·
Klinisk dokumentation
Psykisk sundhed
Ejer af privat praksis
GDPR og optagelse af terapisessioner: hvad terapeuter skal vide
Essentiel guide til GDPR-overholdelse for terapeuter, der bruger AI-dokumentationsværktøjer. Samtykke, datalokation i EU, databehandleraftaler og patientrettigheder forklaret

At optage eller transskribere en fjernterapi-session er ikke blot en teknisk beslutning — det er en juridisk beslutning. I henhold til den generelle databeskyttelsesforordning (GDPR) er oplysninger om mental sundhed placeret på det højeste niveau af datafølsomhed, og de forpligtelser, der følger af denne klassifikation, påvirker enhver privatpraktiserende og institutionel kliniker, der bruger et digitalt dokumentationsværktøj. Efterhånden som AI-dokumentationsværktøjer bliver mere tilgængelige, står terapeuter i hele Europa i stigende grad over for spørgsmål, som deres uddannelse sjældent har forberedt dem på at besvare: Hvilket lovligt grundlag har jeg brug for? Må jeg gemme en transskription? Hvad skal jeg fortælle min patient? Svarene er specifikke, betydningsfulde og medfører i nogle tilfælde betydelige økonomiske sanktioner ved manglende overholdelse.
Hvorfor GDPR gælder med ekstra styrke for data fra terapi-sessioner
Data om mental sundhed er klassificeret som en særlig kategori af personoplysninger i henhold til GDPR artikel 9, hvilket placerer dem på samme beskyttelsesniveau som genetiske data, biometriske data og data vedrørende race eller etnisk oprindelse. Standardpositionen i henhold til artikel 9(1) er, at behandling af denne kategori af data er forbudt, medmindre en af de ti opregnede undtagelser i artikel 9(2) finder anvendelse. Dette er en væsentligt højere tærskel end det standard lovlige grundlag i henhold til artikel 6, der kræves for almindelige personoplysninger.
Denne forhøjede klassifikation gælder uanset praksisindstilling. Selv en enkeltpersons psykoterapipraksis skal fuldt ud overholde artikel 9's krav, fordi den per definition behandler særlige kategorier af sundhedsdata. Følsomheden af indholdet i terapi-sessioner kan omfatte afsløringer af traumer, selvmordstanker, seksuel identitet eller stofmisbrug. Det betyder, at nationale databeskyttelsesmyndigheder behandler enhver undladelse af at etablere et gyldigt artikel 9(2)-grundlag som en alvorlig overtrædelse.
GDPR fungerer som et gulv, ikke et loft. Medlemsstaterne kan pålægge yderligere forpligtelser på nationalt niveau. Tysklands §203 i straffeloven pålægger for eksempel terapeuter tavshedspligt, der direkte påvirker, hvordan sessionsdata må behandles eller deles. Terapeuter bør verificere deres specifikke nationale krav hos deres relevante databeskyttelsesmyndighed, før de implementerer et dokumentationsværktøj.
Hvad der tæller som 'behandling', når du optager eller transskriberer en session
I henhold til GDPR dækker udtrykket 'behandling' enhver operation, der udføres på personoplysninger, uanset om den er automatiseret eller manuel. I forbindelse med en fjernterapi-session udgør følgende alle behandling:
Optagelse af lyd eller video af sessionen
Generering af en realtids- eller efterfølgende transskription
Lagring af et resumé eller AI-genereret journalnotat
Overførsel af sessionsindhold gennem et tredjepartsværktøj til AI-dokumentation
Upload af en optagelse til en cloud-lagringstjeneste
Behandling gælder lige meget for fuldt automatiserede værktøjer og for manuel transskription assisteret af teknologi. Der er ingen undtagelse for værktøjer beskrevet som 'assisterende' eller 'understøttende' frem for fuldt autonome. Hvis sessionsindhold håndteres på nogen måde af et system eller en tjeneste, gælder GDPR's forpligtelser fra det øjeblik.
Det lovlige grundlag terapeuter skal etablere, før de bruger et dokumentationsværktøj
Fordi data fra terapi-sessioner er særlige kategorier af data, skal terapeuter samtidig opfylde to forskellige juridiske krav: et lovligt grundlag i henhold til artikel 6 og en separat betingelse i henhold til artikel 9(2).
