Den danske version er den gældende. Oversættelser til andre sprog stilles til rådighed for at lette forståelsen.
1. Indledning og formål
Medicinsk Copilot er en klinisk AI-assistent til almen praksis, der udarbejder udkast til konsultationsnotater (PSOAP), attester, patientresuméer, henvisninger, svar på kliniske spørgsmål, patientklager og mødereferater. Tjenesten behandler indhold, der kan indeholde helbredsoplysninger, ved hjælp af ny teknologi (store sprogmodeller og tale-til-tekst). Der er derfor udarbejdet en konsekvensanalyse, jf. GDPR artikel 35.
Analysen beskriver behandlingen systematisk, vurderer nødvendighed og proportionalitet, identificerer risici for de registrerede og dokumenterer de foranstaltninger, der nedbringer risikoen.
2. Roller og ansvar
- Dataansvarlig: Den enkelte klinik/læge, der anvender Tjenesten. Ansvaret for at gennemføre en DPIA påhviler den dataansvarlige; dette dokument stilles til rådighed som grundlag og bistand efter GDPR artikel 28, stk. 3, litra f.
- Databehandler: Healthscan (CVR-nr. 20878835) behandler oplysninger på klinikkens vegne i henhold til databehandleraftalen.
- Underdatabehandlere: Anthropic PBC (AI-tekstgenerering), Deepgram, Inc. (tale-til-tekst), Render (hosting) og Stripe (betaling) — jf. databehandleraftalens Bilag B.
3. Systematisk beskrivelse af behandlingen
3.1 Dataflow
- Brugeren (sundhedspersonen) uploader et dokument, optager lyd eller indtaster en forespørgsel i browseren. Al kommunikation sker over krypteret forbindelse (TLS/HTTPS).
- Personoplysninger som CPR-numre, adresser, telefonnumre og e-mailadresser fjernes automatisk, før indholdet sendes til AI-behandling.
- Lydoptagelser transskriberes hos Deepgram på et EU-endpoint; lyd behandles inden for EU og alene i hukommelsen.
- Det redigerede tekstindhold sendes til Anthropic (USA) til generering af udkastet — på grundlag af EU-Kommissionens standardkontraktbestemmelser (SCC) og uden anvendelse til modeltræning.
- Uploads, lydoptagelser, transskriptioner og udkast behandles udelukkende i hukommelsen (in-memory) og lagres ikke af Healthscan. Brugeren overfører selv relevant indhold til eget journalsystem.
- Kliniske svar forankres i godkendte kilder (RAG) med kildehenvisning.
3.2 Oplysninger der lagres
- Brugerkonti (abonnenter): e-mailadresse, adgangskode som saltet og hashet værdi (scrypt), abonnementsplan og Stripe-id. Lagres på krypteret disk hos hostingudbyderen med daglig backup.
- Adgangslogs (tidspunkt og hændelsestype) uden følsomme personoplysninger.
- Betalingsoplysninger håndteres alene af Stripe (PCI DSS) og gemmes ikke hos Healthscan.
3.3 Kategorier af registrerede og oplysninger
| Registrerede | Kategorier af oplysninger |
|---|---|
| Patienter | Helbredsoplysninger, der indgår i det behandlede indhold. Direkte identifikatorer fjernes automatisk før AI-behandling. Indholdet lagres ikke. |
| Sundhedspersoner (brugere) | E-mail, hashet adgangskode, abonnementsdata, adgangslogs. |
4. Nødvendighed og proportionalitet
- Formål: At reducere administrativ byrde i almen praksis og understøtte kvalitet i journalføring. Alt AI-output er udkast; den ansvarlige sundhedsperson validerer, retter og godkender.
- Retsgrundlag (klinikken): Behandling af helbredsoplysninger som led i sundhedsfaglig virksomhed, jf. GDPR artikel 9, stk. 2, litra h, sammenholdt med artikel 6, og journalføringsreglerne i dansk sundhedslovgivning.
- Dataminimering: Automatisk fjernelse af direkte identifikatorer før AI-behandling; ingen lagring af indhold; logs uden følsomme oplysninger; syntetiske data i udvikling og test.
