·
Tehnoloogia omaksvõtmine
Tervishoiu
Tervishoiu IT / CIO
EL-i tervishoiu AI regulatsioonid: MDR, GDPR ja AI seadus
Navigeerige EL-i regulatsioonides kliinilise AI jaoks. Mõistke MDR meditsiiniseadmete nõudeid, GDPR andmekaitse ja AI seaduse vastavuskohustusi tervishoiuorganisatsioonidele

Tervishoiu AI Euroopas ei kuulu ühegi ühtse regulatiivse raamistiku alla. Sellele kohaldub korraga kolm raamistikku, millest igal on oma pädevus, vastavuskohustused ja täitmismehhanismid. Kliiniline AI-tööriist, mis toetab diagnostilisi otsuseid, võib vajada CE-märgist meditsiiniseadmena, peab käsitlema patsiendiandmeid vastavalt üldisele andmekaitsemäärusele (GDPR) ning liigitatakse tõenäoliselt kõrge riskiga seadmeks EL-i AI seaduse alusel. Need raamistikud kehtivad mitte järjestikku, vaid paralleelselt ning nende koostoime ei ole alati lihtne. Tervishoiuorganisatsioonidele, kes hindavad või võtavad kasutusele AI-d, on selle regulatiivse maastiku mõistmine vastutustundliku hanke ja ohutu kliinilise kasutamise eelduseks.
Kolm regulatiivset sammast, mida iga tervishoiu AI ettevõte peab mõistma
Kolm erinevat EL-i raamistikku reguleerivad kliinilise AI kasutuselevõttu, millest igal on erinev peamine fookus.
EL-i meditsiiniseadmete määrus (MDR) 2017/745 reguleerib ohutust ja toimivust. Selle keskmes on küsimus, kas toode, sealhulgas tarkvara, on ohutu oma kavandatud kliiniliseks otstarbeks ning kas selle toimimine on valideeritud vastavalt väidetule.
GDPR reguleerib privaatsust. Selle fookuses on, kuidas isikuandmeid, eriti terviseandmeid, kogutakse, töödeldakse, salvestatakse ja jagatakse ning kuidas tagada, et üksikisikutel säiliksid tähenduslikud õigused oma teabe üle.
EL-i AI seadus (määrus (EL) 2024/1689, jõustunud 1. augustist 2024) reguleerib süsteemset riski. Selle keskmes on, kas AI-süsteemid on läbipaistvad, vastutavad ja piisava inimjärelevalve all, eriti kui need mõjutavad põhiõigusi või ohutuskriitilisi otsuseid.
Nagu meditsiiniseadmete koordineerimisrühma (MDCG) ja EL-i AI nõukogu ühine KKK (MDCG 2025-6) 2025. aastal kinnitas, peavad meditsiiniseadmetena kvalifitseeruvad AI-süsteemid vastama nii MDR-ile kui ka AI seadusele samaaegselt. Vastavus ühele raamistikule ei asenda vastavust teisele.
Millal tervishoiu AI kvalifitseerub meditsiiniseadmeks MDR-i alusel
MDR 2017/745 alusel on keskne küsimus, kas tarkvaratööriistal on meditsiiniline kavandatud otstarve. See tähendab, kas tootja kavatseb seda kasutada diagnoosimiseks, ennetamiseks, jälgimiseks, ennustamiseks, prognoosimiseks, raviks või haiguse leevendamiseks. Selle määratluse alla kuuluv tarkvara klassifitseeritakse tarkvarana meditsiiniseadmena (SaMD) ja peab vastama täielikult MDR-i nõuetele.
Kavandatud otstarve on määrav tegur. Dokumentatsioonitööriist, mis transkribeerib kliinilisi märkmeid ilma kliinilisi otsuseid tõlgendamata või mõjutamata, on erineval regulatiivsel positsioonil võrreldes AI-süsteemiga, mis märgistab ebanormaalseid leide, soovitab diagnoose või prioritiseerib patsientide triaaži. Viimane klassifitseeritakse tõenäolisemalt SaMD-ks.
