Juridisk Kontor
Den juridiske funktion kan hjælpe dig med at overholde dokumentationskrav og sikre, at dit projekt lever op til AI-forordningen og anden relevant lovgivning.
Vurder dataanvendelse og juridiske aspekter
Beskrivelse
Udvikling af AI-produkter indebærer typisk store datasæt. Hvis et datasæt indeholder personoplysninger, skal det afklares, om oplysningerne kan og må anvendes til formålet.
Selvom personoplysningerne er pseudonymiserede, er der stadig tale om oplysninger, der kun må anvendes inden for lovgivningens rammer.
Derfor er det vigtigt at gennemføre en række juridiske vurderinger.
Handlinger
1. Afklar anvendelse af personoplysninger i samarbejde med juridisk afdeling
Afdækning: Det skal afdækkes, hvilke personoplysninger der er behov for, og om lovgivningen muliggør anvendelse af oplysningerne til udviklingen af AI-produktet.
Anvendelsesmuligheder: Om oplysninger kan anvendes – og hvordan – afhænger af typen af personoplysninger. Det kan typisk være til et forskningsprojekt, et kvalitetsprojekt efter sundhedsloven, samtykke fra omhandlede personer, eller hvis der i lovgivningen står, at oplysningerne kan anvendes til formålet. Eksterne datasæt: Hvis der skal anvendes datasæt (med personoplysninger) fra andre myndigheder, skal der tages kontakt direkte til myndighederne med forespørgsel om anvendelse af oplysningerne. Godkendt til drift: Det er vigtigt at sikre, at de personoplysninger, som algoritmen udvikles på, også kan anvendes af algoritmen i drift.
Historiske data: Bemærk, at det som udgangspunkt kun er muligt at udvikle en algoritme på baggrund af historiske data.
2. Vurder om udvikling sker som forsknings- eller kvalitetsprojekt
Projekttype: Vurder, om AI-algoritmen skal udvikles i et forsknings- eller kvalitetsudviklingsprojekt. Læs mere på Forsknings- eller kvalitetsprojekt? - Sundhed Fagperson (rm.dk) .
Yderligere information: Læs mere om forsknings- og kvalitetsprojekter på Forskning og Innovation - Sundhed Fagperson (rm.dk) .
3. Sørg for databehandleraftale eller fælles dataansvar
Rolleafklaring: Hvis der er er flere parter i projektet, skal deres (databeskyttelsesretlige) roller afklares.
Databehandleraftale: Der skal indgås en databehandleraftale, hvis virksomheden skal behandle personoplysninger på vegne af projektet i forbindelse med udviklingen af algoritmen.
Fælles ansvar: Såfremt to eller flere parter er sammen om at træffe beslutning om bl.a. formål med og behandling af personoplysninger, kan der være tale om fælles dataansvar.
Læs mere om databeskyttelsesretlige roller i forskningsprojekter på regioner.dk/ juraogsundhedsforskning /vejledning/ .
4. Vær opmærksom på forskellige faser
Faseinddeling: Et AI-projekt kan inddeles i de fire følgende faser, hvor de juridiske vurderinger skal gennemføres:
Særskilt vurdering: Hver fase skal vurderes særskilt, da der kan være forskel på, hvad der stilles af lovmæssige krav.
Varierende hjemmel: Hjemmel for behandling af personoplysninger er ofte forskellig for udvikling, test og drift.
Opmærksom på alle faser: Det er nødvendigt at være opmærksom på alle faser fra starten, da nogle oplysninger kan anvendes ved udvikling af et AI-produkt, mens de ikke altid kan af produktet i en driftssituation.
Drift adskiller sig: Gentræning eller videreudvikling er ikke det samme som drift. Dette skal vurderes særskilt og kan eksempelvis have samme hjemmel som en udviklingsproces.
En plan, der sikrer, at en virksomhed overholder relevante love, regler og standarder inden for sit felt. Den omfatter typisk risikovurdering, fastlæggelse af interne processer, uddannelse af medarbejdere og løbende overvågning for at sikre, at alle krav opfyldes og fejl rettes i tide.
De videnskabsetiske medicinske komitéer, som behandler ansøgninger om afprøvning af medicinsk udstyr i Danmark.
Bruges i AI-rejsen som en samlende betegnelse for "virksomhed", "SMV" og "startup".
Løn til videnskabeligt personale.
Godkendelse fra regionen til videregivelse af journaloplysninger ifm. et forskningsprojekt.
En systematisk undersøgelse mhp. at bekræfte, at eksempelvis en model, et produkt eller en intervention er effektiv og giver klinisk værdi baseret på evidens.
Vedrører alle indkøb i det offentlige ved kontrakter til en værdi over 1,6 mio. kr. Udbudsprocessen er meget regelbundet (jf. udbudsloven). I et udbud beskriver køber i sit udbudsmateriale det produkt eller den løsning, der er behov for. De sælgere, som kommer med et tilbud, der lever op til kravene, bedømmes på udvalgte kriterier (pris, kvalitet, ydeevne mv.). Tilbuddet som vurderes til højeste samlet score på de udvalgte parametre, vinder udbuddet. En offentlig myndighed skal kunne redegøre nøjagtig for, hvorfor man vælger denne leverandør, og de tilbudsgivere, som ikke vinder, kan klage over resultatet.
Løn til teknisk-administrativt personale.
En fast aftale for opdatering af AI algoritme, når der kommer en ny version. Dette kan indebære at der er aftale omkring fx ny applikationstræning af personale eller behov for ny hardware eller plan for hvad der skal ske med en øget datamængde mv.
En aftale mellem to eller flere parter, der fastlægger betingelserne for samarbejdet.
