Databehandleravtale

En databehandleravtale er en skriftlig avtale som kreves av GDPR (artikkel 28) når en virksomhet lar en annen part behandle personopplysninger på sine vegne. For fastleger er dette aktuelt når du bruker skybaserte tjenester, KI-verktøy eller andre digitale løsninger som behandler pasientdata.

Avtalen skal regulere hva databehandleren kan gjøre med dataene, hvor de lagres, hvilke sikkerhetstiltak som brukes, og hva som skjer med dataene når avtalen opphører. Den skal også fastslå at databehandleren ikke kan bruke dataene til egne formål, for eksempel til å trene KI-modeller.

Som fastlege er du behandlingsansvarlig for pasientdataene dine. Når du bruker et KI-verktøy som behandler pasientopplysninger, er leverandøren databehandler. Uten en signert databehandleravtale har du ikke lov til å overføre pasientdata til tjenesten, uavhengig av hvor nyttig verktøyet er.

Dette er særlig relevant for bruk av generelle språkmodeller som ChatGPT. OpenAI tilbyr ikke en databehandleravtale tilpasset norsk helselovgivning for sine gratisversjoner. Det betyr at bruk av ChatGPT med pasientdata er et GDPR-brudd. Dedikerte medisinske KI-verktøy har normalt databehandleravtaler som dekker dette.

En fastlege vurderer å ta i bruk et KI-transkriberings-verktøy. Før hun kan begynne å bruke det med pasientdata, sjekker hun at leverandøren tilbyr en databehandleravtale. Avtalen spesifiserer at data lagres i Norge, at lydopptak slettes innen 24 timer, og at data aldri brukes til å trene KI-modeller. Først etter at avtalen er signert, kan hun lovlig bruke verktøyet med pasientopplysninger.