Juridisk Kontor
Den juridiske funktion kan hjælpe dig med at overholde dokumentationskrav og sikre, at dit projekt lever op til AI-forordningen og anden relevant lovgivning.
Gennemfør juridisk vurdering
Beskrivelse
Implementering og drift af et AI-produkt (uanset om det er selvudviklet eller indkøbt som en færdig løsning) kræver, at der foretages juridiske vurderinger af produktets setup og dataflow for at afdække, om produktet kan anvendes lovligt til det tiltænkte formål.
Det er vigtigt at gøre sig en række overvejelser, når man ønsker at indkøbe eller idriftsætte AI-værktøjer, herunder om de personoplysninger, som AI-produktet skal behandle, kan behandles til formålet med løsningen.
Handlinger
1. Vær opmærksom på juridiske forhold
Hjemmel i lovgivningen: Anvendes et AI-produkt over for fysiske personer (fx borgere, patienter), skal der i lovgivningen bl.a. være klar hjemmel til, at AI-løsningen må anvende de pågældende personoplysninger til formålet.
Særlige forhold: Vær opmærksom på, at udvikling og validering er selvstændige formål, mens driftssituationen skal vurderes særskilt.
Kvalitetsprojekt: Hvis man ønsker at teste et AI-værktøj, inden man indkøber og idriftsætter det, kan det som udgangspunkt ske ved et kvalitetsprojekt, hvor kravene til et sådan er opfyldt, eller direkte i driften (fx i patientbehandlingen), hvis det kan ske inden for lovens rammer, fx efter ansøgning til og godkendelse af NVEK.
Risikovurdering: En risikovurdering skal udarbejdes ift. databeskyttelse, ligesom behov for DPIA og FRIA skal vurderes.
2. Drift: on-premise eller ved leverandør/cloud-løsning
Særlige forhold: Driften af AI-løsningen skal vurderes. Især ved cloud-løsninger, som er ejet af leverandører i tredjelande, er der særlige opmærksomheder, fx ift. supplerende foranstaltninger såsom:
Pseudonymisering.
Begrænsning af opsamling/opbevaring af personoplysninger hos leverandør og i cloud-løsning.
Kryptering.
Dataminimering.
Databehandleraftale: Ved anvendelse af en ekstern leverandør, skal der indgås en databehandleraftale, fx når vedkommende opbevarer oplysninger eller udfører support på en on-premise-løsning.
3. Undersøg leverandørens anvendelse af oplysninger
Brug til egne formål: Undersøg om leverandøren ønsker at anvende data fra driften til egne formål (fx videreudvikling, markedsføring). Det skal sikres, at det ikke fremgår af kontrakter eller aftaler med leverandøren, at vedkommende kan anvende oplysninger til egne formål.
Vær særlig opmærksom på
Videregivelse: Det kræver særskilt hjemmel og må ikke være tilladt i kontrakter eller aftaler.
En plan, der sikrer, at en virksomhed overholder relevante love, regler og standarder inden for sit felt. Den omfatter typisk risikovurdering, fastlæggelse af interne processer, uddannelse af medarbejdere og løbende overvågning for at sikre, at alle krav opfyldes og fejl rettes i tide.
De videnskabsetiske medicinske komitéer, som behandler ansøgninger om afprøvning af medicinsk udstyr i Danmark.
Bruges i AI-rejsen som en samlende betegnelse for "virksomhed", "SMV" og "startup".
Løn til videnskabeligt personale.
Godkendelse fra regionen til videregivelse af journaloplysninger ifm. et forskningsprojekt.
En systematisk undersøgelse mhp. at bekræfte, at eksempelvis en model, et produkt eller en intervention er effektiv og giver klinisk værdi baseret på evidens.
Vedrører alle indkøb i det offentlige ved kontrakter til en værdi over 1,6 mio. kr. Udbudsprocessen er meget regelbundet (jf. udbudsloven). I et udbud beskriver køber i sit udbudsmateriale det produkt eller den løsning, der er behov for. De sælgere, som kommer med et tilbud, der lever op til kravene, bedømmes på udvalgte kriterier (pris, kvalitet, ydeevne mv.). Tilbuddet som vurderes til højeste samlet score på de udvalgte parametre, vinder udbuddet. En offentlig myndighed skal kunne redegøre nøjagtig for, hvorfor man vælger denne leverandør, og de tilbudsgivere, som ikke vinder, kan klage over resultatet.
Løn til teknisk-administrativt personale.
En fast aftale for opdatering af AI algoritme, når der kommer en ny version. Dette kan indebære at der er aftale omkring fx ny applikationstræning af personale eller behov for ny hardware eller plan for hvad der skal ske med en øget datamængde mv.
En aftale mellem to eller flere parter, der fastlægger betingelserne for samarbejdet.
Eksisterende, fx fra journaler, databaser, tidl. undersøgelser eller andre historiske kilder, der analyseres for at forstå tidligere hændelser, mønstre eller sammenhænge.
Indsamles, behandles og præsenteres i det øjeblik, det skabes eller opstår.
Indsamles fremadrettet, typisk ifm. et forskningsprojekt eller en undersøgelse, hvor deltagere eller observationer følges over en periode.
