Dokumentasjon

DPIA (Vurdering av personvernkonsekvenser)

En systematisk vurdering av personvernrisiko som kreves av GDPR før du tar i bruk teknologi som behandler helseopplysninger i stor skala.

Forklaring

DPIA (Data Protection Impact Assessment), på norsk kalt vurdering av personvernkonsekvenser, er et krav i GDPR artikkel 35. Du må gjennomføre en DPIA før du tar i bruk ny teknologi som sannsynligvis vil medføre høy risiko for personers rettigheter og friheter.

For fastleger er DPIA aktuelt når du innfører KI-verktøy som behandler pasientdata. Helseopplysninger er en spesiell kategori personopplysninger med strengere krav, og bruk av ny teknologi (som KI) til å behandle slike data utløser normalt DPIA-plikt.

En DPIA skal inneholde en systematisk beskrivelse av behandlingen, en vurdering av nødvendigheten og proporsjonaliteten, en risikovurdering for de registrertes rettigheter, og planlagte tiltak for å håndtere risikoen.

I praksis betyr dette at du bør dokumentere hvilke personopplysninger KI-verktøyet behandler, hvilken risiko behandlingen utgjør for pasientenes personvern, og hvilke tiltak du har satt i verk for å redusere risikoen. Mange legekontor bruker TrinnVis til å gjennomføre slike vurderinger.

Manglende DPIA ved bruk av ChatGPT eller andre generelle språkmodeller med pasientdata er et selvstendig GDPR-brudd, uavhengig av de andre problemene ved slik bruk.

Viktige punkter

  • Krav i GDPR artikkel 35
  • Påkrevd ved høy risiko for personvern
  • Helseopplysninger + ny teknologi utløser DPIA-plikt
  • Skal gjøres før teknologien tas i bruk
  • TrinnVis har ferdigmaler for legekontor
  • Manglende DPIA er et selvstendig GDPR-brudd

Eksempel fra praksis

Et legekontor vurderer å innføre et KI-transkriberings-verktøy. Før de starter, gjennomfører kontorlederen en DPIA via TrinnVis. De kartlegger at verktøyet behandler lydopptak med pasientopplysninger, at data lagres i Norge, at leverandøren har databehandleravtale, og at lydopptak slettes automatisk. De vurderer risikoen som akseptabel etter tiltak, dokumenterer vurderingen, og tar verktøyet i bruk.

Vanlige spørsmål

Må alle fastleger gjøre DPIA for KI-verktøy?

Hvis du bruker KI-verktøy som behandler pasientdata, bør du gjennomføre en DPIA. Helseopplysninger er en spesiell kategori i GDPR, og kombinasjonen av sensitive data og ny teknologi utløser normalt DPIA-plikt. Det finnes ferdigmaler i TrinnVis som gjør prosessen enklere.

Hva er forskjellen på DPIA og risikovurdering?

DPIA er en spesifikk personvernvurdering som kreves av GDPR og fokuserer på risiko for de registrertes (pasientenes) rettigheter. En generell risikovurdering kan dekke bredere temaer som informasjonssikkerhet, driftsstabilitet og klinisk risiko. KI-forordningen krever i tillegg en egen risikovurdering for KI-systemer.

Relatert innhold

ChatGPT og pasientdata: Guide for fastlegerArtikkel
KI-forordningen for fastlegerArtikkel
Dokumentasjonsplikt i pasientjournalenArtikkel

Relaterte begreper

Databehandleravtale
Deidentifisering

Kom i gang

Spar tid på dokumentasjon

Journalhjelp fyller ut NAV-skjemaer og legeerklæringer automatisk fra journal.