ES dirbtinio intelekto akto įpareigojimai medicinos prietaisų DI, diagnostikos sistemų ir klinikinės sprendimų paramos srityse. Apžvelgiama MDR/IVDR sąveika ir dviguba Annex I atitiktis.
Kodėl ES dirbtinio intelekto aktas turi ypatingą reikšmę sveikatos priežiūroje
ES dirbtinio intelekto aktas (Reglamentas (ES) 2024/1689) nustato griežčiausius atitikties įpareigojimus srityse, kuriose DI klaidos turi gyvybiškai svarbių pasekmių. Sveikatos priežiūra ir gyvybės mokslai yra dviejų tokių reikalavimų sankirtoje: akto struktūrinė medicinos prietaisų DI klasifikacija kaip didelės rizikos pagal Art. 6(1) ir sektoriaus esama reguliavimo aplinka pagal MDR (ES) 2017/745, IVDR (ES) 2017/746, GDPR Art. 9 ir Klinikinių tyrimų reglamentą (ES) 536/2014.
Sveikatos DI tiekėjams ir naudotojams ši sankirta nėra vien papildoma našta. Ji sukuria sluoksniuotas prievolių sistemas, kurias reikia kurti, dokumentuoti ir stebėti kartu. DI sistema, integruota į diagnostinio vaizdinimo prietaisą, turi atitikti notifikuotosios įstaigos atitikties įvertinimą pagal MDR ir atskirą atitikties įvertinimą pagal ES dirbtinio intelekto aktą. Ligoninė, diegianti DI valdomą triažo priemonę, tampa naudotoju pagal Art. 26 su nepriklausomomis prievolėmis, kurių negalima įvykdyti vien remiantis tiekėjo CE ženklinimu.
Atitikties neužtikrinimo pasekmės atitinkamai yra didelės. Nacionalinės priežiūros institucijos gali skirti baudas iki 30 milijonų eurų arba 6 % pasaulinės metinės apyvartos už neatitinkančios didelės rizikos DI pateikimą rinkai. Be finansinių sankcijų, produkto išėmimas iš rinkos, klinikinio naudojimo sustabdymas ir privalomi taisomieji veiksmai gali sutrikdyti pacientų priežiūrą dideliu mastu.
Dvejopas reguliavimo kelias
Sveikatos priežiūros DI atitikties apibrėžiantis struktūrinis bruožas yra vienalaikis produktų saugos teisės ir DI specifinės teisės taikymas. Kai DI sistema sudaro saugos komponentą medicinos prietaiso, kaip apibrėžta ES dirbtinio intelekto akto Annex I (nurodant naująją teisėkūros sistemą), ji automatiškai priskiriama didelės rizikos kategorijai pagal Art. 6(1) — nereikia papildomai vertinti žalos tikimybės ar sunkumo. Klasifikacija yra kategorinė.
Tai reiškia, kad organizacijos privalo palaikyti du lygiagrečius atitikties įvertinimo kelius — vieną pagal MDR arba IVDR, kitą pagal ES dirbtinio intelekto aktą — ir turi įrodyti atitiktį abiem ES didelės rizikos DI sistemų duomenų bazėje (EUAI DB) prieš pateikiant į rinką.
Didelės rizikos DI naudojimo atvejai — medicinos prietaisai ir sveikatos priežiūros teikimas
Diagnostinio vaizdinimo DI
DI sistemos, naudojamos radiologijoje, patologijoje ir oftalmologijoje, analizuojančios vaizdus siekiant aptikti, klasifikuoti arba apibūdinti pažeidimus, anomalijas ar ligos būsenas, praktiškai visuose kliniškai aktualiuose konfigūracijos variantuose yra medicinos prietaisų saugos komponentai pagal MDR IIa klasę ar aukščiau. Todėl jos yra didelės rizikos pagal Art. 6(1) ir privalo atitikti ES dirbtinio intelekto akto III skyriaus 2 skirsnį, apimantį duomenų valdymą (Art. 10), techninę dokumentaciją (Art. 11, Annex IV), automatinį registravimą (Art. 12), skaidrumą (Art. 13), žmogaus priežiūrą (Art. 14), taip pat tikslumą, patikimumą ir kibernetinį saugumą (Art. 15).
