Rundskriv for regelverket for utvikling av kunstig intelligens
Endringslogg
Sist faglig oppdatert: 16.03.2022
04.06.2024: «Statens legemiddelverk» er endret til «Direktoratet for medisinske produkter» / «DMP»
16.03.2022: Rundskrivet er oppdatert med
- Nye bestemmelser om dispensasjon fra taushetsplikten i helsepersonelloven § 29 og helseregisterloven § 19e. Bestemmelsene erstatter den tidligere helsepersonelloven § 29 og § 29 b, og helseforskningsloven § 35, når det gjelder tilgjengeliggjøring av opplysninger fra behandlingsrettede helseregistre og helseregistre.
-
Mer informasjon om programvare som medisinsk utstyr, samt noen tekniske og språklige presiseringer og justeringer
- Nytt navn: «Rundskriv om regelverket for utvikling av kunstig intelligens innenfor forskning (herunder helseforskning), utvikling og bruk av klinisk beslutningsstøtteverktøy og kvalitetsforbedring". Det erstatter "Veileder om regelverket for utvikling av kunstig intelligens»
17.03.2021: «Veileder om regelverket for utvikling av kunstig intelligens» versjon 1.0 publisert.
Innhold og avgrensning
Sist faglig oppdatert: 16.03.2022
I dette rundskrivet redegjør Helsedirektoratet for regelverket som gjelder for utvikling av kunstig intelligens innenfor forskning, herunder helseforskning. Rundskrivet gjør rede for hvilket regelverk som gjelder for utvikling av klinisk beslutningsstøtteverktøy og innføring av slikt verktøy i helse- og omsorgstjenesten, samt for regelverket som gjelder for kvalitetsforbedring.
Prosjekter som utvikler KI-modeller uten bruk av helse- og personopplysninger, omtales kort.
Det redegjøres videre om regelverket for medisinsk utsyr, som ofte vil komme til anvendelse der KI-modeller skal brukes som ledd i helsehjelp.
Målet med rundskrivet er å gjøre deg som skal utvikle eller ta i bruk kunstig intelligens i stand til å identifisere hvilken prosjekttype du skal utvikle kunstig intelligens innenfor, og å vurdere hvilke regelverk du må følge.
Kunstig intelligens kan være del av programvare som oppfyller kriteriene for medisinsk utstyr. Du må derfor tidlig vurdere hvorvidt programvaren som skal utvikles eller tas i bruk er medisinsk utstyr eller ikke. Denne vurderingen er en forutsetning for at du kan legge en plan for hvordan kravene i regelverket for medisinsk utstyr kan oppfylles dersom du planlegger at KI-modellen skal kunne brukes som ledd i helsehjelp. I veilederen gir vi noe informasjon om medisinsk utstyr, men mer utfyllende informasjon finner du på hjemmesiden til Direktoratet for medisinske produkter (DMP). Informasjonen i veilederen om medisinsk utstyr er utarbeidet i samarbeid med DMP.
Rundskrivet redegjør også for regelverket som gjelder for tilgang til og behandling av person- og helseopplysninger, for eksempel dispensasjon fra taushetsplikt eller samtykke fra den registrerte.
Grunnleggende om bruk av kunstig intelligens
Sist faglig oppdatert: 16.03.2022
Utgangspunktet for utvikling og bruk av kunstig intelligens er at det skal bygge på etiske prinsipper, respekt for personvernet og god digital sikkerhet, i tillegg til at det grunnleggende kravet om faglig forsvarlighet som gjelder i helse- og omsorgstjenesten må ivaretas.
Vi anbefaler at du setter deg inn i blant annet etiske retningslinjer for kunstig intelligens, kunstig intelligens i forskning og bruk av stordata i forskning:
- Nasjonal strategi for kunstig intelligens (regjeringen.no) redegjør for etiske prinsipper for kunstig intelligens.
- Prinsippene i den nasjonale strategien bygger på anbefalingene fra EU High Level Expert Group on AI.
- Den nasjonale forskningsetiske komité for naturvitenskap og teknologi (NENT) har publisert en forskningsetisk betenkning om kunstig intelligens.
- De nasjonale forskningsetiske komiteene (FEK) har publisert en rapport om stordata i forskning.
Fremgangsmåte for å finne prosjekttypen
Sist faglig oppdatert: 16.03.2022
Dette rundskrivet forklarer hva som skal til for at et prosjekt er vitenskapelig forskning, og hvilke tilleggskrav som må være oppfylt for at vitenskapelig forskning er helseforskning. Det forklares videre hva som er å anse som utvikling av klinisk beslutningsstøtteverktøy og innføring av slike verktøy i klinikk. Utvikling av KI-produkter som ikke innebærer bruk av helse- og personopplysninger omtales deretter kort. Til slutt forklares hva som skal til for at et prosjekt anses som kvalitetsforbedring.
Forskning
Sist faglig oppdatert: 16.03.2022
Hva som er vitenskapelig forskning, er ikke definert i lovgivningen. Helsedirektoratets forståelse er at vitenskapelig forskning må være systematisk, metodisk og hypotesedrevet – altså at det må brukes vitenskapelig metode. Vår forståelse tar utgangspunkt i uttalelser i fortalen til GDPR[1] og i OECDs forståelse av forskning og utvikling[2]. Også Datatilsynet mener at utvikling av kunstig intelligens kan være vitenskapelig forskning[3].
Vitenskapelig metode
Vitenskapelig metode, eller vitenskapelig metodikk, er omtalt i forarbeidene til helseforskningsloven[4]. Helsedirektoratet legger til grunn at uttalelsene om vitenskapelig metodikk også gjelder for annen vitenskapelig forskning enn helseforskning.
I forarbeidene til helseforskningsloven uttales det at vitenskapelig metodikk omfatter både generelle vitenskapsteoretiske prinsipper for begrunnelse og resonnement, og spesielle teknikker som utvikles innenfor forskjellige vitenskapelige disipliner for å produsere gyldig kunnskap.
