·
Klinisk dokumentasjon
Psykisk helse
Kliniker
AI-dokumentasjon i terapi: hva europeiske utøvere må vite
Juridiske, etiske og kliniske hensyn for psykiske helsearbeidere som bruker AI-dokumentasjonsassistenter i Europa. GDPR, samtykke og krav til datalagring.

Psykiske helsearbeidere over hele Europa blir kontaktet av leverandører som tilbyr AI-dokumentasjonsassistenter. Disse verktøyene lover å redusere tiden brukt på å skrive kliniske notater etter terapiøkter. Appellen er reell: den administrative byrden i psykologisk og psykoterapeutisk praksis er betydelig, og alt som frigjør kognitiv og emosjonell kapasitet til det kliniske arbeidet i seg selv, er verdt å undersøke. Men terapi er ikke et standard klinisk møte. Det som kommer frem i en terapiøkt, befinner seg i den mest sensitive enden av personvernspekteret: traumehistorier, selvmordstanker, seksuell identitet, vold i nære relasjoner, psykotiske opplevelser. Før noen terapeut i Europa introduserer en AI-dokumentasjonsassistent i sin praksis, er det juridiske, etiske og kliniske spørsmål som krever nøye vurdering.
Hvorfor AI-dokumentasjonsassistenter reiser særskilte spørsmål i terapi
Dokumentasjonsutfordringen innen psykisk helse er grunnleggende forskjellig fra for eksempel en fastlege som registrerer en blodtrykksmåling eller en fysioterapeut som noterer en bevegelsesradius. Terapiøkter genererer avsløringer som pasienter kanskje aldri har delt med noen andre. Innholdet i disse øktene er ikke bare klinisk sensitivt. I mange tilfeller er det avgjørende for det terapeutiske forholdet i seg selv.
En AI-dokumentasjonsassistent som lytter til, transkriberer og strukturerer dette innholdet, introduserer et lag av databehandling som ikke har noen parallell i de fleste andre kliniske settinger. En fagfellevurdert narrativ oversikt fra 2025 i DIGITAL HEALTH fant at AI-verktøy innen psykisk helse ofte opererer i juridiske gråsoner når det gjelder samtykke, databruk og grenseoverskridende dataflyt. GDPR tilbyr grunnleggende beskyttelse, men tar ennå ikke høyde for de unike etiske og kliniske nyansene ved AI-baserte intervensjoner innen psykisk helse.
De profesjonelle forpliktelsene er tilsvarende sammensatte. Terapeuter er bundet ikke bare av personvernlovgivning, men også av de etiske kodene til sine profesjonelle foreninger, taushetsplikten som er iboende i deres terapeutiske modalitet, og i mange europeiske jurisdiksjoner, spesifikke lovfestede beskyttelser for psykisk helse-journaler som går utover generelle helsedataregler.
Hvordan GDPR gjelder annerledes for psykisk helse-data
Under GDPR er data som avslører en persons helsetilstand allerede en særskilt kategori under artikkel 9. Innholdet i en terapiøkt går enda lenger. Det kan samtidig omfattes av flere artikkel 9-kategorier: helsedata, data om seksuell orientering eller kjønnsidentitet, data som avslører religiøse eller filosofiske overbevisninger, og data om en persons mentale tilstand. Dette har direkte betydning for hvilket rettslig grunnlag en utøver kan basere seg på når øktinnhold behandles gjennom et AI-verktøy.
Hovedregelen under artikkel 9 er at behandling av særskilte kategorier personopplysninger er forbudt med mindre ett av en lukket liste med unntak gjelder. For de fleste terapidokumentasjoner vil det operative unntaket være enten eksplisitt samtykke (artikkel 9(2)(a)) eller behandling som er nødvendig for levering av helsehjelp (artikkel 9(2)(h)), kombinert med artikkel 9(3), som krever at behandling under (h) utføres av eller under ansvar av en profesjonell som er underlagt taushetsplikt.
