EU AI Act-forpligtelser for AI i medicinsk udstyr, diagnostiske systemer og klinisk beslutningsstøtte. Dækker MDR/IVDR-samspil og Annex I dobbelt overholdelse.
Hvorfor EU AI Act har særlig betydning i sundhedssektoren
EU AI Act (Forordning (EU) 2024/1689) skaber sine mest krævende overholdelsesforpligtelser netop i de domæner, hvor AI-fejl kan have livstruende konsekvenser. Sundhed og life sciences befinder sig i skæringspunktet for to sådanne krav: lovens strukturelle klassificering af AI i medicinsk udstyr som højrisiko i henhold til Art. 6(1) og sektorens eksisterende regulatoriske tæthed under MDR (EU) 2017/745, IVDR (EU) 2017/746, GDPR Art. 9 og Forordningen om kliniske forsøg (EU) 536/2014.
For udbydere og brugere af sundheds-AI er dette skæringspunkt ikke blot additivt. Det skaber lagdelte forpligtelsessæt, der skal udformes, dokumenteres og overvåges samlet. Et AI-system integreret i et diagnostisk billedbehandlingsudstyr skal opfylde overensstemmelsesvurdering ved et bemyndiget organ under MDR og en separat overensstemmelsesvurdering under EU AI Act. Et hospital, der anvender et AI-drevet triageværktøj, bliver en bruger i henhold til Art. 26 med selvstændige forpligtelser, der ikke kan opfyldes alene ved at henholde sig til leverandørens CE-mærkning.
Konsekvenserne ved manglende overholdelse er tilsvarende alvorlige. Nationale tilsynsmyndigheder kan pålægge bøder på op til €30 millioner eller 6 % af den globale årlige omsætning for markedsføring af ikke-overensstemmende højrisiko-AI. Ud over de finansielle sanktioner kan påbud om markedstilbagetrækning, suspension af klinisk anvendelse og obligatoriske afhjælpende foranstaltninger afbryde patientbehandlingen i stor skala.
Det dobbelte regulatoriske spor
Det definerende strukturelle kendetegn ved overholdelse af reglerne for sundheds-AI er den samtidige anvendelse af produktsikkerhedslovgivning og AI-specifik lovgivning. Hvor et AI-system udgør en sikkerhedskomponent i medicinsk udstyr som defineret i Annex I i EU AI Act (med krydshenvisning til den nye lovgivningsmæssige ramme), klassificeres det automatisk som højrisiko i henhold til Art. 6(1) uden yderligere vurdering af sandsynlighed for eller alvorlighed af skade. Klassificeringen er kategorisk.
Dette betyder, at organisationer skal opretholde to parallelle spor for overensstemmelsesvurdering — ét under MDR eller IVDR og ét under EU AI Act — og skal godtgøre overholdelse af begge i EU-databasen for højrisiko-AI-systemer (EUAI DB) inden markedsføring.
Højrisiko-AI-anvendelsestilfælde — medicinsk udstyr og pleje
AI til diagnostisk billedbehandling
AI-systemer, der anvendes i radiologi, patologi og oftalmologi til at analysere billeder med henblik på at opdage, klassificere eller karakterisere læsioner, abnormiteter eller sygdomstilstande, er i stort set alle klinisk relevante konfigurationer sikkerhedskomponenter i medicinsk udstyr under MDR klasse IIa eller derover. De er derfor højrisiko i henhold til Art. 6(1) og skal overholde kapitel III afsnit 2 i EU AI Act, som dækker datastyring (Art. 10), teknisk dokumentation (Art. 11, Annex IV), automatisk logning (Art. 12), gennemsigtighed (Art. 13), menneskelig overvågning (Art. 14) samt nøjagtighed, robusthed og cybersikkerhed (Art. 15).
Kliniske beslutningsstøttesystemer
Kliniske beslutningsstøttesystemer (CDS) spænder over et bredt risikointerval afhængigt af deres funktionelle rolle. Den afgørende regulatoriske sondring er, om systemet erstatter eller bistår det kliniske skøn:
- Autonom eller næsten autonom output: Et CDS-system, der genererer en receptanbefaling, fastsætter en patients medicindosis eller klassificerer en patient som havende behov for akut intervention uden at kræve klinisk gennemgang, inden outputtet effektueres, vil sandsynligvis være højrisiko i henhold til Annex III og kan tillige udgøre medicinsk udstyr under MDR.
