·

Teknologian käyttöönotto

Terveydenhuolto

Terveydenhuollon IT / CIO

EU:n terveydenhuollon tekoälysäädökset: MDR, GDPR ja tekoälyasetus

Navigoi EU:n säädöksissä kliinisen tekoälyn osalta. Ymmärrä MDR:n lääkinnällisen laitteen vaatimukset, GDPR:n tietosuoja ja tekoälyasetuksen vaatimustenmukaisuusvelvoitteet terveydenhuolto-organisaatioille

EU:n säännösten noudattamisen asiakirjat terveystekniikan symboleilla

Euroopan terveydenhuollon tekoälyä ei säännellä yhden sääntelykehyksen alla, vaan se kuuluu samanaikaisesti kolmen eri kehyksen piiriin, joilla kaikilla on oma toimivaltansa, vaatimuksensa ja täytäntöönpanomekanisminsa. Kliininen tekoälytyökalu, joka tukee diagnostisia päätöksiä, saattaa vaatia CE-merkinnän lääkinnällisenä laitteena, sen on käsiteltävä potilastietoja yleisen tietosuoja-asetuksen (GDPR) mukaisesti, ja se luokitellaan todennäköisesti korkean riskin järjestelmäksi EU:n tekoälyasetuksen mukaan. Nämä kehykset eivät ole peräkkäisiä, vaan rinnakkaisia ja vuorovaikutuksessa keskenään tavoilla, jotka eivät aina ole suoraviivaisia. Terveydenhuolto-organisaatioille, jotka arvioivat tai ottavat käyttöön tekoälyä, tämän sääntelymaiseman ymmärtäminen on edellytys vastuulliselle hankinnalle ja turvalliselle kliiniselle käytölle.

Kolme sääntelypilaria, jotka jokaisen terveydenhuollon tekoälyyrityksen on ymmärrettävä

Kolme erillistä EU:n kehystä säätelee kliinisen tekoälyn käyttöönottoa. Jokaisella on oma ensisijainen painopisteensä.

EU:n lääkinnällisten laitteiden asetus (MDR) 2017/745 säätelee turvallisuutta ja suorituskykyä. Sen painopiste on siinä, onko tuote, mukaan lukien ohjelmisto, turvallinen aiottuun kliiniseen tarkoitukseensa ja onko sen toimivuus validoitu.

GDPR säätelee yksityisyyttä. Se keskittyy siihen, miten henkilötietoja, erityisesti terveystietoja, kerätään, käsitellään, tallennetaan ja jaetaan. Se varmistaa, että yksilöillä säilyvät merkitykselliset oikeudet tietoihinsa.

EU:n tekoälyasetus (asetus (EU) 2024/1689, voimassa 1. elokuuta 2024 alkaen) säätelee systeemistä riskiä. Sen painopiste on siinä, ovatko tekoälyjärjestelmät läpinäkyviä, vastuullisia ja riittävän inhimillisen valvonnan alaisia, erityisesti silloin, kun nämä järjestelmät vaikuttavat perusoikeuksiin tai turvallisuuskriittisiin päätöksiin.

Kuten lääkinnällisten laitteiden koordinointiryhmän (MDCG) ja EU:n tekoälylautakunnan yhteinen UKK (MDCG 2025-6) vahvisti vuonna 2025, tekoälyjärjestelmien, jotka luokitellaan lääkinnällisiksi laitteiksi, on noudatettava sekä MDR/IVDR:ää että tekoälyasetusta samanaikaisesti. Yhden kehyksen noudattaminen ei korvaa toisen noudattamista.

Milloin terveydenhuollon tekoäly luokitellaan lääkinnälliseksi laitteeksi MDR:n mukaan

MDR 2017/745:n mukaan keskeinen kysymys on, onko ohjelmistotyökalulla lääketieteellinen käyttötarkoitus. Aikooko valmistaja käyttää sitä sairauden diagnosointiin, ehkäisyyn, seurantaan, ennustamiseen, hoitoon tai lievitykseen. Tämän määritelmän täyttävä ohjelmisto luokitellaan lääkinnälliseksi laitteeksi tarkoitetuksi ohjelmistoksi (SaMD), ja sen on noudatettava koko MDR-järjestelmää.

Käyttötarkoitus on ratkaiseva tekijä. Dokumentointityökalu, joka litteroi potilasasiakirjamerkintöjä tulkitsematta tai vaikuttamatta kliinisiin päätöksiin, on eri sääntelyasemassa kuin tekoälyjärjestelmä, joka merkitsee poikkeavat löydökset, ehdottaa diagnooseja tai priorisoi potilaiden hoidontarpeen arviota. Jälkimmäinen luokitellaan paljon todennäköisemmin SaMD:ksi.

