Advarer om det som kan skje nå

Norske eksperter på feltet frykter mange nordmenn ikke forstår det som skjer rett foran oss.

Du har kanskje hørt om Cloud Act – Clarifying Lawfull Overseas, en amerikansk lov som ble undertegnet i 2018.

Loven gir amerikanske myndigheter rett til å kreve tilgang på data fra selskaper som er basert i USA, dersom de mener rikets sikkerhet trues.

Loven gjelder selv om dataene er lagret i andre land, som for eksempel på en server i Europa. 

ADVARER: USAs president Donald Trump signerte loven Cloud Act i mars 2018. Nå advarer norske eksperter om hva som skjer rett foran oss. Foto: Andrew Caballero Reynolds / AFP / NTB

Leger jubler

Hvordan henger dette sammen med Norge, og hvorfor mener norske eksperter vi bør bli mer bevisste? 

Mange norske fastleger bruker KI til å journalføre mine og dine helseopplysninger.

Metoden kalles «tale-til-sammendrag», som betyr at det skrives en oppsummering av det du og fastlegen din har snakket om på legekontoret. 

Verken Helse- og omsorgsdepartementet eller Helsedirektoratet kan bekrefte til TV 2 hvor mange fastleger i Norge som bruker slike verktøy. 

De viser til at fastleger er selvstendig næringsdrivende og at de selv velger hvilket system de vil bruke til journalføring.

Men vi vet at flere norske selskaper leverer tjenesten. Medbric og Noteless er noen av de største. 

Noteless vil ikke bekrefte til TV 2 hvor mange fastleger de samarbeider med, men sier det er snakk om et betydelig antall.

I september skrev bladet Shifter at 20 prosent av alle fastleger i Norge er kunder av dem.

ki:

Superverktøyet overrasker

Selskapet har hatt stor suksess i Norge, og fastleger skryter over at de kan bruke mindre tid på journalføring og mer til på pasientene.

Det norske selskapet Medbric oppgir på sine hjemmesider et samarbeid med Helse Vest.

Skytjenester fra USA

Her kommer det store dilemmaet:

Noteless er ett av mange norske selskaper som har en amerikansk skytjeneste integrert i sine programmer. 

I deres tilfelle er det snakk om Microsoft Azure. Det er de åpne om på sin hjemmeside.

MANGE SIGNATURER: Donald Trump har iherdig skrevet under på en rekke lover i løpet av sine to presidentperioder. Cloud Act er en av dem. Foto: Saul Loeb / AFP / NTB

Selskapet Medbric nekter å svare TV 2 om hvilken skytjeneste de bruker. 

I en rapport fra 2025 står det imidlertid at Medbric bruker tjenesten Amazon Web Services – en amerikansk skyplattform levert av Amazon. 

Medbric begrunner hemmeligholdet med at de for tiden deltar i et viktig anbud innenfor helsesektoren. 

Noteless vil verken bekrefte eller avkrefte om også de deltar. 

Et viktig valg i vente 

Helse Sør-Øst har lyst ut et større anbud for KI-støttet journalføring. Dette skal sikre helsepersonells tilgang på verktøyet «tale-til-sammendrag». 

På lik linje som norske fastleger skal helsepersonell fra dette helseforetaket få bruke mer tid på pasienter fremfor journalføring. 

Vinnerne av anbudet vil få rammeavtaler som løper over flere år. 

Ettersom amerikanske skyplattformer allerede er integrert i norsk helsevesen, er det grunn til å se for seg at de kan havne på innsiden av dette anbudet.

Anbudet skal tas stilling til den 9. april. 

– Aldri 100 prosent sikkert

Bruken av amerikanske skytjenester i Norge er ikke noe nytt. 

Microsoft Azure brukes blant annet av Forsvaret, Nav og en rekke helseforetak. 

Likevel advarer teknologiadvokat Jan Sandtrø norske myndigheter mot å gjøre seg avhengige av amerikanske teknologigiganter. 

ADVARER: Teknologiadvokat Jan Sandtrø advarer norske myndigheter mor å gjøre seg for avhengig av amerikanske tek-giganter. Foto: (c) 2015 Calle Huth

En undersøkelse fra det sveitsiske selskapet Proton viste nylig at hele 96 prosent av norske bedrifter er avhengige av amerikanske tek-selskap. Det er nest mest i Europa, kun slått av Island.

Problemet er ikke selskaper som Microsoft, men at Microsoft er et selskap basert i USA. De er dermed underlagt loven Cloud Act, forklarer advokat Sandtrø. 