- Filtreret output til klinisk gennemgang: Et CDS, der præsenterer rangordnede differentialdiagnoser eller markerer laboratoriesvar som abnorme, og hvor en kvalificeret kliniker gennemgår og godkender hver anbefaling, inden den påvirker patienthåndteringen, kvalificeres muligvis ikke som højrisiko, forudsat at det ikke selvstændigt opfylder Annex III-kriterierne på andet grundlag.
Denne sondring skal dokumenteres i AI-systemets tilsigtede formål, som udgør en del af både den tekniske AI Act-dokumentation og den tekniske MDR-fil.
Prioritering af patienter i akutte settings
AI-systemer, der prioriterer rækkefølgen for akutpatienters behandling — herunder modeller til prediktion af sepsis og ICU-overvågningssystemer, der udløser eskaleringsprotokoller — opererer under tidspres og klinisk kompleksitet, der stiller særligt krævende krav til menneskelig overvågning i henhold til Art. 14. De anvendende organisationer skal sikre, at overvågningsmekanismen er reelt effektiv: den kliniker, der er tildelt overvågningsansvar, skal have den tekniske forståelse, adgang til AI-systemets begrundelse og tid i arbejdsgangen til at gribe ind, inden systemets output påvirker patientresultaterne.
AI til screening for psykisk helbred
AI-værktøjer, der anvendes til at screene befolkningsgrupper eller individuelle patienter for psykiske lidelser — risikopoint for depression, risikostratificering for selvmord, screeninger for udbrændthed — berører både AI Actens højrisikobestemmelser (når de påvirker adgangen til behandling eller ressourceallokering) og GDPR Art. 9 i en særligt sensitiv dimension. Data om psykisk helbred er helbredsoplysninger i GDPR's forstand; behandling heraf med henblik på AI-træning eller inferens kræver et retsgrundlag i henhold til Art. 9(2) og passende garantier i henhold til Art. 22 (automatiske individuelle afgørelser).
Kirurgisk robotik og AI-guidede procedurer
AI-komponenter integreret i kirurgiske robotsystemer, som i realtid tilpasser proceduremæssige parametre — instrumentpositionering, modulering af haptisk feedback, klassificering af væv — er sikkerhedskomponenter i aktivt implanterbart udstyr eller klasse III medicinsk udstyr under MDR. Byrden ved overensstemmelsesvurdering er tilsvarende den højest tilgængelige: vurdering ved bemyndiget organ under MDR Annex IX eller X, kombineret med overensstemmelsesvurdering under EU AI Act i henhold til Art. 43. Forpligtelser til overvågning efter markedsføring under begge rammer skal integreres i ét samlet system for klinisk opfølgning og præstationsovervågning.
Annex III, punkt 5(a) — adgang til væsentlige sundhedsydelser
Ud over den medicinske udstyrsvej klassificerer Annex III, punkt 5(a) i EU AI Act selvstændigt AI-systemer, der anvendes til at fastslå adgangen til væsentlige offentlige ydelser, herunder sundhedsydelser, som højrisiko. Et AI-system, der afgør, om en patient er berettiget til en tilskudsberettiget behandling, om patienten opføres på en venteliste til transplantation, eller om patienten er berettiget til at deltage i et klinisk forsøg, er højrisiko i henhold til denne bestemmelse, selv om det ikke er integreret i medicinsk udstyr.
Udbyderens og brugerens forpligtelser i sundhedssektoren
Udbyderens forpligtelser
Organisationer, der udvikler, markedsfører eller tager i brug et højrisiko-sundheds-AI-system som udbydere i henhold til Art. 16, skal:
- Etablere og implementere et kvalitetsstyringssystem (QMS) i henhold til Art. 17, der dækker designkontroller, risikostyring tilpasset ISO 14971 (harmoniseret til MDR) og procedurer for overvågning efter markedsføring.
