Klinisk AI-styrning: HIPAA, GDPR och leverantörer

När ett vårdteam inför ett AI-verktyg för dokumentation handlar beslutet inte bara om produktivitet. Skyddad hälsoinformation omfattas av integritets- och säkerhetskrav. I USA kan programvara som lagrar, behandlar, överför eller ger åtkomst till ePHI behöva riskbedömas och ofta omfattas av ett Business Associate Agreement, BAA [1,2]. I EU behöver personuppgiftsbehandling i vården bedömas mot GDPR och vanligtvis regleras i ett personuppgiftsbiträdesavtal, ofta kallat DPA efter engelskans Data Processing Agreement.

AI kan påverka kliniska beslut, patientkontakt och arbetsledning. Därför är etisk och organisatorisk tillsyn en kärnfråga, inte ett tillval [3,4].

PHI är information som identifierar en person och rör hälsa, vård eller betalning för vård [1]. I en amerikansk kontext är HIPAA och BAA centrala begrepp. I en europeisk kontext är utgångspunkten i stället GDPR, där vårddata normalt är känsliga personuppgifter och där personuppgiftsansvarig och personuppgiftsbiträde behöver tydliga roller.

Ett DPA (personuppgiftsbiträdesavtal) bör beskriva vad leverantören får göra med uppgifterna, vilka säkerhetsåtgärder som gäller, hur underbiträden används, hur incidenter hanteras och vad som händer med data när avtalet upphör. För AI-dokumentation betyder det att datavägen måste förstås: vilken information skickas, var behandlas den, vem har åtkomst och vilken leverantörsroll uppstår?

Leverantörens villkor kan ge tillgång till, lagring av eller delning av användardata för att leverera funktioner eller utveckla AI. Därför behöver team läsa datahanteringsvillkor noggrant och inte anta att ett konsumentliknande AI-verktyg är lämpligt för kliniskt arbete [2].

En bra granskning omfattar sekretess, användningsbegränsning, underleverantörer, radering eller återlämning av data när avtalet upphör och tydlig ansvarsfördelning [1]. För GDPR bör granskningen också omfatta DPA (personuppgiftsbiträdesavtal), instruktioner till biträdet, överföringar utanför EU/EES och rutiner för registrerades rättigheter.

AI-styrning i vården behöver omfatta transparens, tillförlitlighet, säkerhet, rättvisa, dataskydd och mänsklig tillsyn [3]. Organisationer bör definiera gränser för när användning ska pausas, utvärderas eller eskaleras.

Extern vägledning från TRAIN, FUTURE-AI, WHO, FDA och NIST kan hjälpa lokala team att inte bygga styrning i isolering [4].

• Bekräfta datavägen: lagrar, behandlar, överför eller får verktyget åtkomst till ePHI eller känsliga personuppgifter?
• Använd minsta nödvändiga-principen: skicka inte mer patientinformation än arbetsflödet kräver.
• Granska leverantörsrelationen: fungerar leverantören som business associate enligt HIPAA eller personuppgiftsbiträde enligt GDPR?
• Säkerställ rätt avtal: BAA för HIPAA-reglerade arbetsflöden och DPA (personuppgiftsbiträdesavtal) för GDPR-reglerad personuppgiftsbehandling.
• Kräv riskbedömning före utrullning.
• Utvärdera styrningsdomäner: transparens, tillförlitlighet, integritet och mänsklig tillsyn.
• Planera löpande uppföljning efter lansering.

Klinisk AI-styrning börjar med rätt integritets- och säkerhetsgrund, men slutar inte där. PHI-hantering, GDPR-roller, DPA (personuppgiftsbiträdesavtal), BAA-avtal, riskbedömning, transparens, säkerhet och löpande övervakning bör behandlas som styrningsfrågor från början. Artikeln är informativ och inte juridisk rådgivning; vid produktionssättning bör compliance, integritet, IT-säkerhet och kliniskt ansvariga involveras.

1. Yale University HIPAA Privacy Office. Clinician's Guide to HIPAA Privacy.
2. University of Arizona College of Medicine Tucson IT Services. AI Productivity Tools and PHI.
3. Harvard University Edmond & Lily Safra Center for Ethics. From Code to Conscience: An Ethical Framework for Healthcare AI.
4. University of Arizona Libraries. Artificial Intelligence within Healthcare: Concerns Using AI.