Norwegian AI suppliers in healthcare - Why CE marking, data security and privacy are crucial

Open Info publiserer denne artikkelen etter flere forespørsler om en oversikt over norske leverandører av kunstig intelligens (AI) til helsetjenesten. Artikkelen gir innsikt i CE-merking, datasikkerhet, pseudonymisering og konsekvensene ved databrudd, samt fordeler med bruk av AI i pasientkonsultasjoner.

De fire sentrale aktørene i det norske markedet

• MediVox.ai: CE-godkjent som medisinsk utstyr. All databehandling skjer utelukkende i Norge. Systemet benytter tale-til-tekst og generativ AI for å produsere journalnotater og epikriser.
• Caiamd.ai: Også CE-godkjent. Bruker lignende teknologi, men det er uklart hvor datasenter og prosessering skjer.
• MedBric: Har valgt å ikke søke CE-godkjenning og viser til ekstern vurdering som strider med Helsedirektoratets føringer.
• Noteless.ai: Oppgir ikke CE-status. Dersom systemet brukes til journalføring eller medisinske vurderinger, skal det i henhold til MDR være CE-merket.

Se vår artikkel hvor vi sammenligner de ulike aktørene her

Hva er CE-merking og hvorfor er det viktig?

CE-merking er produsentens erklæring om at løsningen oppfyller alle krav i EU-lovgivningen for medisinsk utstyr. Dette inkluderer risikovurdering, ytelsestesting, klinisk dokumentasjon og samsvar med MDR (EU 2017/745).

Oversikt over CE-klasser:

• Klasse I: Lav risiko. F.eks. støtteverktøy for dokumentasjon. Kan CE-merkes ved egenerklæring.
• Klasse IIa: Moderat risiko. F.eks. AI som genererer journalnotater uten manuell gjennomgang. Krever vurdering av meldt organ.
• Klasse IIb: Høy risiko. F.eks. AI som gir behandlingsforslag. Krever omfattende teknisk og klinisk dokumentasjon.

Hvordan bli CE-godkjent?

1. Definer produktets tiltenkte bruk og vurder risikoklasse.
2. Utform teknisk dokumentasjon inkl. risikovurdering og klinisk validering.
3. Gjennomfør samsvarsvurdering (med meldt organ for IIa og høyere).
4. Signer samsvarserklæring og påfør CE-merket.

Anonymisering vs. pseudonymisering

Håndtering av pasientdata krever nøye vurdering av personvernet. Det skilles mellom:

• Anonymisering: Data kan ikke knyttes til enkeltperson. Fall utenfor GDPR. Brukt av f.eks. MedBric og Noteless.ai.
• Pseudonymisering: Identifikatorer erstattes, men nøkkel kan koble tilbake. Regnes fortsatt som personopplysning og omfattes av GDPR. MediVox.ai er eneste aktør som tilbyr systematisk pseudonymisering med lokal nøkkelkontroll.

Sammenligningstabell:

Egenskap	Anonymization	Pseudonymization
Identifiserbarhet	Fjernet	Mulig via nøkkel
Omfattet av GDPR	Nei	Yes
Egnet for sanntidsbruk	Nei	Yes
Pasientrettigheter (retting, sletting)	Nei	Yes
Eksempel	MedBric, Noteless.ai	MediVox.ai

Konsekvenser ved databrudd

Et databrudd hos en AI-leverandør kan få alvorlige følger for helsepersonell:

• Tap av pasienttillit og potensiell skade på klinikkens omdømme
• Juridisk ansvar og økonomiske sanksjoner ved brudd på GDPR og helselovgivning
• Stans i bruk av systemet og operasjonell nedetid
• Krav om varsling til pasienter og Datatilsynet

Derfor er det avgjørende at leverandører tilbyr innebygd sikkerhet, robust logging, pseudonymisering og at behandlingen skjer innenfor norsk jurisdiksjon.

Hvordan bruke AI på en trygg måte i klinikken?

