·
Teknologiadoption
Primær sundhedsvæsen
Praksisledelse / Admin
AI-værktøjskontrakter: hvad praksischefer skal verificere først
Væsentlige tjek for praksischefer før underskrivelse af AI-værktøjskontrakter: regulatorisk status, ansvar, datasikkerhed, integration og klinisk dokumentation

At underskrive en kontrakt for et AI-værktøj kan føles som målstregen i en indkøbsproces, men for praksischefer i primærsektoren er det nærmere startskuddet. Når en kontrakt er underskrevet, og et værktøj er implementeret, ligger de kliniske, juridiske og regulatoriske forpligtelser solidt hos praksis – ikke hos leverandøren. AI-implementering overhaler robust evaluering i den virkelige verden og regulering på måder, der skaber reel risiko for praksisser, som ikke har foretaget grundig due diligence. Denne guide opstiller de specifikke spørgsmål, praksischefer bør stille, og de dokumenter, de bør gennemgå, før nogen kontrakt underskrives.
Er værktøjet klassificeret som medicinsk udstyr, og hvad betyder det for dig?
Ikke alle AI-værktøjer, der bruges i kliniske sammenhænge, er medicinsk udstyr, men mange er, og forskellen har betydelig regulatorisk betydning. I Storbritannien klassificerer Medicines and Healthcare products Regulatory Agency (MHRA) software som medicinsk udstyr. Hvis et AI-værktøj understøtter klinisk diagnosticering, triagebeslutninger eller behandlingsanbefalinger, vil det sandsynligvis falde ind under definitionen af Software as a Medical Device (SaMD) og kræve UKCA- eller CE-mærkning under Medical Device Regulation (MDR).
Før underskrivning bør praksischefer:
Søge i MHRA Product and Registration Database (PARD) for at bekræfte, om værktøjet er registreret som medicinsk udstyr
Spørge leverandøren direkte om deres MHRA-registreringsstatus og enhedsklasse
Kontrollere, om værktøjet har en NICE-evaluering, en Medtech Innovation Briefing (MIB), Diagnostics Guidance (DG) eller Early Value Assessment (EVA)
Bekræfte, om værktøjet har en gyldig UKCA- eller CE-mærkning, hvis det er klassificeret som medicinsk udstyr
CQC's GP Mythbuster 109 om AI, udgivet i juli 2025, gør det klart, at inspektører vil kontrollere, om praksisser har verificeret MHRA-registrering, hvor det er relevant, og om indkøb blev gennemført i henhold til DCB0160- og Digital Technology Assessment Criteria (DTAC)-standarder. Værktøjer, der ikke er klassificeret som medicinsk udstyr, er ikke fritaget for kontrol. De har stadig databeskyttelses-, kliniske sikkerheds- og governance-forpligtelser.
Hvem har klinisk og juridisk ansvar, hvis noget går galt?
Dette er et af de mest betydningsfulde spørgsmål i enhver AI-værktøjskontrakt, og leverandøraftaler slører det ofte. Den generelle holdning i NHS' primærsektor er, at NHS-organisationer stadig kan være ansvarlige for AI-relaterede krav, selv når de bruger tredjepartsværktøjer, og at ansvaret for at bruge en ikke-kompatibel AI-løsning ligger hos den implementerende organisation eller den enkelte kliniker.
Leverandører begrænser typisk deres ansvar til, at softwaren fungerer som beskrevet i kontrakten. De accepterer ikke ansvar for kliniske beslutninger truffet på baggrund af AI-output. Det betyder, at hvis et AI-genereret journalnotat indeholder en fejl, der påvirker patientbehandlingen, vil praksis – ikke leverandøren – sandsynligvis bære de kliniske og juridiske konsekvenser.
Når praksischefer gennemgår kontraktvilkår, bør de kigge efter:
Klare erklæringer om, hvor det kliniske ansvar ligger, og om leverandøren accepterer noget ansvar for AI-genererede output, der indgår i patientjournalen
Erstatningsklausuler, og om leverandørens erstatning dækker kliniske hændelser eller kun softwarefejl
Om leverandørens vilkår kræver, at praksis opretholder menneskelig overvågning af alle AI-output, og hvilken dokumentation for denne overvågning der forventes
Om praksisens medicinske forsvarsorganisation eller erstatningsudbyder er blevet konsulteret om værktøjets brug
Surrey & Sussex LMCs råder praksisser til at engagere deres Integrated Care Board (ICB) for sikkerhed og til at sikre, at alle AI-genererede output kontrolleres af en kliniker, før de indgår i patientjournalen. Dette krav om menneskelig kontrol er ikke blot god praksis – det er en forudsætning for sikker implementering under gældende NHS-vejledning.