- Opbevaringsbegrænsning: Indhold behandles kun i hukommelsen og bortfalder efter behandlingen. Brugerkonti slettes/spærres ved abonnementets ophør.
- De registreredes rettigheder: Da indhold ikke lagres hos Healthscan, udøves indsigt, berigtigelse m.v. over for den dataansvarlige klinik i dennes journalsystem. Healthscan bistår den dataansvarlige, jf. databehandleraftalen.
5. Risikovurdering
Risici er vurderet for de registrerede på sandsynlighed og konsekvens (lav/mellem/høj) — først uden, dernæst med de anførte foranstaltninger.
| Nr. | Risiko | Før (S/K) | Foranstaltninger | Restrisiko |
|---|---|---|---|---|
| R1 | Uautoriseret adgang til indhold under behandling | Lav / Høj | TLS-kryptering; in-memory behandling uden lagring; adgangskontrol med individuelt login; produktionsadgang begrænset til få betroede personer. | Lav |
| R2 | Overførsel af personoplysninger til AI-leverandør i tredjeland (USA) | Mellem / Mellem | Automatisk fjernelse af direkte identifikatorer før afsendelse; SCC som overførselsgrundlag; leverandøren træner ikke på data og gemmer ikke indholdet. | Lav |
| R3 | Kompromittering af brugerkonti | Lav / Mellem | Adgangskoder kun som saltet scrypt-hash; mindste privilegie; automatisk spærring ved ophør; adgangslogs. | Lav |
| R4 | Fejlagtigt eller misvisende AI-output overføres til journalen | Mellem / Mellem | Alt output er markeret som udkast; obligatorisk validering af den ansvarlige sundhedsperson; kliniske svar kildeforankres (RAG); manglende grundlag markeres eksplicit. | Lav |
| R5 | Utilsigtet lagring eller logning af følsomme oplysninger | Lav / Mellem | Ingen persistens af indhold; logs uden følsomme oplysninger; syntetiske testdata; årlig gennemgang af politikker. | Lav |
| R6 | Manglende tilgængelighed af Tjenesten | Mellem / Lav | Drift hos etableret hostingudbyder; beredskabsplan med reetableringsprocedure. Journalsystemet er uafhængigt af Tjenesten, så patientbehandling kan fortsætte. | Lav |
| R7 | Genidentifikation trods automatisk redaktion (indirekte identifikatorer i fritekst) | Mellem / Mellem | Redaktion af CPR, adresse, telefon og e-mail; instruks til brugere om ikke at indtaste patientidentificerbare oplysninger; ingen lagring hos leverandører; no-training; SCC. | Lav |
6. Tekniske og organisatoriske foranstaltninger
De samlede foranstaltninger er beskrevet i sikkerhedspolitikken og i databehandleraftalens bilag, herunder: kryptering under transport, in-memory behandling uden lagring, automatisk fjernelse af personoplysninger, adgangsstyring efter mindste privilegie, scrypt-hashede adgangskoder, opdaterede tredjepartsafhængigheder, inputvalidering, incident response-procedure med 72-timers anmeldelsesflow samt skriftlige databehandleraftaler/SCC med alle underdatabehandlere.
7. Inddragelse af de registrerede
Direkte høring af patienter er ikke fundet proportional, da indholdet ikke lagres og direkte identifikatorer fjernes før AI-behandling. Den dataansvarlige klinik informerer patienterne om brug af databehandlere via sin privatlivspolitik og besvarer henvendelser om behandlingen.
8. Konklusion
Med de beskrevne foranstaltninger vurderes restrisikoen for de registrerede at være lav for alle identificerede risici. Der er derfor ikke grundlag for forudgående høring af Datatilsynet efter GDPR artikel 36. Analysen revideres mindst årligt samt ved væsentlige ændringer i behandlingen, teknologien eller trusselsbilledet.
← Tilbage til Tillid & sikkerhed© Healthscan (CVR-nr. 20878835) · Medicinsk Copilot