I praksis betyr dette at en terapeut ikke kan påberope seg «berettiget interesse» for å rettferdiggjøre innmating av øktinnhold i et AI-dokumentasjonsverktøy. Berettiget interesse er et grunnlag tilgjengelig for ordinære personopplysninger, ikke for særskilte kategorier personopplysninger. Som påpekt i en arXiv-oversikt fra 2025 om personvernbevarende AI for psykisk helse, må terapiøkter registreres med eksplisitt, informert pasientsamtykke, med klare detaljer om anonymisering, sikker lagring og databruk. Terskelen er høyere, dokumentasjonskravene strengere, og konsekvensene av å gjøre feil er mer alvorlige.
En praktisk implikasjon: Terapeuter som er selvstendig næringsdrivende eller arbeider i små private praksiser bærer dette etterlevelsesansvaret direkte. De er behandlingsansvarlige. AI-leverandøren, hvis de behandler data på vegne av terapeuten, er databehandler, og det juridiske forholdet mellom de to må formaliseres i en skriftlig databehandleravtale før noen data deles.
Samtykke i terapi er ikke det samme som samtykke i en fastlegekonsultasjon
GDPR krever at samtykke er fritt gitt, spesifikt, informert og utvetydig. I et terapeutisk forhold fortjener kravet om «fritt gitt» særskilt oppmerksomhet. Pasienter i terapi er ofte i en posisjon av psykologisk sårbarhet og emosjonell avhengighet. Det er en iboende maktforskjell mellom terapeut og pasient som ikke eksisterer på samme måte som i for eksempel en rutinemessig fastlegekonsultasjon. Samtykke til AI-assistert dokumentasjon i terapi må håndteres med særlig forsiktighet for å sikre at det er genuint frivillig.
American Psychological Associations etiske veiledning fra 2025 om AI i psykologisk praksis understreker viktigheten av informert samtykke og forpliktelsen for utøvere til kritisk å evaluere AI-generert klinisk innhold før det tas i bruk. Selv om denne veiledningen er av amerikansk opprinnelse, refererer europeiske profesjonelle foreninger bredt til den, og dens prinsipper oversettes direkte til europeiske etiske rammeverk.
En gyldig, GDPR-kompatibel samtykkeprosess for AI-dokumentasjon i terapi bør som et minimum inkludere:
En klar forklaring av hva AI-verktøyet gjør, spesifikt at det lytter til, transkriberer og strukturerer øktinnhold
Identiteten til AI-leverandøren og landet der data behandles og lagres
Hvilke data som beholdes, hvor lenge, og hvem som kan få tilgang til dem
En eksplisitt uttalelse om at samtykke er separat fra samtykke til behandling, og at tilbakeholdelse eller tilbaketrekking av samtykke til AI-dokumentasjon ikke vil påvirke kvaliteten på omsorgen som gis
En mekanisme for at pasienten kan trekke tilbake samtykke når som helst, med en klar forklaring av hva som skjer med tidligere behandlede data ved tilbaketrekking
Det siste punktet er kritisk. Hvis en pasient trekker tilbake samtykke og leverandøren ikke kan dokumentere at deres data er slettet fra treningssett, logger eller behandlingsinfrastruktur, kan utøveren stå overfor et etterlevelsesproblem som er vanskelig å løse i ettertid.
Dataresidens og behandling: hva du bør spørre din AI-leverandør om
For europeiske terapeuter er dataresidens ikke en teknisk detalj. Det er et juridisk krav. Under GDPR er overføring av personopplysninger utenfor Det europeiske økonomiske samarbeidsområdet begrenset med mindre spesifikke sikkerhetstiltak er på plass (tilstrekkelighetsvedtak, standardkontraktsklausuler eller tilsvarende mekanismer). Gitt at terapiøktinnhold er artikkel 9-data, er terskelen for å demonstrere tilstrekkelig beskyttelse i enhver tredjelandsoverføring tilsvarende høy.