Hvor behandles og opbevares patientdata?
Datalokation er et grundlæggende spørgsmål i ethvert klinisk AI-indkøb, og leverandørsvar er ikke altid ligetil. Under UK General Data Protection Regulation (GDPR) og common law-pligten til fortrolighed er patientdata særlige kategorier af data, og behandlingen skal være lovlig, gennemsigtig og proportional. Hvis patientdata, herunder lydoptagelser af konsultationer, overføres uden for Storbritannien eller EU til behandling eller opbevaring, kræves yderligere sikkerhedsforanstaltninger.
NHS Englands vejledning om ambient scribing-produkter bekræfter, at en Data Protection Impact Assessment (DPIA) med stor sandsynlighed er et lovkrav før implementering, givet den omfattende behandling af særlige kategorier af sundhedsdata, der er involveret. NHS Transformation Directorates informationsstyringsvejledning understreger dette og bemærker, at DPIA'er skal adressere de typer data, der behandles (herunder lyd og transskriptioner), leverandørens genbrug af data til AI-modeltræning og patientgennemsigtighedsforpligtelser.
Nøglespørgsmål at stille leverandører før underskrivning:
Hvor behandles patientdata? Er det i Storbritannien, EU eller et tredjeland?
Hvem er leverandørens underdatabehandlere, og hvor er de placeret?
Bruger leverandøren patientkonsultationsdata til at træne eller forbedre deres AI-modeller, og hvis ja, på hvilket juridisk grundlag?
Er en Data Processing Agreement (DPA) inkluderet i kontrakten, og overholder den UK GDPR artikel 28?
Hvad er forskellen mellem anonymiserede og pseudonymiserede data i leverandørens behandling, og hvad er den resterende risiko for genidentifikation?
Juridisk kommentar fra Spencer West LLP bemærker, at forskellen mellem anonymiserede og pseudonymiserede data er særligt vigtig her, da pseudonymiserede data bevarer en resterende risiko for genidentifikation og ikke kan behandles som værende uden for databeskyttelseslovgivningens anvendelsesområde.
Hvilke sikkerhedscertificeringer bør leverandøren have?
Sikkerhedscertificeringer er ikke en garanti for sikkerhed, men deres fravær er et væsentligt signal om en leverandørs modenhed og investering i databeskyttelse. For kliniske AI-værktøjer, der bruges i NHS' primærsektor, er der en række certificeringer og vurderinger, som en troværdig leverandør bør kunne dokumentere.
Praksisser bør forvente, at leverandører har eller aktivt arbejder hen imod:
ISO 27001 — den internationale standard for informationssikkerhedsstyringssystemer
NHS Data Security and Protection (DSP) Toolkit-overholdelse — NHS' egen ramme for vurdering af datasikkerhed, som er et kontraktkrav for organisationer, der får adgang til NHS-patientdata
Cyber Essentials eller Cyber Essentials Plus — den britiske regerings grundlæggende cybersikkerhedscertificering
DTAC-overholdelse — NHS Englands ramme, der dækker databeskyttelse, teknisk sikkerhed, interoperabilitet og klinisk sikkerhed
iatroX-indkøbsguiden for NHS-købere anbefaler, at praksisser sikrer, at en leverandør har en godkendt DTAC-pakke før implementering. NHS Englands ambient scribing-vejledning markerer også cybersikkerhedsrisici, der er specifikke for store sprogmodeller (LLM'er), herunder risikoen for prompt injection-angreb og datalækage gennem modeloutput.
En leverandør, der ikke kan fremvise dokumentation for disse certificeringer, eller som ikke kan levere en aktuel DSP Toolkit-indsendelse, bør behandles med forsigtighed, uanset hvor overbevisende deres produktdemonstration måtte være.
Hvordan integrerer værktøjet med dit eksisterende journalsystem?
