Översikt
Patienter kan ha svårt att snabbt få kontakt med sin vårdmottagning för enklare administrativa ärenden. Mycket av personalens arbetstid går åt till att hantera enkla administrativa uppgifter. För att angripa detta problem så utvecklar Företaget en AI-baserad digital chattbot, Chatbot, som erbjuds till vårdgivare och kan integreras på deras hemsidor. Den kan besvara enklare frågor av administrativ karaktär, men ger inte råd och stöd kring behandling.
| Produktbeskrivning | En AI-baserad digital chattbot, ChatBot, som kan integreras på en vårdgivares hemsida och kan besvara enklare administrativa frågor kring adress och öppettider. |
| Målgrupp för produkten | Företag, myndigheter och organisationer inom hälso- och sjukvården |
| Aktuella regelverk |
Dataskyddsförordningen (GDPR) Patientdatalagen HSLF-FS 2016:40 AI-förordningen |
| Företagets roller utifrån regelverk | Personuppgiftsbiträde (GDPR) Leverantör/Tillverkare (AI-förordningen) |
| Centrala juridiska frågeställningar |
Funktionalitet
|
| Vägledningar |
Känsliga personuppgifter och GDPR
ChatBot är inte avsedd att hantera personlig hälsodata. Den är byggd för att vara anonym och kräver varken inloggning eller spårning av användaren. Trots detta är det möjligt att vissa användare ändå kommer att mata in information om sin hälsa. Om de i samma konversation även uppger identifierande data, som sitt namn eller kontaktuppgifter, uppstår en situation där chattbotten oavsiktligt behandlar känsliga personuppgifter.
Att behandla känsliga personuppgifter ställer höga krav enligt GDPR och kräver en tydlig ansvarsfördelning mellan Företaget som leverantör och vårdgivarna som dess kunder. Vårdgivarna är personuppgiftsansvariga. Det betyder att det är de som har den direkta relationen med patienten och som bestämmer varför personuppgifter ska hanteras. Det är därför alltid vårdgivaren som ansvarar för att ha en giltig rättslig grund för att använda ChatBot. Företaget är personuppgiftsbiträde och hanterar endast informationen på vårdgivarnas direkta uppdrag och enligt deras instruktioner, vilket framgår av personuppgiftsbiträdesavtalet mellan parterna.
Ett alternativ hade varit att erbjuda ChatCare som en lokal installation hos vårdgivaren, där all behandling av personuppgifter hade skett helt inom deras IT-miljö, och där Företaget inte alls haft tillgång till systemet eller dess data. Då hade Företaget inte behövt vara personuppgiftsbiträde och därmed minskat sitt juridiska ansvar. Men det hade samtidigt inneburit att Företaget inte skulle ha kunnat komma åt systemet för att ge support, felsöka, samla in data för att förbättra tjänsten eller enkelt installera uppdateringar.
Skyldigheter enligt AI-förordningen
ChatBot faller inom ramen för AI-förordningen. Den utgör ej högrisk trots att den används inom hälso- och sjukvården. Däremot är det en produkt med begränsad risk där det finns transparenskrav för vårdbolaget som integrerar lösningen på sin hemsida. Det innebär i praktiken en skyldighet för vårdbolaget att informera användarna om att de interagerar med en produkt som använder AI.
Slutsatser
Så fort en tjänst innehåller fritext så behöver tillverkaren ta höjd för att all möjlig information kan delas den vägen, inklusive känsliga personuppgifter, även om det inte behövs för syftet med tjänsten. Om det är identifierbar data om en patient Ett annat medskick är att även enkla AI-produkter berörs av vissa delar av AI-förordningens regelverk.