GDPR og AI-telefonpasning: Hvad skal du vide?

Når en patient ringer til din klinik og taler med en digital kollega baseret på kunstig intelligens, behandles der personoplysninger. Navn, CPR-nummer, helbredsoplysninger — alt sammen følsomme data, der er beskyttet af GDPR. Hvis du først vil forstå hvad AI-telefonpasning er, og hvordan det fungerer →, kan du starte der.

Så er det overhovedet lovligt? Og er det sikkert nok?

Kort svar: Ja, hvis løsningen er bygget ordentligt. Her er hvad du har brug for at vide.

Hvilke data behandles under et opkald?

Under et typisk opkald behandles:

• Patientens stemme (lydoptagelse)
• Navn og kontaktoplysninger
• CPR-nummer (hvis patienten oplyser det)
• Helbredsoplysninger (bookingårsag, behandlertype)
• Kalenderdata (ledige tider, eksisterende bookinger)

Alt sammen kategoriseret som enten personoplysninger eller følsomme personoplysninger under GDPR.

Hvad kræver GDPR i praksis?

1. Lovligt grundlag for behandling

Behandling af sundhedsdata kræver et særligt grundlag. For AI-telefonpasning er det typisk:

• Samtykke: Patienten informeres om, at opkaldet håndteres af en digital kollega
• Berettiget interesse: Klinikken har en berettiget interesse i en stabil telefonhåndtering
• Aftale: Patienten ringer selv for at booke eller aflyse en tid

2. Databehandleraftale

Din klinik er dataansvarlig, og AI-udbyderen er databehandler. Der skal foreligge en skriftlig databehandleraftale, som specificerer hvad data bruges til, hvor det opbevares, og hvornår det slettes.

3. Dataminimering

Kun nødvendige data må indsamles. En ordentlig løsning indsamler kun det, der skal til for at klare patientens ærinde.

4. Opbevaringsbegrænsning

Data skal slettes, når formålet er opfyldt. Lydoptagelser skal behandles og slettes — ikke opbevares permanent.

5. Sikkerhed

Data skal beskyttes med passende tekniske og organisatoriske foranstaltninger.

Syv spørgsmål du bør stille din udbyder

1. Hvor opbevares data? — Det skal være EU-servere. Undgå løsninger, der sender data til USA eller andre tredjelande.

2. Er data krypteret? — Både under transport (in transit) og ved hvile (at rest).

3. Hvad sker der med lydoptagelser? — De bør transskriberes og slettes, ikke opbevares permanent.

4. Har I en databehandleraftale klar? — Den skal være underskrevet, inden I går i gang.

5. Hvem har adgang til data? — Så få som muligt. Principper om need-to-know og least privilege.

6. Bruges data til træning af AI-modellen? — Patientdata bør aldrig bruges til modeltræning uden eksplicit samtykke.

7. Hvad sker ved et databrud? — Der skal være en beredskabsplan og notifikationsprocedure.

Sådan håndterer opkald.ai det

For os er datasikkerhed ikke en feature — det er en forudsætning. Sådan gør vi konkret:

• EU-servere: Al data behandles og opbevares i EU (Hetzner, Tyskland)
• Kryptering: CPR-numre og persondata krypteres ved opbevaring
• Databehandleraftale: Klar til underskrift fra dag ét
• Automatisk sletning: Lyddata behandles og slettes løbende
• Adgangskontrol: Hver klinik kan kun se egne data — fuld isolation mellem klinikker
• Ingen modeltræning: Patientdata bruges aldrig til at træne vores modeller

Informationspligt over for patienter

Du skal informere patienter om, at opkald håndteres af en digital kollega. Det kan gøres via:

• En kort besked i starten af opkaldet ("Du taler nu med vores digitale kollega...")
• Information på klinikkens hjemmeside
• Opdatering af klinikkens privatlivspolitik

Kort sagt

Telefonpasning med kunstig intelligens kan være fuldt GDPR-kompatibelt — men det kræver, at du vælger en udbyder, der tager det alvorligt. Tjek at data forbliver i EU, at der foreligger en databehandleraftale, og at lyddata ikke opbevares unødigt.

Datasikkerhed er ikke noget, man tilføjer bagefter. Det skal være med fra starten. Læs mere om vores tilgang på vores datasikkerhedsside.

---

Relateret indhold

• Hvad er AI-telefonpasning? En enkel forklaring →
• Ofte stillede spørgsmål om din digitale kollega →

Læs mere om vores datasikkerhed →