De fleste praksisser i England bruger enten EMIS Web eller SystmOne som deres primære journalsystem. Den praktiske værdi af et AI-værktøj, især en ambient scribe eller dokumentationsassistent, afhænger i høj grad af, hvor godt det integrerer med praksis' eksisterende system. Integration, der kræver manuel kopiering og indsættelse af AI-genereret indhold i journalsystemet, øger markant risikoen for transskriptionsfejl og fjerner meget af effektivitetsfordelen.
Før underskrivning bør praksischefer fastslå:
Om værktøjet har en native, certificeret integration med EMIS Web eller SystmOne, eller om det er afhængigt af en workaround
Hvem der er ansvarlig for at vedligeholde integrationen, når journalsystemudbyderen udgiver opdateringer: AI-leverandøren, systemudbyderen eller praksis
Om integrationen er blevet testet i et live praksismiljø, ikke kun i et udviklings- eller specialiseret sundhedsvæsen-miljø
Hvad fallback-processen er, hvis integrationen bryder sammen under en klinisk session
iatroX-guiden til AI-værktøjer for britiske praksisser fremhæver journalsystemintegration som et af de primære evalueringskriterier for ambient scribes og bemærker, at indkøbsbeslutninger bør tage højde for de samlede omkostninger ved ejerskab, herunder den arbejdsgangsjustering, der kræves, når integrationen er ufuldkommen. Integrationsfejl er ikke kun en teknisk ulempe – i en klinisk sammenhæng kan de skabe huller i patientjournalen eller introducere fejl, der har konsekvenser for patientsikkerheden.
Hvad sker der med dine data, hvis du opsiger kontrakten?
Dataportabilitet og sletning ved kontraktophør er områder, hvor leverandørkontrakter ofte er uklare, og praksisser kan befinde sig i en vanskelig position, hvis de ikke har forhandlet klare vilkår på forhånd. Spørgsmålene, der skal afklares før underskrivning, er:
Hvor længe beholder leverandøren patientdata efter kontraktophør, og på hvilket juridisk grundlag?
Kan praksis eksportere en komplet kopi af alle patientdata, som leverandøren har, før ophør?
Hvad betyder "sletning efter anmodning" egentlig? Dækker det alle kopier, herunder backups og underdatabehandlerdata?
Hvad er tidslinjen for bekræftet sletning, og vil leverandøren give skriftlig bekræftelse?
Under UK GDPR har datasubjekter rettigheder, herunder retten til sletning, og praksis, som dataansvarlig, er ansvarlig for at sikre, at disse rettigheder kan udøves, selv efter et leverandørforhold er afsluttet. Privatliv og sikkerhed gennem hele sundhedsdatalivscyklussen er et voksende område for regulatorisk kontrol, og praksisser, der ikke kan redegøre for, hvor patientdata befinder sig efter et leverandørforhold er ophørt, kan stå over for overholdelsesrisici.
Kontraktvilkår, der tillader leverandører at beholde data i længere perioder efter ophør til "produktforbedring" eller "modeltræning", bør markeres til juridisk gennemgang før underskrivning.
Er AI-værktøjet trænet på NHS- eller tilsvarende kliniske data?
De træningsdata, der bruges til at udvikle et AI-værktøj, har direkte indflydelse på dets kliniske nøjagtighed i en britisk primærsektorkontekst. Et værktøj, der primært er trænet på amerikanske kliniske data, kan f.eks. præstere dårligt på UK-specifik klinisk kodning (SNOMED CT som brugt i NHS), lægemiddelnavne og doseringskonventioner, henvisningsveje eller den særlige dokumentationsstil for konsultationer hos praktiserende læger.
Klinikerperspektiver på AI i primærsektoren rejser konsekvent bekymringer om bias introduceret gennem træningsdata, og Laranjo et al. i Lancet Primary Care har bemærket, at hurtig implementering forud for robust evaluering rejser bekymringer om utilsigtede konsekvenser for plejekvaliteten. Dette er ikke abstrakte risici – de oversættes direkte til nøjagtigheden af journalnotater, hensigtsmæssigheden af foreslåede kliniske koder og pålideligheden af eventuelle beslutningsstøtteoutput.
Når praksischefer evaluerer en leverandørs påstande om træningsdata, bør de spørge:
Blev modellen trænet på NHS- eller britiske primærsektordata, og kan leverandøren levere dokumentation for dette?
Er modellen blevet valideret på britiske konsultationsdata fra praktiserende læger specifikt?
Udgiver leverandøren et modelkort eller tilsvarende teknisk dokumentation, der beskriver træningsdatakilder, kendte begrænsninger og præstationsbenchmarks?