Kun työkalu luokitellaan lääkinnälliseksi laitteeksi, valmistajan on:

  • Suoritettava laitteen riskiluokkaan (luokka I–III) sopiva vaatimustenmukaisuusarviointi

  • Laadittava ja ylläpidettävä kattava tekninen dokumentaatio

  • Otettava käyttöön laadunhallintajärjestelmä (QMS)

  • Hankittava CE-merkintä ennen laitteen markkinoille saattamista EU:ssa

  • Ylläpidettävä markkinoille saattamisen jälkeistä seurantaa ja raportoitava vakavat vaaratilanteet

King & Spaldingin analyysi MDCG 2025-6 -ohjeistuksesta tunnistaa viisi keskeistä toiminta-aluetta, joilla MDR:n ja tekoälyasetuksen velvoitteet kohtaavat: hallintajärjestelmät, tiedonhallinta, tekninen dokumentaatio, läpinäkyvyys ja inhimillinen valvonta sekä kyberturvallisuus ja tarkkuus. Valmistajien tulisi käsitellä näitä vaatimuksia kokonaisuutena, ei erillisinä tarkistuslistoina.

Yksi käytännön haaste on nimettyjen ilmoitettujen laitosten puute. Nämä riippumattomat vaatimustenmukaisuuden arviointiorganisaatiot vaaditaan korkeamman riskin laiteluokituksiin. Baker McKenzie on todennut, että tämä pullonkaula yhdistettynä merkittävään aukkoon tekoälykohtaisten riskien, kuten algoritmisen harhan ja mallin ajautumisen, yhdenmukaistetuissa standardeissa aiheuttaa todellisia viiveitä valmistajille, jotka hakevat markkinoille pääsyä.

GDPR ja kliininen tekoäly: mikä lasketaan erityisiin henkilötietoryhmiin ja miksi sillä on väliä

Tekoälyjärjestelmien käsittelemät terveystiedot luokitellaan erityisiksi henkilötietoryhmiksi GDPR:n 9 artiklan mukaan. Tämä tuo mukanaan korkeimman EU:n tietosuojalainsäädännön mukaisen suojan tason. Tämä luokittelu pätee riippumatta siitä, onko tekoälyjärjestelmä ensisijainen rekisterinpitäjä vai käsittelijä. Tietojen luonne, ei käsittelijän rooli, määrittää luokituksen.

Kliinisen tekoälyn käyttöönotolla tällä on useita suoria vaikutuksia.

Laillinen peruste. Erityisten henkilötietoryhmien terveystietojen käsittely edellyttää sekä laillista perustetta 6 artiklan mukaan että lisäedellytystä 9 artiklan mukaan. Kliinisissä yhteyksissä yleisimmin sovellettavat 9 artiklan edellytykset ovat: käsittely on tarpeen lääketieteellistä diagnoosia tai terveydenhuollon tarjoamista varten (9 artiklan 2 kohdan h alakohta), käsittely kansanterveyteen liittyvistä yleisen edun mukaisista syistä (9 artiklan 2 kohdan i alakohta) ja, jos kumpikaan ei sovellu, nimenomainen suostumus (9 artiklan 2 kohdan a alakohta). Suostumus on harvoin sopivin peruste kliinisissä olosuhteissa, kun otetaan huomioon potilaiden ja terveydenhuollon tarjoajien välinen luontainen valta-asetelma.

Tietojen minimointi ja käyttötarkoituksen rajoittaminen. Tekoälyjärjestelmien on käsiteltävä vain tietoja, jotka ovat tarpeen niiden määriteltyyn tarkoitukseen. Näitä tietoja ei voi käyttää uudelleen ilman uutta laillista perustetta. Tämä luo erityistä jännitettä, kun toimittajat haluavat käyttää kliinisiä tietoja mallin koulutukseen tai parantamiseen, mikä on tyypillisesti eri tarkoitus kuin alkuperäinen kliininen käyttö.

Rekisteröidyn oikeudet. Potilailla säilyvät oikeudet päästä tietoihinsa, oikaista niitä ja tietyissä olosuhteissa poistaa ne, vaikka heidän tietojaan olisi käsitelty tekoälyjärjestelmissä. Terveydenhuolto-organisaatioiden on pystyttävä vastaamaan näihin pyyntöihin myös kolmannen osapuolen tekoälytoimittajien hallussa olevien tai käsittelemien tietojen osalta.

Tekoälyllä toimivien terveydenhuoltolaitteiden yksityisyys- ja hallintakehysten tarkastelu korostaa, että GDPR:n noudattaminen tekoälypohjaisissa kliinisissä ympäristöissä edellyttää paitsi teknisiä valvontatoimia myös jatkuvia hallintarakenteita. Näihin kuuluvat tietosuojaa koskevat vaikutustenarvioinnit (DPIA), käsittelytoimien rekisterit ja selkeästi määritellyt tietojenkäsittelijäsopimukset.

