·
Adozione della tecnologia
Assistenza primaria
Responsabile della pratica / Admin
Contratti per strumenti IA: cosa devono verificare prima i responsabili degli studi medici
Controlli essenziali per i responsabili degli studi medici prima di firmare contratti per strumenti IA: stato normativo, responsabilità, sicurezza dei dati, integrazione ed evidenze cliniche

Firmare un contratto per uno strumento di intelligenza artificiale può sembrare il traguardo di un processo di approvvigionamento, ma per i responsabili degli studi medici di base è più simile allo sparo di partenza. Una volta firmato un contratto e distribuito uno strumento, gli obblighi clinici, legali e normativi legati a tale distribuzione ricadono saldamente sullo studio, non sul fornitore. La diffusione dell'IA sta superando la valutazione robusta nel mondo reale in modi che creano rischi concreti per gli studi che non hanno svolto un'accurata due diligence. Questa guida illustra le domande specifiche che i responsabili degli studi dovrebbero porre e i documenti che dovrebbero esaminare prima di firmare qualsiasi contratto.
Lo strumento è classificato come dispositivo medico? Cosa significa per voi?
Non tutti gli strumenti di IA utilizzati in ambito clinico sono dispositivi medici, ma molti lo sono. La distinzione ha un peso normativo significativo. Nel Regno Unito, la Medicines and Healthcare products Regulatory Agency (MHRA, Agenzia di regolamentazione dei medicinali e dei prodotti sanitari) classifica il software come dispositivo medico. Se uno strumento di IA supporta la diagnosi clinica, le decisioni di triage o le raccomandazioni terapeutiche, è probabile che rientri nella definizione di Software as a Medical Device (SaMD, software come dispositivo medico) e richieda la marcatura UKCA o CE ai sensi del Regolamento sui dispositivi medici (MDR).
Prima della firma, i responsabili degli studi dovrebbero:
Consultare il database MHRA Product and Registration Database (PARD) per confermare se lo strumento è registrato come dispositivo medico
Chiedere direttamente al fornitore lo stato di registrazione MHRA e la classe del dispositivo
Verificare se lo strumento ha una valutazione NICE, un Medtech Innovation Briefing (MIB), una Diagnostics Guidance (DG) o una Early Value Assessment (EVA)
Confermare se lo strumento ha una marcatura UKCA o CE valida qualora sia classificato come dispositivo medico
Il GP Mythbuster 109 della CQC sull'IA, pubblicato a luglio 2025, chiarisce che gli ispettori verificheranno se gli studi hanno controllato la registrazione MHRA ove applicabile e se l'approvvigionamento è stato condotto secondo gli standard DCB0160 e Digital Technology Assessment Criteria (DTAC). Gli strumenti che non sono classificati come dispositivi medici non sono esenti da controllo. Comportano comunque obblighi di protezione dei dati, sicurezza clinica e governance.
Chi detiene la responsabilità clinica e legale se qualcosa va storto?
Questa è una delle domande più importanti in qualsiasi contratto per strumenti di IA. Gli accordi con i fornitori spesso la oscurano. La posizione generale nell'assistenza primaria del NHS è che le organizzazioni del NHS possono comunque essere ritenute responsabili per reclami legati all'IA anche quando utilizzano strumenti di terze parti. La responsabilità per l'utilizzo di una soluzione di IA non conforme ricade sull'organizzazione che la distribuisce o sul singolo clinico.
I fornitori in genere limitano la loro responsabilità al funzionamento del software come descritto nel contratto. Non accettano la responsabilità per le decisioni cliniche prese sulla base degli output dell'IA. Se una nota clinica generata dall'IA contiene un errore che influenza l'assistenza al paziente, lo studio, non il fornitore, è probabile che sopporti le conseguenze cliniche e legali.
