Personvern & sikkerhet
Dicta er et forbigående verktøy: du limer inn journaltekst, får svar, kopierer det inn i din egen journal, og sletter. Programmet er ikke et journalsystem og oppbevarer ikke pasientopplysninger. Din EPJ forblir kilden.
Slik behandles data
Lagres ikke
Journalteksten du limer inn lever kun (1) i nettleseren din og (2) flyktig i forespørselen mens svaret strømmes fra modellen. Den skrives aldri til database, fillager eller logg på serveren. Dette er voktet av en automatisk test som feiler hvis noe begynner å persistere pasientdata.
Slett alt
Trykk «Slett alt» i assistenten, eller lukk fanen, så er informasjonen borte fra programmet — ingenting lagres på server. Fullstendig sletting forutsetter i tillegg at AI-leverandøren er konfigurert uten mellomlagring (for Azure: godkjent null-lagring / «no abuse monitoring»); ellers kan leverandøren mellomlagre forespørselen kortvarig.
Behandling i EØS
Med EØS-only aktivert sendes ekte pasientdata kun til en modell som behandler i Norge/EU (f.eks. Azure OpenAI) under databehandleravtale. Tredjelands-endepunkter (api.openai.com / api.anthropic.com) sperres fail-closed.
Sporbart uten PHI
Hver AI-handling lenkes inn i en manipulasjonssikker auditlogg — men kun som en hash (hvem/når/hvilken oppgave), aldri selve teksten. All transport er kryptert (TLS).
Legen i kontroll
Systemet stiller aldri diagnoser og tar aldri medisinske beslutninger. Alt AI-en produserer er forslag som du som autorisert helsepersonell vurderer, redigerer og godkjenner før det går inn i journalen. Ansvaret for innholdet er ditt.
Ansvar og avtaler
Klinikken/legen er behandlingsansvarlig og Dicta er databehandler. Før ekte pasientdata tas i bruk kreves databehandleravtale, behandlingsgrunnlag, og en personvern-/risikovurdering (DPIA/ROS). For at «Slett alt» skal være fullstendig må AI-leverandøren være avtalefestet uten lagring og uten trening på dataene.
Denne siden beskriver hvordan programvaren er bygget. Den er ikke juridisk rådgivning — den enkelte virksomhet er ansvarlig for sin egen etterlevelse av GDPR og Normen.