AI Act 2025: jak medycyna ma dostosować się do najostrzejszego prawa o sztucznej inteligencji w historii Europy

Przez /

AI Act 2025

Od wizji do obowiązku – nowe realia prawne

W maju 2024 r. przyjęto unijne rozporządzenie 2024/1689, znane jako Artificial Intelligence Act (AI Act). To pierwszy na świecie kompleksowy akt prawny regulujący wykorzystanie systemów sztucznej inteligencji. W 2025 r. zaczęły obowiązywać jego pierwsze przepisy, a dla sektora ochrony zdrowia oznacza to całkowitą zmianę w podejściu do tworzenia, testowania i używania rozwiązań opartych na AI.

Sektor medyczny został uznany przez Komisję Europejską za obszar wysokiego ryzyka (high-risk sector), co w praktyce oznacza, że każdy system AI – od algorytmu wspierającego diagnostykę obrazową po chatbot do triage pacjentów – podlega ścisłej ocenie zgodności, dokumentacji i nadzorowi.

Zakres stosowania: kto musi się dostosować?

Zgodnie z AI Act, obowiązki dotyczą wszystkich podmiotów, które projektują, rozwijają, wdrażają lub stosują systemy sztucznej inteligencji w ochronie zdrowia.

Obejmuje to:

  • producentów oprogramowania medycznego (w tym SaMD – Software as a Medical Device),
  • szpitale i placówki wykorzystujące narzędzia AI w diagnostyce lub administracji,
  • start-upy tworzące systemy predykcyjne lub analizujące dane pacjentów,
  • dostawców platform chmurowych udostępniających algorytmy AI dla sektora med.

Każdy z tych podmiotów jest teraz zobowiązany do prowadzenia rejestru modeli, audytów ryzyka oraz dokumentacji technicznej określonej w załączniku IV rozporządzenia.

Klasyfikacja ryzyka: medycyna w najwyższej kategorii

AI Act dzieli systemy na cztery poziomy ryzyka: minimalne, ograniczone, wysokie i niedopuszczalne.
W medycynie niemal wszystkie zastosowania – analiza obrazów, decyzje terapeutyczne, systemy wspomagania rozpoznania chorób – klasyfikowane są jako wysokiego ryzyka.

Oznacza to obowiązek:

  1. Oceny zgodności z rozporządzeniem przed wprowadzeniem systemu na rynek (conformity assessment).
  2. Rejestracji w unijnym rejestrze systemów AI prowadzonym przez Komisję Europejską.
  3. Utrzymania pełnej dokumentacji danych treningowych, parametrów modelu, procesów walidacji i mechanizmów nadzoru po wdrożeniu.

Systemy o największym znaczeniu klinicznym – np. algorytmy analizy MRI, CT czy histopatologii – będą wymagały oceny przez jednostkę notyfikowaną podobnie jak wyroby medyczne klasy IIb/III.

Współistnienie z MDR i IVDR: podwójna zgodność

W praktyce większość rozwiązań AI w medycynie już podlega przepisom rozporządzeń MDR (2017/745) lub IVDR (2017/746).
AI Act nie zastępuje tych regulacji, lecz je uzupełnia.
Producenci będą musieli wykazać zarówno zgodność z wymogami bezpieczeństwa wyrobu medycznego, jak i z wymogami dotyczącymi przejrzystości, nadzoru ludzkiego i zarządzania danymi określonymi w AI Act.

Komisja Europejska przygotowała wspólne wytyczne „MDR/AI Act Interplay Guidance”, które nakazują prowadzenie jednego zintegrowanego systemu zarządzania jakością (QMS) dla obu reżimów.

Główne obowiązki dla sektora medycznego

1. Zarządzanie danymi

Wymagane jest pełne udokumentowanie źródeł danych treningowych, opis jakości i różnorodności populacyjnej oraz dowód na zminimalizowanie biasu demograficznego.
Dane muszą być reprezentatywne dla populacji, w której system będzie stosowany.

2. Nadzór człowieka

Każdy system AI o wysokim ryzyku musi mieć zdefiniowane punkty decyzyjne, w których człowiek może interweniować lub unieważnić decyzję algorytmu.
Dotyczy to zarówno lekarzy, jak i operatorów technicznych.

3. Przejrzystość

Dostawcy muszą publikować tzw. model card – dokument opisujący działanie systemu, jego ograniczenia i parametry walidacji.
Dla pacjentów przewidziano obowiązek informacyjny o udziale AI w procesie diagnostycznym.

4. Rejestrowanie zdarzeń

Wymagane jest prowadzenie dziennika (logów) obejmującego wszystkie decyzje systemu, błędy i interwencje użytkownika.
Zapisy te będą kontrolowane podczas audytów zgodności.