De to artikel 9(2)-betingelser, der er mest relevante for terapeuter, er:
Artikel 9(2)(a): Eksplicit samtykke fra den registrerede
Artikel 9(2)(h): Behandling, der er nødvendig for levering af sundheds- eller socialomsorg, underlagt tavshedspligt
Artikel 9(2)(h) er den mest anvendelige betingelse for sundhedsorganisationer, der leverer direkte klinisk pleje. Den er underlagt betingelsen om, at behandlingen udføres af en professionel, der er bundet af en juridisk tavshedspligt. Den udvides ikke automatisk til enhver efterfølgende brug af sessionsdata, såsom overførsel af indhold til et AI-værktøj drevet af en tredjepart.
For privatpraktiserende er det sjældent tilstrækkeligt at stole på legitime interesser alene for særlige kategorier af data. Eksplicit samtykke i henhold til artikel 9(2)(a) er generelt den mest forsvarlige vej, fordi det direkte dokumenterer patientens accept af den specifikke behandlingsaktivitet. Uanset hvilket grundlag der vælges, skal det dokumenteres, før behandlingen begynder. Terapeuten, som dataansvarlig, bærer bevisbyrden for, at der eksisterer et gyldigt grundlag.
Hvad eksplicit samtykke faktisk kræver i denne sammenhæng
Gyldigt eksplicit samtykke i henhold til GDPR har en præcis juridisk betydning. Det skal være:
Frit givet: Patienten må ikke møde nogen ulempe ved at nægte
Specifikt: Samtykke til optagelse indebærer ikke samtykke til transskription, AI-behandling eller deling med en supervisor. Hvert formål kræver separat samtykke
Informeret: Patienten skal forstå, hvad de samtykker til, herunder hvem der vil behandle deres data, og hvordan
Utvetydigt: En forudafkrydset boks eller passiv accept opfylder ikke standarden
Eksplicit: For særlige kategorier af data skal samtykket udtrykkes klart og aktivt. Underforstået samtykke er utilstrækkeligt
Samtykke begravet i et generelt vilkår og betingelser-dokument opfylder ikke denne standard. Den Europæiske Databeskyttelsesbestyrelses vejledning gør det klart, at samtykke skal være granulært og formålsspecifikt. En terapeut, der indhenter en patients underskrift på en generel terapiaftale, har ikke derved indhentet samtykke til at køre sessionslyd gennem en AI-transskriptionstjeneste.
Samtykke skal også indhentes, før optagelse eller transskription begynder. Retrospektivt samtykke, at spørge en patient efter sessionen, om de havde noget imod at blive optaget, opfylder ikke kravet.
Dataminimering: kun at optage det, du faktisk har brug for
Artikel 5(1)(c) i GDPR fastlægger princippet om dataminimering: personoplysninger skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt for de formål, hvortil de behandles. Anvendt på terapidokumentation har dette direkte praktiske konsekvenser.
Hvis et struktureret journalnotat fanger alt klinisk nødvendigt fra en session, kan det ikke være berettiget at beholde den fulde lydoptagelse eller ordret transskription i henhold til dette princip. Det relevante spørgsmål er, om de mere granulære data tjener et formål, som de mindre granulære data ikke kan.
I praksis betyder dette:
AI-dokumentationsværktøjer bør konfigureres til at generere et struktureret notat og derefter slette den underliggende transskription, medmindre der er en specifik klinisk eller juridisk grund til at beholde den
Fulde sessionsoptagelser bør ikke gemmes som standard af administrative bekvemmelighedsgrunde
Omfanget af, hvad værktøjet fanger, bør gennemgås i forhold til, hvad terapeuten faktisk bruger
En gennemgang fra 2025 af AI-drevne notatgenereringsværktøjer i mental sundhedspleje fandt, at kritisk information om datahåndtering, herunder hvad der bevares, efter et notat er genereret, ofte manglede i leverandørkommunikation. Terapeuter bør stille specifikke spørgsmål i stedet for at stole på generelle produktbeskrivelser.
