Gå til innhold

Lov&Data

3/2025: Artikler
30/09/2025

Forsvarlig bruk av kunstig intelligens i pasientjournaler – løfter og hallusinasjoner

Av Julia Brodshaug, jurist i Helfo og Lars Kristian Morka, analytiker i Helfo.

KI-verktøy som Noteless og Medbric, er allerede tatt i bruk av over to tusen helseaktører i Norge i dag(1)Medbrick. (u.å.). Hos oss har helsepersonell første og siste ord [Om oss]. Medbrick. Lest august 2025, fra https://www.medbrick.no/om-oss. . De kan bidra til mer utfyllende og nyanserte journalnotater, redusere arbeidsmengden til helsepersonell ved å generere utkast til svar, og fungere som beslutningsstøtte for å velge optimal behandling for den enkelte pasient(2) Helsedirektoratet. (2025). Report on large language models in Norwegian health and care services: Risks and adaptations to Norwegian conditions. Helsedirektoratet. Lest august 2025, fra https://www.helsedirektoratet.no/rapporter. . For pasienter kan dette bety raskere og mer informert helsehjelp(3)Johansson, C. U. (2025). Fastlegen om bruk av kunstig intelligens: – Fått mer tid til å puste. Tidsskrift for Den norske legeforening, 145(4). https://doi.org/10.4045/tidsskr.25.0138. , (4)Ayers, J. W., Poliak, A., Dredze, M., Smith, M. E., Chase, H. S., McCoy, J. P., … & Ramamani, R. (2023). Comparing physician and artificial intelligence chatbot responses to patient questions posted to a public social media forum. JAMA Internal Medicine, 183(6), 589–596. https://doi.org/10.1001/jamainternmed., (5) 3. Tai-Seale, M., Baxter, S. L., Vaida, F., Walker, A., Sitapati, A. M., Osborne, C., Diaz, J., Desai, N., Webb, S., Polston, G., Helsten, T., Gross, E., Thackaberry, J., Mandvi, A., Lillie, D., Li, S., Gin, G., Achar, S., Hofflich, H., Sharp, C., Millen, M., & Longhurst, C. A. (2024). AI-Generated Draft Replies Integrated Into Health Records and Physicians’ Electronic Communication. JAMA Network Open, 7(4):e246565. doi:10.1001/jamanetworkopen.2024.6565.. Samtidig innebærer teknologien en betydelig risiko. Feil bruk av journalføringsverktøy med KI, mangelfull utvikling og system-hallusineringer, kan true pasientsikkerheten og svekke tilliten til helsetjenesten. Spørsmålet blir hvordan en slik risiko skal defineres og reguleres rettslig, blant annet i lys av AI Act og GDPR.

Illustrasjon: Colourbox.com

Forsvarlighetskravet innen norsk rett stiller strenge krav til helsehjelpen som gis, og hvordan pasientinformasjon skal håndteres, jf. blant annet helsepersonelloven § 4. Kravet er dynamisk, og regnes som en rettslig standard, jf. Ot.prp. nr. 13 (1998–99) på side 216. Bruk av kunstig intelligens i helsehjelp, herunder bruk av KI i journalføring, vil derfor være underlagt dette kravet. Videre vil en slik bruk av kunstig intelligens underlegges en rekke annen lovgivning, blant annet EUs forordning om kunstig intelligens (AI Act) og GDPR (personvernforordningen). Videre følger det en rekke krav til pasientjournalen gjennom pasientjournalloven.

Feil bruk av journalføringsverktøy med KI, mangelfull utvikling og system-hallusineringer, kan true pasientsikkerheten og svekke tilliten til helsetjenesten.

Hvilken risiko utgjør kunstig intelligens i journalføring for pasientens helse?

