Retningslinjer for bruk og utvikling av kunstig intelligens (KI) i Helse Nord

Utviklingen innen kunstig intelligens (KI) skjer svært raskt. Parallelt med utvikling og bruk av kunstig intelligens innen klinikknære systemer har tilgangen til annen åpen og lisensbelagt KI-drevet programvare økt betydelig den siste tiden.

Retningslinjen gjelder alle ansatte i de seks helseforetakene samt det regionale helseforetaket.

Det kan være fristende å ta i bruk systemer som kan forenkle både kliniske og ikke-kliniske prosesser i helseforetakene uten en strategi og en grundig vurdering av risiko. Denne retningslinjen skal bidra til etisk og ansvarlig bruk av KI i Helse Nord, i tråd med føringene i Strategi for kunstig intelligens i Helse Nord for 2022 – 2025 sier:

«Helse Nord skal legge aktivt til rette for utvikling og god klinisk bruk av kvalitetssikrede og validerte løsninger for kunstig intelligens, med sikte på å forbedre kvaliteten og effektivisere ressursbruken i helsetjenesten.»

Retningslinjen skal også sikre at pasientenes tillit til helsevesenet ivaretas, og trygghet for at personvernet ivaretas når KI-løsninger tas i bruk. Bruken skal også være ikke-diskriminerende med hensyn til kjønn og etnisitet.

Kunstig intelligens er et område som beveger seg svært raskt. Det innebærer også at denne retningslinjen vil bli endret og revidert med jevne mellomrom.

Kunstig intelligens er et vidt begrep, og det eksisterer ikke en entydig definisjon. I dagligtalen brukes begrepet kunstig intelligens ofte om mange former for algoritmer, maskinlæring, modeller og statistiske metoder.

All bruk og utvikling av KI i Helse Nord skal skje i tråd med gjeldende regelverk, etiske retningslinjer, og kravene til personvern og informasjonssikkerhet.

Det er flere forhold ved bruk av KI som kan være utfordrende. Det kan være krevende å ivareta personvernet, og bruk av KI kan utfordre spørsmål om pålitelighet, troverdighet og ansvarsforhold. Denne retningslinjen gir deg konkrete råd om hvordan du skal kunne bruke og utvikle KI forsvarlig og i samsvar med eksisterende regelverk.   

Innholdet i denne retningslinjen bygger delvis på ulike veiledninger tilgjengelig fra bl.a. Helsedirektoratet, Digitaliseringsdirektoratet, NAV og andre helseforetak.

Formålet med retningslinjen er å sørge for at ansatte som skal bruke eller utvikle KI i Helse Nord gjør det på en forsvarlig og sikker måte. Retningslinjene kan endre seg raskt og i takt med teknologiutviklingen, så det er viktig å holde seg løpende oppdatert på eventuelle endringer i disse retningslinjene. Bruk siste digitale versjon av retningslinjen fremfor papirutskrifter.

Målgruppen for denne retningslinjen er alle som skal bruke eller utvikle KI i Helse Nord. Dette inkluderer ansatte, brukerrepresentanter, innleid personell og studenter ved alle helseforetak i Helse Nord.

Verdigrunnlaget og de etiske retningslinjene i Helse Nord skal også vektlegges i alle vurderinger ved bruk av KI. Prinsippene om åpenhet, sporbarhet og transparens gjelder like mye i bruk og utvikling av KI som i det øvrige arbeidet i Helse Nord.

Samtidig skal både pasienters og ansattes personvern ivaretas. Helse Nord har et særlig ansvar for den samiske befolkningen i Nord-Norge. Vår utvikling og bruk av KI skal derfor ta hensyn til særlige forhold som gjelder for den samiske befolkningen.

Minoritetsgrupper kan ofte være underrepresentert i datasettene en KI-tjeneste er trent på. Derfor er det viktig å evaluere KI-tjenester på pasienter i Helse Nord før de tas i bruk i full skala. I tillegg anbefales Likestillings- og diskrimineringsombudets veileder for å avdekke og forebygge diskriminering i utvikling og bruk av KI.

Helse Nord har ikke egen generativ KI-tjeneste enda. All bruk av åpne KI-tjenester krever særskilt aktsomhet. Det er fordi all data du mater inn i tjenesten du bruker lagres. Disse kan senere bli brukt av KI-leverandøren uten at du har kontroll på hvordan disse blir brukt, og du har heller ikke innsyn i dette. Det betyr at du må være varsom med å bruke KI-verktøy som ikke er arbeidsgivers verktøy.

