EU AI Act-skyldigheter för AI i medicintekniska produkter, diagnostiksystem och kliniska beslutsstödsystem. Omfattar samspelet med MDR/IVDR och dubbel efterlevnad enligt Annex I.
Varför EU AI Act är av särskild betydelse inom hälso- och sjukvård
EU AI Act (förordning (EU) 2024/1689) skapar de mest krävande efterlevnadsskyldigheterna i just de domäner där fel i AI-system kan ha livsavgörande konsekvenser. Hälso- och sjukvård samt life sciences befinner sig i skärningspunkten mellan två sådana krav: lagens strukturella klassificering av AI i medicintekniska produkter som högrisk enligt Art. 6(1), och sektorns befintliga regleringstäthet inom MDR (EU) 2017/745, IVDR (EU) 2017/746, GDPR Art. 9 och förordningen om kliniska prövningar (EU) 536/2014.
För leverantörer och driftsättare av hälso-AI är detta samspel inte enbart additivt. Det skapar skiktade skyldighetsmängder som måste utformas, dokumenteras och övervakas gemensamt. Ett AI-system inbyggt i en diagnostisk avbildningsenhet måste klara bedömning av överensstämmelse av ett anmält organ enligt MDR och en separat bedömning av överensstämmelse enligt EU AI Act. Ett sjukhus som driftsätter ett AI-drivet triageverktyg blir en driftsättare enligt Art. 26 med självständiga skyldigheter som inte kan fullgöras enbart genom att hänvisa till leverantörens CE-märkning.
Konsekvenserna av bristande efterlevnad är tillsvarende allvarliga. Nationella tillsynsmyndigheter kan ålägga böter på upp till 30 miljoner euro eller 6 % av den globala årsomsättningen för att ha släppt icke-konforme högrisk-AI-system på marknaden. Utöver ekonomiska sanktioner kan marknadsåterkallelser, suspension av klinisk användning och obligatoriska korrigerande åtgärder störa patientvården i stor skala.
Det dubbla regelverkets spår
Det avgörande strukturella draget i efterlevnaden av hälso-AI är den samtidiga tillämpningen av produktsäkerhetslagstiftning och AI-specifik lagstiftning. Om ett AI-system utgör en säkerhetskomponent i en medicinteknisk produkt enligt definitionen i Annex I i EU AI Act (med korsreferens till det nya lagstiftningsramverket), klassificeras det automatiskt som högrisk enligt Art. 6(1) utan någon ytterligare bedömning av skadans sannolikhet eller allvar. Klassificeringen är kategorisk.
Detta innebär att organisationer måste upprätthålla två parallella spår för bedömning av överensstämmelse — ett enligt MDR eller IVDR och ett enligt EU AI Act — och måste visa efterlevnad av båda i EU:s databas för högrisk-AI-system (EUAI DB) innan produkten släpps på marknaden.
Högrisk-AI-användningsfall — medicintekniska produkter och vård
AI för diagnostisk avbildning
AI-system som används inom radiologi, patologi och oftalmologi för att analysera bilder i syfte att detektera, klassificera eller karakterisera lesioner, avvikelser eller sjukdomstillstånd utgör i praktiskt taget alla kliniskt relevanta konfigurationer säkerhetskomponenter i medicintekniska produkter av klass IIa eller högre enligt MDR. De är därmed högrisk enligt Art. 6(1) och måste uppfylla kapitel III avsnitt 2 i EU AI Act, som täcker datastyrning (Art. 10), teknisk dokumentation (Art. 11, Annex IV), automatisk loggning (Art. 12), transparens (Art. 13), mänsklig tillsyn (Art. 14) samt noggrannhet, robusthet och cybersäkerhet (Art. 15).
Kliniska beslutsstödsystem
Kliniska beslutsstöd (CDS)-verktyg spänner över ett brett riskspektrum beroende på deras funktionella roll. Den avgörande regulatoriska distinktionen är om systemet ersätter eller stödjer den kliniska bedömningen:
- Autonomt eller nära-autonomt utfall: Ett CDS-system som genererar ett ordinationsförslag, fastställer en patients läkemedelsdos eller klassificerar en patient som i behov av akut intervention utan att kräva klinisk granskning innan utfallet verkställs är sannolikt högrisk enligt Annex III och kan också utgöra en medicinteknisk produkt enligt MDR.