Før valg av en AI-dokumentasjonsassistent bør utøvere innhente klare, skriftlige svar på følgende spørsmål fra enhver leverandør:
Hvor behandles data? Utføres lydtranskripsjon på enheten, på servere innenfor EU/EØS, eller i et tredjeland?
Hvor lagres data? Er journalsystemintegrasjonen eller notatlagringsinfrastrukturen lokalisert innenfor EU/EØS?
Opptrer leverandøren som databehandler? Hvis ja, er en kompatibel databehandleravtale på plass før noen data deles?
Hva spesifiserer databehandleravtalen? Den bør dekke emnet og varigheten av behandlingen, arten og formålet med behandlingen, typen personopplysninger og kategorier av registrerte, samt forpliktelsene og rettighetene til den behandlingsansvarlige.
Har leverandøren ISO 27001-sertifisering (en internasjonalt anerkjent informasjonssikkerhetsstandard) eller tilsvarende, og er det gjennomført en personvernkonsekvensvurdering for denne behandlingsaktiviteten?
Brukes data til modelltrening? Hvis øktinnhold brukes til å trene eller finjustere AI-modeller, utgjør dette et separat behandlingsformål som krever eget rettslig grunnlag og, nesten alltid, eksplisitt samtykke.
En arXiv-oversikt fra 2025 om kliniske datasett for psykisk helse-AI bemerker at GDPR setter strenge begrensninger på bruk og deling av sensitiv helseinformasjon, noe som kompliserer både opprettelsen av representative datasett og utrullingen av AI-verktøy i psykoterapeutiske kontekster. Enhver leverandør som er vag om dataresidens eller motvillig til å gi en skriftlig databehandleravtale, bør betraktes som en betydelig etterlevelsesrisiko.
Det terapeutiske forholdet og «tredje tilstedeværelse»-problemet
Utover det juridiske rammeverket er det en klinisk og etisk bekymring som ikke har noe enkelt regulatorisk svar: Endrer tilstedeværelsen av en AI-dokumentasjonsassistent, selv en som opererer stille i bakgrunnen, det terapeutiske forholdet?
Dette er ikke en hypotetisk bekymring. Den terapeutiske alliansen, altså kvaliteten på samarbeidet mellom terapeut og pasient, er en av de mest robuste prediktorene for terapiutfall på tvers av modaliteter. Alt som påvirker en pasients følelse av trygghet, tillit eller vilje til å åpne seg, er klinisk signifikant. Noen pasienter, når de får vite at ordene deres blir transkribert og behandlet av et AI-system, kan selvsensurere seg. Andre kan oppleve det som betryggende hvis det presenteres åpent. Effekten er ikke lik for alle, og forskere har ennå ikke studert dette i dybden i den spesifikke konteksten av AI-dokumentasjonsverktøy.
En banebrytende JAMA Psychiatry-studie publisert i mars 2026, den største studien til dags dato om AI-ambient skriving i psykiatrisk dokumentasjon, fant at mens AI-skrivere i primærhelsetjenesten økte dokumentasjonen av nevropsykiatriske symptomer, var de assosiert med en betydelig lavere sannsynlighet for dokumentert psykiatrisk intervensjon (henvisning, ny diagnose eller antidepressiv resept) sammenlignet med samtidige besøk uten skriver (justert odds ratio 0,83; 95 % KI, 0,72 til 0,95). Forfatterne bemerker at ytterligere studier er nødvendig for å avgjøre om disse endringene er assosiert med ulike pasientutfall. Dette funnet etablerer ikke kausalitet, og studien ble utført i primærhelsetjenesten snarere enn i spesialiserte psykoterapisettinger. Det representerer imidlertid en viktig påminnelse om at mer dokumentasjon ikke automatisk gir bedre klinisk omsorg.
Utøvere bør vurdere, før utrulling og løpende, om verktøyets tilstedeværelse påvirker pasientens åpenhet eller kvaliteten på det terapeutiske møtet. Dette kan innebære å spørre pasienter direkte om deres opplevelse, overvåke for endringer i øktinnhold eller dybde av avsløring, og være villig til å avslutte bruk av verktøyet med enkelte pasienter der klinisk skjønn tilsier at det påvirker arbeidet.
