·

Klinisk dokumentasjon

Psykisk helse

Eier av privat praksis

GDPR og opptak av terapisamtaler: hva terapeuter må vite

Viktig GDPR-veiledning for terapeuter som bruker AI-dokumentasjonsverktøy. Samtykke, datalagring, databehandleravtaler og pasientrettigheter forklart

Terapeut opptar økt med pasientsamtykke og GDPR-samsvarsdokumentasjon

Å ta opp eller transkribere en ekstern terapiøkt er ikke bare en teknisk beslutning – det er en juridisk beslutning. I henhold til personvernforordningen (GDPR) befinner psykisk helseinformasjon seg på det høyeste nivået av datasensitivitet. Forpliktelsene som følger av denne klassifiseringen, påvirker alle privatpraktiserende og institusjonelle klinikere som bruker et digitalt dokumentasjonsverktøy. Ettersom AI-dokumentasjonsverktøy blir mer tilgjengelige, møter terapeuter over hele Europa spørsmål som deres utdanning sjelden har forberedt dem på: Hvilket rettslig grunnlag trenger jeg? Kan jeg lagre en transkripsjon? Hva må jeg fortelle pasienten min? Svarene er spesifikke, har konsekvenser, og medfører i noen tilfeller betydelige økonomiske straffer ved manglende overholdelse.

Hvorfor GDPR gjelder med ekstra kraft for terapiøktdata

Psykisk helsedata er klassifisert som en særlig kategori personopplysninger i henhold til GDPR artikkel 9. Dette plasserer det på samme beskyttede nivå som genetiske data, biometriske data og data om rasemessig eller etnisk opprinnelse. Standardposisjonen i henhold til artikkel 9(1) er at behandling av denne kategorien data er forbudt med mindre ett av de ti opplistede unntakene i artikkel 9(2) gjelder. Dette er en vesentlig høyere terskel enn det standard artikkel 6-rettslige grunnlaget som kreves for vanlige personopplysninger.

Denne forhøyede klassifiseringen gjelder uavhengig av praksisomgivelsene. Selv en enpersons psykoterapipraksis må overholde artikkel 9s krav fullt ut, fordi den per definisjon behandler særlige kategorier helsedata. Følsomheten til terapiøktinnhold kan inkludere avsløringer av traumer, selvmordstanker, seksuell identitet eller rusmisbruk. Dette betyr at nasjonale datatilsynsmyndigheter behandler enhver unnlatelse av å etablere et gyldig artikkel 9(2)-grunnlag som et alvorlig brudd.

GDPR fungerer som et gulv, ikke et tak. Medlemsstatene kan pålegge ytterligere forpliktelser på nasjonalt nivå. Tysklands §203 i straffeloven pålegger for eksempel terapeuter yrkesmessige taushetsplikter som direkte påvirker hvordan øktdata kan behandles eller deles. Terapeuter bør verifisere sine spesifikke nasjonale krav hos sin relevante datatilsynsmyndighet før de tar i bruk et dokumentasjonsverktøy.

Hva som regnes som «behandling» når du tar opp eller transkriberer en økt

I henhold til GDPR dekker begrepet «behandling» enhver operasjon som utføres på personopplysninger, enten automatisert eller manuell. I forbindelse med en ekstern terapiøkt utgjør følgende alle behandling:

  • Opptak av lyd eller video av økten

  • Generering av en sanntids- eller etterøkttranskribering

  • Lagring av et sammendrag eller AI-generert klinisk notat

  • Overføring av øktinnhold gjennom et tredjeparts AI-dokumentasjonsverktøy

  • Opplasting av et opptak til en skylagringstjeneste

Behandling gjelder like mye for fullautomatiserte verktøy som for manuell transkripsjon assistert av teknologi. Det finnes intet unntak for verktøy beskrevet som «hjelpende» eller «støttende» i stedet for fullstendig autonome. Hvis øktinnhold håndteres på noen måte av et system eller en tjeneste, gjelder GDPRs forpliktelser fra det øyeblikket.

Det rettslige grunnlaget terapeuter må etablere før de bruker et dokumentasjonsverktøy

Fordi terapiøktdata er særlige kategorier data, må terapeuter samtidig oppfylle to distinkte juridiske krav: et rettslig grunnlag i henhold til artikkel 6, og en separat betingelse i henhold til artikkel 9(2).

