·
Teknikadoption
Primärvård
Praktikledare / Admin
AI-verktygskontrakt: vad vårdcentralschefer måste verifiera först
Viktiga kontroller för vårdcentralschefer innan de skriver under AI-verktygskontrakt: regulatorisk status, ansvar, datasäkerhet, integration och klinisk evidens

Att skriva under ett kontrakt för ett AI-verktyg kan kännas som mållinjen i en upphandlingsprocess, men för vårdcentralschefer är det snarare startskottet. När ett kontrakt är undertecknat och ett verktyg är driftsatt ligger de kliniska, juridiska och regulatoriska skyldigheterna kopplade till driftsättningen kvar hos vårdcentralen, inte hos leverantören. AI-driftsättning går snabbare än robust utvärdering i verkliga miljöer och reglering, vilket skapar verklig risk för vårdcentraler som inte gjort en grundlig kontroll. Den här guiden beskriver de specifika frågor vårdcentralschefer bör ställa, och de dokument de bör granska, innan något kontrakt skrivs under.
Är verktyget klassificerat som en medicinteknisk produkt, och vad betyder det för dig?
Inte alla AI-verktyg som används i kliniska miljöer är medicinteknik, men många är det, och skillnaden har stor regulatorisk betydelse. I Storbritannien klassificerar Medicines and Healthcare products Regulatory Agency (MHRA) programvara som medicinteknisk produkt. Om ett AI-verktyg stödjer klinisk diagnostik, triagebeslut eller behandlingsrekommendationer kommer det sannolikt att omfattas av definitionen av Software as a Medical Device (SaMD) och kräva UKCA- eller CE-märkning enligt Medical Device Regulation (MDR).
Innan undertecknande bör vårdcentralschefer:
Söka i MHRA Product and Registration Database (PARD) för att bekräfta om verktyget är registrerat som medicinteknisk produkt
Fråga leverantören direkt om deras MHRA-registreringsstatus och produktklass
Kontrollera om verktyget har en NICE-utvärdering, en Medtech Innovation Briefing (MIB), Diagnostics Guidance (DG) eller Early Value Assessment (EVA)
Bekräfta om verktyget har giltig UKCA- eller CE-märkning om det är klassificerat som medicinteknisk produkt
CQC:s GP Mythbuster 109 om AI, publicerad i juli 2025, klargör att inspektörer kommer att kontrollera om vårdcentraler har verifierat MHRA-registrering där det är tillämpligt och om upphandlingen genomfördes enligt DCB0160- och Digital Technology Assessment Criteria (DTAC)-standarder. Verktyg som inte är klassificerade som medicinteknik är inte undantagna från granskning. De har fortfarande skyldigheter kring dataskydd, klinisk säkerhet och styrning.
Vem har kliniskt och juridiskt ansvar om något går fel?
Detta är en av de mest avgörande frågorna i ett AI-verktygskontrakt, och leverantörsavtal är ofta otydliga kring detta. Den generella hållningen inom NHS primärvård är att NHS-organisationer fortfarande kan vara ansvariga för AI-relaterade anspråk även när de använder tredjepartsverktyg, och att ansvaret för att använda en icke-kompatibel AI-lösning ligger hos den driftsättande organisationen eller den enskilda klinikern.
Leverantörer begränsar vanligtvis sitt ansvar till att programvaran fungerar enligt beskrivningen i kontraktet. De accepterar inte ansvar för kliniska beslut som fattas baserat på AI-utdata. Det innebär att om en AI-genererad journalanteckning innehåller ett fel som påverkar patientvården, är det sannolikt vårdcentralen, inte leverantören, som bär de kliniska och juridiska konsekvenserna.
Vid granskning av kontraktsvillkor bör vårdcentralschefer leta efter:
Tydliga uttalanden om var det kliniska ansvaret ligger och om leverantören accepterar något ansvar för AI-genererade utdata som förs in i patientjournalen
Ersättningsklausuler och om leverantörens ersättning täcker kliniska incidenter eller är begränsad till fel i programvarans funktion
Om leverantörens villkor kräver att vårdcentralen upprätthåller mänsklig övervakning av alla AI-utdata, och vilken dokumentation av den övervakningen som förväntas
Om vårdcentralens medicinska försvarsorganisation eller försäkringsleverantör har konsulterats om verktygets användning
Surrey & Sussex LMCs rekommenderar att vårdcentraler involverar sitt Integrated Care Board (ICB) för säkerhetsfrågor och säkerställer att alla AI-genererade utdata kontrolleras av en kliniker innan de förs in i patientjournalen. Detta krav på mänsklig kontroll är inte bara god praxis, utan även ett villkor för säker driftsättning enligt nuvarande NHS-riktlinjer.
