Seks steg helsesektoren kan ta for å møte EUs KI-forordning

Helsesektoren er unik ved at den allerede er godt regulert og har et spesielt fokus på å implementere KI-systemer, både for å møte medisinske behov og for å forbedre effektivitet og kvalitet i helsetjenester. Selv om KI-forordningen har betydelige likheter med eksisterende regelverk for medisinsk programvare, hovedsakelig EUs medisinske utstyrsforordning (MDR) og in vitro-diagnostikkforordningen (IVDR), må aktører i helsesektoren likevel utarbeide overgangsplaner for KI-forordningen for å unngå forstyrrelser og forsinkelser.

Det kommer flere viktige milepæler i innføringen av forordningen i 2025, 2026 og 2027. Det er viktig å ta innover seg at det kan være behov for 12–18 måneders arbeid, avhengig av virksomheten, dens KI-systemer, og dagens beredskap.

Veiledning

En ny DNV-rapport skisserer seks trinn for å veilede arbeidet med KI-forordningen: 

Det er avgjørende å kartlegge alle systemer i en organisasjon og vurdere om de kvalifiserer som KI.

1. Kartlegg systemer 

Sykehus og klinikker bruker allerede et bredt spekter av KI-systemer, og produsenter av programvare til helsesektoren kan allerede ha KI-funksjoner i produktene sine. Det er avgjørende å kartlegge alle systemer i en organisasjon og vurdere om de kvalifiserer som KI. Dette danner grunnlaget for å oppfylle kravene til risikostyring og KI-forordningen.

2. Gjennomfør risikoklassifisering 

Forordningen benytter en risikobasert tilnærming, der systemer med høyere risiko møter strengere krav. Vær oppmerksom på at høy-risiko kunstig intelligens omfatter de fleste systemer med et «medisinsk» formål som allerede er regulert under MDR eller IVDR, samt KI-systemer som kan påvirke tilgang til viktige offentlige ytelser, inkludert helsetjenester.

3. Vurder roller for hvert KI-system 

Forordningen legger spesifikke forpliktelser og ansvar på ulike aktører, avhengig av risikoklassen til systemet og hvilken rolle de har. Det er to nøkkelroller. Den ene er tilbyder av KI-systemet (provider), den andre er bruker (deployer), en ny rolle som beskriver profesjonelle aktører som implementerer og bruker KI-systemer. Vær oppmerksom på at en organisasjon kan ha flere roller i det samme KI-systemet, og ulike roller for ulike systemer.

4. Identifiser regulatoriske krav 

Basert på KI-systemets risikoklassifisering og organisasjonens rolle gjelder spesifikke krav. Det er nødvendig med en detaljert gjennomgang av KI-forordningen for å dokumentere relevante forpliktelser. Mange av disse forpliktelsene ligner på allerede eksisterende krav under MDR og IVDR, men som hovedregel kreves det ekstra åpenhetstiltak og KI-spesifikk dokumentasjon. Før KI-forordningen ble etablert, fantes det ingen fastsatt «brukerrolle», og dette representerer derfor en betydelig økning av regulatoriske krav for sykehus og klinikker. Under KI-forordningen pålegges profesjonelle brukere operative og tilsynsmessige krav for høy-risiko systemer, samt i visse tilfeller krav om å gjennomføre vurderinger i henhold til Fundamental Rights Impact Assessments (FRIA).

5. Skaff dokumentasjon og gjennomfør avviksanalyse 

Dokumentasjon på hvordan organisasjonen oppfyller hvert krav, kombinert med en rask gap-analyse, kan synliggjøre områder hvor det kreves ekstra innsats for å oppnå samsvar. Merk at det kommer harmoniserte standarder for KI-forordningen, som vil gi spesifikk veiledning om temaer som cybersikkerhet, risikostyring og menneskelig tilsyn. Selv om de ikke er juridisk bindende i seg selv, gir samsvar med disse standardene en antakelse om overensstemmelse med forordningen og kan fungere som en metode for å dokumentere etterlevelse. 

6. Utarbeid en samsvarsplan 

Kravene i KI-forordningen vil fases inn gradvis, men tidsplanen er stram, spesielt for organisasjoner som ikke tidligere har hatt forpliktelser under MDR eller IVDR. Organisasjoner bør utarbeide en plan så snart som mulig, med særlig fokus på å etablere grunnleggende organisatoriske tiltak, som et kvalitetsstyringssystem og en risikostyringsprosess. Aktører i helsesektoren som allerede har en regulert rolle, vil oppleve mindre endringer, men bør konsentrere seg om å tilpasse eksisterende prosedyrer for å oppfylle kravene som kommer i KI-forordningen. 

Selv om KI-forordningen bygger på veletablerte regulatoriske prinsipper som mange innen helsesektoren allerede kjenner, vil den forventede effekten på hver enkelt organisasjon være betydelig. 

Helseaktører som ennå ikke har startet forberedelser for å møte kravene som stilles, bør snarest mulig komme i gang for å unngå forsinkelser i innføring av kunstig intelligens.