·
Tehisintellekti ohutus tervishoius
Tervishoiu
Tervishoiu IT / CIO
EL-i AI seadus selgitatud: mida tervishoiuorganisatsioonid peavad teadma
Põhjalik juhend EL-i AI seaduse kohta tervishoiuorganisatsioonidele. Mõista riskiklassifikatsioone, vastavuse tähtaegu ning kasutajate ja pakkujate kohustusi

ELi tehisintellekti seadus (määrus (EL) 2024/1689) on esimene terviklik õigusraamistik tehisintellekti reguleerimiseks Euroopa Liidus. Euroopa Parlament võttis selle vastu 2024. aasta märtsis ning see avaldati Euroopa Liidu Teatajas 2024. aasta juulis. Tervishoiuorganisatsioonide jaoks lisab see olemasolevatele raamistikele uue õiguslikult siduva kohustuste kihi. Haiglad, perearstipraksised ja tervishoiutehnoloogia tarnijad, kes tegutsevad ELi turgudel või tarnivad sinna, peavad mõistma, mida seadus nõuab, millal need nõuded kehtivad ja kes vastutab nende täitmise eest.
Mis on ELi tehisintellekti seadus
ELi tehisintellekti seadus loob ühtse õigusraamistiku tehisintellekti süsteemidele, mida kasutatakse kõigis Euroopa Liidu sektorites. Selle eesmärk on tagada, et ELi turule paigutatud või seal kasutatavad tehisintellekti süsteemid oleksid ohutud, läbipaistvad, jälgitavad, mittediskrimineerivad ja inimjärelevalve all. Seadus kehtib mitte ainult ELis asuvatele organisatsioonidele, vaid ka väljaspool ELi asuvatele pakkujatele ja kasutajatele, kelle tehisintellekti süsteemid mõjutavad ELis viibivaid inimesi.
Määrus põhineb riskipõhisel klassifitseerimissüsteemil. Kohustused on skaleeritud vastavalt võimaliku kahju ulatusele, mida tehisintellekti süsteem võib põhjustada. Seadus toob kaasa ka uued juhtimisstruktuurid, sealhulgas Euroopa tehisintellekti büroo, mis tegutseb Euroopa Komisjoni juures ja jälgib üldotstarbeliste tehisintellekti mudelitega seotud eeskirjade täitmist. Üldotstarbeline tehisintellekti mudel on suur mudel, mis on treenitud laiapõhjaliste andmekogumite põhjal ning suudab täita laia valikut ülesandeid.
Millal jõustub ELi tehisintellekti seadus
Seadus jõustus 1. augustil 2024. Kohustusi rakendatakse järkjärgulise ajakava alusel, mitte ühe kindla kuupäevaga. Tervishoiu otsustajad peaksid olema teadlikud järgmistest peamistest verstapostidest:
Veebruar 2025: Kehtima hakkavad keelud vastuvõetamatu riskiga tehisintellekti süsteemidele. Sellest kuupäevast alates kehtib ka tehisintellekti kirjaoskuse nõue kõigile organisatsioonidele, kes kasutavad tehisintellekti. See tähendab, et tehisintellekti süsteemidega töötavatel töötajatel peavad olema piisavad teadmised nende asjakohaseks kasutamiseks.
August 2025: Kohalduma hakkavad üldotstarbelisi tehisintellekti mudeleid reguleerivad eeskirjad, sealhulgas paljude kliiniliste tehisintellekti tööriistade aluseks olevad põhimudelid.
August 2026: Kõrge riskiga tehisintellekti süsteemide põhikohustused, sealhulgas vastavushindamised, tehniline dokumentatsioon ja inimjärelevalve nõuded, muutuvad täielikult kohustuslikuks. See on enamiku tervishoiu tehisintellekti jaoks kriitiline tähtaeg vastavuse tagamiseks.
August 2027: Pikendatud üleminekuperiood kehtib spetsiaalselt tehisintellekti süsteemidele, mida juba reguleeritakse meditsiiniseadmetena meditsiiniseadmete määruse (MDR) või in vitro diagnostika määruse (IVDR) alusel ja mis vajavad teavitatud asutuse hindamist. Neil süsteemidel on täiendav aasta tehisintellekti seaduse artikli 6 lõike 1 nõuete täitmiseks.
Euroopa Komisjon on teinud ettepaneku kohandada kõrge riskiga eeskirjade ajakava Digitaalse Omnibuse algatuse kaudu, mis käsitleb rakendamise väljakutseid, sealhulgas harmoneeritud standardite väljatöötamise viivitusi. Tervishoiuorganisatsioonid peaksid seda protsessi jälgima, kuna see võib mõjutada, millal teatud vastavusdokumentatsiooni nõuded praktikas jõustuvad.
Miks on tervishoid seaduse alusel prioriteetne sektor
Tervishoid on tehisintellekti seaduses selgelt määratletud kõrge riskiga valdkonnana. Kliinilistes tingimustes kasutatavad tehisintellekti süsteemid võivad otseselt mõjutada patsiendi ohutust, juurdepääsu ravile ja põhiõigusi. Tehisintellekti süsteem, mis mõjutab diagnostilist otsust, soovitab raviteed või triažeerib patsiente prognoositava kiireloomulisuse alusel, võib põhjustada olulist kahju, kui see on ebatäpne, kallutatud või kasutatakse ilma piisava inimjärelevalveta.