Hvor sessionsdata kan gemmes og behandles: EU-regler for datalokation
I henhold til GDPR er overførsel af personoplysninger uden for Det Europæiske Økonomiske Samarbejdsområde (EØS) begrænset, medmindre destinationslandet tilbyder et tilstrækkeligt niveau af databeskyttelse, eller en passende sikkerhedsforanstaltning såsom standardkontraktbestemmelser (SCC'er) er på plads. For særlige kategorier af data om mental sundhed har dette krav yderligere vægt.
Forbrugerrettede platforme såsom generelle videokonferenceapplikationer, selv velkendte, behandler og gemmer ofte data på servere uden for EØS og tilbyder muligvis ikke de kontraktlige sikkerhedsforanstaltninger, GDPR kræver for sundhedsdata. En terapeut, der bruger en sådan platform til en fjernsession med automatisk transskription aktiveret, kan overføre særlige kategorier af data til et tredjeland uden en gyldig juridisk mekanisme.
Når terapeuter evaluerer et transskriptions- eller AI-dokumentationsværktøj, bør de spørge leverandører direkte:
Hvor behandles sessionsdata? (Hvilket land, hvilken cloud-region?)
Hvor gemmes data i hvile?
Er der nogen underdatabehandlere placeret uden for EØS?
Hvis data behandles uden for EØS, hvilken overførselsmekanisme gælder?
Datalokation i EU er et nøglekriterie for overholdelse for ethvert værktøj, der håndterer indhold fra terapi-sessioner. Leverandører bør kunne besvare disse spørgsmål skriftligt.
Databehandlerforholdet: dine forpligtelser, når du bruger et tredjepartsværktøj
Når en terapeut bruger et eksternt AI- eller transskriptionsværktøj, bliver denne leverandør en databehandler i henhold til GDPR. Terapeuten, som dataansvarlig, forbliver juridisk ansvarlig for at sikre, at behandleren håndterer data i overensstemmelse med GDPR's krav.
Artikel 28 i GDPR kræver en underskrevet databehandleraftale (DPA) mellem terapeuten og enhver leverandør, der behandler patientdata på deres vegne. En databehandleraftale, der opfylder GDPR's krav, skal specificere:
Emnet, varigheden og formålet med behandlingen
Typen af personoplysninger og kategorier af registrerede
Den dataansvarliges forpligtelser og rettigheder
At databehandleren kun vil handle på dokumenterede instruktioner fra den dataansvarlige
De sikkerhedsforanstaltninger, databehandleren har implementeret
Databehandlerens forpligtelser vedrørende underdatabehandlere
Bestemmelser om datasletning eller returnering ved kontraktens ophør
Fraværet af en databehandleraftale gør ikke behandlingen lovlig, det gør det til en overtrædelse. Terapeuter bør ikke bruge noget værktøj, der behandler patientens sessionsdata, uden først at indhente en underskrevet databehandleraftale. Hvis en leverandør er uvillig eller ude af stand til at levere en, er det i sig selv et signal om manglende overholdelse.
Hvad du skal oplyse til patienter, før du bruger et AI-dokumentationsværktøj
GDPR's gennemsigtighedsforpligtelser i henhold til artikel 13 og 14 kræver, at patienter informeres om behandlingen af deres data på indsamlingstidspunktet. For terapi-sessioner betyder dette, at patienter skal fortælles:
Hvilke kategorier af data der indsamles (for eksempel lydoptagelse, transskription, AI-genereret notat)
Identiteten af den dataansvarlige (terapeuten eller praksis)
Identiteten af eventuelle databehandlere (AI-værktøjsleverandøren)
Det lovlige grundlag for behandling
Hvor data gemmes, og hvor længe
Deres rettigheder, herunder retten til at få adgang til, rette og anmode om sletning af deres data
Denne oplysning skal leveres på en måde, der er ægte informativ, ikke begravet i et langt dokument. Bedste praksis for terapeuter, der bruger AI-dokumentationsværktøjer, omfatter:
Opdatering af praksisens privatlivspolitik til specifikt at adressere AI-assisteret dokumentation
At give en mundtlig forklaring før den første session, hvor værktøjet bruges
At tilbyde skriftlig bekræftelse (for eksempel et resumé på én side), som patienten kan beholde
At dokumentere, at oplysningen blev givet, og at samtykke blev indhentet
Juridisk analyse af telemedicin og databeskyttelsesforpligtelser bekræfter, at gennemsigtighedskrav gælder fuldt ud for digitale sundhedsinteraktioner, herunder fjernterapi-sessioner udført via videoplatforme.
