Tekoälyn käyttö lääkinnällisissä laitteissa

• 1.8.2024
  • Asetuksen voimaantulo.
• 2.2.2025
  • Yleisiä säännöksiä sekä kiellettyjä tekoälyyn liittyviä käytäntöjä sovelletaan.
• 1.8.2025
  • Ilmoitetut laitokset, GPAI-mallit, hallinto, luottamuksellisuus ja seuraamukset. 
• 2.8.2026
  • Muut säännökset tulevat voimaan lukuun ottamatta 6(1) artiklaa.
• 2.8.2027
  • Asetus sovelletaan täysmääräisesti kaikkiin tekoälyjärjestelmiin, mukaan lukien lääkinnällisiin laitteisiin.

Ensimmäinen askel on arvioida, täyttääkö järjestelmä tekoälyasetuksen määritelmän. Tekoälyjärjestelmällä tarkoitetaan asetuksessa artiklan 3 kohdan 1 mukaan “konepohjaista järjestelmää, joka on suunniteltu toimimaan käyttöönoton jälkeen vaihtelevilla autonomian tasoilla ja jossa voi ilmetä mukautuvuutta käyttöönoton jälkeen ja joka päättelee vastaanottamastaan syötteestä eksplisiittisiä tai implisiittisiä tavoitteita varten, miten tuottaa tuotoksia, kuten ennusteita, sisältöä, suosituksia tai päätöksiä, jotka voivat vaikuttaa fyysisiin tai virtuaalisiin ympäristöihin” .

Euroopan komissio on julkaissut ohjeet tekoälyjärjestelmän määritelmästä. Komission ohjeet auttavat toimijoita ymmärtämään, kuuluuko heidän järjestelmänsä tekoälyasetuksen soveltamisalaan. Ohjeet selventävät tekoälyjärjestelmän määritelmän seitsemän keskeistä osaa ja antavat käytännön ohjeita siitä, miten määritelmää sovelletaan eri tilanteissa. Näin toimijat voivat arvioida järjestelmänsä ominaisuuksia, varmistaa säädöksen noudattamisen tarpeen ja vaatimukset sekä suunnitella tarvittavat toimenpiteet.

Tekoälyasetus asettaa velvoitteita tekoälyjärjestelmille riskiperusteisesti:

1. Tietyt tekoälyjärjestelmät ja käyttötarkoitukset on kielletty.  
2. Suuririskisille järjestelmille asetetaan laajasti velvollisuuksia, ennen kuin ne voidaan saattaa markkinoille tai ottaa käyttöön.  
3. Tietyille matalan riskin järjestelmille on asetettu avoimuusvelvoitteita.

Näiden lisäksi on olemassa niin vähäisen riskin tekoälyjärjestelmiä, ettei niillä ole asetuksen perusteella mitään velvollisuuksia. Huom. yleiskäyttöisiä tekoälymalleja säädellään erikseen. 

Tekoälyasetuksen sääntely koskee pääosin suuririskisiä tekoälyjärjestelmiä. Näillä tarkoitetaan tekoälyjärjestelmiä, joilla voi olla merkittävä haitallinen vaikutus EU:n kansalaisten terveyteen, turvallisuuteen ja perusoikeuksiin. 

Euroopan komissio on julkaissut ohjeet tekoälyyn liittyvistä kielletyistä käytännöistä ja tekoälyjärjestelmän määritelmästä. Kiellettyihin tekoälykäytäntöihin liittyvät ohjeet antavat yleiskatsauksen kielletyistä, suuririskisistä ja avoimuusvelvoitteiden alaisista tekoälyjärjestelmistä sekä korostavat terveyden, turvallisuuden ja perusoikeuksien suojelua. 

Toimijalla tarkoitetaan tarjoajaa, valtuutettua edustajaa, maahantuojaa, jakelijaa tai käyttöönottajaa. 