Hva som bør inn i de kliniske notatene – og hva som ikke bør
AI-dokumentasjonsassistenter tar ikke dokumentasjonsbeslutninger. Klinikeren gjør det. Dette er ikke bare et etisk prinsipp, men også et juridisk prinsipp. Som en utøverrettet juridisk forklaring gjør klart, bærer klinikere fullt ansvar for nøyaktigheten av AI-genererte notater. Et AI-generert utkast lagret i journalsystemet uten gjennomgang blir klinikerens dokument, med samme juridiske og profesjonelle vekt som et notat skrevet helt for hånd.
I terapi er denne gjennomgangsforpliktelsen spesielt viktig. Øktinnhold som kan være hensiktsmessig å holde i terapeutens sinn, som en pasients avsløring om et tidligere misbruksforhold, et uttrykk for ambivalens om selvskading, eller en referanse til en navngitt tredjepart, er ikke nødvendigvis hensiktsmessig å registrere ordrett i et strukturert klinisk notat. Det notatet kan være tilgjengelig for andre helsetjenesteutøvere, gjenstand for en innsynsforespørsel, eller stevnet i rettslige prosesser.
Utøvere bør etablere, før utrulling, en klar arbeidsflyt for hva AI-assistenten fanger opp og hva som gjennomgås, redigeres og eventuelt fjernes før lagring. Spesifikke kategorier som krever særlig forsiktighet inkluderer:
Bekymringsmeldinger: Innhold som kan utløse obligatoriske rapporteringsforpliktelser bør dokumenteres presist og i samsvar med lokale bekymringsmeldingsprotokoller, ikke overlates til et AI-utkast
Tredjepartsidentifikatorer: Navn på personer nevnt av pasienten (partnere, familiemedlemmer, kolleger) bør generelt ikke fremgå av strukturerte kliniske notater
Sensitive identitetsmarkører: Seksuell orientering, kjønnsidentitet, immigrasjonsstatus og lignende informasjon avslørt i økt krever forsiktig håndtering; slik informasjon i et AI-generert notat er kanskje ikke hensiktsmessig eller nødvendig
Risikovurderinger: Dokumentasjon av selvmordstanker, selvskading eller risiko for andre har spesifikk klinisk og juridisk betydning og bør skrives eller gjennomgås med tilsvarende forsiktighet
Forskning som bruker naturlig språkbehandling av psykoterapinotater for prediksjon av selvmordsrisiko har vist at språket brukt i terapinotater er klinisk informativt, men også at den prediktive verdien av slik analyse er beskjeden og kontekstavhengig. Det faktum at AI-systemer kan trekke ut meningsfylt signal fra terapinotater, er nettopp grunnen til at utøvere må være bevisste på hva som kommer inn i disse notatene i utgangspunktet.
Forpliktelser under nasjonal psykisk helse- og personvernlovgivning
GDPR setter et gulv, ikke et tak. Flere europeiske land har vedtatt nasjonal lovgivning som pålegger ytterligere krav til behandling av psykisk helse-data, og utøvere må verifisere sine forpliktelser etter nasjonal lov før utrulling av ethvert AI-dokumentasjonsverktøy.
En ikke-uttømmende oversikt over det nasjonale landskapet:
Tyskland: Bundesdatenschutzgesetz (føderal personvernlov) supplerer GDPR med ytterligere bestemmelser, og psykoterapeuter er underlagt strenge profesjonelle taushetsplikter (Schweigepflicht) etter §203 i straffeloven. Brudd på profesjonell taushetsplikt, inkludert gjennom utilstrekkelige databehandlingsordninger, medfører straffeansvar.