Datan sijainti ja rajat ylittävät tietovirrat EU:n terveydenhuollon tekoälyssä

GDPR asettaa tiukat rajoitukset henkilötietojen siirtämiselle Euroopan talousalueen (ETA) ulkopuolelle. Kliinisen tekoälyn toimittajille tämä tarkoittaa, että kun potilastietoja käsitellään tai tallennetaan ETA:n ulkopuolella sijaitsevaan infrastruktuuriin, mukaan lukien Yhdysvalloissa tai muualla isännöidyt pilvialustat, on oltava käytössä erityiset siirtomekanismit.

Keskeiset mekanismit ovat:

  • Riittävyyttä koskevat päätökset, joissa Euroopan komissio on todennut, että kolmas maa tarjoaa vastaavan tietosuojan tason (kattaa tällä hetkellä rajoitetun määrän lainkäyttöalueita)

  • Vakiosopimuslausekkeet (SCC), jotka asettavat sopimusvelvoitteita sekä tietojen viejälle että tuojalle

  • Sitovat yrityssäännöt (BCR), joita käytetään ensisijaisesti monikansallisissa yrityskonserneissa

Terveydenhuolto-organisaatioille käytännön kysymys ei ole vain se, onko toimittaja allekirjoittanut SCC:t, vaan missä tietoja todella käsitellään ja tallennetaan. Datan sijainti EU:ssa tarkoittaa, että potilastietoja käsitellään ja tallennetaan fyysisesti ETA:n alueella sijaitsevaan infrastruktuuriin. Tämä poistaa tarpeen rajat ylittäville siirtomekanismeille ja yksinkertaistaa GDPR:n noudattamista huomattavasti. Terveydenhuolto-organisaatioiden tulisi vaatia toimittajia määrittelemään tämä sopimusasiakirjoissa.

Vertaileva politiikka-analyysi kyberturvallisuussääntelystä digitaalisessa terveydenhuollossa Yhdysvalloissa, EU:ssa ja Intiassa totesi, että EU:n lähestymistapa tietojen suvereniteettiin terveydenhuollossa on huomattavasti määräävämpi kuin muilla lainkäyttöalueilla. Tämä vaikuttaa siihen, miten globaalit tekoälytoimittajat suunnittelevat tuotteitaan Euroopan markkinoille.

Miten EU:n tekoälyasetus luokittelee terveydenhuollon tekoälyn ja mitä korkea riski tarkoittaa käytännössä

EU:n tekoälyasetus luo riskipohjaisen luokittelujärjestelmän, jossa on neljä tasoa: ei-hyväksyttävä riski (kielletty), korkea riski, rajoitettu riski ja vähäinen riski. Useimmat kliiniset tekoälytyökalut, kuten diagnostiset tukijärjestelmät, hoidontarpeen arviointityökalut ja kliiniset dokumentointiavustajat, jotka vaikuttavat hoitopolkuihin, kuuluvat todennäköisesti korkean riskin luokkaan.

Tekoälyasetuksen 6 artiklan 1 kohdan ja liitteen I mukaan tekoälyjärjestelmät, joita itsessään säännellään lääkinnällisinä laitteina MDR:n tai IVDR:n mukaan, luokitellaan automaattisesti korkean riskin tekoälyjärjestelmiksi. CE-merkitty SaMD on siis sekä MDR:n vaatimustenmukaisuusvaatimusten että täyden korkean riskin tekoälyasetuksen noudattamisvelvoitteen alainen.

Hunton Andrews Kurthin analyysi tekoälyasetuksen soveltamisesta lääkinnällisiin laitteisiin esittää keskeiset velvoitteet korkean riskin tekoälyjärjestelmille:

  • Tekninen dokumentaatio: Yksityiskohtaiset tiedot järjestelmän suunnittelusta, koulutusdatasta, validointimenetelmästä ja tunnetuista rajoituksista

  • Riskienhallinta: Jatkuva riskienhallintajärjestelmä, joka kattaa tekoälykohtaiset riskit, mukaan lukien algoritminen harha ja mallin ajautuminen

  • Tiedonhallinta: Vaatimukset koulutus-, validointi- ja testausdataseteille, mukaan lukien harhan havaitseminen ja tietojen laatuvalvonta

  • Läpinäkyvyys ja käyttöohjeet: Selkeä dokumentaatio käyttöönottajille ja käyttäjille järjestelmän kyvyistä ja rajoituksista

  • Inhimillinen valvonta: Tekniset ja organisatoriset toimenpiteet, jotka varmistavat, että ihmiset voivat tehokkaasti valvoa, ohittaa ja puuttua tekoälyn tuotoksiin

  • Vaatimustenmukaisuusarviointi: Muodollinen arviointi ennen markkinoille saattamista sekä jatkuva markkinoille saattamisen jälkeinen seuranta

  • Rekisteröinti: Korkean riskin tekoälyjärjestelmät on rekisteröitävä EU:n tekoälyjärjestelmien tietokantaan

Tekoälyasetus tuo mukanaan myös tekoälylukutaitovelvoitteet, jotka tulevat voimaan helmikuusta 2025 alkaen. Ne edellyttävät, että toimittajat ja käyttöönottajat varmistavat, että tekoälyjärjestelmien parissa työskentelevällä henkilöstöllä on riittävä ymmärrys teknologian kyvyistä ja rajoituksista. Taylor Wessing toteaa, että tämä velvoite koskee myös tekoälytyökaluja käyttöönottavia terveydenhuolto-organisaatioita, ei vain valmistajia.

