Legal framework

Obs: informasjonen på denne siden er generell og kan inneholde tolkninger av regelverket som det kan være ulike meninger om. Bruk gjerne siden som en kilde til informasjon, men husk at enkeltprosjekter alltid må vurderes konkret.

Overordnet regelverk for KI

EU-kommisjonen la den 21. april 2021 frem et forslag til et harmonisert rettslig rammeverk for KI i medlemsstatene. Forslaget inneholder en rekke krav som skal oppfylles før KI-systemer kan tas i bruk eller plasseres på markedet. Det foreslåtte regelverket inneholder bl.a. krav om styringstiltak for å sikre høy datakvalitet og unngå skjevheter i datasettene. Det stilles krav om at treningsdata, valideringsdata og testdata skal være relevante, representative, feilfrie og komplette. Datasettene skal være passende for befolkningsgruppene systemet skal anvendes overfor.

Videre inneholder forslaget krav om teknisk dokumentasjon, dokumentasjon av utviklingsprosessen og loggføring av hendelser mens systemet er i bruk. Det stilles krav om at konkrete tiltak iverksettes for å sikre menneskelig kontroll, og det stilles krav om en rimelig grad av gjennomsiktighet og tolkbarhet, tilpasset systemets bruksområde. Det stilles også krav til systemets nøyaktighet, resiliens/robusthet og cybersikkerhet.

Før lovforslaget eventuelt blir vedtatt skal det gjennom en høringsprosess. SPKI følger prosessen tett.

KI som medisinsk utstyr

[Informasjon kommer]

Tilgang til helseopplysninger etter norsk regelverk

Generelt

Det nasjonale, norske regelverket regulerer tilgangen til helseopplysninger for ulike formål, og angir hvordan man må gå frem for å få tilgang til helseopplysninger. Her gir vi en kort introduksjon til de mest sentrale reglene som regulerer tilgang til helseopplysninger i maskinlæringsprosjekter og ved utvikling av KI.

Dispensasjon fra taushetsplikt til utvikling og bruk av klinisk beslutningsstøtteverktøy

Bruk av helseopplysninger krever et rettslig grunnlag. Et informert og uttrykkelig samtykke fra personene det gjelder vil være et tilstrekkelig rettslig grunnlag, men ved stordataanalyser og maskinlæring kan det være umulig eller uforholdsmessig krevende å innhente samtykke fra hver enkelt. I tillegg kan samtykkebasert behandling skape utfordringer med hensyn til eventuell tilbaketrekking av samtykke på et senere tidspunkt. Når det ikke foreligger samtykke er man avhengig av dispensasjon fra taushetsplikten for at helseopplysninger skal kunne gjøres tilgjengelig til et ønsket formål.

Reglene om dispensasjon fra taushetsplikten kommer an på hvilke kilder man ønsker data fra og til hvilket formål.

Helseopplysninger fra pasientjournaler og andre behandlingsrettede helseregistre

Helsepersonelloven § 29 regulerer dispensasjon fra taushetsplikten for opplysninger fra pasientjournaler og andre behandlingsrettede helseregistre. Pasientadministrative systemer er omfattet av dette.

Med virkning fra 1. juli 2021 ble "utvikling og bruk av klinisk beslutningsstøtteverktøy" tatt inn som et formål det kan søkes om dispensasjon fra taushetsplikten for. Behovet for et klart rettslig grunnlag for bruk av helseopplysninger til utvikling av KI var den direkte foranledningen til lovendringen (Prop.112 L (2020-2021)).

Det er ingen begrensninger i hvem som kan søke om dispensasjon fra taushetsplikt etter bestemmelsen, så lenge formålet er utvikling og bruk av "klinisk beslutningsstøtteverktøy". Hva ligger så i dette begrepet?

For det første omfatter begrepet "klinisk beslutningsstøtteverktøy" ikke verktøy som i hovedsak har kommersielle formål, som for eksempel utvikling av algoritmer til bruk i helserettede mobilapplikasjoner for forbrukermarkedet. Bestemmelsen gir trolig heller ikke grunnlag for dispensasjon til utvikling av rent administrative beslutningsstøtteverktøy, derav ordet "klinisk".

Med «beslutningsstøtteverktøy» menes alle typer hjelpemidler som kan hjelpe et menneske til å ta en beslutning. Beslutningsstøtten kan være direkte i den forstand at verktøyet anbefaler en bestemt beslutning, eller den kan være mer indirekte, ved at verktøyet for eksempel sammenfatter informasjon eller utfører beregninger som kan inngå i et samlet beslutningsgrunnlag.

Formål knyttet til beslutningsverktøy inkluderer både utvikling, utprøving og innføring av slike verktøy i klinikk. Innføring omfatter både selve prosessen med å rulle ut et verktøy i tjenesten, og også en viss periode etter at verktøyet er tatt i bruk. Bestemmelsen legger opp til at det kan gis relativt langvarige dispensasjoner knyttet til innføring av et beslutningsverktøy i helsetjenesten.

Søknad om dispensasjon etter helsepersonelloven § 29

Søknad etter helsepersonelloven § 29 må spesifisere behovet for tilgang til helseopplysnigner i ulike faser av beslutningsstøtteverktøyets utviklings- og livssyklus. Ved behov for kontinuerlig tilgang til treningsdatagrunnlaget etter at systemet er satt i drift bør dette også begrunnes, for eksempel dersom slik tilgang er nødvendig av hensyn til algoritmens pålitelighet, av hensyn til feilretting eller annet.