Opbevaringsperioder: hvor længe kan du beholde transskriptioner eller AI-genererede notater
Princippet om opbevaringsbegrænsning i henhold til artikel 5(1)(e) kræver, at personoplysninger opbevares i en form, der tillader identifikation af registrerede, i ikke længere end nødvendigt for de formål, hvortil de behandles. For transskriptioner af terapi-sessioner og AI-genererede notater skal terapeuter definere og dokumentere en opbevaringsperiode og anvende den.
Flere overvejelser interagerer her:
Professionelle tilsynsorganers retningslinjer for opbevaring af kliniske journaler fastsætter et minimumsgulv (for eksempel varierer opbevaringskrav efter land og professionel organisation. Terapeuter bør konsultere deres nationale tilsynsorgan for den gældende minimumsperiode)
AI-genererede notater og sessionstransskriptioner er ikke automatisk underlagt de samme opbevaringsregler som formelle journalnotater. En ordret transskription kan have en meget kortere berettiget opbevaringsperiode end det journalnotat, der er afledt af den
Hvor en transskription kun opbevares for at generere et notat, bør den slettes, når dette formål er opfyldt
Terapeuter bør dokumentere deres opbevaringspolitik skriftligt, specificere forskellige perioder for forskellige datatyper (optagelse, transskription, struktureret notat, patientbrev) og sikre, at deres AI-værktøjsleverandørs datasletningspraksis stemmer overens med denne politik.
Sikkerhedskrav til lagring af data fra sessioner om mental sundhed
GDPR's artikel 32 kræver, at dataansvarlige og databehandlere implementerer tekniske og organisatoriske foranstaltninger, der er passende i forhold til risikoen. For særlige kategorier af data om mental sundhed er risikoniveauet højt som standard, og de krævede foranstaltninger afspejler dette.
Minimale sikkerhedsforventninger til værktøjer, der håndterer data fra terapi-sessioner, omfatter:
Kryptering i hvile og under overførsel: Sessionsoptagelser, transskriptioner og notater skal krypteres både, når de gemmes, og når de transmitteres
Adgangskontrol: Kun autoriserede personer bør kunne få adgang til sessionsdata med rollebaserede tilladelser og autentificeringskrav
Revisionsspor: Systemer bør logge, hvem der fik adgang til hvilke data, og hvornår
Hændelsesrespons: Leverandører bør have dokumenterede procedurer til at opdage og rapportere databrud
Forbrugerrettede værktøjer, herunder generelle videokonferenceapplikationer med automatisk transskription aktiveret, vil sandsynligvis ikke opfylde disse krav uden specifikke virksomheds- eller sundhedsklasse-aftaler på plads. Det faktum, at en platform er bredt anvendt i kliniske omgivelser, betyder ikke, at den er GDPR-kompatibel til behandling af særlige kategorier af data uden passende kontraktlige og tekniske sikkerhedsforanstaltninger.
En peer-reviewed gennemgang fra 2025 af AI-notatgenereringsværktøjer i mental sundhedspleje fandt, at mens de fleste leverandører leverede information om databeskyttelse og privatlivsforanstaltninger på deres hjemmesider, manglede kritiske detaljer, herunder specifikke sikkerhedscertificeringer, lister over underdatabehandlere og datasletningspraksis, ofte. Terapeuter bør ikke antage overholdelse, de bør verificere den.