Kui tööriist klassifitseeritakse meditsiiniseadmeks, peab tootja:
läbi viima vastavushindamise, mis vastab seadme riskiklassile (klass I kuni III)
koostama ja säilitama põhjalikku tehnilist dokumentatsiooni
rakendama kvaliteedijuhtimissüsteemi (QMS)
hankima CE-märgise enne seadme turule laskmist EL-is
teostama turujärgset järelevalvet ja teatama tõsistest intsidentidest
King & Spaldingi analüüs MDCG 2025-6 juhiste kohta toob välja viis peamist valdkonda, kus MDR-i ja AI seaduse kohustused kattuvad: juhtimissüsteemid, andmehaldus, tehniline dokumentatsioon, läbipaistvus ja inimjärelevalve ning küberturvalisus ja täpsus. Tootjad peaksid neid käsitlema integreeritud nõuetena, mitte paralleelsete kontrollnimekirjadena.
Üheks praktiliseks takistuseks on teavitatud asutuste puudus – sõltumatute vastavushindamisorganisatsioonide nappus, mis on vajalik kõrgema riskiklassi seadmete jaoks. Baker McKenzie on märkinud, et see kitsaskoht koos olulise lüngaga ühtlustatud standardites AI-spetsiifiliste riskide, nagu algoritmiline kallutatus ja mudeli triiv, osas tekitab tootjatele, kes soovivad turule pääseda, reaalseid viivitusi.
GDPR ja kliiniline AI: mis loeb eriliigilisteks andmeteks ja miks see on oluline
AI-süsteemide poolt töödeldavad terviseandmed klassifitseeritakse eriliigilisteks andmeteks GDPR artikli 9 alusel, mis tähendab kõrgeimat kaitsetaset, mis on EL-i andmekaitseõiguse alusel võimalik. See klassifikatsioon kehtib olenemata sellest, kas AI-süsteem on esmane või järgnev andmetöötleja. Andmete olemus, mitte töötleja roll, määrab klassifikatsiooni.
Kliinilise AI kasutuselevõtu puhul on sellel mitu otsest tagajärge.
Õiguslik alus. Eriliigiliste terviseandmete töötlemine nõuab nii õiguslikku alust artikli 6 kui ka täiendavat tingimust artikli 9 alusel. Kliinilises kontekstis on kõige sagedamini kohaldatavad artikli 9 tingimused: töötlemine, mis on vajalik meditsiinilise diagnoosi või tervishoiuteenuse osutamiseks (artikkel 9(2)(h)), töötlemine rahvatervise huvides (artikkel 9(2)(i)), ning kui kumbki ei kehti, siis selgesõnaline nõusolek (artikkel 9(2)(a)). Nõusolek ei ole kliinilistes tingimustes sageli kõige sobivam alus, arvestades patsientide ja tervishoiuteenuse osutajate vahelisi loomulikke võimuerinevusi.
Andmete minimeerimine ja eesmärgipärasus. AI-süsteemid tohivad töödelda vaid neid andmeid, mis on vajalikud nende määratletud eesmärgi täitmiseks, ning neid andmeid ei tohi kasutada muul otstarbel ilma uue õigusliku aluseta. See tekitab eriti pingeid, kui müüjad soovivad kasutada kliinilisi andmeid mudelite treenimiseks või täiustamiseks, mis erineb sageli algsest kliinilisest eesmärgist.
Andmesubjekti õigused. Patsientidel säilivad juurdepääsu-, parandamis- ja teatud juhtudel kustutamisõigused ka juhul, kui nende andmeid on töödelnud AI-süsteemid. Tervishoiuorganisatsioonid peavad suutma nendele taotlustele vastata ka siis, kui andmeid hoiab või töötleb kolmas osapool ehk AI-müüja.
AI-toega tervishoiuseadmete privaatsuse ja juhtimisraamistike ülevaade rõhutab, et GDPR-i järgimine AI-toega kliinilistes tingimustes nõuab mitte ainult tehnilisi kontrolle, vaid ka pidevaid juhtimisstruktuure, sealhulgas andmekaitse mõjuhinnanguid (DPIA), töötlemistoimingute registreid ja selgelt määratletud andmetöötluslepinguid.
Andmete asukoht ja piiriülesed andmevood EL-i tervishoiu AI-s
GDPR kehtestab ranged piirangud isikuandmete edastamisele väljapoole Euroopa Majanduspiirkonda (EMP). Kliiniliste AI-müüjate jaoks tähendab see, et kui patsiendiandmeid töödeldakse või salvestatakse infrastruktuuris, mis asub väljaspool EMP-d, sealhulgas USA-s või mujal hostitud pilvplatvormidel, peavad olema tagatud konkreetsed edastamismehhanismid.
