·

Klinisk dokumentation

Mental hälsa

Privat praktikägare

GDPR och inspelning av terapisessioner: vad terapeuter måste veta

Grundläggande guide för GDPR-efterlevnad för terapeuter som använder AI-dokumentationsverktyg. Samtycke, datalokalisering inom EU, personuppgiftsbiträdesavtal och patienträttigheter förklaras

Terapeut spelar in session med patientens samtycke och GDPR-efterlevnadsdokumentation

Att spela in eller transkribera ett digitalt terapisamtal är inte bara ett tekniskt beslut. Det är ett juridiskt beslut. Enligt dataskyddsförordningen (GDPR) tillhör information om psykisk hälsa den högsta nivån av datakänslighet, och de skyldigheter som följer av den klassificeringen påverkar varje privatpraktiserande behandlare och institutionell klinik som använder ett digitalt dokumentationsverktyg. AI-dokumentationsverktyg blir alltmer tillgängliga, och terapeuter i hela Europa ställs inför frågor som deras utbildning sällan har förberett dem för: Vilken rättslig grund behöver jag? Får jag lagra en transkribering? Vad måste jag berätta för min patient? Svaren är specifika, konsekvensrika och kan i vissa fall medföra betydande ekonomiska påföljder vid bristande efterlevnad.

Varför GDPR gäller med extra kraft för data från terapisamtal

Data om psykisk hälsa klassificeras som en särskild kategori av personuppgifter enligt GDPR artikel 9, vilket placerar den på samma skyddsnivå som genetiska data, biometriska data och uppgifter om ras eller etniskt ursprung. Utgångsläget enligt artikel 9(1) är att behandling av denna datakategori är förbjuden om inte ett av de tio uppräknade undantagen i artikel 9(2) gäller. Detta är en väsentligt högre tröskel än den vanliga rättsliga grunden enligt artikel 6 som krävs för vanliga personuppgifter.

Denna förhöjda klassificering gäller oavsett verksamhetens form. Även en enpersons psykoterapipraktik måste fullt ut följa artikel 9:s krav, eftersom den per definition behandlar särskilda kategorier av hälsodata. Känsligheten i innehållet från terapisamtal kan inkludera avslöjanden om trauma, suicidtankar, sexuell identitet eller substansbruk. Nationella dataskyddsmyndigheter behandlar varje misslyckande att fastställa en giltig grund enligt artikel 9(2) som en allvarlig överträdelse.

GDPR fungerar som ett golv, inte ett tak. Medlemsstaterna kan införa ytterligare skyldigheter på nationell nivå. Tysklands §203 i strafflagen ålägger till exempel terapeuter tystnadsplikt som direkt påverkar hur data från samtal får behandlas eller delas. Terapeuter bör verifiera sina specifika nationella krav hos sin relevanta dataskyddsmyndighet innan de implementerar något dokumentationsverktyg.

Vad som räknas som behandling när du spelar in eller transkriberar ett samtal

Enligt GDPR omfattar termen behandling varje åtgärd som utförs på personuppgifter, vare sig den är automatiserad eller manuell. I samband med ett digitalt terapisamtal utgör följande alla behandling:

  • Inspelning av ljud eller video från samtalet

  • Generering av en realtidstranskribering eller transkribering efter samtalet

  • Lagring av en sammanfattning eller AI-genererad journalanteckning

  • Överföring av samtalsinnehåll genom ett AI-dokumentationsverktyg från tredje part

  • Uppladdning av en inspelning till en molnlagringstjänst

Behandling gäller lika för helt automatiserade verktyg och för manuell transkribering assisterad av teknik. Det finns inget undantag för verktyg som beskrivs som stödjande eller hjälpande snarare än helt autonoma. Om samtalsinnehåll hanteras på något sätt av ett system eller en tjänst gäller GDPR:s skyldigheter från det ögonblicket.

Den rättsliga grund terapeuter måste fastställa innan de använder något dokumentationsverktyg

Eftersom data från terapisamtal är särskilda kategorier av data måste terapeuter samtidigt uppfylla två distinkta juridiska krav: en rättslig grund enligt artikel 6, och ett separat villkor enligt artikel 9(2).

