KI-forordningen for fastleger: Alt du trenger å vite om den nye KI-loven (2026)

Over 20 prosent av norske fastleger bruker allerede KI-verktøy i hverdagen. Transkribering, journalsøk, beslutningsstøtte. Men fra august 2026 kommer en ny lov som regulerer alt dette.

KI-forordningen er EUs svar på spørsmålet: Hvordan sikrer vi at kunstig intelligens brukes trygt? Norge innfører den gjennom EØS-avtalen, og den gjelder deg som fastlege.

Denne guiden forklarer hva KI-forordningen betyr i praksis for legekontoret. Ingen juridisk sjargong. Bare det du trenger å vite og gjøre.

Kort oppsummert

KI-forordningen klassifiserer KI-systemer etter risiko. Du som fastlege må sikre menneskelig tilsyn, ha databehandleravtale med leverandøren, og slutte å bruke ChatGPT med pasientdata. De fleste transkriberings-verktøy er trolig ikke høyrisiko, men du bør gjøre en risikovurdering uansett.

---

Hva er KI-forordningen, og når gjelder den i Norge?

KI-forordningen (offisielt: EU Regulation 2024/1689, også kalt AI Act) er et europeisk regelverk som stiller krav til alle som utvikler, tilbyr eller bruker KI-systemer. Den trådte i kraft i EU i august 2024, med ulike frister for ulike deler av regelverket.

For Norge betyr det:

• Høsten 2025: Forslag til norsk KI-lov ble sendt på høring med frist 30. september 2025
• August 2026: Reglene for høyrisiko-KI-systemer trer i kraft
• Sent 2026: Den norske KI-loven forventes å gjelde via EØS-avtalen

Forordningen bruker en risikobasert tilnærming. Jo høyere risiko et KI-system utgjør for helse, sikkerhet eller grunnleggende rettigheter, desto strengere krav.

Risikonivå	Eksempel	Krav
Uakseptabel	Sosial poenggiving, manipulasjon	Forbudt
Høy risiko	KI i medisinsk utstyr, diagnostikk	Strenge krav til tilsyn, dokumentasjon, transparens
Begrenset risiko	Chatboter, generativ KI	Krav om transparens (brukere må vite at de snakker med KI)
Minimal risiko	Spamfilter, autokorrektur	Ingen spesielle krav

Det er høyrisiko-kategorien som er mest relevant for legekontoret.

---

Hvilke KI-systemer på legekontoret regnes som høyrisiko?

Her blir det litt komplisert. Ikke alle KI-verktøy på legekontoret er høyrisiko.

Helsedirektoratet forklarer at KI-systemer beregnet til bruk i medisinsk utstyr i klasse IIa og oppover regnes som høyrisiko. Det samme gjelder KI som brukes av offentlige myndigheter til å vurdere rett til helsetjenester.

Hva betyr dette i praksis?

Trolig høyrisiko:

• KI som gir diagnostisk beslutningsstøtte (foreslår diagnoser basert på symptomer)
• KI som anbefaler behandling
• KI-basert bildeanalyse (for eksempel hudkreft-screening)
• KI som triagerer pasienter

Trolig ikke høyrisiko:

• Ren tale-til-tekst-transkribering for journalnotater
• KI-basert oppsummering av journaltekst
• Administrativ KI (timebestilling, påminnelser)

Men grensen er ikke alltid tydelig. Norge har, gjennom Direktoratet for medisinske produkter (DMP), som første land tatt opp spørsmålet i EU om tale-til-notat-systemer bør reguleres som medisinsk utstyr. Det er fordi noen transkriberings-verktøy gjør mer enn bare å skrive ned det som sies. De strukturerer, tolker og foreslår.

Tommelfingerregel

Hvis KI-verktøyet bare skriver ned det du sier, er det trolig ikke høyrisiko. Hvis det foreslår diagnoser, behandlinger eller vurderinger, kan det være medisinsk utstyr og falle inn under strenge krav. Sjekk med leverandøren om produktet er CE-merket.

---

Medisinsk KI vs. ChatGPT: en avgjørende forskjell

KI-forordningen gjør et tydelig skille mellom dedikerte medisinske KI-verktøy og generelle språkmodeller som ChatGPT.

Tidsskriftet skriver at verktøy som ChatGPT og andre generative språkmodeller ikke er klassifisert som medisinsk KI, selv om en lege velger å bruke dem i medisinsk praksis. Det betyr at de ikke har gjennomgått kvalitetskontroll, CE-merking eller klinisk validering.

Hvorfor er ChatGPT problematisk på legekontoret?