Hvordan håndterer modellen UK-specifik klinisk terminologi, lægemiddelnavne og henvisningskonventioner?
Leverandører bør kunne besvare disse spørgsmål med dokumenteret evidens, ikke blot marketingpåstande. Hvor en leverandør ikke kan levere disse oplysninger, er det en væsentlig mangel i deres kliniske evidensgrundlag.
Hvem i praksis er ansvarlig for at overvåge værktøjet?
AI-værktøjsstyring er ikke en engangsindkøbsbeslutning – det er et løbende operationelt ansvar. CQC's GP Mythbuster 109 beskriver, hvad inspektører vil kigge efter, herunder udnævnelse af en Clinical Safety Officer (CSO), vedligeholdelse af en risikovurdering og farelogbog samt dokumentation for, at menneskelig overvågning af AI-output er indlejret i praksisarbejdsgange.
Kravet om at udnævne en CSO på praksisniveau er et, som Surrey & Sussex LMCs anerkender som en praktisk udfordring for mindre praksisser. Det er en regulatorisk forventning, ikke en valgfri forbedring. CSO behøver ikke at være en fuldtidsrolle, men praksis skal kunne identificere en navngivet person, der har dette ansvar og kan dokumentere, at de opfylder det.
Styringsdokumentation, som praksis bør vedligeholde, omfatter:
En udfyldt DCB0160 klinisk sikkerhedscase for implementeringen af værktøjet
En risikovurdering og farelogbog, gennemgået regelmæssigt og opdateret, når værktøjet ændres
Registreringer af klinikertræning i værktøjet, herunder bevidsthed om dets begrænsninger
En log over eventuelle hændelser eller nærved-hændelser, der involverer AI-genererede output
Dokumentation for, at alt AI-genereret indhold, der indgår i patientjournalen, er blevet gennemgået af en kliniker
Denne dokumentation er ikke kun relevant for CQC-inspektion – det er evidensgrundlaget, der beskytter praksis, hvis en klinisk hændelse opstår, og der rejses spørgsmål om, hvordan værktøjet blev implementeret og overvåget.
Hvordan ser leverandørens support og hændelsesrespons ud?
En Service Level Agreement (SLA) er en standardkomponent i enhver softwarekontrakt, men for kliniske AI-værktøjer er konsekvenserne ved en supportfejl større end for de fleste andre typer software. Hvis en ambient scribe fejler midt i en konsultation, eller hvis et AI-genereret notat indeholder en systematisk fejl, der ikke fanges med det samme, skal praksis vide, at leverandøren vil reagere hurtigt og med klinisk forståelse.
Før underskrivning bør praksischefer gennemgå:
Respons- og løsningstider i SLA'en, og om disse differentierer mellem kliniske sikkerhedshændelser og generelle tekniske problemer
Om leverandøren har en navngivet kontaktperson for praksisser, eller om support dirigeres gennem en generisk helpdesk
Hvad leverandørens proces er for at underrette praksisser om en klinisk sikkerhedshændelse, herunder hvor hurtigt de vil kommunikere, og hvilke oplysninger de vil give
Om leverandøren har en dokumenteret klinisk sikkerhedshændelsesrapporteringsproces, der opfylder NHS-standarder
NHS Englands ambient scribing-vejledning kræver, at kontraktlige arrangementer klart definerer roller, ansvar og forpligtelser, herunder hændelsesrespons. En leverandør, der ikke kan formulere en klar klinisk sikkerhedshændelsesproces, er ikke klar til implementering i en primærsektorsammenhæng.
Er værktøjet blevet evalueret i et reelt primærsektormiljø?
Dette er et spørgsmål, som mange leverandører har svært ved at besvare med solid dokumentation, og forskellen mellem en overbevisende demonstration og en peer-reviewed evaluering i et live praksismiljø er betydelig. Forskning i AI scribes i primærsektoren er begyndt at dokumentere udbydererfaringer og etiske bekymringer i virkelige sammenhænge, men evidensgrundlaget forbliver begrænset og overvejende eksplorativt.