AI act ble endelig vedtatt av EU i fjor sommer, og er det første enhetlige regelverket som regulerer bruken og utviklingen av kunstig intelligens(6)European Parliament. (2023). EU AI Act: first regulation on artificial intelligence [Nettside]. European Parliament. Lest august 2025, fra https://www.europarl.europa.eu/topics/eu-ai-act. . Regelverket blir innført i norsk rett, og har dermed stor betydning for hvordan bruk og utvikling av kunstig intelligens skal reguleres i Norge(7)Regjeringen. (2024). Forordning om kunstig intelligens (KI-forordningen) [Nettside]. Regjeringen. Lest juli 2025, fra https://www.regjeringen.no/ki-forordningen. .

Artikkel 6 i AI Act kapittel 3, jf. vedlegg I og III, definerer høyrisikosystemer. Et høyrisikosystem vil blant annet være systemer som klassifiseres som medisinsk utstyr etter AI Act vedlegg I, jf. AI Act artikkel 6 (1). Videre vil KI-systemer som påvirker tilgangen til ulike former for helsehjelp i utgangspunktet defineres som høy risiko(8)Artificial Intelligence Act (Regulation (EU) 2024/1689), Official Journal version of 13 June 2024, chapter III, article 6 (2) Annex III (5).. AI Act stiller omfattende krav til bruken av slike systemer. Blant annet må systemene brukes i tråd med sin tiltenkte funksjon, overvåkes kontinuerlig i klinisk bruk, og være preget av åpenhet om virkemåte og begrensninger(9)Artificial Intelligence Act (Regulation (EU) 2024/1689), Official Journal version of 13 June 2024, chapter III section 2. . Slike krav kan bremse utviklingen av KI i helsehjelp, men kan samtidig bidra til å sikre at teknologien anvendes i samsvar med det som er forsvarlig. Det vil derfor ha stor betydning for implementeringen av KI i journalføring, samt pasientsikkerheten, hvor stor risiko slike systemer innebærer.

Det rettslige utgangspunktet er at et notetakingssystem med KI i generell forstand ikke er et høyrisikosystem etter AI-act eller regnes som medisinsk utstyr(10)Artificial Intelligence Act (Regulation (EU) 2024/1689), Official Journal version of 13 June 2024, chapter III. . Spesielt bekymringsfullt er det imidlertid hvis et slikt KI-verktøy også anbefaler diagnosekoder eller bidrar til beslutninger i helsehjelp uten tilstrekkelig regulering. Bruk av et slikt system til å føre pasientjournal, kan innebære en betydelig større risiko for alvorlige konsekvenser.

Verktøy på markedet i dag, som blant annet Stenoly, foretar automatisk risikovurdering, forslag til differensialdiagnoser og intelligent sammenfatning av pasienthistorikk. Videre skriver selskapet på sine egne hjemmesider at deres verktøy gir detaljerte medisinske anbefalinger(11)Stenoly, «En komplett løsning for moderne helsevesen», 2025, Løsninger for medisinsk journalføring - Stenoly (lest august 2025). . Dette vil potensielt kunne påvirke pasientbehandlingen i stor grad, og dermed også utgjøre en betydelig risiko for den enkelte pasient.

Det rettslige utgangspunktet er at et notetakingssystem med KI i generell forstand ikke er et høyrisikosystem etter AI-act eller regnes som medisinsk utstyr.

Videre vil store språkmodeller (LLM-er) brukt i journalføring generelt ta med seg risikoen for hallusinasjoner, «svart boks» problematikk og transkriberingsfeil. Hallusinasjoner oppstår når KI feiltolker dataene den mates med, eller når den møter uventede mønstre eller endringer, for eksempel ved overtrening på spesifikke datasett (12)Helsedirektoratet. (2025). Risks in large language models [Nettside]. Helsedirektoratet. Lest august 2025, fra https://www.helsedirektoratet.no/risks-in-large-language-models. . Dette er ikke bare «misforståelser»: KI kan fabrikkere nytt innhold som ikke er sagt. En studie av OpenAIs tale-til-tekst-modell Whisper viste at omtrent én prosent av transkripsjoner inneholdt hallusinerte setninger (13)FAccT ’24. (2024). Careless Whisper: Speech-to-Text Hallucination Harms. I Proceedings of the 2024 ACM Conference on Fairness, Accountability, and Transparency (s. 1672–1681). https://doi.org/10.1145/3630106.3658996. . Hallusinasjoner, transkriberingsfeil og lignende feil, kan gjøre at KI modeller forverres over tid – et fenomen kalt «drift» (14)Bayram, A., & Kassler. (2022). From concept drift to model degradation: An overview on performance-aware drift detectors. Knowledge-Based Systems. https://doi.org/10.1016/j.knosys.2022.108632. , som er til stede i prediktive modeller. Dette kan utgjøre en betydelig risiko for den enkelte pasient.