De to artikkel 9(2)-betingelsene som er mest relevante for terapeuter, er:

  • Artikkel 9(2)(a): Eksplisitt samtykke fra den registrerte

  • Artikkel 9(2)(h): Behandling nødvendig for levering av helse- eller sosial omsorg, underlagt yrkesmessige taushetsplikter

Artikkel 9(2)(h) er den mest anvendelige betingelsen for helseorganisasjoner som leverer direkte klinisk omsorg. Den er underlagt betingelsen om at behandlingen utføres av en profesjonell person bundet av en juridisk taushetsplikt. Den strekker seg ikke automatisk til enhver nedstrøms bruk av øktdata, for eksempel overføring av innhold til et AI-verktøy drevet av en tredjepart.

For privatpraktiserende er det å stole på berettigede interesser alene sjelden tilstrekkelig for særlige kategorier data. Eksplisitt samtykke i henhold til artikkel 9(2)(a) er generelt den mest forsvarlige veien, fordi det direkte dokumenterer pasientens samtykke til den spesifikke behandlingsaktiviteten. Uansett hvilket grunnlag som velges, må det dokumenteres før behandlingen begynner. Terapeuten, som behandlingsansvarlig, bærer bevisbyrden for å demonstrere at et gyldig grunnlag eksisterer.

Hva eksplisitt samtykke faktisk krever i denne sammenhengen

Gyldig eksplisitt samtykke i henhold til GDPR har en presis juridisk betydning. Det må være:

  • Fritt gitt: Pasienten må ikke møte noen ulempe for å nekte

  • Spesifikt: Samtykke til opptak innebærer ikke samtykke til transkripsjon, AI-behandling eller deling med en veileder. Hvert formål krever separat samtykke

  • Informert: Pasienten må forstå hva de samtykker til, inkludert hvem som vil behandle deres data og hvordan

  • Utvetydig: En forhåndsavkrysset boks eller passiv aksept oppfyller ikke standarden

  • Eksplisitt: For særlige kategorier data må samtykket uttrykkes klart og aktivt. Underforstått samtykke er utilstrekkelig

Samtykke begravd i et generelt vilkår- og betingelsesdokument oppfyller ikke denne standarden. Det europeiske personvernrådets veiledning gjør det klart at samtykke må være detaljert og formålsspesifikt. En terapeut som innhenter en pasients signatur på en generell terapiavtale, har ikke dermed innhentet samtykke til å kjøre øktlyd gjennom en AI-transkriberingstjeneste.

Samtykke må også innhentes før opptak eller transkripsjon begynner. Retrospektivt samtykke – å spørre en pasient etter økten om de hadde noe imot å bli tatt opp – oppfyller ikke kravet.

Dataminimering: kun fange opp det du faktisk trenger

Artikkel 5(1)(c) i GDPR etablerer dataminimeringsgrunnsetningen: personopplysninger må være tilstrekkelige, relevante og begrenset til det som er nødvendig for formålene de behandles for. Anvendt på terapidokumentasjon har dette direkte praktiske implikasjoner.

Hvis et strukturert klinisk notat fanger alt som er klinisk nødvendig fra en økt, kan det hende at det ikke er forsvarlig å beholde det fullstendige lydopptaket eller ordrett transkripsjon i henhold til dette prinsippet. Det relevante spørsmålet er om de mer detaljerte dataene tjener et formål som de mindre detaljerte dataene ikke kan.

I praksis betyr dette:

  • AI-dokumentasjonsverktøy bør konfigureres til å generere et strukturert notat og deretter slette den underliggende transkripsjonen, med mindre det er en spesifikk klinisk eller juridisk grunn til å beholde den

  • Fullstendige øktopptak bør ikke lagres som standard av administrative bekvemmelighetshensyn

  • Omfanget av det verktøyet fanger opp, bør gjennomgås mot det terapeuten faktisk bruker

En fagfellevurdert gjennomgang fra 2025 av AI-drevne notatgenereringsverktøy i psykisk helsevern fant at kritisk informasjon om datahåndtering, inkludert hva som beholdes etter at et notat er generert, ofte manglet i leverandørkommunikasjon. Terapeuter bør stille spesifikke spørsmål i stedet for å stole på generelle produktbeskrivelser.