Frontiers in Health Services-gennemgangen af NHS AI-indkøbsrammer anbefaler, at leverandøroverholdelsesdokumentation bør omfatte klinisk dokumentation, ikke kun tekniske certificeringer. Praksischefer bør bede leverandører om at levere:
Offentliggjorte peer-reviewed studier eller dokumenterede pilotresultater fra praksis- eller primærsektormiljøer
Casestudier fra britiske primærsektorsammenhænge med målbare resultater (dokumentationstid, klinisk nøjagtighed, klinikertilfredshed)
Dokumentation for evaluering i forhold til NHS-specifikke arbejdsgange og journalsystemer
Eventuelle kendte begrænsninger eller fejltilstande identificeret under test i den virkelige verden
Dokumentation fra specialiseret sundhedsvæsen eller international primærsektor kan ikke uden videre overføres til britisk almen praksis. Konsultationsstrukturer, dokumentationskonventioner og regulatoriske krav adskiller sig væsentligt. Et værktøj, der præsterer godt i en hospital- eller amerikansk primærsektorkontekst, præsterer ikke nødvendigvis tilsvarende i en britisk praksis.
Der er også en bredere evidenskløft at anerkende. Som Laranjo et al. i Lancet bemærker, overhaler AI-implementering i primærsektoren i øjeblikket den robuste evaluering, der er nødvendig for at forstå dens virkelige virkning. Dette betyder ikke, at praksisser bør undgå AI-værktøjer, men leverandørpåstande bør granskes omhyggeligt, og overvågning efter implementering er afgørende.
En tjekliste før underskrivning for praksischefer
Følgende tjekliste samler de vigtigste verifikationspunkter, der er dækket i denne artikel. Brug den som en praktisk reference, før nogen AI-værktøjskontrakt underskrives.
Regulatorisk og klinisk sikkerhed
[ ] Bekræftet MHRA-registreringsstatus og enhedsklasse (søg PARD hvis relevant)
[ ] Leverandøren har DCB0129 klinisk sikkerhedscase-dokumentation
[ ] Praksis har udfyldt eller påbegyndt DCB0160 klinisk sikkerhedscase for implementering
[ ] DTAC-vurdering gennemført og bestået af leverandør
[ ] NICE-evaluering kontrolleret (MIB, DG eller EVA) hvis relevant
Databeskyttelse og informationsstyring
[ ] DPIA gennemført før implementering
[ ] Data Processing Agreement inkluderet i kontrakt, UK GDPR artikel 28-kompatibel
[ ] Datalokation bekræftet — UK eller EU behandling og opbevaring
[ ] Underdatabehandlere identificeret og vurderet
[ ] Leverandørens politik om brug af patientdata til modeltræning gennemgået og aftalt
[ ] Datasletning og portabilitetsvilkår bekræftet ved kontraktophør
Sikkerhed
[ ] ISO 27001-certificering bekræftet
[ ] NHS DSP Toolkit-overholdelse bekræftet
[ ] Cyber Essentials eller Cyber Essentials Plus bekræftet
[ ] DTAC cybersikkerhedssektion bestået
Ansvar og kontrakt
[ ] Ansvarsfordeling klart defineret i kontrakt
[ ] Erstatningsklausuler gennemgået — omfang bekræftet
[ ] Medicinsk forsvarsorganisation eller erstatningsudbyder konsulteret
[ ] Roller, ansvar og hændelsesrespons defineret i kontrakt
Journalsystemintegration
[ ] Native integration med EMIS Web eller SystmOne bekræftet
[ ] Ansvar for integrationsvedligeholdelse defineret
[ ] Testet i live britisk praksismiljø
Styring
[ ] Clinical Safety Officer udnævnt på praksisniveau
[ ] Risikovurdering og farelogbog initieret
[ ] Klinikertræningsplan på plads
[ ] Menneskelig gennemgang af alle AI-output bekræftet som arbejdsgangskrav
Dokumentation og support
[ ] Klinisk dokumentation fra britiske primærsektorsammenhænge gennemgået
[ ] SLA gennemgået — klinisk sikkerhedshændelsesresponstider bekræftet
[ ] Navngivet leverandørkontakt for praksisser bekræftet
[ ] Træningsdataoprindelse dokumenteret af leverandør
Underskrivning med tillid – ikke kun hastighed
AI-indkøb i almen praksis er en klinisk styringsbeslutning lige så meget som en operationel. De værktøjer, der er tilgængelige i 2025 og 2026, tilbyder et reelt potentiale for at reducere dokumentationsbyrden og støtte klinikere, men dette potentiale realiseres kun sikkert, når praksis har verificeret overholdelse af regler, databeskyttelsesforpligtelser, ansvarsfordeling og klinisk dokumentation, før implementeringen begynder.