I tillegg karakteriseres store språkmodeller ofte som «svarte bokser», ettersom verken sluttbrukere eller utviklere kan redegjøre fullt ut for hvordan en spesifikk respons blir generert. Den begrensede graden av transparens, forklarbarhet og tolkbarhet innebærer at «svart boks» problematikken fremstår som en grunnleggende utfordring knyttet til anvendelsen av slike modeller(15)U.S. Department of Commerce. (2023). Artificial Intelligence Risk Management Framework (AI RMF 1.0). https://doi.org/10.6028/NIST.AI.100-1. .

Samtidig kan man på den andre siden fremheve at ingen verktøy er helt uten risiko, og at bruk innen helse ikke i seg selv alltid vil føre til at et verktøy med KI må reguleres som et høyrisikosystem(16)Artificial Intelligence Act (Regulation (EU) 2024/1689), Official Journal version of 13 June 2024, chapter III. . Det følger blant annet et unntak av AI Act kapittel 3 artikkel 6 (3). Unntaket sier at selv der et KI-system i utgangspunktet kunne blitt regnet som et høyrisikosystem etter vedlegg III, så gjelder ikke dette der blant annet systemet ikke utgjør en betydelig risiko for skade på helse, sikkerhet eller grunnleggende rettigheter til fysiske personer, inkludert ved å ikke vesentlig påvirke utfallet av beslutningstaking. Det følger videre av bestemmelsen at dette kan være tilfellet der blant annet KI-systemer er ment til å forbedre en allerede fullført menneskelig handling(17)Artificial Intelligence Act (Regulation (EU) 2024/1689), Official Journal version of 13 June 2024, chapter III article 6 (3) b.. Det samme gjelder der KI-systemet skal gjøre en forberedende oppgave til en vurdering(18)Artificial Intelligence Act (Regulation (EU) 2024/1689), Official Journal version of 13 June 2024, chapter III article 6 (3) d., eller der KI-systemet er ment å utføre en avgrenset prosedyremessig oppgave(19)Artificial Intelligence Act (Regulation (EU) 2024/1689), Official Journal version of 13 June 2024, chapter III article 6 (3) a. . Unntakene gjelder ikke ved profilering, jf. AI Act kapittel 3 artikkel 6 (3) siste ledd.

Sammenfatningsvis vil vi derfor fremheve at selv om journalverktøy med KI kan innebære fordeler for pasienten, så innebærer det også potensielt en høy risiko som må reguleres deretter, jf. AI Act og norsk helselovgivning for øvrig.

Hvilken risiko utgjør KI i jounalføring for pasientens personvern?

I tillegg til å kunne innebære en høy risiko for den enkelte pasient sin helsehjelp, kan bruk av journalføringsverktøy med KI utgjøre en risiko for den enkelte pasient sitt personvern etter personvernforordningen (GDPR), jf. personopplysningsloven og pasientjournalloven.

Det følger av pasientjournalloven § 1 at selve formålet med loven er todelt og fremhever at behandlingen av den enkelte pasient sine helseopplysninger skal skje på en forsvarlig og effektiv måte, samtidig som pasientens personvern og øvrige rettigheter er ivaretatt. Bestemmelsen viser at regelverket må tolkes i lys av både personvernregelverket og grunnleggende prinsipper i helselovgivningen for øvrig(20)Stubø, Marit, «Karnov lovkommentar: pasientjournalloven», Lovdata Pro, 2023, § 1 (lest juli 2025). .