Eksisterende, fx fra journaler, databaser, tidl. undersøgelser eller andre historiske kilder, der analyseres for at forstå tidligere hændelser, mønstre eller sammenhænge.
Indsamles, behandles og præsenteres i det øjeblik, det skabes eller opstår.
Indsamles fremadrettet, typisk ifm. et forskningsprojekt eller en undersøgelse, hvor deltagere eller observationer følges over en periode.
Defineres i AI-rejsen som kliniker, forsker og virksomhed, der udgør både projektejer og projektleder.
Forskellige metoder eller strategier, der anvendes til at fastsætte priser på produkter.
Software, der installeres og drives på en virksomheds egne servere og datacentre.
Juridisk bindene aftale (kontrakt mellem offentlige og private aktører), som regulerer parternes samarbejde og konkrete opgaver (deliveries) i projektperioden.
Mindstekrav.
Den funktion i organisationen, der er ekspert på anskaffelse og implementering af medicoteknisk udstyr (patientnært udstyr). Er forskelligt organiseret i de fem regioner.
Som forberedelse til en udbudsproces, eller som første skridt i en innovationsproces, er det vigtigt at foretage en markedsafdækning, der har til formål at afsøge markedet for relevante produkter. Hvad kan markedet umiddelbart tilbyde, og findes der måske allerede et produkt, som i højere eller mindre grad kan opfylde det behov, din produktidé er målrettet. For indkøb under udbudsgrænsen skal der også foretages en markedsundersøgelse inden der tegnes kontrakt.
En EU-forordning, der fastsætter obligatoriske krav, som producenter skal opfylde i Europa. Formålet med MDR er at beskytte patienters sikkerhed. Virksomheder, der udvikler og forhandler medicinsk udstyr, skal sikre efterlevelse af MDR, herunder CE-mærkning, for at sælge produkter på det europæiske marked.
En række milepæle, som man enes om skal nås i et givet projekt for at vurdere projektets fremdrift. Der kan være mange KPI’er i et projekt.
Konkurrenceparametre.
I henhold til EU's Medical Device Regulation (MDR) klassificeres medicinsk udstyr i fire risikoklasser: I, IIa, IIb og III. Klasse I er lavrisiko (f.eks. bandager), mens klasse III er højrisiko (f.eks. pacemakere). Risikoklassificering af medicinsk udstyr anviser hvilke krav til sikkerhed og ydeevne, der skal være opfyldt før fabrikanten kan markedsføre udstyret.
Den afdeling i organisationen, som står for indkøb i form udbud og/eller indgåelse af kontrakter. Indkøber på vegne af den afdeling, der skal bruge produktet, men er ikke selv bruger.
Fundamental rights impact assessment (konsekvensanalyse af AI-systemets indvirkning på grundlæggende rettigheder).
AI produkter leveres ud fra (ret) forskellige modeller vedr. betaling (og dermed leverandørens forretningsmodel). Det kan være abonnementsordninger med eller uden bindingstid med eller uden loft på brug (fx antal analyser eller processeret datamængde). Det kan også være ”pay per use”, hvor man betaler en fast pris pr. analyse og hvor der evt. er rabat efter X antal analyserede undersøgelser.
Ved en evaluering i et udbud vurderes stillet kravspecifikation op mod de oplysninger, leverandøren oplyser, eller som måles/observeres/vurderes på de tilbudte produkter.
Data protection officer (databeskyttelsesrådgiver, der rådgiver den dataansvarlige og sikrer, at organisationen efterlever de databeskyttelsesretlige regler).
Data protection impact assessment (konsekvensanalyse, der identificerer og minimerer databeskyttelsesrisici ifm. en specifik databehandlingsaktivitet).
Under udbudsgrænsen for at validere løsning.
Region Midtjyllands datastøttecenter, hvor klinikere og forskere kan få hjælp til forskningsprojekter.
CE-mærkning viser at et produkt opfylder EU's sikkerheds-, sundheds- og miljøkrav og kan frit sælges inden for det europæiske marked. For medicinsk udstyr viser CE-mærket, dermed at produktet efterlever og er i overensstemmelse med MDR.
Styringsværktøj, der dokumenterer projektets eller produktets leverancer, præsenterer fordele, omkostninger, risici og potentielle gevinster ved produktet og hjælper beslutningstagere med at vurdere, om det foreslåede tiltag giver værdi og er økonomisk forsvarligt.
En uafhængig organisation, der er godkendt af en national myndighed til at vurdere, om medicinsk udstyr opfylder kravene i MDR. De foretager inspektioner og certificeringer af produkter i højere risikoklasser, for at CE-mærkning kan opnås og produkter kan markedsføres i EU.
EU's AI-forordning er verdens første lovgivning om kunstig intelligens og gælder fra 1. august 2024. Den har til formål at sikre, at AI-systemer er sikre, etiske og pålidelige.
Algoritme, der er designet til at efterligne menneskelig intelligens ved at lære fra data, genkende mønstre og identificere sammenhænge.
I nogle tilfælde kan den offentlige myndighed beslutte at købe et produkt for at afprøve det i drift. Det kan betyde, at det ikke er nødvendigt at foretage et udbud, fordi den samlede kontraktsum ligger under udbudsgrænsen (ca. 1,6 mio. kr.). Indkøb under 1,6 mio. kr. er stadig regelbundet i den offentlige sektor ifht. udbudsloven. En afprøvningskontrakt betyder, at alle de formelle krav til produktet/implementeringen kommer på plads (databehandleraftale, IT-sikkerhed mv.). Under afprøvningen skal man være opmærksom på ikke at stille leverandøren til afprøvningen væsentligt bedre ift. at byde ind på et efterfølgende udbud.