse om pilotprojekt om udveksling af oplysninger via MyHealth@EU placeres Sundhedsdatastyrelsen som central motor i den danske del af EU’s digitale sundhedsinfrastruktur. Styrelsen driver MyHealth@EU via den fælles digitale infrastruktur og er dataansvarlig for de helbredsoplysninger og øvrige fortrolige data, der behandles gennem systemet, som nærmere er opregnet i bekendtgørelsens bilag 1. Oplysningerne udstilles via en særlig brugergrænseflade til sundhedsprofessionelle, apotekere og apotekspersonale i andre EU-lande, der deltager i MyHealth@EU, og deltagerne skal offentliggøres på Sundhedsdatastyrelsens hjemmeside. Bekendtgørelse
Adgang for udenlandske sundhedsprofessionelle og patientens fravalg
MyHealth@EU er i pilotperioden målrettet den aktuelle behandling af patienten i et andet EU-land. Sundhedsprofessionelle i et andet medlemsland kan slå oplysninger om en dansk patients helbred frem, når det er nødvendigt i forbindelse med igangværende behandling, mens apotekere og apotekspersonale kan hente elektroniske recepter til ekspedition. Patienten har samtidig en eksplicit ret til at frabede sig, at sundhedsprofessionelle og apotekspersonale indhenter oplysninger via MyHealth@EU – et opt-out, som afspejler EU’s fokus på patientkontrol over egne sundhedsdata i det kommende European Health Data Space (EHDS).(lovguiden.dk)
I praksis betyder det, at danske patienter kan opleve mere sammenhængende behandling på tværs af grænser – eksempelvis ved ferie, studieophold eller pendling – men også at de skal tage aktivt stilling, hvis de ikke ønsker, at deres data bruges i de grænseoverskridende tjenester.
Tekniske og forretningsmæssige krav til kildesystemer
Bekendtgørelsen forankrer MyHealth@EU i en bred vifte af kildesystemer, som er oplistet i bilag 2 – fra regionale og kommunale journalsystemer til praksissystemer og andre serviceplatforme. De dataansvarlige (regioner, kommuner, privatdrevne sygehuse, praktiserende læger m.fl.) skal give Sundhedsdatastyrelsen adgang til de relevante oplysninger straks efter registrering i kildesystemet, forudsat at tilslutningskravene er opfyldt. Sundhedsdatastyrelsen skal udarbejde en teknisk vejledning og fastsætte både tekniske og forretningsmæssige krav til disse systemer, herunder krav til interoperabilitet, sikker dataoverførsel og logning af adgang.(lovguiden.dk)
Samtidig fastslås det, at oplysninger udelukkende vises via MyHealth@EU, mens selve slettefristerne følger de generelle regler for den fælles digitale infrastruktur. Det understreger, at pilotprojektet primært handler om ny udstillings- og udvekslingslogik oven på eksisterende danske datalagre – ikke om at opbygge endnu et separat sundhedsregister.
Databeskyttelse, logning og EU-kontekst
På EU-plan er MyHealth@EU den centrale digitale tjenesteinfrastruktur for elektroniske grænseoverskridende sundhedsydelser, først og fremmest e-recepter og patientresuméer, som allerede rulles ud i en række medlemslande.(health.ec.europa.eu) Det kommende EHDS-regime gør deltagelse i MyHealth@EU obligatorisk og forudsætter klare roller for medlemsstaterne som (fælles) dataansvarlige og Kommissionen som databehandler.(europarl.europa.eu)
For danske aktører betyder det bl.a.:
- krav om dokumenteret risikovurdering og sikkerhedsforanstaltninger efter GDPR for grænseoverskridende behandling
- detaljeret logning af opslag, så patienter kan få indsigt i, hvem der har tilgået deres data og hvornår
- løbende opdatering af tekniske standarder, så de følger de EU-fastlagte formater for patientresuméer, recepter, laboratorieresultater m.v.
MyHealth@EU træder dermed ind som en ny og sikker “motorvej” for helbredsoplysninger, men ansvaret for både databeskyttelse og teknisk robusthed ligger i høj grad hos nationale myndigheder og de dataansvarlige sundhedsaktører.
Skærpede Krav til Tillidstjenester under eIDAS
EU’s eIDAS-forordning udgør den juridiske rygrad for elektroniske signaturer, segl, tidsstempler og andre tillidstjenester, der bl.a. understøtter NemLog-in, MitID og offentlige og private signeringsløsninger i Danmark. De nye gennemførelsesforordninger 2025/2162 og 2025/2160 strammer nu kravene både til akkrediteringsorganerne og til risikostyringen hos udbydere af ikkekvalificerede tillidstjenester.
