AI-journalføring kræver to ting efter GDPR. Et behandlingsgrundlag efter artikel 6 kombineret med undtagelsen i artikel 9, stk. 2, litra h. Og en skriftlig databehandleraftale efter artikel 28 med den leverandør, der behandler patientdata. Begge dele skal være på plads, før værktøjet tages i brug. Klinikken er dataansvarlig og bærer ansvaret.
Hvad er hjemlen for AI-journalføring efter GDPR?
Helbredsoplysninger er særlige kategorier af personoplysninger efter artikel 9. Behandlingen kræver to lag samtidig: et grundlag i artikel 6 og en undtagelse fra forbuddet i artikel 9. For sundhedssektoren er undtagelsen artikel 9, stk. 2, litra h: behandling med henblik på forebyggende medicin, diagnose og behandling. Det er samme grundlag, journalen i forvejen hviler på. AI-værktøjet udvider ikke formålet. Det understøtter den journalføring, klinikken allerede har hjemmel til.
Dataminimering efter artikel 5 betyder, at værktøjet kun må behandle de oplysninger, opgaven kræver. Et diktat under konsultationen skal blive til et notat - ikke til en datakilde, leverandøren bruger til andet. Formålsbegrænsningen gælder hele vejen. Data indsamlet til journalføring må ikke genbruges til produktudvikling eller modeltræning uden et selvstændigt grundlag. Det punkt bør stå sort på hvidt i databehandleraftalen.
Journalføringspligten følger af autorisationsloven og journalbekendtgørelsen, ikke af GDPR. Den autoriserede behandler bærer journalansvaret og kan ikke delegere det til et værktøj. AI-værktøjet laver et udkast. Notatet skal læses og godkendes, før det står som journal.
Hvad er en databehandleraftale, og hvornår skal jeg have en?
En databehandleraftale er den skriftlige kontrakt, GDPR artikel 28, stk. 3, kræver mellem en dataansvarlig og en databehandler. Behandler en ekstern AI-leverandør patientdata på klinikkens vegne, er leverandøren databehandler, og klinikken er dataansvarlig. Aftalen skal være indgået, før behandlingen sættes i gang. Den binder leverandøren til kun at behandle data efter klinikkens dokumenterede instruks.
Det er den binding, der adskiller en databehandler fra en almindelig leverandør. Uden aftalen kan leverandøren i princippet behandle data til egne formål, og klinikken kan ikke dokumentere over for Datatilsynet, at behandlingen sker under kontrol. Ansvaret for at have aftalen på plads ligger hos klinikken som dataansvarlig - ikke hos leverandøren. Mangler aftalen, er det klinikken, der hæfter.
Hvad skal databehandleraftalen indeholde?
Artikel 28, stk. 3, fastlægger de punkter, aftalen skal dække. Brug listen som tjekliste, før du skriver under:
- Formål og varighed - hvad data behandles til, og hvor længe behandlingen løber.
- Typen af data og kategorier af registrerede - her: helbredsoplysninger om patienter.
- Instruksbinding - leverandøren handler kun efter klinikkens dokumenterede instruks.
- Sikkerhed - tekniske og organisatoriske foranstaltninger efter artikel 32, herunder kryptering og adgangsstyring.
- Underdatabehandlere - hvem leverandøren bruger, og klinikkens ret til at få besked ved ændringer.
- Bistand - leverandørens pligt til at hjælpe ved indsigtsanmodninger, sletning og brud.
- Sletning eller tilbagelevering ved aftalens ophør, og dokumentation herfor.
- Revision - klinikkens ret til at føre tilsyn, fx via audit eller revisionserklæring.
Aftalen bør også fastlægge fristen for, hvornår leverandøren skal underrette klinikken om et databrud. Det er en forudsætning for, at klinikken selv kan nå sin 72-timers frist til Datatilsynet efter artikel 33.
Hos People's Clinic indgår en databehandleraftale i opsætningen. Transskriptionen slettes efter op til 90 dage, mens det færdige notat forbliver i klinikkens journalsystem under klinikkens kontrol. Se mere under data og sikkerhed.
Hvor må patientdata behandles geografisk?
Følsomme patientdata behandles inden for EU/EØS, hvor GDPR gælder direkte. Databehandleraftalen skal fastlægge, i hvilke lande behandlingen sker, og navngive underdatabehandlere. Sker der overførsel til et tredjeland, kræver det et særskilt overførselsgrundlag efter kapitel V - fx EU-Kommissionens standardkontraktbestemmelser - og en vurdering af, om beskyttelsen i modtagerlandet reelt svarer til EU-niveau.
People's Clinic behandler data inden for EU (Frankfurt) og overfører ikke til tredjeland. Det taler ind i den usikkerhed om amerikanske leverandører, som Schrems II-dommen rejste, da EU-Domstolen i 2020 underkendte Privacy Shield og skærpede kravene til overførsel til USA.
Vil du forstå, hvornår AI-journalføring i det hele taget er lovlig, så læs den samlede gennemgang under er AI-journalføring lovligt.
Denne guide er generel orientering om reglerne - ikke juridisk rådgivning. Er du i tvivl om din kliniks situation, så søg konkret rådgivning. Relevante myndigheder er Datatilsynet og Styrelsen for Patientsikkerhed.