Euroopa Komisjoni rahvatervise juhised tehisintellekti kohta tervishoius rõhutavad, et meditsiinilistel eesmärkidel mõeldud kõrge riskiga tehisintellekti süsteemid peavad vastama nõuetele riskide leevendamise, andmekvaliteedi, läbipaistvuse ja inimjärelevalve osas. See kajastab laiemat arusaama, et panused tervishoius erinevad põhimõtteliselt selliste sektorite omadest nagu turundus või logistika.
Võrdlev analüüs tehisintellekti juhtimisraamistikest viies jurisdiktsioonis leidis, et tervishoiu tehisintellekti riskiklassifikatsioonid lähenevad rahvusvaheliselt. ELi lähenemine toimib mõjuka mudelina, eriti selles osas, kuidas see eristab otsuseid toetavat tehisintellekti ja tehisintellekti, mis võib autonoomselt mõjutada kliinilisi tulemusi.
Kuidas ELi tehisintellekti seadus klassifitseerib tehisintellekti süsteeme
Seadus jaotab tehisintellekti süsteemid nelja riskikategooriasse, millest igaüks toob kaasa erineva regulatiivse kohustuste taseme.
Vastuvõetamatu risk
Tehisintellekti süsteemid, mis kujutavad endast selget ohtu põhiõigustele või ohutusele, on täielikult keelatud. Näiteks avalike asutuste kasutatavad sotsiaalse hindamise süsteemid ning tehisintellekt, mis kasutab psühholoogilisi haavatavusi ära. Need keelud kehtivad alates 2025. aasta veebruarist.
Kõrge risk
Tehisintellekti süsteemid, mis kujutavad endast olulist ohtu tervisele, ohutusele või põhiõigustele, kuid mille kasutamist võivad õigustada ranged tingimused. Need süsteemid peavad enne kasutuselevõttu vastama ulatuslikele vastavusnõuetele. Tervishoiu tehisintellekt kuulub valdavalt sellesse kategooriasse.
Piiratud risk
Tehisintellekti süsteemid, millel on konkreetsed läbipaistvuskohustused, näiteks vestlusrobotid, mis peavad avalikustama, et nad on tehisintellekt. Paljud patsiendile suunatud digitaalsed tööriistad kuuluvad siia.
Minimaalne risk
Tehisintellekti süsteemid, millele seadus ei sea konkreetseid regulatiivseid nõudeid, näiteks rämpsposti filtrid või videomängudes kasutatav tehisintellekt.
Eraldi kategooria hõlmab üldotstarbelisi tehisintellekti mudeleid. Need suured põhimudelid on paljude kliiniliste keeletööriistade aluseks ning nendele kehtivad oma kohustused sõltumata sellest, millise riskitasemega on nende põhjal loodud rakendus.
Millised tervishoiu tehisintellekti süsteemid klassifitseeritakse kõrge riskiga
Tehisintellekti seaduse III lisa täpsustab kõrge riskiga tehisintellekti süsteemide kategooriad. Tervishoiu jaoks on kõige asjakohasem III lisa punkt 5(a): tehisintellekti süsteemid, mida on kavatsetud kasutada meditsiiniseadmete ohutuskomponentidena või eraldiseisvate tehisintellekti süsteemidena, mis on ise meditsiiniseadmed. Seadus hõlmab tehisintellekti süsteeme, mida kasutatakse:
Diagnoosimine ja kliiniline otsustustugi: sealhulgas tehisintellekti tööriistad, mis aitavad tuvastada haigusi, tõlgendada meditsiinilisi kujutisi või soovitada diagnostilisi lahendusi
Ravisoovitused: tehisintellekti süsteemid, mis soovitavad või prioritiseerivad üksikute patsientide ravivõimalusi
Patsientide triaaž: süsteemid, mis määravad kliinilise prioriteedi või kiireloomulisuse
Patsientide jälgimine: tehisintellekti tööriistad, mis pidevalt hindavad patsiendi seisundit ja märgistavad seisundi halvenemist
Eelretsenseeritud analüüs ajakirjas npj Digital Medicine leidis, et umbes 75 protsenti kommertslikest tehisintellekti toega meditsiiniseadmetest on radioloogias ja kõik peale ühe on MDR alusel klassifitseeritud klassi IIa või kõrgemasse. See tähendab, et enamik kasutusel olevast kliinilisest tehisintellektist kuulub seaduse järgi kõrge riskiga kategooriasse.
Tehisintellekti toega virtuaalsed tervishoiuassistendid ja kliinilised vestlusrobotid on nüansirikkamas positsioonis. Kui nad annavad kliinilist teavet, mis võib mõjutada patsientide otsuseid, võivad nad saada kõrge riskiga klassifikatsiooni. Kui nad toimivad peamiselt suhtlusliidestena, võivad selle asemel kehtida piiratud riskiga läbipaistvuskohustused.