Klinikinės sprendimų paramos sistemos
Klinikinės sprendimų paramos (CDS) priemonės apima platų rizikos spektrą priklausomai nuo jų funkcinio vaidmens. Esminis reguliavimo skirtumas yra tai, ar sistema pakeičia, ar padeda priimti klinikinį sprendimą:
- Autonominė arba beveik autonominė išvestis: CDS sistema, generuojanti recepto rekomendaciją, nustatanti paciento vaistų dozę arba klasifikuojanti pacientą kaip reikalaujantį skubios intervencijos, nereikalaujant klinicisto peržiūros prieš veikiant pagal išvestį, greičiausiai bus laikoma didelės rizikos pagal Annex III ir gali būti medicinos prietaisas pagal MDR.
- Filtruota išvestis klinicistui peržiūrėti: CDS, pateikianti suskirstytas diferencines diagnozes arba žyminti laboratorinius rezultatus kaip nenormalius, kur kvalifikuotas klinicistas peržiūri ir patvirtina kiekvieną rekomendaciją prieš tai, kai ji paveikia paciento valdymą, gali nepriskirti didelės rizikos kategorijai, jei ji nepriklausomai neatitinka Annex III kriterijų kitais pagrindais.
Šis skirtumas turi būti dokumentuotas DI sistemos numatytos paskirties apraše, kuris yra sudedamoji tiek DI akto techninės dokumentacijos, tiek MDR techninio dokumento dalis.
Pacientų triažo prioritetų nustatymas skubiosios pagalbos aplinkose
DI sistemos, nustatančios eilę, kuria skubiosios pagalbos pacientai gauna priežiūrą — įskaitant sepsio prognozavimo modelius ir PITS (pacientų intensyviosios terapijos skyriaus) stebėjimo sistemas, sukeliančias eskalavimo protokolus — veikia esant laiko spaudimui ir klinikiniam sudėtingumui, dėl kurių žmogaus priežiūra pagal Art. 14 tampa ypač reikli. Diegiančios organizacijos turi užtikrinti, kad priežiūros mechanizmas būtų tikrai veiksmingas: klinicistas, kuriam priskirta priežiūros atsakomybė, privalo turėti techninį supratimą, prieigą prie DI samprotavimų ir laiko darbo eigoje intervenuoti, kol sistemos išvestis nepaveikė pacientų rezultatų.
Psichinės sveikatos atrankos DI
DI priemonės, naudojamos gyventojų arba atskirų pacientų psichinės sveikatos sutrikimų atrankai — depresijos rizikos balai, savižudybės rizikos stratifikacija, perdegimo atranka — aktyvina tiek DI akto didelės rizikos nuostatas (kai jos daro įtaką prieigai prie priežiūros arba išteklių paskirstymui), tiek GDPR Art. 9 ypač jautriame aspekte. Psichinės sveikatos duomenys GDPR tikslais yra sveikatos duomenys; jų tvarkymas DI mokymui ar išvadų darymui reikalauja teisinio pagrindo pagal Art. 9(2) ir tinkamų apsaugos priemonių pagal Art. 22 (automatizuotas individualus sprendimų priėmimas).
Chirurginė robotika ir DI valdomi procedūros
DI komponentai, integruoti į chirurgines robotines sistemas, realiu laiku adaptuojančios procedūrų parametrus — instrumento padėtį, haptinės grįžtamosios informacijos moduliaciją, audinių klasifikaciją — yra aktyviai implantuojamų prietaisų arba III klasės medicinos prietaisų pagal MDR saugos komponentai. Atitikties įvertinimo našta atitinkamai yra didžiausia: notifikuotosios įstaigos įvertinimas pagal MDR Annex IX arba X, derinamas su ES dirbtinio intelekto akto atitikties įvertinimu pagal Art. 43. Abiejų sistemų pateikimo į rinką po rinkodaros priežiūros įpareigojimai turi būti integruoti į vieną klinikinės tolesnės priežiūros ir veiksmingumo stebėjimo sistemą.