Quando si esaminano i termini contrattuali, i responsabili degli studi dovrebbero cercare:
Dichiarazioni chiare su dove si colloca la responsabilità clinica e se il fornitore accetta qualsiasi responsabilità per gli output generati dall'IA che entrano nella cartella del paziente
Clausole di indennizzo e se l'indennizzo del fornitore copre incidenti clinici o è limitato ai guasti delle prestazioni del software
Se i termini del fornitore richiedono allo studio di mantenere la supervisione umana di tutti gli output dell'IA e quale documentazione di tale supervisione è prevista
Se l'organizzazione di difesa medica o il fornitore di indennizzo dello studio è stato consultato sull'uso dello strumento
Surrey & Sussex LMCs consigliano agli studi di coinvolgere il proprio Integrated Care Board (ICB) per ottenere garanzie e di assicurarsi che tutti gli output generati dall'IA siano controllati da un clinico prima di entrare nella cartella del paziente. Questo requisito di supervisione umana non è semplicemente una buona pratica: è una condizione per una distribuzione sicura secondo le attuali linee guida del NHS.
Dove vengono elaborati e archiviati i dati dei pazienti?
La residenza dei dati è una questione fondamentale in qualsiasi approvvigionamento di IA clinica. Le risposte dei fornitori non sono sempre chiare. Ai sensi del Regolamento generale sulla protezione dei dati (GDPR) del Regno Unito e del dovere di riservatezza di common law, i dati dei pazienti sono dati di categoria speciale. Il loro trattamento deve essere lecito, trasparente e proporzionato. Se i dati dei pazienti, comprese le registrazioni audio delle consultazioni, vengono trasferiti al di fuori del Regno Unito o dell'UE per l'elaborazione o l'archiviazione, sono necessarie garanzie aggiuntive.
Le linee guida di NHS England sui prodotti di ambient scribing confermano che una valutazione d'impatto sulla protezione dei dati (DPIA) è molto probabilmente un requisito legale prima della distribuzione, dato il trattamento su larga scala di dati sanitari di categoria speciale coinvolti. Le linee guida sulla governance delle informazioni della NHS Transformation Directorate rafforzano questo aspetto. Le DPIA devono affrontare i tipi di dati trattati (inclusi audio e trascrizioni), il riutilizzo dei dati da parte del fornitore per l'addestramento dei modelli di IA e gli obblighi di trasparenza verso i pazienti.
Domande chiave da porre ai fornitori prima della firma:
Dove vengono elaborati i dati dei pazienti? Nel Regno Unito, nell'UE o in un paese terzo?
Chi sono i sub-responsabili del trattamento del fornitore e dove si trovano?
Il fornitore utilizza i dati delle consultazioni dei pazienti per addestrare o migliorare i propri modelli di IA e, in tal caso, su quale base giuridica?
Un accordo sul trattamento dei dati (DPA) è incluso nel contratto ed è conforme all'articolo 28 del GDPR del Regno Unito?
Qual è la distinzione tra dati anonimizzati e pseudonimizzati nel trattamento del fornitore e qual è il rischio residuo di re-identificazione?
Il commento legale di Spencer West LLP osserva che la distinzione tra dati anonimizzati e pseudonimizzati è particolarmente importante. I dati pseudonimizzati mantengono un rischio residuo di re-identificazione e non possono essere trattati come al di fuori dell'ambito della legge sulla protezione dei dati.
Quali certificazioni di sicurezza dovrebbe possedere il fornitore?
Le certificazioni di sicurezza non sono una garanzia assoluta, ma la loro assenza è un segnale significativo sulla maturità e sull'investimento del fornitore nella protezione dei dati. Per gli strumenti di IA clinica utilizzati nell'assistenza primaria del NHS, esiste una base di certificazioni e valutazioni che un fornitore credibile dovrebbe essere in grado di dimostrare.
