Høring over ny bekendtgørelse om anvendelse af personoplysninger og kunstig intelligens til beslutningsstøtte i patientbehandlingen

• Bekendtgørelsen fastsætter regler for autoriserede sundhedspersoners brug af personoplysninger til klinisk beslutningsstøtte.
• Der etableres hjemmel til udvikling, træning og kvalitetssikring af AI-systemer baseret på sundhedsdata.
• Anvendelsesområdet er begrænset til specifikke registre og systemer angivet i et udtømmende bilag (Bilag 1).
• Grundprincippet er, at data skal være pseudonymiserede under både udvikling og drift.
• Ledelsen på behandlingsstedet skal give eksplicit tilladelse til sundhedspersoners adgang til værktøjerne.
• Der indføres en undtagelsesbestemmelse ved vitale interesser, hvor pseudonymiseringen kan ophæves ved fund af livstruende sygdom.
• Bekendtgørelsen stiller krav om dataminimering og 'privacy by design' ved udvikling af værktøjerne.
• Der stilles krav om kryptering og logning ved transmission over internettet.
• Bilag 1 indeholder over 140 specifikke datakilder, herunder Landspatientregisteret og Fælles Stamkort.
• Reglerne forventes at træde i kraft den 15. januar 2026.

Drift og anvendelse i patientbehandlingen

Når værktøjerne tages i brug (drift), gælder der specifikke regler for både den dataansvarlige leverandør og den sundhedsperson, der bruger værktøjet.

Ophævelse af pseudonymisering (Vitale interesser)

Selvom hovedreglen er pseudonymitet, indeholder § 12, stk. 7 en vigtig undtagelse. Hvis systemet identificerer en alvorlig livstruende sygdom hos en patient, hvor behandling er nødvendig af hensyn til vitale interesser, kan pseudonymiseringen brydes:

"Hvis der i forbindelse med behandling af oplysninger [...] fremkommer oplysninger om, at en registreret lider af alvorlig livstruende eller klart alvorlig sygdom [...] kan den autoriserede sundhedsperson indhente og behandle supplerende oplysninger, således at personoplysningerne kan henføres til en bestemt fysisk person."

Sikkerhed og tekniske krav

Bekendtgørelsen stiller krav om højt sikkerhedsniveau, herunder:

• Kryptering: Skal anvendes ved transmission over internettet.
• Logning: Der skal etableres passende logning og adgangskontrol.
• Sletning: Data, der ikke længere er nødvendige for den konkrete behandling, skal slettes eller anonymiseres hurtigst muligt.

Ikrafttrædelse

Reglerne er sat til at træde i kraft den 15. januar 2026. Høringsfristen er den 14. januar 2026 (bemærk datoerne i dokumenterne ligger meget tæt, hvilket kan skyldes en skrivefejl i udkastet eller en kort implementeringsfase efter høring).

Lovforslaget etablerer en ny central myndighed, 'Ét Kontaktpunkt', som skal fungere som en samlet indgang for forskere, myndigheder og virksomheder, der ønsker adgang til sundhedsdata til brug for forskning og innovation. Formålet er at forenkle og strømline processen, så det bliver lettere at udnytte potentialet i Danmarks omfattende sundhedsdata.

• Centraliseret sagsbehandling: Anmodninger om data fra flere forskellige datakilder (f.eks. nationale registre, patientjournaler) skal som udgangspunkt indgives til Ét Kontaktpunkt, der koordinerer sagsbehandlingen.
• Pligt til videregivelse: Dataansvarlige myndigheder forpligtes til at videregive elektroniske sundhedsdata, når de er berettigede til det. En undtagelse gælder dog, hvis anmodningen påfører den dataansvarlige et merarbejde, der væsentligt overstiger den anmodende parts interesse i dataene.
• National Analyseplatform: Initiativet understøttes af en national analyseplatform, der skal give sikker adgang til dataanalyse på tværs af datakilder i beskyttede miljøer.

Behandling af Sundhedsdata til Specifikke Formål

Forslaget skaber et klarere retsgrundlag for at genanvende sundhedsdata, der oprindeligt er indsamlet til statistik eller videnskab, til andre specifikke formål:

• Kliniske forsøg med lægemidler: Data kan bruges i alle faser af kliniske forsøg, herunder til administrative formål og myndighedstilsyn.
• Beslutningsstøtte i patientbehandling: Data kan anvendes til at udvikle og træne værktøjer, herunder kunstig intelligens (AI), der kan støtte sundhedspersoner i at træffe bedre kliniske beslutninger.
• Varetagelse af vitale interesser: Giver mulighed for at kontakte en person, hvis man under et forskningsprojekt opdager en alvorlig, behandlingskrævende sygdom hos vedkommende.

Styrket Beskyttelse af Sundhedspersonale

For at øge trygheden for ansatte i sundhedsvæsenet indføres en ny bestemmelse i sundhedslovens regler om aktindsigt.

• Undtagelse af navne: Myndigheder og behandlingssteder får mulighed for at undtage navne på sundhedspersoner og andre medarbejdere fra en patients aktindsigt i egen journal, hvis væsentlige hensyn til personernes tryghed taler for det. Dette kan f.eks. være tilfældet ved risiko for chikane, trusler eller forfølgelse.
• Patientens rettigheder: Patienten vil fortsat have fuld adgang til resten af journalens indhold om helbredsforhold og behandling.

Videregivelse af Oplysninger om Demensdiagnoser

Lovforslaget etablerer en specifik hjemmel for Sundhedsdatastyrelsen til at videregive oplysninger om demensdiagnoser til Styrelsen for Patientsikkerhed.

• Formål: Formålet er at give Styrelsen for Patientsikkerhed mulighed for at overvåge lægers ordinationer af antipsykotiske lægemidler til patienter med demens. Dette skal sikre, at behandlingen er i overensstemmelse med faglige standarder og patientens bedste.

Ændringer i Komitésystemet

Reglerne for indberetning af hændelser i sundhedsvidenskabelige forskningsprojekter justeres for at mindske den administrative byrde.

• Fokuseret indberetning: Pligten til omgående at indberette alvorlige hændelser begrænses til de tilfælde, hvor sponsor eller den forsøgsansvarlige vurderer, at der er en sammenhæng eller formodet sammenhæng med personens deltagelse i forskningsprojektet. Hændelser uden relevans for forsøget skal ikke længere indberettes omgående.

Ikrafttrædelse

Loven træder i kraft den 1. juli 2025. Dog vil indenrigs- og sundhedsministeren fastsætte et senere ikrafttrædelsestidspunkt for bestemmelserne om Ét Kontaktpunkt og de relaterede ændringer i apotekerloven, hvilket forventes at ske i løbet af 2026, når de nødvendige IT-systemer er klar.