Annex III 5(a) punktas — prieiga prie esminių sveikatos priežiūros paslaugų
Be medicinos prietaiso kelio, Annex III, 5(a) punktas ES dirbtinio intelekto akte atskirai klasifikuoja kaip didelės rizikos DI sistemas, naudojamas nustatyti prieigą prie esminių viešųjų paslaugų, įskaitant sveikatos priežiūrą. DI sistema, nustatanti, ar pacientas atitinka kompensuojamo gydymo reikalavimus, yra įtrauktas į transplantacijos laukimo sąrašą arba atitinka klinikinių tyrimų dalyvavimo reikalavimus, yra didelės rizikos pagal šią nuostatą, net jei ji nėra integruota į medicinos prietaisą.
Tiekėjo ir naudotojo įpareigojimai sveikatos priežiūroje
Tiekėjo įpareigojimai
Organizacijos, kuriančios, pateikiančios rinkai arba pradedančios naudoti didelės rizikos sveikatos DI sistemą kaip tiekėjai pagal Art. 16, privalo:
- Sukurti ir įgyvendinti kokybės valdymo sistemą (QMS) pagal Art. 17, apimančią projektavimo kontrolę, rizikos valdymą, suderintą su ISO 14971 (suderinta su MDR), ir po rinkodaros stebėjimo procedūras.
- Parengti techninę dokumentaciją pagal Annex IV, įskaitant numatytą paskirtį, rizikos valdymo bylą, mokymo duomenų aprašymus, tikrinimo ir testavimo rezultatus bei po rinkodaros stebėjimo planą.
- Registruoti sistemą ES duomenų bazėje prieš pateikiant rinkai (Art. 49).
- Užtikrinti, kad sistema turėtų CE ženklinimą, ir pateikti ES atitikties deklaraciją.
- Paskirti ES įgaliotąjį atstovą, jei įsteigta už ES ribų.
- Saugoti techninę dokumentaciją ir žurnalus 10 metų po pateikimo rinkai (Art. 18).
Naudotojo įpareigojimai
Ligoninės, klinikos, vaistinių tinklai ir kitos sveikatos priežiūros įstaigos, veikiančios kaip trečiųjų šalių didelės rizikos DI sistemų naudotojai, turi įpareigojimus pagal Art. 26, nepriklausančius nuo tiekėjo atitikties:
- Įdiegti sistemą tiekėjo naudojimo instrukcijose nurodytos apimties ribose — bet koks naudojimas už tos apimties ribų gali iš naujo klasifikuoti įstaigą kaip tiekėją.
- Priskirti žmogaus priežiūros pareigas darbuotojams, turintiems kompetenciją, įgaliojimus ir priemones stebėti sistemos veikimą ir į jį kištis.
- Saugoti veikimo žurnalus ne trumpiau kaip šešis mėnesius arba ilgiau, kai to reikalauja taikomi sektoriaus teisės aktai (MDR budrumas, ligoninių dokumentų saugojimo įstatymai).
- Nedelsiant pranešti tiekėjui apie rimtus incidentus ar gedimus, o jei kyla pavojus pacientų saugai — atitinkamoms sveikatos institucijoms pagal MDR Art. 87 budrumo procedūras.
- Atlikti pagrindinių teisių poveikio vertinimus (PTPV) pagal Art. 27, kai DI sistema naudojama priimti arba padėti priimti sprendimus, turinčius įtakos atskiriems pacientams dideliu mastu.