Frankrike: Commission Nationale de l'Informatique et des Libertés (nasjonal kommisjon for informatikk og friheter) har utstedt spesifikk veiledning om behandling av helsedata og har regulatorisk tilsyn med AI-systemer som håndterer helsedata. Franske utøvere bør konsultere denne veiledningen før utrulling.
Nederland: Autoriteit Persoonsgegevens (nederlandsk datatilsyn) håndhever GDPR med særlig oppmerksomhet på helsedata. Nederlandske psykiske helsearbeidere er også underlagt WGBO (lov om medisinsk behandlingsavtale) og BIG-registerforpliktelser.
Irland: Data Protection Commission har håndhevingsmyndighet og har vært aktiv i grenseoverskridende dataoverføringssaker. Irske utøvere bør også være klar over Mental Health Act 2001 og dens dokumentasjonsforpliktelser.
Italia: Det italienske datatilsynet (Garante) har tatt håndhevingstiltak mot AI-selskaper som håndterer helsedata, inkludert midlertidige restriksjoner og betydelige bøter. Italienske utøvere bør gjennomgå Garantes publiserte vedtak før utrulling av AI-dokumentasjonsverktøy.
Det praktiske rådet er enkelt: Før utrulling av ethvert AI-dokumentasjonsverktøy, verifiser dine forpliktelser med ditt nasjonale datatilsyn, ditt profesjonelle regulatoriske organ og din yrkesansvarsforsikring.
Medisinsk utstyrsregulering: Når blir en AI-dokumentasjonsassistent et medisinsk utstyr?
Grensen mellom et AI-dokumentasjonsverktøy og et medisinsk utstyr er ikke alltid åpenbar, og det har betydning fordi de regulatoriske forpliktelsene er vesentlig forskjellige.
Under EU AI-loven og medisinsk utstyrsforordning (MDR 2017/745) klassifiseres programvare som medisinsk utstyr hvis den er ment å brukes til et medisinsk formål, inkludert diagnose, forebygging, overvåking, prediksjon eller behandling av sykdom. En fagfellevurdert analyse fra 2025 publisert i European Heart Journal – Digital Health undersøkte hvordan EU AI-loven samhandler med medisinsk utstyrsforordning for helse-AI, og bemerket at høyrisiko AI-medisinsk utstyr er underlagt dobbel regulering under begge rammeverk, med tilsvarende transparens- og samsvarsvurderingsforpliktelser.
For AI-dokumentasjonsassistenter i terapi er det relevante skillet:
Et verktøy som kun transkriberer tale og strukturerer kliniske notater, uten å tolke klinisk innhold, flagge risiko eller generere kliniske anbefalinger, er vanligvis ikke klassifisert som medisinsk utstyr under medisinsk utstyrsforordning.
Et verktøy som analyserer øktinnhold for å flagge selvmordsrisiko, foreslå diagnoser eller støtte klinisk beslutningstaking vil sannsynligvis kreve klassifisering under medisinsk utstyrsforordning og samsvarsvurdering, og kan også klassifiseres som høyrisiko-AI under EU AI-loven.
EU AI-lovanalysen fra PMC bemerker en spesifikk bestemmelse i betraktning 29 som skiller ut AI-systemer brukt til lovlig psykologisk behandling med eksplisitt pasientsamtykke. Dette unntaket gjelder forbudte AI-praksiser som emosjonell gjenkjenning, ikke de generelle regulatoriske forpliktelsene på høyrisiko AI-systemer. Utøvere bør ikke anta at ethvert AI-verktøy brukt i en terapeutisk kontekst automatisk er unntatt fra medisinsk utstyrsforordning eller EU AI-lovkrav.
Før adopsjon av en AI-dokumentasjonsassistent, spør leverandøren direkte: Hva er den regulatoriske klassifiseringen av dette verktøyet under EU medisinsk utstyrsforordning og EU AI-loven? En anerkjent leverandør bør kunne gi et klart, dokumentert svar.
