EU AI Act regulerer AI efter risiko. Hvilken risikokategori et værktøj, der laver udkast til journalnotater, falder i, afhænger af den konkrete brug og er ikke endeligt afklaret for medicinsk dokumentations-AI. Gennemsigtighed er under alle omstændigheder centralt: det skal være tydeligt, at indholdet er udarbejdet med AI, og den autoriserede behandler skal kontrollere og godkende udkastet. AI Act erstatter ikke GDPR - den lægger krav oven på. Kravene udrulles trinvist frem mod 2026-2027.
Hvad er EU AI Act?
EU AI Act er EU's fælles forordning for kunstig intelligens. Den trådte i kraft i august 2024. Kravene anvendes i bølger frem mod 2026-2027. Forordningen inddeler anvendelser i fire risikoniveauer:
- Uacceptabel risiko - forbudt (for eksempel social scoring).
- Højrisiko - skærpede krav til risikostyring, datakvalitet, dokumentation og menneskeligt tilsyn.
- Begrænset risiko - gennemsigtighedskrav, blandt andet at brugeren ved, at der bruges AI.
- Minimal risiko - ingen særkrav.
Jo større risiko for personer, jo flere krav. Hvor et dokumentationsværktøj, der laver udkast under menneskelig kontrol, placerer sig, afhænger af den konkrete brug og er ikke endeligt afklaret for medicinsk dokumentations-AI. Følg myndighedernes vejledning - i Danmark samler Digitaliseringsstyrelsen vejledning på digst.dk. Gennemsigtighed er under alle omstændigheder et centralt krav.
Forordningen erstatter ikke GDPR. De to regelsæt gælder side om side. GDPR regulerer behandlingen af personoplysninger - i en klinik typisk efter artikel 6 og artikel 9 om helbredsoplysninger, plus en databehandleraftale efter artikel 28. AI Act lægger krav oven på til selve AI-systemet: hvordan det er bygget, dokumenteret og overvåget. Klinikken skal forholde sig til begge.
Gælder EU AI Act AI-journalføring?
Ja. AI Act gælder for AI-systemer, der bringes på markedet eller tages i brug i EU - også i sundhedssektoren. Et værktøj, der transskriberer en konsultation og skriver et udkast til journalnotat, er et AI-system efter forordningen. Hvilke konkrete krav der gælder, afhænger af, hvilken risikokategori anvendelsen falder i.
Hvilken risikokategori et rent dokumentationsværktøj falder i, afhænger af den konkrete brug og er ikke endeligt afklaret for medicinsk dokumentations-AI - følg myndighedernes vejledning. Gennemsigtighed er under alle omstændigheder et centralt krav: det skal være tydeligt, at der bruges AI. Det flugter med journalføringsreglerne. Den autoriserede behandler bærer fortsat ansvaret for journalen efter journalføringsbekendtgørelsen, uanset om et notat er skrevet i hånden eller udarbejdet med AI. Notatet skal læses igennem og godkendes, før det står som journal. Mere om de juridiske rammer i guiden om lovlig AI-journalføring.
Er AI til journalføring et højrisiko-system?
Det afhænger af, hvad værktøjet gør. AI Act's højrisiko-kategori (bilag III) rammer blandt andet systemer, der bruges til at træffe eller understøtte beslutninger om personer. Et system, der stiller diagnoser, prioriterer patienter eller anbefaler behandling, kan falde her - ofte i samspil med reglerne om medicinsk udstyr (MDR), der kan trække et værktøj ind under højrisiko ad et selvstændigt spor. Højrisiko udløser skærpede krav til risikostyring, datakvalitet, teknisk dokumentation, logning og menneskeligt tilsyn.
Et værktøj, der laver et udkast, behandleren læser igennem, retter og godkender, adskiller sig fra et system, der træffer selvstændige kliniske beslutninger. Det første er dokumentationsstøtte under menneskelig kontrol. Det andet er klinisk beslutningsstøtte. Klassificeringen kan ikke afgøres generelt - den følger af systemets formål og funktion og af myndighedernes vejledning. Det danske ressort for AI-tilsyn samler vejledning på digst.dk. Følg den opdaterede vejledning for den konkrete anvendelse.
Hvem bærer ansvaret, når der bruges AI?
Den autoriserede behandler. Journalføringsansvaret følger af journalføringsbekendtgørelsen og flyttes ikke af et AI-værktøj eller en leverandør. Et AI-udkast er et udkast, indtil behandleren har læst det igennem, rettet det og godkendt det. Først da står det som journal, og ansvaret er behandlerens.
Ansvaret fordeler sig på tre niveauer. Leverandøren af AI-systemet skal opfylde AI Act's krav til selve systemet. Klinikken er dataansvarlig efter GDPR og skal have en databehandleraftale efter artikel 28 på plads. Den enkelte behandler bærer det faglige journalansvar for hvert notat. Rollerne afløser ikke hinanden - de gælder samtidig.
Hvad skal klinikken være opmærksom på?
Fire krav går igen, når AI bruges til journalføring:
- Gennemsigtighed - patienten informeres om, at der bruges et AI-værktøj.
- Menneskeligt tilsyn - behandleren læser udkastet igennem, retter og godkender, før det gemmes som journal.
- Dokumentation - klinikken kan redegøre for, hvordan værktøjet bruges, og hvordan data behandles - i praksis via databehandleraftalen og en fortegnelse over behandlingsaktiviteter.
- Dataminimering - kun nødvendige oplysninger indsamles, og de opbevares ikke længere end nødvendigt.
Vælg en leverandør, der behandler data inden for EU og kan levere en databehandleraftale efter GDPR artikel 28. Hos People's Clinic behandles data inden for EU, den autoriserede behandler bevarer det faglige ansvar for journalen, og transskriptionen slettes efter op til 90 dage. Se mere under data og sikkerhed eller integrationer.
Denne guide er generel orientering om reglerne - ikke juridisk rådgivning. Er du i tvivl om din kliniks situation, så søg konkret rådgivning. Relevante myndigheder er Datatilsynet og Styrelsen for Patientsikkerhed, og vejledning om AI Act samles på digst.dk.