Videre uttales det at hva som er vitenskapelig metodikk er både fagspesifikt og noe som utvikler seg over tid. Begrepet må altså tolkes vidt. Det fremgår videre at det må gjøres noen avgrensninger mot aktiviteter som ikke er systematiske og mot aktiviteter som ikke tar sikte på å fremskaffe generaliserbare funn. Den Nasjonale forskningsetiske komite for medisin og helsefag (NEM) har i rapporten "En vurdering og presisering av helseforskninglovens formål og virkeområde"[1], gjort en vurdering av denne uttalelsen i forarbeidene. Det fremgår her:
"Lovgiver kan ikke ha tenkt på kvalitative forskningsprosjekter når det i Prp. 74 heter at (..) aktiviteter som ikke tar sikte på å fremskaffe generaliserbare funn ikke er naturlig å betegne som forskning.
En slik tolkning vil ikke anerkjenne kvalitative prosjekter som forskning, noe som neppe er intensjonen fra lovgivers side. I Institutt for offentlig retts skriftserie nr. 6/2010 påpekes det at kvalitative forskningsprosjekt også må omfattes av loven (Sletnes et.al s.21-22).
NEM har i Veileder for forskningsetisk vurdering av kvalitative forskningsprosjekt innen medisin og helsefag (forskningsetikk.no) redegjort for at grunnlagsprinsippene for kvalitative forskningsmetoder ikke atskiller seg fra velkjente vitenskapelige premisser som; systematisk og refleksiv kunnskapsutvikling der prosessen er tilgjengelig for innsyn og utfordring, og resultatene deles med andre.
NEMs veiledning samsvarer med ordlyden i første del av sitatet over hvor begrepet benyttes for å skille mot aktiviteter som ikke går systematisk til verks (..) Ot.prp.74 (2006-2007).
Kvalitative prosjekter bør derfor vurderes etter like gyldige kriterier, tilpasset det enkelte prosjekts valg av kvalitativ metode. Det avgjørende vil også her være om formålet med studien er å bringe ny kunnskap om sykdom og helse."
Vitenskapelig metode og kunstig intelligens
Den nasjonale forskningsetiske komité for medisin og helsefag (forkortet NEM) har behandlet spørsmålet om et prosjekt som skal utvikle nye metoder for bruk av naturlig språkprosessering (NLP) i pasientjournaler, er vitenskapelig forskning. Prosjektet inngikk i en av arbeidspakkene i forskningsprosjektet BigMed, kalt "Språkteknologi mot hjertedød, sepsis"[5].
Den regionale etiske komiteen (forkortet REK) hadde kommet til at prosjektet ikke var helseforskning etter helseforskningsloven. Videre hadde REK kommet til at det falt utenfor deres mandat å gi dispensasjon fra taushetsplikten for utlevering av helseopplysninger til forskningsprosjekter som er vitenskapelig forskning, men ikke helseforskning. REK mente at prosjektet hadde likheter med helseregistre, og at det derfor ikke var forskning. REK pekte også på at REK ikke har den nødvendige kompetansen til å vurdere prosjekter som omhandler dataverktøy, programvarer, KI-forskning eller lignende.
NEM kom til at prosjektet var forskningsbasert metodeutvikling fordi det var åpent og hypotesegenererende, og dermed hadde likhetstrekk med grunnforskning. NEMs konklusjon var at prosjektet var forskning, men ikke helseforskning. Dermed mente NEM at REK kunne behandle søknad om dispensasjon fra taushetsplikt etter helsepersonelloven § 29, som gir REK adgang til å vurdere dispensasjon fra taushetsplikten for såkalt annen forskning.
Momenter som taler for at prosjektet er vitenskapelig forskning
Du må gjøre en helhetlig vurdering av prosjektet for å avgjøre om prosjektet er vitenskapelig forskning. Det betyr at alle relevante momenter må inngå i vurderingen.
Følgende forhold kan tale for at prosjektet er vitenskapelig forsking:
- Skal prosjektet drive med metodeutvikling?
- Har prosjektet en målsetning om å komme frem til ett konkret produkt, eller er prosjektet hypotesedrevet?
- Er det utarbeidet problemstillinger som prosjektet skal gi svar på?
- Foreligger det en vitenskapelig utformet prosjektplan med angivelse av prosjektets formål, begrunnelse, materiale, metoder samt sannsynliggjøring av at valgt studiedesign kan gi svar på forskningsspørsmålene?
- Kan prosjektet begrunne hvorfor valgte data og metode er egnet til å besvare problemstillingene i prosjektet? Vi anbefaler at du dokumenterer vurderingen som gjøres. Vurderingen bør arkiveres sammen med øvrig prosjektdokumentasjon.
Dersom du kommer til at prosjektet er vitenskapelig forskning, bør du vurdere om prosjektet oppfyller vilkårene for helseforskning.
[1] Fortalen punkt 159.
[2] Research and development - OECD
[3] Kunstig intelligens og personvern" (2018), side 16
[4] Ot. prp. nr. 74 (2006-2007) s. 38.
[5] NEMs sak 2019/190.
Helseforskning
Sist faglig oppdatert: 16.03.2022
Utviklingsprosjekter kan være helseforskning
I forarbeidene til helseforskningsloven er det uttalt at loven som utgangspunkt omfatter utviklingsarbeid når det er "systematisk virksomhet som anvender eksisterende kunnskap fra forskning og praktisk erfaring som er rettet mot å utvikle nye eller forbedrede produkter, prosesser, systemer og tjenester og som det er naturlig å karakterisere som forskning."[1] Dermed kan utvikling av kunstig intelligens være helseforskning, noe også NEM har uttalt.
"Ny kunnskap" om sykdom og helse
I forarbeidene til helseforskningsloven står det at begrepene "sykdom og helse" må tolkes vidt. Som avgrensning er det vist til eksempelet "antropologisk forskning om kulturelle forestillinger om sykdom"[2]. Det avgjørende er om prosjektets hovedformål er ny kunnskap om helse eller sykdom. Det er altså ikke helseforskning dersom prosjektet skal undersøke forhold rundt sykdom og helse.