Hvor øktdata kan lagres og behandles: EUs dataresidensregler

I henhold til GDPR er overføring av personopplysninger utenfor Det europeiske økonomiske samarbeidsområdet (EØS) begrenset med mindre destinasjonslandet tilbyr et tilstrekkelig nivå av databeskyttelse, eller en passende sikkerhet som standardkontraktsklausuler (SCC) er på plass. For særlige kategorier psykisk helsedata har dette kravet ekstra vekt.

Forbrukerrettede plattformer som generelle videokonferanseapplikasjoner, selv velkjente, behandler og lagrer ofte data på servere utenfor EØS. De tilbyr kanskje ikke de kontraktsmessige sikkerhetstiltakene GDPR krever for helsedata. En terapeut som bruker en slik plattform for en ekstern økt, med automatisk transkripsjon aktivert, kan overføre særlige kategorier data til et tredjeland uten en gyldig juridisk mekanisme.

Når de evaluerer et transkripsjon- eller AI-dokumentasjonsverktøy, bør terapeuter spørre leverandører direkte:

  • Hvor behandles øktdata? (Hvilket land, hvilken skyregion?)

  • Hvor lagres data i hvile?

  • Er noen underdatabehandlere lokalisert utenfor EØS?

  • Hvis data behandles utenfor EØS, hvilken overføringsmekanisme gjelder?

EU-dataresidensitet er et nøkkelkriterium for overholdelse for ethvert verktøy som håndterer terapiøktinnhold. Leverandører bør kunne svare på disse spørsmålene skriftlig.

Databehandlerforholdet: dine forpliktelser når du bruker et tredjepartsverktøy

Når en terapeut bruker et eksternt AI- eller transkriberingsverktøy, blir den leverandøren en databehandler i henhold til GDPR. Terapeuten, som behandlingsansvarlig, forblir juridisk ansvarlig for å sikre at behandleren håndterer data i samsvar med GDPRs krav.

Artikkel 28 GDPR krever en signert databehandleravtale (DPA) mellom terapeuten og enhver leverandør som behandler pasientdata på deres vegne. En databehandleravtale som oppfyller GDPR-kravene, må spesifisere:

  • Gjenstand, varighet og formål med behandlingen

  • Type personopplysninger og kategorier av registrerte

  • Forpliktelsene og rettighetene til den behandlingsansvarlige

  • At behandleren kun vil handle på dokumenterte instruksjoner fra den behandlingsansvarlige

  • Sikkerhetstiltakene behandleren har implementert

  • Behandlerens forpliktelser angående underdatabehandlere

  • Bestemmelser for sletting eller retur av data ved kontraktens slutt

Fraværet av en databehandleravtale gjør ikke behandlingen lovlig – det gjør det til et brudd. Terapeuter bør ikke bruke noe verktøy som behandler pasientøktdata uten først å innhente en signert databehandleravtale. Hvis en leverandør er uvillig eller ufør til å levere en, er det i seg selv et signal om overholdelse.

Hva du må opplyse til pasienter før du bruker et AI-dokumentasjonsverktøy

GDPRs åpenhetsforpliktelser i henhold til artikkel 13 og 14 krever at pasienter informeres om behandlingen av deres data på innsamlingstidspunktet. For terapiøkter betyr dette at pasienter må få vite:

  • Hvilke kategorier data som samles inn (for eksempel lydopptak, transkripsjon, AI-generert notat)

  • Identiteten til den behandlingsansvarlige (terapeuten eller praksisen)

  • Identiteten til eventuelle databehandlere (AI-verktøyleverandøren)

  • Det rettslige grunnlaget for behandling

  • Hvor data lagres og hvor lenge

  • Deres rettigheter, inkludert retten til å få tilgang til, rette og be om sletting av deres data

Denne opplysningen må leveres på en måte som er genuint informativ, ikke begravd i et langvarig dokument. Beste praksis for terapeuter som bruker AI-dokumentasjonsverktøy inkluderer:

  • Oppdatere praksisens personvernerklæring for spesifikt å adressere AI-assistert dokumentasjon

  • Gi en muntlig forklaring før den første økten der verktøyet brukes

  • Tilby skriftlig bekreftelse (for eksempel et ensidig sammendrag) som pasienten kan beholde

  • Dokumentere at opplysningen ble gitt og at samtykke ble innhentet

Juridisk analyse av telemedisin og databeskyttelsesforpliktelser bekrefter at åpenhetskrav gjelder med full kraft for digitale helseinteraksjoner, inkludert eksterne terapiøkter gjennomført via videoplattformer.