Mida ELi tehisintellekti seadus tähendab tehisintellekti meditsiiniseadmete ja MDR kattumise jaoks
Üks tehisintellekti seaduse keerulisemaid aspekte tervishoiuorganisatsioonide jaoks on selle suhe olemasoleva meditsiiniseadmete regulatsiooniga. Täiendava tausta saamiseks selle kohta, miks tehisintellekti dokumentatsioonitööriistad peavad kuuluma MDR raamistikku, vaadake seda analüüsi. Tehisintellekti süsteemid, mida juba reguleeritakse meditsiiniseadmetena MDR või IVDR alusel, alluvad mõlemale raamistikule korraga.
Reed Smithi õiguslik analüüs kirjeldab seda kui kahekordset vastavusraamistikku. Meditsiiniseadmete tehisintellekti süsteemid, mis on klassifitseeritud MDR klassi IIa, IIb või III või IVDR klassi A kuni D, kvalifitseeruvad üldiselt tehisintellekti seaduse alusel kõrge riskiga süsteemideks. Tehisintellekti seadus lisab seejärel nõudeid andmekvaliteedi, andmete juhtimise, dokumenteerimise, läbipaistvuse, vastutuse ja inimjärelevalve osas, mis lähevad kaugemale sellest, mida MDR nõuab.
Organisatsioonid saavad integreerida tehisintellekti seaduse nõuded olemasolevatesse kvaliteedijuhtimissüsteemi dokumentidesse. Lubatud on üks vastavushindamine, kui teavitatud asutus on akrediteeritud mõlema raamistiku alusel. Tervishoiuorganisatsioonid ei tohiks siiski eeldada, et MDR vastavus on piisav. Hunton Andrews Kurthi briifing rõhutab, et tehisintellekti seadus toob kaasa täiendavaid kohustusi, sealhulgas tõsiste intsidentide teatamise turujärelevalveasutustele 15 päeva jooksul, millel ei ole otsest MDR ekvivalenti.
White & Case'i analüüs märgib lisaks, et tehisintellekti seadus, MDR ja muudetud tootevastutuse direktiiv moodustavad koos regulatiivse kolmnurga, mis suurendab tehisintellekti toega meditsiiniseadmete tootjate vastutust. See on oluline kaalutlus nii hankeotsuste kui ka sisemise vastavuse planeerimise seisukohalt.
Peamised vastavuskohustused kõrge riskiga tehisintellekti jaoks tervishoius
Organisatsioonid, kes kasutavad või tarnivad kõrge riskiga tehisintellekti süsteeme tervishoius, peavad täitma märkimisväärse hulga nõudeid. Seaduse alusel põhikohustused hõlmavad:
Vastavushindamine
Kõrge riskiga tehisintellekti süsteemid peavad läbima vastavushindamise enne turule laskmist või kasutuselevõttu. Tehisintellekti meditsiiniseadmete puhul, mis juba alluvad teavitatud asutuse ülevaatusele MDR alusel, saab selle protsessi integreerida olemasolevasse hindamisteesse.
Tehniline dokumentatsioon
Pakkujad peavad säilitama põhjalikku tehnilist dokumentatsiooni, mis hõlmab süsteemi disaini, arendusmetoodikat, treeningandmete omadusi, jõudlusnäitajaid ja teadaolevaid piiranguid. Seda dokumentatsiooni tuleb hoida ajakohasena kogu süsteemi elutsükli jooksul.
Inimjärelevalve mehhanismid
Kõrge riskiga tehisintellekti süsteemid peavad olema disainitud nii, et need võimaldaksid inimjärelevalvet, sealhulgas võimalust kasutajatel jälgida, mõista ning vajadusel tühistada või peatada süsteemi väljundeid.
Läbipaistvuskohustused
Pakkujad peavad tagama, et kasutajad on teadlikud sellest, et nad suhtlevad tehisintellekti süsteemiga või tuginevad sellele. Kliiniliste tööriistade puhul tähendab see tehisintellekti rolli selget avalikustamist selliste väljundite puhul nagu diagnostilised soovitused või kliiniline dokumentatsioon.
Andmete juhtimine
Treeningu, valideerimise ja testimise andmed peavad vastama kvaliteedistandarditele. Andmed peavad olema asjakohased, esinduslikud ja vabad vigadest, mis võiksid põhjustada diskrimineerivaid või ebaturvalisi väljundeid.
Turujärgne jälgimine
Pakkujad peavad rakendama süsteeme jõudlusandmete kogumiseks ja analüüsimiseks pärast kasutuselevõttu ning teatama tõsistest intsidentidest asjakohasele riiklikule asutusele.
Tehisintellekti kirjaoskus
Alates 2025. aasta veebruarist kehtib kõigile tehisintellekti süsteeme kasutavatele organisatsioonidele kohustus tagada, et nende süsteemidega töötavatel töötajatel on piisavad teadmised nende võimekuse ja piirangute mõistmiseks. HIMSS on märkinud, et see kohustus kehtib kõigil riskitasemetel, mitte ainult kõrge riskiga süsteemide puhul.
npj Digital Medicine'is avaldatud ulatuslik ülevaade, mis sünteesib tõendeid tehisintellekti juhtimisraamistike kohta tervishoiuorganisatsioonides, tõi esile inimjärelevalve, läbipaistvuse ja kasutuselevõtu järgse jälgimise kui kõige järjepidevamalt viidatud tõhusa juhtimise komponendid. Need on tihedalt kooskõlas sellega, mida seadus nüüd nõuab.
