Jakie zobowiązania prawne ciążą na dostawcach systemów sztucznej inteligencji (AI) wspomagających diagnozowanie chorób płuc? Jakie implikacje wynikają z RODO[1] oraz AI Act[2]? W jaki sposób AI Act wpływa na proces certyfikacji wyrobów medycznych w kontekście Rozporządzenia o Wyrobach Medycznych (MDR[3]) i Rozporządzenia o Wyrobach Medycznych do Diagnostyki In Vitro (IVDR[4])?
W tym artykule przyjrzymy się trzem kluczowym obszarom prawnym, na które dostawcy technologii AI w medycynie powinni zwrócić szczególną uwagę.
Ochrona danych osobowych w kontekście AI w medycynie
W oparciu o zasadę minimalizacji danych, gromadzenie i przetwarzanie danych osobowych powinno być ograniczone do absolutnego minimum. W idealnym scenariuszu, do uczenia modeli AI wykorzystuje się anonimizowane lub pseudonimizowane zbiory danych.
W sytuacjach, gdy efektywne uczenie modelu AI wymaga dostępu do zbiorów danych zawierających wrażliwe dane osobowe dotyczące zdrowia, kluczowe staje się zapewnienie najwyższego standardu ich ochrony, zgodnie z wymogami RODO. Dostawcy muszą pamiętać o fundamentalnych obowiązkach, takich jak:
- posiadanie adekwatnej podstawy prawnej do przetwarzania danych,
- prowadzenie i aktualizacja rejestru czynności przetwarzania,
- przeprowadzenie szczegółowej oceny skutków dla ochrony danych (DPIA),
- spełnienie obowiązków informacyjnych wobec osób, których dane dotyczą.
Spełnienie tych wymogów, zwłaszcza w kontekście pozyskiwania zgód na przetwarzanie danych o zdrowiu od dużej liczby osób oraz przeprowadzania złożonych ocen DPIA, może być znacznym wyzwaniem. Dlatego też, już na wczesnym etapie projektowania systemów sztucznej inteligencji w medycynie, zaleca się przyjęcie podejścia „privacy by design”, czyli uwzględnienia ochrony prywatności na każdym etapie tworzenia produktu.
W kontekście zarządzania danymi, AI Act wprowadza wymóg, aby systemy AI wysokiego ryzyka były rozwijane z wykorzystaniem wysokiej jakości zbiorów danych do uczenia, walidacji i testowania. Te zbiory danych muszą być odpowiednio zarządzane, z uwzględnieniem procesów ich gromadzenia i przygotowania, potencjalnych uprzedzeń oraz braków. Dane powinny być relewantne, reprezentatywne, wolne od błędów i kompletne, z uwzględnieniem specyficznego kontekstu ich zastosowania. W wyjątkowych przypadkach, dostawcy mogą przetwarzać szczególne kategorie danych osobowych w celu identyfikacji i korekty uprzedzeń, jednak pod ścisłymi warunkami ochrony praw i wolności jednostek.
Z perspektywy użytkowników systemów AI, dostawca powinien dążyć do zapewnienia im wartości poprzez ułatwienie zgodności z przepisami (compliance). Przykładem takiego działania może być udostępnienie wzorcowej analizy DPIA, którą klienci mogliby adaptować do własnych potrzeb.
Zgodność z AI Act dla systemów wysokiego ryzyka w medtechu
Systemy AI stosowane w branży medtech mogą zostać zaklasyfikowane jako systemy wysokiego ryzyka w świetle AI Act.
Po pierwsze, za systemy wysokiego ryzyka uznawane są te systemy AI, które są jednocześnie wyrobami medycznymi (zgodnie z MDR) lub wyrobami medycznymi do diagnostyki in vitro (zgodnie z IVDR) i podlegają ocenie zgodności przez niezależną jednostkę notyfikowaną.
Po drugie, określone zastosowania sztucznej inteligencji wymienione w załączniku III do AI Act również kwalifikują się jako systemy wysokiego ryzyka, chyba że dostawca udowodni, że nie stwarzają one znaczącego ryzyka dla zdrowia, bezpieczeństwa lub praw osób. Dostawcy, którzy uważają, że ich system AI nie jest wysokiego ryzyka, muszą udokumentować przeprowadzoną ocenę ryzyka przed wprowadzeniem produktu na rynek lub jego wdrożeniem.
Przykłady systemów AI, które mogą zostać uznane za wysokiego ryzyka w medtechu:
- systemy do oceny i priorytetyzacji telefonów alarmowych,
- systemy do triażu pacjentów w nagłych sytuacjach,
- systemy do określania uprawnień pacjentów do świadczeń zdrowotnych.