Digital Healths rapportering om NHS AI-indkøb indfanger den nuværende regulatoriske virkelighed klart: eksisterende standarder var ikke designet til at håndtere AI-systemer, og tempoet i leverandøraktivitet i primærsektoren betyder, at praksisser skal være – med ordene fra NHS Englands nationale Chief Clinical Information Officer – "robuste i at sikre, at det, vi gør, er sikkert, forsikret og vil levere fordele."
Spørgsmålene og kontrollerne i denne artikel er ikke forhindringer for adoption – de er fundamentet, som sikker, effektiv og forsvarlig adoption bygger på. En leverandør, der ikke kan besvare dem klart og med dokumenteret evidens, er ikke klar til at blive implementeret i en klinisk sammenhæng. En praksis, der ikke har stillet dem, bærer en risiko, den måske endnu ikke er klar over.
Ofte stillede spørgsmål
▶ Skal et AI-værktøj, der bruges i en praksis, registreres som medicinsk udstyr?
Det afhænger af, hvad værktøjet gør. Hvis det understøtter klinisk diagnosticering, triagebeslutninger eller behandlingsanbefalinger, vil det sandsynligvis blive klassificeret som Software as a Medical Device af Medicines and Healthcare products Regulatory Agency og vil kræve UKCA- eller CE-mærkning under Medical Device Regulation. Praksischefer bør søge i MHRA Product and Registration Database for at bekræfte et værktøjs registreringsstatus, før nogen kontrakt underskrives. Værktøjer, der ikke er klassificeret som medicinsk udstyr, har stadig databeskyttelses-, kliniske sikkerheds- og styringsforpligtelser.
▶ Hvem er ansvarlig, hvis et AI-genereret journalnotat indeholder en fejl, der påvirker patientbehandlingen?
I NHS' primærsektor ligger ansvaret for AI-relaterede kliniske hændelser typisk hos den implementerende organisation eller den enkelte kliniker – ikke leverandøren. Leverandører begrænser generelt deres ansvar til, at softwaren fungerer som beskrevet i kontrakten, og accepterer ikke ansvar for kliniske beslutninger truffet på baggrund af AI-output. Praksischefer bør gennemgå erstatningsklausuler nøje, bekræfte om deres medicinske forsvarsorganisation er blevet konsulteret, og sikre, at alt AI-genereret indhold gennemgås af en kliniker, før det indgår i patientjournalen.
▶ Hvor bør patientdata behandles og opbevares, når man bruger et klinisk AI-værktøj?
Patientdata er særlige kategorier af data under UK General Data Protection Regulation og skal behandles lovligt, gennemsigtigt og proportionalt. Hvis data overføres uden for Storbritannien eller EU, kræves yderligere sikkerhedsforanstaltninger. Før underskrivning bør praksisser bekræfte, hvor leverandøren behandler og opbevarer data, hvem deres underdatabehandlere er, og om en Data Processing Agreement, der overholder UK GDPR artikel 28, er inkluderet i kontrakten. NHS England bekræfter, at en Data Protection Impact Assessment med stor sandsynlighed er et lovkrav før implementering.
▶ Hvilke sikkerhedscertificeringer bør en klinisk AI-leverandør have?
Troværdige leverandører bør have eller aktivt arbejde hen imod ISO 27001 (den internationale standard for informationssikkerhedsstyring), NHS Data Security and Protection Toolkit-overholdelse, Cyber Essentials eller Cyber Essentials Plus og Digital Technology Assessment Criteria-overholdelse. NHS DSP Toolkit er et kontraktkrav for organisationer, der får adgang til NHS-patientdata. En leverandør, der ikke kan fremvise dokumentation for disse certificeringer, eller som ikke kan levere en aktuel DSP Toolkit-indsendelse, bør behandles med forsigtighed.
▶ Hvad sker der med patientdata, hvis en praksis opsiger sin kontrakt med en AI-leverandør?
Dette er et område, hvor leverandørkontrakter ofte er uklare. Praksisser bør bekræfte før underskrivning, hvor længe leverandøren beholder patientdata efter ophør, om en komplet eksport af alle patientdata er mulig, og hvad "sletning efter anmodning" dækker i praksis, herunder backups og underdatabehandlerdata. Under UK GDPR er praksis som dataansvarlig ansvarlig for at sikre, at patienters rettigheder, herunder retten til sletning, kan udøves, selv efter et leverandørforhold er afsluttet. Kontraktvilkår, der tillader leverandører at beholde data til modeltræning efter ophør, bør markeres til juridisk gennemgang.