Var behandlas och lagras patientdata?
Datalokalisering är en grundläggande fråga vid all klinisk AI-upphandling, och leverantörernas svar är inte alltid tydliga. Enligt UK General Data Protection Regulation (GDPR) och den allmänna rättsliga sekretesskyldigheten är patientdata särskilda kategorier av data och dess behandling måste vara laglig, transparent och proportionerlig. Om patientdata, inklusive ljudinspelningar av patientsamtal, överförs utanför Storbritannien eller EU för behandling eller lagring krävs ytterligare skyddsåtgärder.
NHS Englands vägledning om ambient scribing-produkter bekräftar att en Data Protection Impact Assessment (DPIA) med stor sannolikhet är ett juridiskt krav före driftsättning, med tanke på den storskaliga behandlingen av särskilda kategorier av hälsodata som är involverad. NHS Transformation Directorates vägledning om informationsstyrning förstärker detta och noterar att DPIA:er måste hantera de typer av data som behandlas (inklusive ljud och transkriptioner), leverantörens återanvändning av data för AI-modellträning och skyldigheter kring transparens gentemot patienter.
Nyckelfrågor att ställa till leverantörer innan undertecknande:
Var behandlas patientdata? Är det i Storbritannien, EU eller ett tredjeland?
Vilka är leverantörens underbiträden och var är de belägna?
Använder leverantören patientsamtalsdata för att träna eller förbättra sina AI-modeller, och i så fall på vilken rättslig grund?
Ingår ett Data Processing Agreement (DPA) i kontraktet, och följer det UK GDPR artikel 28?
Vad är skillnaden mellan anonymiserad och pseudonymiserad data i leverantörens behandling, och vad är den kvarvarande risken för återidentifiering?
Juridisk kommentar från Spencer West LLP påpekar att skillnaden mellan anonymiserad och pseudonymiserad data är särskilt viktig här, eftersom pseudonymiserad data innebär en kvarvarande risk för återidentifiering och inte kan behandlas som utanför dataskyddslagstiftningens tillämpningsområde.
Vilka säkerhetscertifieringar bör leverantören ha?
Säkerhetscertifieringar är ingen garanti för säkerhet, men deras frånvaro är en tydlig signal om en leverantörs mognad och investering i dataskydd. För kliniska AI-verktyg som används inom NHS primärvård finns det en grundnivå av certifieringar och bedömningar som en seriös leverantör bör kunna visa upp.
Vårdcentraler bör förvänta sig att leverantörer har, eller aktivt arbetar mot:
ISO 27001 — den internationella standarden för ledningssystem för informationssäkerhet
NHS Data Security and Protection (DSP) Toolkit-efterlevnad — NHS eget ramverk för bedömning av datasäkerhet, vilket är ett kontraktskrav för organisationer som får tillgång till NHS patientdata
Cyber Essentials eller Cyber Essentials Plus — den brittiska regeringens grundläggande cybersäkerhetscertifiering
DTAC-efterlevnad — NHS Englands ramverk som täcker dataskydd, teknisk säkerhet, interoperabilitet och klinisk säkerhet
iatroX upphandlingsguide för NHS-köpare rekommenderar att vårdcentraler säkerställer att en leverantör har ett godkänt DTAC-paket före driftsättning. NHS Englands vägledning om ambient scribing lyfter även cybersäkerhetsrisker specifika för stora språkmodeller (LLM:er), inklusive risken för prompt injection-attacker och dataläckage via modellutdata.
En leverantör som inte kan uppvisa dessa certifieringar, eller som inte kan tillhandahålla en aktuell DSP Toolkit-inlämning, bör behandlas med försiktighet oavsett hur övertygande deras produktdemonstration är.
Hur integreras verktyget med ditt befintliga journalsystem?
