Hopp til innhold

Personvern & sikkerhet

Dicta er et forbigående verktøy: du limer inn journaltekst, får svar, kopierer det inn i din egen journal, og sletter. Programmet er ikke et journalsystem og oppbevarer ikke pasientopplysninger. Din EPJ forblir kilden.

Live AIEØS-only håndhevetTofaktor påkrevd

Slik behandles data

Lagres ikke

Journalteksten du limer inn lever kun (1) i nettleseren din og (2) flyktig i forespørselen mens svaret strømmes fra modellen. Den skrives aldri til database, fillager eller logg på serveren. Dette er voktet av en automatisk test som feiler hvis noe begynner å persistere pasientdata.

Slett alt

Trykk «Slett alt» i assistenten, eller lukk fanen, så er informasjonen borte fra programmet — ingenting lagres på server. Fullstendig sletting forutsetter i tillegg at AI-leverandøren er konfigurert uten mellomlagring (for Azure: godkjent null-lagring / «no abuse monitoring»); ellers kan leverandøren mellomlagre forespørselen kortvarig.

Behandling i EØS

Med EØS-only aktivert sendes ekte pasientdata kun til en modell som behandler i Norge/EU (f.eks. Azure OpenAI) under databehandleravtale. Tredjelands-endepunkter (api.openai.com / api.anthropic.com) sperres fail-closed.

Sporbart uten PHI

Hver AI-handling lenkes inn i en manipulasjonssikker auditlogg — men kun som en hash (hvem/når/hvilken oppgave), aldri selve teksten. All transport er kryptert (TLS).

Legen i kontroll

Systemet stiller aldri diagnoser og tar aldri medisinske beslutninger. Alt AI-en produserer er forslag som du som autorisert helsepersonell vurderer, redigerer og godkjenner før det går inn i journalen. Ansvaret for innholdet er ditt.

Ansvar og avtaler

Klinikken/legen er behandlingsansvarlig og Dicta er databehandler. Før ekte pasientdata tas i bruk kreves databehandleravtale, behandlingsgrunnlag, og en personvern-/risikovurdering (DPIA/ROS). For at «Slett alt» skal være fullstendig må AI-leverandøren være avtalefestet uten lagring og uten trening på dataene.

Denne siden beskriver hvordan programvaren er bygget. Den er ikke juridisk rådgivning — den enkelte virksomhet er ansvarlig for sin egen etterlevelse av GDPR og Normen.