De två villkoren i artikel 9(2) som är mest relevanta för terapeuter är:

  • Artikel 9(2)(a): Uttryckligt samtycke från den registrerade

  • Artikel 9(2)(h): Behandling som är nödvändig för tillhandahållande av hälso- eller sjukvård, under förutsättning av yrkessekretess

Artikel 9(2)(h) är det mest tillämpliga villkoret för vårdorganisationer som tillhandahåller direkt klinisk vård. Det är föremål för villkoret att behandlingen utförs av en yrkesperson som är bunden av en laglig tystnadsplikt. Det omfattar inte automatiskt varje nedströmsanvändning av samtalsdata, såsom överföring av innehåll till ett AI-verktyg som drivs av en tredje part.

För privatpraktiserande behandlare är att enbart förlita sig på berättigade intressen sällan tillräckligt för särskilda kategorier av data. Uttryckligt samtycke enligt artikel 9(2)(a) är i allmänhet den mest försvarliga vägen, eftersom det direkt dokumenterar patientens godkännande av den specifika behandlingsaktiviteten. Oavsett vilken grund som väljs måste den dokumenteras innan någon behandling påbörjas. Terapeuten, som personuppgiftsansvarig, bär bevisbördan för att en giltig grund finns.

Vad uttryckligt samtycke faktiskt kräver i detta sammanhang

Giltigt uttryckligt samtycke enligt GDPR har en precis juridisk betydelse. Det måste vara:

  • Fritt givet: Patienten får inte drabbas av någon nackdel för att ha vägrat

  • Specifikt: Samtycke till inspelning innebär inte samtycke till transkribering, AI-behandling eller delning med en handledare. Varje syfte kräver separat samtycke

  • Informerat: Patienten måste förstå vad de samtycker till, inklusive vem som kommer att behandla deras data och hur

  • Otvetydigt: En förkryssad ruta eller passivt godkännande uppfyller inte standarden

  • Uttryckligt: För särskilda kategorier av data måste samtycket uttryckas tydligt och aktivt. Underförstått samtycke är otillräckligt

Samtycke som är nedgrävt i ett allmänt villkorsdokument uppfyller inte denna standard. Europeiska dataskyddsstyrelsens vägledning klargör att samtycke måste vara detaljerat och ändamålsspecifikt. En terapeut som erhåller en patients underskrift på ett allmänt terapiavtal har inte därmed erhållit samtycke till att köra samtalsljud genom en AI-transkriptionstjänst.

Samtycke måste också erhållas innan någon inspelning eller transkribering påbörjas. Retroaktivt samtycke (att fråga en patient efter samtalet om de hade något emot att bli inspelade) uppfyller inte kravet.

Dataminimering: fånga endast det du faktiskt behöver

Artikel 5(1)(c) i GDPR fastställer principen om dataminimering: personuppgifter måste vara adekvata, relevanta och begränsade till vad som är nödvändigt för de ändamål för vilka de behandlas. Tillämpad på terapidokumentation har detta direkta praktiska konsekvenser.

Om en strukturerad journalanteckning fångar allt som är kliniskt nödvändigt från ett samtal kan det inte vara motiverat enligt denna princip att behålla den fullständiga ljudinspelningen eller ordagranna transkriberingen. Den relevanta frågan är om den mer detaljerade datan tjänar ett syfte som den mindre detaljerade datan inte kan.

I praktiken innebär detta:

  • AI-dokumentationsverktyg bör konfigureras för att generera en strukturerad anteckning och sedan radera den underliggande transkriberingen, om det inte finns en specifik klinisk eller juridisk anledning att behålla den

  • Fullständiga samtalsinspelningar bör inte lagras som standard av administrativ bekvämlighet

  • Omfattningen av vad verktyget fångar bör granskas mot vad terapeuten faktiskt använder

En granskning från 2025 av AI-drivna verktyg för anteckningsgenerering inom psykisk hälsovård fann att kritisk information om datahantering (inklusive vad som behålls efter att en anteckning har genererats) ofta saknades i leverantörskommunikation. Terapeuter bör ställa specifika frågor snarare än att förlita sig på allmänna produktbeskrivningar.