Kes vastutab: tehisintellekti pakkujad vs kasutajad
Tehisintellekti seadus teeb selge õigusliku eristuse kahe kohustusliku osapoole vahel.
Pakkujad
Pakkujad on organisatsioonid, kes arendavad tehisintellekti süsteemi, lasevad selle turule või võtavad selle kasutusele oma nime või kaubamärgi all. See hõlmab tehisintellekti tarnijaid, tarkvaraarendajaid ja tervishoiutehnoloogia ettevõtteid.
Kasutajad
Kasutajad on organisatsioonid, kes kasutavad kõrge riskiga tehisintellekti süsteemi oma volituste alusel professionaalses kontekstis. Tervishoius tähendab see haiglaid, perearstipraksiseid, integreeritud hooldussüsteeme ja muid organisatsioone, kes kasutavad kolmanda osapoole tehisintellekti tööriistu kliinilistes või haldusprotsessides.
See eristus on oluline, kuna mõlemad pooled kannavad erinevaid kohustusi. Pakkujad vastutavad selle eest, et nende süsteemid vastavad tehnilistele ja dokumentatsiooninõuetele enne kasutuselevõttu. Kasutajad vastutavad selle eest, et süsteeme kasutatakse asjakohaselt, inimjärelevalve on tagatud ning personal on piisavalt koolitatud.
Diagnostic and Interventional Radiology ajakirja analüüs rõhutab, et kasutajatena tegutsevad tervishoiuorganisatsioonid ei saa lihtsalt tugineda tarnija vastavusele. Nad peavad aktiivselt kontrollima, et nende kasutatavad tehisintellekti süsteemid vastavad seaduse nõuetele ning et sisemised protsessid toetavad nõuetekohast kasutamist.
Oluline nüanss: tervishoiuorganisatsioonid, kes arendavad tehisintellekti tööriistu oma ettevõttesisese kasutuse tarbeks, võivad kvalifitseeruda piiratud erandile, kuid ainult konkreetsete tingimuste täitmisel. Seadus nõuab siiski andmekvaliteedi ja läbipaistvuse standardite järgimist.
Mida inimjärelevalve tegelikult tähendab kliinilises kontekstis
Seaduse inimjärelevalve nõue ei ole lihtsalt formaalsus. See kajastab sisulist põhimõtet: patsiente mõjutavaid olulisi otsuseid ei tohiks täielikult delegeerida automatiseeritud süsteemidele.
Praktikas tähendab sisuline inimjärelevalve kliinilistes tööprotsessides:
Kliiniku ülevaatus tehisintellekti genereeritud kliinilisest dokumentatsioonist enne selle salvestamist patsiendi kaardile, mitte selle aktsepteerimist ilma ülevaatuseta
Radioloog vaatab üle tehisintellekti poolt märgistatud leiu ja teeb sõltumatu kliinilise otsuse enne sellele reageerimist
Triažiõde hindab tehisintellekti genereeritud prioriteedi skoori otsese patsiendi vaatluse kontekstis, mitte käsitledes seda kui lõplikku juhist
Kliinilisel personalil on tehniline võimekus ja organisatsiooniline luba tehisintellekti väljundit tühistada või eirata, kui kliiniline otsus seda õigustab
BMJ Health Care Informatics kommentaar, mis pakub välja riskistratifitseeritud lähenemise suurte keelemudelite juhtimisele kliinilises praktikas, rõhutab, et sisuline järelevalve nõuab mitte ainult tehnilisi mehhanisme, vaid ka organisatsioonikultuuri. Kliinitsistid peavad tundma end volitatuna tehisintellekti väljundeid küsitlema ning juhtimisstruktuurid peavad seda käitumist toetama.
Seadus nõuab, et kõrge riskiga tehisintellekti süsteemid oleksid disainitud järelevalvemehhanismidega, mis on vaikimisi sisse ehitatud, mitte lisatud hiljem. Tervishoiuorganisatsioonid, kes hindavad tehisintellekti tööriistu, peaksid kontrollima, kas toote disain tõeliselt toetab kliiniku ülevaatust või kas tööprotsessi surve muudab tehisintellekti väljundite kinnitamise vaikimisi valikuks.
Andmete juhtimine ja GDPR: kuidas kaks raamistikku suhtlevad
Tehisintellekti seadus toob kaasa andmete juhtimise kohustused, mis asuvad kõrvuti olemasolevate üldise andmekaitse määruse (GDPR) nõuetega, kuid ei asenda neid. Tervishoiuorganisatsioonid, kes tegutsevad mõlema raamistiku alusel, peavad mõistma, et GDPR-i järgimine ei täida automaatselt tehisintellekti seaduse andmenõudeid.