Missä MDR, GDPR ja tekoälyasetus menevät päällekkäin ja missä ne ovat ristiriidassa

Kolmella kehyksellä on useita yhteisiä piirteitä. Kaikki vaativat läpinäkyvyyttä siitä, miten järjestelmä toimii, mitä tietoja se käyttää ja mitkä ovat sen rajoitukset. Kaikki edellyttävät dokumentoitua riskienhallintaa. Kaikki asettavat markkinoille saattamisen jälkeisiä tai jatkuvia seurantavelvoitteita. Kun MDR vaatii markkinoille saattamisen jälkeistä seurantaa ja tekoälyasetus vaatii vastaavaa, näihin velvoitteisiin voidaan periaatteessa vastata yhtenäisen prosessin kautta.

Vuonna 2025 julkaistu vertaisarvioitu analyysi, joka tarkastelee tekoälyasetuksen ja MDR/IVDR:n välistä sääntelyyhteyttä, vahvisti, että MDR:n vaatima QMS voi toimia perustana tekoälyasetuksen noudattamiselle. Molempien kehysten tekniset dokumentaatiovaatimukset voidaan integroida sen sijaan, että ne monistettaisiin. Tekoälyasetuksen 8 artikla nimenomaisesti mahdollistaa tämän integraation tekoälylääkinnällisille laitteille.

Aitoja jännitteitä on kuitenkin olemassa.

Tietojen säilyttäminen vs. tietojen minimointi. Tekoälyasetus kannustaa ja joissakin tapauksissa vaatii koulutusdatan, validointidatasettien ja lokien säilyttämistä tarkastus- ja vastuullisuustarkoituksiin. GDPR:n tietojen minimointiperiaatteet ja tallennusrajoitusperiaatteet painottavat päinvastaista. Toimittajien on ratkaistava tämä jännite nimenomaisesti, tyypillisesti tarkoituskohtaisten säilytysaikataulujen ja anonymisoinnin avulla, kun se on mahdollista.

Läpinäkyvyys vs. liikesalaisuudet. Sekä tekoälyasetus että GDPR vaativat merkittävää läpinäkyvyyttä siitä, miten tekoälyjärjestelmät käsittelevät tietoja ja tuottavat tuloksia. Käytännössä toimittajat saattavat vastustaa omistusoikeudellisten malliarkkitehtuurien paljastamista. Kehykset eivät täysin ratkaise tätä jännitettä.

Algoritminen harha ja GDPR:n oikeudenmukaisuusperiaate. GDPR edellyttää, että automatisoitu käsittely on oikeudenmukaista, mutta ei määrittele, miten oikeudenmukaisuutta tulisi mitata tekoälyjärjestelmissä. Tekoälyasetus asettaa tarkempia tiedonhallinnan vaatimuksia harhan havaitsemiseen liittyen, mutta akateeminen kommentaari on todennut, että kumpikaan kehys ei tarjoa lopullista metodologista ohjeistusta terveydenhuollon tekoälykehittäjille.

Sääntelymaisema on jatkuvassa muutoksessa. Kaksi kilpailevaa EU:n lainsäädäntöehdotusta, Digital Omnibus (DG CONNECTin johdolla) ja DG SANTEn MDR/IVDR-muutos, pyrkivät molemmat yksinkertaistamaan tekoälyasetuksen ja MDR:n päällekkäisyyksiä. Harvardin oikeustieteen korkeakoulun Petrie-Flom-keskuksen analyysi nostaa esiin huolen siitä, että yksinkertaistamispyrkimykset voivat tahattomasti heikentää inhimillisen valvonnan suojatoimia, erityisesti kliinikoille ja potilaille. Näiden ehdotusten lopputulos on edelleen epävarma vuoden 2026 puolivälissä.

Kuka on vastuussa kunkin kehyksen mukaan: toimittaja, sairaala vai molemmat

Sääntelyvastuu kolmen kehyksen mukaan on hajautettu eikä yksittäinen. Jako vaihtelee sen mukaan, mikä kehys soveltuu.

MDR:n mukaan ensisijainen velvoite kuuluu valmistajalle, tyypillisesti tekoälytoimittajalle. Valmistaja on vastuussa vaatimustenmukaisuusarvioinnista, CE-merkinnästä, teknisestä dokumentaatiosta ja markkinoille saattamisen jälkeisestä seurannasta. Terveydenhuolto-organisaatio, joka ottaa käyttöön CE-merkityn SaMD:n ilman muutoksia, toimii yleensä käyttäjänä eikä valmistajana. Sillä on rajoitetummat velvoitteet.