- Udarbejde teknisk dokumentation i henhold til Annex IV, herunder det tilsigtede formål, risikostyringsfil, beskrivelser af træningsdata, resultater af validering og test samt plan for overvågning efter markedsføring.
- Registrere systemet i EU-databasen inden markedsføring (Art. 49).
- Sikre, at systemet er forsynet med CE-mærkning, og fremlægge en EU-overensstemmelseserklæring.
- Udpege en EU-autoriseret repræsentant, hvis organisationen er etableret uden for EU.
- Opbevare den tekniske dokumentation og logfiler i 10 år efter markedsføringen (Art. 18).
Brugerens forpligtelser
Hospitaler, klinikker, apotekernetværk og andre sundhedsinstitutioner, der optræder som brugere af tredjeparts højrisiko-AI-systemer, bærer forpligtelser i henhold til Art. 26, der er uafhængige af udbyderens overholdelse:
- Implementere systemet inden for rammerne af udbyderens brugsanvisninger — enhver brug uden for disse rammer kan potentielt omklassificere institutionen som udbyder.
- Tildele menneskelig overvågning til personale med de nødvendige kompetencer, beføjelser og redskaber til at overvåge og gribe ind i systemets drift.
- Opbevare driftslogfiler i mindst seks måneder, eller længere, hvis gældende sektorlovgivning (MDR-årvågenhed, hospitalers journalopbevaringsregler) kræver det.
- Indberette alvorlige hændelser eller funktionsfejl til udbyderen omgående og, hvor patientsikkerheden er berørt, til de relevante sundhedsmyndigheder i henhold til MDR Art. 87 årvågenhedsprocedurer.
- Gennemføre vurderinger af konsekvenser for grundlæggende rettigheder (FRIA) i henhold til Art. 27, hvor AI-systemet anvendes til at træffe eller bistå afgørelser, der berører individuelle patienter i stor skala.
Samspil med MDR, IVDR og GDPR
MDR og IVDR: det dobbelte overensstemmelsesvurderingsregime
Art. 6(1) i EU AI Act, læst i sammenhæng med Annex I, fastlægger sikkerhedskomponentvejen. Hvor et AI-system er en sikkerhedskomponent i et produkt reguleret under MDR eller IVDR, skal overensstemmelsesvurderingen under EU AI Act integreres i den eksisterende MDR/IVDR-procedure. Art. 8(1) i EU AI Act giver forrang til MDR/IVDR-sektorspecifikke regler, hvor disse pålægger tilsvarende eller strengere forpligtelser, men eliminerer ikke AI Act-forpligtelserne — den justerer proceduren, ikke kravet.
For klasse IIb og klasse III medicinsk udstyr med integreret AI er en vurdering ved bemyndiget organ under MDR Annex IX (kvalitetsstyring) eller Annex X (typeafprøvning) obligatorisk. Det samme bemyndigede organ, hvis det er udpeget under AI Act, kan gennemføre AI Act-overensstemmelsesvurderingen som led i en integreret procedure. For klasse I SaMD (software som medicinsk udstyr) skal producenter selvstændigt vurdere, om AI-systemet kvalificeres som højrisiko under AI Act på andet grundlag end Art. 6(1).
GDPR Art. 9 og træningsdata
Helbredsoplysninger, der anvendes til at træne, validere eller teste AI-modeller, er særlige kategorier af personoplysninger i henhold til GDPR Art. 9(1). Behandling er forbudt, medmindre en af undtagelserne i Art. 9(2) finder anvendelse, navnlig:
- Art. 9(2)(a): udtrykkeligt samtykke fra den registrerede
- Art. 9(2)(h): behandling nødvendig til medicinsk diagnosticering eller levering af sundhedsydelser, underlagt tavshedspligt
- Art. 9(2)(j): videnskabelig forskning, underlagt garantier i henhold til Art. 89
EU AI Acts Art. 10-forpligtelser til datastyring — som kræver dokumentation af datasætternes oprindelse, indsamlingsmetoder, repræsentativitet og kendte begrænsninger — skal opfyldes på en måde, der er forenelig med det gældende GDPR-retsgrundlag. Retrospektiv brug af kliniske datasæt uden udtrykkeligt samtykke kræver en forskningsundtagelse og typisk godkendelse fra en etisk komité i henhold til Forordningen om kliniske forsøg eller gældende national forskningslovgivning.