Oppbevaringsperioder: hvor lenge kan du beholde transkripsjoner eller AI-genererte notater

Lagringsgrensegrunnsetningen i henhold til artikkel 5(1)(e) krever at personopplysninger oppbevares i en form som tillater identifikasjon av registrerte i ikke lenger enn nødvendig for formålene de behandles for. For terapiøkttranskripsjoner og AI-genererte notater må terapeuter definere og dokumentere en oppbevaringsperiode, og anvende den.

Flere hensyn samhandler her:

  • Profesjonelle reguleringsorganers retningslinjer for oppbevaring av kliniske journaler setter et minimumsgulv (for eksempel varierer oppbevaringskrav etter land og profesjonelt organ. Terapeuter bør konsultere sitt nasjonale reguleringsorgan for den gjeldende minimumsperioden)

  • AI-genererte notater og økttranskripsjoner er ikke automatisk underlagt de samme oppbevaringsreglene som formelle kliniske journaler. En ordrett transkripsjon kan ha en mye kortere forsvarlig oppbevaringsperiode enn det kliniske notatet utledet fra den

  • Hvor en transkripsjon kun beholdes for å generere et notat, bør den slettes når det formålet er oppfylt

Terapeuter bør dokumentere sin oppbevaringspolicy skriftlig, spesifisere forskjellige perioder for forskjellige datatyper (opptak, transkripsjon, strukturert notat, pasientbrev), og sikre at deres AI-verktøyleverandørs dataslettingspraksis er i tråd med den policyen.

Sikkerhetskrav for lagring av psykisk helse øktdata

GDPRs artikkel 32 krever at behandlingsansvarlige og databehandlere implementerer tekniske og organisatoriske tiltak som er passende for risikoen. For særlige kategorier psykisk helsedata er risikonivået høyt som standard, og tiltakene som kreves, reflekterer det.

Minimum sikkerhetsforventninger for verktøy som håndterer terapiøktdata inkluderer:

  • Kryptering i hvile og under overføring: Øktopptak, transkripsjoner og notater må krypteres både når de lagres og når de overføres

  • Tilgangskontroller: Kun autoriserte personer bør kunne få tilgang til øktdata, med rollebaserte tillatelser og autentiseringskrav

  • Revisjonsspor: Systemer bør logge hvem som fikk tilgang til hvilke data og når

  • Hendelsesrespons: Leverandører bør ha dokumenterte prosedyrer for å oppdage og rapportere databrudd

Forbrukerrettede verktøy, inkludert generelle videokonferanseapplikasjoner med automatisk transkripsjon aktivert, er usannsynlig å oppfylle disse kravene uten spesifikke bedrifts- eller helsevesensavtaler på plass. Det faktum at en plattform er mye brukt i kliniske omgivelser, betyr ikke at den er GDPR-kompatibel for behandling av særlige kategorier data uten passende kontraktsmessige og tekniske sikkerhetstiltak.

En fagfellevurdert gjennomgang fra 2025 av AI-notatgenereringsverktøy i psykisk helsevern fant at mens de fleste leverandører ga informasjon om databeskyttelse og personverntiltak på sine nettsteder, manglet kritiske detaljer ofte. Dette inkluderte spesifikke sikkerhetssertifiseringer, underdatabehandlerlister og dataslettingspraksis. Terapeuter bør ikke anta overholdelse – de bør verifisere den.

