Regelverket for kunstig intelligens i helsesektoren
Denne siden oppsummerer hovedpunkter fra Rundskriv om regelverket for utvikling av kunstig intelligens innenfor forskning (herunder helseforskning), utvikling og bruk av klinisk beslutningsstøtteverktøy og kvalitetsforbedring.
Du får informasjon om hvilke lover og bestemmelser som er spesielt relevante for helsesektoren ved
- forskning på kunstig intelligens
- utvikling og bruk av klinisk beslutningsstøtteverktøy basert på kunstig intelligens
- kvalitetssikring av produkter basert på kunstig intelligens
Merk at informasjonen er ment som et startpunkt, ikke en fullstendig liste over regelverk. Prosjekter og aktiviteter kan komme under andre regelverk enn de som nevnes her. Hver virksomhet er selv ansvarlig for å orientere seg om hvilke regelverk man skal rette seg etter. Bruk av personopplysninger skal alltid være i henhold til personopplysningsloven, og alt som gjøres innenfor helsetjenesten skal være etisk forsvarlig.
Flytskjema
Flytskjemaet er et supplement til teksten på denne siden. Følg pilene fra start og til du kommer til turkis tekstboks merket med en turkis sirkel. Flytskjemaet refererer til ulike avsnitt i Rundskriv om regelverket for utvikling av kunstig intelligens innenfor forskning (herunder helseforskning), utvikling og bruk av klinisk beslutningsstøtteverktøy og kvalitetsforbedring.
Last ned høyoppløselig versjon her.
Utvikling av kunstig intelligens i forskningsprosjekter
For kunstig intelligens-prosjekter som innebærer bruk av helseopplysninger gjelder reglene om taushetsplikt i helselovgivningen. Det må foreligge et unntak fra taushetsplikten for å få tilgang til helseopplysninger.
Dersom kunstig intelligens utvikles i forskningsprosjekter, er følgende eksempler på relevante lover og bestemmelser:
Helseforskningsloven
Helseforskningsloven gjelder for medisinsk og helsefaglig forskning på mennesker, humant biologisk materiale eller helseopplysninger, jf. helseforskningsloven § 2 første ledd. Videre er medisinsk og helsefaglig forskningsvirksomhet som utføres med vitenskapelig metodikk for å skaffe til veie ny kunnskap om helse og sykdom, jf. helseforskningsloven § 4 bokstav a.
For prosjekter som faller innenfor helseforskningslovens virkeområde må det søkes om forhåndsgodkjenning fra REK, jf. helseforskningsloven § 33.
Helsepersonelloven
For å få tilgang til helseopplysninger fra journal eller andre behandlingsrettede helseregistre må det enten innhentes samtykke fra den enkelte registrerte, jf. helsepersonelloven § 22, eller søkes om dispensasjon fra taushetsplikten.
Helsepersonelloven § 29 gjelder dispensasjon fra taushetsplikten for tilgjengeliggjøring av opplysninger fra pasientjournaler og andre behandlingsrettede helseregistre.
En dispensasjon fra taushetsplikten til forskning vil både gjøre unntak fra taushetsplikten og gi behandlingsgrunnlag for den videre behandling av opplysningene.
For forskningsformål er myndighet til å treffe vedtak etter bestemmelsene delegert til Den regionale komiteen for medisinsk og helsefaglig forskningsetikk (REK).
Helseregisterloven
For å få tilgang til helseopplysninger fra helseregistre må det enten innhentes samtykke fra den enkelte registrerte, jf. helseregisterloven § 19a eller søkes om dispensasjon fra taushetsplikten.
Helseregisterloven § 19e gjelder vedtak om dispensasjon fra taushetsplikten for tilgjengeliggjøring av opplysninger fra helseregistre som er omfattet av helseregisterloven.
En dispensasjon fra taushetsplikten til forskning vil både gjøre unntak fra taushetsplikten og gi behandlingsgrunnlag for den videre behandling av opplysningene.