GDPR er en risikobasert rettsakt, i likhet med AI Act. Dette innebærer at det er risikoen ved et system som avgjør hvor mange krav det underlegges.

Det følger av GDPR artikkel 9 at helseopplysninger er en særlig kategori av personopplysninger som det i utgangspunktet er forbudt å behandle, med mindre et av behandlingsgrunnlagene i artikkelens punkt to kommer til anvendelse (eksempelvis uttrykkelig samtykke). Journalverktøy med KI som behandler slike opplysninger, vil derfor som utgangspunkt innebære høy risiko etter GDPR, og reguleres deretter.

Der journalverktøy med KI påvirker avgjørelser i et behandlingsforløp i betydelig grad, basert på utilsiktede prediksjoner som bygger på en person sine personlige forhold, kan det oppstå en profilering eller lignende som i utgangspunktet er forbudt.

Videre følger det av GDPR artikkel 22 at den «registrerte» ikke kan utsettes for en «avgjørelse» som «utelukkende er basert på automatisert behandling» som videre har «rettsvirkning» eller lignende som i «betydelig grad» påvirker vedkommende(21)General Data Protection (Regulation (EU) 2016/679), Official Journal version of 27 April 2016. . Der journalverktøy med KI påvirker avgjørelser i et behandlingsforløp i betydelig grad, basert på utilsiktede prediksjoner som bygger på en person sine personlige forhold, kan det oppstå en profilering eller lignende som i utgangspunktet er forbudt. KI-modeller kan nemlig oppnå høy nøyaktighet på treningsdata, men mislykkes i å lære de egentlige mønstrene, og i stedet basere seg på tilfeldige korrelasjoner eller utilsiktede snarveier fra selve dataene(22)General Data Protection (Regulation (EU) 2016/679), Official Journal version of 27 April 2016 artikkel 22 (2).. Dette kan i teorien påvirke avgjørelser om en enkelt pasient sin helse i betydelig grad, basert på tilfeldige korrelasjoner, som kjønn, alder, religion og lignende.

Selv om et journalverktøy med KI kan være ment som en beslutningsstøtte og skal ses over av egnet helsepersonell, er det nemlig et kjent psykologisk fenomen at mennesker kan ha «overdreven tiltro til maskiner»(23)Klingbeil, A., Grützner, C., & Schreck, P. (2024). Trust and reliance on AI — An experimental study on the extent and costs of overreliance on AI. Computers in Human Behavior. https://doi.org/10.1016/j.chb.2024.108352. Dette innebærer at dersom ulike helseaktører oppfatter AI-systemet som svært nyttig, og det samtidig gir tilsynelatende hjelpsomme (eller «behagelige») forklaringer, kan de bli enda mer tilbøyelige til å stole ukritisk på det, noe som kan føre til vurderingsfeil(24)Harbarth, L., Gößwein, E., Bodemer, D., & Schnaubert, L. (2025). (Over)Trusting AI recommendations: How system and person variables affect dimensions of complacency. Interacting with Computers, 41(1), 391–410. https://doi.org/10.1080/10447318.2023.2301250. . Dette er avgjørelser som i stor grad kan påvirke livet til den enkelte pasient. Forskning på «tankeløs etterlevelse» viser at mennesker ganske ubevisst eller automatisk stoler på informasjon som blir gitt, dersom den virker tilstrekkelig plausibel(25)Langer, E. J., Blank, A., & Chanowitz, B. (1978). The mindlessness of ostensibly thoughtful action: The role of «placebic» information in interpersonal interaction. Journal of Personality and Social Psychology, 36(6), 635–642. https://doi.org/10.1037/0022-3514.36.6.635. . På lignende måte bekrefter Anaraky et al. 2020(26)Anaraky, R. G., Knijnenburg, B. P., & Risius, M. (2020). Exacerbating mindless compliance: The danger of justifications during privacy decision making in the context of Facebook applications. AIS Transactions on Human-Computer Interaction, 12(2), 70–95. https://doi.org/10.17705/1thci.00129. disse funnene ved å vise at deltakere følger systemets første forslag uavhengig av innholdet i de medfølgende begrunnelsene, selv da de medfølgende begrunnelsene gikk imot det første forslaget.

