RCI · Triage-Prozess

Regulatory & Compliance Intelligence: Triage-Logik für AI-Use-Cases

Kurzfassung: RCI strukturiert die Vorprüfung von AI-Use-Cases in Pharma und MedTech. Kern ist eine risikobasierte Triage, die strukturierte Use-Case-Daten, semantische Textanalyse, regulatorisches Retrieval und kontinuierliches Monitoring verbindet. Die Lösung liefert keine autonome Freigabe, sondern eine nachvollziehbare, auditierbare Entscheidungsgrundlage für Compliance, Legal, Privacy, Medical Affairs und QA.

1

Use-Case Intake

Erfassung von Zweck, Zielgruppe, Datenkategorien, Ländern, Vendor, Output-Typ, Kanal und möglicher medizinischer Zweckbestimmung.

PurposeDataContext
2

Preprocessing

De-Identifikation, Kodierung strukturierter Merkmale, Text-Embedding der Beschreibung und Prüfung auf fehlende Pflichtangaben.

De-IDEmbeddingsCompleteness
3

Risk Classification

Hybrides Modell aus Gradient Boosting für strukturierte Features und Transformer-Modellen für semantische Textmerkmale klassifiziert vorläufig in Low, Medium oder High Risk und nennt betroffene Regulierungsdomänen. Die Ausgabe wird direkt auf EU AI Act-Kriterien gemappt; SHAP/XAI macht die Entscheidung nachvollziehbar.

GBMTransformerSHAP/XAI
4

Regulatory Retrieval

RAG ruft passende Normen, Leitlinien und interne Policies ab und erzeugt eine quellengebundene Begründung mit Kontrollvorschlägen.

RAGSourcesControls
5

Expert Review & Memo

Compliance, Legal, Privacy, Medical Affairs und ggf. QA prüfen Draft Memo, Risikoklasse, Quellen und Eskalationsbedarf. Ein Dashboard überwacht EUR-Lex, EC Portal, EMA und BfArM auf regulatorische Änderungen. Relevante Änderungen triggern Modell-Review, Re-Validierung, Retraining und Aktualisierung der Triage-Regeln.

Expert ReviewEUR-LexEMABfArM
LOW RISK

Standardisierte Governance

  • Interne Tools ohne direkte Patient:innen- oder HCP-Auswirkung
  • Standardkontrollen, Dokumentation und Monitoring
  • Freigabe über definierte Compliance-Rolle möglich
MEDIUM RISK

Vertiefte Prüfung

  • HCP-Kommunikation, CRM, Marketing oder personenbezogene Daten
  • Review durch Legal, Privacy und Medical Affairs
  • Auflagen, Anpassungen oder Eskalation möglich
HIGH RISK

Eskalation & formale Kontrolle

  • Patientennahe Nutzung, klinische Entscheidungsunterstützung oder medizinische Zweckbestimmung
  • Erweiterte Anforderungen an Risiko, Daten, Transparenz und Human Oversight
  • Keine Freigabe ohne qualifizierte menschliche Entscheidung

Closed-Loop Governance

RCI ist als lernendes Compliance-System konzipiert: Klassifikation, regulatorische Fundstellen, Expert:innen-Overrides, Monitoring-Signale und Performance-Metriken fließen zurück in Modellkalibrierung, Retraining und Validierung.

Audit Trail

  • Inputdaten, Datenversion und Modellversion
  • Konfidenzwert, SHAP/XAI-Erklärung und Risikoklasse
  • Regulatorische Quellen und RAG-Treffer
  • Änderungssignale, Re-Validierung und finale Entscheidung
⚠️

Risiken & Mitigation

  • Underclassification: HIGH-Recall als primäre Metrik, Eskalationsschwellen
  • Bias: Distribution Audits, Fairness Checks, Subgruppenanalyse
  • Automation Bias: DRAFT-Markierung, Konfidenzwerte, Override-Pflicht
  • Regulatory Drift: Dashboard-Monitoring + Re-Validation Trigger

Performance & Validierung

  • HIGH-Class Recall, Precision, Macro-F1
  • Brier Score, Calibration Plot, Reliability Diagram
  • Citation Accuracy und Halluzinationsrate für RAG-Outputs
  • Hold-out-Test, Cross-Validation, externe Expert:innenbewertung
⚖️

Haftungsverteilung

  • Provider/Hersteller: Design, Validierung, technische Dokumentation, Monitoring
  • Deployer/Betreiber: sachgerechte Nutzung, Human Oversight, organisatorische Kontrollen
  • Expert:in: fachliche Verantwortung für unterzeichnete Entscheidung
  • Grundsatz: Haftung folgt Kontrolle, Einfluss und Vorhersehbarkeit des Risikos.
Kern der Triage-Logic: Je stärker ein AI-Use-Case klinische Entscheidungen, Patientensicherheit, personenbezogene Daten oder regulatorisch geschützte Kommunikationsräume berührt, desto höher sind Anforderungen an Evidenz, Validierung, Dokumentation, Monitoring und menschliche Kontrolle.

Validierungsstrategie

Mehrstufig: interne technische Validierung, klinisch-regulatorische Expert:innenbewertung, Subgruppen- und Robustheitsanalyse, kontinuierliches Monitoring nach Deployment.

Erwartete Outcomes

Schnellere Compliance-Triage, konsistentere Risikobewertung, bessere Nachvollziehbarkeit, frühere Eskalation kritischer Use-Cases und Aufbau eines longitudinalen Compliance-Datensatzes.

Management-Implikation

RCI reduziert manuelle Vorprüfungsaufwände und schafft skalierbare AI-Governance. Der größte strategische Wert liegt in Standardisierung, Auditierbarkeit und regulatorischer Reaktionsfähigkeit.

Quellen & Grundlage:
  1. Eigene Ausgangsdarstellung und Konzeptinhalte (Kawaschinski K., Karolinska Institutet, Spring 2026).
  2. Regulation (EU) 2024/1689, EU AI Act, insbesondere risikobasierter Ansatz, Pflichten für High-Risk-Systeme, Human Oversight und Post-Market Monitoring.
  3. European Commission: AI Act – Shaping Europe’s Digit