GDPR:n mukaan jako riippuu siitä, kuka määrittää käsittelyn tarkoitukset ja keinot. Terveydenhuolto-organisaatio, joka ottaa käyttöön tekoälyjärjestelmän potilasasiakirjojen käsittelyyn, on tyypillisesti rekisterinpitäjä. Sillä on ensisijainen vastuu laillisesta perusteesta, potilaiden oikeuksista ja DPIA-velvoitteista. Tekoälytoimittaja, joka käsittelee tietoja organisaation puolesta, on yleensä tietojenkäsittelijä. Sitä sitoo tietojenkäsittelysopimus (DPA), joka määrittelee käsittelyn laajuuden ja ehdot.

EU:n tekoälyasetuksen mukaan tehdään ero toimittajien (ne, jotka kehittävät tai saattavat tekoälyjärjestelmiä markkinoille) ja käyttöönottajien (ne, jotka käyttävät tekoälyjärjestelmiä ammatillisessa yhteydessä) välillä. Toimittajat kantavat ensisijaisen vaatimustenmukaisuusvastuun korkean riskin tekoälyjärjestelmistä, kattaen teknisen dokumentaation, vaatimustenmukaisuusarvioinnin ja rekisteröinnin. Käyttöönottajilla on omat velvoitteensa: inhimillisten valvontatoimenpiteiden toteuttaminen, henkilöstön tekoälylukutaidon varmistaminen, järjestelmän suorituskyvyn seuranta käytössä ja käytön keskeyttäminen, jos turvallisuushuolia ilmenee.

White & Casen analyysi tekoälyvastuudirektiivin jälkeisestä maisemasta, direktiivin peruuttamisen jälkeen helmikuussa 2025, vahvistaa, että tarkistettu tuotevastuudirektiivi muodostaa nyt osan tekoälyllä toimivien lääkinnällisten laitteiden vastuukehystä. Sillä on vaikutuksia sekä valmistajille että käyttöönottajille, kun viallisesta tekoälyjärjestelmästä aiheutuu vahinkoa.

Kliinistä tekoälytyökalua käyttöönottava sairaala ei voi olettaa, että sääntelyvaatimustenmukaisuus on kokonaan toimittajan vastuulla. Sopimusselkeys rooleista, velvoitteista ja vastuunjaosta on välttämätöntä ennen käyttöönottoa.

Mitä terveydenhuolto-organisaatioiden tulisi kysyä tekoälytoimittajilta ennen käyttöönottoa

Hankintatiimien ja kliinisten johtajien, jotka arvioivat tekoälytyökaluja kliiniseen käyttöönottoon, tulisi saada selkeät, dokumentoidut vastaukset seuraaviin kysymyksiin.

MDR:stä ja lääkinnällisen laitteen asemasta:

  • Onko tämä tuote luokiteltu lääkinnälliseksi laitteeksi EU MDR 2017/745:n mukaan?

  • Jos on, mikä on sen riskiluokitus ja onko CE-merkintä hankittu?

  • Voitteko toimittaa vaatimustenmukaisuusvakuutuksen ja yhteenvedon turvallisuudesta ja kliinisestä suorituskyvystä?

  • Miten markkinoille saattamisen jälkeistä seurantaa suoritetaan ja miten vaaratilanteet raportoidaan?

GDPR:stä ja tietojenkäsittelystä:

  • Missä potilastietoja käsitellään ja tallennetaan? Taataanko EU:n datan sijainti?

  • Allekirjoitatteko tietojenkäsittelysopimuksen, joka on GDPR:n 28 artiklan mukainen?

  • Onko tietosuojaa koskeva vaikutustenarviointi saatavilla tarkasteltavaksi?

  • Käytetäänkö potilastietoja mallin koulutukseen tai parantamiseen? Jos käytetään, millä laillisella perusteella?

  • Miten rekisteröidyn oikeuksia (pääsy, poistaminen, oikaisu) käsitellään?

EU:n tekoälyasetuksesta:

  • Onko tämä järjestelmä luokiteltu korkean riskin tekoälyjärjestelmäksi EU:n tekoälyasetuksen mukaan?

  • Mikä vaatimustenmukaisuusarviointi on suoritettu tai suunniteltu tekoälyasetuksen mukaan?

  • Mikä tekninen dokumentaatio on saatavilla, joka kattaa koulutusdatan, validoinnin ja tunnetut rajoitukset?

  • Mitkä inhimilliset valvontamekanismit on rakennettu järjestelmään?

  • Onko järjestelmä rekisteröity EU:n tekoälyjärjestelmien tietokantaan?

Turvallisuudesta ja tarkastuksesta:

  • Onko organisaatiolla ISO 27001 -sertifikaatti, ja onko se voimassa?

  • Mitä tarkastusjälkiominaisuuksia järjestelmä tarjoaa?

  • Miten kyberturvallisuushaavoittuvuudet tunnistetaan ja käsitellään käyttöönoton jälkeen?