Når det gjelder utvikling av kunstig intelligens, er det avgjørende om selve treningen av algoritmen og utviklingsprosessen kan gi ny kunnskap om helse og sykdom, og om det er det som er hovedformålet med utviklingen.
Ovenfor i kapittel 3.1.2 omtaler vi en sak om utvikling av kunstig intelligens som NEM har behandlet. NEM konkluderte med at prosjektet var forskning, men ikke helseforskning. Samtidig uttalte NEM at prosjektet "ligger i gråsonen for helseforskningslovens virkeområde"[3]. NEM la vekt på at prosjektet "neppe [vil] fremskaffe ny kunnskap om sykdom eller helse direkte". NEM vurderte at ny kunnskap vil ligge noe frem i tid. Dette betyr at tilfeldig ny kunnskap om helse og sykdom, eller at ny kunnskap kan frembringes etter at utviklingsløpet er ferdig, ikke er tilstrekkelig til å oppfylle vilkårene for helseforskning.
Det er ikke alltid like enkelt å vurdere om treningen av algoritmen, altså selve utviklingen, vil skaffe til veie ny kunnskap om sykdom og helse. NEM uttalte i vedtaket at det er nødvendig med en "grundig vurdering av hvor skillet går for forskning om utvikling av KI."
Helsedirektoratet ønsker å bidra til å tydeliggjøre skillet, og vi har derfor utarbeidet en liste over momenter som kan inngå i vurderingen:
- Det må legges avgjørende vekt på formålet med å utvikle det aktuelle systemet. Dersom systemet skal utvikles utelukkende for kommersielle formål, mener vi at det ikke vil være helseforskning. Slike utviklingsprosjekter er produktutvikling.
- Dersom forskningsprosjektet ikke direkte vil kunne gi ny kunnskap om helse og sykdom, er det ikke helseforskning. Tilfeldige funn om helse og sykdom er som hovedregel ikke tilstrekkelig til å anse prosjektet som helseforskning.
- Dersom prosjektet skal teste ut nye metoder eller hypoteser for å finne ny kunnskap om sykdom og helse, taler det for at prosjektet er helseforskning.
- Hvis prosjektet skal trene en algoritme for å teste ut en hypotese om at kunstig intelligens er egnet som ledd i helsehjelpen, tilsier det at prosjektet er helseforskning. Det samme gjelder dersom systemet som utvikles skal inngå i senere forskningsprosjekter.
- Dersom behandlingen av helseopplysninger i utviklingsprosjektet vil medføre stor risiko for de registrertes grunnleggende rettigheter og friheter, kan det være et moment som taler for at prosjektet bør vurderes av REK. Risikoen kan for eksempel avdekkes gjennom en personvernkonsekvensvurdering (DPIA).
Det er ikke mulig for Helsedirektoratet å gi en uttømmende liste eller redegjørelse for hvilke typer utviklingsprosjekter som vil oppfylle kravene til helseforskning. Det er dels fordi området utvikler seg raskt, og dels fordi det krever teknologisk kompetanse å vurdere prosjektene. Vi vil utvide momentlisten etter hvert som vi opparbeider oss mer kunnskap.
Dersom prosjektleder er i tvil om prosjektet er omfattet av helseforskningsloven, kan hun eller han be REK om en fremleggelsesvurdering.
[1] Ot. prp. nr. 74 (2006-2007) s. 37-38.
[2] Ot. prp. nr. 74 (2006-2007) s. 38.
[3] NEMs sak 2019/190.
Utvikling og bruk av klinisk beslutningsstøtteverktøy
Sist faglig oppdatert: 16.03.2022
Utvikling og bruk av klinisk beslutningsstøtteverktøy
Utvikling og bruk av beslutningsstøtteverktøy i klinikk er nå inntatt i helsepersonelloven § 29 som et eget formål som kan gi grunnlag for dispensasjon fra taushetsplikten.
Klinisk beslutningsstøtteverktøy inkluderer både utvikling, herunder utprøving, og innføring av slike verktøy i klinikk. Innføring er ment å omfatte både selve prosessen med å rulle ut et verktøy i tjenesten, og også en viss periode etter at verktøyet tas i bruk. Dette innebærer at bestemmelsen er ment å legge opp til at det kan gis relativt langvarige dispensasjoner knyttet til innføring av et beslutningsstøtteverktøy i helse- og omsorgstjenesten
I forarbeidene til helsepersonelloven § 29 uttales det at begrepet «beslutningsstøtteverktøy» er et vidt begrep og omfatter i utgangspunktet alle typer kunnskapsbaserte hjelpemidler eller støttesystemer, som kan gi råd og støtte, og veilede helsepersonell ved ytelse av helsehjelp. Det omfatter utvikling og bruk av systemer som bygger på kunstig intelligens og systemer som bygger på maskinlæring. I begrepet «klinisk» ligger det at formålet med utviklingen av verktøyet skal være ytelse av helsehjelp og praktisk medisin. Det fremgår videre at bestemmelsen ikke omfatter bruk av helseopplysninger til merkantile eller rent kommersielle formål.
Beslutningsverktøy basert på maskinlæring kan utvikle seg etter hvert som verktøyet analyserer og får tilgang til flere helseopplysninger. Dette innebærer at verktøyet ikke bare vil ha behov for å lære av helseopplysninger som er lagret i for eksempel en pasientjournal på tidspunktet hvor det søkes om en dispensasjon fra taushetsplikten, men at verktøyet også vil ha behov for opplysninger som først vil bli lagret på et senere tidspunkt.
Utvikling av KI-modeller uten helse- og personopplysninger
Sist faglig oppdatert: 16.03.2022
Prosjekter som utvikler modeller uten bruk av helse- og personopplysninger, skal ikke søke om forhåndsgodkjenning fra REK eller dispensasjon fra taushetsplikten. Dette gjelder prosjekter som bruker data som er reelt anonyme eller bruker syntetiske data.
