Rettslig rammeverk

Overordnet regelverk for KI

Et overordnet og generelt KI-regelverk for så godt som alle sektorer er foreslått i EU (‘AI Act’). Lovforslaget inneholder en rekke krav som skal oppfylles før KI-systemer kan tas i bruk eller plasseres på markedet. Det foreslåtte regelverket inneholder bl.a. krav om styringstiltak for å sikre høy datakvalitet og unngå skjevheter i datasettene. Det stilles krav om at treningsdata, valideringsdata og testdata skal være relevante, representative, feilfrie og komplette. Datasettene skal være passende for befolkningsgruppene systemet skal anvendes overfor.

Videre inneholder forslaget krav om teknisk dokumentasjon, dokumentasjon av utviklingsprosessen og loggføring av hendelser mens systemet er i bruk. Det stilles krav om at konkrete tiltak iverksettes for å sikre menneskelig kontroll, og det stilles krav om en rimelig grad av gjennomsiktighet og tolkbarhet, tilpasset systemets bruksområde. Det stilles også krav til systemets nøyaktighet, resiliens/robusthet og cybersikkerhet.

SPKI følger lovgivningsprosessen i EU tett, og vil oppdatere nettsidene i takt at prosessen skrider fremover.

KI som medisinsk utstyr

KI-systemer som er ment å skulle brukes i forbindelse med helsehjelp til enkeltpasienter, vil i mange tilfeller regnes som «medisinsk utstyr». Dette gjelder for eksempel kliniske beslutningsstøttesystemer og pasientovervåkningssystemer. Produsenter av medisinsk utstyr er underlagt EUs forordning for medisinsk utstyr (Medical Device Regulation / MDR). Regelverket inneholder en rekke krav som utstyret og produsentene må oppfylle. Kravene skal først og fremst sikre at medisinsk utstyr er trygt å bruke og fungerer i henhold til produsentens intensjon.

Regelverket for medisinsk utstyr inneholder også krav til klinisk utprøving av medisinsk utstyr.

I tiden fremover vil SPKI utvikle nettsiden med nærmere informasjon om reglene og prosessen for utvikling, utprøving og implementering av KI som medisinsk utstyr.

Tilgang til helseopplysninger etter norsk regelverk

Generelt

Det nasjonale, norske regelverket regulerer tilgangen til helseopplysninger for ulike formål, og angir hvordan man må gå frem for å få tilgang til helseopplysninger. Her gir vi en kort introduksjon til de mest sentrale reglene som regulerer tilgang til helseopplysninger i maskinlæringsprosjekter og ved utvikling av KI.

Dispensasjon fra taushetsplikt til utvikling og bruk av klinisk beslutningsstøtteverktøy

Bruk av helseopplysninger krever et rettslig grunnlag. Et informert og uttrykkelig samtykke fra personene det gjelder vil være et tilstrekkelig rettslig grunnlag, men ved stordataanalyser og maskinlæring kan det noen ganger være uforholdsmessig krevende å innhente samtykke fra hver enkelt. I tillegg er det usikkerhet rundt konsekvensene av at samtykke eventuelt trekkes tilbake slik at tidligere innhentede opplysninger må slettes.

Hvis man ikke har tenkt å basere seg på samtykke, er man avhengig av dispensasjon fra taushetsplikten for at helseopplysninger fra pasientjournaler og lignende skal kunne gjøres tilgjengelig til et ønsket formål. Reglene om dispensasjon fra taushetsplikten kommer an på hvilke kilder man ønsker data fra og til hvilket formål.

Helseopplysninger fra pasientjournaler og andre behandlingsrettede helseregistre

Helsepersonelloven § 29 regulerer dispensasjon fra taushetsplikten for opplysninger fra pasientjournaler og andre behandlingsrettede helseregistre (for eksempel pasientadministrative systemer).

