Medikal Yapay Zeka

EU AI Act Madde 10: Medical-AI'da Veri Yönetişimi ve Temsililik

30 Haziran 2026 · 6 dk okuma · Burak Serteser

Kısa Cevap

EU AI Act Madde 10, yüksek-risk yapay zeka sistemleri (tıbbi cihaz yazılımları dahil) için eğitim, validasyon ve test veri setlerinin yönetişim ve kalite kriterlerini zorunlu kılar: veri setleri amaca uygun, mümkün olduğunca hatasız ve eksiksiz olmalı, ilgili istatistiksel özelliklere sahip olmalı ve sistemin kullanılacağı kişi/grupların özelliklerini (coğrafya, demografi, klinik bağlam) temsil etmelidir. Madde 10(5) ayrıca bias tespiti ve düzeltimi için gereken durumlarda özel kategori (sağlık) verisinin işlenmesine sınırlı izin verir. Bu yükümlülükler yüksek-risk sistemler için 2 Ağustos 2026'da uygulanmaya başlar; medical-AI tarafında MDR/IVDR uyumu zaten gerekli olduğundan AI Act bunun üzerine veri-yönetişimi katmanı ekler.

Serteser Danışmanlık, bir medical-AI tıbbi cihazı geliştirip hakemli uluslararası bir dergide yayınlamış bir biyomedikal mühendis (BME MSc) tarafından yürütülür; SaMD/AI cihazlarınızın TİTCK-CDSS, EU-MDR ve FDA dosyalarının çekirdeğindeki standalone klinik-validasyon çalışmasını tasarlar, dataset temsililiği ve alt-grup bias analizinin istatistiğini yürütür ve isimli metodolog olarak imzalar. Yönetim sistemi belgelendirmesi (ISO 13485) ve ürün tescili evrak işleri kapsam dışıdır; biz Madde 10'un istatistiksel ve metodolojik çekirdeğine odaklanırız.

EU AI Act'in (Regulation (EU) 2024/1689) en sık atlanan ama medical-AI için en kritik maddelerinden biri Madde 10'dur. Çoğu üretici dikkatini Madde 9 (risk yönetimi) ve Madde 15 (doğruluk, sağlamlık, sibergüvenlik) üzerine yoğunlaştırırken, denetimde asıl açık veri tarafında çıkar: eğitim verisinin nereden geldiği, kimi temsil ettiği ve alt-gruplarda performansın çöküp çökmediği.

Bu yazı, Madde 10'un metnini medical-AI bağlamında somutlaştırır: temsililik gereğinin pratikte ne anlama geldiğini, bias/alt-grup analizinin nasıl tasarlandığını, Madde 10(5) sağlık-verisi istisnasını ve 2 Ağustos 2026 yürürlük takvimini metodolog gözüyle ele alır.

Madde 10 Tam Olarak Neyi Zorunlu Kılar

Madde 10, eğitim verisiyle eğitilen yüksek-risk sistemler için veri ve veri yönetişimi yükümlülüklerini tanımlar. Çekirdek hükümler:

  • Veri yönetişimi uygulamaları (10(2)): Tasarım tercihleri, veri toplama süreçleri ve kaynağı, etiketleme/annotation, veri hazırlama (cleaning, aggregation), varsayımların formüle edilmesi, veri uygunluğu değerlendirmesi ve olası bias'ların incelenmesi belgelenmelidir.
  • Kalite kriterleri (10(3)): Eğitim, validasyon ve test veri setleri amaca uygun (relevant), yeterince temsili (sufficiently representative) olmalı ve mümkün olduğu ölçüde hatasız ve eksiksiz olmalıdır. İstatistiksel özellikler, sistemin kullanılacağı kişi/grupları yansıtmalıdır.
  • Bağlamsal özellikler (10(4)): Veri setleri, sistemin kullanılacağı coğrafi, bağlamsal, davranışsal veya işlevsel ortamın özelliklerini dikkate almalıdır. Bir Avrupa popülasyonunda kullanılacak bir tanı modelinin tek-merkez, tek-etnisite verisiyle eğitilmesi bu hükmü doğrudan ihlal eder.
  • Bias tespiti için özel kategori verisi (10(5)): Bias'ın saptanması ve düzeltilmesi kesinlikle gerekliyse, üretici sağlık gibi özel kategori verilerini işleyebilir; ancak teknik sınırlamalar, güvenlik önlemleri ve GDPR/EHDS uyumu şarttır.