Defineres i AI-rejsen som kliniker, forsker og virksomhed, der udgør både projektejer og projektleder.
Forskellige metoder eller strategier, der anvendes til at fastsætte priser på produkter.
Software, der installeres og drives på en virksomheds egne servere og datacentre.
Juridisk bindene aftale (kontrakt mellem offentlige og private aktører), som regulerer parternes samarbejde og konkrete opgaver (deliveries) i projektperioden.
Mindstekrav.
Den funktion i organisationen, der er ekspert på anskaffelse og implementering af medicoteknisk udstyr (patientnært udstyr). Er forskelligt organiseret i de fem regioner.
Som forberedelse til en udbudsproces, eller som første skridt i en innovationsproces, er det vigtigt at foretage en markedsafdækning, der har til formål at afsøge markedet for relevante produkter. Hvad kan markedet umiddelbart tilbyde, og findes der måske allerede et produkt, som i højere eller mindre grad kan opfylde det behov, din produktidé er målrettet. For indkøb under udbudsgrænsen skal der også foretages en markedsundersøgelse inden der tegnes kontrakt.
En EU-forordning, der fastsætter obligatoriske krav, som producenter skal opfylde i Europa. Formålet med MDR er at beskytte patienters sikkerhed. Virksomheder, der udvikler og forhandler medicinsk udstyr, skal sikre efterlevelse af MDR, herunder CE-mærkning, for at sælge produkter på det europæiske marked.
En række milepæle, som man enes om skal nås i et givet projekt for at vurdere projektets fremdrift. Der kan være mange KPI’er i et projekt.
Konkurrenceparametre.
I henhold til EU's Medical Device Regulation (MDR) klassificeres medicinsk udstyr i fire risikoklasser: I, IIa, IIb og III. Klasse I er lavrisiko (f.eks. bandager), mens klasse III er højrisiko (f.eks. pacemakere). Risikoklassificering af medicinsk udstyr anviser hvilke krav til sikkerhed og ydeevne, der skal være opfyldt før fabrikanten kan markedsføre udstyret.
Den afdeling i organisationen, som står for indkøb i form udbud og/eller indgåelse af kontrakter. Indkøber på vegne af den afdeling, der skal bruge produktet, men er ikke selv bruger.
Fundamental rights impact assessment (konsekvensanalyse af AI-systemets indvirkning på grundlæggende rettigheder).
AI produkter leveres ud fra (ret) forskellige modeller vedr. betaling (og dermed leverandørens forretningsmodel). Det kan være abonnementsordninger med eller uden bindingstid med eller uden loft på brug (fx antal analyser eller processeret datamængde). Det kan også være ”pay per use”, hvor man betaler en fast pris pr. analyse og hvor der evt. er rabat efter X antal analyserede undersøgelser.
Ved en evaluering i et udbud vurderes stillet kravspecifikation op mod de oplysninger, leverandøren oplyser, eller som måles/observeres/vurderes på de tilbudte produkter.
Data protection officer (databeskyttelsesrådgiver, der rådgiver den dataansvarlige og sikrer, at organisationen efterlever de databeskyttelsesretlige regler).
Data protection impact assessment (konsekvensanalyse, der identificerer og minimerer databeskyttelsesrisici ifm. en specifik databehandlingsaktivitet).
Under udbudsgrænsen for at validere løsning.
Region Midtjyllands datastøttecenter, hvor klinikere og forskere kan få hjælp til forskningsprojekter.
CE-mærkning viser at et produkt opfylder EU's sikkerheds-, sundheds- og miljøkrav og kan frit sælges inden for det europæiske marked. For medicinsk udstyr viser CE-mærket, dermed at produktet efterlever og er i overensstemmelse med MDR.
Styringsværktøj, der dokumenterer projektets eller produktets leverancer, præsenterer fordele, omkostninger, risici og potentielle gevinster ved produktet og hjælper beslutningstagere med at vurdere, om det foreslåede tiltag giver værdi og er økonomisk forsvarligt.
En uafhængig organisation, der er godkendt af en national myndighed til at vurdere, om medicinsk udstyr opfylder kravene i MDR. De foretager inspektioner og certificeringer af produkter i højere risikoklasser, for at CE-mærkning kan opnås og produkter kan markedsføres i EU.
EU's AI-forordning er verdens første lovgivning om kunstig intelligens og gælder fra 1. august 2024. Den har til formål at sikre, at AI-systemer er sikre, etiske og pålidelige.
Algoritme, der er designet til at efterligne menneskelig intelligens ved at lære fra data, genkende mønstre og identificere sammenhænge.
I nogle tilfælde kan den offentlige myndighed beslutte at købe et produkt for at afprøve det i drift. Det kan betyde, at det ikke er nødvendigt at foretage et udbud, fordi den samlede kontraktsum ligger under udbudsgrænsen (ca. 1,6 mio. kr.). Indkøb under 1,6 mio. kr. er stadig regelbundet i den offentlige sektor ifht. udbudsloven. En afprøvningskontrakt betyder, at alle de formelle krav til produktet/implementeringen kommer på plads (databehandleraftale, IT-sikkerhed mv.). Under afprøvningen skal man være opmærksom på ikke at stille leverandøren til afprøvningen væsentligt bedre ift. at byde ind på et efterfølgende udbud.