Akkreditering og mere detaljerede krav til overensstemmelsesvurderinger
Kommissionens gennemførelsesforordning 2025/2162 fastlægger detaljerede regler for, hvordan nationale akkrediteringsorganer skal akkreditere overensstemmelsesvurderingsorganer, der kontrollerer kvalificerede tillidstjenesteudbydere og deres tjenester. Forordningen specificerer bl.a., hvilke oplysninger et akkrediteringscertifikat skal indeholde, hvordan fleksibel akkrediteringsscope kan håndteres, og hvordan akkrediteringen skal revurderes, hvis der sker ændringer hos vurderingsorganet. Den indfører også krav om offentligt tilgængelige certifikater og om, at vurderingsorganer skal kunne dokumentere tilstrækkelig erfaring og kompetence i de relevante ETSI-standarder for hver type tjeneste, fx kvalificerede signaturer, tidsstempler, elektroniske anbefalede leveringsservices eller kvalificerede elektroniske arkiver.(eur-lex.europa.eu) EU-forordning
I Danmark er Digitaliseringsstyrelsen allerede udpeget som tilsynsorgan for tillidstjenester, og styrelsen har etableret både positivliste og detaljerede politikker for kvalificerede certifikater, tidsstempling og validering af signaturer, som bygger på samme ETSI-standarder, som den nye forordning refererer til.(certifikat.gov.dk) Den nye EU-regulering giver dermed et mere ensartet og detaljeret sæt spilleregler for, hvordan de uvildige revisorer og certificeringsorganer skal arbejde – noget, der styrker troværdigheden af de rapporter, som danske tillidstjenester indleverer til Digitaliseringsstyrelsen.
Risikostyring hos ikkekvalificerede tillidstjenester
Hvor 2025/2162 fokuserer på kvalificerede tjenester, retter 2025/2160 sig mod ikkekvalificerede tillidstjenester – dvs. de tjenester, der ikke har “kvalificeret”-stemplet, men stadig er omfattet af eIDAS’ sikkerheds- og ansvarsregler. Forordningen fastlægger et detaljeret rammeværk for risikostyring og henviser til specifikke referencestandarder i et bilag.(eur-lex.europa.eu) EU-regler
De centrale krav omfatter bl.a.:
- at virksomheden skal have en dokumenteret risikostyringspolitik for hver tjeneste, godkendt af den øverste ledelse
- systematisk identifikation og evaluering af risici, herunder afhængighed af tredjepartsleverandører og single points of failure
- etablering af en risikobehandlingsplan, hvor valgte tiltag og accept af rest-risici begrundes
- løbende overvågning og revision af både risikovurdering og tiltag – mindst én gang årligt eller ved væsentlige ændringer
- krav om offentliggørelse af de identitetsvalideringsmetoder, der anvendes over for brugerne, samt sikker opbevaring af registrerings- og autentifikationsdata med henblik på både driftskontinuitet og bevisførelse.
For danske udbydere, der i dag konkurrerer på brugervenlighed og lave omkostninger, kan de nye regler betyde, at “lette” tillidstjenester fremover skal dokumentere risikostyring næsten på niveau med de kvalificerede. Samtidig giver forordningen en formodning for overholdelse af eIDAS, hvis de refererede standarder og krav følges – noget der kan lette tilsynet og skabe mere forudsigelighed i forhold til Digitaliseringsstyrelsens kontrol.
Praktiske konsekvenser for danske tillidstjenesteudbydere
Udbydere af både kvalificerede og ikkekvalificerede tillidstjenester bør nu:
-
Genbesøge deres overensstemmelsesvurderinger
– stemmer rapportstruktur, testdækning og offentliggørelse af certifikater overens med de nye EU-krav? -
Opdatere interne styringsdokumenter
– er risikopolitikker, procedurer for håndtering af sikkerhedshændelser og processer for godkendelse af rest-risici klart forankret i ledelsen og dokumenteret? -
Koordinere med revisorer/overensstemmelsesorganer
– de nye regler stiller krav til både ordregiver og revisor, og et tæt samspil bliver afgørende for at sikre, at vurderingsrapporter faktisk kan lægges til grund af tilsynsmyndighederne. -
Tænke på tværs af reguleringer
– NIS2, databeskyttelse (GDPR), eIDAS og evt. sektorregulering (fx finans) griber nu endnu tydeligere ind i hinanden, og compliance-arbejdet kan ikke længere håndteres isoleret pr. regelværk.
