AIGATO.

Kunstig intelligens · Regulering · Hva det betyr for Norge

AI-laber og teknologiselskaperPublisert 15. juli 2026

Tre regelverkslag norske helseinstitusjoner må gjennom før AI-en tar telefonen

Et arkitektureksempel fra AWS-partneren ScienceSoft viser hvordan HIPAA-krav kan oversettes til GDPR-praksis — men KI-forordningen legger til et tredje rammeverk med virkning i Norge fra august 2026.

TIMUR AKTAS · Ansvarlig redaktør · 15. juli 2026
AI-generert · redaksjonelt kontrollert

AI-stemmeassistenter i helsesektoren håndterer personopplysninger i særlig kategori — noe som utløser krav under både GDPR og KI-forordningen.

Timebestilling per telefon binder opp opptil 30 prosent av bemannet tid i helsetjenesten, og én av tre innkommende samtaler går ubesvart i rushtiden. AI-stemmeassistenter kan løse kapasitetsproblemet, men for norske helseinstitusjoner er den tekniske løsningen bare én tredel av oppgaven. GDPR, KI-forordningen og Normen danner til sammen et regelverkslag ingen arkitekt kan ignorere.

Problemet arkitekturen skal løse

Helseinstitusjoner som poliklinikker og fastlegekontorer bruker i snitt 30 prosent av bemannet tid på timebestilling, ifølge AWS-partneren ScienceSoft, som presenterte en stemmeassistent for timebooking på World Health Expo i Dubai. Hver konsulent håndterer 40–60 samtaler per dag og kan ikke betjene mer enn én linje samtidig. Én av tre innkommende anrop går ubesvart i belastningsperioder — og 34 prosent av de pasientene ringer aldri tilbake.

AI-stemmeassistenter skalerer parallelt: ett system kan håndtere et ubegrenset antall samtidige samtaler. ScienceSofts løsning, bygget på AWS-infrastruktur, oppgir å kutte gjennomsnittlig samtaletid med 40 prosent og øke samlet samtalkapasitet med 70 prosent sammenlignet med menneskelige operatører. Tallene er selskapets egne og ikke uavhengig verifisert.

Hva HIPAA ikke dekker i Norge

ScienceSofts løsning er sertifisert mot HIPAA — den amerikanske helsepersonvernloven. For norske helseinstitusjoner er HIPAA irrelevant som juridisk krav, men instruktiv som teknisk modell. Det norske rammeverket hviler på GDPR, innarbeidet i norsk rett gjennom personopplysningsloven.

Helseopplysninger er under GDPR en særlig kategori av personopplysninger. En helseinstitusjon som behandlingsansvarlig trenger derfor både et vanlig behandlingsgrunnlag etter artikkel 6 og et særskilt unntak etter artikkel 9. For timebestilling er det mest nærliggende grunnlaget ytelse av helsehjelp, jf. artikkel 9 nr. 2 bokstav h. Samtykke kan ikke fungere som eneste grunnlag i klinisk kontekst, siden det ikke vil være tilstrekkelig frivillig.

I tillegg stiller helselovgivningen — særlig helsepersonelloven og pasientjournalforskriften — egne krav til tilgang, logging og oppbevaring av pasientdata. En stemmeassistent som henter informasjon fra et elektronisk pasientjournal-system (EPJ) er underlagt journalregelverket, ikke bare personvernregelverket.

Arkitekturens tre personvern-grep

ScienceSofts løsning illustrerer tre tekniske mekanismer som korresponderer direkte med GDPR-krav, uavhengig av at de er beskrevet i HIPAA-terminologi.

Hele systemet kjøres i et isolert virtuelt privat nettverk — et Amazon VPC — der all trafikk er kryptert både under overføring og i lagringsmediet. For norske installasjoner betyr det at dataene aldri forlater et kontrollert miljø, som er en forutsetning for å oppfylle kravene til tekniske og organisatoriske sikkerhetstiltak i GDPR artikkel 32.

Systemet automatiserer sletting og maskering av sensitive identifikatorer i sanntid. Amazon Bedrock Guardrails — løsningens filtreringskomponent, som evaluerer alle AI-svar før de leveres til pasienten — fjerner personnummer, forsikringsdetaljer og lignende fra logger umiddelbart etter at identitetsverifisering er fullført. Dette er en teknisk realisering av dataminimeringsprinsippet i GDPR artikkel 5.

Systemet genererer en fullstendig revisjonslogg for hvert inngrep. AWS CloudTrail og Amazon CloudWatch logger hvilken policy som ble utløst, hvilken handling som ble tatt og korrelasjons-ID-er — med sensitiv informasjon redigert bort. For en norsk institusjon dekker dette kravet til dokumentasjon av behandlingsaktiviteter i GDPR artikkel 30 og til hendelseslogging etter Normen.