Gli studi dovrebbero aspettarsi che i fornitori possiedano o stiano lavorando attivamente per ottenere:
ISO 27001 — lo standard internazionale per i sistemi di gestione della sicurezza delle informazioni
Conformità al NHS Data Security and Protection (DSP) Toolkit — il framework del NHS per valutare la sicurezza dei dati, che è un requisito contrattuale per le organizzazioni che accedono ai dati dei pazienti del NHS
Cyber Essentials o Cyber Essentials Plus — la certificazione di sicurezza informatica di base del governo del Regno Unito
Conformità DTAC — il framework di NHS England che copre protezione dei dati, sicurezza tecnica, interoperabilità e sicurezza clinica
La guida all'approvvigionamento iatroX per gli acquirenti del NHS raccomanda che gli studi si assicurino che un fornitore abbia superato il pacchetto DTAC prima della distribuzione. Le linee guida di NHS England sull'ambient scribing segnalano anche rischi di sicurezza informatica specifici per i modelli linguistici di grandi dimensioni (LLM), incluso il potenziale per attacchi di prompt injection e perdita di dati attraverso gli output del modello.
Un fornitore che non può produrre prove di queste certificazioni, o che non può fornire una presentazione aggiornata del DSP Toolkit, dovrebbe essere trattato con cautela, indipendentemente da quanto convincente possa essere la dimostrazione del prodotto.
Come si integra lo strumento con il vostro sistema di cartelle cliniche esistente?
La maggior parte degli studi medici di base in Inghilterra utilizza EMIS Web o SystmOne come sistema principale di cartelle cliniche. Il valore pratico di uno strumento di IA, in particolare uno scribe AI o assistente alla documentazione, dipende fortemente da quanto bene si integra con il sistema esistente dello studio. Un'integrazione che richiede il copia-incolla manuale del contenuto generato dall'IA nella cartella clinica aumenta significativamente il rischio di errori di trascrizione e riduce gran parte del beneficio in termini di efficienza.
Prima della firma, i responsabili degli studi dovrebbero stabilire:
Se lo strumento ha un'integrazione nativa e certificata con EMIS Web o SystmOne, o se si basa su una soluzione alternativa
Chi è responsabile del mantenimento dell'integrazione quando il fornitore del sistema di cartelle cliniche rilascia aggiornamenti: il fornitore dell'IA, il fornitore o lo studio
Se l'integrazione è stata testata in un ambiente di studio medico di base reale, non solo in un ambiente di sviluppo o di assistenza specialistica
Qual è il processo di fallback se l'integrazione si interrompe durante una sessione clinica
La guida iatroX agli strumenti di IA per gli studi medici di base del Regno Unito evidenzia l'integrazione del sistema di cartelle cliniche come uno dei principali criteri di valutazione per gli scribe AI. Le decisioni di approvvigionamento dovrebbero tenere conto del costo totale di proprietà, compreso l'adeguamento del flusso di lavoro richiesto quando l'integrazione è imperfetta. I guasti dell'integrazione non sono solo un inconveniente tecnico: in un contesto clinico, possono creare lacune nella cartella del paziente o introdurre errori che hanno implicazioni per la sicurezza del paziente.
Cosa succede ai vostri dati se terminate il contratto?
La portabilità e la cancellazione dei dati alla risoluzione del contratto sono aree in cui i contratti dei fornitori sono spesso vaghi. Gli studi possono trovarsi in una posizione difficile se non hanno negoziato termini chiari in anticipo. Le domande da risolvere prima della firma sono:
Per quanto tempo il fornitore conserva i dati dei pazienti dopo la risoluzione del contratto e su quale base giuridica?
Lo studio può esportare una copia completa di tutti i dati dei pazienti detenuti dal fornitore prima della risoluzione?
Cosa significa effettivamente "cancellazione su richiesta"? Copre tutte le copie, inclusi backup e dati dei sub-responsabili del trattamento?
Qual è la tempistica per la cancellazione confermata e il fornitore fornirà una conferma scritta?
Ai sensi del GDPR del Regno Unito, gli interessati hanno diritti tra cui il diritto alla cancellazione. Lo studio, in qualità di titolare del trattamento, è responsabile di garantire che tali diritti possano essere esercitati anche dopo la fine di un rapporto con un fornitore. La privacy e la sicurezza durante l'intero ciclo di vita dei dati sanitari è un'area di crescente controllo normativo. Gli studi che non possono rendere conto di dove sono finiti i dati dei pazienti dopo la fine di un contratto con un fornitore potrebbero affrontare problemi di conformità.