De flesta vårdcentraler i England använder antingen EMIS Web eller SystmOne som sitt primära journalsystem. Det praktiska värdet av ett AI-verktyg, särskilt en ambient scribe eller dokumentationsassistent, beror i hög grad på hur väl det integreras med vårdcentralens befintliga system. Integration som kräver manuell kopiering och inklistring av AI-genererat innehåll i journalsystemet ökar risken för transkriptionsfel och minskar mycket av effektivitetsvinsten.
Innan undertecknande bör vårdcentralschefer fastställa:
Om verktyget har en inbyggd, certifierad integration med EMIS Web eller SystmOne, eller om det förlitar sig på en tredjepartslösning
Vem som är ansvarig för att underhålla integrationen när journalsystemleverantören släpper uppdateringar: AI-leverantören, journalsystemleverantören eller vårdcentralen
Om integrationen har testats i en aktiv vårdcentralsmiljö, inte bara i en utvecklings- eller specialistsjukvårdsmiljö
Vad reservrutinen är om integrationen slutar fungera under en klinisk session
iatroX guide till AI-verktyg för brittiska vårdcentraler lyfter fram journalsystemintegration som ett av de viktigaste utvärderingskriterierna för ambient scribes och noterar att upphandlingsbeslut bör ta hänsyn till total ägandekostnad, inklusive arbetsflödesanpassning som krävs när integrationen är bristfällig. Integrationsproblem är inte bara en teknisk olägenhet. I en klinisk miljö kan de skapa luckor i patientjournalen eller introducera fel som påverkar patientsäkerheten.
Vad händer med din data om du avslutar kontraktet?
Dataportabilitet och radering vid kontraktsuppsägning är områden där leverantörskontrakt ofta är otydliga, och vårdcentraler kan hamna i en svår situation om de inte har förhandlat tydliga villkor i förväg. Frågorna att lösa innan undertecknande är:
Hur länge behåller leverantören patientdata efter kontraktsuppsägning, och på vilken rättslig grund?
Kan vårdcentralen exportera en fullständig kopia av all patientdata som leverantören har innan uppsägning?
Vad betyder "radering på begäran" egentligen? Täcker det alla kopior, inklusive säkerhetskopior och underbiträdens data?
Vad är tidslinjen för bekräftad radering, och kommer leverantören att tillhandahålla skriftlig bekräftelse?
Enligt UK GDPR har registrerade rättigheter, inklusive rätten till radering, och vårdcentralen, som personuppgiftsansvarig, är ansvarig för att säkerställa att dessa rättigheter kan utövas även efter att en leverantörsrelation har avslutats. Integritet och säkerhet genom hela hälsodatalivscykeln är ett växande område för regulatorisk granskning, och vårdcentraler som inte kan redogöra för var patientdata tagit vägen efter att ett leverantörskontrakt avslutats kan möta efterlevnadsrisker.
Kontraktsvillkor som tillåter leverantörer att behålla data under längre perioder efter uppsägning för "produktförbättring" eller "modellträning" bör flaggas för juridisk granskning innan undertecknande.
Är AI-verktyget tränat på NHS- eller motsvarande klinisk data?
Träningsdata som används för att utveckla ett AI-verktyg har direkt betydelse för dess kliniska noggrannhet i en brittisk primärvårdskontext. Ett verktyg som huvudsakligen tränats på amerikansk klinisk data kan till exempel prestera dåligt på brittisk klinisk kodning (SNOMED CT som används i NHS), läkemedelsnamn och doseringskonventioner, remissvägar eller den särskilda dokumentationsstilen för vårdcentralssamtal.
Klinikerperspektiv på AI i primärvård lyfter återkommande oro för bias som introduceras genom träningsdata, och Laranjo et al. i Lancet Primary Care har noterat att snabb driftsättning före robust utvärdering väcker oro för oavsiktliga konsekvenser för vårdkvaliteten. Dessa är inte abstrakta risker, utan påverkar direkt noggrannheten i journalanteckningar, lämpligheten hos föreslagna kliniska koder och tillförlitligheten hos eventuella beslutsstödsutdata.
Vid utvärdering av en leverantörs påståenden om träningsdata bör vårdcentralschefer fråga:
Tränades modellen på NHS- eller brittisk primärvårdsdata, och kan leverantören tillhandahålla dokumentation på detta?
Har modellen validerats på brittisk vårdcentralssamtalsdata specifikt?
