Kort fortalt: AI-journalføring er lovlig i Danmark. Loven forbyr ikke å bruke AI som hjelpeverktøy til å skrive et notat. Den stiller krav til ansvar og databeskyttelse - og dem gjennomgår vi her.
Hvem har ansvaret for journalen?
Ansvaret ligger hos den autoriserte behandleren - ikke hos verktøyet. AI-en lager et utkast. Behandleren leser det gjennom, retter og godkjenner det før det lagres. Journalføringsplikten gjelder uendret. Et AI-verktøy endrer ikke hvem som står til ansvar for innholdet.
Hva krever GDPR?
Pasientdata er sensitive personopplysninger. Behandlingen må ha et gyldig grunnlag etter personvernforordningen (GDPR), herunder reglene om særlige kategorier av opplysninger i artikkel 9. I praksis behandles opplysningene som ledd i din behandling av pasienten.
Du må kunne dokumentere hvordan data behandles, og bare behandle det nødvendige. Det kalles dataminimering.
Trengs det en databehandleravtale?
Ja. Når du bruker en ekstern AI-leverandør til å behandle pasientdata, er leverandøren databehandler. Da krever GDPR (artikkel 28) en databehandleravtale mellom klinikken og leverandøren. Avtalen fastsetter blant annet hvor data behandles, hvordan det sikres, og når det slettes.
Hos People's Clinic behandles data innenfor EU, og du får en databehandleravtale som en del av oppsettet. Se mer under data og sikkerhet.
Skal pasienten informeres?
Pasienten skal informeres om at det brukes et AI-verktøy til å understøtte dokumentasjonen. Det er god praksis at samtykket fremgår av journalen. Transkripsjonen slettes etter opptil 90 dager, mens det ferdige notatet forblir i journalsystemet ditt under din kontroll.
Hvor kan data behandles?
Sensitive pasientdata skal behandles innenfor EU/EØS (Det europeiske økonomiske samarbeidsområde) eller under tilsvarende beskyttelse. People's Clinic behandler data innenfor EU. Opplysningene sendes ikke til amerikansk jurisdiksjon.
Hva med EU AI Act?
EUs AI-forordning (AI Act) stiller krav til AI i helsesektoren - blant annet om åpenhet og ansvarlighet. Hvilke krav som gjelder for AI i klinikken, og hva du som klinikk skal være oppmerksom på, ser vi nærmere på i en egen guide.
Denne guiden er generell orientering om reglene - ikke juridisk rådgivning. Er du i tvil om din klinikks situasjon, så søk konkret rådgivning. Relevante myndigheter er Datatilsynet (det danske datatilsynet) og Styrelsen for Patientsikkerhed (den danske styrelsen for pasientsikkerhet).