Praktiske trin for privatpraktiserende, der vælger et kompatibelt dokumentationsværktøj
Privatpraktiserende, der evaluerer AI-dokumentationsværktøjer, gør det typisk uden institutionel IT- eller juridisk støtte. Følgende tjekliste dækker den minimale due diligence, GDPR kræver:
Bekræft datalokation i EU: Spørg leverandøren skriftligt, hvor sessionsdata behandles og gemmes. Bekræft, at ingen underdatabehandlere er placeret uden for EØS, eller at tilstrækkelige overførselsmekanismer er på plads
Indhent en underskrevet databehandleraftale: Brug ikke noget værktøj, der behandler patientdata uden en underskrevet databehandleraftale, der opfylder artikel 28-krav
Tjek for ISO 27001-certificering: ISO 27001-certificering indikerer, at leverandøren har implementeret et internationalt anerkendt informationssikkerhedsstyringssystem. Det er ikke en GDPR-garanti, men det er en meningsfuld baseline-indikator
Gennemgå listen over underdatabehandlere: Leverandører stoler typisk på underdatabehandlere (for eksempel cloud-infrastrukturudbydere). Anmod om den fulde liste og vurder, om hver underdatabehandlers placering og sikkerhedsstilling er acceptabel
Forstå datasletningspolitikken: Bekræft, hvor længe leverandøren opbevarer data efter en session, hvad der udløser sletning, og om du kan anmode om sletning af specifikke poster
Verificer, at værktøjet understøtter patientrettighedsanmodninger: Systemet skal kunne reagere på adgangsanmodninger og sletningsanmodninger inden for GDPR's krævede tidsrammer
Manglen på gennemsigtighed i leverandørkommunikation identificeret i peer-reviewed forskning betyder, at terapeuter bør stille specifikke, skriftlige spørgsmål i stedet for at stole på marketingmaterialer. En leverandør, der ikke kan besvare disse spørgsmål klart, er ikke et kompatibelt valg.
Når en patient trækker samtykke tilbage eller anmoder om sletning
Patienter har håndhævbare rettigheder i henhold til GDPR, som terapeuter skal være operationelt forberedt på at honorere. To er særligt relevante for AI-assisteret dokumentation.
Ret til at trække samtykke tilbage (artikel 7(3)): En patient kan til enhver tid trække samtykke til behandlingen af deres data tilbage. Tilbagetrækning påvirker ikke lovligheden af behandling udført før tilbagetrækningen, men den skal træde i kraft fremadrettet. Forskning i implementering af tilbagetrækning af samtykke i sundhedsdatakontekster fremhæver den operationelle kompleksitet: data kan eksistere på tværs af flere systemer, AI-værktøjet, en cloud-backup, en lokal kopi, og skal identificeres og adresseres i hver.
Ret til sletning (artikel 17): Hvor behandling var baseret på samtykke, har en patient, der trækker samtykke tilbage, ret til at anmode om sletning af deres data. Terapeuten, som dataansvarlig, skal handle på denne anmodning inden for en måned og skal instruere eventuelle databehandlere, herunder AI-værktøjsleverandøren, om at slette de relevante data fra deres systemer.
I praksis bør terapeuter:
Dokumentere tilbagetrækning af samtykke skriftligt og registrere datoen
Kontakte AI-værktøjsleverandøren øjeblikkeligt og anmode om sletning af alle sessionsdata forbundet med den pågældende patient
Indhente skriftlig bekræftelse fra leverandøren om, at sletning er gennemført
Tjekke, om eventuelle lokale kopier (for eksempel downloadede transskriptioner) også skal slettes
Retten til sletning er ikke absolut. Hvor data skal opbevares for at overholde en juridisk forpligtelse, såsom professionelle regulatoriske krav om at opretholde journalnotater i en minimumsperiode, kan denne forpligtelse tilsidesætte sletningsanmodningen med hensyn til det formelle journalnotat. Rå transskriptioner eller optagelser, der går ud over, hvad journalnotatet kræver, vil sandsynligvis ikke drage fordel af denne undtagelse og bør generelt slettes efter anmodning.
Professionelle etiske rammer i mental sundhedspraksis identificerer konsekvent dokumentation og datastyring som kernekomponenter i klinikeransvar. Evnen til at reagere på patientrettighedsanmodninger er i stigende grad en del af denne forventning i et digitalt medieret klinisk miljø.