Peamised mehhanismid on:
Piisavusotsused, kui Euroopa Komisjon on otsustanud, et kolmas riik tagab samaväärse andmekaitsetaseme (praegu hõlmab see piiratud arvu jurisdiktsioone)
Standardsed lepingutingimused (SCC), mis kehtestavad lepingulised kohustused nii andmete eksportijale kui ka importijale
Siduvad ettevõttesisesed eeskirjad (BCR), mida kasutatakse peamiselt rahvusvaheliste ettevõtete kontsernides
Tervishoiuorganisatsioonide jaoks ei ole praktiline küsimus mitte ainult see, kas müüja on allkirjastanud SCC-d, vaid ka see, kus andmeid tegelikult töödeldakse ja salvestatakse. Andmete asukoht EL-is tähendab, et patsiendiandmeid töödeldakse ja salvestatakse infrastruktuuris, mis asub füüsiliselt EMP piires. See kõrvaldab vajaduse piiriüleste edastamismehhanismide järele ja lihtsustab GDPR-i järgimist märkimisväärselt. Tervishoiuorganisatsioonid peaksid nõudma, et müüjad täpsustaksid selle lepingulises dokumentatsioonis.
Küberturvalisuse regulatsiooni võrdlev poliitikaanalüüs digitaalses tervishoius USA, EL-i ja India vahel märgib, et EL-i lähenemine andmete suveräänsusele tervishoius on oluliselt rangem kui teistes jurisdiktsioonides, mis mõjutab seda, kuidas globaalsed AI-müüjad kujundavad oma tooteid Euroopa turgudele.
Kuidas EL-i AI seadus klassifitseerib tervishoiu AI-d ja mida kõrge risk praktikas tähendab
EL-i AI seadus kehtestab riskipõhise klassifitseerimissüsteemi nelja astmega: vastuvõetamatu risk (keelatud), kõrge risk, piiratud risk ja minimaalne risk. Enamik kliinilisi AI-tööriistu, sealhulgas diagnostilised tugisüsteemid, triaažitööriistad ja kliinilised dokumentatsiooniassistendid, mis mõjutavad raviviise, kuuluvad tõenäoliselt kõrge riski kategooriasse.
AI seaduse artikli 6 lõike 1 ja I lisa alusel klassifitseeritakse AI-süsteemid, mis on ise reguleeritud meditsiiniseadmetena MDR-i või IVDR-i alusel, automaatselt kõrge riskiga AI-süsteemideks. CE-märgistusega SaMD kuulub seega nii MDR-i vastavusnõuete kui ka täieliku kõrge riskiga AI seaduse nõuete alla.
Hunton Andrews Kurthi analüüs AI seaduse kohaldamisest meditsiiniseadmetele toob välja peamised kohustused kõrge riskiga AI-süsteemidele:
Tehniline dokumentatsioon: üksikasjalikud kirjeldused süsteemi disaini, treeningandmete, valideerimismetoodika ja teadaolevate piirangute kohta
Riskijuhtimine: pidev riskijuhtimissüsteem, mis hõlmab AI-spetsiifilisi riske, sealhulgas algoritmilist kallutatust ja mudeli triivi
Andmehaldus: nõuded treening-, valideerimis- ja testandmekogumite kohta, sealhulgas kallutatuse tuvastamine ja andmekvaliteedi kontrollid
Läbipaistvus ja kasutusjuhised: selge dokumentatsioon, mis võimaldab kasutajatel mõista süsteemi võimeid ja piiranguid
Inimjärelevalve: tehnilised ja organisatsioonilised meetmed, mis tagavad, et inimesed saavad AI väljundeid tõhusalt jälgida, tühistada ja sekkuda
Vastavushindamine: ametlik hindamine enne turule laskmist koos pideva turujärgse järelevalvega
Registreerimine: kõrge riskiga AI-süsteemid tuleb registreerida EL-i AI-süsteemide andmebaasis
AI seadus toob sisse ka AI kirjaoskuse kohustused, mis jõustuvad 2025. aasta veebruaris, nõudes pakkujatelt ja kasutajatelt, et AI-süsteemidega töötaval personalil oleks piisav arusaam tehnoloogia võimalustest ja piirangutest. Taylor Wessing märgib, et see kohustus kehtib AI-tööriistu kasutuselevõtvatele tervishoiuorganisatsioonidele, mitte ainult neid tarnivatele müüjatele.