Publicerar leverantören ett modellkort eller motsvarande teknisk dokumentation som beskriver träningsdatakällor, kända begränsningar och prestandamått?
Hur hanterar modellen brittisk klinisk terminologi, läkemedelsnamn och remisskonventioner?
Leverantörer bör kunna svara på dessa frågor med dokumenterade bevis, inte bara marknadsföringspåståenden. Om en leverantör inte kan tillhandahålla denna information är det en betydande lucka i deras kliniska evidensbas.
Vem på vårdcentralen är ansvarig för att övervaka verktyget?
AI-verktygsstyrning är inte ett engångsbeslut om upphandling, utan ett löpande operativt ansvar. CQC:s GP Mythbuster 109 beskriver vad inspektörer kommer att leta efter, inklusive utnämning av en Clinical Safety Officer (CSO), underhåll av en riskbedömning och risklogg samt bevis på att mänsklig övervakning av AI-utdata är inbäddad i vårdcentralens arbetsflöden.
Kravet att utse en CSO på vårdcentralsnivå är något som Surrey & Sussex LMCs erkänner som en praktisk utmaning för mindre vårdcentraler. Det är en regulatorisk förväntan, inte en valfri förbättring. CSO behöver inte vara en heltidsroll, men vårdcentralen måste kunna identifiera en namngiven person som har detta ansvar och kan visa att det efterlevs.
Styrdokumentation som vårdcentralen bör upprätthålla inkluderar:
Ett komplett DCB0160 kliniskt säkerhetsfall för driftsättningen av verktyget
En riskbedömning och risklogg, granskad regelbundet och uppdaterad när verktyget förändras
Register över klinikerutbildning om verktyget, inklusive medvetenhet om dess begränsningar
En logg över eventuella incidenter eller tillbud som involverar AI-genererade utdata
Bevis på att allt AI-genererat innehåll som förs in i patientjournalen har granskats av en kliniker
Denna dokumentation är inte bara relevant för CQC-inspektion. Det är den evidensbas som skyddar vårdcentralen om en klinisk incident inträffar och frågor väcks om hur verktyget driftsattes och övervakades.
Hur ser leverantörens support och incidenthantering ut?
Ett Service Level Agreement (SLA) är en standardkomponent i alla programvarukontrakt, men för kliniska AI-verktyg är konsekvenserna av ett supportfel större än för de flesta andra programvaror. Om en ambient scribe slutar fungera mitt i ett patientsamtal, eller om en AI-genererad anteckning innehåller ett systematiskt fel som inte upptäcks direkt, måste vårdcentralen veta att leverantören svarar snabbt och med klinisk förståelse.
Innan undertecknande bör vårdcentralschefer granska:
Svars- och lösningstider i SLA:n, och om dessa skiljer mellan kliniska säkerhetsincidenter och allmänna tekniska problem
Om leverantören har en namngiven kontaktperson för vårdcentraler eller om supporten går via en generisk helpdesk
Vad leverantörens process är för att meddela vårdcentraler om en klinisk säkerhetsincident, inklusive hur snabbt de kommunicerar och vilken information som tillhandahålls
Om leverantören har en dokumenterad process för rapportering av kliniska säkerhetsincidenter som uppfyller NHS-standarder
NHS Englands vägledning om ambient scribing kräver att kontraktsarrangemang tydligt definierar roller, ansvar och ansvarsskyldighet, inklusive incidenthantering. En leverantör som inte kan beskriva en tydlig process för kliniska säkerhetsincidenter är inte redo för driftsättning i primärvården.
Har verktyget utvärderats i en verklig primärvårdsmiljö?
Detta är en fråga som många leverantörer har svårt att styrka med konkreta bevis, och skillnaden mellan en imponerande demonstration och en peer-granskad utvärdering i en aktiv vårdcentralsmiljö är stor. Forskning om AI-scribe i primärvård har börjat dokumentera vårdgivares erfarenheter och etiska farhågor i verkliga miljöer, men evidensbasen är fortfarande begränsad och till stor del utforskande.
