Fraværsattest og skoleerklæring: Komplett guide for fastleger (2026)
Nye fraværsregler fra 2025 endret kravene til legeerklæring for skoleelever. Her er reglene, takstene, taushetsplikten og hva attesten skal inneholde.
DPIA for fastleger: Slik gjør du en personvernkonsekvensvurdering for KI-verktøy
Bruker du KI på legekontoret? Da trenger du trolig en DPIA. Her er en praktisk steg-for-steg guide med mal, sjekkliste og de vanligste feilene å unngå.
Journalhjelp
16. mars 20269 min lesetid
Over 2000 norske helsepersonell bruker KI-verktøy på jobben. De fleste har ikke gjort en DPIA.
DPIA, eller personvernkonsekvensvurdering, er et krav i GDPR. Du skal gjennomføre den før du tar i bruk et KI-verktøy som behandler pasientdata. Ikke etter. Ikke «når vi får tid». Før.
Denne guiden viser deg hvorfor du som fastlege trolig trenger en DPIA, hvordan du gjør det i praksis, og hvilke feil du bør unngå.
Hva er en DPIA?
DPIA står for Data Protection Impact Assessment. På norsk: vurdering av personvernkonsekvenser, eller personvernkonsekvensvurdering. Det er et krav i GDPR artikkel 35.
En DPIA er en systematisk gjennomgang der du vurderer:
- Hva du gjør med personopplysninger (hvilke data, til hvilket formål)
- Hvilken risiko det utgjør for pasientene
- Hvilke tiltak du har på plass for å beskytte dem
Formålet er enkelt: å dokumentere at du har tenkt gjennom personvernrisikoen før du starter. Ikke som en formalitet, men som en reell vurdering av om behandlingen er forsvarlig.
Datatilsynet har publisert en sjekkliste og veiledning. Helsedirektoratet har laget en egen mal for helsesektoren. Begge er gratis.
Trenger du som fastlege virkelig en DPIA?
Her er det mange som blir usikre. Du har kanskje hørt at enkeltleger er unntatt fra GDPR-krav fordi dere ikke driver «storskala behandling». Det stemmer delvis, men det betyr ikke at du slipper DPIA.
Her er det som gjelder.
Den vanlige misforståelsen
GDPR fortale 91 sier at enkeltleger og andre helsepersonell som behandler egne pasienters data ikke regnes som «storskala behandling». Det stemmer. Men dette fjerner bare én av flere grunner til at DPIA kan være påkrevd.
Datatilsynet bruker en to-kriterie-regel basert på EUs retningslinjer (WP 248). Oppfyller du to eller flere av ni kriterier, skal du gjennomføre en DPIA. De ni kriteriene inkluderer blant annet:
| # | Kriterium | Relevant for KI på legekontoret? |
|---|---|---|
| 4 | Behandling av helseopplysninger (særlige kategorier) | Ja, alltid |
| 7 | Data om sårbare personer (pasienter) | Ja, alltid |
| 8 | Bruk av ny teknologi (KI) | Ja, alltid |
Bruker du et KI-verktøy med pasientdata, oppfyller du minst kriterium 4 og 8. Det er nok til å utløse DPIA-plikten.
Kort sagt: Selv om du som enkeltlege ikke driver storskala behandling, krever kombinasjonen av helseopplysninger og ny teknologi at du gjør en DPIA. Manglende DPIA er et selvstendig GDPR-brudd med bøter på opptil 10 millioner euro.
DPIA i praksis: Fem steg for fastleger
DPIA høres mer komplisert ut enn det trenger å være. For et enkelt KI-verktøy tar det typisk 2-4 timer. Helsedirektoratets mal (HITR 1243:2022) gir deg strukturen. Her er de fem stegene.
Steg 1: Beskriv behandlingen
Dokumenter hva KI-verktøyet faktisk gjør med pasientdata:
- Hvilke data behandles? Lydopptak, journaltekst, diagnoser, medisiner, prøvesvar
- Hva er formålet? Transkribering, journalsøk, skjemautfylling
- Hvem er databehandler? Leverandøren (for eksempel Noteless, Medbric, Journalhjelp)
- Hvor lagres data? Norge, EU/EØS, eller utenfor?