Kus MDR, GDPR ja AI seadus kattuvad ja kus need on vastuolus
Kolmel raamistikul on mitu ühist joont. Kõik nõuavad läbipaistvust selle kohta, kuidas süsteem töötab, milliseid andmeid see kasutab ja millised on selle piirangud. Kõik nõuavad dokumenteeritud riskijuhtimist. Kõik kehtestavad turujärgse või pideva järelevalve kohustused. Kui MDR nõuab turujärgset järelevalvet ja AI seadus nõuab turujärgset jälgimist, saab neid kohustusi põhimõtteliselt täita ühtse protsessi kaudu.
2025. aastal avaldatud eelretsenseeritud analüüs, mis uuris AI seaduse ja MDR/IVDR vahelisi regulatiivseid seoseid, kinnitas, et MDR-i alusel nõutav QMS võib toimida AI seaduse vastavuse alusena ning mõlema raamistiku tehnilise dokumentatsiooni nõudeid saab integreerida, mitte dubleerida. AI seaduse artikkel 8 käsitleb seda integratsiooni AI-meditsiiniseadmete puhul selgesõnaliselt.
Siiski esineb ka tõelisi pingeid.
Andmete säilitamine vs andmete minimeerimine. AI seadus julgustab ja mõnel juhul nõuab treeningandmete, valideerimisandmekogumite ja logide säilitamist auditi ja vastutuse eesmärgil. GDPR-i andmete minimeerimise ja säilitamise piirangute põhimõtted suruvad vastupidises suunas. Müüjad peavad seda pinget selgesõnaliselt juhtima, tavaliselt eesmärgipõhiste säilitamisgraafikute ja anonümiseerimise kaudu, kui see on võimalik.
Läbipaistvus vs ärisaladus. Nii AI seadus kui ka GDPR nõuavad tähenduslikku läbipaistvust selle kohta, kuidas AI-süsteemid andmeid töötlevad ja tulemuste juurde jõuavad. Praktikas võivad müüjad vastu seista omandiõiguslike mudelite arhitektuuri avalikustamisele. Raamistikud ei lahenda seda pinget täielikult.
Algoritmiline kallutatus ja GDPR-i õigluse põhimõte. GDPR nõuab, et automatiseeritud töötlemine oleks õiglane, kuid ei täpsusta, kuidas õiglust AI-süsteemides mõõta. AI seadus toob sisse konkreetsemaid andmehalduse nõudeid kallutatuse tuvastamise osas, kuid akadeemiline kommentaar on märkinud, et kumbki raamistik ei paku lõplikke metoodilisi juhiseid tervishoiu AI arendajatele.
Regulatiivne maastik ise on muutumises. Kaks konkureerivat EL-i seadusandlikku ettepanekut, Digital Omnibus (mida juhib DG CONNECT) ja DG SANTE MDR/IVDR muudatus, püüavad mõlemad lihtsustada AI seaduse ja MDR-i kattumist. Harvardi õiguskooli Petrie-Flomi keskuse analüüs väljendab muret, et lihtsustamispüüdlused võivad tahtmatult nõrgendada inimjärelevalve kaitsemeetmeid, eriti kliiniliste töötajate ja patsientide jaoks. Nende ettepanekute tulemus jääb 2026. aasta keskpaigaks ebakindlaks.
Kes on vastutav iga raamistiku alusel: müüja, haigla või mõlemad
Regulatiivne vastutus kolme raamistiku alusel on jaotatud, mitte individuaalne, ning jaotus erineb sõltuvalt sellest, milline raamistik kehtib.
MDR-i alusel langeb peamine kohustus tootjale, tavaliselt AI-müüjale. Tootja vastutab vastavushindamise, CE-märgistuse, tehnilise dokumentatsiooni ja turujärgse järelevalve eest. Tervishoiuorganisatsioon, kes võtab kasutusele CE-märgistusega SaMD ilma muudatusteta, tegutseb tavaliselt kasutajana, mitte tootjana, kellel on piiratud kohustused.