1. Ingen databehandleravtale: Du deler pasientopplysninger med en tredjepart uten avtale
2. Tredjelandsoverføring: Data sendes til servere utenfor EU/EØS
3. Brudd på taushetsplikt: Helsepersonelloven § 21 forbyr å dele pasientopplysninger med uvedkommende
4. Ikke CE-merket: Ingen garanti for medisinsk nøyaktighet
5. Data kan brukes til trening: Ingen kontroll over hva som skjer med informasjonen

Mange leger bruker ChatGPT selv om de vet det ikke er greit. Den nye KI-loven gjør dette enda tydeligere: Bruk av ukvalifiserte KI-verktøy med pasientdata er ikke forenlig med forsvarlig praksis.

Les mer om trygge alternativer i vår guide om journalsøk med AI.

---

Dine plikter som fastlege under KI-forordningen

KI-forordningen stiller krav til deg som «idriftsetter» av KI-systemer. Det betyr: den som tar KI i bruk i sin virksomhet. Som selvstendig næringsdrivende fastlege er det deg.

De viktigste pliktene

1. Menneskelig tilsyn

Du må utpeke noen på kontoret som har ansvar for å føre tilsyn med KI-systemene. På et lite legekontor er det sannsynligvis deg selv. Du kan også avtale med en ekstern leverandør med tilstrekkelig kompetanse.

2. KI-kompetanse

Alle som bruker KI-verktøy skal ha tilstrekkelig forståelse for hva verktøyet gjør og hvordan de vurderer resultatene. Du trenger ikke bli KI-ekspert, men du må vite nok til å oppdage feil.

Les vår guide om kvalitetssikring av AI-journalnotater for praktiske tips.

3. Bruk i tråd med instruksjonene

KI-verktøy skal brukes til det de er laget for. Hvis et transkriberings-verktøy er ment for konsultasjonsnotater, skal du ikke bruke det til å stille diagnoser.

4. Meldeplikt ved alvorlige hendelser

Oppdager du at et KI-system har bidratt til en alvorlig hendelse, skal dette meldes. Dette ligner på meldeplikten du allerede kjenner fra helsetilsynssystemet.

5. Dokumentasjon og logging

Du må kunne dokumentere hvilke KI-verktøy dere bruker, til hva, og at dere har gjort en risikovurdering.

Husk: Helsepersonelloven gjelder fortsatt

KI-forordningen kommer i tillegg til eksisterende helselovgivning. Krav om faglig forsvarlighet (§ 4), taushetsplikt (§ 21) og dokumentasjonsplikt (§§ 39-40) gjelder uansett. KI-en gjør ikke jobben for deg. Du er fortsatt ansvarlig for det kliniske resultatet.

---

GDPR og KI: dobbelt regelverk for helseopplysninger

KI-forordningen erstatter ikke GDPR. De to regelverkene gjelder side om side. For deg som fastlege betyr det doble krav når du bruker KI med pasientdata.

Hva GDPR allerede krever

• Rettslig grunnlag for å behandle helseopplysninger (GDPR artikkel 6 og 9)
• Databehandleravtale med alle KI-leverandører
• Personvernkonsekvensvurdering (DPIA) for KI-systemer som behandler helseopplysninger i stor skala
• Data lagret innenfor EU/EØS (eller med godkjent overføringsgrunnlag)
• Sletting av lydopptak og rådata når formålet er oppfylt

Hva KI-forordningen legger til

• Transparens: Pasienter skal vite at KI brukes i behandlingen
• Risikovurdering: Systematisk vurdering av KI-verktøyets risiko
• Menneskelig kontroll: Noen må ha ansvar for å overvåke KI-systemet
• Sporbarhet: Du skal kunne forklare hvordan KI-et kom frem til et resultat

Helsedirektoratets veiledningstjeneste bekrefter at lydopptak og rådata fra transkribering må slettes når journalnotatet er ferdigstilt. Denne informasjonen er «ikke relevant og nødvendig» å beholde.

---

Pasientens rettigheter når du bruker KI

Pasienter har rett til å vite at KI brukes i deres behandling. Helsedirektoratet uttaler at samtykke til helsehjelp dekker bruk av KI-verktøy, på samme måte som det dekker bruk av annen teknologi. Du trenger altså ikke separat skriftlig samtykke.

Men du har informasjonsplikt. Pasienten skal vite:

• At KI brukes (for eksempel til transkribering eller journalsøk)
• Hva KI-verktøyet gjør med dataene
• At de kan reservere seg

I praksis løser de fleste dette med oppslag i venterommet og en kort muntlig beskjed. Les vår guide om pasientsamtykke for AI-opptak for konkrete maler.

---

Slik gjør du en risikovurdering for KI-verktøy

Risikovurdering er et av de mest konkrete kravene i KI-forordningen, og noe du faktisk kan gjøre allerede i dag.