Med virkning fra 1. juli 2021 ble «utvikling og bruk av klinisk beslutningsstøtteverktøy» tatt inn som et formål det kan søkes om dispensasjon fra taushetsplikten for. Behovet for et klart rettslig grunnlag for bruk av helseopplysninger til utvikling av KI var den direkte foranledningen til lovendringen (Prop.112 L (2020-2021)).

Det er ingen begrensninger i hvem som kan søke om dispensasjon fra taushetsplikt etter bestemmelsen, så lenge formålet er utvikling og bruk av «klinisk beslutningsstøtteverktøy». Hva ligger så i dette begrepet?

For det første omfatter begrepet «klinisk beslutningsstøtteverktøy» ikke verktøy som i hovedsak har kommersielle formål, som for eksempel utvikling av algoritmer til bruk i helserettede mobilapplikasjoner for forbrukermarkedet. Bestemmelsen gir trolig heller ikke grunnlag for dispensasjon til utvikling av rent administrative beslutningsstøtteverktøy, derav ordet «klinisk».

Med «beslutningsstøtteverktøy» menes alle typer hjelpemidler som kan hjelpe et menneske til å ta en beslutning. Beslutningsstøtten kan være direkte i den forstand at verktøyet anbefaler en bestemt beslutning, eller den kan være mer indirekte, ved at verktøyet for eksempel sammenfatter informasjon eller utfører beregninger som kan inngå i et samlet beslutningsgrunnlag.

Formål knyttet til beslutningsverktøy inkluderer både utvikling, utprøving og innføring av slike verktøy i klinikk. Innføring omfatter både selve prosessen med å rulle ut et verktøy i tjenesten, og også en viss periode etter at verktøyet er tatt i bruk. Bestemmelsen legger opp til at det kan gis relativt langvarige dispensasjoner knyttet til innføring av et beslutningsverktøy i helsetjenesten.

Søknad om dispensasjon etter helsepersonelloven § 29

Søknad etter helsepersonelloven § 29 må spesifisere behovet for tilgang til helseopplysninger i ulike faser av beslutningsstøtteverktøyets utviklings- og livssyklus. Det kan gis dispensasjon for helseopplysninger som allerede foreligger i pasientjournaler eller andre behandlingsrettede registre, samt for helseopplysninger som kommer inn i disse systemene i fremtiden. For å sikre en tilstrekkelig dispensasjon, bør søknaden derfor spesifisere dette dersom intensjonen er å la algoritmen/modellen lære på løpende basis fra nye pasienter etter at systemet er satt i drift (såkalte «live» eller «online» algoritmer). Behov for tilgang til treningsdatagrunnlaget etter at systemet er i drift kan også tenkes å ha andre årsaker enn at algoritmen skal drive løpende læring. Det kan for eksempel være ønskelig å gå tilbake til opprinnelige treningsdata av hensyn til feilretting eller for å dokumentere modellens tilblivelsesprosess og opprinnelse.

Når et KI-system settes i drift, vil systemet analysere opplysninger om pasientene som skal motta helsehjelp. Å yte helsehjelp vil være det primære formålet med behandlingen av opplysninger om en pasient i et behandlingsforløp. En dispensasjonssøknad må i tillegg spesifisere eventuelle sekundære formål med behandlingen av pasientenes helseopplysninger. Et aktuelt sekundært formål kan, for eksempel, være videreutviklingen av maskinlæringsalgoritmen. Ut over dette kan en tenke seg at det er ønskelig å bruke informasjonen til å utlede generaliserbar kunnskap som skal inngå i forsknings- eller kvalitetsforbedringsprosjekter. Disse formålene ligger utenfor formålet «kliniske beslutningsstøtteverktøy». Det kan derfor være aktuelt å vurdere om det skal søkes dispensasjon også for forskningsformål og kvalitetsforbedringsformål, selv om det hovedsakelige formålet er å utvikle et beslutningsstøtteverktøy.