Integration af overvågning efter markedsføring
Både MDR (Art. 83, klinisk opfølgning efter markedsføring) og EU AI Act (Art. 72, overvågning efter markedsføring) kræver løbende indsamling og analyse af data om præstation i den virkelige verden. Hvor begge finder anvendelse, kan et enkelt integreret overvågningssystem efter markedsføring opfylde begge rammer, forudsat at det indfanger de datapunkter, som hver enkelt kræver — herunder MDRs krav til klinisk dokumentation og AI Acts krav til automatisk logning af AI-systemets drift.
Håndhævende myndigheder
Det Europæiske Lægemiddelagentur og nationale lægemiddelmyndigheder
Det Europæiske Lægemiddelagentur (EMA) har ingen direkte håndhævelsesrolle under EU AI Act for AI, der ikke er knyttet til lægemidler, men dets vejledning om AI i udvikling af lægemidler og lægemiddelovervågning er autoritativ for life sciences-virksomheder. Nationale lægemiddelmyndigheder — herunder ANSM (Frankrig), BfArM (Tyskland) og tilsvarende — udøver markedsovervågningsmyndighed under MDR og IVDR og kan undersøge AI-systemer integreret i medicinsk udstyr som led i deres mandat til overvågning efter markedsføring.
Bemyndigede organer
For højrisiko-AI-systemer, der er sikkerhedskomponenter i medicinsk udstyr, gennemfører bemyndigede organer udpeget under MDR/IVDR og, separat eller fælles, under EU AI Act overensstemmelsesvurderinger. Deres certifikater er en forudsætning for CE-mærkning. Bemyndigede organer kan suspendere eller tilbagekalde certifikater, når overvågning efter markedsføring afslører manglende overensstemmelse.
Nationale AI-tilsynsmyndigheder
Hver EU-medlemsstat har udpeget eller er i gang med at udpege en national AI-tilsynsmyndighed (kompetent myndighed i henhold til Art. 70 i EU AI Act). I sundhedssektoren er koordinering mellem AI-tilsynsmyndigheden og den nationale lægemiddelmyndighed påkrævet, hvor jurisdiktionen overlapper. AI-tilsynsmyndigheden har beføjelse til at anmode om dokumentation, gennemføre revisioner, pålægge afhjælpende foranstaltninger og henvise sager til finansielle sanktioner.
Overholdelses-roadmap — prioriteter for sundheds-AI
Trin 1: Klassificering og vurdering af anvendelsesområde
Kortlæg alle AI-systemer under udvikling eller i brug i forhold til Art. 6(1) (sikkerhedskomponent i medicinsk udstyr) og Annex III, punkt 5(a) (adgang til væsentlige ydelser). Dokumenter det tilsigtede formål for hvert system med tilstrækkelig præcision til at understøtte klassificeringsbeslutninger under både AI Act og MDR/IVDR. Inddrag juridisk rådgiver til at vurdere grænsetilfælde vedrørende CDS-værktøjer.
Trin 2: Planlægning af dobbelt overensstemmelsesvurdering
For hvert højrisiko-AI-system, der tillige er medicinsk udstyr, identificeres den gældende MDR/IVDR-overensstemmelsesvurderingsroute, og det fastslås, om det udpegede bemyndigede organ også er akkrediteret under EU AI Act. Planlæg overensstemmelsesvurderingen som en integreret procedure, hvor det er muligt, for at reducere dobbeltarbejde.
Trin 3: Datastyring og GDPR-tilpasning
Revidér trænings- og valideringsdatasæt for sundheds-AI-systemer. Dokumentér retsgrundlagene i henhold til GDPR Art. 9(2) for alle helbredsoplysninger, der anvendes i modeludvikling. Etablér datastyringsprocedurer i henhold til Art. 10 i EU AI Act, og sikr, at disse afspejles i den tekniske dokumentation, der kræves i henhold til Annex IV.