I termini contrattuali che consentono ai fornitori di conservare i dati per periodi prolungati dopo la risoluzione per scopi di "miglioramento del prodotto" o "addestramento del modello" dovrebbero essere segnalati per una revisione legale prima della firma.
Lo strumento di IA è addestrato su dati clinici del NHS o equivalenti?
I dati di addestramento utilizzati per sviluppare uno strumento di IA hanno un impatto diretto sulla sua accuratezza clinica in un contesto di assistenza primaria del Regno Unito. Uno strumento addestrato prevalentemente su dati clinici statunitensi, ad esempio, potrebbe funzionare male sulla codifica clinica specifica del Regno Unito (SNOMED CT come utilizzato nel NHS), nomi e convenzioni di dosaggio dei farmaci, percorsi di invio o lo stile di documentazione particolare delle consultazioni mediche di base.
Le prospettive dei clinici sull'IA nell'assistenza primaria sollevano costantemente preoccupazioni sui pregiudizi introdotti attraverso i dati di addestramento. Laranjo et al. nel Lancet Primary Care hanno osservato che la rapida distribuzione prima di una valutazione robusta solleva preoccupazioni sulle conseguenze indesiderate sulla qualità dell'assistenza. Questi non sono rischi astratti: si traducono direttamente nell'accuratezza delle note cliniche, nell'appropriatezza dei codici clinici suggeriti e nell'affidabilità di qualsiasi output di supporto decisionale.
Quando si valutano le affermazioni del fornitore sui dati di addestramento, i responsabili degli studi dovrebbero chiedere:
Il modello è stato addestrato su dati del NHS o dell'assistenza primaria del Regno Unito e il fornitore può fornire documentazione di ciò?
Il modello è stato convalidato specificamente su dati di consultazioni mediche di base del Regno Unito?
Il fornitore pubblica una scheda del modello o documentazione tecnica equivalente che descrive le fonti dei dati di addestramento, le limitazioni note e i parametri di riferimento delle prestazioni?
Come gestisce il modello la terminologia clinica specifica del Regno Unito, i nomi dei farmaci e le convenzioni di invio?
I fornitori dovrebbero essere in grado di rispondere a queste domande con prove documentate, non con semplici affermazioni di marketing. Quando un fornitore non può fornire queste informazioni, si tratta di una lacuna significativa nella loro base di prove cliniche.
Chi nello studio è responsabile della supervisione dello strumento?
La governance degli strumenti di IA non è una decisione di approvvigionamento una tantum. È una responsabilità operativa continua. Il GP Mythbuster 109 della CQC stabilisce cosa cercheranno gli ispettori, inclusa la nomina di un Clinical Safety Officer (CSO), il mantenimento di una valutazione del rischio e di un registro dei pericoli e la prova che la supervisione umana degli output dell'IA è integrata nei flussi di lavoro dello studio.
Il requisito di nominare un CSO a livello di studio è uno che Surrey & Sussex LMCs riconoscono come una sfida pratica per gli studi più piccoli. È un'aspettativa normativa, non un miglioramento opzionale. Il CSO non deve essere un ruolo a tempo pieno, ma lo studio deve essere in grado di identificare una persona nominata che detiene questa responsabilità e può dimostrare di adempierla.
La documentazione di governance che lo studio dovrebbe mantenere include:
Un caso di sicurezza clinica DCB0160 completato per la distribuzione dello strumento
Una valutazione del rischio e un registro dei pericoli, rivisti regolarmente e aggiornati quando lo strumento cambia
Registri della formazione dei clinici sullo strumento, inclusa la consapevolezza delle sue limitazioni
Un registro di eventuali incidenti o quasi incidenti che coinvolgono output generati dall'IA
Prova che tutti i contenuti generati dall'IA che entrano nella cartella del paziente sono stati rivisti da un clinico
Questa documentazione non è rilevante solo per l'ispezione della CQC: è la base di prove che protegge lo studio se si verifica un incidente clinico e vengono sollevate domande su come lo strumento è stato distribuito e supervisionato.
Come sono il supporto e la risposta agli incidenti del fornitore?