Frontiers in Health Services-granskning av NHS AI-upphandlingsramverk rekommenderar att leverantörens efterlevnadsdokumentation bör innehålla klinisk evidens, inte bara tekniska certifieringar. Vårdcentralschefer bör be leverantörer att tillhandahålla:
Publicerade peer-granskade studier eller dokumenterade pilotresultat från vårdcentral- eller primärvårdsmiljöer
Fallstudier från brittiska primärvårdsmiljöer med mätbara resultat (dokumentationstid, klinisk noggrannhet, klinikertillfredsställelse)
Bevis på utvärdering mot NHS-specifika arbetsflöden och journalsystem
Eventuella kända begränsningar eller fellägen som identifierats under verklig testning
Evidens från specialistsjukvård eller internationella primärvårdsmiljöer kan inte direkt överföras till brittisk allmänmedicin. Samtalsstrukturer, dokumentationskonventioner och regulatoriska krav skiljer sig avsevärt. Ett verktyg som fungerar bra i en sjukhusöppenvårdsmiljö eller amerikansk primärvårdskontext kanske inte presterar lika bra på en brittisk vårdcentral.
Det finns också en bredare evidenslucka att erkänna. Som Laranjo et al. i Lancet noterar går AI-driftsättning i primärvård för närvarande snabbare än den robusta utvärdering som behövs för att förstå dess verkliga påverkan. Detta betyder inte att vårdcentraler bör undvika AI-verktyg, men leverantörspåståenden bör granskas noggrant och övervakning efter driftsättning är avgörande.
En checklista före undertecknande för vårdcentralschefer
Följande checklista sammanfattar de viktigaste verifieringspunkterna som tas upp i denna artikel. Använd den som en praktisk referens innan något AI-verktygskontrakt skrivs under.
Regulatorisk och klinisk säkerhet
[ ] Bekräftad MHRA-registreringsstatus och produktklass (sök PARD om tillämpligt)
[ ] Leverantören har DCB0129 klinisk säkerhetsfallsdokumentation
[ ] Vårdcentralen har slutfört eller påbörjat DCB0160 kliniskt säkerhetsfall för driftsättning
[ ] DTAC-bedömning slutförd och godkänd av leverantören
[ ] NICE-utvärdering kontrollerad (MIB, DG eller EVA) om tillämpligt
Dataskydd och informationsstyrning
[ ] DPIA slutförd före driftsättning
[ ] Data Processing Agreement ingår i kontraktet, UK GDPR artikel 28-kompatibelt
[ ] Datalokalisering bekräftad — behandling och lagring i Storbritannien eller EU
[ ] Underbiträden identifierade och bedömda
[ ] Leverantörens policy för användning av patientdata för modellträning granskad och överenskommen
[ ] Dataraderings- och portabilitetsvillkor bekräftade vid kontraktsuppsägning
Säkerhet
[ ] ISO 27001-certifiering bekräftad
[ ] NHS DSP Toolkit-efterlevnad bekräftad
[ ] Cyber Essentials eller Cyber Essentials Plus bekräftad
[ ] DTAC cybersäkerhetssektion godkänd
Ansvar och kontraktering
[ ] Ansvarsfördelning tydligt definierad i kontraktet
[ ] Ersättningsklausuler granskade — omfattning bekräftad
[ ] Medicinsk försvarsorganisation eller försäkringsleverantör konsulterad
[ ] Roller, ansvar och incidenthantering definierade i kontraktet
Journalsystemintegration
[ ] Inbyggd integration med EMIS Web eller SystmOne bekräftad
[ ] Ansvar för integrationsunderhåll definierat
[ ] Testad i aktiv brittisk vårdcentralsmiljö
Styrning
[ ] Clinical Safety Officer utsedd på vårdcentralsnivå
[ ] Riskbedömning och risklogg initierad
[ ] Klinikerutbildningsplan på plats
[ ] Mänsklig granskning av alla AI-utdata bekräftad som arbetsflödeskrav
Evidens och support
[ ] Klinisk evidens från brittiska primärvårdsmiljöer granskad
[ ] SLA granskad — svarstider för kliniska säkerhetsincidenter bekräftade
[ ] Namngiven leverantörskontakt för vårdcentraler bekräftad
[ ] Träningsdataursprung dokumenterat av leverantören
Underteckna med förtroende, inte bara snabbhet
AI-upphandling i allmänmedicin är ett kliniskt styrbeslut lika mycket som ett operativt. Verktygen som finns tillgängliga 2025 och 2026 erbjuder verklig potential att minska dokumentationsbördan och stödja kliniker, men den potentialen realiseras endast säkert när vårdcentralen har verifierat regulatorisk efterlevnad, dataskyddsskyldigheter, ansvarsfördelning och klinisk evidens innan driftsättningen börjar.