Praktiske trinn for privatpraktiserende som velger et kompatibelt dokumentasjonsverktøy

Privatpraktiserende som evaluerer AI-dokumentasjonsverktøy, gjør det vanligvis uten institusjonell IT- eller juridisk støtte. Følgende sjekkliste dekker minimum due diligence GDPR krever:

  • Bekreft EU-dataresidensitet: Spør leverandøren skriftlig hvor øktdata behandles og lagres. Bekreft at ingen underdatabehandlere er lokalisert utenfor EØS, eller at tilstrekkelige overføringsmekanismer er på plass

  • Innhent en signert databehandleravtale: Ikke bruk noe verktøy som behandler pasientdata uten en signert databehandleravtale som oppfyller artikkel 28-kravene

  • Sjekk for ISO 27001-sertifisering: ISO 27001-sertifisering indikerer at leverandøren har implementert et internasjonalt anerkjent informasjonssikkerhetsstyringssystem. Det er ikke en GDPR-garanti, men det er en meningsfull grunnlinjeindikator

  • Gjennomgå underdatabehandlerlisten: Leverandører er vanligvis avhengige av underdatabehandlere (for eksempel skyleverandører av infrastruktur). Be om den fullstendige listen og vurder om hver underdatabehandlers plassering og sikkerhetsstilling er akseptabel

  • Forstå dataslettingspolicyen: Bekreft hvor lenge leverandøren beholder data etter en økt, hva som utløser sletting, og om du kan be om sletting av spesifikke poster

  • Verifiser at verktøyet støtter pasientrettighetsforespørsler: Systemet må kunne svare på tilgangsforespørsler og slettingsforespørsler innenfor GDPRs påkrevde tidsrammer

Mangelen på åpenhet i leverandørkommunikasjon identifisert i fagfellevurdert forskning betyr at terapeuter bør stille spesifikke, skriftlige spørsmål i stedet for å stole på markedsføringsmateriell. En leverandør som ikke kan svare på disse spørsmålene tydelig, er ikke et kompatibelt valg.

Når en pasient trekker tilbake samtykke eller ber om sletting

Pasienter har håndhevbare rettigheter i henhold til GDPR som terapeuter må være operasjonelt forberedt på å respektere. To er spesielt relevante for AI-assistert dokumentasjon.

Rett til å trekke tilbake samtykke (artikkel 7(3)): En pasient kan trekke tilbake samtykke til behandling av deres data når som helst. Tilbaketrekking påvirker ikke lovligheten av behandling utført før tilbaketrekking, men den må tre i kraft fremover. Forskning på implementering av samtykkeuttak i helsedatakontekster fremhever den operasjonelle kompleksiteten: data kan eksistere på tvers av flere systemer (AI-verktøyet, en skysikkerhetskopi, en lokal kopi) og må identifiseres og adresseres i hver.

Rett til sletting (artikkel 17): Hvor behandling var basert på samtykke, har en pasient som trekker tilbake samtykke, rett til å be om sletting av deres data. Terapeuten, som behandlingsansvarlig, må handle på denne forespørselen innen en måned og må instruere eventuelle databehandlere, inkludert AI-verktøyleverandøren, om å slette de relevante dataene fra deres systemer.

I praksis bør terapeuter:

  • Dokumentere samtykkeuttak skriftlig og registrere datoen

  • Kontakte AI-verktøyleverandøren umiddelbart og be om sletting av alle øktdata knyttet til den pasienten

  • Innhente skriftlig bekreftelse fra leverandøren om at sletting er fullført

  • Sjekke om eventuelle lokale kopier (for eksempel nedlastede transkripsjoner) også må slettes

Retten til sletting er ikke absolutt. Hvor data må beholdes for å overholde en juridisk forpliktelse, som profesjonelle regulatoriske krav til å opprettholde kliniske journaler for en minimumsperiode, kan den forpliktelsen overstyre slettingsforespørselen med hensyn til den formelle kliniske journalen. Rå transkripsjoner eller opptak som går utover det den kliniske journalen krever, er usannsynlig å dra nytte av dette unntaket, og bør generelt slettes på forespørsel.

Profesjonelle etiske rammeverk i psykisk helsepraksis identifiserer konsekvent dokumentasjon og datastyringsansvar som kjernekomponenter i klinikeransvar. Evnen til å svare på pasientrettighetsforespørsler er en del av den forventningen i et digitalt mediert klinisk miljø.

Ofte stilte spørsmål

▶ Gjelder GDPR for terapiøktopptak og transkripsjoner

Ja. I henhold til personvernforordningen er psykisk helsedata klassifisert som en særlig kategori personopplysninger i henhold til artikkel 9. Dette plasserer det på det høyeste nivået av datasensitivitet. Å ta opp en økt, generere en transkripsjon, lagre et AI-generert klinisk notat eller overføre øktinnhold gjennom et tredjepartsverktøy utgjør alle behandling i henhold til GDPR. Dette gjelder for alle praktiserende som håndterer øktdata digitalt, inkludert enpersons psykoterapipraksis.