- Hvor lenge lagres data? Timer, dager, permanent?
- Hvem har tilgang? Bare deg, eller også leverandørens ansatte?
Jo mer presis du er her, jo lettere blir resten av vurderingen.
Steg 2: Vurder nødvendighet og forholdsmessighet
Her skal du begrunne hvorfor du trenger KI-verktøyet:
- Hva er det rettslige grunnlaget? Typisk samtykke fra pasienten, eventuelt kombinert med helsepersonelloven og berettiget interesse.
- Er behandlingen nødvendig for formålet? Ja, KI-transkribering krever lydopptak for å fungere.
- Finnes det mindre inngripende alternativer? Manuell dokumentasjon er et alternativ, men uforholdsmessig tidkrevende. 14 timer administrativt arbeid per uke er godt dokumentert.
- Er datamengden proporsjonal? Behandler verktøyet bare det som trengs, eller mer?
Steg 3: Kartlegg risiko for pasientene
Tenk gjennom hva som kan gå galt, og vurder sannsynlighet og alvorlighetsgrad:
| Risiko | Sannsynlighet | Konsekvens | Risikonivå |
|---|---|---|---|
| Datalekkasje hos leverandør | Lav | Alvorlig | Middels |
| Feil i KI-output (hallusinering) | Middels | Middels | Middels |
| Uautorisert tilgang til data | Lav | Alvorlig | Middels |
| Data brukes til modelltrening | Avhenger av leverandør | Alvorlig | Varierer |
| Re-identifisering av deidentifiserte data | Lav | Alvorlig | Middels |
Vurder risikoen fra pasientens perspektiv, ikke legekontorets. Hva betyr det for pasienten hvis dette går galt?
Steg 4: Planlegg tiltak som reduserer risikoen
For hver risiko du identifiserte, dokumenter konkrete tiltak:
- Databehandleravtale med leverandøren som regulerer all behandling
- Automatisk sletting av data etter bruk (timer eller dager)
- Deidentifisering av personopplysninger før KI-prosessering
- Datalagring i Norge/EØS for å unngå problematisk tredjelandsoverføring
- Pasientinformasjon om at KI brukes (se pasientsamtykke-guiden)
- Tilgangskontroll slik at bare autorisert personell bruker verktøyet
- Logging av hvem som bruker verktøyet og når
Etter tiltakene: er restrisikoen akseptabel? Hvis ja, gå videre. Hvis nei, må du enten legge til flere tiltak eller vurdere å ikke ta verktøyet i bruk. Ved svært høy restrisiko skal du kontakte Datatilsynet for forhåndsdrøftelse.
Steg 5: Godkjenn, dokumenter og oppdater
- Dataansvarlig godkjenner DPIA-en formelt. På et fastlegekontor er det typisk praksiseier eller den som er registrert som behandlingsansvarlig.
- Oppbevar dokumentet. Du trenger det ved eventuelt tilsyn fra Datatilsynet eller Helsetilsynet.
- Oppdater ved endringer. Ny KI-modell, nytt lagringssted, nye bruksområder? Oppdater DPIA-en. En årlig gjennomgang er god praksis uansett.
Fire spørsmål du må stille KI-leverandøren
Før du kan fullføre en DPIA, trenger du informasjon fra leverandøren. Dagens Medisin publiserte fire kritiske spørsmål. Svarer leverandøren «ja» på noen av disse, bør du vurdere nøye om verktøyet er lovlig å bruke:
- Kan andre brukere se mine pasientdata?
- Deles data med tredjeparter?
- Brukes data til å forbedre KI-modellene?
- Brukes data til å trene KI-modellene?
Et trygt KI-verktøy skal svare «nei» på alle fire. Svarene bør stå svart på hvitt i databehandleravtalen.
