Juridisk Kontor
Den juridiske funktion kan hjælpe dig med at overholde dokumentationskrav og sikre, at dit projekt lever op til AI-forordningen og anden relevant lovgivning.
Kategoriser risici (EU's AI-forordning)
Beskrivelse
AI-forordningen stiller krav til dokumentation og foranstaltninger for AI-produkter, der bringes i anvendelse og drift. Dokumentation og foranstaltninger varierer afhængigt af den risikogruppe under forordningen, som et AI-produkt falder under.
AI-forordningen finder ikke anvendelse på forsknings-, test- og udviklingsaktiviteter vedrørende AI-produkter eller modeller, som finder sted før idriftsættelse.
Imidlertid vil kravene skulle opfyldes i det øjeblik et udviklet AI-produkt sættes i drift eller afprøves under faktiske forhold. Derfor skal dokumentationen af AI-produkt have opmærksomhed allerede i udviklingsfasen.
Læs om AI-forordningen her: https://digst.dk/sikkerhed/digitale-tilsyn/tilsyn-med-kunstig-intelligens/eu-s-regler-om-kunstig-intelligens/
Handlinger
1. Sæt dig ind i AI-forordningens risikokategorier
Høj risiko: AI-forordningen har forskellige risikokategorier. Som udgangspunkt kategoriseres følgende som ”højrisiko” produkter: 1) AI-produkter, der er medicinsk udstyr (eller indgår som komponent i et sådan udstyr) 2) AI-produkter, der falder under forordningens bilag III, fx hvis produktet forventes anvendt til at vurdere fysiske personers berettigelse til væsentlige offentlige bistandsydelser og -tjenester, herunder sundhedstjenester, og til at tildele, nedsætte, tilbagekalde eller kræve tilbagebetaling af sådanne ydelser og tjenester.
2. Sørg for at opfylde centrale krav
Idriftsættelse & afprøvning: Et udviklet ”højrisiko” AI-produkt vil ved idriftsættelse eller afprøvning under faktiske forhold skulle opfylde bl.a. følgende krav, som man bør være opmærksom på allerede under udviklingsfasen:
Implementering af risikostyringssystem i hele AI-systemets livscyklus; risk management processen ISO 14971 kan ofte benyttes her
Gennemførelse af data-governance; der er ikke offentliggjorte standarder for efterlevelse heraf, men løbende dokumentering af data anbefales.
Registrering i offentlig EU-database for højrisiko AI-systemer (efter bilag III)
Udarbejdelse af teknisk dokumentation for at sikre gennemsigtighed fx brugsanvisninger og tydelig information til fysiske personer. Dette er også et krav ift. MDR.
Design af logningsfunktioner og menneskelige overvågningsmekanismer i systemerne (herunder ved at være nemme at forklare og fortolke, tilgængeliggøre reviderbare logfiler og sikre foranstaltninger til menneskelig kontrol)
Sikring af passende niveauer af nøjagtighed, robusthed og cybersikkerhed (passende betyder fx relevant, repræsentativ, fri for fejl og komplet)
Gennemførelse af vurderinger af grundlæggende rettigheder
Implementering af et kvalitetsstyringssystem. Det er dertil også et krav i MDR at have et kvalitetsstyringssystem, hertil kan ISO 13485 benyttes.
Vær særligt opmærksom på
Det er fortsat ikke afgjort præcist, hvordan AI-forordningen skal efterleves, men der er flere krav der går igen fra forordningen om medicinsk udstyr (MDR). Derfor kommer man langt med efterlevelse af MDR for nuværende.
Der skal udarbejdes en række dokumentationer og udføres nogle foranstaltninger for at opfylde lovgivningen.
En plan, der sikrer, at en virksomhed overholder relevante love, regler og standarder inden for sit felt. Den omfatter typisk risikovurdering, fastlæggelse af interne processer, uddannelse af medarbejdere og løbende overvågning for at sikre, at alle krav opfyldes og fejl rettes i tide.
De videnskabsetiske medicinske komitéer, som behandler ansøgninger om afprøvning af medicinsk udstyr i Danmark.
Bruges i AI-rejsen som en samlende betegnelse for "virksomhed", "SMV" og "startup".
Løn til videnskabeligt personale.
Godkendelse fra regionen til videregivelse af journaloplysninger ifm. et forskningsprojekt.
En systematisk undersøgelse mhp. at bekræfte, at eksempelvis en model, et produkt eller en intervention er effektiv og giver klinisk værdi baseret på evidens.
Vedrører alle indkøb i det offentlige ved kontrakter til en værdi over 1,6 mio. kr. Udbudsprocessen er meget regelbundet (jf. udbudsloven). I et udbud beskriver køber i sit udbudsmateriale det produkt eller den løsning, der er behov for. De sælgere, som kommer med et tilbud, der lever op til kravene, bedømmes på udvalgte kriterier (pris, kvalitet, ydeevne mv.). Tilbuddet som vurderes til højeste samlet score på de udvalgte parametre, vinder udbuddet. En offentlig myndighed skal kunne redegøre nøjagtig for, hvorfor man vælger denne leverandør, og de tilbudsgivere, som ikke vinder, kan klage over resultatet.
Løn til teknisk-administrativt personale.
En fast aftale for opdatering af AI algoritme, når der kommer en ny version. Dette kan indebære at der er aftale omkring fx ny applikationstræning af personale eller behov for ny hardware eller plan for hvad der skal ske med en øget datamængde mv.
En aftale mellem to eller flere parter, der fastlægger betingelserne for samarbejdet.