KI-modeller som skal brukes som ledd i helsehjelp kan være medisinsk utstyr og må da oppfylle regelverket for medisinsk utstyr. Dette beror på en konkret vurdering av regelverket for medisinsk utstyr. Se om dette under pkt. 4.5.
Kvalitetsforbedring
Sist faglig oppdatert: 16.03.2022
Hva som er kvalitetsforbedring, er ikke definert i lovgivningen. I den nå opphevede helsepersonelloven § 29b, ble begrepet kvalitetssikring benyttet. Vi legger til grunn at begrepet kvalitetsforbedring er ment å ha samme betydning.
I forarbeidene til helsepersonelloven defineres[1] kvalitetssikring som prosjekter, undersøkelser, evalueringer ol. som har som formål å kontrollere at diagnostikk og behandling faktisk gir de intenderte resultater. Validering av et KI-produkt i helseinstitusjon, jf. definisjonen under pkt. 2, faller inn under begrepet kvalitetsforbedring. Validering hos produsent, jf. definisjonen under pkt. 2, anses ikke som kvalitetsforbedring.
Validering i helseinstitusjon kan være der man ønsker å teste ut et ferdig utviklet produkt som er sluppet på markedet, for å være sikre på at produktet gir like bra eller bedre resultater enn eksisterende metoder som er i bruk, eller for å teste at produktet virker like godt på egne data som på dataene produktet er utviklet på. Hensikten er ikke å trene eller forbedre produktet. Det må skilles mellom kvalitetsforbedring, som skjer internt i en virksomhet, med helseopplysninger fra virksomhetens behandlingsrettede helseregister, og kvalitetsforbedring som skjer på tvers av virksomheter, med helseopplysninger fra ulike virksomheters behandlingsrettede helseregister eller andre helseregistre.
Dersom det er snakk om kvalitetsforbedring internt i en virksomhet åpner helsepersonelloven § 26 første ledd for å videreformidle opplysninger til konkret angitte formål internt i virksomheten uten hinder av taushetsplikten.
Dersom det er snakk om kvalitetsforbedring på tvers av virksomheter må det søkes Helsedirektoratet om dispensasjon fra taushetsplikten, jf. helsepersonelloven § 29. Helsedirektoratet har tidligere gitt dispensasjon for bruk av godkjente kliniske beslutningsstøttesystemer som innebærer bruk av KI. Formålet er da kvalitetssikring av helsetjenesten. Verken forskning eller kvalitetssikring er entydige begrep, og det kan derfor i konkrete saker være vanskelig å avgjøre om et prosjekt er forskning eller kvalitetssikring. Hovedsaken er imidlertid at det er avgjørende å vurdere om prosjektet er helseforskning fordi da vil særlige regler gjelde, se pkt. 3.2.
[1] Prop. 23 L (2009-2010).
Planlegg for kommersialisering
Sist faglig oppdatert: 16.03.2022
Forskere har opplevd problemer når KI-modeller som er utviklet i forskningsprosjekter skal tas i bruk i helsetjenesten. Noen av utfordringene har vært knyttet til uklarheter i regelverket for taushetsplikt, mens andre problemer kan oppstå dersom man ikke har planlagt for å oppfylle kravene i regelverket for medisinsk utstyr.
For det første er det viktig at krav om rettslige grunnlaget for å behandle personopplysningene også gjelder etter at prosjektet er avsluttet, dersom den ferdige utviklede kunstig-intelligens-modellen fremdeles inneholder person- og helseopplysninger. For det andre bør man tidlig i planleggingsfasen vurdere om regelverket for medisinsk utstyr kommer til anvendelse, slik at man kan planlegge hvordan regelverket skal etterleves når/dersom man skal ta kunstig-intelligens-modellen fra forskning til kommersialisering. Det gjelder for eksempel reglene for klinisk utprøving. Vi viser til Direktoratet for medisinske produkter for veiledning om medisinsk utstyr.
Viktige begreper
Sist faglig oppdatert: 16.03.2022
Personopplysninger er enhver opplysning om en identifisert eller identifiserbar fysisk person, jf. personvernforordningen (GDPR) art. 4 nr. 1. En identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet.
Anonyme opplysninger er opplysninger som ikke kan knyttes til en identifiserbar fysisk enkeltperson, eller som er anonymisert på en slik måte at en personopplysning ikke lenger kan knyttes til en fysisk enkeltperson, se fortalen til personvernforordningen punkt 26. Når du utvikler kunstig intelligens må du være oppmerksom på at algoritmer kan sammenstille og analysere anonyme opplysninger på måter som gjør at fysiske enkeltpersoner likevel kan identifiseres. Da vil ikke opplysningene lenger være anonyme.
Helseopplysninger er personopplysninger som gir informasjon om en persons fysiske eller psykiske helse, herunder ytelse av helsetjenester, jf. personvernforordningen art. Personvernforordningen art. 4 nr. 15.
Behandling av helse- og personopplysninger omfatter enhver operasjon eller rekke av operasjoner som gjøres med helse- og personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring, jf. personvernforordningen art. 4 nr. 2. Dette betyr at bruk av person- og helseopplysninger for utvikling av kunstig intelligens, for eksempel innsamling og trening av algoritmer, er behandling av person- og helseopplysninger.
Kunstig intelligens blir ofte brukt som en samlebetegnelse for ulike typer maskinlæring, men det finnes ingen omforent forståelse av begrepet. I dette rundskrivet legger vi til grunn en vid forståelse av begrepet.
Maskinlæring bruker matematiske og statistiske metoder for å lage algoritmer som er basert på analyse av data. Treningen av et system kan skje ved veiledet læring, ikke-veiledet læring eller forsterket læring
KI-modell er et samlebegrep på resultatet av maskinlæring. Modellen analyserer nye data og gir en klassifisering, predikasjon eller grad av sannsynlighet.