GDPR keskendub isikuandmete seaduslikule töötlemisele. Tehisintellekti seaduse andmete juhtimise sätted keskenduvad spetsiaalselt tehisintellekti süsteemide treenimiseks, valideerimiseks ja testimiseks kasutatavate andmete kvaliteedile ja asjakohasusele. Seadus nõuab, et treeningandmekogumid oleksid:
Asjakohased ja piisavalt esinduslikud kavandatud kasutusjuhu jaoks
Vabad vigadest ja puudustest, mis võiksid põhjustada ebaturvalisi väljundeid
Uuritud võimalike kallutuste suhtes, mis võiksid viia diskrimineerivate tulemusteni kliinilises kontekstis
npj Digital Medicine'i eelretsenseeritud kommentaar rõhutab, et tehisintellekti süsteemid, mis on treenitud andmekogumitel, mis alaesindavad teatud patsientide gruppe vanuse, etnilise kuuluvuse, soo või kaasuvate haiguste profiili järgi, võivad anda süstemaatiliselt halvemaid tulemusi nende gruppide jaoks. Sellel on otsene mõju patsiendi ohutusele. Seaduse andmete juhtimise nõuded on loodud selle riski maandamiseks.
Andmete residentsus on veel üks oluline kaalutlus. Tervishoiuorganisatsioonid, kes hangivad tehisintellekti tööriistu väljaspool ELi asuvatelt tarnijatelt, peaksid kinnitama, kus patsientide andmeid töödeldakse ja säilitatakse, nii GDPR-i nõuete täitmiseks kui ka tehisintellekti seaduse läbipaistvuse ja vastutuse sätetega vastavuse tagamiseks. Euroopa tervishoiuandmete ruum (EHDS), mis jõustus 2025. aastal, lisab täiendava andmete juhtimise kihi, mis kehtib spetsiaalselt tervishoiuandmetele.
Mida tervishoiuorganisatsioonid peaksid praegu tegema
Arvestades järkjärgulist rakendusajakava, on tervishoiuorganisatsioonidel selge ajaaken ettevalmistusteks. Järgmised sammud moodustavad praktilise vastavusprogrammi tuuma:
Auditeerida praeguseid tehisintellekti tööriistu: Tuvastada iga organisatsioonis kasutatav tehisintellekti süsteem, sealhulgas meditsiinikaartide süsteemidesse põimitud tööriistad, diagnostikatarkvara, haldusautomaatika ja patsiendile suunatud rakendused
Hinnata riskiklassifikatsioone: Iga tuvastatud süsteemi puhul määrata, kas see kuulub seaduse III lisa alusel kõrge riskiga kategooriasse või kas sellele kehtivad piiratud riskiga läbipaistvuskohustused
Üle vaadata tarnijate lepingud: Uurida tehisintellekti tarnijatega sõlmitud lepinguid, et mõista, kuidas vastavuskohustused on jaotatud. Lepingutes peaks olema täpsustatud, milline pool vastutab vastavushindamiste, tehnilise dokumentatsiooni ja turujärgse jälgimise eest
Määrata tehisintellekti juhtimise eest vastutaja: Määrata tehisintellekti seaduse vastavuse sisene omanik. Suuremates organisatsioonides võib see kuuluda kliinilise informaatika, õigus- või infojuhtimise valdkonda. Väiksemates praktikates võib see nõuda välist tuge
Valmistada ette dokumentatsioon: Alustada kõrge riskiga süsteemide jaoks nõutava tehnilise dokumentatsiooni koostamist või taotlemist, sealhulgas vastavushindamiste tõendeid, andmekvaliteedi kinnitusi ja inimjärelevalve mehhanisme
Rakendada tehisintellekti kirjaoskuse koolitust: Tehisintellekti kirjaoskuse nõue kehtib alates 2025. aasta veebruarist. Organisatsioonid, kes pole seda veel käsitlenud, peaksid prioritiseerima koolitust kliinilisele ja halduspersonalile, kes puutuvad kokku tehisintellekti tööriistadega
Luua intsidentide teatamise protsessid: Kehtestada sisemised protseduurid tehisintellektiga seotud intsidentide tuvastamiseks ja eskaleerimiseks, kooskõlas seaduse nõudega teatada tõsistest intsidentidest riiklikele asutustele 15 päeva jooksul
Võrdlev juhtimise uuring viies jurisdiktsioonis leidis, et organisatsioonid, kes proaktiivselt arendasid sisemisi tehisintellekti juhtimisstruktuure enne regulatiivseid tähtaegu, olid paremini valmis vastavusnõuete täitmiseks kui need, kes ootasid jõustamise algust.
Kuidas hinnata tehisintellekti tarnijaid ELi tehisintellekti seaduse vastavuse osas
Hanke- ja kliinilise informaatika meeskonnad, kes hindavad tehisintellekti tooteid, peaksid käsitlema ELi tehisintellekti seaduse vastavust standardse hoolsuskohustuse nõudena koos kliiniliste tõendite ja andmeturvaga. Peamised küsimused, mida tarnijatele esitada, on järgmised:
Riskiklassifikatsioon: Kuidas tarnija klassifitseerib seda süsteemi tehisintellekti seaduse alusel? Millised tõendid seda klassifikatsiooni toetavad?