GDPR-i alusel sõltub jaotus sellest, kes määrab töötlemise eesmärgid ja vahendid. Tervishoiuorganisatsioon, kes võtab kasutusele AI-süsteemi patsientide andmete töötlemiseks, on tavaliselt vastutav töötleja, kellel on peamine vastutus õigusliku aluse, patsientide õiguste ja DPIA kohustuste eest. AI-müüja, kes töötleb andmeid organisatsiooni nimel, on tavaliselt volitatud töötleja, keda seob andmetöötluslepingu (DPA) määratletud töötlemise ulatus ja tingimused.
EL-i AI seaduse alusel tehakse vahet pakkujate (need, kes arendavad või lasevad AI-süsteeme turule) ja kasutajate (need, kes kasutavad AI-süsteeme professionaalses kontekstis) vahel. Pakkujad kannavad peamise vastavuskoormuse kõrge riskiga AI-süsteemide puhul, hõlmates tehnilist dokumentatsiooni, vastavushindamist ja registreerimist. Kasutajatel on oma kohustused: inimjärelevalve meetmete rakendamine, personali AI kirjaoskuse tagamine, süsteemi jõudluse jälgimine kasutamisel ja kasutamise peatamine, kui ilmnevad ohutusprobleemid.
White & Case'i analüüs AI vastutuse direktiivi järgse olukorra kohta pärast selle direktiivi tagasivõtmist 2025. aasta veebruaris kinnitab, et muudetud tootevastutuse direktiiv moodustab nüüd osa AI-toega meditsiiniseadmete vastutusraamistikust, millel on tagajärjed nii tootjatele kui ka kasutajatele, kui defektne AI-süsteem põhjustab kahju.
Haigla, kes võtab kasutusele kliinilise AI-tööriista, ei saa eeldada, et regulatiivne vastavus on täielikult müüja vastutus. Lepinguline selgus rollide, kohustuste ja vastutuse jaotuse osas on enne kasutuselevõttu hädavajalik.
Mida tervishoiuorganisatsioonid peaksid AI-müüjatelt enne kasutuselevõttu küsima
Hankemeeskonnad ja kliinilised juhid, kes hindavad AI-tööriistu kliiniliseks kasutuselevõtuks, peaksid otsima selgeid, dokumenteeritud vastuseid järgmistele küsimustele.
MDR-i ja meditsiiniseadme staatuse kohta:
Kas see toode on klassifitseeritud meditsiiniseadmeks EL-i MDR 2017/745 alusel?
Kui jah, milline on selle riskiklass ja kas CE-märgistus on saadud?
Kas saate esitada vastavusdeklaratsiooni ning ohutuse ja kliinilise toimivuse kokkuvõtte?
Kuidas viiakse läbi turujärgset järelevalvet ja kuidas teatatakse intsidentidest?
GDPR-i ja andmetöötluse kohta:
Kus patsiendiandmeid töödeldakse ja salvestatakse? Kas EL-i andmete asukoht on tagatud?
Kas allkirjastate andmetöötluslepingu, mis vastab GDPR artikli 28-le?
Kas andmekaitse mõjuhinnang on läbivaatamiseks saadaval?
Kas patsiendiandmeid kasutatakse mudeli treenimiseks või täiustamiseks? Kui jah, siis millisel õiguslikul alusel?
Kuidas käsitletakse andmesubjekti õigusi (juurdepääs, kustutamine, parandamine)?
EL-i AI seaduse kohta:
Kas see süsteem on klassifitseeritud kõrge riskiga AI-süsteemiks EL-i AI seaduse alusel?
Milline vastavushindamine on lõpule viidud või planeeritud AI seaduse alusel?
Milline tehniline dokumentatsioon on saadaval, mis hõlmab treeningandmeid, valideerimist ja teadaolevaid piiranguid?
Millised inimjärelevalve mehhanismid on süsteemi sisse ehitatud?
Kas süsteem on registreeritud EL-i AI-süsteemide andmebaasis?
Turvalisuse ja auditi kohta:
Kas organisatsioonil on ISO 27001 sertifikaat ja kas see on kehtiv?
Milliseid auditijälgede võimalusi süsteem pakub?