Var samtalsdata kan lagras och behandlas: EU:s regler för datalokalisering

Enligt GDPR är överföring av personuppgifter utanför Europeiska ekonomiska samarbetsområdet (EES) begränsad om inte destinationslandet erbjuder en adekvat nivå av dataskydd, eller om en lämplig skyddsåtgärd såsom standardavtalsklausuler (SCC) finns på plats. För särskilda kategorier av data om psykisk hälsa har detta krav ytterligare vikt.

Konsumentinriktade plattformar såsom allmänna videokonferensapplikationer (även välkända sådana) behandlar och lagrar ofta data på servrar utanför EES, och erbjuder kanske inte de avtalsmässiga skyddsåtgärder som GDPR kräver för hälsodata. En terapeut som använder en sådan plattform för ett digitalt samtal, med automatisk transkribering aktiverad, kan överföra särskilda kategorier av data till ett tredjeland utan en giltig juridisk mekanism.

När terapeuter utvärderar något transkriberings- eller AI-dokumentationsverktyg bör de fråga leverantörer direkt:

  • Var behandlas samtalsdata? (Vilket land, vilken molnregion?)

  • Var lagras data i vila?

  • Finns det några underbiträden lokaliserade utanför EES?

  • Om data behandlas utanför EES, vilken överföringsmekanism gäller?

Datalokalisering inom EU är ett centralt efterlevnadskriterium för alla verktyg som hanterar innehåll från terapisamtal, och leverantörer bör kunna besvara dessa frågor skriftligt.

Personuppgiftsbiträdesförhållandet: dina skyldigheter när du använder ett verktyg från tredje part

När en terapeut använder ett externt AI- eller transkriptionsverktyg blir den leverantören ett personuppgiftsbiträde enligt GDPR. Terapeuten, som personuppgiftsansvarig, förblir juridiskt ansvarig för att säkerställa att biträdet hanterar data i enlighet med GDPR:s krav.

Artikel 28 i GDPR kräver ett undertecknat personuppgiftsbiträdesavtal (DPA) mellan terapeuten och varje leverantör som behandlar patientdata för deras räkning. Ett personuppgiftsbiträdesavtal som uppfyller GDPR:s krav måste specificera:

  • Föremålet, varaktigheten och syftet med behandlingen

  • Typen av personuppgifter och kategorier av registrerade

  • Den personuppgiftsansvariges skyldigheter och rättigheter

  • Att biträdet endast kommer att agera på dokumenterade instruktioner från den personuppgiftsansvarige

  • De säkerhetsåtgärder som biträdet har implementerat

  • Biträdets skyldigheter avseende underbiträden

  • Bestämmelser för radering eller återlämnande av data vid avtalets slut

Avsaknaden av ett personuppgiftsbiträdesavtal gör inte behandlingen laglig. Det gör den till en överträdelse. Terapeuter bör inte använda något verktyg som behandlar patientsamtalsdata utan att först erhålla ett undertecknat personuppgiftsbiträdesavtal. Om en leverantör är ovillig eller oförmögen att tillhandahålla ett sådant är det i sig en varningssignal för efterlevnad.

Vad du måste informera patienter om innan du använder ett AI-dokumentationsverktyg

GDPR:s transparensskyldigheter enligt artiklarna 13 och 14 kräver att patienter informeras om behandlingen av deras data vid tidpunkten för insamlingen. För terapisamtal innebär detta att patienter måste informeras om:

  • Vilka kategorier av data som samlas in (till exempel ljudinspelning, transkribering, AI-genererad anteckning)

  • Identiteten på den personuppgiftsansvarige (terapeuten eller praktiken)

  • Identiteten på eventuella personuppgiftsbiträden (AI-verktygets leverantör)

  • Den rättsliga grunden för behandlingen

  • Var data lagras och hur länge

  • Deras rättigheter, inklusive rätten att få tillgång till, rätta och begära radering av sina data

Denna information måste levereras på ett sätt som är genuint informativt, inte nedgrävt i ett långt dokument. Bästa praxis för terapeuter som använder AI-dokumentationsverktyg inkluderar:

  • Uppdatering av praktikens integritetspolicy för att specifikt adressera AI-assisterad dokumentation

  • Tillhandahållande av en muntlig förklaring innan det första samtalet där verktyget används

  • Erbjudande av skriftlig bekräftelse (till exempel en sammanfattning på en sida) som patienten kan behålla

  • Dokumentation av att informationen gavs och att samtycke erhölls

Juridisk analys av telemedicin och dataskyddsskyldigheter bekräftar att transparenskrav gäller fullt ut för digitala hälsointeraktioner, inklusive digitala terapisamtal som genomförs via videoplattformar.