Medisinsk utstyr er ethvert instrument, apparat, utstyr, programvare, implantat, reagens, materiale eller annen gjenstand som ifølge produsenten er beregnet på å bli brukt, alene eller i kombinasjon, på mennesker med henblikk på ett eller flere av følgende spesifikke medisinske formål:
- diagnostisering, forebygging, overvåking, prediksjon, prognostisering, behandling eller lindring av sykdom
- diagnostisering, overvåking, behandling, lindring av eller kompensasjon for skade eller funksjonshemning
- undersøkelse, utskifting eller endring av anatomien eller av en fysiologisk eller patologisk prosess eller tilstand
- for å frambringe informasjon ved hjelp av in vitro-undersøkelse av prøvemateriale fra menneskekroppen, herunder organ-, blod- og vevdonasjoner
Også der den ønskede hovedvirkningen i eller på menneskekroppen ikke framkalles ved en farmakologisk, immunologisk eller metabolsk virkning, men der slike virkninger kan bidra til dets funksjon.
Følgende produkter skal også anses som medisinsk utstyr:
- utstyr til svangerskapsforebygging eller befruktningsassistanse
- produkter som særlig er beregnet på rengjøring, desinfisering eller sterilisering av medisinsk utstyr
Klinisk beslutningsstøtteverktøy er alle typer hjelpemidler som kan hjelpe et menneske til å ta en beslutning, som for eksempel kunnskapsoppsummeringer som bidrar til at helsehjelp kan baseres på kunnskapsbasert grunnlag. Det omfatter ikke verktøy som i hovedsak har et merkantilt formål eller rent administrative oppgaver etc. Det er et teknologinøytralt begrep.
Validering brukes både på validering av KI-produkt som skjer hos produsent og validering av KI-produkt som skjer i helseinstitusjon. Validering av produsent innebærer å bevise at utstyret oppfyller krav for en bestemt tiltenkt bruk som definert av produsenten. Validering i helseinstitusjonen, innebærer å finne ut hvorvidt utstyret er egnet for aktuell pasientgruppe/til bruk i den aktuelle helseinstitusjonen.
Klinisk utprøving er enhver systematisk utprøving som omfatter en eller flere forsøkspersoner, og som gjennomføres for å vurdere et utstyrs sikkerhet eller ytelse.
Regler for de ulike prosjekttypene
Personvernforordningen gjelder for alle prosjekttypene
Sist faglig oppdatert: 16.03.2022
Reglene i personopplysningsloven og personvernforordningen må følges når man utvikler kunstig intelligens hvor algoritmer trenes på person- og helseopplysninger. Det gjelder uavhengig av prosjekttype.
Personvernforordningen har blant annet krav om:
- rettslig grunnlag for å behandle person- og helseopplysninger
- dataminimering
- at man skal legge til rette for at de registrerte kan ivareta sine rettigheter
- risikovurdering
- innebygd personvern
- personvernkonsekvensvurdering (DPIA)
Vi viser til Datatilsynet for veiledning om GDPR. Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren (Normen) har også både krav og omfattende veiledning på området.
Se mer på www.normen.no
Forskningsetikkloven gjelder for all forskning i Norge
Sist faglig oppdatert: 16.03.2022
Formålet med forskningsetikkloven er at forskningen skal foregå etter anerkjente forskningsetiske normer.[1] Det er viktig både for kvaliteten på forskningen og for allmennhetens tillit til den.
Forskningsetikkloven gir regler for hvordan forskningsetisk arbeid skal organiseres og hvem som har ansvar. Innholdet i forskningsetikken, altså hva som er god vitenskapelig praksis, reguleres ikke. Dette ligger det til forskersamfunnet selv å avklare.
Loven slår fast den enkelte forsker og forskningsinstitusjons ansvar for å sikre at all forskning skjer i henhold til anerkjente forskningsetiske normer.
[1] Lov om organisering av forskningsetisk arbeid (forskningsetikkloven) av 28. april 2017 nr. 23
Reglene for helseforskning
Sist faglig oppdatert: 16.03.2022
Helseforskning på mennesker, humant biologisk materiale eller helseopplysninger er regulert i helseforskningsloven. Slik forskning omfatter også pilotstudier og utprøvende behandling. Dette følger av helseforskningsloven § 2.
Hovedregelen er at behandling av helseopplysninger i helseforskning krever forhåndsgodkjenning fra den regionale komiteen for medisinsk og helsefaglig forskningsetikk (REK). Dette følger av helseforskningsloven § 33.
Du må gi en grundige redegjørelser for prosjektets formål, hvilke person- og helseopplysninger som skal brukes, konsekvensene for de registrertes rett til personvern og avhjelpende tiltak, hvorfor du mener prosjektet er helseforskning og prosjektets samfunnsnytte.
Dersom du skal innhente person- og helseopplysninger, vil du kunne måtte forholde deg til reglene i helselovgivningen, som for eksempel helsepersonelloven, helseregisterloven og forskrift om medisinske kvalitetsregistre. Helseopplysninger er underlagt reglene om taushetsplikt i helselovgivningen. Det må derfor foreligge et unntak fra denne plikten dersom du skal få tilgang til helseopplysninger.
Dersom du skal innhente helseopplysninger fra pasientjournal eller andre behandlingsrettede helseregistre, må du enten innhente samtykke fra den enkelte registrerte, jf. helsepersonelloven § 22 eller søke REK om dispensasjon fra taushetsplikten, jf. helsepersonelloven § 29.
Helsepersonelloven § 29 gjelder tilgjengeliggjøring av opplysninger fra pasientjournal eller andre behandlingsrettede helseregistre, til blant annet forskning.
Dersom du skal innhente helseopplysninger fra helseregistre må du enten innhente samtykke fra den enkelte registrerte, jf. helseregisterloven § 19a eller søke REK om dispensasjon fra taushetsplikten, jf. helseregisterloven § 19e.
Dersom du skal innhente indirekte identifiserbare helseopplysninger i registre som er etablert med hjemmel i helseregisterloven § 11, kan du søke den dataansvarlige for registeret om å få opplysningene tilgjengeliggjort jf. helseregisterloven § 19b.