Kuidas tuvastatakse ja käsitletakse küberturvalisuse haavatavusi pärast kasutuselevõttu?
AI kirjaoskuse kohta:
Millist koolitust või dokumentatsiooni pakutakse AI kirjaoskuse kohustuste täitmiseks AI seaduse alusel?
Mittetäielikke või kõrvalehoidvaid vastuseid nendele küsimustele tuleks käsitleda olulise hankeriski märgina.
Kuidas regulatiivne maastik areneb: mida jälgida 2026. aastal ja edaspidi
EL-i AI seadus jõustus 2024. aasta augustis, kuid selle kohustused rakenduvad etapiviisiliselt. Peamised verstapostid on:
Veebruar 2025: vastuvõetamatu riskiga AI-süsteemide keelud kehtivad, pakkujate ja kasutajate AI kirjaoskuse kohustused jõustuvad
August 2026: kõrge riskiga AI-süsteemide kohustused III peatüki alusel kehtivad täies mahus, sealhulgas I lisa alusel AI-meditsiiniseadmete kohustused
August 2027: täielik kohaldatavus kõigi ülejäänud sätete osas
MDX CRO vastavusjuhend märgib, et üleminekusätted kehtivad AI-süsteemidele, mis on juba seaduslikult turul enne 2026. aasta augustit, kuid need sätted on ajaliselt piiratud ega vabasta tootjaid lõplikust täielikust vastavusest.
Kaks täiendavat arengut väärivad tähelepanu.
Euroopa tervishoiuandmete ruumi (EHDS) määrus jõustus 26. märtsil 2025. EHDS loob raamistiku tervishoiuandmete sekundaarseks kasutamiseks, sealhulgas AI arendamiseks ja teadusuuringuteks EL-i liikmesriikides. Euroopa Komisjoni ametlik juhend AI kohta tervishoius toob välja EHDS-i kui vastutustundliku kliinilise AI arendamise võtmeteguri, kuid selle koostoime GDPR-i eesmärgipärasuse põhimõttega vajab jätkuvat selgitamist rakendamise edenedes.
Konkureerivad lihtsustamisettepanekud, Digital Omnibus ja DG SANTE MDR/IVDR muudatus, püüavad mõlemad vähendada vastavuskoormust MDR-i ja AI seaduse ristumiskohas. Nagu Harvardi õiguskooli Petrie-Flomi keskus on täheldanud, võib nende ettepanekute tulemus oluliselt muuta kliinilise AI vastavusmaastikku, kas lihtsustades topeltvastavuse nõudeid või, kui inimjärelevalve sätteid nõrgestatakse, luues uusi patsientide ohutusriske.
Ebakindlus AI kasutamise seaduslikkuse osas konkreetsetes kliinilistes kontekstides jääb tervishoiuteenuse osutajatele tõsiseks väljakutseks ka siis, kui raamistikud on olemas. Regulatiivne vastavus kliinilises AI-s ei ole ühekordne hankekontrolli küsimus. See nõuab pidevat regulatiivse keskkonna jälgimist ja juhtimisstruktuuri, mis suudab reageerida kohustuste muutumisele.
Korduma kippuvad küsimused
▶ Millised regulatiivsed raamistikud kehtivad kliinilisele AI-le Euroopas
Kliinilisele AI-le kehtivad samaaegselt kolm EL-i raamistikku. Meditsiiniseadmete määrus (MDR) 2017/745 reguleerib ohutust ja toimivust. Üldine andmekaitsemäärus (GDPR) reguleerib, kuidas patsiendiandmeid kogutakse, töödeldakse ja salvestatakse. EL-i AI seadus (määrus (EL) 2024/1689), mis on jõus alates 1. augustist 2024, reguleerib läbipaistvust, vastutust ja inimjärelevalvet. Meditsiiniseadmete koordineerimisrühma ja EL-i AI nõukogu ühine KKK kinnitas 2025. aastal, et vastavus ühele raamistikule ei asenda vastavust teisele.