▶ Hvilket rettslig grunnlag trenger terapeuter før de bruker et AI-dokumentasjonsverktøy

Terapeuter må samtidig oppfylle to juridiske krav: et rettslig grunnlag i henhold til artikkel 6 i GDPR, og en separat betingelse i henhold til artikkel 9(2). De to mest relevante artikkel 9(2)-betingelsene er eksplisitt samtykke fra pasienten (artikkel 9(2)(a)) og behandling nødvendig for levering av helse- eller sosial omsorg, underlagt yrkesmessige taushetsplikter (artikkel 9(2)(h)). For privatpraktiserende er eksplisitt samtykke generelt den mest forsvarlige veien, fordi det direkte dokumenterer pasientens samtykke til den spesifikke behandlingsaktiviteten. Uansett hvilket grunnlag som velges, må det dokumenteres før behandlingen begynner.

▶ Hva krever gyldig eksplisitt samtykke når man tar opp eller transkriberer en terapiøkt

Gyldig eksplisitt samtykke i henhold til GDPR må være fritt gitt, spesifikt, informert, utvetydig og aktivt uttrykt. Samtykke til opptak innebærer ikke samtykke til transkripsjon, AI-behandling eller deling med en veileder. Hvert formål krever separat samtykke. Samtykke begravd i et generelt vilkår- og betingelsesdokument oppfyller ikke denne standarden. Det må også innhentes før opptak eller transkripsjon begynner. Retrospektivt samtykke oppfyller ikke kravet.

▶ Hva er dataminimeringsgrunnsetningen og hvordan gjelder den for terapidokumentasjon

Artikkel 5(1)(c) i GDPR krever at personopplysninger er tilstrekkelige, relevante og begrenset til det som er nødvendig for formålene de behandles for. I praksis, hvis et strukturert klinisk notat fanger alt som er klinisk nødvendig fra en økt, kan det hende at det ikke er forsvarlig å beholde det fullstendige lydopptaket eller ordrett transkripsjon. AI-dokumentasjonsverktøy bør konfigureres til å generere et strukturert notat og deretter slette den underliggende transkripsjonen, med mindre det er en spesifikk klinisk eller juridisk grunn til å beholde den. Fullstendige øktopptak bør ikke lagres som standard av administrative bekvemmelighetshensyn.

▶ Kan terapiøktdata lagres eller behandles utenfor Det europeiske økonomiske samarbeidsområdet

Overføring av personopplysninger utenfor Det europeiske økonomiske samarbeidsområdet er begrenset i henhold til GDPR med mindre destinasjonslandet tilbyr et tilstrekkelig nivå av databeskyttelse, eller en passende sikkerhet som standardkontraktsklausuler er på plass. Forbrukerrettede plattformer, inkludert generelle videokonferanseapplikasjoner, behandler og lagrer ofte data på servere utenfor Det europeiske økonomiske samarbeidsområdet og tilbyr kanskje ikke de kontraktsmessige sikkerhetstiltakene GDPR krever for helsedata. Terapeuter bør spørre leverandører skriftlig hvor øktdata behandles og lagres, om noen underdatabehandlere er lokalisert utenfor Det europeiske økonomiske samarbeidsområdet, og hvilken overføringsmekanisme som gjelder hvis data forlater regionen.

▶ Hva er en databehandleravtale og trenger terapeuter en

Når en terapeut bruker et eksternt AI- eller transkriberingsverktøy, blir den leverandøren en databehandler i henhold til GDPR. Artikkel 28 i GDPR krever en signert databehandleravtale mellom terapeuten og enhver leverandør som behandler pasientdata på deres vegne. Avtalen må spesifisere formålet og varigheten av behandlingen, sikkerhetstiltakene på plass, behandlerens forpliktelser angående underdatabehandlere, og bestemmelser for sletting eller retur av data ved kontraktens slutt. Fraværet av en databehandleravtale gjør ikke behandlingen lovlig – det gjør det til et brudd. Terapeuter bør ikke bruke noe verktøy som behandler pasientøktdata uten en signert avtale på plass.