- Filtrerat utfall för klinisk granskning: Ett CDS som presenterar rankade differentialdiagnoser eller markerar laboratoriesvar som avvikande, där en behörig kliniker granskar och godkänner varje rekommendation innan den påverkar patienthanteringen, kanske inte kvalificeras som högrisk — förutsatt att det inte oberoende uppfyller Annex III-kriterier på andra grunder.
Denna distinktion måste dokumenteras i AI-systemets avsedda ändamål-deklaration, som ingår i både AI Act:s tekniska dokumentation och MDR:s tekniska underlag.
Prioritering av patienter i akutvård
AI-system som prioriterar ordningen i vilken akutpatienter erhåller vård — inklusive prediktionsmodeller för sepsis och IVA-övervakningssystem som utlöser eskaleringsprotokolл — verkar under tidspress och klinisk komplexitet som gör mänsklig tillsyn enligt Art. 14 särskilt krävande. Driftsättande organisationer måste säkerställa att tillsynsmekanismen är genuint effektiv: den kliniker som tilldelats tillsynsansvaret måste ha den tekniska förståelsen, tillgång till AI-systemets resonemang och tillräcklig tid i arbetsflödet för att ingripa innan systemets utfall påverkar patientutfall.
AI för psykisk hälsa
AI-verktyg som används för att screena populationer eller enskilda patienter avseende psykisk ohälsa — riskbedömning för depression, riskstratifiering för suicid, screening för utmattning — berörs av både AI Act:s högriskbestämmelser (när de påverkar tillgång till vård eller resursallokering) och GDPR Art. 9 i en särskilt känslig dimension. Uppgifter om psykisk hälsa är hälsodata enligt GDPR; behandling av sådana uppgifter för AI-träning eller inferens kräver en rättslig grund enligt Art. 9(2) och lämpliga skyddsåtgärder enligt Art. 22 (automatiserat individuellt beslutsfattande).
Kirurgisk robotik och AI-guidade ingrepp
AI-komponenter integrerade i kirurgiska robotsystem som i realtid anpassar procedurparametrar — instrumentpositionering, modulering av haptisk återkoppling, vävnadsklassificering — utgör säkerhetskomponenter i aktiva implanterbara anordningar eller medicintekniska produkter av klass III enligt MDR. Kravet på bedömning av överensstämmelse är därmed det strängaste som finns: bedömning av anmält organ enligt MDR Annex IX eller X, kombinerat med bedömning av överensstämmelse enligt EU AI Act under Art. 43. Skyldigheter avseende marknadskontroll efter utsläppande på marknaden inom båda regelverken måste integreras i ett enda system för klinisk uppföljning och prestationsövervakning.
Annex III kategori 5(a) — Tillgång till nödvändiga hälso- och sjukvårdstjänster
Utöver vägen via medicintekniska produkter klassificerar Annex III, punkt 5(a) i EU AI Act separat AI-system som högrisk när de används för att avgöra tillgång till nödvändiga offentliga tjänster, inklusive hälso- och sjukvård. Ett AI-system som avgör om en patient kvalificerar för en subventionerad behandling, tas upp på en transplantationsväntelista eller är berättigad att delta i en klinisk prövning är högrisk enligt denna bestämmelse, även om det inte är inbyggt i en medicinteknisk produkt.
Leverantörers respektive driftsättares skyldigheter inom hälso- och sjukvård
Leverantörers skyldigheter
Organisationer som utvecklar, släpper på marknaden eller tar i drift ett högrisk-AI-system för hälso- och sjukvård som leverantörer enligt Art. 16 måste:
- Upprätta och implementera ett kvalitetsledningssystem (QMS) enligt Art. 17, som täcker designkontroller, riskhantering i linje med ISO 14971 (harmoniserad för MDR) samt rutiner för marknadskontroll efter utsläppande.
- Upprätta teknisk dokumentation enligt Annex IV, inklusive det avsedda ändamålet, riskhanteringsfilen, beskrivningar av träningsdata, validerings- och testresultat samt en plan för marknadskontroll efter utsläppande.
- Registrera systemet i EU-databasen innan det släpps på marknaden (Art. 49).
- Säkerställa att systemet bär CE-märkning och tillhandahålla en EU-försäkran om överensstämmelse.