Tarjoajalla tarkoitetaan luonnollista tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka kehittää tekoälyjärjestelmän tai yleiskäyttöisen tekoälymallin ja saattaa sen markkinoille tai ottaa tekoälyjärjestelmän käyttöön omalla nimellään tai tavaramerkillään. Kaikki viittaukset MDR (2017/745) ja IVDR (2017/746) mukaiseen ”valmistajaan” on ymmärrettävä viittauksiksi tekoälyasetuksen mukaiseen ”tarjoajaan”. 

Valtuutetulla edustajalla tarkoitetaan Euroopan unionissa sijaitsevaa tai unioniin sijoittautunutta luonnollista tai oikeushenkilöä, joka on saanut ja hyväksynyt tekoälyjärjestelmän tarjoajan antaman kirjallisen toimeksiannon täyttää ja toteuttaa kyseisen tarjoajan puolesta tässä asetuksessa säädetyt velvollisuudet ja menettelyt.

Maahantuojalla tarkoitetaan unionissa sijaitsevaa tai unioniin sijoittautunut luonnollista tai oikeushenkilöä, joka tuo EU:n markkinoille tekoälyjärjestelmän, jolla on kolmanteen maahan sijoittautuneet luonnollisen henkilön tai oikeushenkilön nimi tai tavaramerkki.

Jakelijalla tarkoitetaan muuta toimitusketjuun kuuluvaa luonnollista tai oikeushenkilöä kuin tarjoajaa tai maahantuojaa, joka saattaa tekoälyjärjestelmän saataville unionin markkinoilla.

Käyttöönottajalla tarkoitetaan luonnollista tai oikeushenkilöä, viranomaista, virastoa tai muuta tahoa, joka käyttää valvonnassaan olevaa tekoälyjärjestelmää muuhun kuin yksityiseen käyttöön.

Tekoälyasetus keskittyy tekoälyjärjestelmien tarjoajien ja muiden toimijoiden velvoitteisiin. Asetuksen myötä myös tekoälyjärjestelmien käyttäjillä on tiettyjä oikeuksia. Jos suuririskisen tekoälyjärjestelmän tuottaman tuloksen perusteella tehdään päätös, joka vaikuttaa merkittävästi henkilöön, kyseisellä henkilöllä on oikeus saada selkeä ja ymmärrettävä selvitys tekoälyjärjestelmän roolista päätöksenteossa. Lisäksi jokaisella luonnollisella tai oikeushenkilöllä, joka katsoo asetuksen säännöksiä rikotuksi, on oikeus tehdä valitus markkinavalvontaviranomaiselle.

Tekoäly kuuluu lääkinnällisiä laitteita koskevan sääntelyn piiriin, jos se on lääkinnällisen laitteen olennainen osa tai itsenäinen ohjelmisto, joka täyttää lääkinnällisen laitteen määritelmän MDR/IVDR:n mukaisesti. MDCG 2019-11-ohjeistuksen mukaan lääkinnällinen laiteohjelmisto (MDSW) tarkoittaa ohjelmistoa, joka on tarkoitettu yksinään tai yhdessä muiden ohjelmistojen kanssa täyttämään lääkinnällisen tarkoituksen, kuten on määritelty MDR:n 2 artiklan 1. kohdassa tai IVDR:n 2 artiklan 2. kohdassa. 

Jos järjestelmä täyttää tekoälyasetuksessa annetun tekoälyjärjestelmän määritelmän ja se on lääkinnällisen laitteen olennainen osa tai itsenäinen ohjelmisto MDR/IVDR:n mukaisesti, sovelletaan sekä lääkinnällisiä laitteita koskevaa sääntelyä että tekoälyasetusta. Fimean ohjelmistot-sivulla avataan lisää ohjelmistoista lääkinnällisinä laitteina. Sivu tarjoaa lisätietoa siitä, milloin ohjelmisto katsotaan lääkinnälliseksi laitteeksi ja mitä sääntelyä siihen sovelletaan.