▶ Millal kliiniline AI-tööriist kvalifitseerub meditsiiniseadmeks EL-i MDR-i alusel
Kliiniline AI-tööriist kvalifitseerub meditsiiniseadmeks, kui tootja kavatseb seda kasutada diagnoosimiseks, ennetamiseks, jälgimiseks, ennustamiseks, prognoosimiseks, raviks või haiguse leevendamiseks. Selle määratluse alla kuuluv tarkvara klassifitseeritakse tarkvarana meditsiiniseadmena (SaMD). Dokumentatsioonitööriist, mis transkribeerib kliinilisi märkmeid ilma kliinilisi otsuseid mõjutamata, on erineval regulatiivsel positsioonil võrreldes AI-süsteemiga, mis märgistab ebanormaalseid leide või prioritiseerib patsientide triaaži. Viimane klassifitseeritakse tõenäolisemalt SaMD-ks ja peab hankima CE-märgise enne EL-i turule laskmist.
▶ Kuidas GDPR kehtib AI-süsteemide poolt töödeldavatele tervishoiuandmetele
AI-süsteemide poolt töödeldavad tervishoiuandmed klassifitseeritakse eriliigilisteks andmeteks GDPR artikli 9 alusel, mis toob kaasa kõrgeima kaitsetaseme, mis on EL-i andmekaitseõiguse alusel võimalik. Nende töötlemine nõuab nii õiguslikku alust artikli 6 kui ka täiendavat tingimust artikli 9 alusel. Kliinilises kontekstis on kõige sagedamini kohaldatavad tingimused töötlemine, mis on vajalik meditsiinilise diagnoosi või tervishoiuteenuse osutamiseks, ja töötlemine rahvatervise huvides. AI-süsteemid peavad rakendama ka andmete minimeerimist, mis tähendab, et nad tohivad töödelda vaid nende määratletud eesmärgi jaoks vajalikke andmeid ning neid andmeid ei tohi kasutada muul otstarbel ilma uue õigusliku aluseta.
▶ Mida EL-i andmete asukoht tähendab kliinilise AI-müüjate jaoks
Andmete asukoht EL-is tähendab, et patsiendiandmeid töödeldakse ja salvestatakse infrastruktuuris, mis asub füüsiliselt Euroopa Majanduspiirkonna (EMP) piires. GDPR kehtestab ranged piirangud isikuandmete edastamisele väljapoole EMP-d, seega kui müüja töötleb andmeid infrastruktuuris, mis asub USA-s või mujal, peavad olema tagatud konkreetsed edastamismehhanismid, nagu standardsed lepingutingimused. EL-i andmete asukoht kõrvaldab vajaduse nende mehhanismide järele ja lihtsustab GDPR-i järgimist märkimisväärselt. Tervishoiuorganisatsioonid peaksid nõudma, et müüjad täpsustaksid andmete asukoha korraldused lepingulises dokumentatsioonis.
▶ Kuidas EL-i AI seadus klassifitseerib tervishoiu AI-tööriistu
EL-i AI seadus kehtestab riskipõhise klassifitseerimissüsteemi nelja astmega: vastuvõetamatu risk (keelatud), kõrge risk, piiratud risk ja minimaalne risk. Enamik kliinilisi AI-tööriistu, sealhulgas diagnostilised tugisüsteemid, triaažitööriistad ja kliinilised dokumentatsiooniassistendid, mis mõjutavad raviviise, kuuluvad tõenäoliselt kõrge riski kategooriasse. AI seaduse artikli 6 lõike 1 ja I lisa alusel klassifitseeritakse meditsiiniseadmetena MDR-i alusel reguleeritud AI-süsteemid automaatselt kõrge riskiga AI-süsteemideks, mis tähendab, et neile kohaldub nii MDR-i kui ka täielik kõrge riskiga AI seaduse nõuete režiim.
▶ Kus MDR, GDPR ja EL-i AI seadus kattuvad või on vastuolus
Kõik kolm raamistikku nõuavad läbipaistvust, dokumenteeritud riskijuhtimist ja pidevaid järelevalve kohustusi. 2025. aastal avaldatud eelretsenseeritud analüüs kinnitas, et MDR-i alusel nõutav kvaliteedijuhtimissüsteem võib toimida AI seaduse vastavuse alusena ning mõlema raamistiku tehnilise dokumentatsiooni nõudeid saab integreerida, mitte dubleerida. Siiski esineb tõelisi pingeid. AI seadus julgustab treeningandmete ja logide säilitamist auditi eesmärgil, samas kui GDPR-i andmete minimeerimise ja säilitamise piirangute põhimõtted suruvad vastupidises suunas. Müüjad peavad seda pinget selgesõnaliselt juhtima, tavaliselt eesmärgipõhiste säilitamisgraafikute ja anonümiseerimise kaudu, kui see on võimalik.