Sąveika su MDR, IVDR ir GDPR
MDR ir IVDR: dvigubas atitikties įvertinimo režimas
ES dirbtinio intelekto akto Art. 6(1), skaitomas kartu su Annex I, nustato saugos komponento kelią. Kai DI sistema yra MDR arba IVDR reguliuojamo produkto saugos komponentas, ES dirbtinio intelekto akto atitikties įvertinimas turi būti integruotas į esamą MDR/IVDR procedūrą. ES dirbtinio intelekto akto Art. 8(1) suteikia pirmumą MDR/IVDR sektoriaus specifinėms taisyklėms, kai jos nustato lygiaverčius arba griežtesnius įpareigojimus, tačiau neeliminuoja DI akto įpareigojimų — jis keičia procedūrą, o ne reikalavimą.
IIb ir III klasės medicinos prietaisams su integruotu DI privalomas notifikuotosios įstaigos įvertinimas pagal MDR Annex IX (kokybės valdymas) arba Annex X (tipo tyrimas). Ta pati notifikuotoji įstaiga, jei paskirta pagal DI aktą, gali atlikti DI akto atitikties įvertinimą kaip integruotos procedūros dalį. I klasės SaMD (programinė įranga kaip medicinos prietaisas) atveju gamintojai turi nepriklausomai įvertinti, ar DI sistema priskiriama didelės rizikos kategorijai pagal DI aktą kitais pagrindais, nei Art. 6(1).
GDPR Art. 9 ir mokymo duomenys
Sveikatos duomenys, naudojami DI modelių mokymui, tikrinimui ar testavimui, yra ypatingų kategorijų duomenys pagal GDPR Art. 9(1). Tvarkymas yra draudžiamas, jei nėra vienos iš Art. 9(2) leidžiančių nukrypti nuostatų, labiausiai aktualios yra:
- Art. 9(2)(a): aiškus duomenų subjekto sutikimas
- Art. 9(2)(h): tvarkymas, būtinas medicinos diagnostikai arba sveikatos priežiūros teikimui, laikantis profesinės paslapties
- Art. 9(2)(j): moksliniai tyrimai, laikantis Art. 89 apsaugos priemonių
ES dirbtinio intelekto akto Art. 10 duomenų valdymo įpareigojimai — reikalaujantys dokumentuoti duomenų rinkinių kilmę, rinkimo metodus, reprezentatyvumą ir žinomus apribojimus — turi būti įvykdyti laikantis taikomo GDPR teisinio pagrindo. Retrospektyvus klinikinių duomenų rinkinių naudojimas be aiškaus sutikimo reikalauja tyrimo leidžiančios nukrypti nuostatos ir paprastai — etikos komiteto patvirtinimo pagal Klinikinių tyrimų reglamentą arba taikomą nacionalinę tyrimų teisę.
Po rinkodaros priežiūros integracija
Tiek MDR (Art. 83, Po rinkodaros klinikinė tolesnė priežiūra), tiek ES dirbtinio intelekto aktas (Art. 72, po rinkodaros stebėjimas) reikalauja nuolatinio realaus pasaulio veikimo duomenų rinkimo ir analizės. Kai taikomi abu, viena integruota po rinkodaros priežiūros sistema gali tenkinti abu sistemas, jeigu ji fiksuoja duomenų taškus, kurių reikalauja kiekvienas — įskaitant MDR klinikinių įrodymų reikalavimus ir DI akto reikalavimus automatiniam DI sistemos veikimo registravimui.
Vykdymo institucijos
Europos vaistų agentūra ir nacionalinės vaistų agentūros
Europos vaistų agentūra (EMA) neturi tiesioginio vykdymo vaidmens pagal ES dirbtinio intelekto aktą dėl ne vaistinių produktų DI, tačiau jos rekomendacijos dėl DI vaistinių produktų kūrime ir farmakologiniame budrumo yra autoritetingas šaltinis gyvybės mokslų bendrovėms. Nacionalinės vaistų agentūros — įskaitant ANSM (Prancūzija), BfArM (Vokietija) ir jų atitikmenis — vykdo MDR ir IVDR rinkos priežiūros įgaliojimus ir gali tirti DI sistemas, integruotas į medicinos prietaisus, kaip savo po rinkodaros priežiūros mandato dalį.
