AI-contracten in de gezondheidszorg: voorkomen dat gegevens in de prullenbak belanden
Voor AI-bedrijven in de gezondheidszorg is data alles. Het stimuleert de prestaties van modellen, bevordert productdifferentiatie en kan schaalbaarheid maken of breken. Toch worden datarechten in commerciële overeenkomsten maar al te vaak vaag gedefinieerd of volledig over het hoofd gezien. Dat is een cruciale fout.
Of u nu een contract afsluit met een gezondheidszorgsysteem, integreert in een digitaal gezondheidsplatform of samenwerkt met een zakelijke leverancier, uw datastrategie moet duidelijk en nauwkeurig worden weergegeven in uw contracten. Als dat niet het geval is, kunt u worden uitgesloten van de middelen die u nodig hebt om te groeien, of erger nog, aansprakelijk worden gesteld voor overtredingen van regelgeving die u nooit had verwacht.
Dit artikel schetst drie gebieden waarop bedrijven die zich bezighouden met AI op het gebied van gezondheidszorg volgens ons het grootste risico lopen: opleidingsrechten, herroepings- en bewaartermijnen en gedeelde aansprakelijkheid. Dit zijn niet alleen technische contractuele punten. Ze vormen de basis voor uw waardering, uw nalevingshouding en uw verdedigbaarheid op lange termijn.
1. Opleidingsrechten: definieer ze nauwkeurig
De meeste leveranciers van AI-oplossingen voor de gezondheidszorg willen het recht hebben om klantgegevens te gebruiken om hun modellen te verbeteren of te trainen. Dat is te verwachten. Het probleem is dat veel overeenkomsten vage bewoordingen gebruiken, zoals 'verbetering van diensten' of 'analytische doeleinden', om te beschrijven wat de leverancier daadwerkelijk met de gegevens mag doen. In de context van de gezondheidszorg kan dit juridisch problematisch zijn.
Volgens de HIPAA is voor het gebruik van beschermde gezondheidsinformatie (PHI) voor andere doeleinden dan de behandeling van patiënten door een gedekte entiteit, betaling of gezondheidszorgactiviteiten, over het algemeen toestemming van de patiënt vereist. Als gevolg hiervan vereisen gebruikssituaties zoals modeltraining of productverbetering een sterke argumentatie dat de activiteit kwalificeert als gezondheidszorgactiviteiten van de gedekte entiteit — anders is toestemming van de patiënt vereist. Zelfs zogenaamde "geanonimiseerde" of "geïdentificeerde" gegevens zijn niet altijd veilig als ze niet correct en volledig zijn geïdentificeerd volgens de HIPAA-norm voor identificatie.
Als uw bedrijfsmodel afhankelijk is van het gebruik van klantgegevens voor algemene modeltraining, moet u dat expliciet vermelden in uw contract. Dit houdt in dat u duidelijk moet aangeven of de gegevens identificeerbaar of geanonimiseerd zijn, welke anonimiseringsmethode wordt gebruikt en of de resultaten van die training beperkt blijven tot het model van de specifieke klant of op uw hele platform kunnen worden gebruikt.
Aan de andere kant, als u een model-as-a-service aanbiedt dat is aangepast aan elke klant en niet afhankelijk is van verzamelde trainingsgegevens, moet u dat duidelijk aangeven en ervoor zorgen dat het contract die structuur ondersteunt. Anders loopt u het risico dat er later een geschil ontstaat over hoe gegevens mogen worden gebruikt of dat de resultaten op ongepaste wijze tussen klanten zijn gedeeld.
Het is ook van cruciaal belang om deze bepaling af te stemmen op uw zakelijke samenwerkingsovereenkomst (BAA) als u PHI verwerkt. Een discrepantie tussen de commerciële voorwaarden en de BAA kan leiden tot nalevingsproblemen en rode vlaggen, vooral tijdens due diligence. Onthoud dat in de meeste gevallen, als uw commerciële overeenkomst bepaalt dat u gegevens mag anonimiseren, maar uw BAA zegt dat anonimisering verboden is, de BAA waarschijnlijk de overhand heeft als gevolg van de typische conflictbepaling in de BAA die de BAA bevoordeelt wanneer het om PHI gaat.
2. Opzegging en bewaring: wat gebeurt er als het contract afloopt?
Te veel AI-contracten zwijgen over wat er met gegevens, modellen en outputs gebeurt nadat een contract is beëindigd. Dat zwijgen creëert risico's voor beide partijen.
Vanuit het perspectief van een klant kan het problematisch zijn om een leverancier na beëindiging van de overeenkomst toestemming te geven om de gegevens van de klant te blijven gebruiken voor het trainen van toekomstige modellen. Dit kan zelfs worden gezien als een schending van het vertrouwen. Vanuit het perspectief van de leverancier kan het verlies van rechten op eerder geraadpleegde gegevens of getrainde outputs de productcontinuïteit of toekomstige verkopen verstoren.
Het belangrijkste is om te bepalen of het recht om gegevens of modeloutputs te gebruiken na beëindiging blijft bestaan, en onder welke voorwaarden. Als u na beëindiging de mogelijkheid wilt behouden om gegevens of getrainde modellen te gebruiken, moet dat een uitdrukkelijk, onderhandeld recht zijn. Zo niet, dan moet u bereid zijn om die toegang op te heffen, alle bewaarde gegevens te vernietigen en mogelijk modellen helemaal opnieuw te trainen.