Ved bruk av generativ KI i arbeidssammenheng skal du registrere deg med e-postadressen du bruker på jobb for KI-løsninger som foretaket har vurdert, sikkerhetsgodkjent og offisielt tillatt for arbeidsbruk. Åpne KI-løsninger krever derimot ikke jobb-epost for pålogging.

I slike åpne KI-tjenester kan du aldri legge inn personopplysninger eller andre sensitive opplysninger som for eksempel opplysninger om pasienter eller sikkerhetskritisk informasjon.

Følg de konkrete retningslinjene i dette dokumentet. Er du i tvil, ta kontakt med informasjonssikkerhetsansvarlig i eget foretak. 

Helse Nord er avhengig av at folk har høy tillit til tjenestene vi leverer. Den må vi ivareta aktivt, og ha et bevisst forhold til.  Jo mer utbredt KI blir, desto viktigere er det å vurdere hvordan vi skal kunne bruke KI på en ansvarlig og transparent måte.

I Nasjonal strategi for kunstig intelligens peker regjeringen på at KI som utvikles og brukes i Norge skal bygge på etiske prinsipper, og respektere menneskerettighetene og demokratiet. Strategien viser til EU-kommisjonen som har utarbeidet sju etiske prinsipper.

Disse skal også legges til grunn for lovlig, etisk og sikker ansvarlig utvikling og bruk av KI i Norge:

1. KI-baserte løsninger skal respektere menneskets selvbestemmelse og kontroll
   
   
2. KI-baserte systemer skal være sikre og teknisk robuste
   
   
3. KI skal ta hensyn til personvernet
   
   
4. KI-baserte systemer må være gjennomsiktige
   
   
5. KI-systemer skal legge til rette for inkludering, mangfold og likebehandling
   
   
6. KI skal være nyttig for samfunn og miljø
   
   
7. ansvarlighet

Helse Nord har i sin strategi for kunstig intelligens også definert egne prinsipper som bygger på regjeringens nasjonale KI-strategi og EUs ekspertgruppe for KI. Disse skal følges ved utvikling og bruk av KI i Helse Nord:

1. ansvarlighet og forsvarlighet
   
   
2. pålitelighet
   
   
3. gjennomsiktighet og tolkbarhet
   
   
4. selvbestemmelse og menneskelig kontroll
   
   
5. bærekraft
   
   
6. mangfold og ikke-diskriminering

Åpenhet om at, og hvordan, KI er benyttet skal skape trygghet og tillit for pasienter og andre personer, som for eksempel ansatte i Helse Nord. Det er også viktig for helseforetakenes omdømme at vi er åpne om hvordan bruk av KI berører disse gruppene.

KI kan være en fremmed teknologi for mange, og det er derfor ekstra viktig at vi er åpne om hvor og hvordan KI brukes i Helse Nord.

Personopplysninger og bruk av KI-tjenester

Du skal aldri sende personopplysninger, inkludert særlig kategori personopplysninger, til åpne KI-tjenester.

Dersom du bruker en KI-tjeneste som levert og godkjent av Helse Nord, så er det tillatt å bruke personopplysninger som input (prompts). Det er likevel aldri tillatt å bruke særlig kategori personopplysninger, selv om KI-tjenesten er godkjent.

Hvis formålet er forskning eller utvikling kan andre regler gjelde, se kapittel 5.2 Utvikling og forskning på KI.  

Personvernet må ivaretas

Utvikling og bruk av kunstig intelligens som innebærer behandling av personopplysninger, skal ivareta personvernet. Dette betyr at kravene i personvernlovgivningen skal følges.

Reglene for behandling av personopplysninger bygger på noen grunnleggende prinsipper. Kjernen i prinsippene er at opplysningene skal benyttes på en mest mulig personvernvennlig måte og at alle har rett til å bestemme over opplysninger om seg selv. Personopplysninger er et bredt begrep og dersom du er usikker på om personvernregelverket gjelder for akkurat deg så kan du be om bistand fra ditt personvernombud eller andre som arbeider med personvern.  

Personvernprinsippene 

Det eksisterer seks personvernprinsipper som setter klare rammer for KI-systemer som skal behandle personopplysninger.