Un Service Level Agreement (SLA) è un componente standard di qualsiasi contratto software, ma per gli strumenti di IA clinica la posta in gioco di un guasto del supporto è più alta rispetto alla maggior parte dei software. Se uno scribe AI si guasta durante una consultazione, o se una nota generata dall'IA contiene un errore sistematico che non viene rilevato immediatamente, lo studio deve sapere che il fornitore risponderà rapidamente e con competenza clinica.
Prima della firma, i responsabili degli studi dovrebbero esaminare:
I tempi di risposta e risoluzione nello SLA e se questi differenziano tra incidenti di sicurezza clinica e problemi tecnici generali
Se il fornitore ha un contatto nominato per gli studi medici di base, o se il supporto viene instradato attraverso un helpdesk generico
Qual è il processo del fornitore per notificare agli studi un incidente di sicurezza clinica, incluso quanto rapidamente comunicheranno e quali informazioni forniranno
Se il fornitore ha un processo documentato di segnalazione degli incidenti di sicurezza clinica che soddisfa gli standard del NHS
Le linee guida di NHS England sull'ambient scribing richiedono che gli accordi contrattuali definiscano chiaramente ruoli, responsabilità e accountability, inclusa la risposta agli incidenti. Un fornitore che non può articolare un chiaro processo di gestione degli incidenti di sicurezza clinica non è pronto per la distribuzione in un contesto di assistenza primaria.
Lo strumento è stato valutato in un contesto reale di assistenza primaria?
Questa è una domanda a cui molti fornitori faticano a rispondere con prove concrete. Il divario tra una dimostrazione convincente e una valutazione peer-reviewed in un ambiente di studio medico di base reale è significativo. La ricerca sugli scribe AI nell'assistenza primaria ha iniziato a documentare le esperienze dei fornitori e le preoccupazioni etiche in contesti reali, ma la base di prove rimane limitata e in gran parte esplorativa.
La revisione di Frontiers in Health Services dei framework di approvvigionamento di IA del NHS raccomanda che la documentazione di conformità del fornitore dovrebbe includere prove cliniche, non solo certificazioni tecniche. I responsabili degli studi dovrebbero chiedere ai fornitori di fornire:
Studi peer-reviewed pubblicati o risultati di progetti pilota documentati da ambienti di assistenza primaria o medici di base
Casi di studio da contesti di assistenza primaria del Regno Unito con risultati misurabili (tempo di documentazione, accuratezza clinica, soddisfazione dei clinici)
Prove di valutazione rispetto a flussi di lavoro specifici del NHS e sistemi di cartelle cliniche
Eventuali limitazioni note o modalità di guasto identificate durante i test nel mondo reale
Le prove provenienti dall'assistenza specialistica o dall'assistenza primaria internazionale non si trasferiscono direttamente alla medicina generale del Regno Unito. Le strutture di consultazione, le convenzioni di documentazione e i requisiti normativi differiscono sostanzialmente. Uno strumento che funziona bene in un contesto ambulatoriale ospedaliero o in un contesto di assistenza primaria statunitense potrebbe non funzionare in modo equivalente in uno studio medico di base del Regno Unito.
C'è anche un divario di prove più ampio da riconoscere. Come Laranjo et al. nel Lancet osservano, la diffusione dell'IA nell'assistenza primaria sta attualmente superando la valutazione robusta necessaria per comprenderne l'impatto nel mondo reale. Ciò non significa che gli studi debbano evitare gli strumenti di IA, ma le affermazioni dei fornitori dovrebbero essere esaminate attentamente e il monitoraggio post-distribuzione è essenziale.
Una checklist pre-firma per i responsabili degli studi medici di base
La seguente checklist consolida i punti chiave di verifica trattati in questo articolo. Utilizzatela come riferimento pratico prima di firmare qualsiasi contratto per strumenti di IA.