Dit is vooral belangrijk wanneer er derivatenmodellen in het spel zijn. Een veelvoorkomende valkuil is dat de leverancier beweert dat zodra gegevens zijn gebruikt om een model te trainen, het model niet langer gebonden is aan de onderliggende gegevens. Rechtbanken en toezichthouders zijn het daar mogelijk niet mee eens als dat model gevoelige patiëntgegevens blijft weergeven.
Uw overeenkomst moet minimaal drie vragen beantwoorden:
- Kan de leverancier de gegevens die tijdens de looptijd van het contract zijn geraadpleegd, bewaren en blijven gebruiken?
- Blijven er na beëindiging nog rechten op getrainde modellen of outputs bestaan?
- Is er een verplichting om gegevens te vernietigen, te anonimiseren of terug te geven nadat de relatie is beëindigd?
Voor relaties met een hogere waarde kunt u overwegen om te onderhandelen over een licentie die ook na beëindiging van kracht blijft, in combinatie met passende compensatie en geheimhoudingsverplichtingen. In de gezondheidszorg zal deze licentie na beëindiging doorgaans alleen betrekking hebben op geanonimiseerde gegevens. Anders kunt u een clausule opnemen over het teruggeven of vernietigen van gegevens, waarin wordt beschreven hoe en wanneer gegevens moeten worden teruggegeven of vernietigd.
3. Gedeelde aansprakelijkheid: verduidelijking van de verantwoordelijkheid voor schade verderop in de keten
Een van de meest over het hoofd geziene kwesties bij het sluiten van contracten op het gebied van gezondheids-AI is de toewijzing van aansprakelijkheid. Door AI gegenereerde aanbevelingen kunnen van invloed zijn op medische beslissingen, factureringspraktijken en communicatie met patiënten. Als er iets misgaat, rijst de vraag: wie is verantwoordelijk?
AI-leveranciers positioneren zichzelf doorgaans als louter een hulpmiddel voor zorgverleners en proberen aansprakelijkheid voor elk verder gebruik af te wijzen. Zorgverleners verwachten daarentegen steeds vaker dat leveranciers achter hun producten staan. Dit geldt met name als die producten klinische aantekeningen, diagnostische suggesties of andere gereguleerde outputs genereren.
De realiteit is dat beide partijen risico's lopen, en dat moet in uw contract tot uiting komen. Disclaimers zijn belangrijk, maar ze zijn geen vervanging voor een doordachte strategie voor risicospreiding.
Ten eerste moeten leveranciers van hun klanten verlangen dat zij verklaren dat zij beschikken over de juiste machtigingen of toestemmingen krachtens de toepasselijke wetgeving, waaronder HIPAA, de FTC Act en de privacywetgeving van de staat, voor alle verwerking van gegevens door de leverancier zoals bedoeld in de overeenkomst. Het gebruik van klantgegevens voor training en verwerking, of anderszins, moet duidelijk in de overeenkomst worden vermeld. Dit helpt u te beschermen als een klant later beweert dat hij niet op de hoogte was van hoe zijn gegevens werden gebruikt of dat deze onjuist werden gebruikt.
Ten tweede moet u rekening houden met schadevergoedingsbepalingen in verband met misbruik van intellectueel eigendom van derden, schending van de privacy van patiënten of handhavingsmaatregelen van regelgevende instanties. Als uw model bijvoorbeeld gebaseerd is op PHI die niet naar behoren is geautoriseerd of geanonimiseerd volgens de HIPAA, en dat leidt tot een onderzoek door het Office for Civil Rights, dan kunt u in de problemen komen.
Ten derde, denk goed na over beperkingen van aansprakelijkheid. Veel Software as a Service (SaaS)-overeenkomsten hanteren een standaardlimiet die is gekoppeld aan de in de afgelopen 12 maanden betaalde vergoedingen. Dat kan onvoldoende zijn in de context van gezondheids-AI, vooral als het model in een klinische omgeving wordt gebruikt. Een gelaagde limiet op basis van het gebruik (bijvoorbeeld documentatie versus ondersteuning bij klinische beslissingen) is wellicht geschikter.
De afhaalmaaltijd
Gegevensvoorwaarden zijn geen standaardbepalingen in contracten voor AI in de gezondheidszorg. Ze vormen een essentieel onderdeel van uw bedrijfsmodel, uw nalevingsbeleid en uw verdedigbaarheid op de markt. Als u uw rechten met betrekking tot training, intrekking en aansprakelijkheid niet definieert, zal iemand anders dat doen, meestal in een rechtszaak of regelgevende maatregel.
Voor AI-leveranciers moet het doel zijn om vertrouwen op te bouwen door middel van transparantie. Dat betekent duidelijke taal, redelijke beperkingen en verdedigbare use cases. De bedrijven die op dit gebied succesvol zijn, zullen niet alleen goede modellen bouwen, maar ook goede contracten rondom die modellen opstellen.
Als u deze strategie wilt operationaliseren, controleer dan uw vijf belangrijkste contracten van dit kwartaal. Markeer alle vage gegevensrechten, niet-overeenkomende BAA's of hiaten in de beëindigingsclausules. En onderhandel indien nodig opnieuw voordat uw modelprestaties, het vertrouwen van uw klanten of uw juridische blootstelling op de proef worden gesteld.
Voor meer informatie over AI, telegeneeskunde, telezorg, digitale gezondheidszorg en andere innovaties op het gebied van gezondheidszorg, waaronder het team, publicaties en representatieve ervaring, kunt u contact opnemen met Aaron Maguregui ofJennifer Hennessy of een van de partners of senior adviseurs van Foley'sCybersecurity and Data Privacy GroupofHealth Care Practice Group.