Lagringsperioder: hur länge kan du behålla transkribering eller AI-genererade anteckningar

Principen om lagringsbegränsning enligt artikel 5(1)(e) kräver att personuppgifter förvaras i en form som tillåter identifiering av registrerade under inte längre tid än vad som är nödvändigt för de ändamål för vilka de behandlas. För transkribering av terapisamtal och AI-genererade anteckningar måste terapeuter definiera och dokumentera en lagringsperiod och tillämpa den.

Flera överväganden samverkar här:

  • Yrkesregulerande organs riktlinjer för bevarande av journalanteckningar sätter ett minimigolv (till exempel varierar bevarandekrav efter land och yrkesorganisation. Terapeuter bör konsultera sitt nationella reglerande organ för den tillämpliga minimiperioden)

  • AI-genererade anteckningar och samtalstranskribering omfattas inte automatiskt av samma bevaranderegler som formella journalanteckningar. En ordagrann transkribering kan ha en mycket kortare motiverbar lagringsperiod än den journalanteckning som härleds från den

  • Där en transkribering endast behålls för att generera en anteckning bör den raderas när det syftet är uppfyllt

Terapeuter bör dokumentera sin bevarandepolicy skriftligt, specificera olika perioder för olika datatyper (inspelning, transkribering, strukturerad anteckning, patientbrev), och säkerställa att deras AI-verktygs leverantörs dataraderingspraxis överensstämmer med den policyn.

Säkerhetskrav för lagring av data från samtal om psykisk hälsa

GDPR:s artikel 32 kräver att personuppgiftsansvariga och personuppgiftsbiträden implementerar tekniska och organisatoriska åtgärder som är lämpliga för risken. För särskilda kategorier av data om psykisk hälsa är risknivån hög som standard, och de åtgärder som krävs återspeglar det.

Minimala säkerhetsförväntningar för verktyg som hanterar data från terapisamtal inkluderar:

  • Kryptering i vila och under överföring: Samtalsinspelningar, transkribering och anteckningar måste krypteras både när de lagras och när de överförs

  • Åtkomstkontroller: Endast auktoriserade individer bör kunna få tillgång till samtalsdata, med rollbaserade behörigheter och autentiseringskrav

  • Granskningsspår: System bör logga vem som fick tillgång till vilken data och när

  • Incidenthantering: Leverantörer bör ha dokumenterade procedurer för att upptäcka och rapportera dataintrång

Konsumentinriktade verktyg (inklusive allmänna videokonferensapplikationer med automatisk transkribering aktiverad) uppfyller sannolikt inte dessa krav utan specifika företags- eller vårdavtal på plats. Det faktum att en plattform används i stor utsträckning i kliniska miljöer betyder inte att den är GDPR-kompatibel för behandling av särskilda kategorier av data utan lämpliga avtalsmässiga och tekniska skyddsåtgärder.

En granskad granskning från 2025 av AI-verktyg för anteckningsgenerering inom psykisk hälsovård fann att medan de flesta leverantörer tillhandahöll information om dataskydds- och integritetsåtgärder på sina webbplatser, saknades ofta kritiska detaljer (inklusive specifika säkerhetscertifieringar, listor över underbiträden och dataraderingspraxis). Terapeuter bör inte anta efterlevnad. De bör verifiera den.

