Kunstig intelligens i allmennpraksis: Kjøreregler for trygg og lovlig bruk
Potensialet i kunstig intelligens er enormt, men regelverket er komplisert, og få ser ut til å ha helt taket på det.
Som leger arbeider vi innenfor et omfattende rammeverk av lover og forskrifter. De fleste av disse er så godt integrert i vår arbeidshverdag at vi knapt tenker over dem - vi journalfører ikke primært fordi Helsepersonelloven § 39 krever det, men fordi det er en naturlig del av god pasientbehandling.
Med fremveksten av kunstig intelligens (AI) i helsevesenet ser det ut til at en del aktører har latt seg blende av effekten, og ikke satt seg inn i det gjeldene regelverket. Selv om jeg ikke har noen formell juridisk bakgrunn tillater jeg meg å forsøke å klargjøre deler av regelverket.
Taushetsplikt og anonymisering
Helsepersonelloven § 21 pålegger leger en streng taushetsplikt om pasientinformasjon. Taushetsplikten omfatter i praksis all informasjon du har fått i kraft av å være lege, og som kan knyttes til en spesifikk person. Det er en utbredt misforståelse at fjerning av navn og fødselsnummer er tilstrekkelig for å anonymisere pasientopplysninger. I realiteten vil pasientinformasjon fra en lege ofte kunne spores tilbake til enkeltpersoner selv når direkte identifiserende opplysninger er fjernet. Dette har viktige implikasjoner for bruk av AI-verktøy, og betyr i praksis at man som lege skal være svært varsom med å bruke forsøkt anonymisert pasientinformasjon utenfor sikre kanaler som i journalsystem.
Bruk av ChatGPT og lignende tjenester
Nettopp fordi man i praksis ikke kan anonymisere pasientinformasjon, bør man ikke bruke usikre AI-verktøy som ChatGPT på ekte pasientinformasjon. Dette gjelder også undersøkelsessvar, og biomarkører. Bruk av ChatGPT på ekte pasientinformasjon, også når den er forsøkt anonymisert, vil altså kunne være et brudd på taushetsplikten.
Tale-til-notat
Det er kommet revolusjonerende ny teknologi, som omgjør en samtale til et kortfattet notat. For legen betyr dette at de kan skru på en mikrofon, og gjennomføre en konsultasjon på vanlig måte. Når legen skrur av mikrofonen, får legen et utkast til journalnotat.
Dette er ikke transkripsjon, det er transkripsjon og prosessering. Teknisk gjøres dette ved at hele samtalen mellom lege og pasient transkriberes til et notat, og så vil dette notatet prosesseres slik at det passer inn i ønsket format. I praksis betyr dette at AI redigerer innholdet og eksempelvis fjerner antatt irrelevante ting fra notatet, slik at man står igjen med innhold som er antatt relevant.
Informasjonsplikt ved bruk av AI
Pasienters rett til informasjon reguleres særlig i pasient- og brukerrettighetslovens paragraf 3-1, og personvernforordningens artikkel 12-14.
Pasienter bryr seg sjeldent om hvilket journalsystem legen bruker, og jeg antar at få leger informerer om det. Utfordringen med AI-verktøy, er at legen deler langt mer informasjon med tredjeparter enn det som er vanlig under en legekonsultasjon. Ved tale-til-notat funksjonalitet vil legen ofte dele et opptak av hele pasientsamtaler med tredjeparter. Dette kan oppleves som mer inngripende for pasienten, og innebærer en større personvernmessig risiko.
Både Helsetilsynet og Datatilsynet har uttalt seg om tale-til-notat funksjonalitet. Kravet er at pasienten skal være informert om at verktøyet brukes, og pasienten skal ha rett til å reservere seg mot bruken av det. Eksplisitt samtykke fra pasienten er ikke nødvendig.
CE-merking og risikohåndtering
Programvare med AI som brukes i klinisk praksis bør være CE-merket. Da er du sikret at leverandøren av programvaren forplikter seg til visse standarder.
Programvare som har medisinske formål, altså programvare som skal brukes til blant annet diagnostisering eller behandling, skal være CE-merket.
Derfor er det viktig at du som lege vet hva verktøyet du bruker er ment å brukes til. ChatGPT er ikke CE-merket, og er dermed ikke godkjent som verktøy for å diagnostisere eller avgjøre behandling.
Hvis du bruker en programvare uten CE-merking til et medisinsk formål, tar du på deg et ekstra ansvar. Du bruker altså verktøyet til noe annet enn leverandøren sier det skal brukes til. Dette kan sammenlignes med off-label bruk av legemidler - det er ikke ulovlig, men krever ekstra aktsomhet fra legens side.
Ansvaret ligger på deg
Ansvaret for de kliniske beslutningene som tas, ligger på deg som lege. Dette er vi leger vant med. Det vi derimot ikke er like godt vant med, er ansvaret knyttet til håndtering av sensitiv data. Når du får informasjon fra en pasient, er det du som er ansvarlig for hvordan denne dataen behandles. Ved bruk av AI-verktøy, deler du informasjonen du har fått med en tredjepart. Da er det du som lege som må forsikre deg om at dataen håndteres på en trygg og sikker måte. Når du som er ansvarlig for dataen deler data med en annen, kreves en databehandleravtale mellom deg og tredjeparten. Disse avtalene er sjeldent formulert med tanke på at leger skal forstå hva som foregår. Men sentrale spørsmål du må ha svar på er:
- Er dataen du gir til AI-verktøyet tilgjengelig for andre brukere?
- Er dataen du gir til AI-verktøyet tilgjengelig for andre tredjeparter?
- Brukes dataen du gir til AI-verktøyet til å forbedre AI-modeller?
- Brukes dataen du gir til AI-verktøyet til å trene opp AI-modeller?
Dersom svaret er ja på ett eller flere av disse spørsmålene, vil det kunne være lovstridig å benytte seg av AI-verktøyet.
Konklusjon
Potensialet i kunstig intelligens er enormt, noe vi allerede ser ved at mange fastleger har tatt det i bruk i sin praksis. Men regelverket er komplisert, og få ser ut til å ha helt taket på det. Bruken av AI på pasientdata, selv om du tenker den er anonymisert, er knyttet til risiko for både deg og dine pasienter. Velg ditt AI-verktøy med omhu!