ChatGPT og pasientdata: Hvorfor fastleger bruker det, og hva du bør gjøre i stedet

Du vet det ikke er greit. Men du gjør det likevel.

Du limer inn et utdrag fra journalen i ChatGPT for å få hjelp med en legeerklæring. Eller du ber den oppsummere en lang epikrise. Kanskje fjerner du navnet først. Kanskje ikke.

Du er ikke alene. I samtaler med over 40 norske fastleger hører vi det samme mønsteret: Leger bruker ChatGPT med pasientopplysninger fordi ingenting annet løser problemet raskt nok. En lege sa det rett ut: «Bruker ChatGPT selv om han vet det ikke er greit.»

Denne artikkelen forklarer hva som faktisk skjer med pasientdataene når du bruker ChatGPT, hva norsk lov sier, og hvilke alternativer som gir deg samme nytte uten risikoen.

Hvorfor fastleger bruker ChatGPT

Det er ikke latskap eller uansvarlig oppførsel. Legene som bruker ChatGPT gjør det fordi de har et reelt behov som ingen andre verktøy dekker:

• Oppsummering av lange journaler. Å lese gjennom 15 år med pasienthistorikk for å skrive en legeerklæring tar 30-60 minutter. ChatGPT gjør det på sekunder.
• Utkast til legeerklæringer. NAV-skjemaer krever lange fritekstbeskrivelser av funksjonsevne, behandlingshistorikk og prognose. ChatGPT kan lage et utkast basert på journalutdrag.
• Strukturering av notater. Noen bruker ChatGPT til å rydde i ustrukturerte konsultasjonsnotater.
• Oversettelse av medisinsk sjargong. Å formulere kompleks medisin i et språk NAV-saksbehandlere forstår er tidkrevende.

Fellesnevneren er tid. Fastleger bruker i gjennomsnitt 14 timer i uken på administrativt arbeid. NAV-erklæringer alene kan ta 30 minutter til en time per stykk. Når presset er stort nok, velger mange pragmatisme over regelverk.

Hva skjer egentlig med pasientdataene i ChatGPT?

Når du skriver noe i ChatGPT, sender du data til OpenAIs servere i USA (eller Irland for noen EU-kunder). Her er hva som skjer videre:

Data kan brukes til trening

OpenAI bruker som standard inndata fra gratisversjonen og Plus-versjonen til å trene fremtidige modeller. Det betyr at pasientopplysninger du skriver inn kan bli en del av treningsdataene. Du kan slå av denne funksjonen i innstillingene, men de fleste gjør det ikke.

Ansatte kan lese det du skriver

Ifølge OpenAIs personvernerklæring kan ansatte hos OpenAI og tredjeparter ha tilgang til innholdet du sender inn, for eksempel for kvalitetskontroll og sikkerhet.

Data lagres på servere utenfor EØS

ChatGPT-data behandles primært i USA. Overføring av helseopplysninger til tredjeland utenfor EØS krever spesielle garantier under GDPR, som du som behandlingsansvarlig neppe har på plass.

Risiko for datalekkasje

Helsedirektoratets rapport om store språkmodeller advarer: «Hvis man legger inn personsensitive data i et prompt til en språkmodell som lagrer data, er det risiko for at sensitive data brukes til å trene og oppdatere modellen, og at de kan komme på avveie.»

De konkrete risikoene

GDPR-brudd

Italia ga OpenAI en bot på 15 millioner euro i 2024 for brudd på GDPR. Det norske Datatilsynet følger utviklingen og har varslet at de kan gripe inn.

Når du som fastlege limer pasientopplysninger inn i ChatGPT, er det du som er behandlingsansvarlig for de dataene. Du har ikke en databehandleravtale med OpenAI, og du har ikke gjort en vurdering av personvernkonsekvenser (DPIA). Begge deler kreves av GDPR når du overfører helseopplysninger til en tredjepart.

