AI-journalføring krever to ting etter GDPR. Et behandlingsgrunnlag etter artikkel 6 kombinert med unntaket i artikkel 9, nr. 2, bokstav h. Og en skriftlig databehandleravtale etter artikkel 28 med leverandøren som behandler pasientdata. Begge deler må være på plass før verktøyet tas i bruk. Klinikken er behandlingsansvarlig og bærer ansvaret.

Hva er hjemmelen for AI-journalføring etter GDPR?

Helseopplysninger er særlige kategorier av personopplysninger etter artikkel 9. Behandlingen krever to lag samtidig: et grunnlag i artikkel 6 og et unntak fra forbudet i artikkel 9. For helsesektoren er unntaket artikkel 9, nr. 2, bokstav h: behandling med sikte på forebyggende medisin, diagnose og behandling. Det er samme grunnlag som journalen allerede hviler på. AI-verktøyet utvider ikke formålet. Det understøtter den journalføringen klinikken allerede har hjemmel til.

Dataminimering etter artikkel 5 betyr at verktøyet bare kan behandle de opplysningene oppgaven krever. Et diktat under konsultasjonen skal bli til et notat - ikke til en datakilde leverandøren bruker til annet. Formålsbegrensningen gjelder hele veien. Data samlet inn til journalføring kan ikke gjenbrukes til produktutvikling eller modelltrening uten et selvstendig grunnlag. Det punktet bør stå svart på hvitt i databehandleravtalen.

Journalføringsplikten følger av helsepersonelloven og journalforskriften, ikke av GDPR. Det autoriserte helsepersonellet bærer journalansvaret og kan ikke delegere det til et verktøy. AI-verktøyet lager et utkast. Notatet skal leses og godkjennes før det står som journal.

Hva er en databehandleravtale, og når skal jeg ha en?

En databehandleravtale er den skriftlige kontrakten GDPR artikkel 28, nr. 3, krever mellom en behandlingsansvarlig og en databehandler. Behandler en ekstern AI-leverandør pasientdata på klinikkens vegne, er leverandøren databehandler, og klinikken er behandlingsansvarlig. Avtalen skal være inngått før behandlingen settes i gang. Den binder leverandøren til bare å behandle data etter klinikkens dokumenterte instruks.

Det er den bindingen som skiller en databehandler fra en vanlig leverandør. Uten avtalen kan leverandøren i prinsippet behandle data til egne formål, og klinikken kan ikke dokumentere overfor Datatilsynet at behandlingen skjer under kontroll. Ansvaret for å ha avtalen på plass ligger hos klinikken som behandlingsansvarlig - ikke hos leverandøren. Mangler avtalen, er det klinikken som hefter.

Hva skal databehandleravtalen inneholde?

Artikkel 28, nr. 3, fastlegger de punktene avtalen skal dekke. Bruk listen som sjekkliste før du skriver under:

  • Formål og varighet - hva data behandles til, og hvor lenge behandlingen løper.
  • Typen data og kategorier av registrerte - her: helseopplysninger om pasienter.
  • Instruksbinding - leverandøren handler bare etter klinikkens dokumenterte instruks.
  • Sikkerhet - tekniske og organisatoriske tiltak etter artikkel 32, herunder kryptering og tilgangsstyring.
  • Underdatabehandlere - hvem leverandøren bruker, og klinikkens rett til å få beskjed ved endringer.
  • Bistand - leverandørens plikt til å hjelpe ved innsynsforespørsler, sletting og brudd.
  • Sletting eller tilbakelevering ved avtalens opphør, og dokumentasjon for dette.
  • Revisjon - klinikkens rett til å føre tilsyn, for eksempel via revisjon eller revisjonsuttalelse.

Avtalen bør også fastlegge fristen for når leverandøren skal varsle klinikken om et datainnbrudd. Det er en forutsetning for at klinikken selv kan rekke sin 72-timers frist til Datatilsynet etter artikkel 33.

Hos People's Clinic inngår en databehandleravtale i oppsettet. Transkripsjonen slettes etter opptil 90 dager, mens det ferdige notatet forblir i klinikkens journalsystem under klinikkens kontroll. Se mer under data og sikkerhet.

Hvor kan pasientdata behandles geografisk?

Sensitive pasientdata behandles innenfor EU/EØS, der GDPR gjelder direkte. Databehandleravtalen skal fastlegge i hvilke land behandlingen skjer, og navngi underdatabehandlere. Skjer det overføring til et tredjeland, krever det et eget overføringsgrunnlag etter kapittel V - for eksempel EU-kommisjonens standardkontraktsbestemmelser - og en vurdering av om beskyttelsen i mottakerlandet reelt svarer til EU-nivå.

People's Clinic behandler data innenfor EU (Frankfurt) og overfører ikke til tredjeland. Det taler inn i den usikkerheten om amerikanske leverandører som Schrems II-dommen reiste, da EU-domstolen i 2020 underkjente Privacy Shield og skjerpet kravene til overføring til USA.

Vil du forstå når AI-journalføring i det hele tatt er lovlig, så les den samlede gjennomgangen under er AI-journalføring lovlig.

Denne guiden er generell orientering om reglene - ikke juridisk rådgivning. Er du i tvil om klinikkens situasjon, så søk konkret rådgivning. Relevante myndigheter er Datatilsynet og Statens helsetilsyn.