Ofte stillede spørgsmål
▶ Gælder GDPR for optagelser og transskriptioner af terapi-sessioner
Ja. I henhold til den generelle databeskyttelsesforordning er data om mental sundhed klassificeret som en særlig kategori af personoplysninger i henhold til artikel 9, hvilket placerer dem på det højeste niveau af datafølsomhed. At optage en session, generere en transskription, gemme et AI-genereret journalnotat eller overføre sessionsindhold gennem et tredjepartsværktøj udgør alle behandling i henhold til GDPR. Dette gælder for enhver praktiserende, der håndterer sessionsdata digitalt, herunder enkeltpersons psykoterapipraksis.
▶ Hvilket lovligt grundlag har terapeuter brug for, før de bruger et AI-dokumentationsværktøj
Terapeuter skal samtidig opfylde to juridiske krav: et lovligt grundlag i henhold til artikel 6 i GDPR og en separat betingelse i henhold til artikel 9(2). De to mest relevante artikel 9(2)-betingelser er eksplicit samtykke fra patienten (artikel 9(2)(a)) og behandling, der er nødvendig for levering af sundheds- eller socialomsorg, underlagt tavshedspligt (artikel 9(2)(h)). For privatpraktiserende er eksplicit samtykke generelt den mest forsvarlige vej, fordi det direkte dokumenterer patientens accept af den specifikke behandlingsaktivitet. Uanset hvilket grundlag der vælges, skal det dokumenteres, før behandlingen begynder.
▶ Hvad kræver gyldigt eksplicit samtykke, når man optager eller transskriberer en terapi-session
Gyldigt eksplicit samtykke i henhold til GDPR skal være frit givet, specifikt, informeret, utvetydigt og aktivt udtrykt. Samtykke til optagelse indebærer ikke samtykke til transskription, AI-behandling eller deling med en supervisor. Hvert formål kræver separat samtykke. Samtykke begravet i et generelt vilkår og betingelser-dokument opfylder ikke denne standard. Det skal også indhentes, før optagelse eller transskription begynder. Retrospektivt samtykke opfylder ikke kravet.
▶ Hvad er princippet om dataminimering, og hvordan gælder det for terapidokumentation
Artikel 5(1)(c) i GDPR kræver, at personoplysninger er tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt for de formål, hvortil de behandles. I praksis kan det ikke være berettiget at beholde den fulde lydoptagelse eller ordret transskription, hvis et struktureret journalnotat fanger alt klinisk nødvendigt fra en session. AI-dokumentationsværktøjer bør konfigureres til at generere et struktureret notat og derefter slette den underliggende transskription, medmindre der er en specifik klinisk eller juridisk grund til at beholde den. Fulde sessionsoptagelser bør ikke gemmes som standard af administrative bekvemmelighedsgrunde.
▶ Kan data fra terapi-sessioner gemmes eller behandles uden for Det Europæiske Økonomiske Samarbejdsområde
Overførsel af personoplysninger uden for Det Europæiske Økonomiske Samarbejdsområde er begrænset i henhold til GDPR, medmindre destinationslandet tilbyder et tilstrækkeligt niveau af databeskyttelse, eller en passende sikkerhedsforanstaltning såsom standardkontraktbestemmelser er på plads. Forbrugerrettede platforme, herunder generelle videokonferenceapplikationer, behandler og gemmer ofte data på servere uden for Det Europæiske Økonomiske Samarbejdsområde og tilbyder muligvis ikke de kontraktlige sikkerhedsforanstaltninger, GDPR kræver for sundhedsdata. Terapeuter bør spørge leverandører skriftligt, hvor sessionsdata behandles og gemmes, om nogen underdatabehandlere er placeret uden for Det Europæiske Økonomiske Samarbejdsområde, og hvilken overførselsmekanisme der gælder, hvis data forlader regionen.
▶ Hvad er en databehandleraftale, og har terapeuter brug for en
Når en terapeut bruger et eksternt AI- eller transskriptionsværktøj, bliver denne leverandør en databehandler i henhold til GDPR. Artikel 28 i GDPR kræver en underskrevet databehandleraftale mellem terapeuten og enhver leverandør, der behandler patientdata på deres vegne. Aftalen skal specificere formålet med og varigheden af behandlingen, de sikkerhedsforanstaltninger, der er på plads, databehandlerens forpligtelser vedrørende underdatabehandlere og bestemmelser om datasletning eller returnering ved kontraktens ophør. Fraværet af en databehandleraftale gør ikke behandlingen lovlig, det gør det til en overtrædelse. Terapeuter bør ikke bruge noget værktøj, der behandler patientens sessionsdata, uden en underskrevet aftale på plads.