▶ Hva må terapeuter fortelle pasienter før de bruker et AI-dokumentasjonsverktøy

GDPRs åpenhetsforpliktelser i henhold til artikkel 13 og 14 krever at pasienter informeres om behandlingen av deres data på innsamlingstidspunktet. Terapeuter må fortelle pasienter hvilke kategorier data som samles inn, identiteten til den behandlingsansvarlige og eventuelle databehandlere, det rettslige grunnlaget for behandling, hvor data lagres og hvor lenge, og pasientens rettigheter inkludert tilgang, retting og sletting. Beste praksis inkluderer å oppdatere praksisens personvernerklæring for spesifikt å adressere AI-assistert dokumentasjon, gi en muntlig forklaring før den første økten der verktøyet brukes, og dokumentere at opplysningen ble gitt og samtykke innhentet.

▶ Hvor lenge kan terapeuter beholde transkripsjoner og AI-genererte notater

Lagringsgrensegrunnsetningen i henhold til artikkel 5(1)(e) i GDPR krever at personopplysninger oppbevares i ikke lenger enn nødvendig for formålene de behandles for. Terapeuter må definere og dokumentere en oppbevaringsperiode for hver datatype og anvende den konsekvent. AI-genererte notater og økttranskripsjoner er ikke automatisk underlagt de samme oppbevaringsreglene som formelle kliniske journaler. Hvor en transkripsjon kun beholdes for å generere et notat, bør den slettes når det formålet er oppfylt. Terapeuter bør bekrefte at deres AI-verktøyleverandørs dataslettingspraksis er i tråd med deres dokumenterte oppbevaringspolicy.

▶ Hva skjer hvis en pasient trekker tilbake samtykke eller ber om sletting av deres øktdata

En pasient kan trekke tilbake samtykke til behandling av deres data når som helst i henhold til artikkel 7(3) i GDPR. Hvor behandling var basert på samtykke, har pasienten også rett til å be om sletting av deres data i henhold til artikkel 17. Terapeuten må handle på en slettingsforespørsel innen en måned og må instruere AI-verktøyleverandøren om å slette de relevante dataene fra deres systemer, og innhente skriftlig bekreftelse på at sletting er fullført. Retten til sletting er ikke absolutt: hvor data må beholdes for å overholde en juridisk forpliktelse, som profesjonelle regulatoriske krav for kliniske journaler, kan den forpliktelsen overstyre slettingsforespørselen med hensyn til den formelle kliniske journalen. Rå transkripsjoner eller opptak som går utover det den kliniske journalen krever, er usannsynlig å dra nytte av dette unntaket.

▶ Hvilke sikkerhetsstandarder bør terapeuter se etter når de velger et AI-dokumentasjonsverktøy

Artikkel 32 i GDPR krever at behandlingsansvarlige og databehandlere implementerer tekniske og organisatoriske tiltak som er passende for risikoen. For særlige kategorier psykisk helsedata er risikonivået høyt som standard. Minimumsforventninger inkluderer kryptering av øktopptak, transkripsjoner og notater både i hvile og under overføring, rollebaserte tilgangskontroller, revisjonsspor som logger hvem som fikk tilgang til data og når, og dokumenterte hendelsesresponsprosedyrer. ISO 27001-sertifisering indikerer at en leverandør har implementert et internasjonalt anerkjent informasjonssikkerhetsstyringssystem og fungerer som en meningsfull grunnlinjeindikator, selv om det ikke er en GDPR-garanti i seg selv. En fagfellevurdert gjennomgang fra 2025 av AI-notatgenereringsverktøy i psykisk helsevern fant at kritiske sikkerhetsdetaljer, inkludert spesifikke sertifiseringer, underdatabehandlerlister og dataslettingspraksis, ofte manglet i leverandørkommunikasjon. Terapeuter bør verifisere overholdelse direkte i stedet for å stole på markedsføringsmateriell.

Kom i gang med Tandem i dag

Join thousands of clinicians enjoying stress-free documentation.

Kom i gang med Tandem i dag

Join thousands of clinicians enjoying stress-free documentation.

Kom i gang med Tandem i dag

Join thousands of clinicians enjoying stress-free documentation.