Tekoälylukutaidosta:

  • Mitä koulutusta tai dokumentaatiota tarjotaan tekoälyasetuksen mukaisten tekoälylukutaitovelvoitteiden tueksi?

Epätäydelliset tai välttelevät vastaukset näihin kysymyksiin tulisi nähdä merkittävänä hankintariskin signaalina.

Miten sääntelymaisema kehittyy: mitä seurata vuoden 2026 ja sen jälkeen

EU:n tekoälyasetus tuli voimaan elokuussa 2024, mutta sen velvoitteet tulevat voimaan vaiheittain. Keskeiset virstanpylväät ovat:

  • Helmikuu 2025: Ei-hyväksyttävän riskin tekoälyjärjestelmien kiellot astuvat voimaan. Toimittajien ja käyttöönottajien tekoälylukutaitovelvoitteet tulevat voimaan.

  • Elokuu 2026: Korkean riskin tekoälyjärjestelmien velvoitteet III luvun mukaan tulevat täysimääräisesti voimaan, mukaan lukien liitteen I mukaiset tekoälylääkinnälliset laitteet.

  • Elokuu 2027: Kaikki jäljellä olevat säännökset tulevat voimaan täysimääräisesti.

MDX CRO:n vaatimustenmukaisuusopas toteaa, että siirtymäsäännöksiä on olemassa tekoälyjärjestelmille, jotka ovat jo laillisesti markkinoilla ennen elokuuta 2026. Nämä säännökset ovat kuitenkin aikarajoitettuja eivätkä vapauta valmistajia lopulta täydellisestä vaatimustenmukaisuudesta.

Kaksi muuta kehitystä ansaitsee tarkkaa huomiota.

Euroopan terveystietoavaruuden (EHDS) asetus tuli voimaan 26. maaliskuuta 2025. EHDS luo kehyksen terveystietojen toissijaiselle käytölle, mukaan lukien tekoälyn kehittämiseen ja tutkimukseen, EU:n jäsenvaltioissa. Euroopan komission virallinen ohjeistus tekoälystä terveydenhuollossa tunnistaa EHDS:n vastuullisen kliinisen tekoälyn kehittämisen keskeisenä mahdollistajana. Sen vuorovaikutus GDPR:n käyttötarkoituksen rajoitusperiaatteen kanssa vaatii kuitenkin jatkuvaa selventämistä toteutuksen edetessä.

Kilpailevat yksinkertaistamisehdotukset, Digital Omnibus ja DG SANTEn MDR/IVDR-muutos, pyrkivät molemmat vähentämään vaatimustenmukaisuustaakkaa MDR:n ja tekoälyasetuksen risteyksessä. Kuten Harvardin oikeustieteen korkeakoulun Petrie-Flom-keskus on havainnut, näiden ehdotusten lopputulos voi merkittävästi muuttaa kliinisen tekoälyn vaatimustenmukaisuusmaisemaa joko virtaviivaistamalla päällekkäisiä vaatimuksia tai, jos inhimillisen valvonnan säännöksiä heikennetään, luomalla uusia potilasturvallisuusriskejä.

Epävarmuus tekoälyn käytön laillisuudesta tietyissä kliinisissä yhteyksissä on edelleen aito haaste terveydenhuollon tarjoajille, vaikka kehyksiä olisi olemassa. Sääntelyvaatimustenmukaisuus kliinisessä tekoälyssä ei ole kertaluonteinen hankintavalinta. Se vaatii jatkuvaa seurantaa sääntelyympäristöstä, joka jatkaa kehittymistään, sekä hallintarakennetta, joka pystyy reagoimaan velvoitteiden muuttuessa.

Usein kysytyt kysymykset

▶ Mitkä sääntelykehykset koskevat kliinistä tekoälyä Euroopassa

Kolme EU:n kehystä soveltuu samanaikaisesti kliiniseen tekoälyyn. Lääkinnällisten laitteiden asetus (MDR) 2017/745 säätelee turvallisuutta ja suorituskykyä. Yleinen tietosuoja-asetus (GDPR) säätelee sitä, miten potilastietoja kerätään, käsitellään ja tallennetaan. EU:n tekoälyasetus (asetus (EU) 2024/1689), joka on ollut voimassa 1. elokuuta 2024 alkaen, säätelee läpinäkyvyyttä, vastuullisuutta ja inhimillistä valvontaa. Lääkinnällisten laitteiden koordinointiryhmän ja EU:n tekoälylautakunnan yhteinen UKK vahvisti vuonna 2025, että yhden kehyksen noudattaminen ei korvaa toisen noudattamista.