Praktiska steg för privatpraktiserande behandlare som väljer ett kompatibelt dokumentationsverktyg

Privatpraktiserande behandlare som utvärderar AI-dokumentationsverktyg gör det vanligtvis utan institutionellt IT- eller juridiskt stöd. Följande checklista täcker den minimidue diligence som GDPR kräver:

  • Bekräfta datalokalisering inom EU: Fråga leverantören skriftligt var samtalsdata behandlas och lagras. Bekräfta att inga underbiträden är lokaliserade utanför EES, eller att adekvata överföringsmekanismer finns på plats

  • Erhåll ett undertecknat personuppgiftsbiträdesavtal: Använd inte något verktyg som behandlar patientdata utan ett undertecknat personuppgiftsbiträdesavtal som uppfyller artikel 28:s krav

  • Kontrollera ISO 27001-certifiering: ISO 27001-certifiering indikerar att leverantören har implementerat ett internationellt erkänt ledningssystem för informationssäkerhet. Det är inte en GDPR-garanti, men det är en meningsfull baslinjindikator

  • Granska listan över underbiträden: Leverantörer förlitar sig vanligtvis på underbiträden (till exempel molninfrastrukturleverantörer). Begär den fullständiga listan och bedöm om varje underbiträdes lokalisering och säkerhetsposition är acceptabel

  • Förstå dataraderingspolicyn: Bekräfta hur länge leverantören behåller data efter ett samtal, vad som utlöser radering och om du kan begära radering av specifika poster

  • Verifiera att verktyget stöder patienträttighetsförfrågningar: Systemet måste kunna svara på åtkomstförfrågningar och raderingsförfrågningar inom GDPR:s krävda tidsramar

Bristen på transparens i leverantörskommunikation som identifierats i granskad forskning innebär att terapeuter bör ställa specifika, skriftliga frågor snarare än att förlita sig på marknadsföringsmaterial. En leverantör som inte kan besvara dessa frågor tydligt är inte ett kompatibelt val.

När en patient återkallar samtycke eller begär radering

Patienter har verkställbara rättigheter enligt GDPR som terapeuter måste vara operativt förberedda att hedra. Två är särskilt relevanta för AI-assisterad dokumentation.

Rätt att återkalla samtycke (artikel 7(3)): En patient kan när som helst återkalla samtycke till behandling av sina data. Återkallelse påverkar inte lagligheten av behandling som utförts före återkallelsen, men den måste träda i kraft framåt. Forskning om implementering av återkallelse av samtycke i hälsodatasammanhang belyser den operativa komplexiteten: data kan finnas över flera system (AI-verktyget, en molnsäkerhetskopia, en lokal kopia) och måste identifieras och hanteras i varje.

Rätt till radering (artikel 17): Där behandling baserades på samtycke har en patient som återkallar samtycke rätt att begära radering av sina data. Terapeuten, som personuppgiftsansvarig, måste agera på denna begäran inom en månad och måste instruera eventuella personuppgiftsbiträden (inklusive AI-verktygets leverantör) att radera relevant data från deras system.

I praktiken bör terapeuter:

  • Dokumentera återkallelse av samtycke skriftligt och registrera datumet

  • Kontakta AI-verktygets leverantör omedelbart och begära radering av all samtalsdata associerad med den patienten

  • Erhålla skriftlig bekräftelse från leverantören att radering har slutförts

  • Kontrollera om eventuella lokala kopior (till exempel nedladdade transkribering) också behöver raderas

Rätten till radering är inte absolut. Där data måste behållas för att följa en rättslig skyldighet (såsom yrkesregulerande krav att upprätthålla journalanteckningar under en minimiperiod) kan den skyldigheten åsidosätta raderingsbegäran avseende den formella journalanteckningen. Råa transkribering eller inspelningar som går utöver vad journalanteckningen kräver är osannolikt att dra nytta av detta undantag, och bör i allmänhet raderas på begäran.

Yrkesramverk inom psykisk hälsovård identifierar konsekvent dokumentation och datastyrning som kärnkomponenter i klinikerns ansvarsskyldighet. Förmågan att svara på patienträttighetsförfrågningar är en del av den förväntningen i en digitalt medierad klinisk miljö.

Vanliga frågor

▶ Gäller GDPR för inspelningar och transkribering av terapisamtal

Ja. Enligt dataskyddsförordningen klassificeras data om psykisk hälsa som en särskild kategori av personuppgifter enligt artikel 9, vilket placerar den på den högsta nivån av datakänslighet. Att spela in ett samtal, generera en transkribering, lagra en AI-genererad journalanteckning eller överföra samtalsinnehåll genom ett verktyg från tredje part utgör alla behandling enligt GDPR. Detta gäller varje behandlare som hanterar samtalsdata digitalt, inklusive enpersons psykoterapipraktiker.