Er det gitt samtykke, gitt tilgang til indirekte identifiserbare helseopplysninger eller gitt dispensasjon fra taushetsplikten, vil den dataansvarlige ha adgang og supplerende rettsgrunnlag i nasjonal rett, til å tilgjengeliggjøre opplysningene. Videre vil du som mottakeren ha rettslig grunnlag for behandlingen.
Reglene for annen forskning
Sist faglig oppdatert: 16.03.2022
Dersom prosjektet ditt er annen forskning som ikke er helseforskning, er det i utgangspunktet GDPR og personopplysningsloven som regulerer forskningsprosjektet ditt Det er ikke krav om etiske forhåndsgodkjenning fra REK, men utvikling av system med kunstig intelligens som skal brukes i helsetjenesten må være etisk forsvarlig.
Avhengig av hvilke kilder du skal innhente person- og helseopplysninger fra, vil du kunne måtte forholde deg til reglene i helselovgivningen, som for eksempel helsepersonelloven, helseregisterloven og forskrift om medisinske kvalitetsregistre. Se pkt. 4.2 for omtale av reglene for taushetsplikt, samtykke og dispensasjon. Disse vil gjelde tilsvarende for annen forskning.
Reglene for utvikling og bruk av klinisk beslutningsstøtteverktøy
Sist faglig oppdatert: 16.03.2022
Helsepersonelloven § 29 gir nå adgang til å gi dispensasjon fra taushetsplikten for å tilgjengeliggjøre helseopplysninger fra pasientjournal eller andre behandlingsrettede helseregistre, til å utvikle beslutningsstøtteverktøy basert på kunstig intelligens, og til å ta slike verktøy i bruk i klinikk. Helsedirektoratet er delegert dispensasjonsmyndighet for dette formålet. En dispensasjon fra taushetsplikten til dette formålet vil både gjøre unntak fra taushetsplikten og gi behandlingsgrunnlag for den videre behandling av opplysningene.
Dersom du skal innhente helseopplysninger fra pasientjournal eller andre behandlingsrettede helseregistre for utvikling og bruk av klinisk beslutningsstøtteverktøy i klinikk, kan du alternativt innhente samtykke fra den enkelte registrerte, jf. helsepersonelloven § 22.
Ved søknad om dispensasjon fra taushetsplikten til formålet utvikling og bruk av klinisk beslutningsstøtteverktøy må du gi grundig redegjørelse for prosjektets formål, hvilke person- og helseopplysninger som skal brukes og konsekvensene for de registrertes rett til personvern. Du må også gjøre rede for hvilke egnede tekniske og organisatoriske tiltak som skal settes i verk for å ivareta informasjonssikkerheten. Det vil være en forutsetning for å få dispensasjon at behandlingen av opplysningene er av vesentlig interesse for samfunnet.
Helsepersonelloven § 29 åpner for dispensasjoner som omfatter opplysninger som går inn i et maskinlærende beslutningsstøtteverktøy, herunder kan det gis dispensasjon til å løpende få tilgjengeliggjort opplysninger som omfattes av dispensasjonen. Det vil også kunne søkes om dispensasjon om flere eller periodiske utleveringer av opplysninger, i tillegg til relativt langvarige dispensasjoner. Det vil også kunne søkes om dispensasjon for «prosesstøttende» systemer.
En dispensasjonssøknad etter bestemmelsen må på en tydelig måte redegjøre for databehovene i de ulike fasene av verktøyets utvikling og videre bruk.
Ved bruk av beslutningsstøtte basert på kunstig intelligens er det også andre hensyn enn taushetsplikten som må ivaretas. Forsvarlighetskravet er et grunnleggende og overordnet prinsipp innen norsk helserett og innebærer at all helsehjelp som ytes skal være faglig forsvarlig, jf. helsepersonelloven § 4, spesialisthelsetjenesteloven § 2-2 og helse- og omsorgstjenesteloven § 4-1.
Dersom beslutningsstøtteverktøy utvikles som del av et forskningsprosjekt som følger vitenskapelig metode, gjelder reglene for forskning som omtalt under pkt. 4.2 og pkt. 4.3.
Reglene for medisinsk utstyr
Sist faglig oppdatert: 16.03.2022
KI-modeller som skal utvikles og brukes som ledd i helsehjelp kan falle inn under definisjonen av et medisinsk utstyr, og må derfor oppfylle kravene i regelverket for medisinsk utstyr. Dette vil kunne gjelde uansett prosjekttype. Du finner veiledning om medisinsk utstyr på hjemmesiden til Direktoratet for medisinske produkter (DMP).
Alle som utvikler eller planlegger å utvikle medisinsk utstyr må sette seg inn i reglene nedenfor.
Prinsippene i regelverket om medisinsk utstyr
Hovedprinsippet i regelverket for medisinsk utstyr er at produsenten er juridisk ansvarlig for at medisinsk utstyr er sikkert, effektivt og trygt. Utstyr som oppfyller sikkerhetskravene påføres CE-merke og kan fritt omsettes på EØS-markedet. Medisinsk utstyr skal ikke godkjennes av nasjonale myndigheter før omsetning.
Medisinsk utstyr kan kun omsettes, distribueres eller tas i bruk når utstyret oppfyller de grunnleggende kravene til sikkerhet og ytelse, er samsvarsvurdert, samsvarserklært, CE-merket og det følger med norsk bruksanvisning.
Legemiddelverkets ansvar
DMP er fag- og tilsynsmyndighet for produktregelverket for medisinsk utstyr, men ikke for anskaffelse av medisinsk utstyr eller for bruk i helsetjenesten. DMP veileder og fører tilsyn med produsenter, distributører, importører, autoriserte representanter og meldt organ (tekniske kontrollorgan).
DMPs veiledningsplikt omfatter blant annet krav til klinisk utprøving/ytelsesstudier, samsvarsvurdering, klassifisering, merking, informasjon og reklame. DMP veileder også om registrering, melding om hendelser og korrigerende tiltak, samt sporbarhet av medisinsk utstyr (produktregelverket).