5. Nadzór po wdrożeniu

Systemy AI w użytku klinicznym będą musiały przechodzić regularne oceny bezpieczeństwa i skuteczności (post-market monitoring), analogicznie jak leki i wyroby medyczne.

Terminy wdrożenia

  • Sierpień 2025 – wchodzi w życie zakaz stosowania systemów o ryzyku niedopuszczalnym (np. AI manipulująca zachowaniem pacjenta).
  • Maj 2026 – obowiązek rejestracji i zgłoszenia systemów wysokiego ryzyka.
  • 2027 – 2028 – pełna zgodność wymagana dla wszystkich aktywnych systemów AI w ochronie zdrowia.

Komisja Europejska szacuje, że okres przejściowy pozwoli producentom dostosować dokumentację i systemy jakości, ale szpitale i podmioty publiczne powinny rozpocząć audyty już w 2025 r.

Praktyczne skutki dla szpitali i twórców oprogramowania

Dla placówek medycznych:

  • konieczność prowadzenia rejestru używanych systemów AI,
  • obowiązek oceny ryzyka dla każdego narzędzia,
  • konieczność aktualizacji polityk RODO, cyberbezpieczeństwa i zgód pacjenta,
  • audyt dostawców technologii pod kątem zgodności z AI Act.

Dla producentów oprogramowania:

  • aktualizacja dokumentacji technicznej wg załącznika IV,
  • przygotowanie planu walidacji klinicznej i algorytmicznej,
  • utworzenie roli „AI Compliance Officer”,
  • wdrożenie systemu zarządzania incydentami.

Wyzwania i kontrowersje

Największym wyzwaniem pozostaje równowaga między innowacją a regulacją.
Start-upy medtech obawiają się, że rygorystyczne wymogi certyfikacji ograniczą tempo wdrożeń i zwiększą koszty.
Z drugiej strony, brak przejrzystości w systemach AI już doprowadził do incydentów błędnej diagnostyki – np. błędnego klasyfikowania zdjęć rentgenowskich czy niepoprawnej oceny ryzyka nowotworowego.
Komisja i EMA podkreślają, że celem nie jest zahamowanie innowacji, lecz zapewnienie bezpieczeństwa pacjenta i odpowiedzialności producenta.

Jak przygotować się w praktyce: lista kontrolna 2025

  1. Audyt wszystkich systemów AI – zidentyfikuj, które kwalifikują się jako high-risk.
  2. Utwórz zespół ds. AI Compliance – z udziałem prawnika, inżyniera i specjalisty ds. jakości.
  3. Przeanalizuj umowy z dostawcami – upewnij się, że zawierają klauzule dotyczące audytów i nadzoru ludzkiego.
  4. Przygotuj dokumentację danych – źródła, kontrola jakości, opis populacji.
  5. Zaktualizuj politykę ochrony danych i RODO – uwzględnij zautomatyzowane decyzje.
  6. Szkol personel medyczny – w zakresie interpretacji wyników generowanych przez AI.

Perspektywa 2025–2030

Z perspektywy pacjenta AI Act może okazać się kamieniem milowym w budowaniu zaufania do technologii medycznych.
Zamiast anonimowych „czarnych skrzynek”, pacjenci zyskają prawo do wiedzy, jak działa algorytm analizujący ich dane, kto odpowiada za jego decyzje i jak jest monitorowany.

Dla przemysłu medycznego oznacza to konieczność stworzenia kultury transparentnej i odpowiedzialnej sztucznej inteligencji – takiej, która nie tylko zwiększa efektywność diagnostyki, ale i spełnia najwyższe standardy etyczne.

Bibliografia:

  1. Regulation (EU) 2024/1689 of the European Parliament and of the Council on Artificial Intelligence (AI Act), OJ L 135/1, 2024.
  2. European Commission. Guidance on AI Act Implementation and Interplay with MDR and IVDR. Brussels 2025.
  3. ECDC & ENISA. AI and Cybersecurity in Healthcare: Risk Mapping 2025. Stockholm 2025.
  4. EMA. AI in Medical Devices – Scientific Guidelines for Manufacturers. Amsterdam 2025.
  5. WHO. Ethics and Governance of Artificial Intelligence for Health 2024 Update. Geneva 2025.
  6. OECD. AI Systems in Health and Safety Critical Sectors: Best Practices 2025. Paris 2025.
  7. Ministerstwo Zdrowia RP. Wytyczne dotyczące stosowania systemów sztucznej inteligencji w ochronie zdrowia 2025–2026. Warszawa 2025.

To również może Cię zainteresować:

Przewijanie do góry