▶ Kes vastutab regulatiivse vastavuse eest: AI-müüja või tervishoiuorganisatsioon
Vastutus on jaotatud kõigi kolme raamistiku vahel ning jaotus erineb sõltuvalt sellest, milline raamistik kehtib. MDR-i alusel langeb peamine kohustus tootjale, tavaliselt AI-müüjale, kes vastutab CE-märgistuse, tehnilise dokumentatsiooni ja turujärgse järelevalve eest. GDPR-i alusel on AI-süsteemi kasutuselevõttev tervishoiuorganisatsioon tavaliselt vastutav töötleja, kellel on peamine vastutus õigusliku aluse ja patsientide õiguste eest, samas kui müüja tegutseb volitatud töötlejana. EL-i AI seaduse alusel kannavad müüjad kui pakkujad peamise vastavuskoormuse kõrge riskiga AI-süsteemide puhul, kuid kasutuselevõtvatel organisatsioonidel on oma kohustused, sealhulgas inimjärelevalve rakendamine ja personali AI kirjaoskuse tagamine. Haigla, kes võtab kasutusele kliinilise AI-tööriista, ei saa eeldada, et regulatiivne vastavus on täielikult müüja vastutus.
▶ Milliseid küsimusi peaksid tervishoiuorganisatsioonid AI-müüjatelt enne kasutuselevõttu küsima
Hankemeeskonnad peaksid küsima müüjatelt kinnitust, kas tootel on CE-märgistus meditsiiniseadmena ja milline on selle riskiklass. Andmekaitse osas peaksid nad küsima, kus patsiendiandmeid töödeldakse ja salvestatakse, kas EL-i andmete asukoht on tagatud ning kas patsiendiandmeid kasutatakse mudeli treenimiseks ja millisel õiguslikul alusel. EL-i AI seaduse osas peaksid nad küsima, kas süsteem on klassifitseeritud kõrge riskiga, milline vastavushindamine on lõpule viidud ja millised inimjärelevalve mehhanismid on sisse ehitatud. Turvalisuse osas peaksid nad küsima, kas müüjal on kehtiv ISO 27001 sertifikaat. Mittetäielikke või kõrvalehoidvaid vastuseid tuleks käsitleda olulise hankeriski märgina.
▶ Millal EL-i AI seaduse kohustused kõrge riskiga kliiniliste AI-süsteemide jaoks täielikult jõustuvad
EL-i AI seadus jõustus 1. augustil 2024, kuid selle kohustused rakenduvad etapiviisiliselt. Vastuvõetamatu riskiga AI-süsteemide keelud ja pakkujate ning kasutajate AI kirjaoskuse kohustused jõustusid 2025. aasta veebruaris. Kõrge riskiga AI-süsteemide kohustused III peatüki alusel, sealhulgas AI-meditsiiniseadmete kohustused, kehtivad täies mahus alates 2026. aasta augustist. Täielik kohaldatavus kõigi ülejäänud sätete osas järgneb 2027. aasta augustis. Üleminekusätted kehtivad AI-süsteemidele, mis on juba seaduslikult turul enne 2026. aasta augustit, kuid need on ajaliselt piiratud ega vabasta tootjaid lõplikust täielikust vastavusest.
▶ Mis on Euroopa tervishoiuandmete ruum ja kuidas see mõjutab kliinilist AI-d
Euroopa tervishoiuandmete ruumi (EHDS) määrus jõustus 26. märtsil 2025. See loob raamistiku tervishoiuandmete sekundaarseks kasutamiseks, sealhulgas AI arendamiseks ja teadusuuringuteks EL-i liikmesriikides. Euroopa Komisjon toob EHDS-i välja kui vastutustundliku kliinilise AI arendamise võtmeteguri. Selle koostoime GDPR-i eesmärgipärasuse põhimõttega, mis piirab andmete ümbersuunamist ilma uue õigusliku aluseta, vajab jätkuvat selgitamist rakendamise edenedes.