OBS: ChatGPT består ikke denne testen
ChatGPT (gratisversjonen og Plus) bruker inndata til modelltrening, har ingen databehandleravtale med deg, og lagrer data utenfor Norge. Les mer i vår guide om ChatGPT og pasientdata.
Sjekkliste for databehandleravtalen
Databehandleravtalen (DPA) er et obligatorisk vedlegg til DPIA-en. Legeforeningen har veiledning. Her er minimumskravene:
| Punkt | Hva må avtalen si? |
|---|---|
| Formål | Hva databehandleren skal gjøre (transkribere, søke, fylle ut skjemaer) |
| Datatyper | Hvilke personopplysninger som behandles (helseopplysninger, lydopptak) |
| Lagringssted | Hvor data lagres (Norge, EU/EØS) |
| Varighet | Hvor lenge data lagres, og når det slettes |
| Sikkerhetstiltak | Kryptering, tilgangskontroll, logging |
| Underleverandører | Hvilke underleverandører som brukes (for eksempel Microsoft Azure) |
| Modelltrening | At data IKKE brukes til å trene eller forbedre KI-modeller |
| Sletting | Hva som skjer med data når avtalen opphører |
| Revisjon | Din rett til å kontrollere at avtalen overholdes |
Har du ikke databehandleravtale med KI-leverandøren? Da mangler du det mest grunnleggende GDPR-kravet. Ikke start med DPIA, start med å få avtalen på plass.
Vanlige feil fastleger gjør
Vi ser de samme feilene gå igjen:
1. Tror DPIA ikke gjelder for enkeltleger. Som forklart over: unntaket for «storskala behandling» fritar deg ikke når du kombinerer helseopplysninger med ny teknologi. To-kriterie-regelen gjelder.
2. Gjennomfører DPIA etter at verktøyet er tatt i bruk. GDPR krever DPIA før behandlingen starter. Å gjøre den i etterkant er bedre enn å ikke gjøre den, men det er formelt et brudd.
3. Kopierer en ferdig DPIA uten tilpasning. En DPIA skal reflektere din faktiske situasjon. Hvordan du bruker verktøyet, hvilke pasienter det gjelder, og hvilke tiltak du har på plass. Et generisk dokument holder ikke.
4. Glemmer å oppdatere DPIA-en. Leverandøren oppdaterer KI-modellen, bytter underleverandør, eller endrer lagringssted. Alt dette krever en ny vurdering.
5. Mangler databehandleravtale. Uten avtale er all behandling hos leverandøren ulovlig. DPIA-en blir meningsløs.
6. Informerer ikke pasientene. Pasienter har rett til å vite at KI brukes i behandlingen av deres data. Se vår guide om pasientsamtykke og KI-opptak.
DPIA og KI-forordningen: Hva skjer i august 2026?
KI-forordningen (EU AI Act) trer i kraft i Norge i august 2026. Den innfører et nytt krav i tillegg til DPIA: FRIA (Fundamental Rights Impact Assessment), en vurdering av konsekvenser for grunnleggende rettigheter.
| Vurdering | Regulering | Fokus | Gjelder fra |
|---|---|---|---|
| DPIA | GDPR | Personvern og databeskyttelse | Allerede gjeldende |
| FRIA | KI-forordningen | Grunnleggende rettigheter (helse, sikkerhet, diskriminering) | August 2026 |
De to vurderingene utfyller hverandre. Har du en god DPIA, kan du gjenbruke mye av innholdet i en FRIA. Starter du med DPIA nå, er du godt forberedt.
Merk: Standard transkribering og notatverktøy regnes trolig ikke som høyrisiko-KI under forordningen. Men verktøy som gir diagnostisk beslutningsstøtte eller behandlingsforslag kan bli klassifisert som det. Les mer i vår KI-forordningen-guide.
Journalhjelp er bygget for GDPR fra grunnen av
All data lagres i Azure Norge, pasientdata deidentifiseres automatisk før KI-prosessering, og slettes automatisk etter 24 timer. Vi har ferdig databehandleravtale og bruker aldri pasientdata til modelltrening.
