Hvilke ansvarsroller finner vi i GDPR, AI Act og norsk helselovgivning?

En forsvarlig delegasjon av ansvar, og klare ansvars- og kompetansegrenser er en viktig del av forsvarlighetskravet innen helseretten. Hvilket ansvar som påhviler den enkelte, avhenger av rollen vedkommende person eller virksomhet har. Det knyttes ansvar til både bruk og utvikling av kunstig intelligens i helsehjelp.

Etter helselovgivningen er sentrale aktører i denne sammenheng «helsepersonell» og «virksomheten». «Helsepersonell» etter hpl. § 3 omfatter blant annet leger, sykepleiere og helsefagarbeidere. Med andre ord aktører som utfører «helsehjelp» slik dette er definert i hpl. § 3 tredje ledd. Med «virksomheten» menes, etter en ordlydsfortolkning, blant annet sykehus og andre institusjoner og virksomheter som organiserer helsehjelp.

Aktørene som er involvert etter GDPR (jf. personopplysningsloven), i behandlingen av helseopplysninger knyttet til KI-verktøy, er blant annet behandlingsansvarlig, databehandler og den registrerte. Reglene om ansvar etter personvernforordningen vil primært gjelde den behandlingsansvarlige^{(3)Datatilsynet, «Hva er en behandlingsansvarlig?», nettside, 2019, https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/databehandleravtale/behandlingsansvarlig-og-databehandler/hva-er-en-behandlingsansvarlig/ (lest 22.11.2023).}. På bakgrunn av dette er det sentralt å fastlegge hvem som er behandlingsansvarlig for helseopplysningene i det enkelte tilfellet, fordi vedkommende har mange forpliktelser.

Med «behandlingsansvarlig» menes den som alene eller sammen med andre «bestemmer formålet med behandlingen» av opplysningene og hvilke midler som skal benyttes, jf. GDPR artikkel 4 punkt 7. Den behandlingsansvarlige kan være en «fysisk» eller «juridisk» person. Videre kan også en «offentlig myndighet», en «institusjon» eller andre «organer» regnes som behandlingsansvarlig, jf. GDPR artikkel 4 punkt 7. Etter pasientjournalloven § 2 e er definisjonen av «dataansvarlig» et synonym med behandlingsansvarlig. «Databehandleren» etter GDPR artikkel 4 punkt 8 er den som behandler personopplysninger, herunder helseopplysninger, på vegne av den behandlingsansvarlige.

Den «registrerte» defineres som en fysisk identifiserbar person, jf. GDPR artikkel 4 punkt 1. I dette ligger det at den «registrerte» indirekte eller direkte må kunne identifiseres ved hjelp av ulike «identifikatorer» som eksempelvis navn eller identifikasjonsnummer. Det stilles flere krav etter GDPR som skal sikre at personvernet til den registrerte ivaretas.

Sentrale aktører etter AI Act er «provider» (heretter «leverandøren») og «deployer» (tidligere «user», heretter«brukeren»). AI act er et nylig vedtatt juridisk rammeverk som skal regulere kunstig intelligens på en forsvarlig måte^{(4)Artificial Intelligence Act (Regulation (EU) 2024/1689), Official Journal version of 13 June 2024.}. Det følger av AI Act artikkel 3 (3) at med «leverandøren» menes den som utvikler et KI-system og skal sette det de har utviklet ut i markedet, eller skal ha det i en tjeneste under sitt eget navn eller varemerke^{(5)Artificial Intelligence Act (Regulation (EU) 2024/1689), Official Journal version of 13 June 2024.}. Bestemmelsen gjelder også for en offentlig autoritet, et byrå eller andre organer. Dette gjelder både dersom KI-systemet tilbys gratis eller mot kompensasjon. Med «brukeren» menes juridiske eller fysiske personer, offentlig autoritet, byrå eller organ som bruker AI-systemer under sin myndighet, jf. AI Act artikkel 3 (4). Et unntak gjelder der AI-systemet brukes i en personlig sammenheng, i en ikke-profesjonell aktivitet.

Påvirker den digitale utviklingen ansvarsfordelingen innen helse?

Etter kravet til forsvarlighet, jf. hpl. § 4, må helsepersonell i dag forholde seg til utviklingen av kunstig intelligens innen helse, samt ny kunnskap om hva som kan forventes av dem på bakgrunn av dette^{(6)Hauglid 2023, hpl. §4 note 1.} . En forutsetning for at helsepersonell skal kunne oppfylle dette individansvaret, er at virksomheten legger til rette for at den enkelte skal kunne opptre forsvarlig^{(7)Hauglid 2023, hpl. § 4 note 1.} .

Beslutningen om at helsepersonell skal bruke KI-systemer i helsehjelp, forutsetter som regel at dette er en beslutning som er tatt av virksomhetens ledelse. Dersom virksomheten bestemmer at kunstig intelligens skal brukes i behandlingen av pasienter, kan det argumenteres for at utgangspunktet er at det er virksomhetens ansvar å rette opp i eventuelle uforsvarlige forhold knyttet til dette, jf. hpl. § 16, jf. forskrift om ledelse og kvalitetsforbedring i helse- og omsorgstjenesten § 9.

Det kan stilles spørsmålstegn ved om en økt bruk av KI-utstyr i helsehjelpen i praksis vil innebære at mer av ansvaret for forsvarlig helsehjelp flyttes fra helsepersonellet over til virksomheten.