Vastavushindamine: Kas süsteem on läbinud vastavushindamise? Kui teavitatud asutus on nõutav, milline asutus selle läbi viis?
Tehniline dokumentatsioon: Kas tarnija saab esitada täieliku tehnilise dokumentatsiooni, sealhulgas treeningandmete omadused, jõudlusnäitajad ja teadaolevad piirangud?
CE-märgistus: Tehisintellekti meditsiiniseadmete puhul, kas CE-märgistus on olemas MDR või IVDR alusel ning kas seda on uuendatud, et kajastada tehisintellekti seaduse nõudeid?
Inimjärelevalve disaini järgi: Kuidas toote disain toetab kliiniku ülevaatust ja tühistamist? Kas tarnija saab seda reaalajas tööprotsessis demonstreerida?
Andmete residentsus: Kus patsientide andmeid töödeldakse ja säilitatakse? Kas see vastab GDPR-i ja EHDS-i nõuetele?
Turujärgne jälgimine: Millised protsessid on tarnijal olemas pideva jõudluse jälgimise ja intsidentide teatamise jaoks?
GPAI mudeli sõltuvused: Kui toode on ehitatud põhimudeli peale, millised kohustused kehtivad sellele mudelile GPAI sätete alusel ja kuidas tarnija neid haldab?
Tehisintellekti seaduse ühtse teabeplatvormi (SIP) vastavuse kontrollija, mida haldab Euroopa Komisjon, pakub struktureeritud tööriista hindamiseks, kuhu antud tehisintellekti süsteem regulatiivses raamistikus paigutub. See on kasulik lähtepunkt hankemeeskondadele.
Karistused mittevastavuse eest
Tehisintellekti seaduse karistuste struktuur on astmeline, et kajastada rikkumise raskust:
Kuni 35 miljonit eurot või 7 protsenti globaalsest aastakäibest (kumb on suurem) keelatud tehisintellekti süsteemidega seotud rikkumiste eest
Kuni 15 miljonit eurot või 3 protsenti globaalsest aastakäibest (kumb on suurem) muude kohustuste rikkumiste eest, sealhulgas kõrge riskiga süsteemi nõuete rikkumise eest
Kuni 7,5 miljonit eurot või 1,5 protsenti globaalsest aastakäibest (kumb on suurem) asutustele ebaõige või eksitava teabe esitamise eest
Jõustamist haldavad liikmesriikide tasandil määratud riiklikud järelevalveasutused. Euroopa tehisintellekti bürool on järelevalve vastutus GPAI mudelite vastavuse eest. Karistusi saab kohaldada ka kasutajatele, mitte ainult tehisintellekti arendajatele ja tarnijatele, kui kasutaja ei ole täitnud oma kohustusi seaduse alusel.
White & Case'i vastutuse analüüs märgib, et eraldiseisva tehisintellekti vastutuse direktiivi tagasivõtmine 2025. aasta veebruaris tähendab, et tsiviilvastutuse nõuded suunatakse läbi muudetud tootevastutuse direktiivi, mitte spetsiaalse tehisintellekti vastutuse instrumendi kaudu. See ei vähenda finantskohustust organisatsioonidele, kes on leitud tehisintellekti seaduse rikkumises.
Sõnastik: ELi tehisintellekti seaduse põhimõisted
Pakkuja
Organisatsioon või isik, kes arendab tehisintellekti süsteemi, laseb selle ELi turule või võtab selle kasutusele oma nime all. Hõlmab tehisintellekti tarnijaid ja tervishoiutehnoloogia ettevõtteid.
Kasutaja
Organisatsioon või isik, kes kasutab kõrge riskiga tehisintellekti süsteemi professionaalses kontekstis oma volituste alusel. Haiglad, perearstipraksised ja muud tervishoiuorganisatsioonid, kes kasutavad kolmanda osapoole tehisintellekti tööriistu, on kasutajad.
Kõrge riskiga tehisintellekti süsteem
Tehisintellekti süsteem, mis on loetletud seaduse III lisas või mida kasutatakse ohutuskomponendina tootes, mida reguleeritakse sektoripõhise õigusaktiga nagu MDR. Allub seaduse kõige ulatuslikumatele vastavuskohustustele.
Vastavushindamine
Formaalne protsess, mille kaudu pakkuja näitab, et kõrge riskiga tehisintellekti süsteem vastab seaduse nõuetele. Sõltuvalt süsteemi tüübist võib pakkuja selle ise läbi viia või teeb seda akrediteeritud teavitatud asutus.
Turujärgne jälgimine
Jätkuv protsess, mille kaudu pakkujad koguvad ja analüüsivad andmeid kasutuselevõetud tehisintellekti süsteemi reaalajas jõudluse kohta. Eesmärk on tuvastada riske või jõudluse halvenemist, mis ei olnud turueelse hindamise ajal ilmne.