På den andre siden, kan man argumentere for at beslutningsstøtteverktøy innen helse på generelt grunnlag vanskelig kan sies å ta en «avgjørelse». Følgelig vil en del slike verktøy som utgangspunkt falle utenfor ordlyden i GDPR artikkel 22. Videre foreligger det unntak fra forbudet, blant annet der det foreligger uttrykkelig samtykke(27) General Data Protection (Regulation (EU) 2016/679), Official Journal version of 27 April 2016 artikkel 22 (2).. Tematikken reiser imidlertid viktige spørsmål rundt risiko og hva som egentlig utgjør en «avgjørelse», og kan komme på spissen i et presset helsevesen hvor avgjørelser må tas raskt og journalen allerede har en nøkkelfunksjon.

Sammenfatningsvis vil vi til denne tematikken fremheve at kunstig intelligens i journalføring kan innebære en høy risiko for den enkelte pasient sitt personvern, og at teknologien dermed må underlegges strenge krav til forsvarlighet og regulering etter GDPR og norsk helselovgivning forøvrig.

Avsluttende bemerkninger

Den raske innføringen og bruken av kunstig intelligens i norsk helsevesen, spesielt i forbindelse med pasientjournaler og konsultasjoner, kan ha store fordeler. De kan bidra til å frigjøre mer tid og ressurser i et presset helsevesen, og bidra til mer utfyllende og detaljerte journalnotater. Når dette er sagt, innebærer også teknologien alvorlige fallgruver og risikoer. Både AI Act, GDPR og norske helselover stiller krav til forsvarlig behandling av både pasienters helse og deres helseopplysninger og vil sette rettslige skranker for både bruken og utviklingen av en slik teknologi i dag og i tiden som kommer. Denne artikkelen er ment som en kort innføring i bruken av KI i journalføring i dag, og som et utgangspunkt for rettslig diskusjon i tiden som kommer.