▶ Vilken rättslig grund behöver terapeuter innan de använder ett AI-dokumentationsverktyg

Terapeuter måste samtidigt uppfylla två juridiska krav: en rättslig grund enligt artikel 6 i GDPR, och ett separat villkor enligt artikel 9(2). De två mest relevanta villkoren i artikel 9(2) är uttryckligt samtycke från patienten (artikel 9(2)(a)) och behandling som är nödvändig för tillhandahållande av hälso- eller sjukvård, under förutsättning av yrkessekretess (artikel 9(2)(h)). För privatpraktiserande behandlare är uttryckligt samtycke i allmänhet den mest försvarliga vägen, eftersom det direkt dokumenterar patientens godkännande av den specifika behandlingsaktiviteten. Oavsett vilken grund som väljs måste den dokumenteras innan någon behandling påbörjas.

▶ Vad kräver giltigt uttryckligt samtycke när man spelar in eller transkriberar ett terapisamtal

Giltigt uttryckligt samtycke enligt GDPR måste vara fritt givet, specifikt, informerat, otvetydigt och aktivt uttryckt. Samtycke till inspelning innebär inte samtycke till transkribering, AI-behandling eller delning med en handledare. Varje syfte kräver separat samtycke. Samtycke som är nedgrävt i ett allmänt villkorsdokument uppfyller inte denna standard. Det måste också erhållas innan någon inspelning eller transkribering påbörjas. Retroaktivt samtycke uppfyller inte kravet.

▶ Vad är principen om dataminimering och hur gäller den för terapidokumentation

Artikel 5(1)(c) i GDPR kräver att personuppgifter är adekvata, relevanta och begränsade till vad som är nödvändigt för de ändamål för vilka de behandlas. I praktiken, om en strukturerad journalanteckning fångar allt som är kliniskt nödvändigt från ett samtal, kan det inte vara motiverat att behålla den fullständiga ljudinspelningen eller ordagranna transkriberingen. AI-dokumentationsverktyg bör konfigureras för att generera en strukturerad anteckning och sedan radera den underliggande transkriberingen, om det inte finns en specifik klinisk eller juridisk anledning att behålla den. Fullständiga samtalsinspelningar bör inte lagras som standard av administrativ bekvämlighet.

▶ Kan data från terapisamtal lagras eller behandlas utanför Europeiska ekonomiska samarbetsområdet

Överföring av personuppgifter utanför Europeiska ekonomiska samarbetsområdet är begränsad enligt GDPR om inte destinationslandet erbjuder en adekvat nivå av dataskydd, eller om en lämplig skyddsåtgärd såsom standardavtalsklausuler finns på plats. Konsumentinriktade plattformar, inklusive allmänna videokonferensapplikationer, behandlar och lagrar ofta data på servrar utanför Europeiska ekonomiska samarbetsområdet och erbjuder kanske inte de avtalsmässiga skyddsåtgärder som GDPR kräver för hälsodata. Terapeuter bör fråga leverantörer skriftligt var samtalsdata behandlas och lagras, om några underbiträden är lokaliserade utanför Europeiska ekonomiska samarbetsområdet, och vilken överföringsmekanism som gäller om data lämnar regionen.

▶ Vad är ett personuppgiftsbiträdesavtal och behöver terapeuter ett

När en terapeut använder ett externt AI- eller transkriptionsverktyg blir den leverantören ett personuppgiftsbiträde enligt GDPR. Artikel 28 i GDPR kräver ett undertecknat personuppgiftsbiträdesavtal mellan terapeuten och varje leverantör som behandlar patientdata för deras räkning. Avtalet måste specificera syftet och varaktigheten av behandlingen, de säkerhetsåtgärder som finns på plats, biträdets skyldigheter avseende underbiträden, och bestämmelser för radering eller återlämnande av data vid avtalets slut. Avsaknaden av ett personuppgiftsbiträdesavtal gör inte behandlingen laglig. Det gör den till en överträdelse. Terapeuter bör inte använda något verktyg som behandlar patientsamtalsdata utan ett undertecknat avtal på plats.