▶ Milloin kliininen tekoälytyökalu luokitellaan lääkinnälliseksi laitteeksi EU MDR:n mukaan

Kliininen tekoälytyökalu luokitellaan lääkinnälliseksi laitteeksi, kun sen valmistaja aikoo käyttää sitä sairauden diagnosointiin, ehkäisyyn, seurantaan, ennustamiseen, hoitoon tai lievitykseen. Tämän määritelmän täyttävä ohjelmisto luokitellaan lääkinnälliseksi laitteeksi tarkoitetuksi ohjelmistoksi (SaMD). Dokumentointityökalu, joka litteroi potilasasiakirjamerkintöjä vaikuttamatta kliinisiin päätöksiin, on eri sääntelyasemassa kuin tekoälyjärjestelmä, joka merkitsee poikkeavat löydökset tai priorisoi potilaiden hoidontarpeen arviota. Jälkimmäinen luokitellaan paljon todennäköisemmin SaMD:ksi, ja sen on hankittava CE-merkintä ennen kuin se saatetaan EU:n markkinoille.

▶ Miten GDPR soveltuu tekoälyjärjestelmien käsittelemiin terveystietoihin

Tekoälyjärjestelmien käsittelemät terveystiedot luokitellaan erityisiksi henkilötietoryhmiksi GDPR:n 9 artiklan mukaan. Tämä tuo mukanaan korkeimman EU:n tietosuojalainsäädännön mukaisen suojan tason. Sen käsittely edellyttää sekä laillista perustetta 6 artiklan mukaan että lisäedellytystä 9 artiklan mukaan. Kliinisissä yhteyksissä yleisimmin sovellettavat edellytykset ovat käsittely, joka on tarpeen lääketieteellistä diagnoosia tai terveydenhuollon tarjoamista varten, ja käsittely kansanterveyteen liittyvistä yleisen edun mukaisista syistä. Tekoälyjärjestelmien on myös noudatettava tietojen minimointia. Ne voivat käsitellä vain tietoja, jotka ovat tarpeen niiden määriteltyyn tarkoitukseen. Näitä tietoja ei voi käyttää uudelleen ilman uutta laillista perustetta.

▶ Mitä EU:n datan sijainti tarkoittaa kliinisen tekoälyn toimittajille

Datan sijainti EU:ssa tarkoittaa, että potilastietoja käsitellään ja tallennetaan fyysisesti Euroopan talousalueella (ETA) sijaitsevaan infrastruktuuriin. GDPR asettaa tiukat rajoitukset henkilötietojen siirtämiselle ETA:n ulkopuolelle. Kun toimittaja käsittelee tietoja Yhdysvalloissa tai muualla sijaitsevassa infrastruktuurissa, on oltava käytössä erityiset siirtomekanismit, kuten vakiosopimuslausekkeet. EU:n datan sijainti poistaa tarpeen näille mekanismeille ja yksinkertaistaa GDPR:n noudattamista huomattavasti. Terveydenhuolto-organisaatioiden tulisi vaatia toimittajia määrittelemään datan sijaintijärjestelyt sopimusasiakirjoissa.

▶ Miten EU:n tekoälyasetus luokittelee terveydenhuollon tekoälytyökalut

EU:n tekoälyasetus luo riskipohjaisen luokittelujärjestelmän, jossa on neljä tasoa: ei-hyväksyttävä riski (kielletty), korkea riski, rajoitettu riski ja vähäinen riski. Useimmat kliiniset tekoälytyökalut, mukaan lukien diagnostiset tukijärjestelmät, hoidontarpeen arviointityökalut ja kliiniset dokumentointiavustajat, jotka vaikuttavat hoitopolkuihin, kuuluvat todennäköisesti korkean riskin luokkaan. Tekoälyasetuksen 6 artiklan 1 kohdan ja liitteen I mukaan tekoälyjärjestelmät, joita säännellään lääkinnällisinä laitteina MDR:n mukaan, luokitellaan automaattisesti korkean riskin tekoälyjärjestelmiksi. Tämä tekee niistä sekä MDR:n vaatimustenmukaisuusvaatimusten että täyden korkean riskin tekoälyasetuksen noudattamisvelvoitteen alaisia.

▶ Missä MDR, GDPR ja EU:n tekoälyasetus menevät päällekkäin tai ovat ristiriidassa

Kaikki kolme kehystä vaativat läpinäkyvyyttä, dokumentoitua riskienhallintaa ja jatkuvia seurantavelvoitteita. Vuonna 2025 julkaistu vertaisarvioitu analyysi vahvisti, että MDR:n vaatima laadunhallintajärjestelmä voi toimia perustana tekoälyasetuksen noudattamiselle. Molempien kehysten tekniset dokumentaatiovaatimukset voidaan integroida sen sijaan, että ne monistettaisiin. Aitoja jännitteitä on kuitenkin olemassa. Tekoälyasetus kannustaa koulutusdatan ja lokien säilyttämiseen tarkastustarkoituksiin, kun taas GDPR:n tietojen minimointiperiaatteet ja tallennusrajoitusperiaatteet painottavat päinvastaista. Toimittajien on ratkaistava tämä jännite nimenomaisesti, tyypillisesti tarkoituskohtaisten säilytysaikataulujen ja anonymisoinnin avulla, kun se on mahdollista.