Digital Healths rapportering om NHS AI-upphandling fångar den nuvarande regulatoriska verkligheten tydligt: befintliga standarder var inte utformade för lärande AI-system, och takten i leverantörsaktivitet inom primärvård innebär att vårdcentraler måste vara, med NHS Englands nationella Chief Clinical Information Officers ord, "robusta i att säkerställa att det vi gör är säkert, säkrat och kommer att leverera nytta."
Frågorna och kontrollerna i denna artikel är inte hinder för adoption. De är grunden på vilken säker, effektiv och försvarbar adoption byggs. En leverantör som inte kan svara på dem tydligt och med dokumenterade bevis är inte redo att driftsättas i en klinisk miljö. En vårdcentral som inte har ställt dem bär risker som den kanske inte ännu är medveten om.
Vanliga frågor
▶ Behöver ett AI-verktyg som används på en vårdcentral vara registrerat som medicinteknisk produkt?
Det beror på vad verktyget gör. Om det stödjer klinisk diagnostik, triagebeslut eller behandlingsrekommendationer kommer det sannolikt att klassificeras som Software as a Medical Device av Medicines and Healthcare products Regulatory Agency och kräva UKCA- eller CE-märkning enligt Medical Device Regulation. Vårdcentralschefer bör söka i MHRA Product and Registration Database för att bekräfta ett verktygs registreringsstatus innan något kontrakt skrivs under. Verktyg som inte är klassificerade som medicinteknik har fortfarande skyldigheter kring dataskydd, klinisk säkerhet och styrning.
▶ Vem är ansvarig om en AI-genererad journalanteckning innehåller ett fel som påverkar patientvården?
Inom NHS primärvård ligger ansvaret för AI-relaterade kliniska incidenter vanligtvis hos den driftsättande organisationen eller den enskilda klinikern, inte leverantören. Leverantörer begränsar i allmänhet sitt ansvar till att programvaran fungerar enligt beskrivningen i kontraktet och accepterar inte ansvar för kliniska beslut som fattas baserat på AI-utdata. Vårdcentralschefer bör granska ersättningsklausuler noggrant, bekräfta om deras medicinska försvarsorganisation har konsulterats och säkerställa att allt AI-genererat innehåll granskas av en kliniker innan det förs in i patientjournalen.
▶ Var bör patientdata behandlas och lagras vid användning av ett kliniskt AI-verktyg?
Patientdata är särskilda kategorier av data enligt UK General Data Protection Regulation och måste behandlas lagligt, transparent och proportionerligt. Om data överförs utanför Storbritannien eller EU krävs ytterligare skyddsåtgärder. Innan undertecknande bör vårdcentraler bekräfta var leverantören behandlar och lagrar data, vilka deras underbiträden är och om ett Data Processing Agreement som följer UK GDPR artikel 28 ingår i kontraktet. NHS England bekräftar att en Data Protection Impact Assessment med stor sannolikhet är ett juridiskt krav före driftsättning.
▶ Vilka säkerhetscertifieringar bör en klinisk AI-leverantör ha?
Trovärdiga leverantörer bör ha, eller aktivt arbeta mot, ISO 27001 (den internationella standarden för informationssäkerhet), NHS Data Security and Protection Toolkit-efterlevnad, Cyber Essentials eller Cyber Essentials Plus och Digital Technology Assessment Criteria-efterlevnad. NHS DSP Toolkit är ett kontraktskrav för organisationer som får tillgång till NHS patientdata. En leverantör som inte kan uppvisa dessa certifieringar, eller som inte kan tillhandahålla en aktuell DSP Toolkit-inlämning, bör behandlas med försiktighet.
▶ Vad händer med patientdata om en vårdcentral avslutar sitt kontrakt med en AI-leverantör?
Detta är ett område där leverantörskontrakt ofta är otydliga. Vårdcentraler bör bekräfta innan undertecknande hur länge leverantören behåller patientdata efter uppsägning, om en fullständig export av all patientdata är möjlig och vad "radering på begäran" innebär i praktiken, inklusive säkerhetskopior och underbiträdens data. Enligt UK GDPR är vårdcentralen som personuppgiftsansvarig ansvarig för att säkerställa att patienters rättigheter, inklusive rätten till radering, kan utövas även efter att en leverantörsrelation har avslutats. Kontraktsvillkor som tillåter leverantörer att behålla data för modellträning efter uppsägning bör flaggas för juridisk granskning.