Normativa e sicurezza clinica
[ ] Stato di registrazione MHRA confermato e classe del dispositivo (consultare PARD se applicabile)
[ ] Il fornitore possiede la documentazione del caso di sicurezza clinica DCB0129
[ ] Lo studio ha completato o iniziato il caso di sicurezza clinica DCB0160 per la distribuzione
[ ] Valutazione DTAC completata e superata dal fornitore
[ ] Valutazione NICE verificata (MIB, DG o EVA) se applicabile
Protezione dei dati e governance delle informazioni
[ ] DPIA completata prima della distribuzione
[ ] Accordo sul trattamento dei dati incluso nel contratto, conforme all'articolo 28 del GDPR del Regno Unito
[ ] Residenza dei dati confermata: elaborazione e archiviazione nel Regno Unito o nell'UE
[ ] Sub-responsabili del trattamento identificati e valutati
[ ] Politica del fornitore sull'utilizzo dei dati dei pazienti per l'addestramento del modello esaminata e concordata
[ ] Termini di cancellazione e portabilità dei dati confermati alla risoluzione del contratto
Sicurezza
[ ] Certificazione ISO 27001 confermata
[ ] Conformità al NHS DSP Toolkit confermata
[ ] Cyber Essentials o Cyber Essentials Plus confermato
[ ] Sezione di sicurezza informatica DTAC superata
Responsabilità e contrattualistica
[ ] Allocazione della responsabilità chiaramente definita nel contratto
[ ] Clausole di indennizzo esaminate: ambito confermato
[ ] Organizzazione di difesa medica o fornitore di indennizzo consultato
[ ] Ruoli, responsabilità e risposta agli incidenti definiti nel contratto
Integrazione del sistema di cartelle cliniche
[ ] Integrazione nativa con EMIS Web o SystmOne confermata
[ ] Responsabilità di manutenzione dell'integrazione definita
[ ] Testato in ambiente reale di studio medico di base del Regno Unito
Governance
[ ] Clinical Safety Officer nominato a livello di studio
[ ] Valutazione del rischio e registro dei pericoli avviati
[ ] Piano di formazione dei clinici in atto
[ ] Revisione umana di tutti gli output dell'IA confermata come requisito del flusso di lavoro
Prove e supporto
[ ] Prove cliniche da contesti di assistenza primaria del Regno Unito esaminate
[ ] SLA esaminato: tempi di risposta agli incidenti di sicurezza clinica confermati
[ ] Contatto nominato del fornitore per gli studi medici di base confermato
[ ] Origine dei dati di addestramento documentata dal fornitore
Firmare con fiducia, non solo velocità
L'approvvigionamento di IA nella medicina generale è una decisione di governance clinica tanto quanto operativa. Gli strumenti disponibili nel 2025 e 2026 offrono un potenziale reale per ridurre l'onere documentale e supportare i clinici, ma tale potenziale si realizza in modo sicuro solo quando lo studio ha verificato la conformità normativa, gli obblighi di protezione dei dati, l'allocazione della responsabilità e le prove cliniche prima dell'inizio della distribuzione.
Il rapporto di Digital Health sull'approvvigionamento di IA del NHS descrive chiaramente l'attuale realtà normativa: gli standard esistenti non sono stati progettati per sistemi di IA che apprendono. Il ritmo dell'attività dei fornitori nell'assistenza primaria significa che gli studi devono essere, nelle parole del Chief Clinical Information Officer nazionale di NHS England, "rigorosi nel garantire che ciò che stiamo facendo sia sicuro, garantito e fornirà benefici."
Le domande e i controlli in questo articolo non sono ostacoli all'adozione. Sono le fondamenta su cui si costruisce un'adozione sicura, efficace e difendibile. Un fornitore che non può rispondere chiaramente e con prove documentate non è pronto per essere distribuito in un contesto clinico. Uno studio che non le ha poste sta correndo un rischio di cui potrebbe non essere ancora consapevole.
Domande frequenti
▶ Uno strumento di IA utilizzato in uno studio medico di base deve essere registrato come dispositivo medico?
