Kort fortalt: AI-journalføring er lovlig i Danmark. Loven forbyder ikke at bruge AI som hjælpeværktøj til at skrive et notat. Den stiller krav til ansvar og databeskyttelse - og dem gennemgår vi her.
Hvem har ansvaret for journalen?
Ansvaret ligger hos den autoriserede behandler - ikke hos værktøjet. AI'en laver et udkast. Behandleren læser det igennem, retter og godkender, før det gemmes. Journalføringspligten gælder uændret. Et AI-værktøj ændrer ikke på, hvem der står til ansvar for indholdet.
Hvad kræver GDPR?
Patientdata er følsomme personoplysninger. Behandlingen skal have et gyldigt grundlag efter databeskyttelsesforordningen (GDPR), herunder reglerne om særlige kategorier af oplysninger i artikel 9. I praksis behandles oplysningerne som led i din behandling af patienten.
Du skal kunne dokumentere, hvordan data behandles, og kun behandle det nødvendige. Det kaldes dataminimering.
Skal der en databehandleraftale?
Ja. Når du bruger en ekstern AI-leverandør til at behandle patientdata, er leverandøren databehandler. Så kræver GDPR (artikel 28) en databehandleraftale mellem klinikken og leverandøren. Aftalen fastlægger blandt andet, hvor data behandles, hvordan det sikres, og hvornår det slettes.
Hos People's Clinic behandles data inden for EU, og du får en databehandleraftale som en del af opsætningen. Se mere under data og sikkerhed.
Skal patienten informeres?
Patienten skal informeres om, at der bruges et AI-værktøj til at understøtte dokumentationen. Det er god praksis, at samtykket fremgår af journalen. Transskriptionen slettes efter op til 90 dage, mens det færdige notat forbliver i dit journalsystem under din kontrol.
Hvor må data behandles?
Følsomme patientdata skal behandles inden for EU/EØS eller under tilsvarende beskyttelse. People's Clinic behandler data inden for EU. Oplysningerne sendes ikke til amerikansk jurisdiktion.
Hvad med EU AI Act?
EU's AI-forordning (AI Act) stiller krav til AI i sundhedssektoren - blandt andet om gennemsigtighed og ansvarlighed. Hvilke krav der gælder for AI i klinikken, og hvad du som klinik skal være opmærksom på, ser vi nærmere på i en selvstændig guide.
Denne guide er generel orientering om reglerne - ikke juridisk rådgivning. Er du i tvivl om din kliniks situation, så søg konkret rådgivning. Relevante myndigheder er Datatilsynet og Styrelsen for Patientsikkerhed.