Põhiõiguste mõju hindamine
Struktureeritud hindamine, mida teatud kõrge riskiga tehisintellekti süsteemide kasutajad peavad enne kasutuselevõttu läbi viima, hinnates võimalikku mõju põhiõigustele, sealhulgas mittediskrimineerimisele, privaatsusele ja juurdepääsule tervishoiule.
Üldotstarbeline tehisintellekti mudel
Suur tehisintellekti mudel, mis on treenitud laiapõhjaliste andmekogumite põhjal ning suudab täita laia valikut ülesandeid. Paljude kliiniliste keeletööriistade aluseks olevad põhimudelid kuuluvad sellesse kategooriasse ning nendele kehtivad seaduse alusel konkreetsed kohustused sõltumata allavoolu rakendusest.
Tehisintellekti kirjaoskus
Teadmised ja oskused, mis on vajalikud tehisintellekti süsteemide asjakohaseks kasutamiseks, nende väljundite kriitiliseks hindamiseks ja piirangute mõistmiseks. Organisatsioonid peavad tagama, et asjaomasel personalil on piisav tehisintellekti kirjaoskus alates 2025. aasta veebruarist.
Tehniline dokumentatsioon
Formaalne kirje, mida pakkuja peab säilitama, hõlmates tehisintellekti süsteemi disaini, arendust, andmete omadusi, testimise metoodikat ja jõudlust. Nõutav kõigile kõrge riskiga tehisintellekti süsteemidele ning peab olema ajakohane kogu süsteemi tööea jooksul.
Korduma kippuvad küsimused
▶ Mis on ELi tehisintellekti seadus ja kas see kehtib tervishoiuorganisatsioonidele
ELi tehisintellekti seadus (määrus (EL) 2024/1689) on esimene terviklik õigusraamistik tehisintellekti reguleerimiseks Euroopa Liidus. See kehtib igale organisatsioonile, kes laseb tehisintellekti süsteeme ELi turule või kasutab neid ELis viibivate inimeste mõjutamiseks, sealhulgas haiglad, perearstipraksised ja tervishoiutehnoloogia tarnijad. See ei kehti ainult ELis asuvatele organisatsioonidele. Selle eksterritoriaalne ulatus tähendab, et ka väljaspool ELi asuvad tarnijad on hõlmatud, kui nende süsteemid mõjutavad ELi patsiente.
▶ Millal peavad tervishoiuorganisatsioonid ELi tehisintellekti seadusele vastama
Kohustusi rakendatakse etappide kaupa. Keelud vastuvõetamatu riskiga tehisintellekti süsteemidele ja tehisintellekti kirjaoskuse nõue kehtivad alates 2025. aasta veebruarist. Üldotstarbelisi tehisintellekti mudeleid reguleerivad eeskirjad kehtivad alates 2025. aasta augustist. Kõrge riskiga tehisintellekti süsteemide põhikohustused, sealhulgas vastavushindamised ja inimjärelevalve nõuded, kehtivad täies mahus alates 2026. aasta augustist. Tehisintellekti süsteemidel, mida juba reguleeritakse meditsiiniseadmetena meditsiiniseadmete määruse alusel, on pikendatud üleminekuperiood kuni 2027. aasta augustini.
▶ Millised tervishoiu tehisintellekti süsteemid klassifitseeritakse seaduse alusel kõrge riskiga
Seadus klassifitseerib kõrge riskiga tehisintellekti süsteemid, mida kasutatakse diagnoosimiseks, kliiniliseks otsustustoe pakkumiseks, ravisoovitusteks, patsientide triaažiks ja patsientide jälgimiseks. npj Digital Medicine'is avaldatud eelretsenseeritud analüüs leidis, et umbes 75 protsenti kommertslikest tehisintellekti toega meditsiiniseadmetest on radioloogias ja klassifitseeritud meditsiiniseadmete määruse alusel klassi IIa või kõrgemasse. See tähendab, et enamik kasutusel olevast kliinilisest tehisintellektist käsitletakse seaduse järgi kõrge riskiga süsteemina.
▶ Mis vahe on ELi tehisintellekti seaduse alusel pakkujal ja kasutajal
Pakkujad on organisatsioonid, kes arendavad tehisintellekti süsteemi ja lasevad selle turule oma nime all. See hõlmab tehisintellekti tarnijaid ja tervishoiutehnoloogia ettevõtteid. Kasutajad on organisatsioonid, kes kasutavad kõrge riskiga tehisintellekti süsteemi professionaalses kontekstis, näiteks haiglad ja perearstipraksised, kes kasutavad kolmanda osapoole tehisintellekti tööriistu. Mõlemad pooled kannavad erinevaid kohustusi, mida ei saa teisele üle kanda. Kasutajatena tegutsevad tervishoiuorganisatsioonid ei saa lihtsalt tugineda tarnija vastavusele. Nad peavad aktiivselt kontrollima, et süsteemid vastavad seaduse nõuetele ning et sisemised protsessid toetavad nõuetekohast kasutamist.