▶ Kuka on vastuussa sääntelyvaatimustenmukaisuudesta: tekoälytoimittaja vai terveydenhuolto-organisaatio

Vastuu on hajautettu kaikkien kolmen kehyksen kesken. Jako vaihtelee sen mukaan, mikä kehys soveltuu. MDR:n mukaan ensisijainen velvoite kuuluu valmistajalle, tyypillisesti tekoälytoimittajalle, joka on vastuussa CE-merkinnästä, teknisestä dokumentaatiosta ja markkinoille saattamisen jälkeisestä seurannasta. GDPR:n mukaan tekoälyjärjestelmän käyttöönottava terveydenhuolto-organisaatio on tyypillisesti rekisterinpitäjä. Sillä on ensisijainen vastuu laillisesta perusteesta ja potilaiden oikeuksista, kun taas toimittaja toimii tietojenkäsittelijänä. EU:n tekoälyasetuksen mukaan toimittajat kantavat pääasiallisen vaatimustenmukaisuusvastuun korkean riskin tekoälyjärjestelmistä, mutta käyttöönottavilla organisaatioilla on omat velvoitteensa, kuten inhimillisen valvonnan toteuttaminen ja henkilöstön tekoälylukutaidon varmistaminen. Kliinistä tekoälytyökalua käyttöönottava sairaala ei voi olettaa, että sääntelyvaatimustenmukaisuus on kokonaan toimittajan vastuulla.

▶ Mitä kysymyksiä terveydenhuolto-organisaatioiden tulisi kysyä tekoälytoimittajilta ennen käyttöönottoa

Hankintatiimien tulisi kysyä toimittajilta vahvistusta siitä, onko tuotteella CE-merkintä lääkinnällisenä laitteena ja mikä on sen riskiluokitus. Tietosuojasta heidän tulisi kysyä, missä potilastietoja käsitellään ja tallennetaan, taataanko EU:n datan sijainti ja käytetäänkö potilastietoja mallin koulutukseen ja millä laillisella perusteella. EU:n tekoälyasetuksesta heidän tulisi kysyä, onko järjestelmä luokiteltu korkean riskin järjestelmäksi, mikä vaatimustenmukaisuusarviointi on suoritettu ja mitkä inhimilliset valvontamekanismit on rakennettu sisään. Turvallisuudesta heidän tulisi kysyä, onko toimittajalla voimassa oleva ISO 27001 -sertifikaatti. Epätäydelliset tai välttelevät vastaukset tulisi nähdä merkittävänä hankintariskin signaalina.

▶ Milloin EU:n tekoälyasetuksen velvoitteet korkean riskin kliinisille tekoälyjärjestelmille tulevat täysimääräisesti voimaan

EU:n tekoälyasetus tuli voimaan 1. elokuuta 2024, mutta sen velvoitteet tulevat voimaan vaiheittain. Ei-hyväksyttävän riskin tekoälyjärjestelmien kiellot ja toimittajien sekä käyttöönottajien tekoälylukutaitovelvoitteet tulivat voimaan helmikuussa 2025. Korkean riskin tekoälyjärjestelmien velvoitteet III luvun mukaan, mukaan lukien tekoälylääkinnälliset laitteet, tulevat täysimääräisesti voimaan elokuusta 2026 alkaen. Kaikki jäljellä olevat säännökset tulevat voimaan elokuussa 2027. Siirtymäsäännöksiä on olemassa tekoälyjärjestelmille, jotka ovat jo laillisesti markkinoilla ennen elokuuta 2026, mutta nämä ovat aikarajoitettuja eivätkä vapauta valmistajia lopulta täydellisestä vaatimustenmukaisuudesta.

▶ Mikä on Euroopan terveystietoavaruus ja miten se vaikuttaa kliiniseen tekoälyyn

Euroopan terveystietoavaruuden (EHDS) asetus tuli voimaan 26. maaliskuuta 2025. Se luo kehyksen terveystietojen toissijaiselle käytölle, mukaan lukien tekoälyn kehittämiseen ja tutkimukseen, EU:n jäsenvaltioissa. Euroopan komissio tunnistaa EHDS:n vastuullisen kliinisen tekoälyn kehittämisen keskeisenä mahdollistajana. Sen vuorovaikutus GDPR:n käyttötarkoituksen rajoitusperiaatteen kanssa, joka rajoittaa tietojen uudelleenkäyttöä ilman uutta laillista perustetta, vaatii jatkuvaa selventämistä toteutuksen edetessä.

Aloita Tandemin käyttö jo tänään

Liity tuhansien sote-ammattilaisten joukkoon ja nauti huolettomasta kirjaamisesta.

Aloita Tandemin käyttö jo tänään

Liity tuhansien sote-ammattilaisten joukkoon ja nauti huolettomasta kirjaamisesta.

Aloita Tandemin käyttö jo tänään

Liity tuhansien sote-ammattilaisten joukkoon ja nauti huolettomasta kirjaamisesta.