En praktisk sjekkliste før utrulling for psykiske helsearbeidere
Følgende trinn representerer en minimumsstandard for due diligence før introduksjon av en AI-dokumentasjonsassistent i en terapipraksis i Europa. De er ikke uttømmende, og utøvere bør supplere dem med råd fra sin profesjonelle forening og juridisk rådgiver etter behov.
Due diligence av leverandør
Bekreft EU/EØS-dataresidens for både behandling og lagring
Innhent og gjennomgå en signert databehandleravtale før noen data deles
Verifiser ISO 27001-sertifisering eller tilsvarende sikkerhetsnivå
Bekreft verktøyets regulatoriske klassifisering under EU medisinsk utstyrsforordning og EU AI-loven
Avklar om øktdata brukes til modelltrening og på hvilket rettslig grunnlag
Samtykke og pasientkommunikasjon
Utvikle en skriftlig samtykkeprosess som er separat fra generelt behandlingssamtykke
Sørg for at samtykkedokumentet forklarer hva verktøyet gjør, hvem leverandøren er, hvor data går, og hvor lenge det beholdes
Bekreft at pasienter kan avslå AI-dokumentasjon uten at det påvirker deres omsorg
Etabler en klar prosess for håndtering av tilbaketrekking av samtykke, inkludert forespørsler om sletting av data
Arbeidsflyt for notatgjennomgang
Definer hvilke deler av øktinnhold AI-assistenten har tillatelse til å fange opp
Etabler et obligatorisk gjennomgangs- og redigeringstrinn før ethvert AI-generert notat lagres i journalsystemet
Identifiser kategorier av innhold (bekymringsmeldinger, tredjepartsnavn, sensitive identitetsmarkører, risikovurderinger) som krever særlig forsiktighet eller manuell dokumentasjon
Dokumenter arbeidsflyt for gjennomgang i praksisens personvernpolicy
Regulatoriske og profesjonelle forpliktelser
Verifiser nasjonale krav med ditt datatilsyn og profesjonelle regulatoriske organ
Gjennomfør en personvernkonsekvensvurdering (dette er obligatorisk under GDPR artikkel 35 for storskala behandling av særskilte kategorier personopplysninger, og sterkt tilrådelig selv for mindre praksiser)
Varsle din yrkesansvarsforsikring og bekreft at AI-assistert dokumentasjon er dekket under din polise
Løpende overvåking
Gjennomgå regelmessig om verktøyets tilstedeværelse påvirker terapeutisk åpenhet eller kvaliteten på økter
Overvåk AI-genererte notater for nøyaktighet, fullstendighet og hensiktsmessighet av innhold
Hold deg oppdatert på endringer i EU AI-lovens implementeringstidslinje, veiledning for medisinsk utstyrsforordning og nasjonale regulatoriske utviklinger
American Psychological Associations etiske veiledning rammer inn klinikerens ansvar tydelig: Forpliktelsen til kritisk å evaluere AI-generert klinisk innhold før det tas i bruk er ikke en engangsvurdering, men en løpende profesjonell plikt. I konteksten av terapi, der innsatsen ved dokumentasjonsfeil er høy og innholdet er unikt sensitivt, er denne plikten spesielt krevende.
Ofte stilte spørsmål
▶ Hvorfor reiser AI-dokumentasjon i terapi andre bekymringer enn i andre kliniske settinger?
Terapiøkter genererer avsløringer som pasienter kanskje aldri har delt med noen andre. Innholdet (traumehistorier, selvmordstanker, seksuell identitet, vold i nære relasjoner) omfattes samtidig av flere særskilte datakategorier under artikkel 9 i personvernforordningen (GDPR). En fagfellevurdert narrativ oversikt fra 2025 i DIGITAL HEALTH fant at AI-verktøy innen psykisk helse ofte opererer i juridiske gråsoner når det gjelder samtykke, databruk og grenseoverskridende dataflyt. Denne kombinasjonen av klinisk sensitivitet og regulatorisk kompleksitet gjør terapi til et grunnleggende annerledes miljø enn for eksempel en fastlege som registrerer en blodtrykksmåling.