Dipende da cosa fa lo strumento. Se supporta la diagnosi clinica, le decisioni di triage o le raccomandazioni terapeutiche, è probabile che venga classificato come Software as a Medical Device dalla Medicines and Healthcare products Regulatory Agency e richiederà la marcatura UKCA o CE ai sensi del Regolamento sui dispositivi medici. I responsabili degli studi dovrebbero consultare il database MHRA Product and Registration Database per confermare lo stato di registrazione di uno strumento prima di firmare qualsiasi contratto. Gli strumenti che non sono classificati come dispositivi medici comportano comunque obblighi di protezione dei dati, sicurezza clinica e governance.
▶ Chi è responsabile se una nota clinica generata dall'IA contiene un errore che influisce sull'assistenza al paziente?
Nell'assistenza primaria del NHS, la responsabilità per gli incidenti clinici legati all'IA ricade tipicamente sull'organizzazione che distribuisce o sul singolo clinico, non sul fornitore. I fornitori generalmente limitano la loro responsabilità al funzionamento del software come descritto nel contratto e non accettano la responsabilità per le decisioni cliniche prese sulla base degli output dell'IA. I responsabili degli studi dovrebbero esaminare attentamente le clausole di indennizzo, confermare se la loro organizzazione di difesa medica è stata consultata e assicurarsi che tutti i contenuti generati dall'IA siano rivisti da un clinico prima di entrare nella cartella del paziente.
▶ Dove dovrebbero essere elaborati e archiviati i dati dei pazienti quando si utilizza uno strumento di IA clinica?
I dati dei pazienti sono dati di categoria speciale ai sensi del Regolamento generale sulla protezione dei dati del Regno Unito e devono essere trattati in modo lecito, trasparente e proporzionato. Se i dati vengono trasferiti al di fuori del Regno Unito o dell'UE, sono necessarie garanzie aggiuntive. Prima della firma, gli studi dovrebbero confermare dove il fornitore elabora e archivia i dati, chi sono i loro sub-responsabili del trattamento e se un accordo sul trattamento dei dati conforme all'articolo 28 del GDPR del Regno Unito è incluso nel contratto. NHS England conferma che una valutazione d'impatto sulla protezione dei dati è molto probabilmente un requisito legale prima della distribuzione.
▶ Quali certificazioni di sicurezza dovrebbe possedere un fornitore di IA clinica?
I fornitori credibili dovrebbero possedere o lavorare attivamente per ottenere ISO 27001 (lo standard internazionale per la gestione della sicurezza delle informazioni), conformità al NHS Data Security and Protection Toolkit, Cyber Essentials o Cyber Essentials Plus e conformità ai Digital Technology Assessment Criteria. Il NHS DSP Toolkit è un requisito contrattuale per le organizzazioni che accedono ai dati dei pazienti del NHS. Un fornitore che non può produrre prove di queste certificazioni, o che non può fornire una presentazione aggiornata del DSP Toolkit, dovrebbe essere trattato con cautela.
▶ Cosa succede ai dati dei pazienti se uno studio termina il contratto con un fornitore di IA?
Questa è un'area in cui i contratti dei fornitori sono spesso vaghi. Gli studi dovrebbero confermare prima della firma per quanto tempo il fornitore conserva i dati dei pazienti dopo la risoluzione, se è possibile un'esportazione completa di tutti i dati dei pazienti e cosa copre in pratica la "cancellazione su richiesta", inclusi backup e dati dei sub-responsabili del trattamento. Ai sensi del GDPR del Regno Unito, lo studio in qualità di titolare del trattamento è responsabile di garantire che i diritti dei pazienti, incluso il diritto alla cancellazione, possano essere esercitati anche dopo la fine di un rapporto con un fornitore. I termini contrattuali che consentono ai fornitori di conservare i dati per l'addestramento del modello dopo la risoluzione dovrebbero essere segnalati per una revisione legale.
▶ È importante se uno strumento di IA è stato addestrato su dati del NHS o dell'assistenza primaria del Regno Unito?
