Konsekvensanalyse (DPIA)

Konsekvensanalyse vedrørende databeskyttelse, jf. GDPR artikel 35 — Medicinsk Copilot

Den danske version er den gældende. Oversættelser til andre sprog stilles til rådighed for at lette forståelsen.

Version 1.0 · Godkendt af ledelsen hos Healthscan (CVR-nr. 20878835) den 16. juli 2026. Kontakt: kontakt@healthscan.dk.

1. Indledning og formål

Medicinsk Copilot er en klinisk AI-assistent til almen praksis, der udarbejder udkast til konsultationsnotater (PSOAP), attester, patientresuméer, henvisninger, svar på kliniske spørgsmål, patientklager og mødereferater. Tjenesten behandler indhold, der kan indeholde helbredsoplysninger, ved hjælp af ny teknologi (store sprogmodeller og tale-til-tekst). Der er derfor udarbejdet en konsekvensanalyse, jf. GDPR artikel 35.

Analysen beskriver behandlingen systematisk, vurderer nødvendighed og proportionalitet, identificerer risici for de registrerede og dokumenterer de foranstaltninger, der nedbringer risikoen.

2. Roller og ansvar

  • Dataansvarlig: Den enkelte klinik/læge, der anvender Tjenesten. Ansvaret for at gennemføre en DPIA påhviler den dataansvarlige; dette dokument stilles til rådighed som grundlag og bistand efter GDPR artikel 28, stk. 3, litra f.
  • Databehandler: Healthscan (CVR-nr. 20878835) behandler oplysninger på klinikkens vegne i henhold til databehandleraftalen.
  • Underdatabehandlere: Anthropic PBC (AI-tekstgenerering), Deepgram, Inc. (tale-til-tekst), Render (hosting) og Stripe (betaling) — jf. databehandleraftalens Bilag B.

3. Systematisk beskrivelse af behandlingen

3.1 Dataflow

  • Brugeren (sundhedspersonen) uploader et dokument, optager lyd eller indtaster en forespørgsel i browseren. Al kommunikation sker over krypteret forbindelse (TLS/HTTPS).
  • Personoplysninger som CPR-numre, adresser, telefonnumre og e-mailadresser fjernes automatisk, før indholdet sendes til AI-behandling.
  • Lydoptagelser transskriberes hos Deepgram på et EU-endpoint; lyd behandles inden for EU og alene i hukommelsen.
  • Det redigerede tekstindhold sendes til Anthropic (USA) til generering af udkastet — på grundlag af EU-Kommissionens standardkontraktbestemmelser (SCC) og uden anvendelse til modeltræning.
  • Uploads, lydoptagelser, transskriptioner og udkast behandles udelukkende i hukommelsen (in-memory) og lagres ikke af Healthscan. Brugeren overfører selv relevant indhold til eget journalsystem.
  • Kliniske svar forankres i godkendte kilder (RAG) med kildehenvisning.

3.2 Oplysninger der lagres

  • Brugerkonti (abonnenter): e-mailadresse, adgangskode som saltet og hashet værdi (scrypt), abonnementsplan og Stripe-id. Lagres på krypteret disk hos hostingudbyderen med daglig backup.
  • Adgangslogs (tidspunkt og hændelsestype) uden følsomme personoplysninger.
  • Betalingsoplysninger håndteres alene af Stripe (PCI DSS) og gemmes ikke hos Healthscan.

3.3 Kategorier af registrerede og oplysninger

RegistreredeKategorier af oplysninger
PatienterHelbredsoplysninger, der indgår i det behandlede indhold. Direkte identifikatorer fjernes automatisk før AI-behandling. Indholdet lagres ikke.
Sundhedspersoner (brugere)E-mail, hashet adgangskode, abonnementsdata, adgangslogs.