▶ Hvilket rettslig grunnlag kan en terapeut basere seg på når de behandler øktinnhold gjennom en AI-dokumentasjonsassistent?
Terapeuter kan ikke basere seg på berettiget interesse, som kun er tilgjengelig for ordinære personopplysninger, ikke særskilte kategorier personopplysninger. Det operative grunnlaget vil typisk være enten eksplisitt samtykke under artikkel 9(2)(a) i GDPR, eller behandling som er nødvendig for levering av helsehjelp under artikkel 9(2)(h), kombinert med artikkel 9(3), som krever at behandling utføres av eller under ansvar av en profesjonell som er underlagt taushetsplikt. Terskelen er høyere enn for generelle helsedata, dokumentasjonskravene er strengere, og konsekvensene av å gjøre feil er mer alvorlige.
▶ Hva må en gyldig samtykkeprosess for AI-dokumentasjon i terapi inkludere?
En GDPR-kompatibel samtykkeprosess bør inkludere en klar forklaring av hva AI-verktøyet gjør, identiteten til leverandøren og landet der data behandles og lagres, hvilke data som beholdes og hvor lenge, og en eksplisitt uttalelse om at tilbakeholdelse eller tilbaketrekking av samtykke til AI-dokumentasjon ikke vil påvirke kvaliteten på omsorgen som gis. Den må også inkludere en mekanisme for at pasienten kan trekke tilbake samtykke når som helst, med en klar forklaring av hva som skjer med tidligere behandlede data ved tilbaketrekking. Fordi pasienter i terapi ofte er i en posisjon av psykologisk sårbarhet, fortjener kravet om «fritt gitt» særskilt oppmerksomhet.
▶ Hvilke spørsmål bør en terapeut stille en AI-leverandør før deling av øktdata?
Før valg av en AI-dokumentasjonsassistent bør utøvere innhente skriftlige svar på følgende: Hvor behandles og lagres data (spesifikt om det forblir innenfor Det europeiske økonomiske samarbeidsområdet), om leverandøren opptrer som databehandler og om en kompatibel databehandleravtale er på plass, om leverandøren har ISO 27001-sertifisering eller tilsvarende, om det er gjennomført en personvernkonsekvensvurdering, og om øktdata brukes til modelltrening. Enhver leverandør som er vag om dataresidens eller motvillig til å gi en skriftlig databehandleravtale bør betraktes som en betydelig etterlevelsesrisiko.
▶ Kan tilstedeværelsen av en AI-dokumentasjonsassistent påvirke det terapeutiske forholdet?
Dette er en reell klinisk bekymring. Den terapeutiske alliansen (kvaliteten på samarbeidet mellom terapeut og pasient) er en av de mest robuste prediktorene for terapiutfall på tvers av modaliteter. Noen pasienter, når de får vite at ordene deres blir transkribert og behandlet av et AI-system, kan selvsensurere seg. En banebrytende JAMA Psychiatry-studie publisert i mars 2026, den største studien til dags dato om AI-ambient skriving i psykiatrisk dokumentasjon, fant at AI-skrivere var assosiert med en betydelig lavere sannsynlighet for dokumentert psykiatrisk intervensjon sammenlignet med besøk uten skriver. Utøvere bør vurdere, før utrulling og løpende, om verktøyets tilstedeværelse påvirker pasientens åpenhet eller kvaliteten på det terapeutiske møtet.
▶ Hvem er juridisk ansvarlig for nøyaktigheten av AI-genererte terapinotater?
Klinikeren bærer fullt ansvar. Et AI-generert utkast lagret i journalsystemet uten gjennomgang blir klinikerens dokument, med samme juridiske og profesjonelle vekt som et notat skrevet helt for hånd. I terapi er denne gjennomgangsforpliktelsen spesielt viktig fordi øktinnhold som kan være hensiktsmessig å holde i terapeutens sinn, ikke nødvendigvis er hensiktsmessig å registrere ordrett i et strukturert klinisk notat. Det notatet kan være tilgjengelig for andre helsetjenesteutøvere, gjenstand for en innsynsforespørsel, eller stevnet i rettslige prosesser.
