En fastlege avslutter en konsultasjon og ber ChatGPT skrive et kort journalnotat:

“Oppsummer dette: 54 år gammel mann, brystsmerter siste 3 dager, bruker atorvastatin, tidligere infarkt.”

På få sekunder får legen et ryddig journalnotat tilbake.

Det virker effektivt – men det mange ikke tenker på er at pasientopplysningene da kan være sendt til en ekstern AI-tjeneste uten databehandleravtale.

I mange tilfeller kan dette være i strid med personvernreglene.

Mange blir overrasket over dette – fordi AI i seg selv ikke er ulovlig i helsevesenet.
Utfordringen er hva som skjer med pasientdataene etter at de sendes til et AI-verktøy.

Stadig flere leger og terapeuter tester i dag AI-verktøy for å skrive journalnotater, diktere henvisninger eller oppsummere konsultasjoner.

Verktøy som ChatGPT gjør dette imponerende bra.

Men her oppstår et viktig spørsmål:

Er det lov å bruke AI på pasientdata?

Kort svar:
Ja – men bare hvis visse krav er oppfylt.

Problemet er at mange generelle AI-tjenester ikke er laget for helsedata, og kan derfor bryte med personvernreglene dersom de brukes direkte til journalføring.

Denne guiden forklarer:

hva GDPR faktisk krever
hvorfor generelle AI-verktøy kan være problematiske
hva et AI-system må ha for å være trygt i klinisk bruk

Hvorfor helseopplysninger er ekstra beskyttet

I personvernforordningen klassifiseres helseopplysninger som særlige kategorier personopplysninger.

Dette betyr at de har strengere beskyttelse enn vanlige persondata.

Eksempler på helseopplysninger:

diagnoser og behandlingshistorikk
symptomer og kliniske observasjoner
legemiddelbruk
prøvesvar
epikriser og journalnotater
informasjon om psykisk helse
genetiske og biometriske data

Regelverket finnes i GDPR artikkel 9, som regulerer behandling av sensitive personopplysninger.

Source:
GDPR art. 9
https://gdpr-info.eu/art-9-gdpr/

Kan leger bruke ChatGPT til journalføring?

Mange leger og terapeuter har testet dette.

Men i praksis kan det skape flere personvernproblemer.

Tommelfingerregel:
Hvis du ikke har signert en databehandleravtale med leverandøren, bør du ikke sende pasientdata til systemet.

1. Manglende databehandleravtale

Når du skriver pasientinformasjon i et AI-verktøy, sender du data til en ekstern tjeneste.

I GDPR kalles dette databehandling.

For å gjøre dette lovlig må det finnes en databehandleravtale mellom klinikken og leverandøren.

Hvis dette ikke finnes, kan behandlingen være i strid med GDPR.

Source:
GDPR art. 28
https://gdpr-info.eu/art-28-gdpr/

2. Data kan lagres utenfor EØS

Flere AI-tjenester lagrer data i USA eller andre tredjeland.

Overføring av helseopplysninger utenfor EØS krever spesielle juridiske mekanismer, som:

EU Standard Contractual Clauses
Binding Corporate Rules
Adequacy decisions

Dette gjør bruk av generelle AI-tjenester juridisk mer komplisert i helsesektoren.

3. Begrenset kontroll over lagring og sletting

Når pasientdata sendes til en ekstern AI-tjeneste må du kunne vite:

hvor data lagres
hvor lenge de lagres
hvem som har tilgang

Hvis dette ikke er tydelig regulert, kan det bryte med kravene til informasjonssikkerhet.

Hva skjer hvis pasientdata havner i feil system?

Brudd på personvernreglene i helsesektoren kan føre til:

tilsyn fra Datatilsynet
bøter på opptil 20 millioner euro eller 4 % av global omsetning for virksomheter
erstatningskrav fra pasienter
i alvorlige tilfeller tilsynssak mot helsepersonell

Dette betyr ikke at AI er farlig – men at verktøyet må være utviklet for håndtering av helsedata.

Når kan AI brukes lovlig i helsevesenet?

AI er ikke ulovlig i helsevesenet.

Men behandlingen må ha et gyldig behandlingsgrunnlag.

De vanligste er:

1. Nødvendig for helsehjelp

Helsepersonell kan behandle helseopplysninger dersom det er nødvendig for:

diagnostikk
behandling
record keeping

Dette reguleres av GDPR artikkel 9 (2)(h).

2. Oppfyllelse av journalplikt

I Norge har helsepersonell lovpålagt journalføringsplikt.

Dette følger av helsepersonelloven §39.