▶ Betyder det noget, om et AI-værktøj blev trænet på NHS- eller britiske primærsektordata?
Ja. Træningsdata har direkte indflydelse på klinisk nøjagtighed i en britisk primærsektorkontekst. Et værktøj, der primært er trænet på amerikanske kliniske data, kan præstere dårligt på NHS-specifik klinisk kodning ved hjælp af SNOMED CT, britiske lægemiddelnavne og doseringskonventioner, henvisningsveje og dokumentationsstile for konsultationer hos praktiserende læger. Praksisser bør spørge leverandører, om modellen blev trænet og valideret på britiske konsultationsdata fra praktiserende læger, og om leverandøren udgiver et modelkort, der beskriver træningsdatakilder, kendte begrænsninger og præstationsbenchmarks. Marketingpåstande er ikke en erstatning for dokumenteret evidens.
▶ Hvem i praksis er ansvarlig for at overvåge et AI-værktøj, når det er implementeret?
Care Quality Commissions GP Mythbuster 109 om kunstig intelligens beskriver, at praksisser skal udnævne en navngivet Clinical Safety Officer, vedligeholde en risikovurdering og farelogbog og indlejre menneskelig overvågning af AI-output i kliniske arbejdsgange. Dette er en regulatorisk forventning, ikke et valgfrit trin. Praksisser bør også vedligeholde en udfyldt DCB0160 klinisk sikkerhedscase, registreringer af klinikertræning og en log over eventuelle hændelser, der involverer AI-genererede output. Denne dokumentation beskytter praksis, hvis en klinisk hændelse opstår, og der rejses spørgsmål om, hvordan værktøjet blev implementeret.
▶ Hvordan bør en praksis evaluere, om et AI-værktøj integrerer korrekt med sit journalsystem?
De fleste praksisser i England bruger enten EMIS Web eller SystmOne. Praksisser bør bekræfte, om værktøjet har en native, certificeret integration med deres system frem for en workaround, hvem der er ansvarlig for at vedligeholde denne integration, når journalsystemudbyderen udgiver opdateringer, og om integrationen er blevet testet i et live praksismiljø. Integration, der kræver manuel kopiering og indsættelse af AI-genereret indhold i journalsystemet, øger risikoen for transskriptionsfejl og fjerner meget af effektivitetsfordelen. Integrationsfejl kan skabe huller i patientjournalen med direkte konsekvenser for patientsikkerheden.
▶ Hvilken klinisk dokumentation bør en leverandør kunne levere, før en praksis underskriver en kontrakt?
Leverandører bør levere offentliggjorte peer-reviewed studier eller dokumenterede pilotresultater fra praksis- eller primærsektormiljøer, casestudier fra britiske primærsektorsammenhænge med målbare resultater og dokumentation for evaluering i forhold til NHS-specifikke arbejdsgange og journalsystemer. Dokumentation fra specialiseret sundhedsvæsen eller international primærsektor kan ikke uden videre overføres til britisk almen praksis. Som forskere, der skriver i Lancet, har bemærket, overhaler AI-implementering i primærsektoren i øjeblikket robust evaluering, hvilket betyder, at leverandørpåstande bør granskes omhyggeligt, og overvågning efter implementering er afgørende.
▶ Hvad bør en praksis kigge efter i en leverandørs support- og hændelsesresponsarrangementer?
Service Level Agreement bør differentiere respons- og løsningstider mellem kliniske sikkerhedshændelser og generelle tekniske problemer. Praksisser bør bekræfte, om leverandøren har en navngivet kontaktperson for praksisser eller dirigerer support gennem en generisk helpdesk, og om leverandøren har en dokumenteret klinisk sikkerhedshændelsesrapporteringsproces, der opfylder NHS-standarder. NHS Englands vejledning om ambient scribing-produkter kræver, at kontraktlige arrangementer klart definerer roller, ansvar og forpligtelser, herunder hændelsesrespons. En leverandør, der ikke kan formulere en klar klinisk sikkerhedshændelsesproces, er ikke klar til implementering i en primærsektorsammenhæng.