Notifikuotosios įstaigos
Didelės rizikos DI sistemoms, kurios yra medicinos prietaisų saugos komponentai, notifikuotosios įstaigos, paskirtos pagal MDR/IVDR ir atskirai arba kartu pagal ES dirbtinio intelekto aktą, atlieka atitikties įvertinimus. Jų sertifikatai yra CE ženklinimo išankstinė sąlyga. Notifikuotosios įstaigos gali sustabdyti arba atšaukti sertifikatus, jei po rinkodaros priežiūra atskleidžia neatitikimus.
Nacionalinės DI priežiūros institucijos
Kiekviena ES valstybė narė paskyrė arba skiria nacionalinę DI priežiūros instituciją (kompetentingą instituciją pagal ES dirbtinio intelekto akto Art. 70). Sveikatos priežiūros sektoriuje, kur jurisdikcijos persidengimas, reikalaujama koordinavimo tarp DI priežiūros institucijos ir nacionalinės vaistų agentūros. DI priežiūros institucija turi įgaliojimus reikalauti dokumentų, atlikti auditus, taikyti taisomuosius veiksmus ir perduoti bylas finansinių sankcijų skyrimui.
Atitikties planas — sveikatos DI prioritetai
1 žingsnis: Klasifikacija ir apimties vertinimas
Sudarykite visų kuriamų arba diegiamų DI sistemų žemėlapį pagal Art. 6(1) (saugos komponentas medicinos prietaise) ir Annex III, 5(a) punktą (prieiga prie esminių paslaugų). Dokumentuokite kiekvienos sistemos numatytą paskirtį pakankamai tiksliai, kad galėtumėte priimti tiek DI akto, tiek MDR/IVDR klasifikavimo sprendimus. Pasikonsultuokite su reguliavimo patarėjais dėl ribinių CDS priemonių.
2 žingsnis: Dvigubo atitikties įvertinimo planavimas
Kiekvienai didelės rizikos DI sistemai, kuri taip pat yra medicinos prietaisas, nustatykite taikytiną MDR/IVDR atitikties įvertinimo kelią ir nustatykite, ar paskirta notifikuotoji įstaiga taip pat yra akredituota pagal ES dirbtinio intelekto aktą. Planuokite atitikties įvertinimą kaip integruotą procedūrą, kai tai įmanoma, siekiant sumažinti dubliavimąsi.
3 žingsnis: Duomenų valdymas ir suderinimas su GDPR
Atlikite sveikatos DI sistemų mokymo ir tikrinimo duomenų rinkinių auditą. Dokumentuokite teisinius pagrindus pagal GDPR Art. 9(2) visiems sveikatos duomenims, naudojamiems modelių kūrime. Nustatykite duomenų valdymo procedūras pagal ES dirbtinio intelekto akto Art. 10 ir užtikrinkite, kad jos atsispindėtų Annex IV reikalaujamoje techninėje dokumentacijoje.
4 žingsnis: Žmogaus priežiūros protokolai
Sukurkite ir įgyvendinkite žmogaus priežiūros mechanizmus pagal Art. 14 kiekvienam didelės rizikos DI diegimui. Priežiūra turi būti operatyviai realistiška: ji reikalauja apmokyto personalo, prieinamų intervencijos mechanizmų ir integracijos į darbo eigą — o ne pro forma žymimuosius laukelius. Skubiosios pagalbos aplinkose esant laiko spaudimui priežiūros projektavimas reikalauja ypatingos priežiūros.
5 žingsnis: Po rinkodaros priežiūros integracija
Sukurkite po rinkodaros priežiūros sistemą, tenkinančią tiek MDR Annex III (PMCF), tiek ES dirbtinio intelekto akto Art. 72 reikalavimus. Nustatykite incidentų pranešimo procedūras, atitinkančias MDR budrumo terminus (Art. 87: apie rimtus incidentus pranešama per 15 dienų) ir DI akto rimtų incidentų pranešimą pagal Art. 73.