Særlig relevant for deg som skal utvikle KI-løsninger er dataminimeringsprinsippet, som går ut på at innsamlingen og behandling av data skal begrenses til det som er nødvendig for å oppnå formålet med innsamlingen og behandlingen. Dette kan være vanskelig for deg som utvikler KI, hvor det kan være et behov for store mengder data. Du må derfor vurdere hva som er et relevant utvalgt og hvilken datamengde som er tilstrekkelig stor for å unngå å bruke mer data enn det som er nødvendig. Du må også vurdere om det finnes andre muligheter, som f.eks. syntetisk data.

Videre lesning om personvern og kunstig intelligens:

• Datatilsynets rapport om personvern og kunstig intelligens
  
  
• Digitaliseringsdirektoratets veileder for ansvarlig bruk og utvikling av kunstig intelligens.

Vurder også prinsippet om formålsbegrensning,

som sier at formålet med innsamlingen av personopplysningene må være tydelig angitt og fastsatt når opplysningene samles inn.

Utvikling og bruk av KI krever ofte mange forskjellige typer personopplysninger, og noen ganger innebærer dette bruk av personopplysninger som egentlig er samlet inn for andre formål. Dette kan utfordre prinsippet om formålsbegrensning. Når man bruker allerede innsamlede opplysninger på nytt, må det vurderes om det nye formålet er forenelig med det opprinnelige formålet.

Taushetsplikten må ivaretas

Vær særlig oppmerksom på om opplysningene er underlagt taushetsplikt. Taushetsbelagte opplysninger skal ikke benyttes ved bruk av KI, om det ikke er gitt et spesifikt unntak fra taushetsplikten til f.eks. forskning.

Personvernkonsekvensvurdering (DPIA)

Der det er høy risiko for den registrerte skal det gjennomføres en personvernkonsekvensvurdering (Data Protection Impact Assessment - DPIA). Du kan få bistand til hvordan du skal utføre en slik vurdering hos personvernombudet eller andre som arbeider med personvern i ditt foretak. Les mer om personvernkonsekvensvurderinger på Datatilsynets hjemmesider.

Bruk av kunstig intelligens medfører risiko

Introduksjon av KI kan forsterke eksisterende sikkerhetsrisikoer, eller skape nye risikoer.

Ved all bruk av KI skal både sikkerhetsinstruksen  og Helse Nords styringssystem for informasjonssikkerhet følges. Dette inkluderer risikostyring for informasjonssikkerhet og retningslinjer for avvikshåndtering innen både informasjonssikkerhet og personvern.

Det er ikke tillatt å sende sikkerhetssensitiv informasjon til en KI-tjeneste, selv om denne er godkjent av Helse Nord. Opplysninger som er gradert etter sikkerhetsloven skal ikke benyttes ved verken bruk eller utvikling av KI.

Før et KI-verktøy eller en KI-tjeneste tas i bruk skal risiko for at enten mennesker eller andre informasjonsverdier blir skadet på grunn av bruken av det enkelte KI-verktøyet, vurderes.

Trusselaktører bruker også KI

Vær oppmerksom på at også trusselaktører bruker KI. KI har gjort det enklere for dem å ta i bruk nye verktøy og nye metoder, og lage bedre og mer tilpasningsdyktige angrep mot både systemer og mennesker. 

Generativ KI kan brukes av angripere til å generere overbevisende og villedende innhold som kan brukes til å etterligne andre og øke sannsynligheten for at de f.eks. kan gjennomføre et vellykket phishing-angrep. 
 

Her får du råd om bruk av KI til tekst- og/eller kodebehandling, lage sammendrag, korte ned tekster mm.

Fremfor alt: Ikke bruk KI for å behandle personopplysninger eller opplysninger underlagt taushetsplikt, for eksempel journalnotater, pasientopplysninger, mm.

Bruk av KI på eksisterende tekst kan være greit: Bruk gjerne KI til å forbedre, korte ned, lage sammendrag, kulepunkter eller lignende av eksisterende tekst.

Vær varsom ved bruk av KI som oppslagsverk: Språkmodeller er optimalisert for å “gi et svar” uten nødvendigvis å gi helt presis faktainformasjon. Ikke alle språkmodeller er oppdatert med ny informasjon (i motsetning til google og andre søkemotorer). Du må alltid anta at informasjon og referansene du får kan være feilaktig, og du må verifisere informasjonen før du videreformidler den.

Husk at svarene ikke nødvendigvis er tilpasset våre verdier: Vær kritisk til svar du får fra språkmodeller. Du vet ikke hva modellen er trent på.

