Hvordan kan du bruge health tech i sundheds- og ældresektoren på en ansvarlig måde?

Denne artikel dykker ned i de data­beskyttelsesretlige overvejelser om retlige grundlag, man skal være opmærksom på, når man anvender ny teknologi inden for sundheds- og ældresektoren, og vi giver tre gode råd til, hvordan du kommer godt fra start.

Hvorfor er det relevant at se på teknologi inden for sundheds- og ældresektoren?

Vi står i en situation, hvor der er en række udfordringer på sundheds- og ældreområdet, bl.a. fordi der mangler varme hænder. Som det fx nævnes i den danske strategi for kunstig intelligens, kan et af svarene på udfordringerne i det danske sundhedsvæsen være ny teknologi såsom AI.

Den nye teknologi rummer et stort potentiale. Fremover kan det fx være muligt at diagnosticere patienter ved brug af AI og billedgenkendelse. Man vil kunne personalisere medicin eller beslutte behandlingstiltag på baggrund af AI, forudse hvilke behandlingstiltag der vil være gode, og man kan nemmere opdage fald og søvnproblemer hos ældre etc.

Hvor starter man?

Helt grundlæggende skal brugen af health tech i sundheds- og ældresektoren være ansvarlig. Ansvarlig­hedsprincippet indebærer, at en række forhold skal undersøges, overvejes og dokumenteres. Et væsentligt element i ansvarlighedsprincippet er, at der skal være et retligt grundlag (hjemmel) til at behandle de personoplysninger, der bliver brugt til de respektive formål i løsningen.

Det første skridt for at kunne overholde ansvarlighedsprincippet og kravet om hjemmel er, at den dataansvarlige myndighed – eventuelt i samarbejde med leverandøren – kortlægger datastrømmene samt dokumenterer dette, fx via arkitekturtegninger og beskrivelser.

Det er vigtigt at få det fulde overblik over alle personoplysninger, der bliver behandlet, fx både om medarbejdere og borgere. Det er også vigtigt at få overblik over, hvor alle oplysningerne ”rejser” hen, og hvordan de bliver brugt i den sammenhæng.

Dette arbejde er således med til at muliggøre fastlæggelsen af behandlings­aktiviteterne efter databeskyttelsesretten, samt hvilke formål personoplysningerne bliver behandlet til. Denne baggrunds­viden er også afgørende for, at det er muligt at vurdere det retlige grundlag.

Hvordan finder man det retlige grundlag?

Det retlige grundlag til at behandle personoplysningerne kan findes i både nationale love, bekendtgørelser og uskrevne retsgrundsætninger på lovsniveau. Det er således ikke kun i databeskyttelsesforordningen, at det retlige grundlag kan findes.

Det skyldes, at databeskyttelsesfor­ordningen gør det muligt at vedtage nationale regler til at behandle personoplysninger efter. De nationale regler skal tilpasse og præcisere anvendelsen af forordningens bestemmelser om behandling af personoplysninger. Det betyder fx, at medlemsstater kan vedtage
nationale love, der giver myndig­heder mulighed for at behandle person­oplysninger. En sådan lov kan udgøre det retlige grundlag for at behandle personoplysninger og går forud for databeskyttelsesloven.

Når man skal finde ud af, om der er et retligt grundlag efter databeskyttels­esretten til at behandle personoplysninger ved brug af health tech, skal man som udgangspunkt se på den sektor­specifikke lovgivning, som man administrerer efter til hverdag. Det kan fx være sundhedsloven, journal­føringsbekendtgørelsen eller service­loven.

Klarheden af det retlige grundlag

Kravene til det retlige grundlag afhænger af, hvilken funktion teknologien skal have. I visse situationer og til visse formål kan de almindelige regler i fx serviceloven anvendes som behandlingshjemmel.

I andre situationer kræver det en mere specifik hjemmel for at kunne bruge personoplysningerne i health tech-løsninger. Som eksempel på sådan en hjemmel kan nævnes reglerne om velfærdsteknologi. Der er netop lavet en ændring af service­loven, der har betydning for den fremtidige brug af velfærdsteknologi i forbindelse med magtanvendelse, der bl.a. åbner op for muligheden for at bruge kamerakig og AI, når visse processuelle betingelser er opfyldt.

Reglerne i serviceloven om brug af velfærdsteknologi er et eksempel på, hvordan danske regler – inden for det nationale råderum i databeskyttelsesforordningen – kommer til at sætte rammen for, hvordan det er muligt at behandle personoplysninger og bruge ny velfærdsteknologi.
Helt konkret betyder det, at en myndighed, der skal bruge velfærds­teknologi efter servicelovens regler om magtanvendelse, skal vurdere disse regler.
Disse vurderinger skal skrives ned i en konsekvensanalyse for at kunne overholde ansvarlighedsprincippet. Her har Datatilsynet lavet en skabelon, der kan bruges i forbindelse med brug af AI.

Hvad skal man ellers være opmærksom på, når konsekvens­analysen skal udfyldes?

Det er væsentligt, at det retlige grundlag samt øvrige punkter udfyldes på baggrund af grundige overvejelser. Det er således væsentligt, at konsekvensanalysens indhold kommer i dybden med de relevante emner, herunder spørgsmålet om hjemmel.

Hvordan skal man tilrettelægge processen?

Gennemførelsen af hele processen fra kortlægning af datastrømme til udarbejdelse af konsekvensanalyse er et omfangsrigt og tidskrævende arbejde.
Arbejdet kræver, at man kommer i gang i tilstrækkelig god tid og afsætter tilstrækkelige ressourcer. Man skal også være opmærksom på, at der kan være behov for andre fagkompetencer end de rent juridiske.