Bestemmelsen oppstiller i tillegg følgende vilkår for å få dispensasjon fra taushetsplikt:

Mottakeren må gjøre rede for hvilke egnede tekniske og organisatoriske tiltak som skal settes i verk for å ivareta informasjonssikkerheten (opplysningenes konfidensialitet, integritet mv.)
Behandlingen av opplysningene må være av vesentlig interesse for samfunnet.
Det skal ikke tilgjengeliggjøres flere opplysninger enn det som er nødvendig for formålet med mottakerens behandling
Opplysningene skal tilgjengeliggjøres uten navn, fødselsnummer eller andre direkte personentydige kjennetegn, med mindre særlige grunner gjør det nødvendig for mottakeren å få opplysningene med slike kjennetegn
Tilgjengeliggjøringen er ubetenkelig ut fra etiske, medisinske og helsefaglige hensyn
Ved medisinsk og helsefaglig forskning må mottakeren på forhånd ha fått godkjenning fra den regionale komitéen for medisinsk og helsefaglig forskningsetikk (REK)

Mottakeren må i tillegg kunne godtgjøre at behandlingen vil ha rettslig grunnlag etter personvernforordningen (GDPR) artikkel 6 og 9. GDPR artikkel 6 nr. 1 bokstav e gjelder behandling av personopplysninger som er nødvendig for å utføre en oppgave i allmennhetens interesse, og utgjør trolig det mest relevante grunnlaget for KI-utvikling i regi av norske helseforetak etter artikkel 6. I artikkel 9 kan det vises til nr. 2 bokstav h, som gjelder helsetjenester.

For øyeblikket er det Helsedirektoratet som har myndighet til å behandle søknad om dispensasjon fra taushetsplikten for utvikling og bruk av klinisk beslutningsstøtteverktøy (myndigheten er delegert fra Helse- og omsorgsdepartementet).

Opplysninger fra helseregistre

Mens helsepersonelloven og pasientjournalloven regulerer behandling av helseopplysninger i behandlingsrettede helseregistre, er det helseregisterloven som gjelder for andre helseregistre. I 2021 trådte en rekke endringer i helseregisterloven i kraft, for å gjøre tilgangen til opplysninger fra registrene enklere og prosessen mer oversiktlig.

Søknad om tilgang til data fra helseregistre rettes til den enkelte registerforvalteren. Registerforvalteren har plikt til å utlevere opplysninger når lovens vilkår er oppfylt (helseregisterloven § 19 a). Utlevering forutsetter at søkeren oppgir et uttrykkelig formål som er innenfor formålet med det aktuelle registeret. I søknaden må det godtgjøres at behandlingen vil ha rettslig grunnlag etter personvernforordningen artikkel 6 og 9, og at behandlingen av opplysningene vil være innenfor rammene av eventuelle samtykker og ikke i strid med eventuelle reservasjoner (personer kan ha reservert seg mot utlevering av opplysninger til visse formål). I tillegg må søknaden redegjøre for tekniske og organisatoriske tiltak som skal settes i verk for å ivareta informasjonssikkerheten.

Helseregisterloven skiller mellom samtykkebasert databehandling og ikke-samtykkebasert databehandling. Hvis dataene ikke skal behandles på grunnlag av samtykke, må det søkes om dispensasjon fra taushetsplikten etter helseregisterloven § 19 e. Vilkårene for dispensasjon etter helseregisterloven § 19 e tilsvarer vilkårene for dispensasjon etter helsepersonelloven § 29, som er omtalt ovenfor.

I motsetning til helsepersonelloven har ikke helseregisterloven noen uttrykkelig bestemmelse om kliniske beslutningsstøtteverktøy eller kunstig intelligens. Det rettslige grunnlaget er derfor mer usikkert når man ønsker å utvikle beslutningsstøtteverktøy ved bruk av en kombinasjon av journaldata og registerdata.

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.