Når norske selskaper som Noteless og Medbric bruker amerikanske skytjenester i det produktet de leverer, finnes det derfor en risiko for at mine og dine helseopplysninger havner på avveie.

– For mange egg i én kurv

– Hva gjelder informasjonssikkerhet, kan man aldri være 100 prosent sikker på et system, uavhengig av hvem som leverer, sier Sandtrø til TV 2.

Et skrekkscenario ville være at amerikanske myndigheter får tilgang til store mengder helseopplysninger om norske borgere, men debatten er ofte noe overdrevet her, legger Sandtrø til. 

– USA har flere muligheter

TV 2 har stilt en rekke spørsmål til Helse Sør-Øst, blant annet om de kommer til å ta risikoen knyttet til Cloud Act i betraktning når anbudet skal tas stilling til den 9. april. 

Helse Sør-Øst sier de tar Cloud Act på alvor og at dette er adressert i anbudet.

– Helse Sør-Øst kan aldri gi absolutte garantier i en digital verden, men vi kan sikre at risikoen er kjent, vurdert og aktivt kontrollert, sier fagsjef for digital innovasjon i Helse Sør-Øst, Nis Johannesen, til TV 2.

Han påpeker at det vil stilles strenge krav til søkerne. Blant annet må det sikres dokumentert kontroll over hvor data behandles og hvem som kan få tilgang, samt full åpenhet om leverandørkjeder og underleverandører.

KI + HELSE: Helsepersonell i Helse Sør-Øst skal få bruke mer tid på pasienten fremfor journalføring. Snart skal de avgjøre hvilket selskap som skal få levere. Foto: Tor Henning Flaten / TV 2

Samtidig mener Johannesen at det ikke er gitt at valg av en lokal norsk leverandør vil gi mindre fare for helseopplysninger på avveie enn bruk av en amerikansk leverandør.

– Hvis USA ønsker å bruke ressurser på å få tak i norske helseopplysninger, så har de flere muligheter som vil være lovlig i USA. De kan bruke hacking, bestikkelser, hemmelig eierskap i europeiske selskaper, påvirke sikkerhetsstandarder og gå rettens vei gjennom Cloud Act. 

Teknologiadvokaten ønsker ikke å spekulere i hva slags signal det vil sende dersom anbudet til Helse Sør-Øst tildeles et selskap som bruker en amerikansk skytjeneste. 

Han påpeker at leverandører har krav på likebehandling.

Helse Sør-Øst kan derfor ikke utelukke leverandører som bruker amerikanske skytjenester så lenge bruken er lovlig og tilstrekkelig sikret i henhold til europeiske krav. 

Spørsmålet er hvor lurt det er.

Ber regjeringen bremse 

Kjersti Toppe (Sp), leder for Stortingets helse- og omsorgskomité reagerer på temaet TV 2 belyser.  

Hun mener anbudet til Helse Sør-Øst bør avvente sin avgjørelse.

– Pasientopplysninger må være trygge og ikke kunne misbrukes. Det har med tilliten til helsevesenet vårt å gjøre. Derfor mener jeg at regjeringen nå må redegjøre for tryggheten og rammene rundt bruk av KI i helsesektoren, sier Toppe til TV 2

REAGERER: Kjersti Toppe (Sp) ber regjeringen redegjøre for bruken av KI i helsesektoren. Foto: Ingvild Gjerdsjø / TV 2

– Anbudet som det vises til i Helse Sør Øst, må avvente en slik redegjørelse fra statsrådene.

Gjør omvendt av Norge

I land som Frankrike har man gått i en helt annen retning. Der har man bygget opp en sterk KI-infrastruktur. 

Satsingen begynte for alvor i 2018. Siden har de brukt milliarder på utvikling av KI. Målet er å bygge datasentre i Europa og å ha kontroll på hvor data lagres. 

IKKE SOM NORGE: I Frankrike er man ikke avhengig av amerikanske tek-giganter. Der satser man på lokale leverandører. Foto: Vilde Roald / TV 2

I stedet for å være avhengig av amerikanske aktører, konkurrerer franskmennene med dem. 

I Norge er situasjonen en helt annen. 

Her mangler man en tung, nasjonalt kontrollert KI-infrastruktur. Man er mer eller mindre avhengig av utenlandske aktører som Microsoft, advarer professor Michael Riegler ved Oslo Met.

PROFESSOR: Michael Riegler er professor med ekspertise innenfor KI ved Oslo Met. Foto: Privat

– Det gir grunn til ettertanke. Skal vi virkelig basere fremtidens samfunnskritiske løsninger på plattformer vi ikke eier selv? 