Veiledningen gis i tråd med veiledningsplikten i forvaltningsloven, men DMP veileder ikke om detaljene i teknologien eller hvordan spesifikt legge opp den kliniske utprøvingen. En del av den inngående kompetansen om teknologien ligger for medisinsk utstyr hos meldt organ (teknisk kontrollorgan).
Rettskildene
Nytt felles EU-regelverk om medisinsk utstyr er vedtatt og gjelder fra 26. mai 2021. De tre EU-direktivene om medisinsk utstyr er erstattet av to forordninger: Forordning (EU) nr. 2017/745 om medisinsk utstyr (MDR) og (EU) nr. 2017/746 om in vitro-diagnostisk medisinsk utstyr (IVDR).
Forordningene er tatt inn i EØS-avtalen og gjennomført i norsk rett. MDR gjaldt fra 26. mai 2021 og opphever direktiv 93/42/EØF om øvrig medisinsk utstyr og direktiv 90/385/EØF om aktivt implanterbart medisinsk utstyr med visse unntak. IVDR gjelder fra 26. mai 2022. Direktiv 98/79/EF om in vitro-diagnostisk medisinsk utstyr er gyldig frem til 26. mai 2022.
Lov 7. mai 2020 nr. 37 om medisinsk utstyr gjennomfører MDR og IVDR i norsk rett. MDR gjennomføres i § 1 første ledd med ikrafttredelse 26. mai 2021. Loven vil fra 26. mai 2022 også gjelde for IVDR.
Les mer om forordningene og endringene de medfører (dmp.no)
Produsentens ansvar
Produsenter av utstyr basert på kunstig intelligens vil måtte vurdere om utstyret faller inn under definisjonen av medisinsk utstyr. Medisinsk utstyr er alt utstyr som fra produsentens side er ment å skulle anvendes på mennesker i den hensikt å diagnostisere, forebygge, overvåke, behandle eller lindre sykdom, skade eller handikap. Også visse svangerskapsforebyggende midler, samt hjelpemidler til funksjonshemmede faller inn under definisjonen.
Produkter basert på kunstig intelligens kan være medisinsk utstyr eller falle helt utenfor definisjonen av medisinsk utstyr og omfattes av et annet produktregelverk. Programvare som brukes i kunstig intelligens kan være medisinsk utstyr dersom utstyret har et tiltenkt medisinsk formål og faller inn under definisjonen av medisinsk utstyr i regelverket.
Det er helt sentralt at produsenter/aktører vurderer sitt utstyr opp mot definisjonen i MDR artikkel 2 nr. 1 og om utstyret som skal plasseres på markedet har et medisinsk formål.[2]
EU-veileder om programvare – medisinsk utstyr eller ikke?
Et sentralt veiledningsdokument er MDCG 2019-11 (Guidance on Qualification and Classification of Software in Regulation (EU) 2017/745 – MDR and Regulation (EU) 2017/746 – IVDR).[3]
Veilederen, som først og fremst retter seg mot produsenter av medisinsk programvare, definerer kriteriene for kvalifisering og klassifisering av programvare som medisinsk utstyr.
Etter EU-veilederen må programvare ha et medisinsk formål for å være kvalifisert som «medical device software – MDSW». Med Medical Device Software menes:
“Software that is intended to be used, alone or in combination, for a purpose as specified in the definition of a “medical device” in the Medical Devices Regulation (MDR)”.
Det stilles en rekke kriterier som må være oppfylt for at et produkt kan betraktes som MDSW:
- Er utstyret en programvare som følger definisjonen i EUs veileder om software?[4]
- Er utstyret et vedlegg XVI-produkt[5], et tilbehør til et medisinsk utstyr[6] eller et utstyr som kjører eller påvirker bruk av et medisinsk utstyr (hardware)[7]?
- Utfører programvaren en annen handling på data enn lagring, arkivering, kommunikasjon eller enkelt søk?
- Er handlingen til fordel for en individuell pasient?[8]
- Er programvaren et MDSW i henhold til definisjonen i EU veiledningen?
Det gjøres oppmerksom på at et utstyr som ikke faller inn under definisjonen til MDSW likevel kan være et medisinsk utstyr.
Klinisk utprøving
Det er viktig å være oppmerksom på at med det nye regelverket for medisinsk utstyr innføres flere nye krav til klinisk utprøving[9], inkludert hvilke utprøvinger og studier som underlegges krav i regelverket. Kravene er tydeligere og har større omfang. Klinisk utprøving er ikke bare større bekreftende studier, men det kan også være utprøving i tidlig fase, som for eksempel gjennomføring av Proof of Concept (PoC).
De generelle kravene til kliniske utprøvinger fremgår av MDR artikkel 62 for utstyr som oppfyller ett av formålene som listes opp bestemmelsen. Krav til utprøvinger som gjennomføres med andre formål enn de opplistede, kan falle inn under MDR artikkel 82 og forskrift om medisinsk utstyr § 18. Med det nye regelverket erstattes dagens ordning med melding om klinisk utprøving til DMP, med en felles søknadsprosedyre til REK og DMP for enkelte søknader. Informasjon om dette vil bli publisert på dmp.no (Direktoratet for medisinske produkter).[10]
Krav til omsetting av medisinsk utstyr
Dersom utstyr faller inn under definisjonen av medisinsk utstyr kan det kun omsettes dersom utstyret oppfyller:
- de grunnleggende kravene i regelverket. Med grunnleggende krav menes blant annet krav til utstyrets sikkerhet, effekt og ytelse og de spesifikke kravene til konstruksjon og produksjon.
- kravene til samsvarsvurdering, herunder at produktet er i samsvar med de grunnleggende kravene i regelverket.
- kravene til CE-merking, herunder en deklarasjon fra produsenten om at produktet tilfredsstiller alle de relevante kravene, og at den påkrevde samsvarsvurdering er gjennomført.
- kravene til opplysninger om sikker og riktig bruk fra produsent, herunder at etiketten og bruksanvisning skal være på norsk.