Noter

  1. Medbrick. (u.å.). Hos oss har helsepersonell første og siste ord [Om oss]. Medbrick. Lest august 2025, fra https://www.medbrick.no/om-oss.
  2. Helsedirektoratet. (2025). Report on large language models in Norwegian health and care services: Risks and adaptations to Norwegian conditions. Helsedirektoratet. Lest august 2025, fra https://www.helsedirektoratet.no/rapporter.
  3. Johansson, C. U. (2025). Fastlegen om bruk av kunstig intelligens: – Fått mer tid til å puste. Tidsskrift for Den norske legeforening, 145(4). https://doi.org/10.4045/tidsskr.25.0138.
  4. Ayers, J. W., Poliak, A., Dredze, M., Smith, M. E., Chase, H. S., McCoy, J. P., … & Ramamani, R. (2023). Comparing physician and artificial intelligence chatbot responses to patient questions posted to a public social media forum. JAMA Internal Medicine, 183(6), 589–596. https://doi.org/10.1001/jamainternmed.
  5. 3. Tai-Seale, M., Baxter, S. L., Vaida, F., Walker, A., Sitapati, A. M., Osborne, C., Diaz, J., Desai, N., Webb, S., Polston, G., Helsten, T., Gross, E., Thackaberry, J., Mandvi, A., Lillie, D., Li, S., Gin, G., Achar, S., Hofflich, H., Sharp, C., Millen, M., & Longhurst, C. A. (2024). AI-Generated Draft Replies Integrated Into Health Records and Physicians’ Electronic Communication. JAMA Network Open, 7(4):e246565. doi:10.1001/jamanetworkopen.2024.6565.
  6. European Parliament. (2023). EU AI Act: first regulation on artificial intelligence [Nettside]. European Parliament. Lest august 2025, fra https://www.europarl.europa.eu/topics/eu-ai-act.
  7. Regjeringen. (2024). Forordning om kunstig intelligens (KI-forordningen) [Nettside]. Regjeringen. Lest juli 2025, fra https://www.regjeringen.no/ki-forordningen.
  8. Artificial Intelligence Act (Regulation (EU) 2024/1689), Official Journal version of 13 June 2024, chapter III, article 6 (2) Annex III (5).
  9. Artificial Intelligence Act (Regulation (EU) 2024/1689), Official Journal version of 13 June 2024, chapter III section 2.
  10. Artificial Intelligence Act (Regulation (EU) 2024/1689), Official Journal version of 13 June 2024, chapter III.
  11. Stenoly, «En komplett løsning for moderne helsevesen», 2025, Løsninger for medisinsk journalføring - Stenoly (lest august 2025).
  12. Helsedirektoratet. (2025). Risks in large language models [Nettside]. Helsedirektoratet. Lest august 2025, fra https://www.helsedirektoratet.no/risks-in-large-language-models.
  13. FAccT ’24. (2024). Careless Whisper: Speech-to-Text Hallucination Harms. I Proceedings of the 2024 ACM Conference on Fairness, Accountability, and Transparency (s. 1672–1681). https://doi.org/10.1145/3630106.3658996.
  14. Bayram, A., & Kassler. (2022). From concept drift to model degradation: An overview on performance-aware drift detectors. Knowledge-Based Systems. https://doi.org/10.1016/j.knosys.2022.108632.
  15. U.S. Department of Commerce. (2023). Artificial Intelligence Risk Management Framework (AI RMF 1.0). https://doi.org/10.6028/NIST.AI.100-1.
  16. Artificial Intelligence Act (Regulation (EU) 2024/1689), Official Journal version of 13 June 2024, chapter III.
  17. Artificial Intelligence Act (Regulation (EU) 2024/1689), Official Journal version of 13 June 2024, chapter III article 6 (3) b.
  18. Artificial Intelligence Act (Regulation (EU) 2024/1689), Official Journal version of 13 June 2024, chapter III article 6 (3) d.
  19. Artificial Intelligence Act (Regulation (EU) 2024/1689), Official Journal version of 13 June 2024, chapter III article 6 (3) a.
  20. Stubø, Marit, «Karnov lovkommentar: pasientjournalloven», Lovdata Pro, 2023, § 1 (lest juli 2025).
  21. General Data Protection (Regulation (EU) 2016/679), Official Journal version of 27 April 2016.
  22. General Data Protection (Regulation (EU) 2016/679), Official Journal version of 27 April 2016 artikkel 22 (2).
  23. Klingbeil, A., Grützner, C., & Schreck, P. (2024). Trust and reliance on AI — An experimental study on the extent and costs of overreliance on AI. Computers in Human Behavior. https://doi.org/10.1016/j.chb.2024.108352
  24. Harbarth, L., Gößwein, E., Bodemer, D., & Schnaubert, L. (2025). (Over)Trusting AI recommendations: How system and person variables affect dimensions of complacency. Interacting with Computers, 41(1), 391–410. https://doi.org/10.1080/10447318.2023.2301250.
  25. Langer, E. J., Blank, A., & Chanowitz, B. (1978). The mindlessness of ostensibly thoughtful action: The role of «placebic» information in interpersonal interaction. Journal of Personality and Social Psychology, 36(6), 635–642. https://doi.org/10.1037/0022-3514.36.6.635.
  26. Anaraky, R. G., Knijnenburg, B. P., & Risius, M. (2020). Exacerbating mindless compliance: The danger of justifications during privacy decision making in the context of Facebook applications. AIS Transactions on Human-Computer Interaction, 12(2), 70–95. https://doi.org/10.17705/1thci.00129.
  27. General Data Protection (Regulation (EU) 2016/679), Official Journal version of 27 April 2016 artikkel 22 (2).
Julia Brodshaug
Lars Kristian Morka