6 žingsnis: Naudotojo deramas patikrinimas
Sveikatos priežiūros įstaigos, perkančios trečiųjų šalių DI diagnostikos arba CDS priemones, turėtų reikalauti, kad tiekėjai pateiktų ES atitikties deklaraciją, naudojimo instrukcijas ir techninės dokumentacijos santrauką. Pirkimo sutartyse turėtų būti nurodyti žurnalų saugojimo įpareigojimai, atsakomybė už pranešimą apie incidentus ir leistinos naudojimo apimties ribos, siekiant išvengti netyčinio perklasifikavimo į tiekėjus.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Ne. MDR ir IVDR atitikties įvertinimai bei ES dirbtinio intelekto akto atitikties įvertinimai yra atskiri teisiniai įpareigojimai, vykdomi lygiagrečiai. DI sistema, integruota į IIb klasės medicinos prietaisą, turi nepriklausomai atitikti abu reguliavimo sistemas. Jeigu pagal MDR arba IVDR jau dalyvauja notifikuotoji įstaiga, ta pati įstaiga gali būti paskirta notifikuotąja įstaiga pagal DI aktą, sudarant galimybę koordinuotam įvertinimui, tačiau visiškas atitikimas abiem sistemoms lieka privalomas.
Ne automatiškai. Klasifikacija priklauso nuo priemonės funkcijos ir autonomiškumo. Jeigu DI sistema pakeičia arba iš esmės ignoruoja klinikinį sprendimą — pavyzdžiui, autonomiškai nustato diagnozę arba skiria gydymą — tikėtina, kad ji bus priskirta didelės rizikos kategorijai pagal Annex III arba laikoma medicinos prietaiso saugos komponente pagal Art. 6(1). Jeigu sistema tik pažymi arba filtruoja informaciją klinicistui, kuris išlaiko visą sprendimų priėmimo teisę, ji gali nepatekti į didelės rizikos apibrėžtį, jei neatitinka kitų Annex III kriterijų.
ES dirbtinio intelekto akto Art. 10 reikalauja, kad mokymo, tikrinimo ir testavimo duomenų rinkiniai būtų valdomi pagal duomenų valdymo praktikas, apimančias kilmę, rinkimo metodus, žinomus šališkumus ir reprezentatyvumą. Sveikatos DI atveju šis įpareigojimas susikerta su GDPR Art. 9, kuris sveikatos duomenis priskiria ypatingų kategorijų duomenims ir reikalauja aiškaus teisinio pagrindo — paprastai aiškaus sutikimo arba leidžiančios nukrypti nuostatos pagal Art. 9(2)(h) arba (j) — jų tvarkymui. Tiekėjai turi dokumentuoti duomenų rinkinių sudėtį Annex IV reikalaujamoje techninėje dokumentacijoje ir įrodyti, kad mokymo duomenys nesukelia sistemingo šališkumo, galinčio pakenkti diagnostikos tikslumui įvairiose pacientų subpopuliacijose.
Ligoninės, veikiančios kaip didelės rizikos DI sistemų naudotojai pagal Art. 26, privalo: patikrinti, ar DI sistema turi CE ženklinimą ir ES atitikties deklaraciją; įgyvendinti tiekėjo naudojimo instrukcijas; priskirti žmogaus priežiūros pareigas kvalifikuotiems klinikiniams darbuotojams; saugoti sistemos veikimo žurnalus ne trumpiau kaip šešis mėnesius; pranešti tiekėjui apie rimtus incidentus ar gedimus, o jeigu pavojus gresia pacientų saugai — kompetentingoms sveikatos institucijoms pagal taikomas MDR budrumo taisykles. Naudotojai negali keisti didelės rizikos DI sistemų tokiu būdu, kuris pakeistų jų numatytą paskirtį, nesukeliant pakartotinio įvertinimo prievolės.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.