Kvalitetssikre alltid innhold: Du må regne med at KI-genererte tekster kan inneholde både faktafeil og feilaktige gjengivelser, selv om de fremstår som plausible og korrekte og har referanser. Verifiser alltid at opplysninger, påstander, sitater eller andre fakta stemmer. Du som avsender er alltid ansvarlig for innholdet.

Pass på opphavsretten: Vitenskapelige artikler, online bøker osv. som ligger bak en betalingsmur, kan ikke brukes som input i et KI-verktøy dersom de er beskyttet av opphavsretten.

Merk all KI-generert tekst: Dersom teksten er produsert av KI må teksten merkes. Årsaken er at det kan være usikkerhet knyttet til opphavsrett, både i innholdet modellene er trent på og de tekstene du får ut. Det må derfor være mulig å fjerne innhold produsert av KI. Det kan være nyttig og tillitsvekkende for leseren å vite at teksten er produsert av eller ved hjelp av KI. Du som avsender er alltid ansvarlig for innholdet. Vis til hvilken språkmodell du har brukt. 

Eksempel på KI-merking fra NRK: "Oppsummeringa er laga av ei KI-teneste fra OpenAi. Innhaldet er kvalitetssikra av NRKs journalister før publisering."

Dersom teksten din er bearbeidet ved hjelp av KI (lage struktur, oversette tekster), bør du vurdere merking. Merking vil avhenge av hvor mye KI har vært i bruk til å utforme selve teksten.

Her får du råd om bruk av KI til å generere bilder, illustrasjoner, video og lyd:

Rettighetene til det du legger inn i KI (inputen): Du må ha tilstrekkelige rettigheter til informasjonen (bilde, lyd og video) du bruker input til en KI-modell. Bilder som identifiserer personer er også personopplysninger, og omfattes av personopplysningsregelverket.

Rettighetene til det genererte bildet: Det er usikkerhet om rettighetene til KI-generert innhold. Du må ha rettigheter til det genererte innholdet (mediet), og kan derfor ikke generere bilder som er underlagt opphavsrett (copyright). Generering av bilder av spesifikke personer er heller ikke tillatt.

Tips: Gjør gjerne et omvendt bildesøk for å se etter lignende bilder.

Opplys om at bildene er KI-generert: Merk alle bilder, video og lyd som er KI-genererte og krediter tjenesten. For eksempel: «Dette bildet er laget av KI ved bruk av DALL·E». Unngå å generere bilder, lyd eller video som kan oppfattes som virkelige mennesker, fordi det kan føre til at bildet blir oppfattet som en virkelig hendelse. Bruk heller helseforetakets egne illustrasjonsbilder.

Husk universell utforming: Dersom KI-genererte bilder benyttes på en nettside, skal du bruke alternativ bildetekst, eller alt-tekst, som beskriver hva bildet inneholder. Dersom det er generert basert på en tekstprompt, vil promptet gi et godt utgangspunkt for alt-tekst. Dersom lyd er KI-generert, skal du tydelig opplyse om det.

Dette avsnittet er spesielt ment for deg som ønsker å bruke KI til IT-verktøy, som f.eks. koding og programutvikling. Dette gjelder i tillegg til forrige kapittel om tekstbehandling. 

Det er viktig å ha et bevisst forhold til hvilken språkmodell som benyttes til kodegenerering, fordi språkmodeller er trent på ulikt grunnlag og har varierende kvalitet på tekstene de genererer. Du er selv ansvarlig for kvalitetssikring. Vær bevisst på sikkerhet i forbindelse med generering av kode. Koden som blir generert kan inneholde sårbarheter som kan skade Helse Nords infrastruktur.

Som for generativ KI generelt, bør ikke sensitiv informasjon brukes i «prompt» (input til modellen). For utviklere vil sensitiv informasjon også kunne omfatte ting som API-nøkler og annen sikkerhetsinformasjon.

En KI-assistent er et program som etterligner måten du jobber på. Den trenes på tilgjengelige dokumenter og kode du har skrevet, og kan gi deg forslag til forbedringer. Eksempler på KI-assistenter er Microsoft 365 Copilot for tekstbehandling og Github Copilot for kode. Bruk av KI-assistent krever større oppmerksomhet av brukeren enn verktøy som ChatGPT, hvor du i større grad har kontroll på når «promptingen» skjer. Også når du jobber med kode er det viktig å tenke på at data behandles av KI-tjenesten.