4. Nødvendighed og proportionalitet

  • Formål: At reducere administrativ byrde i almen praksis og understøtte kvalitet i journalføring. Alt AI-output er udkast; den ansvarlige sundhedsperson validerer, retter og godkender.
  • Retsgrundlag (klinikken): Behandling af helbredsoplysninger som led i sundhedsfaglig virksomhed, jf. GDPR artikel 9, stk. 2, litra h, sammenholdt med artikel 6, og journalføringsreglerne i dansk sundhedslovgivning.
  • Dataminimering: Automatisk fjernelse af direkte identifikatorer før AI-behandling; ingen lagring af indhold; logs uden følsomme oplysninger; syntetiske data i udvikling og test.
  • Opbevaringsbegrænsning: Indhold behandles kun i hukommelsen og bortfalder efter behandlingen. Brugerkonti slettes/spærres ved abonnementets ophør.
  • De registreredes rettigheder: Da indhold ikke lagres hos Healthscan, udøves indsigt, berigtigelse m.v. over for den dataansvarlige klinik i dennes journalsystem. Healthscan bistår den dataansvarlige, jf. databehandleraftalen.

5. Risikovurdering

Risici er vurderet for de registrerede på sandsynlighed og konsekvens (lav/mellem/høj) — først uden, dernæst med de anførte foranstaltninger.

Nr.RisikoFør (S/K)ForanstaltningerRestrisiko
R1Uautoriseret adgang til indhold under behandlingLav / HøjTLS-kryptering; in-memory behandling uden lagring; adgangskontrol med individuelt login; produktionsadgang begrænset til få betroede personer.Lav
R2Overførsel af personoplysninger til AI-leverandør i tredjeland (USA)Mellem / MellemAutomatisk fjernelse af direkte identifikatorer før afsendelse; SCC som overførselsgrundlag; leverandøren træner ikke på data og gemmer ikke indholdet.Lav
R3Kompromittering af brugerkontiLav / MellemAdgangskoder kun som saltet scrypt-hash; mindste privilegie; automatisk spærring ved ophør; adgangslogs.Lav
R4Fejlagtigt eller misvisende AI-output overføres til journalenMellem / MellemAlt output er markeret som udkast; obligatorisk validering af den ansvarlige sundhedsperson; kliniske svar kildeforankres (RAG); manglende grundlag markeres eksplicit.Lav
R5Utilsigtet lagring eller logning af følsomme oplysningerLav / MellemIngen persistens af indhold; logs uden følsomme oplysninger; syntetiske testdata; årlig gennemgang af politikker.Lav
R6Manglende tilgængelighed af TjenestenMellem / LavDrift hos etableret hostingudbyder; beredskabsplan med reetableringsprocedure. Journalsystemet er uafhængigt af Tjenesten, så patientbehandling kan fortsætte.Lav
R7Genidentifikation trods automatisk redaktion (indirekte identifikatorer i fritekst)Mellem / MellemRedaktion af CPR, adresse, telefon og e-mail; instruks til brugere om ikke at indtaste patientidentificerbare oplysninger; ingen lagring hos leverandører; no-training; SCC.Lav

6. Tekniske og organisatoriske foranstaltninger

De samlede foranstaltninger er beskrevet i sikkerhedspolitikken og i databehandleraftalens bilag, herunder: kryptering under transport, in-memory behandling uden lagring, automatisk fjernelse af personoplysninger, adgangsstyring efter mindste privilegie, scrypt-hashede adgangskoder, opdaterede tredjepartsafhængigheder, inputvalidering, incident response-procedure med 72-timers anmeldelsesflow samt skriftlige databehandleraftaler/SCC med alle underdatabehandlere.

7. Inddragelse af de registrerede

Direkte høring af patienter er ikke fundet proportional, da indholdet ikke lagres og direkte identifikatorer fjernes før AI-behandling. Den dataansvarlige klinik informerer patienterne om brug af databehandlere via sin privatlivspolitik og besvarer henvendelser om behandlingen.

8. Konklusion

Med de beskrevne foranstaltninger vurderes restrisikoen for de registrerede at være lav for alle identificerede risici. Der er derfor ikke grundlag for forudgående høring af Datatilsynet efter GDPR artikel 36. Analysen revideres mindst årligt samt ved væsentlige ændringer i behandlingen, teknologien eller trusselsbilledet.

Se også vores trust center, databehandleraftale, sikkerhedspolitik og beredskabsplan.

← Tilbage til Tillid & sikkerhed

© Healthscan (CVR-nr. 20878835) · Medicinsk Copilot