Kritik nüans: Madde 10, "verinizde hiç bias olmasın" demez. Bias'ı belgelenmiş şekilde inceleyin, ölçün ve gerektiğinde azaltın der. Denetçinin aradığı şey kusursuz veri değil, kusurların farkında olunduğunu gösteren metodolojik iz.

"Yeterince Temsili" Pratikte Ne Demek

Temsililik metinde soyut geçer; istatistik tarafında somutlaşması gerekir. Medical-AI için temsililiği şu eksenlerde tanımlarız:

  • Demografik eksenler: Yaş bantları, biyolojik cinsiyet, etnik köken/cilt tonu (özellikle dermatoloji ve görüntü-tabanlı modellerde), vücut kompozisyonu.
  • Klinik eksenler: Hastalık şiddeti dağılımı, komorbidite profili, nadir varyantların temsili, normal-anormal oranının kullanım yerindeki prevalansa yakınlığı (spektrum bias).
  • Teknik/akış eksenleri: Görüntüleme cihazı üreticisi ve modeli, alan kuvveti (MRI 1.5T vs 3T), protokol/rekonstrüksiyon farkları, merkez sayısı. Tek-cihaz verisi production'da domain shift'e açıktır.
  • Coğrafi-bağlamsal eksen: Modelin sahaya çıkacağı ülke/merkez profili eğitim verisinde temsil ediliyor mu? Türkiye'de kullanılacak bir modelin tamamen ABD verisiyle eğitilmesi 10(4)'e karşı zayıftır.

Pratik araç: bir intended-use popülasyon profili çıkarın, ardından eğitim/test setinizin marjinal dağılımlarını bu profille karşılaştırın. Boşluklar (örneğin 70 yaş üstü hastaların eksik temsili) belgelenir ve test setinde minimum alt-grup örnek sayısı garanti altına alınır.

Bias ve Alt-Grup Analizinin İstatistiği

Madde 10 uyumunun yayınlanabilir kanıtı, önceden tanımlı alt-gruplarda performans dökümüdür. Burada metodoloji belirleyicidir:

  • Önceden kayıtlı alt-gruplar: Hangi alt-grupların inceleneceği (cinsiyet, yaş bandı, cihaz, merkez) validasyon protokolünde, veri görülmeden tanımlanır. Post-hoc alt-grup taraması ile farkı budur; ikincisi çoklu karşılaştırma sorunu yaratır.
  • Alt-grup başına metrikler: Genel AUC-ROC tek başına yetmez; her alt-grup için duyarlılık, özgüllük ve uygun fairness metrikleri (equalized odds, eşit duyarlılık farkı) güven aralıklarıyla raporlanır.
  • Stratifikasyon ve örnek büyüklüğü: Küçük alt-gruplarda geniş güven aralıkları "sorun yok" anlamına gelmez; gücün yetersiz olduğu anlamına gelir. Minimum alt-grup n'i test seti tasarımında planlanır.
  • TRIPOD-AI ve PROBAST-AI hizası: Alt-grup performansının raporlanması TRIPOD-AI'ın gerektirdiği maddelerle örtüşür; PROBAST-AI ise temsililik ve seçim bias'ını risk-of-bias çerçevesinde değerlendirir. AI Act dosyası bu kılavuzlarla aynı kanıtı farklı dilde ister.

Veri yönetişimi planınızı ve alt-grup analiz protokolünüzü EU AI Act Madde 10 ve TRIPOD-AI ile hizalamak için 15 dakikalık ücretsiz scoping talep edin.

Madde 10(5): Bias İçin Sağlık Verisi İşleme İstisnası

Paradoks şudur: bias'ı cinsiyet veya etnik kökene göre ölçmek için bu hassas öznitelikleri toplamanız gerekir, ama GDPR özel kategori verisini varsayılan olarak kısıtlar. Madde 10(5) bu darboğazı, sıkı koşullarla açar:

  • İşleme yalnızca bias tespiti/düzeltimi için kesinlikle gerekli olmalı.
  • Sentetik veya anonimleştirilmiş veriyle aynı sonuca ulaşılamıyor olmalı (önce bunlar denenmeli).
  • Teknik kısıtlamalar (yeniden-kullanım yasağı), pseudonymization, erişim kontrolü ve dokümantasyon zorunlu.

