Relevant regelverk
Veiledningstjenesten for KI er et samarbeid mellom Helsedirektoratet, Direktoratet for medisinske produkter og Helsetilsynet. Tjenesten gir generell veiledning om regelverket for bruk av KI i helse- og omsorgstjenesten. Innholdet i dette faktaarket bygger på publiserte svar fra veiledningstjenesten. Der finnes mer utfyllende begrunnelser for flere av anbefalingene, særlig for spørsmålene “Er det lov å bruke KI til å dokumentere helsehjelp?”, "Må pasienten samtykke til bruk?" og “Hvilken informasjon bør pasienten få?”, og for krav knyttet til sletting i spørsmålet "Hvilke steg er nødvendige for å sikre god kvalitet på det som havner i journalen?".
Tale-til-utkast-KI er programvare som kan omfattes av kravene til medisinsk utstyr. Direktoratet for medisinske produkter (DMP) gir en oversikt over krav som gjelder for programvare som medisinsk utstyr. Dette er spesielt relevant for spørsmålet "“Er det lov å bruke hvilket som helst KI-verktøy?”. DMP arrangerer også webinarer om medisinsk utstyr. Følgende er særlig relevante:
- “Programvare som medisinsk utstyr”, som gir veiledning i når programvare omfattes av regelverket for medisinsk utstyr
- “Fra behov til innkjøp”, hvor Helsetilsynet og DMP gir råd om hvordan velge riktig medisinsk utstyr.
Helsepersonellovens kapittel om dokumentasjonsplikt omfatter paragrafene 39 og 40 om plikten til å føre journal og krav til journalens innhold. Disse bestemmelsene er særlig relevante for spørsmålet “Hvilke steg er nødvendige for å sikre god kvalitet på det som havner i journalen?”. Helsedirektoratet har laget et rundskriv med kommentarer til helsepersonellovens krav til dokumentasjon.
Risiko og kvalitet knyttet til bruk av KI
Tale-til-utkast bygger på teknologi knyttet til store språkmodeller og er en type generativ kunstig intelligens. KI-rådet har utarbeidet 9 KI-vettregler for bruk av generativ KI, og disse gir praktiske råd om hva man kan og ikke kan bruke generativ KI til i helse- og omsorgstjenesten. For lesere som ønsker å forstå teknologien rundt store språkmodeller bedre, og spesielt risikoene den introduserer, anbefaler vi en rapport fra Helsedirektoratet fra 2025 om risiko i store språkmodeller og tilpasninger til norske forhold, se spesielt kapittel 4.
Lesere som ønsker fordypning i kvalitetssikring av KI for bruk i helse- og omsorgstjenesten, finner mer om dette i en rapport utgitt av Helsedirektoratet i 2025 om hvordan kvalitetssikring kan gjennomføres i ulike faser av et KI-system – fra behovskartlegging til drift og forvaltning. Rapporten omhandler ikke store språkmodeller spesielt, og er mest relevant for større virksomheter.
For lesere som ønsker å forstå mer om informasjonssikkerhetsrisiko knyttet til KI, så har Normen en artikkel som gir en innføring i dette.
Risikovurdering og DPIA
Som for andre digitale løsninger, er risikovurdering, risikohåndtering og vurdering av personvernkonsekvenser (DPIA) viktige verktøy – både når man tar i bruk nye løsninger og for justeringer undervegs. Normen stiller krav til risikovurdering og risikohåndtering i helsevirksomheter og inkluderer krav knyttet til vurdering av personvernkonsekvenser. Flere veiledere går dypere i hva dette innebærer og hvordan arbeidet kan gjøres i praksis. Normen har en veileder om risikostyring for informasjonssikkerhet og personvern. Datatilsynet har veiledning om DPIA. For små virksomheter har Normen en veileder som gir en introduksjon til hvordan jobbe med dette i en liten virksomhet og en artikkel om personvern i små helsevirksomheter. Nettsiden sikkert.no inneholder også ressurser som kan gi en støtte i arbeidet.
Databehandleravtale og overføring av opplysninger ut av EØS
Når leverandøren skal behandle personopplysninger på vegne av virksomheten, er det nødvendig med en databehandleravtale. Avtalen fastlegger hvordan personopplysningene skal behandles. Normen har et eget faktaark om bruk av databehandler. Leverandøren vil ofte tilby egen databehandleravtale, og Helsedirektoratet har laget en standard databehandleravtale med veiledning til utfylling.
Dersom leverandøren behandler eller lagrer personopplysninger i andre land skal det være i områder som ivaretar personvern på en tilsvarende måte som Norge og EØS, som i Datatilsynets oversikt.