▶ Vad måste terapeuter berätta för patienter innan de använder ett AI-dokumentationsverktyg

GDPR:s transparensskyldigheter enligt artiklarna 13 och 14 kräver att patienter informeras om behandlingen av deras data vid tidpunkten för insamlingen. Terapeuter måste berätta för patienter vilka kategorier av data som samlas in, identiteten på den personuppgiftsansvarige och eventuella personuppgiftsbiträden, den rättsliga grunden för behandlingen, var data lagras och hur länge, och patientens rättigheter inklusive tillgång, rättelse och radering. Bästa praxis inkluderar att uppdatera praktikens integritetspolicy för att specifikt adressera AI-assisterad dokumentation, tillhandahålla en muntlig förklaring innan det första samtalet där verktyget används, och dokumentera att information gavs och samtycke erhölls.

▶ Hur länge kan terapeuter behålla transkribering och AI-genererade anteckningar

Principen om lagringsbegränsning enligt artikel 5(1)(e) i GDPR kräver att personuppgifter förvaras under inte längre tid än vad som är nödvändigt för de ändamål för vilka de behandlas. Terapeuter måste definiera och dokumentera en lagringsperiod för varje datatyp och tillämpa den konsekvent. AI-genererade anteckningar och samtalstranskribering omfattas inte automatiskt av samma bevaranderegler som formella journalanteckningar. Där en transkribering endast behålls för att generera en anteckning bör den raderas när det syftet är uppfyllt. Terapeuter bör bekräfta att deras AI-verktygs leverantörs dataraderingspraxis överensstämmer med deras dokumenterade bevarandepolicy.

▶ Vad händer om en patient återkallar samtycke eller begär radering av sina samtalsdata

En patient kan när som helst återkalla samtycke till behandling av sina data enligt artikel 7(3) i GDPR. Där behandling baserades på samtycke har patienten också rätt att begära radering av sina data enligt artikel 17. Terapeuten måste agera på en raderingsbegäran inom en månad och måste instruera AI-verktygets leverantör att radera relevant data från deras system, och erhålla skriftlig bekräftelse att radering har slutförts. Rätten till radering är inte absolut: där data måste behållas för att följa en rättslig skyldighet, såsom yrkesregulerande krav för journalanteckningar, kan den skyldigheten åsidosätta raderingsbegäran avseende den formella journalanteckningen. Råa transkribering eller inspelningar som går utöver vad journalanteckningen kräver är osannolikt att dra nytta av detta undantag.

▶ Vilka säkerhetsstandarder bör terapeuter leta efter när de väljer ett AI-dokumentationsverktyg

Artikel 32 i GDPR kräver att personuppgiftsansvariga och personuppgiftsbiträden implementerar tekniska och organisatoriska åtgärder som är lämpliga för risken. För särskilda kategorier av data om psykisk hälsa är risknivån hög som standard. Minimiförväntningar inkluderar kryptering av samtalsinspelningar, transkribering och anteckningar både i vila och under överföring, rollbaserade åtkomstkontroller, granskningsspår som loggar vem som fick tillgång till data och när, och dokumenterade incidenthanteringsprocedurer. ISO 27001-certifiering indikerar att en leverantör har implementerat ett internationellt erkänt ledningssystem för informationssäkerhet och fungerar som en meningsfull baslinjindikator, även om det inte är en GDPR-garanti i sig. En granskad granskning från 2025 av AI-verktyg för anteckningsgenerering inom psykisk hälsovård fann att kritiska säkerhetsdetaljer, inklusive specifika certifieringar, listor över underbiträden och dataraderingspraxis, ofta saknades i leverantörskommunikation. Terapeuter bör verifiera efterlevnad direkt snarare än att förlita sig på marknadsföringsmaterial.

Kom igång med Tandem idag

Gör som tusentals andra som njuter av stressfri dokumentation.

Kom igång med Tandem idag

Gör som tusentals andra som njuter av stressfri dokumentation.

Kom igång med Tandem idag

Gör som tusentals andra som njuter av stressfri dokumentation.