▶ Hvilke kategorier av øktinnhold krever særlig forsiktighet ved gjennomgang av AI-genererte notater?
Utøvere bør være spesielt oppmerksomme på fire kategorier. For det første bør bekymringsmeldinger som kan utløse obligatoriske rapporteringsforpliktelser dokumenteres presist og i samsvar med lokale bekymringsmeldingsprotokoller, ikke overlates til et AI-utkast. For det andre bør navn på tredjeparter nevnt av pasienten generelt ikke fremgå av strukturerte kliniske notater. For det tredje krever sensitive identitetsmarkører som seksuell orientering, kjønnsidentitet og immigrasjonsstatus forsiktig håndtering. For det fjerde har dokumentasjon av selvmordstanker, selvskading eller risiko for andre spesifikk klinisk og juridisk betydning og bør skrives eller gjennomgås med tilsvarende forsiktighet.
▶ Gir GDPR tilstrekkelig beskyttelse for psykisk helse-data behandlet av AI-verktøy?
GDPR setter et gulv, ikke et tak. En fagfellevurdert narrativ oversikt fra 2025 i DIGITAL HEALTH fant at GDPR kun tilbyr grunnleggende beskyttelse som ennå ikke tar høyde for de unike etiske og kliniske nyansene ved AI-baserte intervensjoner innen psykisk helse. Flere europeiske land har vedtatt nasjonal lovgivning som pålegger ytterligere krav. Tysklands psykoterapeuter er underlagt strenge profesjonelle taushetsplikter etter §203 i straffeloven, med straffeansvar for brudd. Frankrike, Nederland, Irland og Italia har hver sine nasjonale datatilsyn med spesifikk veiledning eller håndhevingsaktivitet relevant for psykisk helse-AI. Utøvere bør verifisere sine forpliktelser med sitt nasjonale datatilsyn og profesjonelle regulatoriske organ før utrulling av ethvert AI-dokumentasjonsverktøy.
▶ Når blir en AI-dokumentasjonsassistent et medisinsk utstyr under EU-lov?
Et verktøy som kun transkriberer tale og strukturerer kliniske notater, uten å tolke klinisk innhold eller generere kliniske anbefalinger, er vanligvis ikke klassifisert som medisinsk utstyr under EU medisinsk utstyrsforordning (MDR 2017/745). Et verktøy som analyserer øktinnhold for å flagge selvmordsrisiko, foreslå diagnoser eller støtte klinisk beslutningstaking vil sannsynligvis kreve MDR-klassifisering og samsvarsvurdering, og kan også klassifiseres som høyrisiko-AI under EU AI-loven. En fagfellevurdert analyse fra 2025 i European Heart Journal – Digital Health bemerker at høyrisiko AI-medisinsk utstyr er underlagt dobbel regulering under begge rammeverk. Utøvere bør spørre enhver leverandør direkte om verktøyets regulatoriske klassifisering under både MDR og EU AI-loven.
▶ Er en personvernkonsekvensvurdering påkrevd før utrulling av en AI-dokumentasjonsassistent i en terapipraksis?
En personvernkonsekvensvurdering er obligatorisk under GDPR artikkel 35 for storskala behandling av særskilte kategorier personopplysninger, og sterkt tilrådelig selv for mindre praksiser. I tillegg bør utøvere varsle sin yrkesansvarsforsikring og bekrefte at AI-assistert dokumentasjon er dekket under deres polise. Løpende forpliktelser gjelder også: Utøvere bør regelmessig vurdere om verktøyets tilstedeværelse påvirker terapeutisk åpenhet, overvåke AI-genererte notater for nøyaktighet og hensiktsmessighet, og holde seg oppdatert på endringer i EU AI-lovens implementeringstidslinje og nasjonale regulatoriske utviklinger.