Eksisterende, fx fra journaler, databaser, tidl. undersøgelser eller andre historiske kilder, der analyseres for at forstå tidligere hændelser, mønstre eller sammenhænge.
Indsamles, behandles og præsenteres i det øjeblik, det skabes eller opstår.
Indsamles fremadrettet, typisk ifm. et forskningsprojekt eller en undersøgelse, hvor deltagere eller observationer følges over en periode.
Defineres i AI-rejsen som kliniker, forsker og virksomhed, der udgør både projektejer og projektleder.
Forskellige metoder eller strategier, der anvendes til at fastsætte priser på produkter.
Software, der installeres og drives på en virksomheds egne servere og datacentre.
Juridisk bindene aftale (kontrakt mellem offentlige og private aktører), som regulerer parternes samarbejde og konkrete opgaver (deliveries) i projektperioden.
Mindstekrav.
Den funktion i organisationen, der er ekspert på anskaffelse og implementering af medicoteknisk udstyr (patientnært udstyr). Er forskelligt organiseret i de fem regioner.
Som forberedelse til en udbudsproces, eller som første skridt i en innovationsproces, er det vigtigt at foretage en markedsafdækning, der har til formål at afsøge markedet for relevante produkter. Hvad kan markedet umiddelbart tilbyde, og findes der måske allerede et produkt, som i højere eller mindre grad kan opfylde det behov, din produktidé er målrettet. For indkøb under udbudsgrænsen skal der også foretages en markedsundersøgelse inden der tegnes kontrakt.
En EU-forordning, der fastsætter obligatoriske krav, som producenter skal opfylde i Europa. Formålet med MDR er at beskytte patienters sikkerhed. Virksomheder, der udvikler og forhandler medicinsk udstyr, skal sikre efterlevelse af MDR, herunder CE-mærkning, for at sælge produkter på det europæiske marked.
En række milepæle, som man enes om skal nås i et givet projekt for at vurdere projektets fremdrift. Der kan være mange KPI’er i et projekt.
Konkurrenceparametre.
I henhold til EU's Medical Device Regulation (MDR) klassificeres medicinsk udstyr i fire risikoklasser: I, IIa, IIb og III. Klasse I er lavrisiko (f.eks. bandager), mens klasse III er højrisiko (f.eks. pacemakere). Risikoklassificering af medicinsk udstyr anviser hvilke krav til sikkerhed og ydeevne, der skal være opfyldt før fabrikanten kan markedsføre udstyret.
Den afdeling i organisationen, som står for indkøb i form udbud og/eller indgåelse af kontrakter. Indkøber på vegne af den afdeling, der skal bruge produktet, men er ikke selv bruger.
Fundamental rights impact assessment (konsekvensanalyse af AI-systemets indvirkning på grundlæggende rettigheder).
AI produkter leveres ud fra (ret) forskellige modeller vedr. betaling (og dermed leverandørens forretningsmodel). Det kan være abonnementsordninger med eller uden bindingstid med eller uden loft på brug (fx antal analyser eller processeret datamængde). Det kan også være ”pay per use”, hvor man betaler en fast pris pr. analyse og hvor der evt. er rabat efter X antal analyserede undersøgelser.
Ved en evaluering i et udbud vurderes stillet kravspecifikation op mod de oplysninger, leverandøren oplyser, eller som måles/observeres/vurderes på de tilbudte produkter.
Data protection officer (databeskyttelsesrådgiver, der rådgiver den dataansvarlige og sikrer, at organisationen efterlever de databeskyttelsesretlige regler).
Data protection impact assessment (konsekvensanalyse, der identificerer og minimerer databeskyttelsesrisici ifm. en specifik databehandlingsaktivitet).
Under udbudsgrænsen for at validere løsning.
Region Midtjyllands datastøttecenter, hvor klinikere og forskere kan få hjælp til forskningsprojekter.
CE-mærkning viser at et produkt opfylder EU's sikkerheds-, sundheds- og miljøkrav og kan frit sælges inden for det europæiske marked. For medicinsk udstyr viser CE-mærket, dermed at produktet efterlever og er i overensstemmelse med MDR.
Styringsværktøj, der dokumenterer projektets eller produktets leverancer, præsenterer fordele, omkostninger, risici og potentielle gevinster ved produktet og hjælper beslutningstagere med at vurdere, om det foreslåede tiltag giver værdi og er økonomisk forsvarligt.
En uafhængig organisation, der er godkendt af en national myndighed til at vurdere, om medicinsk udstyr opfylder kravene i MDR. De foretager inspektioner og certificeringer af produkter i højere risikoklasser, for at CE-mærkning kan opnås og produkter kan markedsføres i EU.
EU's AI-forordning er verdens første lovgivning om kunstig intelligens og gælder fra 1. august 2024. Den har til formål at sikre, at AI-systemer er sikre, etiske og pålidelige.
Algoritme, der er designet til at efterligne menneskelig intelligens ved at lære fra data, genkende mønstre og identificere sammenhænge.
I nogle tilfælde kan den offentlige myndighed beslutte at købe et produkt for at afprøve det i drift. Det kan betyde, at det ikke er nødvendigt at foretage et udbud, fordi den samlede kontraktsum ligger under udbudsgrænsen (ca. 1,6 mio. kr.). Indkøb under 1,6 mio. kr. er stadig regelbundet i den offentlige sektor ifht. udbudsloven. En afprøvningskontrakt betyder, at alle de formelle krav til produktet/implementeringen kommer på plads (databehandleraftale, IT-sikkerhed mv.). Under afprøvningen skal man være opmærksom på ikke at stille leverandøren til afprøvningen væsentligt bedre ift. at byde ind på et efterfølgende udbud.