Maler og ressurser du kan bruke
Her er de viktigste ressursene for å gjennomføre en DPIA:
- Helsedirektoratets DPIA-mal (HITR 1243:2022): Offisiell mal med veiledning, laget for helsesektoren. Sist oppdatert september 2025.
- Datatilsynets sjekkliste for DPIA: PDF-sjekkliste som hjelper deg gjennom alle fasene.
- Datatilsynets veiledning: Komplett veiledning med eksempler og forklaringer.
- Legeforeningens side om databehandleravtale: Forklarer hva som må stå i avtalen.
- Helsedirektoratets KI-faktaark: Fem faktaark om KI i helsesektoren, inkludert KI-forordningen.
Ofte stilte spørsmål om DPIA for fastleger
Må alle fastleger gjøre DPIA for KI-verktøy?
Ja, i praksis. Selv om enkeltleger ikke driver storskala behandling (GDPR fortale 91), utløser kombinasjonen av helseopplysninger og ny teknologi DPIA-plikt etter Datatilsynets to-kriterie-regel. Bruker du et KI-verktøy med pasientdata, bør du gjennomføre en DPIA.
Kan jeg bruke KI-leverandørens DPIA i stedet for min egen?
Nei. Det er du som behandlingsansvarlig som har DPIA-plikten, ikke leverandøren. Leverandøren kan gi deg informasjon som hjelper deg med vurderingen, men selve DPIA-en må du eller legekontoret gjennomføre og godkjenne.
Hvor lang tid tar det å gjennomføre en DPIA?
For et enkelt KI-verktøy på et fastlegekontor tar det typisk 2-4 timer. Forutsetningen er at du har informasjon fra leverandøren og bruker Helsedirektoratets mal. Mye av tiden går til å samle informasjon, ikke selve utfyllingen.
Hva skjer hvis jeg bruker KI-verktøy uten DPIA?
Manglende DPIA er et selvstendig GDPR-brudd som kan gi bøter på opptil 10 millioner euro. I praksis vil Datatilsynet trolig starte med pålegg og veiledning. Men ved et eventuelt databrudd eller tilsynssak vil mangel på DPIA gjøre situasjonen vesentlig verre.
Må jeg oppdatere DPIA-en jevnlig?
Ja. GDPR krever at du oppdaterer DPIA-en når behandlingen endres vesentlig. Det kan være at leverandøren bytter KI-modell, endrer lagringssted, eller at du tar verktøyet i bruk på nye måter. En årlig gjennomgang er god praksis.
Er TrinnVis nok, eller trenger jeg Helsedirektoratets DPIA-mal?
TrinnVis har maler for risikovurdering som dekker mye av det en DPIA krever, og er et godt utgangspunkt. For en fullstendig DPIA etter GDPR artikkel 35 anbefaler vi å bruke Helsedirektoratets offisielle DPIA-mal (HITR 1243:2022), som er laget spesielt for helsesektoren.
Les mer
- ChatGPT og pasientdata: Hva du bør gjøre i stedet
- KI-forordningen for fastleger: Alt du trenger å vite
- Pasientsamtykke for AI-opptak: Guide
- AI-verktøy for fastleger: Komplett sammenligning 2026
- Dokumentasjonsplikt i pasientjournalen
- Tilsynssak fra Helsetilsynet: Slik forbereder du deg
- Ordliste: DPIA
- Datatilsynets veiledning om personvernkonsekvensvurdering
- Helsedirektoratets DPIA-mal
Relaterte innlegg
Egenandel, frikort og takstendringer 2026: Det fastlegen må vite
Oppdaterte egenandeler, frikorttak, blå resept-endringer og nye takster for 2026. Komplett oversikt med tabeller for deg som fastlege.
Ny fastlegeforskrift 2026: Alle endringer du må kjenne til
Den nye fastlegeforskriften trådte i kraft 1. januar 2026. Her er de viktigste endringene for deg som fastlege, med frister, praktiske konsekvenser og sjekkliste.