EU AI Act regulerer AI etter risiko. Hvilken risikokategori et verktøy som lager utkast til journalnotater faller i, avhenger av den konkrete bruken og er ikke endelig avklart for medisinsk dokumentasjons-AI. Åpenhet er uansett sentralt: det skal være tydelig at innholdet er utarbeidet med AI, og den autoriserte behandleren skal kontrollere og godkjenne utkastet. AI Act erstatter ikke GDPR - den legger krav oppå. Kravene rulles ut trinnvis frem mot 2026-2027.

Hva er EU AI Act?

EU AI Act er EUs felles forordning for kunstig intelligens. Den trådte i kraft i august 2024. Kravene anvendes i bølger frem mot 2026-2027. Forordningen deler anvendelser inn i fire risikonivåer:

  • Uakseptabel risiko - forbudt (for eksempel social scoring).
  • Høyrisiko - skjerpede krav til risikostyring, datakvalitet, dokumentasjon og menneskelig tilsyn.
  • Begrenset risiko - krav om åpenhet, blant annet at brukeren vet at det brukes AI.
  • Minimal risiko - ingen særkrav.

Jo større risiko for personer, jo flere krav. Hvor et dokumentasjonsverktøy som lager utkast under menneskelig kontroll plasserer seg, avhenger av den konkrete bruken og er ikke endelig avklart for medisinsk dokumentasjons-AI. Følg myndighetenes veiledning - i Danmark samler Digitaliseringsstyrelsen veiledning på digst.dk. Åpenhet er uansett et sentralt krav.

Forordningen erstatter ikke GDPR. De to regelsettene gjelder side om side. GDPR regulerer behandlingen av personopplysninger - i en klinikk typisk etter artikkel 6 og artikkel 9 om helseopplysninger, pluss en databehandleravtale etter artikkel 28. AI Act legger krav oppå til selve AI-systemet: hvordan det er bygget, dokumentert og overvåket. Klinikken må forholde seg til begge.

Gjelder EU AI Act AI-journalføring?

Ja. AI Act gjelder for AI-systemer som bringes på markedet eller tas i bruk i EU - også i helsesektoren. Et verktøy som transkriberer en konsultasjon og skriver et utkast til journalnotat, er et AI-system etter forordningen. Hvilke konkrete krav som gjelder, avhenger av hvilken risikokategori anvendelsen faller i.

Hvilken risikokategori et rent dokumentasjonsverktøy faller i, avhenger av den konkrete bruken og er ikke endelig avklart for medisinsk dokumentasjons-AI - følg myndighetenes veiledning. Åpenhet er uansett et sentralt krav: det skal være tydelig at det brukes AI. Det samsvarer med journalføringsreglene. Den autoriserte behandleren bærer fortsatt ansvaret for journalen etter journalføringsregelverket, uansett om et notat er skrevet for hånd eller utarbeidet med AI. Notatet skal leses gjennom og godkjennes før det står som journal. Mer om de juridiske rammene i guiden om lovlig AI-journalføring.

Er AI til journalføring et høyrisiko-system?

Det avhenger av hva verktøyet gjør. AI Acts høyrisiko-kategori (vedlegg III) rammer blant annet systemer som brukes til å treffe eller understøtte beslutninger om personer. Et system som stiller diagnoser, prioriterer pasienter eller anbefaler behandling, kan falle her - ofte i samspill med reglene om medisinsk utstyr (MDR), som kan trekke et verktøy inn under høyrisiko ad et selvstendig spor. Høyrisiko utløser skjerpede krav til risikostyring, datakvalitet, teknisk dokumentasjon, logging og menneskelig tilsyn.

Et verktøy som lager et utkast som behandleren leser gjennom, retter og godkjenner, skiller seg fra et system som treffer selvstendige kliniske beslutninger. Det første er dokumentasjonsstøtte under menneskelig kontroll. Det andre er klinisk beslutningsstøtte. Klassifiseringen kan ikke avgjøres generelt - den følger av systemets formål og funksjon og av myndighetenes veiledning. Det danske ressort for AI-tilsyn samler veiledning på digst.dk. Følg den oppdaterte veiledningen for den konkrete anvendelsen.

Hvem bærer ansvaret når det brukes AI?

Den autoriserte behandleren. Journalføringsansvaret følger av journalføringsregelverket og flyttes ikke av et AI-verktøy eller en leverandør. Et AI-utkast er et utkast, inntil behandleren har lest det gjennom, rettet det og godkjent det. Først da står det som journal, og ansvaret er behandlerens.

Ansvaret fordeler seg på tre nivåer. Leverandøren av AI-systemet skal oppfylle AI Acts krav til selve systemet. Klinikken er behandlingsansvarlig etter GDPR og skal ha en databehandleravtale etter artikkel 28 på plass. Den enkelte behandleren bærer det faglige journalansvaret for hvert notat. Rollene avløser ikke hverandre - de gjelder samtidig.

Hva skal klinikken være oppmerksom på?

Fire krav går igjen når AI brukes til journalføring:

  • Åpenhet - pasienten informeres om at det brukes et AI-verktøy.
  • Menneskelig tilsyn - behandleren leser utkastet gjennom, retter og godkjenner før det lagres som journal.
  • Dokumentasjon - klinikken kan gjøre rede for hvordan verktøyet brukes, og hvordan data behandles - i praksis via databehandleravtalen og en oversikt over behandlingsaktiviteter.
  • Dataminimering - bare nødvendige opplysninger samles inn, og de oppbevares ikke lenger enn nødvendig.

Velg en leverandør som behandler data innenfor EU og kan levere en databehandleravtale etter GDPR artikkel 28. Hos People's Clinic behandles data innenfor EU, den autoriserte behandleren beholder det faglige ansvaret for journalen, og transkripsjonen slettes etter opptil 90 dager. Se mer under data og sikkerhet eller integrasjoner.

Denne guiden er generell orientering om reglene - ikke juridisk rådgivning. Er du i tvil om situasjonen til klinikken din, så søk konkret rådgivning. Relevante myndigheter er Datatilsynet og Styrelsen for Patientsikkerhed, og veiledning om AI Act samles på digst.dk.