Lääkinnälliset laitteet, jotka hyödyntävät tekoälyä (MDAI), sijoittuvat asetuksen artiklassa 6 kuvattujen luokitussääntöjen mukaan usein suuren riskin tekoälyjärjestelmiksi. Tämä tarkoittaa, että MDR/IVDR:n vaatimusten lisäksi on täytettävä tekoälyasetuksen velvoitteet suuririskisille tekoälyjärjestelmille. 

MDAI katsotaan suuren riskin tekoälyjärjestelmäksi asetuksen 6 artiklan 1. kohdan mukaisesti, jos se täyttää molemmat seuraavista ehdoista:

1. MDAI on turvakomponentti tai itsessään lääkinnällinen laite
2. MDAI on ilmoitetun laitoksen suorittaman kolmannen osapuolen vaatimustenmukaisuuden arvioinnin kohteena MDR/IVDR:n mukaisesti.

Esimerkkejä luokitteluista, joissa ilmoitettu laitos on mukana ja AIA suuririskiset (Art.6(1)) ehdot täyttyvät:

• MDR Luokka I (steriili, mittaava, uudelleenkäytettävä kirurginen)
• MDR Luokka IIa, IIb, III
• MDR Liite XVI
• IVDR Luokka A (steriili)
• IVDR Luokka B, C, D.

Esimerkkejä luokitteluista, joissa ilmoitettu laitos ei ole mukana ja AIA suuririskiset (Art.6(1)) ehdot eivät täyty:

• MDR Luokka I (ei-steriili, ei-mittaava, ei-uudelleenkäytettävä kirurginen)
• IVDR Luokka A (ei-steriili)
• Terveydenhuollon yksikön omavalmisteet MDR/IVDR artiklan 5(5) mukaan.

Euroopan unionin asiantuntijaryhmät ovat julkaisseet ohjeen (MDCG 2025-6, englanniksi), joka käsittelee tekoälyasetuksen sekä lääkinnällisiä laitteita koskevien asetusten MDR/IVDR yhteistä soveltamista. Ohje on laadittu kysymysten ja vastausten muotoon ja se on suunnattu erityisesti lääkinnällisten laitteiden valmistajille, ilmoitetuille laitoksille ja toimivaltaisille viranomaisille. Ohje tarjoaa vastauksia esiin nousseisiin kysymyksiin ja sitä täydennetään ja päivitetään kokemusten myötä.

Alle on avattu suuririskisten tekoälyjärjestelmien vaatimuksia ja niiden yhteyttä MDR/IVDR-vaatimuksiin, tarjoajan velvollisuuksien näkökulmasta. Huom. kaikki viittaukset MDR/IVDR mukaiseen ”valmistajaan” on ymmärrettävä viittauksiksi tekoälyasetuksen mukaiseen ”tarjoajaan”. Kaikki suuririskisiä tekoälyjärjestelmiä koskevat vaatimukset sekä suuririskisten tekoälyjärjestelmien tarjoajien ja käyttöönottajien sekä muiden osapuolten velvollisuudet löytyvät tekoälyasetuksen luvusta 3, jaksoista 2 ja 3.   

Hallintajärjestelmät:

Tekoälyasetus tuo MDR:n ja IVDR:n lisäksi lisävaatimuksia hallintajärjestelmiin suuririskisille MDAI-järjestelmille. Näihin kuuluvat järjestelmäkohtainen laadunhallintajärjestelmä (AIA, artikla 17), joka sisältää datanhallinnan, avoimuuden ja ihmisen valvonnan, sekä jatkuva ja iteratiivinen riskienhallinta (AIA, artikla 9), joka kattaa myös perusoikeuksiin liittyvät riskit ja datan vinoumat. Lisäksi tekoälyasetus painottaa jälkimarkkinaseurantaa erityisesti järjestelmille, jotka oppivat käyttöönoton jälkeen.