Medical-AI için bu, EHDS (European Health Data Space) ve KVKK/GDPR ile birlikte düşünülmesi gereken bir kesişimdir. Bizim lane'imiz buranın istatistiksel ve protokol tarafıdır: hangi hassas değişkenlerin hangi minimal granülaritede toplanacağı, fairness metriğinin nasıl tanımlanacağı. Veri-koruma hukuki görüşü ve QMS dokümantasyonu ayrı uzmanlık alanlarıdır ve onları sahiplenmeyiz.

Yürürlük Takvimi ve MDR ile İlişki

Zamanlama yanlış anlaşılıyor. Net çerçeve:

  • 2 Ağustos 2026: Yüksek-risk AI sistemleri için Bölüm III yükümlülükleri (Madde 10 dahil) genel olarak uygulanmaya başlar.
  • Medical-AI çoğunlukla yüksek-risk: MDR/IVDR kapsamında üçüncü-taraf uygunluk değerlendirmesi gerektiren tıbbi cihaz yazılımları, AI Act Ek III/Madde 6 üzerinden yüksek-risk sayılır.
  • MDR halihazırda yürürlükte: Klinik değerlendirme (MEDDEV 2.7/1 Rev 4 mantığıyla CER) zaten gereklidir. AI Act yeni bir cihaz onayı süreci kurmaz; mevcut MDR teknik dosyasının üzerine veri-yönetişimi, loglama ve şeffaflık katmanları ekler.
  • GPAI ve diğer takvimler ayrı: Genel amaçlı AI model yükümlülükleri (Ağustos 2025) ve bazı diğer hükümler farklı tarihlerdedir; medical SaMD için kilit tarih 2026'dır.

Pratik sonuç: yeni bir validasyon çalışması başlatıyorsanız, alt-grup ve temsililik analizini protokole bugünden gömmek, hem CER hem AI Act dosyasını tek kanıt setiyle besler.

Sık Yapılan Hatalar

  • Genel AUC'a güvenip alt-grup dökümünü atlamak: Yüksek toplam doğruluk, belirli bir alt-grupta (örneğin koyu cilt tonu veya 75+ yaş) performansın çöktüğünü gizleyebilir; Madde 10 ve PROBAST-AI tam da bunu sorgular.
  • Temsililiği veri görüldükten sonra "anlatmak": Alt-grupları ve intended-use profilini analiz sonrası gerekçelendirmek post-hoc'tur. Önceden kayıt (protokol + mümkünse versiyonlanmış zaman damgası) olmadan denetçiye karşı zayıftır.
  • Tek-merkez/tek-cihaz veriyle Avrupa-geneli iddia: 10(4) bağlamsal temsililiği ister; domain shift'i (cihaz, protokol, coğrafya) göz ardı eden modeller dış-validasyonda düşer.
  • Bias ölçümü için hassas veriyi hiç toplamamak: "Cinsiyet/etnisite toplamadık çünkü GDPR" demek bias'ı görünmez kılar, ortadan kaldırmaz. 10(5) tam da bu meşru ihtiyaç için yol açar; planlı ve minimal toplama doğru cevaptır.

İlgili Yazılar

EU AI Act Madde 10, medical-AI üreticilerine yeni bir bürokrasi değil, iyi metodolojinin zaten gerektirdiği şeyi yasal zorunluluğa çeviren bir çerçeve sunar: veriniz kimi temsil ediyor, alt-gruplarda ne yapıyor ve bunu nasıl belgeliyorsunuz. Kapsam, süre ve bütçe her dosyada farklıdır; bunları ücretsiz scoping görüşmesinde netleştiririz. Doğru zamanlama, protokolü ilk satırından bu hizaya kurmaktır.

Ücretsiz Scoping Görüşmesi

Sıradaki adım

Projenizi konuşalım.

15 dakikalık ücretsiz tanışma görüşmesinde ihtiyacınızı dinler, hangi hizmet katmanına uyduğunu söyleriz.