• Bruk kun CE-godkjente systemer
• Sikre at databehandling skjer innenfor Norge eller EU med sterk sikkerhetskontroll
• Velg leverandører med pseudonymisering
• Utfør jevnlig vurdering av risiko, databruk og modellens resultater
• Informer pasientene om bruken og innhent samtykke der det er nødvendig

Kliniske fordeler ved AI i pasientkonsultasjoner

Erfaringer fra norske leger viser at AI gir stor klinisk og praktisk verdi:

• Tidsbesparelse: Leger kan spare opptil 2 timer daglig på dokumentasjon
• Forbedret pasientkontakt: Legen kan se pasienten i øynene og delta fullt ut i dialogen
• Bedre dokumentasjonskvalitet: AI-systemer fanger opp hele samtalen og produserer strukturerte, faglig riktige notater
• Økt pasientsikkerhet og omsorg: Mer korrekt og fullstendig dokumentasjon gir bedre helsetilbud

“Systemet dokumenterer raskere og mer presist enn jeg rekker selv. Pasientene får bedre kontakt og vi slipper kveldsjobbing.” – Fastlege, Oslo

Videre lesing og relevante kilder

For deg som ønsker å lære mer om regelverk, sikkerhetskrav, og hvordan AI-løsninger kan brukes trygt og effektivt i helsesektoren, anbefaler vi følgende ressurser:

---

📘 Regelverk og myndighetskrav

• Helsedirektoratet – Kunstig intelligens i helsetjenesten
  https://www.helsedirektoratet.no/tema/kunstig-intelligens
  En oversikt over juridiske og etiske føringer for bruk av AI i helse, med vekt på ansvar, dokumentasjon og implementering i klinisk praksis.
• Lovdata – EUs forordning om medisinsk utstyr (MDR 2017/745)
  https://lovdata.no/dokument/SF/forskrift/2021-05-10-1417
  Det juridiske rammeverket som regulerer CE-merking av medisinsk utstyr, inkludert AI-baserte systemer brukt i diagnostikk og behandling.
• Datatilsynet – Veileder for innebygd personvern og pseudonymisering
  https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/innebygd-personvern/
  En praktisk veileder for hvordan man implementerer sikre tekniske og organisatoriske tiltak for sensitive personopplysninger.

---

📊 Teknologi og sikkerhet i AI-løsninger

• Norsk Helsenett – Sky og datasikkerhet i helsesektoren
  https://www.nhn.no/sikkerhet-og-personvern/skytjenester
  Beskriver hvilke krav som stilles til datalagring, geografisk plassering og tilgangskontroll for systemer som behandler pasientdata.
• EUs AI Act (Artificial Intelligence Act)
  https://artificialintelligenceact.eu
  En fremtidig regulering som vil ha stor betydning for klassifisering, godkjenning og markedstilgang for AI-systemer brukt i helse.
• SINTEF – Rapport: Etisk og ansvarlig kunstig intelligens i helsetjenesten
  https://www.sintef.no/publikasjoner/etisk-ai-helse
  Forskning på hvordan AI bør utvikles og brukes i tråd med pasientrettigheter, profesjonsetikk og samfunnsansvar.

---

🧭 Norsk praksis og aktører

• MediVox.ai – Norsk CE-godkjent AI-løsning for helsepersonell
  https://www.medivox.ai
  Tilbyr tale-til-tekst og generativ AI for journalføring og epikriser, med full databehandling innenfor Norge og pseudonymisering som standard.
• Norsk helsenett – Helsenorge API og integrasjoner
  https://helsenorge.no/utvikler
  Informasjon for leverandører som vil utvikle integrerte løsninger for journalsystemer og pasientkommunikasjon i Norge.

---

📚 Faglig fordypning

• OECD – Artificial Intelligence in Healthcare
  https://www.oecd.org/health/artificial-intelligence.htm
  Internasjonal rapport om hvordan AI påvirker helsetjenester, med fokus på kvalitet, risiko og effektivitet.
• WHO – Ethics & governance of AI for health
  https://www.who.int/publications/i/item/9789240029200
  En global retningslinje for ansvarlig bruk av AI i helsesektoren, inkludert krav til transparens, sporbarhet og lik tilgang.