NIS2 og Cybersikkerhed i Kritisk Infrastruktur
Indtægtsrammer skal kunne rumme cybersikkerheds- og beredskabsomkostninger
Hvor eIDAS retter sig mod den generelle digitale infrastruktur, rammer NIS2-direktivet og CER-direktivet især de kritiske sektorer – herunder energiforsyningen. Et nyt udkast til bekendtgørelse om indtægtsrammer for netvirksomheder, sendt i høring af Energistyrelsen, skal justere den økonomiske regulering, så elselskabernes øgede meromkostninger til cybersikkerhed og beredskab faktisk kan rummes inden for indtægtsrammerne. Høringsmaterialet lægger bl.a. op til, at netvirksomheder kan søge om forhøjelse af indtægtsrammen for reguleringsåret 2025 for væsentlige meromkostninger relateret til gennemførelse af NIS2- og CER-krav, herunder omkostninger afholdt fra den oprindelige EU-frist i oktober 2024. Samtidig præciseres reglerne for elektrificeringstillæg, så omkostninger til fleksibilitetsydelser i højspændingsnettet kan indgå på linje med andre netinvesteringer. Høring
Justeringen hænger tæt sammen med den vedtagne lov om styrket beredskab i energisektoren, der implementerer NIS2- og CER-direktiverne særskilt for energisektoren og markant udvider kravene til både fysisk og cyber-mæssig sikkerhed.(ens.dk)
Fra sikkerhedskrav til økonomisk realitet
For netvirksomhederne ændrer udviklingen sig fra at være et primært compliance-spørgsmål til også at være et indtægts- og tarifspørgsmål. De nye regler gør det muligt at få visse meromkostninger dækket via indtægtsrammen, hvis de kan knyttes til:
- implementering af NIS2- og CER-krav (fx nye overvågningssystemer, netværkssegmentering, SOC-tjenester, ekstra beredskabsvagter)
- opgraderinger af kritiske IT- og OT-systemer for at leve op til forstærkede krav til modstandsdygtighed og hændelseshåndtering
- investeringer i fleksibilitetsydelser, der understøtter elektrificeringen – og dermed forbrugstilslutninger – uden at underminere forsyningssikkerheden.
En forsimplet oversigt over udviklingen kan skitseres således:
| Område | Før justering | Efter foreslået justering | Praktisk effekt for netvirksomheder |
|---|---|---|---|
| NIS2/CER-omkostninger | Ikke klart adresseret i indtægtsrammeregler | Mulighed for merindtægtsramme ved væsentlige omkostninger | Bedre økonomisk dækning af nye cybersikkerhedskrav |
| Elektrificeringstillæg | Fokus på netforstærkning og udbygning | Fleksibilitetsydelser i højspændingsnet tydeligt inkluderet | Øget incitament til smart grid-løsninger |
| Overgangsregler | Begrænsede korrektioner bagud | Nye overgangsregler for tidligere reguleringsår | Mulighed for at rette op på historiske skævheder |
For både forsyningsselskaber og deres kunder er pointen, at cybersikkerhed nu i højere grad anerkendes som en kerneomkostning ved netdrift – ikke blot et “nice to have” tiltag på kanten af økonomireguleringen. Samtidig bliver grøn omstilling og elektrificering tydeligt koblet til krav om robust digital infrastruktur.
Samspil med lov om styrket beredskab i energisektoren
Den nye økonomiske bekendtgørelse kan ikke læses isoleret fra beredskabsloven for energisektoren, der udvider kredsen af omfattede virksomheder og stiller detaljerede krav til organisatorisk beredskab, tekniske og fysiske sikringstiltag samt rapportering og tilsyn.(ens.dk)
I praksis må netvirksomheder nu:
- kortlægge, hvilke tiltag der gennemføres alene pga. NIS2/CER, og hvilke der også har andre forretningsformål
- sikre, at dokumentationen for de NIS2- og CER-relaterede omkostninger er tilstrækkelig til at kunne indgå i ansøgninger om forhøjede indtægtsrammer
- koordinere tæt mellem CISO-funktion, beredskabsansvarlige og økonomifunktion, så sikkerhedskrav og tarifregulering tænkes sammen.