For forskning er myndighet til å treffe vedtak etter bestemmelsene delegert til Den regionale komiteen for medisinsk og helsefaglig forskningsetikk (REK).
Søknadsskjema
Søknadsskjema for dispensasjon fra taushetsplikten etter helsepersonelloven § 29 og helseregisterloven §19e for forskningsprosjekter finner du på Rekportalen.
Utvikling av medisinsk utstyr (MU)
For utvikling av medisinsk utstyr basert på kunstig intelligens er følgende eksempler på relevante lover og bestemmelser:
Regelverk om medisinsk utstyr
Statens legemiddelverk (SLV) forvalter produktregelverket for medisinsk utstyr, se lov av 7. mai 2020 om medisinsk utstyr som i sin helhet implementerer:
- Forordning (EU) 2017/745 om medisinsk utstyr (MDR), og
- Forordning (EU) 2017/746 om in vitro-diagnostisk medisinsk utstyr (IVDR).
MDR trådte i kraft 26. mai 2021, mens IVDR trådte i kraft 26. mai 2022. Vi gjør imidlertid oppmerksom på gjeldende overgangsordninger for både MDR og IVDR:
- Inntil 26. mai 2022 gjelder EU-direktiv 98/79/EC om in vitro-diagnostisk medisinsk utstyr, se midlertidig forskrift om medisinsk utstyr av 15. desember 2020 nr. 1960.
- Informasjon om regelverket per dags dato frem til 26. mai 2022 (pdf)
- Overgangsordninger for MDR er behandlet i forskrift om medisinsk utstyr (2021) kapittel VI. Det er foreslått endrede og nye overgangsregler for IVDR.
- Særlig relevant for kunstig intelligens-prosjekter er EUs veileder om programvare (pdf) og den generelle veilederen om klassifisering av medisinsk utstyr (pdf)
Utvikling og bruk av klinisk beslutningsstøtteverktøy
For kunstig intelligens-prosjekter som innebærer bruk av helseopplysninger, gjelder reglene om taushetsplikt i helselovgivningen.
Følgende bestemmelser kan være relevante:
Helsepersonelloven
Helsepersonelloven § 29 gjelder dispensasjon fra taushetsplikten for tilgjengeliggjøring av opplysninger fra pasientjournaler og andre behandlingsrettede helseregistre, blant annet til utvikling og bruk av klinisk beslutningsstøtteverktøy i helse- og omsorgstjenesten.
En dispensasjon fra taushetsplikten til utvikling og bruk av klinisk beslutningsstøtteverktøy vil både gjøre unntak fra taushetsplikten og gi behandlingsgrunnlag for den videre behandling av opplysningene for eksempel til kontinuerlig trening av maskinlæringsmodeller. Slik kontinuerlig trening er i noen systemer nødvendig for at bruk av kunstig intelligens skal kunne benyttes på en forsvarlig måte.
For utvikling og bruk av klinisk beslutningsstøtteverktøy er myndighet til å treffe vedtak delegert til Helsedirektoratet.
Søknadsskjema
Søknadsskjema for dispensasjon fra taushetsplikten etter helsepersonelloven § 29 finner du nederst på informasjonssiden om taushetsplikt og opplysningsplikt.
Kvalitetsforbedring av KI-modeller
Begrepet validering brukes i to ulike sammenhenger:
- Produsentens validering av medisinsk utstyr som innebærer å bevise at utstyret oppfyller krav for en bestemt tiltenkt bruk som er definert av produsenten selv.
- Helseinstitusjonens validering som innebærer å finne ut om utstyret er egnet for den aktuelle pasientgruppen eller for bruk i den aktuelle helseinstitusjonen.
Les mer på siden om medisinsk utstyr og CE-merking
Det kan både være snakk om kvalitetsforbedring som omfatter flere virksomheter, og kvalitetsforbedring internt i en virksomhet.