Riegler påpeker at den politiske verden endrer seg. Man må derfor forstå hvilket syn land har på demokrati. USA og Kina er soleklare eksempler.

– Du ser hvordan de håndterer KI. De lager mange interessante regler, sier professoren. 

Når man tenker på helse, kommer det mange ekstra problemer inn i bildet, advarer professoren. 

Han mener man i verste fall kan risikere å ta i bruk et KI-verktøy som ikke håndterer norsk forvaltning eller helse, fordi den ikke vet hvordan det gjøres i Norge. 

– Når det gjelder Cloud Act, ser vi at USA kan tvinge seg frem til data. De har både mulighet til å gjøre det og har gjort det.

Riegler påpeker at dette ikke er noe amerikanske selskaper ønsker å gjøre, men at de kan bli tvunget til det. Det gjelder ikke bare Microsoft, men alle. 

Professoren understreker at han ikke er kritisk til norsk helsevesens bruk av KI. 

Tvert imot mener han norske helsemyndigheter er blant dem som tilnærmer seg KI-implementering på riktig måte, med vekt på evaluering og kvalitetssikring.

Et stort dilemma

Til tross for at man i en ideell verden burde valgt norske leverandører fremfor amerikanske, finnes det i dag få tekniske løsninger i Norge som er bedre på sikkerhet enn hva enkelte amerikanske selskap leverer, påpeker teknologiadvokat Jan Sandtrø. 

TV 2 har stilt Digitaliserings- og forvaltningsdepartementet en rekke spørsmål om saken, blant annet hvorfor Norge ikke gjør mer for å bli mindre avhengig av amerikanske selskaper.

De ønsker ikke å svare, og viser til Helse- og omsorgsdepartementet. 

Ny studie: Norske leger dankes ut av KI

I en epost til TV 2 skriver de at amerikanske skytjenester som Microsoft, Google og Amazon er trygge løsninger med høy sikkerhet.

– Samtidig er det noen få store aktører som dominerer markedet og de fleste er enige om at det hadde vært bra om det fantes alternative løsninger, sier statssekretær Ellen Rønning-Arnesen.

Hun sier Norge ikke trenger en strategi mot amerikanske selskaper, men politikk som gjør det enklere for flere teknologiselskaper å lykkes i Norge og Europa. 

– Derfor samarbeider Norge tett med Norden, EU og andre partnere for å sikre handlingsrom, felles standarder og flere alternativer.

– Må nyansere bildet 

Både Noteless og Medbric sier til TV 2 at deres største prioritet er pasienters personvern og sikkerhet. 

– Derfor mener vi at norsk helsevesen fortjener løsninger som er både effektive og sikre. Vi har lagt ned betydelig arbeid for å sikre at Noteless oppfyller de strengeste kravene til begge deler.

Det skriver Mikkel Slettebø, medgründer i Noteless, og Marius Moen Aune, leder for sikkerhet og etterlevelse, til TV 2.

De anerkjenner risikoen som bruken av amerikanske skyleplattformer medfører. 

Notless sier imidlertid at spørsmålet om personvern har blitt grundig drøftet av EU-kommisjonen, Det europeiske personvernrådet (EDPB) og EU-domstolen, og at deres behandling av pasientdata skjer i tråd med GDPR og nasjonale krav.

STRENGE KRAV: GDPR, en lov undertegnet av EU i 2018, gir deg mer kontroll over dine egne data og stiller strenge krav til selskaper som Microsoft. Foto: Dado Ruvic / Reuters / NTB

Cloud Act er noe de tar på alvor, og påpeker at dette er noe som debatteres aktivt i bransjen.

– Det er likevel viktig å nyansere bildet: Cloud Act gir ikke amerikanske myndigheter uhindret tilgang til data – det krever domstolskjennelse, og Microsoft har ved flere anledninger utfordret slike krav i retten. 

Noteless mener ingen løsning noen gang vil være 100 prosent risikofri, selv de norske. 

Medbric sier til TV 2 at de jobber for å utvikle alternativer til amerikanske språkmodeller. 

I likhet med Noteless ser de problemstillingen knyttet til nasjonal kapasitet og teknologisk selvstendighet. Deres vurdering er at sikkerhet må vurderes helhetlig.

– Inkludert oppetid, evne til rask sikkerhetsoppdatering og beskyttelse mot moderne trusler, sier daglig leder i Medbric, Jorunn Thaulow, til TV 2.