Sì. I dati di addestramento hanno un impatto diretto sull'accuratezza clinica in un contesto di assistenza primaria del Regno Unito. Uno strumento addestrato prevalentemente su dati clinici statunitensi potrebbe funzionare male sulla codifica clinica specifica del NHS utilizzando SNOMED CT, nomi e convenzioni di dosaggio dei farmaci del Regno Unito, percorsi di invio e stili di documentazione delle consultazioni mediche di base. Gli studi dovrebbero chiedere ai fornitori se il modello è stato addestrato e convalidato su dati di consultazioni mediche di base del Regno Unito e se il fornitore pubblica una scheda del modello che descrive le fonti dei dati di addestramento, le limitazioni note e i parametri di riferimento delle prestazioni. Le affermazioni di marketing non sono un sostituto delle prove documentate.
▶ Chi nello studio è responsabile della supervisione di uno strumento di IA una volta distribuito?
Il GP Mythbuster 109 della Care Quality Commission sull'intelligenza artificiale stabilisce che gli studi devono nominare un Clinical Safety Officer, mantenere una valutazione del rischio e un registro dei pericoli e integrare la supervisione umana degli output dell'IA nei flussi di lavoro clinici. Questa è un'aspettativa normativa, non un passo opzionale. Gli studi dovrebbero anche mantenere un caso di sicurezza clinica DCB0160 completato, registri della formazione dei clinici e un registro di eventuali incidenti che coinvolgono output generati dall'IA. Questa documentazione protegge lo studio se si verifica un incidente clinico e vengono sollevate domande su come lo strumento è stato distribuito.
▶ Come dovrebbe uno studio valutare se uno strumento di IA si integra correttamente con il suo sistema di cartelle cliniche?
La maggior parte degli studi medici di base in Inghilterra utilizza EMIS Web o SystmOne. Gli studi dovrebbero confermare se lo strumento ha un'integrazione nativa e certificata con il loro sistema piuttosto che una soluzione alternativa, chi è responsabile del mantenimento di tale integrazione quando il fornitore del sistema di cartelle cliniche rilascia aggiornamenti e se l'integrazione è stata testata in un ambiente di studio medico di base reale. Un'integrazione che richiede il copia-incolla manuale del contenuto generato dall'IA nella cartella clinica aumenta il rischio di errori di trascrizione e riduce gran parte del beneficio in termini di efficienza. I guasti dell'integrazione possono creare lacune nella cartella del paziente con implicazioni dirette per la sicurezza del paziente.
▶ Quali prove cliniche dovrebbe essere in grado di fornire un fornitore prima che uno studio firmi un contratto?
I fornitori dovrebbero fornire studi peer-reviewed pubblicati o risultati di progetti pilota documentati da ambienti di assistenza primaria o medici di base, casi di studio da contesti di assistenza primaria del Regno Unito con risultati misurabili e prove di valutazione rispetto a flussi di lavoro specifici del NHS e sistemi di cartelle cliniche. Le prove provenienti dall'assistenza specialistica o dall'assistenza primaria internazionale non si trasferiscono direttamente alla medicina generale del Regno Unito. Come hanno osservato i ricercatori che scrivono nel Lancet, la diffusione dell'IA nell'assistenza primaria sta attualmente superando una valutazione robusta, il che significa che le affermazioni dei fornitori dovrebbero essere esaminate attentamente e il monitoraggio post-distribuzione è essenziale.
▶ Cosa dovrebbe cercare uno studio negli accordi di supporto e risposta agli incidenti di un fornitore?
Il Service Level Agreement dovrebbe differenziare i tempi di risposta e risoluzione tra incidenti di sicurezza clinica e problemi tecnici generali. Gli studi dovrebbero confermare se il fornitore ha un contatto nominato per gli studi medici di base o instrada il supporto attraverso un helpdesk generico e se il fornitore ha un processo documentato di segnalazione degli incidenti di sicurezza clinica che soddisfa gli standard del NHS. Le linee guida di NHS England sui prodotti di ambient scribing richiedono che gli accordi contrattuali definiscano chiaramente ruoli, responsabilità e accountability, inclusa la risposta agli incidenti. Un fornitore che non può articolare un chiaro processo di gestione degli incidenti di sicurezza clinica non è pronto per la distribuzione in un contesto di assistenza primaria.