I tillegg skal produsenten utarbeide en samsvarserklæring som skriftlig erklærer at produktet er i samsvar med regelverket.
[2] De medisinske formålene følger av definisjonen om medisinsk utstyr i lov 7. mai 2020 nr. 37 om medisinsk utstyr jf. forordning (EU) nr. 2017/745 og (EU) nr. 2017/746 om in vitro-diagnostisk medisinsk utstyr (IVDR) artikkel 2.
[4] Programvare er ifølge veilederen «et sett med instruksjoner som prosesserer inndata og konstruerer utdata».
[5] MDR artikkel 1 nummer 2 fastsetter regler om vedlegg XVI utstyr, utstyr som har et estetisk og ikke-medisinsk formål, men like egenskaper og en tilsvarende risikoprofil som medisinsk utstyr.
[6] Tilbehør til medisinsk utstyr er et produkt som i seg selv ikke er medisinsk utstyr, men som ifølge produsenten er beregnet på å bli brukt sammen med en eller flere bestemte typer medisinsk utstyr, for særlig å gjøre det mulig å bruke det medisinske utstyret i samsvar med dets tiltenkte formål eller for særlig og direkte å understøtte det medisinske utstyrets medisinske funksjonalitet i henhold til den tiltenkte bruken av det.
Tilbehør til programvare kan kjøre eller påvirke bruken av et medisinsk utstyr.
[7] Programvare som har som formål å kjøre eller påvirke bruken av maskinvare (hardware) som er medisinsk utstyr og som ikke på egenhånd har et medisinsk formål eller ikke på egenhånd oppretter informasjon for ett eller flere av definisjonene av medisinsk formål som fremgår av medisinsk utstyr. Slik programvare kan, men er ikke begrenset til å operere, redigere tilstanden til eller kontrollere utstyret gjennom et grensesnitt (f.eks. programvare eller maskinvare) eller gjennom operatøren av utstyret, eller supplere utdata i henhold til utstyrets funksjonsmåte.
[8] Eksempler på programvare som ikke anses å være til fordel for individuelle pasienter, er de som bare er ment for å samle befolkningsdata, gi generell diagnostisering eller generelt behandlingsløp (ikke rettet mo individuelle pasienter), vitenskapelig litteratur, medisinske atlas, modeller og maler, samt programvare som kun er ment for epidemiologiske studier eller registre.
[9] Se definisjon i veilederens kapittel 2.
[10] https://www.dmp.no/medisinsk-utstyr/klinisk-utproving-av-medisinsk-utstyr
Reglene for kvalitetsforbedring
Sist faglig oppdatert: 16.03.2022
Dersom prosjektet ditt skal undersøke, evaluere eller kontrollere om KI-produkter som brukes i diagnostikk og behandling faktisk gir de intenderte resultatene, vil det ofte regnes som kvalitetsforbedring. Herunder omfattes også validering av KI-produkt i helsevirksomhet, jf. pkt. 3.5.
I kontrete saker kan det imidlertid være vanskelig å avgjøre om et prosjekt er forskning eller kvalitetsforbedring. Se skisse til anbefaling fra FREK til REK, der skille mellom kvalitetsforbedring og forskning er beskrevet[1].
Kvalitetsforbedring internt i en virksomhet
Dersom det er snakk om kvalitetsforbedring innenfor en enkelt virksomhet og det kun skal innhentes helseopplysninger fra virksomhetens behandlingsrettede helseregister kan det innhentes samtykke fra den enkelte registrerte, jf. helsepersonelloven § 22.
I tillegg åpner helsepersonelloven § 26 første ledd for å videreformidle opplysninger til konkret angitte formål uten hinder av taushetsplikten. Det er kun opplysninger som trengs for å gi helsehjelp eller for internkontroll og kvalitetssikring som kan gis. Av forarbeidene fremgår at det normalt ikke vil være nødvendig å gi opplysninger om pasientens identitet. Dersom dette likevel er aktuelt, kan pasienten motsette seg utleveringen. Det forutsettes en viss aktivitet fra pasientens side. Det innebærer at det ikke er påkrevd å spørre pasienten i det enkelte tilfelle, med mindre man har grunn til å tro at pasienten ville ha innvendinger hvis han/hun ble spurt
Hjemmelen i § 26 forutsetter at formålet med bruken er ledelsesforankret som en del av virksomhetens kvalitetssikring og internkontroll. Med virksomhetens ledelse menes ledelse i helseforetak eller innenfor den enkelte kommune.
Er det gitt samtykke fra den registrerte eller helseopplysningene er videreformidlet i henhold til unntaket i § 26, vil den dataansvarlige ha adgang og supplerende rettsgrunnlag til å tilgjengeliggjøre opplysningene. Videre vil du som mottakeren ha rettslig grunnlag for behandlingen.
Kvalitetsforbedring som omfatter flere virksomheter
Dersom du skal innhente helseopplysninger fra pasientjournal eller andre behandlingsrettede helseregistre, må du enten innhente samtykke fra den enkelte registrerte, jf. helsepersonelloven § 22 eller søke Helsedirektoratet om dispensasjon fra taushetsplikten, jf. helsepersonelloven § 29.
Dersom du skal innhente helseopplysninger fra helseregistre må du enten innhente samtykke fra den enkelte registrerte, jf. helseregisterloven § 19a eller søke Helsedirektoratet om dispensasjon fra taushetsplikten, jf. helseregisterloven § 19e.
Dersom du skal innhente indirekte identifiserbare helseopplysninger i registre som er etablert med hjemmel i helseregisterloven § 11, kan du søke den dataansvarlige for registeret om å få opplysningene tilgjengeliggjort jf. helseregisterloven § 19b.
Er det gitt samtykke fra den registrerte, gitt tilgang til indirekte identifiserbare helseopplysninger eller gitt dispensasjon fra taushetsplikten, vil den dataansvarlige ha adgang og supplerende rettsgrunnlag til å tilgjengeliggjøre opplysningene. Videre vil du som mottakeren ha rettslig grunnlag for behandlingen.