Bruk av KI-assistenter vil kunne medføre en endret risiko for både informasjonssikkerhet og personvern. KI-assistent bør ikke tas i bruk uten at det er innført regionalt eller på virksomhetsnivå. En innføring bør forutsette at det gjennomføres risikovurdering og eventuell personvernkonsekvensvurdering.

Kunstig intelligens er et vidt begrep som brukes om mange former for algoritmer, maskinlæring, modeller og statistiske metoder. Det finnes andre KI-løsninger enn generativ KI, og siden 2017 har det vært tatt i bruk flere slike i Helse Nord. Disse KI-løsningene er laget for å løse spesifikke oppgaver innenfor kliniske prosesser. Ett eksempel er hvor resultatet fra en KI-løsning viser en analyse av røntgenbilder for å vurdere et mulig brudd eller en anbefalt behandling for en pasient basert på pasienter som ligner. Disse løsningene er som regel statiske og lærer ikke under bruk, det vil si at de ikke oppdateres. De fungerer derfor som en klassisk programvare.

Det er mange forventninger om nytten av KI i helse- og omsorgssektoren. I Regjeringens veikart for helsenæringen peker de på at bruk av KI har et stort potensial innen helse fordi vi har gode helseregistre og store datamengder, som er verdifull for utviklingen av KI. I nasjonal handlingsplan for kliniske studier sier Regjeringen at: «Sammenkobling av ulike typer data kombinert med nye analysemetoder, maskinlæring og kunstig intelligens er en driver for medisinsk og helsefaglig forskning og utvikling».

KI blir nyttig for å utvikle en bærekraftig helsetjeneste fremover, og innføringen av KI-løsninger som kan brukes i kliniske prosesser er derfor viktig.

Innføringen av slike KI-løsninger må likevel gjøres i samsvar med verdigrunnlaget og de etiske retningslinjene til Helse Nord, slik disse er skissert i kap. 2.5 verdigrunnlag og kap. 3 etiske prinsipper. 

Å ta i bruk denne typen KI‑løsninger forutsetter derfor at prosessen for innføring av nye tekniske løsninger i Helse Nord følges, hvor det f.eks. gjøres risikovurdering for informasjonssikkerhet og vurdering av personvernkonsekvenser.

De etiske prinsippene for bruk av KI er like aktuelle for deg som driver utvikling. Det samme er viktigheten av god digital sikkerhet og kravet om å følge personvernregelverket. I helse- og omsorgssektoren er det grunnleggende krav om faglig forsvarlighet som også gjelder for utviklere av KI.

For at utvikling av KI skal skje på en ansvarlig måte, så må utvikleren sikre at Helse Nord er i stand til å forklare hvordan KI-systemet er bygd opp og hvordan det genererer resultater. Det betyr at utvikleren må sikre forklarbarhet og sporbarhet i KI-systemet før det settes i produksjon. Prinsippene for utvikling slik disse er omtalt i avsnitt 3.1 etiske prinsipper skal følges ved all utvikling av KI i Helse Nord.  

For ansatte i Helse Nord som driver med forskning på KI, er det også andre regler som gjelder utover det som er beskrevet i denne retningslinjen.  Forskere forholder seg til nasjonale ressurser og regelverk/retningslinjer, som bl.a. helseforskningsloven hvis prosjektet faller inn under denne loven, og forskningsetiske retningslinjer.

Se blant annet: 

Generelle forskningsetiske retningslinjer og Forskningsetisk betenkning om kunstig intelligens fra De nasjonale forskningsetiske komiteene

Lokalt i Helse Nord er det laget en egen nettside med veiledning for uttrekk og bruk av helsedata. Den gir oversikt over ressurser for prosjekter som ønsker å trekke ut og bruke helsedata fra UNN eller å prøve ut medisinsk utstyr i klinisk bruk i forbindelse med kvalitetsarbeid, forskning og innovasjon.

Kompetansemiljøer i Helse Nord som kan kontaktes for bistand i forskningsprosjekter er:

• Senter for pasientnær kunstig intelligens - et regionalt kompetansemiljø for KI i Helse Nord.
  
  
• Helse Nord IKT ved SIKTH-prosjektet - sikker IKT-plattform for Kunstig Intelligens og helseforskning i Helse Nord. 
  
  
• Klinisk forskningsavdeling ved UNN – ulike regionale forskningsstøttefunksjoner for forskning i helseforetak.
  
  
• Ressurser ved seksjon for forskning og innovasjon i Helse Nord RHF.