Hvis AI brukes som et verktøy for å oppfylle denne plikten, kan det være lovlig – forutsatt at personvernet ivaretas.

Source:
Helsepersonelloven §39
https://lovdata.no/lov/1999-07-02-64/§39

Hvilke krav må et AI-verktøy oppfylle i helsevesenet?

For å kunne brukes trygt i klinisk arbeid må et AI-system normalt ha:

1. Databehandleravtale

Regulerer hvordan pasientdata behandles.

2. Lagring innenfor EØS

For å unngå kompliserte tredjelandsoverføringer.

3. Kryptering

Data må krypteres både:

under overføring
ved lagring

4. Tilgangskontroll

Bare autorisert personell skal ha tilgang.

5. Logging

Alle tilganger til pasientdata må logges.

Dette er krav som følger av GDPR artikkel 32 om informasjonssikkerhet.

Source:
https://gdpr-info.eu/art-32-gdpr/

Hvordan MediVox håndterer personvern

AI i helse krever løsninger som er designet for klinisk bruk.

Medivox er utviklet spesifikt for helsepersonell og er designet for å oppfylle de juridiske og tekniske kravene som gjelder for behandling av pasientdata i helsesektoren.

Blant tiltakene er:

databehandleravtale med alle kunder
lagring av data i Norge
kryptert overføring og lagring
tilgangskontroll og logging
tydelige rutiner for sletting av data

Vil du se hvordan det fungerer i praksis?

Vi arrangerer også et webinar hvor vi demonstrerer hvordan AI kan brukes til journalføring, brev og dokumentasjon i klinisk arbeid.

Du kan se mer om webinaret her:

Effektivisering av medisinske notater – hvordan AI kan frigjøre legens tid
https://events.medivox.ai/

Sjekkliste: Er AI-verktøyet du bruker GDPR-kompatibelt?

Gå gjennom disse spørsmålene:

– Finnes det en databehandleravtale?
– Vet du hvor data lagres?
– Er data lagret innenfor EØS?
– Er data kryptert under overføring og lagring?
– Finnes det tilgangskontroll og logging?
– Er pasienter informert om bruk av AI?

Hvis du ikke kan svare ja på disse spørsmålene, bør du vurdere løsningen nærmere før den brukes på pasientdata.

FAQ – vanlige spørsmål

Må jeg ha samtykke fra pasienten for å bruke AI?

Ikke nødvendigvis.

Hvis AI brukes som et verktøy for diagnostikk, behandling eller journalføring, kan behandlingsgrunnlaget være nødvendig helsehjelp.

Men pasienter skal informeres om hvordan deres data behandles.

Kan AI-leverandøren se pasientdata?

Det avhenger av systemet.

Tilgang kan være nødvendig i enkelte tilfeller, for eksempel ved feilsøking.
Da skal tilgangen være begrenset og loggført.

Er AI-journaler lovlige i Norge?

Ja.

AI kan brukes som et verktøy for å skrive journalnotater, så lenge helsepersonell fortsatt har det faglige ansvaret for innholdet i journalen.

Journalen må fortsatt oppfylle kravene i helsepersonelloven.

Kan jeg bruke ChatGPT hvis jeg fjerner navn?

Ikke nødvendigvis.

Selv uten navn kan informasjon som alder, diagnose, symptomer eller sjeldne tilstander gjøre en pasient identifiserbar.

Dette betyr at også delvis anonymisert informasjon kan være personopplysninger etter GDPR.

Må data lagres i Norge?

Nei.

Men de må normalt lagres innenfor EU/EØS dersom de inneholder personopplysninger.

Kan AI-verktøy bruke pasientdata til modelltrening?

Bare hvis dette er eksplisitt regulert i databehandleravtalen.

I mange tilfeller vil dette kreve pseudonymisering eller anonymisering av data.

Hva skjer hvis en pasient ber om sletting?

Pasienter har rett til sletting i mange situasjoner.

Men i helsetjenesten gjelder journaloppbevaringsplikt, som ofte går foran retten til sletting.

En situasjon mange leger kjenner seg igjen i

I en travel klinisk hverdag er det lett å teste nye verktøy for å spare tid.
Mange leger har derfor prøvd å lime inn et journalnotat eller en epikrise i et AI-verktøy for å få hjelp til å forbedre formuleringen eller lage et sammendrag.

Det er forståelig – behovet for bedre verktøy i klinisk dokumentasjon er stort.

Men når pasientopplysninger sendes til generelle AI-tjenester uten databehandleravtale eller kontroll over hvor data lagres, kan det samtidig skape juridiske og personvernmessige utfordringer.