For kunstig intelligens-prosjekter som innebærer bruk av helseopplysninger gjelder reglene om taushetsplikt i helselovgivningen. Det må foreligge et unntak fra denne plikten for å få tilgang til helseopplysninger. Følgende lover og bestemmelser kan være relevante:
Helsepersonelloven
For å få tilgang til helseopplysninger fra journal eller andre behandlingsrettede helseregistre må det enten innhentes samtykke fra den enkelte registrerte, jf. helsepersonelloven § 22, eller søkes om dispensasjon fra taushetsplikten.
Kvalitetsforbedring som omfatter flere virksomheter:
- Helsepersonelloven § 29 gjelder dispensasjon fra taushetsplikten for tilgjengeliggjøring av opplysninger fra pasientjournaler og andre behandlingsrettede helseregistre.
- En dispensasjon fra taushetsplikten til kvalitetsforbedring vil både gjøre unntak fra taushetsplikten og gi behandlingsgrunnlag for den videre behandling av opplysningene.
- For kvalitetsforbedring er myndighet til å treffe vedtak etter bestemmelsen delegert til Helsedirektoratet.
Kvalitetsforbedring internt i en virksomhet:
Helsepersonelloven § 26 første ledd åpner for å videreformidle opplysninger fra virksomhetens behandlingsrettede helseregister til konkret angitte formål, uten hinder av taushetsplikten. Det er kun opplysninger som trengs for å gi helsehjelp eller for internkontroll og kvalitetssikring som kan gis.
Hjemmelen i § 26 forutsetter at formålet med bruken er ledelsesforankret som en del av virksomhetens kvalitetssikring og internkontroll.
Helseregisterloven
For å få tilgang til helseopplysninger fra helseregistre må det enten innhentes samtykke fra den enkelte registrerte, jf. helseregisterloven § 19a eller søkes om dispensasjon fra taushetsplikten.
Helseregisterloven § 19e gjelder dispensasjon fra taushetsplikten for tilgjengeliggjøring av opplysninger fra helseregistre som er omfattet av helseregisterloven.
En dispensasjon fra taushetsplikten til kvalitetsforbedring vil både gjøre unntak fra taushetsplikten og gi behandlingsgrunnlag for den videre behandling av opplysningene.
For kvalitetsforbedring er myndighet til å treffe vedtak etter bestemmelsen delegert til Helsedirektoratet.
Søknadsskjema
Søknadsskjema for dispensasjon fra taushetsplikten etter helsepersonelloven §29 og helseregisterloven §19e finner du nederst på informasjonssiden om taushetsplikt og opplysningsplikt.
Utvikling av KI-modeller uten bruk av helse- og personopplysninger
Kunstig intelligens-prosjekter som utvikler modeller uten bruk av helse- og personopplysninger, skal ikke søke om forhåndsgodkjenning fra REK eller dispensasjon fra taushetsplikten. Dette gjelder prosjekter som bruker data som er reelt anonyme eller bruker syntetiske data.
Flere krav og regelverk
Vi gjør oppmerksom på at en rekke andre krav og regelverk kan være relevante. Her nevnes bare kort enkelte av disse.
Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren
Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren (Normen) er et omforent sett av krav til informasjonssikkerhet basert på lovverket.
Personopplysningsloven og personvernforordningen
Personopplysningsloven og personvernforordningen gjelder ved helt eller delvis automatisert behandling av personopplysninger og ved ikke-automatisert behandling av personopplysninger som inngår i eller skal inngå i et register. Datatilsynet veileder også etter særlovgivning i justis- og helsesektoren, som listet opp nederst på siden om personopplysningsloven og forordningen.
Strålevernloven og strålevernforskriften
Strålevernloven og strålevernforskriften er viktige for eksempel dersom kunstig intelligens påvirker strålingsdosen innenfor radiologi. Det er Direktoratet for strålevern og atomsikkerhet (DSA) som forvalter disse. Se oversikt over regelverk DSA forvalter.
Informasjonssidene om kunstig intelligens er et samarbeid mellom Helsedirektoratet, Direktoratet for e-helse, Statens legemiddelverk og Statens helsetilsyn.