▶ Spelar det någon roll om ett AI-verktyg tränades på NHS- eller brittisk primärvårdsdata?
Ja. Träningsdata har direkt betydelse för klinisk noggrannhet i en brittisk primärvårdskontext. Ett verktyg som huvudsakligen tränats på amerikansk klinisk data kan prestera dåligt på NHS-specifik klinisk kodning med SNOMED CT, brittiska läkemedelsnamn och doseringskonventioner, remissvägar och dokumentationsstilar för vårdcentralssamtal. Vårdcentraler bör fråga leverantörer om modellen tränades och validerades på brittisk vårdcentralssamtalsdata, och om leverantören publicerar ett modellkort som beskriver träningsdatakällor, kända begränsningar och prestandamått. Marknadsföringspåståenden är inte en ersättning för dokumenterade bevis.
▶ Vem på vårdcentralen är ansvarig för att övervaka ett AI-verktyg när det väl är driftsatt?
Care Quality Commissions GP Mythbuster 109 om artificiell intelligens beskriver att vårdcentraler måste utse en namngiven Clinical Safety Officer, upprätthålla en riskbedömning och risklogg och integrera mänsklig övervakning av AI-utdata i kliniska arbetsflöden. Detta är en regulatorisk förväntan, inte ett valfritt steg. Vårdcentraler bör också upprätthålla ett komplett DCB0160 kliniskt säkerhetsfall, register över klinikerutbildning och en logg över eventuella incidenter som involverar AI-genererade utdata. Denna dokumentation skyddar vårdcentralen om en klinisk incident inträffar och frågor väcks om hur verktyget driftsattes.
▶ Hur bör en vårdcentral utvärdera om ett AI-verktyg integreras korrekt med sitt journalsystem?
De flesta vårdcentraler i England använder antingen EMIS Web eller SystmOne. Vårdcentraler bör bekräfta om verktyget har en inbyggd, certifierad integration med deras system snarare än en tredjepartslösning, vem som är ansvarig för att underhålla integrationen när journalsystemleverantören släpper uppdateringar och om integrationen har testats i en aktiv vårdcentralsmiljö. Integration som kräver manuell kopiering och inklistring av AI-genererat innehåll i journalsystemet ökar risken för transkriptionsfel och minskar mycket av effektivitetsvinsten. Integrationsproblem kan skapa luckor i patientjournalen med direkta konsekvenser för patientsäkerheten.
▶ Vilken klinisk evidens bör en leverantör kunna tillhandahålla innan en vårdcentral skriver under ett kontrakt?
Leverantörer bör tillhandahålla publicerade peer-granskade studier eller dokumenterade pilotresultat från vårdcentral- eller primärvårdsmiljöer, fallstudier från brittiska primärvårdsmiljöer med mätbara resultat och bevis på utvärdering mot NHS-specifika arbetsflöden och journalsystem. Evidens från specialistsjukvård eller internationella primärvårdsmiljöer kan inte direkt överföras till brittisk allmänmedicin. Som forskare i Lancet har noterat går AI-driftsättning i primärvård för närvarande snabbare än robust utvärdering, vilket innebär att leverantörspåståenden bör granskas noggrant och övervakning efter driftsättning är avgörande.
▶ Vad bör en vårdcentral leta efter i en leverantörs support- och incidenthanteringsarrangemang?
Service Level Agreement bör särskilja svars- och lösningstider mellan kliniska säkerhetsincidenter och allmänna tekniska problem. Vårdcentraler bör bekräfta om leverantören har en namngiven kontaktperson för vårdcentraler eller dirigerar support via en generisk helpdesk, samt om leverantören har en dokumenterad process för rapportering av kliniska säkerhetsincidenter som uppfyller NHS-standarder. NHS Englands vägledning om ambient scribing-produkter kräver att kontraktsarrangemang tydligt definierar roller, ansvar och ansvarsskyldighet, inklusive incidenthantering. En leverantör som inte kan beskriva en tydlig process för kliniska säkerhetsincidenter är inte redo för driftsättning i primärvården.