Der det ikke er tilrettelagt for at helsepersonellet skal kunne overprøve og kvalitetssikre eksempelvis beslutningsstøtteverktøy, vil ansvaret for feil som oppstår i forbindelse med dette kunne tilfalle virksomheten, jf. hpl. § 16. Videre er det sykehusets ansvar at helsepersonellet har fått tilstrekkelig opplæring i hvordan KI-utstyret skal brukes, jf. hpl. § 16. Det kan argumenteres for at KI-systemer med økende innflytelse reduserer helsepersonellets kliniske skjønn. Dette vil i så fall kunne påvirke hvordan ansvaret burde fordeles når det oppstår feil.

Der medisinsk utstyr med kunstig intelligens får uforutsette konsekvenser, vil virksomhetsansvaret videre grense mot blant annet produktansvaret etter produktansvarsloven. Lov om medisinsk utstyr vil også gjelde slike KI-verktøy.

Hvem har ansvaret for helseopplysningene som brukes i KI-verktøy?

Helsepersonellets individansvar innebærer også en plikt til å behandle opplysninger på en forsvarlig måte. Dette innebærer blant annet at helsepersonell har taushetsplikt etter helsepersonelloven kapittel 5. Videre har helsepersonell en plikt til å dokumentere etter helsepersonelloven kapittel 8. Ansvaret som følger av disse pliktene kan grense mot behandlingsansvaret.

All behandling av helseopplysninger skal kunne knyttes til en behandlingsansvarlig (i helselovgivningen omtalt som «dataansvarlig»)^{(8)Helse- og omsorgsdepartementet, «Informasjonshåndtering i spesialisthelsetjenesten», rundskriv, på s. 8, 12. april 2019, https://www.regjeringen.no/contentassets/2612793fd9274d42aea938cc9764f4d0/190412_rundskriv_informasjonshaandtering_spesialisthelsetjenesten.pdf.} . Det er som oftest virksomheten, eksempelvis sykehuset, som regnes som den behandlingsansvarlige i en helserettslig sammenheng, jf. GDPR artikkel 4 nummer 7. På denne måten kan en virksomhet både ha virksomhetsansvaret for helsehjelpen og behandlingsansvaret for personopplysningene. Sagt med andre ord, kan samme aktør dermed ha flere ansvarsroller samtidig.

For å videre bygge opp ansvarslandskapet, er det verdt å nevne bestemmelsene i den nylig vedtatte AI Act. Målet med denne lovgivningen er blant annet å sikre at KI-teknologi blir utviklet og brukt på en forsvarlig måte. AI Act utgjør med dette et ytterligere regelverk som pålegger ulike aktører forpliktelser for å sikre at bruken og utviklingen av kunstig intelligens-systemer innen helse, ikke skal føre galt av sted.

I AI Act er det leverandøren som er underlagt flest forpliktelser. Brukeren er imidlertid også en sentral aktør. En slik bruker kan for eksempel være et sykehus som kjøper inn et beslutningsstøtteverktøy som skal bidra til å stille diagnoser på pasienter. Dette innebærer at flere av forpliktelsene som før kun ble lagt på leverandøren, nå også gjelder for brukerne etter AI Act^{(9)Anna Tamuly, «Hvordan samspiller risikovurderingene i AI Act med risikovurderingene i GDPR?», Lov & Data, 2023 punkt 2, https://lod.lovdata.no/article/2023/09/Hvordan%20samspiller%20risikovurderingene%20i%20AI%20Act%20med%20risikovurderingene%20i%20GDPR.} . Sett i lys av GDPR, vil dette innebære at brukere etter AI Act i flere tilfeller også må underlegges reglene knyttet til den behandlingsansvarlige etter GDPR^{(10)Europaparlamentets og Rådets direktiv (EU) 2016/679.} . Videre vil leverandøren ha ansvar som behandlingsansvarlig i sin opptrening og utvikling av KI-systemet, ettersom vedkommende i sammenheng med dette faller inn under definisjonen i GDPR artikkel 4. Når opptreningsperioden er ferdig, og vedkommende leverandør selger KI-systemet til en bruker, vil vedkommende leverandør overfor denne brukeren ofte ha rollen som databehandler. Dette vil innebære at samme aktør kan ha flere ansvarsroller^{(11)Anna Tamuly, «Hvordan samspiller risikovurderingene i AI Act med risikovurderingene i GDPR?», Lov & Data, 2023 punkt 2, https://lod.lovdata.no/article/2023/09/Hvordan%20samspiller%20risikovurderingene%20i%20AI%20Act%20med%20risikovurderingene%20i%20GDPR.} som endrer seg avhengig av hvor i prosessen man er. Dette utgangspunktet kompliseres ytterligere ved at det finnes ulike former for kunstig intelligens, med ulike prosesser og former for maskinlæring.

Det er viktig at hovedaktørene innen bruk og utvikling av KI-­utstyr innen helse har en tydelig tildelt ansvars­rolle slik at regel­verket kan overholdes.

Avsluttende bemerkninger

I sammenheng med forsvarlighetskravet kan en uklar, overlappende og komplisert ansvarsfordeling stride mot kravet om klare ansvars- og kompetanseforhold. Dette kan utgjøre en risiko for den enkelte pasient sitt krav på forsvarlig helsehjelp og informasjonsbehandling. Det er viktig at hovedaktørene innen bruk og utvikling av KI-utstyr innen helse har en tydelig tildelt ansvarsrolle slik at regelverket kan overholdes. Denne artikkelen har vist at de ulike ansvarsrollene kan grense mot hverandre og tidvis overlappe. Videre har artikkelen fremhevet at samme aktør kan ha flere roller samtidig, og at rollene kan endre seg og byttes om under ulike stadier i utviklingen og bruken av det samme KI-systemet. Artikkelen er ment som et utgangspunkt for juridisk drøftelse rundt ansvarsfordelingen ved feil knyttet til KI-systemer innen helse i tiden som kommer.