Dermed flytter cybersikkerhed sig fra IT-afdelingen til bestyrelses- og takstniveau.
IT-Systemstabilitet og Offentliggørelse af Arbejdsmiljødata
Ny hjemmel til at fravige offentliggørelse ved IT-nedbrud
Endelig justeres også reglerne om offentliggørelse af arbejdsmiljødata. Med ændringsbekendtgørelsen til bekendtgørelse om offentliggørelse af oplysninger om virksomheders arbejdsmiljø indsættes en ny § 7 a, der giver Arbejdstilsynet mulighed for helt eller delvist at fravige offentliggørelsen af oplysninger efter §§ 4–7 i perioder, hvor det ikke er teknisk muligt at offentliggøre data – eksempelvis på grund af IT-udvikling, fejl i data eller nedbrud i IT-systemer. Samtidig foretages en sproglig præcisering i § 7, stk. 4, hvor det præciseres, at det er “oplysninger om” afgørelser, der offentliggøres. Bekendtgørelse
Ændringen ligger i forlængelse af den eksisterende ordning, hvor Arbejdstilsynet publicerer oplysninger om virksomhedernes arbejdsmiljø – herunder besøg, afgørelser og gentagne overtrædelser – på sin hjemmeside som led i den såkaldte smiley- og tilsynsindblik-ordning.(at.dk)
Gennemsigtighed over for teknisk realisme
I høringsmaterialet fremhævede Arbejdstilsynet behovet for en praktisk ventil i situationer, hvor manglende offentliggørelse skyldes rene tekniske forhold – ikke et ønske om at holde oplysninger skjult.(lovguiden.dk)
Balancen kan skitseres sådan:
- Uændret princip: Offentliggørelse af arbejdsmiljøoplysninger er fortsat hovedreglen og et vigtigt middel til gennemsigtighed.
- Ny mulighed: I perioder med systemnedbrud, migrering til nye platforme eller konstaterede datafejl kan tilsynet undlade eller begrænse offentliggørelse, indtil problemerne er løst.
- Begrænset rækkevidde: Bestemmelsen ændrer ikke, hvilke oplysninger der skal offentliggøres, når systemerne fungerer; den regulerer alene, hvad der sker, når det ikke er teknisk muligt.
For virksomhederne betyder det, at midlertidige “huller” i visningen af arbejdsmiljødata på Arbejdstilsynets platform ikke i sig selv indikerer ændrede krav eller mildere tilsyn – men ofte snarere er et tegn på igangværende IT-udvikling eller fejlretning.
Praktiske implikationer for arbejdsgivere og rådgivere
Arbejdsgivere og deres rådgivere bør være opmærksomme på, at:
- forpligtelserne til at overholde arbejdsmiljøloven og efterkomme påbud er uændrede, uanset om offentliggørelsen midlertidigt er suspenderet
- interne compliance- og CSR-rapporter ikke bør baseres alene på, hvad der aktuelt fremgår af tilsynets online-oversigter, men også på egne afgørelser og korrespondance
- dialog med kunder og samarbejdspartnere om arbejdsmiljøforhold kan kræve ekstra dokumentation i perioder, hvor den offentlige visning er påvirket af IT-arbejdet.
For IT- og digitaliseringsafdelinger i myndigheder sender ændringen et klart signal: driftssikkerhed og planlagt IT-udvikling må fremover tænkes ind i reguleringsmodellerne, så gennemsigtighedsinitiativer ikke bliver sårbare over for de samme tekniske udfordringer, som digitaliseringen ellers skal afhjælpe.
Sammenflettede Spor i Digital Regulering
På tværs af sundhedsdata, tillidstjenester, kritisk infrastruktur og arbejdsmiljødata tegner der sig et fælles mønster: EU-retten bevæger sig mod mere detaljerede tekniske krav, eksplicitte roller og skærpede dokumentationsforpligtelser, mens den nationale regulering forsøger at omsætte disse krav til realistiske rammer for drift og økonomi. For danske aktører indebærer det, at juridisk compliance ikke længere kan håndteres isoleret – MyHealth@EU, eIDAS, NIS2/CER og nationale bekendtgørelser krydser hinanden i både systemarkitektur, risikostyring og forretningsmodeller. Den afgørende opgave de kommende år bliver at udnytte de nye rammer til at styrke både sikkerhed, gennemsigtighed og driftssikkerhed – uden at kvæle innovationen i den digitale infrastruktur, de skal beskytte.