KI-forordningen: det tredje laget

En norsk helseinstituusjon som setter en slik løsning i drift, møter samtidig EU-forordningen om kunstig intelligens. Forordningen trådte i kraft i EU i august 2024 og forventes innlemmet i norsk rett fra august 2026, ifølge Helsedirektoratets faktaark.

KI-forordningen opererer med fire risikokategorier: minimal, begrenset, høy og uakseptabel risiko. En stemmeassistent som utelukkende håndterer kalenderlogistikk uten kliniske vurderinger, vil trolig falle i kategorien «begrenset risiko», der kravet er at pasienten informeres om at vedkommende snakker med et AI-system. Det er et transparenskrav, ikke et krav om forhåndsgodkjenning.

Kobles systemet til triage-funksjoner eller prioriteringslogikk, kan klassifiseringen endres til «høy risiko», med strenge krav til dokumentasjon, menneskelig tilsyn og samsvarsvurdering. KI-forordningen supplerer GDPR — den erstatter det ikke. Et KI-system i helsesektoren er underlagt begge regelverk.

Identitetsverifisering som avgjørende punkt

Det rettslig mest sensitive trinnet i en AI-taleassistent for helsetjenester er identitetsverifisering. ScienceSofts system ber om pasientens navn, fødselsdato og de fire siste sifrene i personnummeret, og verifiserer mot tilkoplet EPJ- eller CRM-system — en prosess som tar rundt 20 sekunder.

For norske systemer er personnummer særlig beskyttet og bør ikke lagres i konversasjonslogger. Løsningen demonstrerer en teknisk praksis som samsvarer med dette: sensitiv informasjon redigeres bort umiddelbart etter at verifisering er fullført, og informasjonen brukes ikke til andre formål enn å bekrefte identitet. Formålsbegrensningsprinsippet i GDPR artikkel 5 er nettopp dette: data innhentet til ett formål kan ikke gjenbrukes til et annet.

Mislykkes verifiseringen, overføres samtalen automatisk til en menneskelig operatør. Det oppfyller også kravet om menneskelig tilsyn i tilfeller der en automatisert beslutning får konsekvenser for enkeltpersoner.

Hva som gjenstår å dokumentere

ScienceSofts arkitektur er designet for HIPAA-samsvar i USA. Bloggposten beskriver ingen gjennomgang mot GDPR artikkel 35 — kravet om forhånds-konsekvensvurdering av personvernkonsekvenser (DPIA) — som er obligatorisk ved storskala behandling av helseopplysninger. Norske institusjoner som adopterer arkitekturen, kan ikke overføre HIPAA-sertifiseringen direkte til norsk samsvarsdokumentasjon.

De konkrete tilleggstrinnene en norsk helseinstituusjon må ta: gjennomføre DPIA etter GDPR artikkel 35, inngå databehandleravtale med skyleverandøren etter artikkel 28, sikre at dataoverføringer til tredjeland oppfyller kapittel V-kravene dersom data behandles utenfor EØS, og klassifisere systemet mot KI-forordningens risikokategorier før august 2026.

Det siste punktet haster mest. Helsedirektoratet signaliserer august 2026 som norsk ikrafttredelse — 13 måneder unna. En DPIA for et nytt pasientrettet AI-system tar gjerne tre til seks måneder å gjennomføre forsvarlig.

««I'm not able to provide medical advice, but I can help you reach your care team.»»
Eksempel på pre-godkjent svar fra ScienceSofts AI-stemmeassistent, slik det beskrives i AWS ML-bloggen
Få dette rett i innboksen

De viktigste AI- og reguleringssakene, oversatt til hva de betyr for din virksomhet. Gratis.

Kun nyhetsbrevet, ingen spam. Meld deg av når som helst.

Kilde: https://aws.amazon.com/blogs/machine-learning/sciencesofts-hipaa-compliant-ai-voice-scheduler-built-on-aws/
Bakgrunnskilder: Helsedirektoratet: KI-forordningen (KI-faktaark 4) · Startbrain.ai: AI Act Norge — sjekkliste for bedrifter (2026) · Debet.no: Helseinformasjon og GDPR — behandling av sensitive data · Arntzen de Besche: AI, personvern og digital regulering — GDPR, KI-forordning, EHDS · EU-kommisjonen: AI Act — Shaping Europe's digital future

Tre regelverkslag norske helseinstitusjoner må gjennom før AI-en tar telefonen · AIGATO