Översikt
Idag är det naturligt för vårdgivare att kunna erbjuda patienter en möjlighet att kommunicera med vårdgivaren digitalt. Det kan ske via chatt, video med mera. Aktuell produkt medför en lösning där patienten kan få en första bedömning av sin häsa och rekommendation på åtgärd framåt.
| Produktbeskrivning | En AI-baserad plattform för triagering av patienter. Via plattformen kan patienten besvara ett antal frågor kopplat till sin hälsa och baserat på svaren rekommenderas behandling av systemet alternativt hänvisas vidare till ett digitalt vårdmöte. Vårdpersonal kan via samma plattform ta del av informationen som patienten matat in. |
| Målgrupp för produkten | Företag, myndigheter och organisationer inom hälso- och sjukvården |
| Aktuella regelverk | Dataskyddsförordningen (GDPR) Patientdatalagen HSLF-FS 2016:40 AI-förordningen EU-förordningen 2017/745 (MDR) Lag (2021:600) med kompletterande bestämmelser till EU:s förordning om medicintekniska produkter HSLF-FS 2021:32 |
| Företagets roller utifrån regelverk | Personuppgiftsbiträde (GDPR) Tillverkare (MDR) Leverantör (AI-förordningen) |
| Centrala juridiska frågeställningar |
Säkerhet
Data
Funktionalitet
Datadelning
Medicinteknisk produkt
AI och ansvar
|
| Vägledningar |
GDPR
TrigaeBot är avsedd att hantera personlig hälsodata. Via lösningen kommer användaren att fylla i svar på ett antal frågor som ger information om individens hälsa och individen kommer identifiera sig via Bank-ID. Dataskyddsförordningen blir därför applicerbar. Dataskyddsförordningen uppställer krav för vårdgivarna som använder plattformen och Företaget som leverantör. Vårdgivarna är personuppgiftsansvariga. Det betyder att det är de som har den direkta relationen med patienten och som bestämmer varför personuppgifter ska hanteras. Det är därför alltid vårdgivaren som ansvarar för att ha en giltig rättslig grund för att använda TriageBot. Företaget är personuppgiftsbiträde och hanterar endast informationen på vårdgivarnas direkta uppdrag och enligt deras instruktioner, vilket ska framgå av personuppgiftsbiträdesavtalet mellan parterna. Viktiga punkter att beakta som leverantör av en produkt som behandlar personuppgifter inom vården:
- Vilka personuppgifter kommer vi att behandla? (Det handlar om att ha koll på sina dataflöden)
- Vilka underleverantörer kommer vi att använda oss av för att kunna tillhandahålla produkten?
- Vart kommer datan att lagras?
- Hur länge kommer personuppgifterna att behandlas i plattformen?
- Vilka tekniska och organisatoriska säkerhetsåtgärder finns på plats för att skydda de personuppgifter som behandlas i plattformen?
Skyldigheter enligt MDR
Eftersom plattformen kan anses vara en medicinteknisk produkt enligt MDR behöver den klassificeras och utvärderas utifrån gällande regelverk. Enligt MDR avgörs riskklassificeringen utifrån hur systemet används, vilken typ av medicinska beslut det stödjer, samt vilken inverkan det kan ha på patientens hälsa.I detta fall plattformen att användas till att bearbeta patientens hälsodata och utifrån indata ge rekommendationer som kan påverka beslut om vård utan att vårdpersonal inkluderas.Därmed omfattas den av MDR:s krav. Centrala MDR-krav för produkten:
Klassificering: Sannolikt klass IIa beroende på omfattningen av den kliniska betydelsen av systemets rekommendationer.
Bolaget måste införa och dokumentera ett kvalitetsledningssystem (QMS) i enlighet med ISO 13485.
Riskhantering
Klinisk evidens: Funktionaliteten måste styrkas med klinisk utvärdering och eventuella valideringsstudier som visar att systemet är säkert och effektivt.
Produkten måste genomgå en konformitetsbedömning och CE-märkas innan den kan marknadsföras inom EU.
En plan för övervakning, incidentrapportering och kontinuerlig förbättring måste finnas, sk. Post-market surveillance.
Skyldigheter enligt AI-förordningen
Utöver MDR omfattas plattformen även av AI-förordningen, som reglerar utveckling och användning av AI. Eftersom plattformen används inom hälso- och sjukvård och påverkar patienters vårdvägar klassificeras den som ett högrisk-AI-system enligt förordningen. Det innebär att särskilda krav måste uppfyllas innan systemet får användas. Företaget bakom plattformen kommer i första hand anses vara leverantör. En leverantör har det största ansvaret och måste säkerställa att systemet fullgör alla krav i AI-förordningen innan det släpps ut på marknaden. Exempelvis måste Företaget införa ett kvalitetsledningssystem, ta fram teknisk dokumentation, genomgå en bedömning om överensstämmelse med mera. Vårdorganisationer som använder plattformen klassas som användare i AI-förordningen. De har egna skyldigheter, bland annat att följa leverantörens instruktioner, övervaka användningen och rapportera incidenter. Företaget har därför ett ansvar att utforma tydliga manualer, varningar och användarstöd.
Slutsatser
Aktuell produkt medför att ett stort antal regelverk blir aktuella. Företaget kommer utgöra en tillverkare av en medicinteknisk produkt, vilket medför ett stort antal skyldigheter.Företaget använder sig också av AI i produkten. Givet att produkten används inom hälso- och sjukvårdssektorn finns även krav i sektorspecifik reglerng såsom patientdatalagen. För en startup innebär MDR att det krävs tidiga insatser inom regulatoriskt arbete, dokumentation och kvalitetssäkring. Det är viktigt att redan från början bygga produkten och processerna med MDR i åtanke, eftersom omarbetning i efterhand kan bli både tids- och kostnadskrävande.