Trin 4: Protokoller for menneskelig overvågning
Udform og implementér mekanismer for menneskelig overvågning i henhold til Art. 14 for hver højrisiko-AI-implementering. Overvågningen skal være operationelt realistisk: den forudsætter uddannet personale, tilgængelige interventionsmekanismer og integration i arbejdsgangen — ikke en formel afkrydsning. For akutte settings med tidspres kræver udformningen af overvågningen særlig omhu.
Trin 5: Integration af overvågning efter markedsføring
Udform et overvågningssystem efter markedsføring, der opfylder både MDR Annex III (PMCF) og EU AI Acts Art. 72 krav. Etablér procedurer for hændelsesrapportering, der er tilpasset MDRs årvågenhedstidsfrister (Art. 87: alvorlige hændelser indberettes inden 15 dage) og EU AI Acts indberetning af alvorlige hændelser i henhold til Art. 73.
Trin 6: Due diligence for brugere
Sundhedsinstitutioner, der anskaffer tredjeparts AI-diagnosticerings- eller CDS-værktøjer, bør kræve, at udbydere fremlægger EU-overensstemmelseserklæringen, brugsanvisningerne og et resumé af den tekniske dokumentation. Indkøbskontrakter bør specificere forpligtelser til opbevaring af logfiler, ansvar for hændelsesrapportering og grænserne for det tilladte anvendelsesområde for at undgå utilsigtet omklassificering som udbyder.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Nej. Overensstemmelsesvurderinger under MDR og IVDR og overensstemmelsesvurderinger under EU AI Act er selvstændige retlige forpligtelser, der løber parallelt. Et AI-system integreret i et klasse IIb-medicinsk udstyr skal opfylde begge regulatoriske rammer uafhængigt af hinanden. Hvor et bemyndiget organ allerede er involveret i henhold til MDR eller IVDR, kan dette organ tillige udpeges som bemyndiget organ i henhold til AI Act, hvilket muliggør en koordineret vurdering, men fuld overholdelse af begge rammer er fortsat obligatorisk.
Ikke automatisk. Klassificeringen afhænger af værktøjets funktion og autonomigrad. Hvis AI-systemet erstatter eller i væsentlig grad tilsidesætter det kliniske skøn — eksempelvis ved autonomt at fastslå en diagnose eller ordinere en behandling — er det sandsynligt, at det kvalificeres som højrisiko i henhold til Annex III eller som en sikkerhedskomponent i medicinsk udstyr i henhold til Art. 6(1). Hvis systemet blot markerer eller filtrerer oplysninger til en kliniker, der bevarer den fulde beslutningskompetence, kan det falde uden for definitionen af højrisiko, forudsat at det ikke opfylder andre kriterier i Annex III.
Art. 10 i EU AI Act kræver, at datasæt til træning, validering og test er underlagt datahåndteringspraksis, der dækker oprindelse, indsamlingsmetoder, kendte skævheder og repræsentativitet. For sundheds-AI krydser denne forpligtelse med GDPR Art. 9, som klassificerer helbredsoplysninger som særlige kategorier af personoplysninger og kræver et udtrykkeligt retsgrundlag — typisk udtrykkeligt samtykke eller en undtagelse i henhold til Art. 9(2)(h) eller (j) — for behandling. Udbydere skal dokumentere datasættets sammensætning i den tekniske dokumentation, der kræves i henhold til Annex IV, og godtgøre, at træningsdata ikke introducerer systematiske skævheder, der kan kompromittere den diagnostiske nøjagtighed på tværs af patientpopulationer.
Hospitaler, der optræder som brugere af højrisiko-AI-systemer i henhold til Art. 26, skal: verificere, at AI-systemet er CE-mærket og har en EU-overensstemmelseserklæring; implementere udbyderens brugsanvisninger; tildele kvalificeret klinisk personale ansvar for menneskelig overvågning; opbevare driftslogfiler i mindst seks måneder; og indberette alvorlige hændelser eller funktionsfejl til udbyderen og, hvor patientsikkerheden er berørt, til de kompetente sundhedsmyndigheder i henhold til gældende MDR-årvågenhedsregler. Brugere må ikke ændre højrisiko-AI-systemer på en måde, der ændrer deres tilsigtede formål, uden at udløse fornyet vurderingsforpligtelse.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.