Definisjoner og begreper
Deler av veiledningen bygger på lovgivningen og benytter begreper som har et juridisk innhold. Det juridiske innholdet kan avvike noe fra hvordan de samme begrepene benyttes i dagligtalen. Underveis i veiledningen vil det etter hvert som sentrale begreper introduseres enten henvises til sider med nærmere informasjon om hvordan sentrale begreper skal forstås eller medfølge en forklaring av begrepet. Hvis informasjonen ikke er kjent fra før, må de ansvarlige for prosjektet gjøre seg kjent med denne informasjonen.
Utover dette har vi samlet en del sentrale begreper under:
Anonyme opplysninger er opplysninger som ikke kan knyttes til en identifiserbar fysisk enkeltperson, eller som er anonymisert på en slik måte at en personopplysning ikke lenger kan knyttes til en fysisk enkeltperson, se fortalen til personvernforordningen punkt 26. Når du utvikler kunstig intelligens må du være oppmerksom på at algoritmer kan sammenstille og analysere anonyme opplysninger på måter som gjør at fysiske enkeltpersoner likevel kan identifiseres. Da vil ikke opplysningene lenger være anonyme.
Behandling av helse- og personopplysninger omfatter enhver operasjon eller rekke av operasjoner som gjøres med helse- og personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring, jf. personvernforordningen art. 4 nr. 2. Dette betyr at bruk av person- og helseopplysninger for utvikling av kunstig intelligens, for eksempel innsamling og trening av algoritmer, er behandling av person- og helseopplysninger.
Den institusjon/bedrift/annen juridisk person som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes.
En databehandler er en person eller virksomhet utenfor den behandlingsansvarliges organisasjon, som behandler personopplysninger på vegne av den behandlingsansvarlige. For å benytte databehandler, kreves det en databehandleravtale mellom databehandler og behandlingsansvarlig. Eksempler på databehandlere kan være ekstern leverandør av spørreskjema, leverandør av lagringskapasitet, leverandør av analyser på humant biologisk materiale, transkriberingsassistent eller tolk.
Helseforskning er forskning på mennesker, humant biologisk materiale eller helseopplysninger, når formålet er å fremskaffe ny kunnskap om helse og sykdom (helseforskningsloven § 4). Med forskning menes virksomhet som utføres med vitenskapelig metodikk. Ofte kan det være uklart om innovasjonsprosjekter skal regnes som helseforskning. Helsedirektoratet har gitt veiledning om dette spørsmålet.
Helseopplysninger er personopplysninger som gir informasjon om en persons fysiske eller psykiske helse, herunder ytelse av helsetjenester, jf. personvernforordningen art. 4 nr. 15.
Klinisk beslutningsstøtteverktøy er alle typer hjelpemidler som kan hjelpe et menneske til å ta en beslutning i forbindelse med klinisk virksomhet, som for eksempel kunnskapsoppsummeringer som bidrar til at helsehjelp kan baseres på kunnskapsbasert grunnlag. Det omfatter ikke verktøy som i hovedsak har et merkantilt formål eller rent administrative oppgaver etc. Det er et teknologinøytralt begrep.
Klinisk utprøving er enhver systematisk utprøving som omfatter en eller flere forsøkspersoner, og som gjennomføres for å vurdere et utstyrs eller et legemiddels sikkerhet eller ytelse.
Kunstig intelligens (KI, engelsk: artificial intelligence - AI) blir ofte brukt som en samlebetegnelse for ulike typer maskinlæring, men det finnes ingen omforent forståelse av begrepet. Vi legger til grunn en vid forståelse av begrepet.
Kvalitetsforbedring vil si å øke kvaliteten på helsehjelpen gjennom endring av praksis. Dette forutsetter gjerne at man studerer ulike praksiser og utfall for pasientene. I prosjekter der formålet er å fremskaffe kunnskap som kan brukes til å endre praksis, vil kvalitetsforbedring være riktig formålsbeskrivelse.
Kvalitetssikring av helsehjelp innebærer å kontrollere at diagnostikk, behandling og annen helsehjelp faktisk gir de intenderte resultater og avdekke om kravene til kvalitet er oppfylt. Kvalitetssikring kan gi grunnlag for kvalitetsforbedring.
Maskinlæring bruker matematiske og statistiske metoder for å lage algoritmer som er basert på analyse av data. Treningen av et system kan skje ved veiledet læring, ikke-veiledet læring eller forsterket læring.
Medisinsk utstyr er ethvert instrument, apparat, utstyr, programvare, implantat, reagens, materiale eller annen gjenstand som ifølge produsenten er beregnet på å bli brukt, alene eller i kombinasjon, på mennesker med henblikk på ett eller flere av følgende spesifikke medisinske formål:
- diagnostisering, forebygging, overvåking, prediksjon, prognostisering, behandling eller lindring av sykdom
- diagnostisering, overvåking, behandling, lindring av eller kompensasjon for skade eller funksjonshemning
- undersøkelse, utskifting eller endring av anatomien eller av en fysiologisk eller patologisk prosess eller tilstand
- for å frambringe informasjon ved hjelp av in vitro-undersøkelse av prøvemateriale fra menneskekroppen, herunder organ-, blod- og vevdonasjoner
Også der den ønskede hovedvirkningen i eller på menneskekroppen ikke framkalles ved en farmakologisk, immunologisk eller metabolsk virkning, men der slike virkninger kan bidra til dets funksjon.
Følgende produkter skal også anses som medisinsk utstyr:
- utstyr til svangerskapsforebygging eller befruktningsassistanse
- produkter som særlig er beregnet på rengjøring, desinfisering eller sterilisering av medisinsk utstyr
Personopplysninger er enhver opplysning om en identifisert eller identifiserbar fysisk person, jf. personvernforordningen (GDPR) art. 4 nr. 1. En identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet.
Personvernkonsekvensvurdering (DPIA) er en type risikovurdering som handler om personvernrisiko. DPIA må gjøres i prosjekter hvor behandlingen av personopplysninger vil medføre en høy risiko for fysiske personers rettigheter og friheter. Før behandlingen av personopplysninger starter, skal man i slike prosjekter foreta en mer omfattende vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for vernet av personopplysninger.
Opplysninger der navn, personnummer eller andre personentydige kjennetegn er erstattet med et nummer, en kode, fiktive navn eller liknende, som viser til en atskilt liste med de direkte personopplysningene (koblingsnøkkel). Pseudonyme personopplysninger er ikke anonyme.
Validering brukes både på validering av KI-produkt som skjer hos produsent og validering av KI-produkt som skjer i helseinstitusjon. Validering av produsent innebærer å bevise at utstyret oppfyller krav for en bestemt tiltenkt bruk som definert av produsenten. Validering i helseinstitusjonen, innebærer å finne ut hvorvidt utstyret er egnet for aktuell pasientgruppe/til bruk i den aktuelle helseinstitusjonen.