Tekninen dokumentaatio: 

MDR, IVDR sekä tekoälyasetus edellyttävät, että MDAI-järjestelmistä toimitetaan kattava tekninen dokumentaatio. MD- ja IVD-asetukset vaativat yksityiskohtaiset kuvaukset ohjelmistosta, ohjelmistoarkkitehtuurista, datankäsittelymenetelmistä ja riskienhallintastrategioista. Tekoälyasetus puolestaan edellyttää lisädokumentaatiota, joka painottuu avoimuuteen ja vastuullisuuteen. Tähän sisältyy muun muassa riskinarvioinnit, tietohallinnan käytännöt sekä suuren riskin MDAI-järjestelmien suorituskykytestien tulokset. Tekoälyasetus vaatii, että suuren riskin MDAI-järjestelmille laaditaan kootusti tekninen dokumentaatio, joka sisältää sekä lääkinnällisten laitteiden asetusten että tekoälyasetuksen teknisen dokumentoinnin vaatimat tiedot (AIA, artikla 11, kohta 2). MDCG/AIB-ohjeessa 2025-6 annetaan käytännön neuvoja, kuinka yhdistää MD/IVD-asetusten että tekoälyasetuksen vaatimuksia yhdeksi tekniseksi tiedostoksi.

Data ja datanhallinta:

MDR ja IVDR edellyttävät, että kliininen data on luotettavaa ja edustaa laitteen aiottua käyttötarkoitusta. AIA puolestaan asettaa vaatimuksia datan laadulle, hallinnalle ja avoimuudelle (AIA, artikla 10). Suuren riskin MDAI-järjestelmien koulutus-, validointi- ja testidatassa on oltava asianmukaiset tilastolliset ominaisuudet ja datan on oltava mahdollisimman virheetöntä, edustavaa ja tarkoituksenmukaista. Tietosuojan ja datan alkuperäisen käyttötarkoituksen on oltava avoimesti dokumentoitu. Valmistajien on toteutettava menettelyt, joilla varmistetaan datan eheys ja mahdollisten vinoumien tunnistaminen sekä estäminen/lieventäminen.

Lokitietojen kerääminen:

AIA edellyttää, että suuririskinen MDAI-järjestelmä tallentaa automaattisesti lokitietoja koko elinkaarensa ajan jäljitettävyyden varmistamiseksi (AIA, artikla 12). Tällä varmistetaan järjestelmän toiminnan seuranta, perusoikeuksiin vaikuttavien riskien tunnistaminen ja markkinoille saattamisen jälkeinen valvonta.

Avoimuus ja ihmisen suorittama valvonta:

AIA ja MDR/IVDR asettavat velvoitteita avoimuuden ja ihmisen valvonnan osalta. Valmistajien on suunniteltava ja kehitettävä suuririskiset MDAI-järjestelmät siten, että niiden toiminta on riittävän avointa, jotta käyttäjät voivat tulkita tuloksia oikein ja käyttää järjestelmää asianmukaisesti (AIA, artikla 13). Tämä edellyttää selkeitä ja ymmärrettäviä käyttöohjeita, tietoa järjestelmän ominaisuuksista, rajoituksista ja toimintalogiikasta sekä dokumentaatiota, joka tukee päätösten selitettävyyttä. Lisäksi AIA vaatii teknisiä ratkaisuja, jotka mahdollistavat ihmisen puuttumisen kriittisiin päätöksiin ja varmistavat, että järjestelmä ei voi ohittaa näitä rajoituksia (AIA, artikla 14). Nämä velvoitteet täydentävät MDR/IVDR:n perusvaatimuksia, jotka korostavat selkeää ja kattavaa tietoa laitteen tarkoituksesta, toiminnasta ja rajoituksista sekä dokumentaatiota, joka tukee jäljitettävyyttä ja turvallista käyttöä.