▶ Hvad skal terapeuter fortælle patienter, før de bruger et AI-dokumentationsværktøj
GDPR's gennemsigtighedsforpligtelser i henhold til artikel 13 og 14 kræver, at patienter informeres om behandlingen af deres data på indsamlingstidspunktet. Terapeuter skal fortælle patienter, hvilke kategorier af data der indsamles, identiteten af den dataansvarlige og eventuelle databehandlere, det lovlige grundlag for behandling, hvor data gemmes, og hvor længe, samt patientens rettigheder, herunder adgang, berigtigelse og sletning. Bedste praksis omfatter opdatering af praksisens privatlivspolitik til specifikt at adressere AI-assisteret dokumentation, at give en mundtlig forklaring før den første session, hvor værktøjet bruges, og at dokumentere, at oplysningen blev givet, og samtykke blev indhentet.
▶ Hvor længe kan terapeuter beholde transskriptioner og AI-genererede notater
Princippet om opbevaringsbegrænsning i henhold til artikel 5(1)(e) i GDPR kræver, at personoplysninger ikke opbevares længere end nødvendigt for de formål, hvortil de behandles. Terapeuter skal definere og dokumentere en opbevaringsperiode for hver datatype og anvende den konsekvent. AI-genererede notater og sessionstransskriptioner er ikke automatisk underlagt de samme opbevaringsregler som formelle journalnotater. Hvor en transskription kun opbevares for at generere et notat, bør den slettes, når dette formål er opfyldt. Terapeuter bør bekræfte, at deres AI-værktøjsleverandørs datasletningspraksis stemmer overens med deres dokumenterede opbevaringspolitik.
▶ Hvad sker der, hvis en patient trækker samtykke tilbage eller anmoder om sletning af deres sessionsdata
En patient kan til enhver tid trække samtykke til behandlingen af deres data tilbage i henhold til artikel 7(3) i GDPR. Hvor behandling var baseret på samtykke, har patienten også ret til at anmode om sletning af deres data i henhold til artikel 17. Terapeuten skal handle på en sletningsanmodning inden for en måned og skal instruere AI-værktøjsleverandøren om at slette de relevante data fra deres systemer og indhente skriftlig bekræftelse på, at sletning er gennemført. Retten til sletning er ikke absolut: hvor data skal opbevares for at overholde en juridisk forpligtelse, såsom professionelle regulatoriske krav til journalnotater, kan denne forpligtelse tilsidesætte sletningsanmodningen med hensyn til det formelle journalnotat. Rå transskriptioner eller optagelser, der går ud over, hvad journalnotatet kræver, vil sandsynligvis ikke drage fordel af denne undtagelse.
▶ Hvilke sikkerhedsstandarder bør terapeuter kigge efter, når de vælger et AI-dokumentationsværktøj
Artikel 32 i GDPR kræver, at dataansvarlige og databehandlere implementerer tekniske og organisatoriske foranstaltninger, der er passende i forhold til risikoen. For særlige kategorier af data om mental sundhed er risikoniveauet højt som standard. Minimumsforventninger omfatter kryptering af sessionsoptagelser, transskriptioner og notater både i hvile og under overførsel, rollebaserede adgangskontroller, revisionsspor, der logger, hvem der fik adgang til data, og hvornår, samt dokumenterede hændelsesresponsprocedurer. ISO 27001-certificering indikerer, at en leverandør har implementeret et internationalt anerkendt informationssikkerhedsstyringssystem og tjener som en meningsfuld baseline-indikator, selvom det ikke i sig selv er en GDPR-garanti. En peer-reviewed gennemgang fra 2025 af AI-notatgenereringsværktøjer i mental sundhedspleje fandt, at kritiske sikkerhedsdetaljer, herunder specifikke certificeringer, lister over underdatabehandlere og datasletningspraksis, ofte manglede i leverandørkommunikation. Terapeuter bør verificere overholdelse direkte i stedet for at stole på marketingmaterialer.