Helsevesenets drøm om lynrask, feilfri AI-triage – der pasienter sorteres og prioriteres automatisk ved ankomst – støter nå mot en solid juridisk mur. EU AI Act og GDPR setter til sammen så strenge krav at fullt automatiserte løsninger i praksis er utelukket. For norske helseforetak, som er bundet av EU-regelverket gjennom EØS-avtalen, er dette ikke fremtidsmusikk: det er gjeldende rett.
Hva regelverket faktisk sier
EU AI Act plasserer AI-systemer brukt i helsetjenester i kategorien høyrisiko-AI. Det innebærer dokumentasjonskrav, teknisk robusthet, åpenhet og – avgjørende – meningsfull menneskelig kontroll. Regelverket overlapper med GDPR, som allerede har vært i kraft siden 2018.
Sentral her er GDPR artikkel 22, som som utgangspunkt forbyr beslutninger som utelukkende er basert på automatisert behandling dersom de har rettslig eller tilsvarende betydelig effekt på enkeltpersoner. Ifølge forskning gjengitt av Devdiscourse faller de fleste AI-drevne triage-systemer inn under denne kategorien, fordi de direkte påvirker pasienters tilgang til behandling og prioriteringsrekkefølge.
Unntak finnes – blant annet der pasienten har gitt eksplisitt samtykke, der behandlingen er nødvendig av kontraktsmessige grunner, eller der nasjonal lov tillater det – men unntakene forutsetter alltid egnede garantier, inkludert retten til menneskelig inngrep.
Det menneskelige tilsynet må være meningsfullt og substansielt – ikke en «gummistempel»-godkjenning av algoritmens output
Menneskelig kontroll som juridisk krav
Et sentralt poeng i regelverket er at kravet om «human in the loop» ikke er oppfylt bare fordi en ansatt formelt sett godkjenner en beslutning. Tilsynet må være reelt: den ansatte må ha tid, kompetanse og faktisk mulighet til å overprøve systemet.
Forskning på HITL-løsninger (human-in-the-loop) viser at dette også gir praktiske gevinster. I finanssektoren har HITL-validering vist seg å redusere feilaktig fangst av personidentifiserbar informasjon (PII) med hele 42 prosent i KYC-arbeidsflyter, ifølge data fra et britisk finansselskap referert i forskningsgrunnlaget. Helsesektoren er minst like sårbar for slike feil – og konsekvensene er potensielt langt mer alvorlige.
Norsk helsesektor i skuddlinjen
Norge er ikke EU-medlem, men er gjennom EØS-avtalen forpliktet til å implementere det meste av EUs indre markedsregelverk – inkludert EU AI Act når det er fullt innlemmet i EØS-avtalen. GDPR er allerede norsk lov gjennom personopplysningsloven.
Dette betyr at norske helseforetak, private klinikker og leverandører av helseIT-systemer ikke kan se bort fra kravene. Virksomheter som planlegger å innføre eller videreutvikle AI-baserte triage-løsninger, er i praksis allerede pålagt å gjennomføre en Data Protection Impact Assessment (DPIA) – en grundig konsekvensvurdering av personvernrisiko.
Hva bransjen må gjøre
Eksperter er tydelige på at AI kan akselerere arbeidsprosesser, men ikke kan forstå regelverk, juridiske nyanser eller prinsipper for personvern. Ansvaret for lovlig og rettferdig behandling ligger hos virksomheten – ikke algoritmen.
For norske aktører innebærer dette konkret:
Gjennomfør DPIA før AI-systemer for triage tas i bruk eller vesentlig endres.
Dokumenter det menneskelige tilsynet slik at det kan etterprøves av Datatilsynet eller andre tilsynsmyndigheter.
Sørg for åpenhet overfor pasienter: de skal informeres om at AI inngår i beslutningsprosessen, og ha rett til å kreve menneskelig behandling.
Bygg inn revisjonsspor i arbeidsflytene, slik at det er mulig å dokumentere hvem som tok hvilke beslutninger og på hvilket grunnlag.
Kilden Devdiscourse understreker at regelverket ikke er ment å stoppe AI i helsetjenesten – men å sikre at teknologien brukes på en måte som er rettferdig, lovlig og etterprøvbar. For norsk helsevesen er det ikke lenger et spørsmål om man skal forholde seg til disse kravene, men hvordan.