Tarkkuus, vakaus ja kyberturvallisuus:

MDR, IVDR ja AIA korostavat kyberturvallisuuden merkitystä. Valmistajien on toteutettava teknisiä ratkaisuja, joilla estetään luvaton pääsy, hyökkäykset ja manipulointi. AIA edellyttää, että suuren riskin MDAI-järjestelmät sisältävät teknisiä ratkaisuja tekoälylle ominaisiin haavoittuvuuksiin (AIA, artikla 15). Kyberturvallisuus on osa riskienhallintaa, laadunhallintaa ja vaatimustenmukaisuuden arviointia. MDAI-järjestelmän valmistajan on suojattava datan siirto ja tallennus, estettävä mallien manipulointi ja reagoitava kyberturvallisuuspoikkeamiin. Nämä vaatimukset koskevat koko laitteen elinkaarta ja käyttöympäristöä.

Suuririskisten tekoälyjärjestelmien tarjoajien ja muiden toimijoiden tärkeimpiä velvollisuuksia

Kaikki suuririskisiä tekoälyjärjestelmiä koskevat toimijoiden velvollisuudet löytyvät tekoälyasetuksen luvusta 3, jaksosta 3.   

Tarjoajan tärkeimpiä velvollisuuksia

• riskinhallinta- ja laadunhallintajärjestelmien toteuttaminen
• tietojen kirjaaminen ja avoimuusvelvoitteiden noudattaminen
• järjestelmän testaus ja vaatimustenmukaisuusarviointi ennen markkinoille saattamista tai käyttöönottoa
• tietojen laatu ja tekninen dokumentaatio
• CE-merkintä ja EU-vaatimustenmukaisuusvakuutus
• rekisteröintivelvollisuus
• jäljitettävyys ja ihmisvalvonta
• tarkkuuden, vakauden ja kyberturvallisuuden varmistaminen
• korjaavien toimenpiteiden toteuttaminen
• yhteistyö toimivaltaisten viranomaisten kanssa.

Valtuutettujen edustajien tärkeimpiä velvollisuuksia

• suorittaa toimeksiannossa määritellyt tehtävät
• säilyttää ja varmistaa, että tarvittavat asiakirjat ovat toimivaltaisten viranomaisten saatavilla
• rekisteröintivelvollisuus tarpeen mukaan
• yhteistyö toimivaltaisten viranomaisten kanssa.

Valtuutetun edustajan toimeksiantoon ei saa kuulua mm. tekoälyjärjestelmän suunnittelu ja valmistus, teknisten asiakirjojen laatiminen eikä vaatimustenmukaisuuden arviointi.

Maahantuojan tärkeimpiä velvollisuuksia

• varmistaa, että järjestelmä täyttää asetuksen vaatimukset ennen sen saattamista markkinoille
• säilyttää ja varmistaa, että tarvittavat asiakirjat ovat toimivaltaisten viranomaisten saatavilla
• toteuttaa korjaavia toimenpiteitä 
• ilmoittaa toimivaltaisille viranomaisille, jos havaitaan vaatimusten vastaisuutta
• yhteistyö toimivaltaisten viranomaisten kanssa.

Jakelijan tärkeimpiä velvollisuuksia

• varmistaa, että järjestelmä täyttää asetuksen vaatimukset ennen sen saattamista markkinoille
• säilyttää ja varmistaa, että tarvittavat asiakirjat ovat toimivaltaisten viranomaisten saatavilla
• toteuttaa korjaavia toimenpiteitä 
• ilmoittaa toimivaltaisille viranomaisille, jos havaitaan vaatimusten vastaisuutta
• yhteistyö toimivaltaisten viranomaisten kanssa.

Käyttöönottajan tärkeimpiä velvollisuuksia

• käyttää järjestelmää sen käyttöohjeiden ja -tarkoituksen mukaisesti
• valvoa järjestelmän toimintaa ja raportoida poikkeavuudet.