Det kan gis dispensasjon for helseopplysninger som allerede foreligger i pasientjournaler eller andre behandlingsrettede registre, samt for helseopplysninger som kommer inn i disse systemene i fremtiden. For å sikre en tilstrekkelig dispensasjon, bør søknaden derfor spesifisere dette dersom det er behov for å la algoritmen lære på løpende basis fra nye pasienter etter at systemet er satt i drift (såkalte «live» eller «online» algoritmer). Formålet med innhenting av informasjon fra nye pasienter i driftsfasen må vurderes og spesifiseres i dispensasjonssøknaden. Videreutvikling av algoritmen vil trolig ligge innenfor dispensasjonsgrunnlaget for kliniske beslutningsstøtteverktøy. Ut over dette kan en tenke seg at det er ønskelig å bruke informasjonen til å utlede generaliserbar kunnskap som skal inngå i forsknings- eller kvalitetsforbedringsprosjekter. Disse formålene ligger utenfor formålet «kliniske beslutningsstøtteverktøy». Det kan derfor være aktuelt å vurdere om det skal søkes dispensasjon også for forskningsformål og kvalitetsforbedringsformål.

Bestemmelsen oppstiller i tillegg følgende vilkår for å få dispensasjon fra taushetsplikt:

  • Mottakeren må gjøre rede for hvilke egnede tekniske og organisatoriske tiltak som skal settes i verk for å ivareta informasjonssikkerheten (opplysningenes konfidensialitet, integritet mv.)

  • Behandlingen av opplysningene må være av vesentlig interesse for samfunnet.

  • Det skal ikke tilgjengeliggjøres flere opplysninger enn det som er nødvendig for formålet med mottakerens behandling

  • Opplysningene skal tilgjengeliggjøres uten navn, fødselsnummer eller andre direkte personentydige kjennetegn, med mindre særlige grunner gjør det nødvendig for mottakeren å få opplysningene med slike kjennetegn

  • Tilgjengeliggjøringen er ubetenkelig ut fra etiske, medisinske og helsefaglige hensyn

  • Ved medisinsk og helsefaglig forskning må mottakeren på forhånd ha fått godkjenning fra den regionale komitéen for medisinsk og helsefaglig forskningsetikk (REK)

Mottakeren må i tillegg kunne godtgjøre at behandlingen vil ha rettslig grunnlag etter personvernforordningen (GDPR) artikkel 6 og 9. GDPR artikkel 6 nr. 1 bokstav e gjelder behandling av personopplysninger som er nødvendig for å utføre en oppgave i allmennhetens interesse, og utgjør trolig det mest relevante grunnlaget for KI-utvikling i regi av norske helseforetak etter artikkel 6. I artikkel 9 kan det vises til nr. 2 bokstav h, som gjelder helsetjenester.

For øyeblikket er det Helsedirektoratet som har myndighet til å behandle søknad om dispensasjon fra taushetsplikten for utvikling og bruk av klinisk beslutningsstøtteverktøy (myndigheten er delegert fra Helse- og omsorgsdepartementet).


Opplysninger fra helseregistre

For opplysninger fra norske helseregistre er det helseregisterloven som gjelder. I 2021 trådte en rekke endringer i helseregisterloven i kraft, for å gjøre tilgangen til opplysninger fra registrene enklere og prosessen mer oversiktlig.

Søknad om tilgang til data fra helseregistre rettes til registerforvalteren. Registerforvalteren har plikt til å utlevere opplysnigner når lovens vilkår er oppfylt (helseregisterloven § 19 a). Utlevering forutsetter at søkeren oppgir et uttrykkelig formål som er innenfor formålet med det aktuelle registeret. I søknaden må det godtgjøres at behandlingen vil ha rettslig grunnlag etter personvernforordningen artikkel 6 og 9, og at behandlingen av opplysningene vil være innenfor rammene av eventuelle samtykker og ikke i strid med eventuelle reservasjoner (personer kan ha reservert seg mot utlevering av opplysninger til visse formål). I tillegg må søknaden redegjøre for tekniske og organisatoriske tiltak som skal settes i verk for å ivareta informasjonssikkerheten.

Helseregisterlovens system skiller mellom samtykkebasert databehandling og ikke-samtykkebasert databehandling. Hvis dataene ikke skal behandles på grunnlag av samtykke, må det søkes om dispensasjon fra taushetsplikten etter helseregisterloven § 19 e. Vilkårene for dispensasjon etter helseregisterloven § 19 e tilsvarer vilkårene for dispensasjon etter helsepersonelloven § 29, som er omtalt ovenfor.

I motsetning til helsepersonelloven har ikke helseregisterloven noen uttrykkelig bestemmelse om kliniske beslutningsstøtteverktøy eller kunstig intelligens. Det rettslige grunnlaget kan derfor fremtone seg som mer usikkert når man ønsker data fra helseregistre til KI-formål.


Ansvarlig for denne siden: Mathias K. Hauglid


Kilder:

  • Lov 2. juli 1999 nr. 64 om helsepersonell m.v. (helsepersonelloven)

  • Lov 20. juni 2014 nr. 43 om helseregistre og behandling av helseopplysninger (helseregisterloven)

  • Prop.112 L (2020-2021) Endringer i helsepersonelloven og pasientjournalloven (bruk av helseopplysninger for å lette samarbeid, læring og bruk av kunstig intelligens i helse- og omsorgstjenesten mv)

  • Prop.63 L (2019–2020) Endringer i helseregisterloven m.m. (tilgjengeliggjøring av helsedata)

  • EUROPAPARLAMENTS- OG RÅDSFORORDNING (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (personvernforordningen/GDPR)