Re-identifisering

Selv om du fjerner navn og fødselsnummer, kan kombinasjonen av diagnose, behandlingshistorikk, alder og kjønn være nok til å identifisere en pasient. Helsedirektoratets rapport påpeker at «moderne beregningskapasitet gjør re-identifisering stadig enklere, særlig for store datasett med mange variabler.»

Helsepersonelloven

Helsepersonelloven § 4 krever at du utøver yrket forsvarlig. Tidsskriftet for Den norske legeforening skrev i november 2025 at «bruk av ChatGPT til medisinske formål kan være uforsvarlig og i strid med helsepersonelloven § 4.» De slår også fast at ChatGPT og lignende generative språkmodeller «ikke anses som medisinsk KI, selv om en lege velger å bruke dem i sin medisinske virksomhet.»

Tilsynssak

Brudd på personvernregelverket kan føre til tilsynssak fra Helsetilsynet og eventuelt reaksjoner fra Datatilsynet. I en tid der KI-forordningen trer i kraft i august 2026, øker oppmerksomheten rundt forsvarlig KI-bruk i helsevesenet.

«Men jeg anonymiserer jo dataene først»

Mange leger forsøker å fjerne personopplysninger manuelt før de limer inn tekst i ChatGPT. Det er bedre enn å ikke gjøre det, men det løser ikke problemet:

Manuell anonymisering er upålitelig. Du glemmer lett et navn, en adresse, en arbeidsgiver eller et familienavn som står i en bisetning. Under tidspress øker risikoen.

Kombinasjoner kan identifisere. «58 år gammel kvinne med MS, diagnostisert i 2019, bor alene med to barn» kan være nok til å identifisere pasienten, selv uten navn.

Det er fortsatt en overføring. Selv anonymiserte data som overføres til en skyløsning utenfor EØS krever en vurdering av om dataene virkelig er anonyme. GDPR setter en høy terskel for hva som regnes som anonyme data.

Du har ikke databehandleravtale. Uten en avtale med OpenAI er du personlig ansvarlig for all behandling av personopplysninger som skjer via ChatGPT.

Hva er alternativet?

Du trenger ikke velge mellom personvern og effektivitet. Dedikerte medisinske KI-verktøy gir deg samme nytte som ChatGPT, men med innebygd personvern:

Egenskap	ChatGPT	Dedikert medisinsk KI
Datalagring	USA/Irland, brukes til trening	Norge/EØS, slettes automatisk
Databehandleravtale	Nei (gratisversjon/Plus)	Ja
Deidentifisering	Manuell (upålitelig)	Automatisk før KI-prosessering
Medisinsk kvalitet	Generalist, kan hallusinere	Trent på norsk medisinsk terminologi
GDPR-kompatibel	Nei	Ja
Kildeangivelse	Nei	Ja, med referanse til journalkilder
KI-forordningen	Ikke klassifisert som medisinsk KI	Designet for helsesektoren

Hva bør et trygt verktøy tilby?

Når du vurderer KI-verktøy for legekontoret, bør det oppfylle disse minimumskravene:

1. Datalagring i Norge eller EØS. Helseopplysninger skal ikke forlate EØS uten spesielle garantier.
2. Automatisk deidentifisering. Personopplysninger fjernes før data sendes til KI-modellen.
3. Databehandleravtale. Du trenger en skriftlig avtale med leverandøren som regulerer behandlingen.
4. Kort lagringstid. Data bør slettes automatisk etter kort tid (timer eller dager, ikke permanent).
5. Kildeangivelse. Alle KI-svar bør vise hvor informasjonen kommer fra, slik at du kan verifisere.
6. Norsk medisinsk terminologi. Verktøyet bør forstå ICPC-2-koder, norske legemiddelnavn og NAV-skjemaer.

For en grundig sammenligning av dedikerte medisinske KI-verktøy, se vår oversikt over AI-verktøy for fastleger.