Bruk TrinnVis

TrinnVis har utviklet nye retningslinjer, rutiner og risikovurderinger spesifikt for KI-bruk på legekontoret. Verktøyet har forhåndsutfylte maler som gjør jobben enklere.

Hva bør vurderes?

For hvert KI-verktøy du bruker, vurder:

Spørsmål	Eksempel
Hva gjør verktøyet?	Transkriberer konsultasjoner til journalnotat
Hvilke data brukes?	Lydopptak med pasientopplysninger
Hvor lagres data?	Azure Norway East (innenfor EU/EØS)
Er det CE-merket?	Sjekk med leverandøren
Hva skjer ved feil?	Feil i journalnotatet som legen ikke oppdager
Hvor sannsynlig er feil?	Moderat (AI kan hallusinere)
Hvor alvorlig er konsekvensen?	Alvorlig (feil medisinsk informasjon i journal)

Multipliser sannsynlighet med konsekvens. Høy risiko krever tiltak. Lav risiko kan aksepteres med overvåkning.

Les mer om hallusinering i vår guide om AI-hallusinering i helsevesenet.

---

Fem steg for å forberede fastlegekontoret

Du trenger ikke vente til august 2026. Her er fem ting du kan gjøre nå.

Steg 1: Kartlegg KI-verktøyene dere bruker

Lag en enkel liste. Inkluder alt: transkriberings-verktøy, journalsøk, beslutningsstøtte, ChatGPT-bruk (ja, den også). For hvert verktøy: hva gjør det, hvem bruker det, og har dere databehandleravtale?

Steg 2: Gjennomfør risikovurdering

Bruk TrinnVis eller lag deres egen vurdering. Fokuser på sannsynlighet for feil og konsekvensen av feil. Dokumenter resultatet.

Steg 3: Sjekk databehandleravtaler

Hver KI-leverandør som behandler pasientdata trenger en signert databehandleravtale. Avtalen skal spesifisere:

• Hvor data lagres
• Om data brukes til å trene modeller
• Sikkerhetstiltak
• Slettingsrutiner

Stopp ChatGPT-bruken nå

Hvis noen på kontoret bruker ChatGPT, Google Gemini eller lignende med pasientopplysninger, bør dette slutte umiddelbart. Det finnes ingen lovlig måte å bruke disse verktøyene med identifiserbare pasientdata. Bruk et dedikert, GDPR-kompatibelt verktøy i stedet.

Steg 4: Lag interne retningslinjer

Skriv ned klare regler for KI-bruk. Hvem kan bruke det? Til hva? Hvem har ansvar for tilsyn? Hva gjør dere hvis noe går galt? Dokumentet trenger ikke være langt. En side holder.

Steg 5: Sørg for KI-kompetanse

Alle som bruker KI-verktøy bør forstå:

• Hva verktøyet gjør (og hva det ikke gjør)
• At KI kan hallusinere og lage feil
• Hvordan de sjekker og korrigerer KI-generert innhold
• Når de bør la være å bruke KI (sensitive situasjoner, usikkerhet)

Norsk forening for allmennmedisin (NFA) arbeider sammen med Helsedirektoratet for å etablere veiledning for fastleger. Følg med på oppdateringene deres.

Sjekkliste: Er legekontoret klart?

Oversikt over alle KI-verktøy i brukRisikovurdering gjennomført for hvert verktøyDatabehandleravtale signert med alle leverandørerIngen bruk av ChatGPT/Gemini med pasientdataInterne retningslinjer for KI-bruk dokumentertAnsatte har grunnleggende KI-kompetansePasienter informeres om KI-bruk (oppslag + muntlig)Person utpekt som ansvarlig for KI-tilsyn

---

Journalhjelp og KI-forordningen

Journalhjelp er bygget for å møte kravene i KI-forordningen.

Norsk datalagring: All data behandles og lagres i Azure Norway East. Ingen tredjelandsoverføring.

Automatisk pseudonymisering: Pasientdata pseudonymiseres før KI-behandling. Navn og fødselsnummer fjernes automatisk.

Kildeankret: Alle AI-svar viser hvilken del av journalen informasjonen kommer fra. Du kan alltid verifisere.

Automatisk sletting: Lydopptak og rådata slettes automatisk etter bruk.

Ingen AI-trening: Dine data brukes aldri til å trene KI-modeller.

Prøv Journalhjelp

AI-transkribering og journalsøk som følger norske regler. GDPR-kompatibelt, med data i Norge. Prøv gratis.

---

Les mer

• AI journalføring: Slik fungerer automatisk konsultasjonsnotat
• Pasientsamtykke for AI-opptak: Slik informerer du pasienten riktig
• AI hallusinering i helsevesenet: Slik unngår du feil
• Kvalitetssikring av AI-journalnotater: Sjekkliste

---

Ofte stilte spørsmål