Dostawcy systemów AI wysokiego ryzyka mają szereg istotnych obowiązków, w tym:
1 wdrożenie systemu zarządzania jakością zgodnego z wymogami AI Act (art. 17),
2 prowadzenie i przechowywanie dokumentacji technicznej przez okres 10 lat (art. 18),
3 zapewnienie transparentności działania systemu AI, w tym wyjaśnialności podejmowanych decyzji dla użytkowników końcowych (art. 13),
4 zaprojektowanie systemu AI wysokiego ryzyka w sposób umożliwiający efektywny nadzór człowieka nad jego działaniem (art. 14),
5 spełnienie rygorystycznych wymogów dotyczących cyberbezpieczeństwa, dokładności i niezawodności systemu (art. 15),
6 zarejestrowanie systemu AI w unijnym rejestrze systemów wysokiego ryzyka (art. 49).
Integracja Certyfikacji AI Act z MDR/IVDR
Dostawca systemu AI wysokiego ryzyka, który jest jednocześnie wyrobem medycznym, musi – zgodnie z AI Act – przeprowadzić ocenę zgodności zgodnie z odpowiednimi procedurami przewidzianymi w MDR lub IVDR. Ta procedura musi uwzględniać również weryfikację zgodności z wymogami AI Act. W praktyce może to stanowić wyzwanie, ponieważ jednostki notyfikowane muszą posiadać kompetencje do oceny zgodności zarówno w ramach MDR/IVDR, jak i AI Act[5].
Wiele wymagań określonych w AI Act pokrywa się z już istniejącymi procedurami oceny zgodności w ramach MDR i IVDR, które są przeprowadzane przez jednostki notyfikowane. Metodologie MDR i AI Act w zakresie obowiązków producentów wyrobów medycznych i dostawców systemów AI wysokiego ryzyka wykazują podobieństwa – obie regulacje koncentrują się na zbliżonych etapach cyklu życia produktu i regulują te obowiązki w analogiczny sposób.
Kluczowe obszary, w których regulacje MDR i AI Act będą się wzajemnie uzupełniać, to między innymi:
- wymogi dotyczące jakości danych wykorzystywanych do uczenia, walidacji i testowania systemów AI,
- metodologie oceny działania i oceny klinicznej systemów AI,
- systemy zarządzania jakością,
- dokumentacja techniczna,
- przejrzystość działania i bezpieczeństwo, kontrola użytkownika nad systemem AI będącym wyrobem medycznym,
- cyberbezpieczeństwo i ochrona danych,
- zarządzanie zmianami w systemie.
AI Act wprowadza dodatkową warstwę regulacyjną dla wyrobów medycznych wykorzystujących sztuczną inteligencję, w tym oprogramowania, uzupełniając istniejące przepisy RODO, MDR i IVDR. Zapewnienie zgodności z tymi złożonymi wymogami prawnymi wymaga dogłębnej analizy prawnej już na etapie projektowania rozwiązań sztucznej inteligencji w medycynie oraz ciągłego monitorowania na kolejnych etapach ich rozwoju i wdrożenia.
Kontakt:
Michał Pietrzyk – Radca prawny | Senior Associate w Zespole IP / IT i Doradztwa Kontraktowego oraz członek German Desk
[1] Rozporządzenie 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
[2] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. (Akt w sprawie sztucznej inteligencji).
[3] Rozporządzenie (UE) 2017/745 Parlamentu Europejskiego i Rady z dnia 5 kwietnia 2017 r. w sprawie wyrobów medycznych (MDR).
[4] Rozporządzenie (UE) 2017/746 Parlamentu Europejskiego i Rady z dnia 5 kwietnia 2017 r. w sprawie wyrobów medycznych do diagnostyki in vitro (IVDR).
[5] Art. 43 ust. 3 AI Act: W przypadku systemów AI wysokiego ryzyka objętych zakresem stosowania unijnego prawodawstwa harmonizacyjnego wymienionego w załączniku I sekcja A, dostawca postępuje zgodnie z odpowiednią procedurą oceny zgodności wymaganą na podstawie tych aktów prawnych. W odniesieniu do tego rodzaju systemów AI wysokiego ryzyka zastosowanie mają wymogi ustanowione w sekcji 2 niniejszego rozdziału i stanowią one jeden z elementów tej oceny. Zastosowanie mają również przepisy załącznika VII pkt 4.3, pkt 4.4, pkt 4.5 i pkt 4.6 akapit piąty. Na potrzeby tej oceny jednostki notyfikowane, które notyfikowano zgodnie z tymi aktami prawnymi, są uprawnione do przeprowadzania kontroli zgodności systemów AI wysokiego ryzyka z wymogami ustanowionymi w sekcji 2, o ile zgodność tych jednostek notyfikowanych z wymogami ustanowionymi w art. 31 ust. 4, 5, 10 i 11 została oceniona w kontekście procedury notyfikacyjnej przewidzianej w tych aktach prawnych.