▶ Kas MDR vastavus rahuldab ELi tehisintellekti seaduse nõudeid tehisintellekti meditsiiniseadmete jaoks
Ei. Tehisintellekti süsteemid, mida reguleeritakse meditsiiniseadmetena meditsiiniseadmete määruse alusel, alluvad mõlemale raamistikule korraga. Tehisintellekti seadus lisab nõudeid andmekvaliteedi, andmete juhtimise, dokumenteerimise, läbipaistvuse, vastutuse ja inimjärelevalve osas, mis lähevad kaugemale sellest, mida meditsiiniseadmete määrus nõuab. Organisatsioonid saavad integreerida tehisintellekti seaduse nõuded olemasolevatesse kvaliteedijuhtimissüsteemi dokumentidesse, kuid MDR-i järgimine üksi ei ole piisav.
▶ Mida inimjärelevalve nõue praktikas tähendab kliinilisele personalile
Inimjärelevalve tähendab, et patsiente mõjutavaid olulisi otsuseid ei tohiks täielikult delegeerida automatiseeritud süsteemidele. Praktikas tähendab see, et kliinitsist vaatab läbi tehisintellekti genereeritud kliinilise dokumentatsiooni enne selle salvestamist patsiendi kaardile, radioloog teeb sõltumatu otsuse tehisintellekti poolt märgistatud leiu kohta ning triažiõde hindab tehisintellekti genereeritud prioriteedi skoori otsese patsiendi vaatluse põhjal. Kliinilisel personalil peab olema nii tehniline võimekus kui ka organisatsiooniline luba tehisintellekti väljundit tühistada, kui nende kliiniline otsus seda õigustab.
▶ Kuidas ELi tehisintellekti seadus suhtleb GDPR-iga tervishoiuorganisatsioonide jaoks
Tehisintellekti seadus toob kaasa andmete juhtimise kohustused, mis asuvad kõrvuti GDPR-iga, kuid ei asenda seda. GDPR-i järgimine ei täida automaatselt tehisintellekti seaduse andmenõudeid. GDPR keskendub isikuandmete seaduslikule töötlemisele. Tehisintellekti seadus keskendub spetsiaalselt tehisintellekti süsteemide treenimiseks, valideerimiseks ja testimiseks kasutatavate andmete kvaliteedile ja asjakohasusele. Treeningandmekogumid peavad olema asjakohased, esinduslikud ning uuritud kallutuste suhtes, mis võiksid anda diskrimineerivaid või ebaturvalisi tulemusi teatud patsientide gruppide jaoks.
▶ Millised on karistused ELi tehisintellekti seadusele mittevastavuse eest
Karistuste struktuur on astmeline. Keelatud tehisintellekti süsteemidega seotud rikkumised võivad kaasa tuua trahvid kuni 35 miljonit eurot või 7 protsenti globaalsest aastakäibest, kumb on suurem. Kõrge riskiga süsteemi kohustuste rikkumised võivad kaasa tuua trahvid kuni 15 miljonit eurot või 3 protsenti globaalsest aastakäibest. Asutustele ebaõige teabe esitamine võib kaasa tuua trahvid kuni 7,5 miljonit eurot või 1,5 protsenti globaalsest aastakäibest. Karistusi saab kohaldada kasutajatele samamoodi kui pakkujatele, kui kasutaja ei ole täitnud oma kohustusi.
▶ Mida tervishoiuorganisatsioonid peaksid praegu tegema, et valmistuda ELi tehisintellekti seaduseks
Organisatsioonid peaksid alustama iga praegu kasutatava tehisintellekti süsteemi auditeerimisest, sealhulgas meditsiinikaartide süsteemidesse põimitud tööriistad, diagnostikatarkvara ja patsiendile suunatud rakendused. Iga süsteemi tuleks hinnata seaduse riskiklassifikatsioonide suhtes. Tarnijate lepinguid tuleks üle vaadata, et kinnitada, kuidas vastavuskohustused on jaotatud. Tehisintellekti kirjaoskuse nõue kehtib alates 2025. aasta veebruarist, seega peaks tehisintellekti tööriistadega kokkupuutuvate töötajate koolitus olema prioriteet, kui seda pole veel käsitletud. Samuti peaksid olema olemas sisemised intsidentide teatamise protsessid, mis on kooskõlas seaduse 15-päevase tõsiste intsidentide teatamise nõudega.
▶ Milliseid küsimusi peaksid hankemeeskonnad tehisintellekti tarnijatelt ELi tehisintellekti seaduse vastavuse kohta küsima
Hankemeeskonnad peaksid küsima tarnijatelt, kuidas nad klassifitseerivad oma süsteemi seaduse alusel ja millised tõendid seda klassifikatsiooni toetavad. Nad peaksid taotlema kinnitust, kas vastavushindamine on lõpetatud ja kui teavitatud asutus on nõutav, milline asutus selle läbi viis. Täielik tehniline dokumentatsioon, sealhulgas treeningandmete omadused ja teadaolevad piirangud, peaks olema taotluse korral saadaval. Tarnijad peaksid samuti suutma demonstreerida, kuidas toote disain toetab kliiniku ülevaatust ja tühistamist, kinnitama, kus patsientide andmeid töödeldakse ja säilitatakse, ning selgitama oma turujärgse jälgimise ja intsidentide teatamise protsesse.