For mange fysioterapeuter har KI-baserte verktøy blitt en del av arbeidshverdagen, særlig innen journalføring og dokumentasjon. Selv om verktøyene kan være enkle å ta i bruk, er det avgjørende at du som helsepersonell vet hvordan du bruker dem på en trygg, faglig forsvarlig og lovlig måte. Som fysioterapeut er det alltid du selv som er ansvarlig for hvordan du bruker KI-verktøy i arbeidet.
Helsedirektoratet har publisert ni KI-vettregler for helsetjenesten. Disse gir et godt grunnlag for å vurdere egen bruk, risiko og ansvarsforhold. I denne artikkelen ser vi nærmere på hva disse reglene betyr for deg som fysioterapeut i klinisk praksis.
1: Sett deg inn i virksomhetens interne retningslinjer og tilgjengelige KI-verktøy
Gjør deg kjent med Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren. Når du vurderer transkriberingsprogrammer eller andre KI-verktøy, bør du be leverandøren om sikkerhetsdokumentasjon og henvisning til hvordan løsningen følger denne normen.
Som ansatt fysioterapeut er det arbeidsgiver som har dette ansvaret, men du bør kjenne til hvilke retningslinjer som gjelder på din arbeidsplass.
Som selvstendig næringsdrivende fysioterapeut er det du selv som er virksomheten. Det innebærer ansvar for å ha skriftlige rutiner for informasjonssikkerhet og personvern, gjennomføre risikovurderinger før du tar i bruk KI-verktøy, og å inngå databehandleravtaler der det er nødvendig.
Databehandleravtale
En databehandleravtale er en skriftlig avtale mellom den behandlingsansvarlige (som regel deg som fysioterapeut i klinisk praksis) og en databehandler (leverandør som behandler personopplysninger på dine vegne).
Databehandleravtalen skal sikre at personopplysninger behandles i tråd med personvernregelverket. For fysioterapeuter i klinisk praksis betyr dette at bruk av leverandører som behandler pasientopplysninger, skal være regulert i en skriftlig databehandleravtale.
Les mer om dette i Datatilsynets veiledning om databehandleravtaler.
Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren
En bransjenorm, utarbeidet og forvaltet av organisasjoner og virksomheter i helsesektoren, som samler krav fra relevant lovverk i ett felles rammeverk, og gir veiledning om hvordan helse- og personopplysninger skal behandles på en trygg og forsvarlig måte.
Les mer på Helsedirektoratets side om normen.
Skjerpede krav til digitale systemer
15. april trer lovendringer i kraft som skjerper kravene til sikkerheten i digitale systemer i helse- og omsorgstjenesten. Det innebærer at virksomhetene skal gjennomføre risikovurderinger av nettverks- og informasjonssystemene de bruker, og sette inn tiltak for å forebygge, avdekke og redusere konsekvensene av skadelige hendelser.
2: Gi aldri fra deg sensitiv informasjon
Sensitiv informasjon er opplysninger som direkte eller indirekte kan identifisere en pasient, som helseopplysninger, journaltekst, bilder, lydopptak eller video. Slike opplysninger skal bare behandles i sikre og godkjente systemer, med tilgangsstyring og beskyttelse mot uautorisert innsyn, i tråd med personvernregelverket og Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.
Dette betyr for eksempel at:
3: Beskytt din egen, andres og virksomhetens identitet
Dette henger tett sammen med punkt 2, men omfatter også informasjon om virksomheten, interne rutiner, påloggingsinformasjon og andre opplysninger som kan misbrukes dersom de kommer på avveie.
4: Sjekk om KI-verktøyet er CE-merket, hvis du skal bruke det til medisinske formål
KI-verktøy kan omfattes av regelverket for medisinsk utstyr. Det er produsenten som må vurdere om regelverket gjelder for det enkelte verktøyet, men du som helsepersonell har ansvar for å forsikre deg om at leverandøren har gjort denne vurderingen.
Om et KI-verktøy er CE-pliktig avhenger av hva det brukes til. På generelt grunnlag er transkriberingsverktøy, som taletiltekst og ren strukturering av journalnotater, ofte ikke CE-pliktige. KI-verktøy som analyserer innhold, foreslår tiltak, støtter diagnostikk eller påvirker kliniske vurderinger er som regel er CE-pliktig. Er du usikker bør du be leverandøren om dokumentasjon.
5: Gi tydelige instruksjoner (prompt), still konkrete spørsmål for å få gode svar
Et prompt er instruksjonen du gir til en språkmodell for å styre hvordan svaret utformes. Presise og tydelige beskrivelser av oppgave, mål, format og begrensninger gir mer relevante og nyttige svar.
Eksempler:
6: Vær kritisk til svarene og sjekk kilder
Generativ KI kan generere feilaktig innhold, og du må alltid kontrollere fakta og kliniske vurderinger. Det endelige innholdet er alltid ditt ansvar.
7: Husk at du har et ansvar når du sender fra deg KI-generert innhold
KI genererer et utkast, ikke et ferdig notat. Du må alltid lese gjennom og kvalitetssikre notatet før du ferdigstiller det. Overskuddsinformasjon som lydopptak og rå-transkripsjoner skal slettes når journalnotatet er godkjent.
8: Vær åpen om at du bruker KI-verktøy
Bruk av KI i journalføring krever normalt ikke et eget samtykke, men pasienten har rett til informasjon og medbestemmelse. Du kan for eksempel informere om KI-bruk slik:
«Denne klinikken bruker kunstig intelligens (KI) til støtte i journalføring og administrasjon. Alle utkast gjennomgås og godkjennes av behandler. Ingen pasientdata lagres utenfor godkjente journalsystemer. Informasjonen slettes når journalnotatet er ferdigstilt, og brukes ikke til andre formål.»
Dersom KI-generert innhold kan oppfattes som ekte, for eksempel illustrasjonsbilder av «pasienter», skal det merkes som KI-generert.
9: Hold deg oppdatert - KI-verktøyene utvikler seg raskt
Søk informasjon i kvalitetssikrede kilder, for eksempel:
Norsk Fysioterapeutforbund har siden 2024 jobbet for å øke fysioterapeuters digitale kompetanse. Som en del av dette arrangeres temadagen «Klok bruk av KI» 3. juni 2026.
Til temadagen inviteres både eksperter på kunstig intelligens og fysioterapeuter som deler erfaringer fra klinisk praksis.
For mer informasjon om temadagen og påmelding, se Norsk Fysioterapeutforbunds kurskalender.