Trenger du KI-hjelp med pasientdata, uten personvernrisiko?

Journalhjelp søker i pasientjournalen, oppsummerer historikk og fyller ut NAV-skjemaer med automatisk deidentifisering, datalagring i Azure Norge, og automatisk sletting etter 24 timer. Se hvordan skjemautfylling fungerer eller les mer om vår personvernpraksis.

Sjekkliste: Bruker du KI trygt med pasientdata?

• Har verktøyet databehandleravtale?
• Lagres data i Norge eller EØS?
• Fjernes personopplysninger automatisk før KI-prosessering?
• Slettes data automatisk etter bruk?
• Er verktøyet designet for helsesektoren (ikke en generell chatbot)?
• Har du informert pasienten om at KI brukes (jf. pasientsamtykke)?
• Er det gjort en DPIA (vurdering av personvernkonsekvenser)?
• Oppfyller verktøyet kravene i KI-forordningen?

Svarer du «nei» på noen av disse punktene, bør du vurdere om bruken er forsvarlig.

Ofte stilte spørsmål

Er det ulovlig å bruke ChatGPT med pasientdata?

Ja, med stor sannsynlighet. Du overfører helseopplysninger til en tredjepart utenfor EØS uten databehandleravtale, uten DPIA, og uten gyldig overføringsgrunnlag. Dette bryter med GDPR. I tillegg kan det stride mot forsvarlighetskravet i helsepersonelloven § 4.

Hva om jeg fjerner alle navn og fødselsnummer først?

Manuell anonymisering reduserer risikoen, men eliminerer den ikke. Kombinasjoner av diagnose, alder, kjønn og behandlingshistorikk kan fortsatt identifisere en pasient. GDPR setter en høy terskel for hva som regnes som anonyme data, og manuell fjerning oppfyller sjelden denne terskelen.

Kan jeg bruke ChatGPT Enterprise eller API-versjonen trygt?

ChatGPT Enterprise og API-versjonen bruker ikke inndata til trening, men du mangler fortsatt databehandleravtale tilpasset norsk helselovgivning, automatisk deidentifisering, og datalagring i Norge. For helseopplysninger anbefales dedikerte medisinske KI-verktøy med innebygd personvern.

Hva risikerer jeg hvis Datatilsynet oppdager at jeg bruker ChatGPT med pasientdata?

Datatilsynet kan ilegge overtredelsesgebyr for brudd på GDPR. I tillegg kan Helsetilsynet vurdere om bruken er uforsvarlig etter helsepersonelloven § 4, som kan føre til tilsynsreaksjoner. Italia ga OpenAI en bot på 15 millioner euro for GDPR-brudd i 2024.

Finnes det KI-verktøy som er trygge å bruke med pasientdata?

Ja. Dedikerte medisinske KI-verktøy lagrer data i Norge/EØS, har databehandleravtale, bruker automatisk deidentifisering, og er designet for helsesektoren. Se vår sammenligning av AI-verktøy for fastleger for en oversikt.

Hva er forskjellen på ChatGPT og medisinsk KI?

ChatGPT er en generell språkmodell som ikke er klassifisert som medisinsk utstyr. Medisinsk KI er designet for helsesektoren med innebygd personvern, medisinsk terminologi, kildeangivelse og GDPR-kompatibel databehandling. Tidsskriftet for Den norske legeforening påpeker at ChatGPT «ikke anses som medisinsk KI, selv om en lege velger å bruke den i sin medisinske virksomhet.»

Les mer

• AI-verktøy for fastleger: Komplett sammenligning 2026
• KI-forordningen for fastleger: Alt du trenger å vite
• AI hallusinering i helsevesenet: Slik unngår du feil
• Pasientsamtykke for AI-opptak: Guide
• Kvalitetssikring av AI-journalnotater
• Helsedirektoratets rapport om store språkmodeller
• Datatilsynets side om ChatGPT