AWS åpner Nova Act for HIPAA: agentene flyttes inn i regulert drift

Amazon har flyttet Nova Act et hakk nærmere reell drift i regulerte virksomheter. I en ny AWS-post skriver selskapet at Nova Act nå er HIPAA-eligible. Det betyr at amerikanske helse- og life science-aktører med en signert AWS Business Associate Addendum kan bruke tjenesten i arbeidsflyt som berører elektronisk beskyttet helseinformasjon.

Det høres smalt ut. Det er det ikke. Poenget er at agentene ikke lenger bare er tekstbokser ved siden av virksomheten. Nova Act er laget for å gjøre browser-arbeid: navigere nettsteder, fylle ut skjemaer, hente informasjon, kalle API-er og fullføre flertrinnsprosesser. AWS beskriver blant annet timebestilling, forsikringsverifisering, forhåndsgodkjenning, kravstatus, klager, refusjoner, henvisninger og rapportering som mulige bruksområder.

For norske ledere er ikke nyheten at HIPAA plutselig gjelder i Norge. Den gjør ikke det. Nyheten er at hyperscalerne nå pakker agentene inn i compliance-regimer for bransjer der feil, datalekkasje og manglende sporbarhet har direkte konsekvens. Det er akkurat der norske helseaktører, forsikringsselskaper, banker og offentlig sektor også vil møte agentene først.

Fra chatbot til operatør

Nova Act skiller seg fra en vanlig generativ AI-tjeneste ved at den kan handle i brukergrensesnitt. Den kan åpne portaler, fylle felt, lese status og gå videre til neste steg. AWS skriver at tjenesten kan eskalere til en menneskelig supervisor når det passer, og at den kan integreres med eksterne verktøy gjennom API-kall, Model Context Protocol og agentrammeverk som Strands Agents.

Det er her styringsspørsmålet blir konkret. En agent som bare skriver et forslag, er et kunnskapsverktøy. En agent som sender inn et skjema, endrer et krav, ber om refusjon eller henter pasientinformasjon, er en operasjonell aktør. Da må den behandles som en identitet med tilgang, ikke som en fancy prompt.

AWS gjør også ansvarsdelingen tydelig. Selskapet sier at det sikrer underliggende infrastruktur, men at kunden selv har ansvar for konfigurasjon og egne compliance-forpliktelser. Med andre ord: en HIPAA-eligible tjeneste gjør ikke arbeidsflyten automatisk compliant. Den gir et mulig rammeverk. Resten ligger hos kunden.

Det er en viktig påminnelse for norske CIO-er og CISO-er. Når agentene flyttes inn i regulerte prosesser, må virksomheten vite hvilke kontoer agenten bruker, hvilke systemer den når, hvilke data den kan lese, hva den kan skrive, når den skal stoppe, og hvordan hvert steg logges.

Det praktiske kontrollregimet

AWS peker på flere byggesteiner: Business Associate Addendum, tjenestespesifikk sikkerhetskonfigurasjon, IAM-policyer, KMS-kryptering, CloudTrail-logging og designgjennomgang med AWS Well-Architected Tool. Oversatt til lederbeslutninger betyr det fem ting.

Først må agenttilgang skilles fra menneskelig tilgang. En browser-agent bør ikke arve en ansatts brede rettigheter uten egen policy, egen logging og tydelige begrensninger.

Deretter må arbeidsflyten få eksplisitte stoppunkter. En agent kan hente status og forberede innsending, men enkelte handlinger bør kreve menneskelig godkjenning. Det gjelder særlig når utfallet påvirker pasient, kunde, penger eller juridisk ansvar.

For det tredje må loggingen være audit-klar. Det holder ikke å vite at «AI-en gjorde det». Man må kunne se input, system, handling, tidspunkt, beslutningsregel, eventuell supervisor og sluttresultat.

For det fjerde må virksomheten eie feilhåndteringen. Hva skjer når portalen endrer layout, når data mangler, når agenten tolker et felt feil, eller når handlingen er teknisk vellykket men faglig feil?

Til slutt må leverandørstyringen oppdateres. Agenten blir en del av driftskjeden. Da må kontrakter, risikovurderinger og exit-planer dekke mer enn modellkvalitet. De må dekke tilgang, databehandling, logging, region, underleverandører og ansvar ved feil.

Hvorfor dette betyr noe nå

Helse er en god testarena fordi prosessene er tunge, dokumentasjonskravene høye og manuell friksjon dyr. Men mønsteret gjelder bredere. Det samme vil komme i forsikring, finans, innkjøp, HR, saksbehandling og kundedrift.

Agentene vil først ta de kjedelige oppgavene ingen vil eie: portaler, skjemaer, avstemming, statuskontroll, rapportering og oppfølging. Nettopp derfor er de strategisk viktige. Slike oppgaver ligger ofte mellom systemer, mellom avdelinger og mellom leverandører. Det er der kontrollen glipper hvis teknologien innføres som et pilotprosjekt uten operasjonsmodell.

AWS sin melding er derfor mer enn en produktoppdatering. Den viser at agentmarkedet går fra demo til regulert drift. For ledere betyr det at spørsmålet ikke lenger er om agenter kan gjøre arbeid. Spørsmålet er hvem som får lov til å la dem gjøre arbeid på vegne av virksomheten.

Det bør avklares før første agent får tilgang til produksjonssystemer. Etterpå blir det fort dyrere.

Kilder og medier

Primærkilde: AWS, «Amazon Nova Act is now HIPAA eligible», publisert 21. mai 2026: https://aws.amazon.com/blogs/machine-learning/amazon-nova-act-is-now-hipaa-eligible/

Kildekreditering: AWS / Amazon Web Services.

Thumbnail: OpenAI Image 2 / hogby.ai.