- Utse ett auktoriserat ombud inom EU om leverantören är etablerad utanför EU.
- Bevara den tekniska dokumentationen och loggarna i 10 år efter utsläppandet på marknaden (Art. 18).
Driftsättares skyldigheter
Sjukhus, kliniker, apoteksnätverk och andra vårdinstitutioner som agerar som driftsättare av högrisk-AI-system från tredje part har skyldigheter enligt Art. 26 som är oberoende av leverantörens efterlevnad:
- Implementera systemet inom ramen för leverantörens bruksanvisning — all användning utanför den ramen kan omklassificera institutionen som leverantör.
- Tilldela mänsklig tillsyn-ansvar till personal med den kompetens, befogenhet och de verktyg som krävs för att övervaka och ingripa i systemets drift.
- Bevara driftsloggar i minst sex månader, eller längre om tillämplig sektorslagstiftning (MDR-vigilans, lagar om journalföring) kräver det.
- Rapportera allvarliga incidenter eller funktionsstörningar till leverantören omgående, och när patientsäkerheten är berörd, till relevanta hälsomyndigheter i enlighet med MDR Art. 87 vigilansförfaranden.
- Genomföra konsekvensbedömningar avseende grundläggande rättigheter (FRIA) enligt Art. 27 när AI-systemet används för att fatta eller stödja beslut som påverkar enskilda patienter i stor skala.
Samspel med MDR, IVDR och GDPR
MDR och IVDR: det dubbla systemet för bedömning av överensstämmelse
Art. 6(1) i EU AI Act, läst tillsammans med Annex I, fastställer vägen via säkerhetskomponenter. Om ett AI-system är en säkerhetskomponent i en produkt som regleras av MDR eller IVDR, måste bedömningen av överensstämmelse enligt EU AI Act integreras i det befintliga MDR/IVDR-förfarandet. Art. 8(1) i EU AI Act ger MDR/IVDR-sektorspecifika regler företräde när de ålägger likvärdiga eller strängare skyldigheter, men eliminerar inte AI Act-skyldigheterna — det justerar förfarandet, inte kravet.
För klass IIb och klass III-medicintekniska produkter med inbyggd AI är bedömning av ett anmält organ enligt MDR Annex IX (kvalitetsledning) eller Annex X (typgranskning) obligatorisk. Samma anmälda organ, om det är utsett enligt AI Act, kan genomföra AI Act-bedömningen av överensstämmelse som del av ett integrerat förfarande. För klass I SaMD (programvara som medicinteknisk produkt) måste tillverkare självständigt bedöma om AI-systemet kvalificeras som högrisk enligt AI Act på andra grunder än Art. 6(1).
GDPR Art. 9 och träningsdata
Hälsodata som används för att träna, validera eller testa AI-modeller utgör känsliga personuppgifter enligt GDPR Art. 9(1). Behandling är förbjuden om inte något av undantagen i Art. 9(2) är tillämpligt, framför allt:
- Art. 9(2)(a): uttryckligt samtycke från den registrerade
- Art. 9(2)(h): behandling nödvändig för medicinsk diagnos eller tillhandahållande av hälso- och sjukvård, med förbehåll för tystnadsplikt
- Art. 9(2)(j): vetenskaplig forskning, med förbehåll för Art. 89-skyddsåtgärder
EU AI Act:s Art. 10 datastyrningsskyldigheter — som kräver dokumentation av datauppsättningars ursprung, insamlingsmetoder, representativitet och kända begränsningar — måste uppfyllas på ett sätt som är förenligt med tillämplig rättslig grund enligt GDPR. Retroaktiv användning av kliniska datauppsättningar utan uttryckligt samtycke kräver ett forskningsundantag och i regel godkännande från en etikkommitté enligt förordningen om kliniska prövningar eller tillämplig nationell forskningslagstiftning.
Integration av marknadskontroll efter utsläppande
Både MDR (Art. 83, klinisk uppföljning efter utsläppande) och EU AI Act (Art. 72, marknadskontroll efter utsläppande) kräver fortlöpande insamling och analys av data om verklig prestanda. I de fall båda är tillämpliga kan ett enda integrerat system för marknadskontroll uppfylla båda regelverken, förutsatt att det fångar de datapunkter som vart och ett kräver — inklusive MDR:s krav på klinisk dokumentation och AI Act:s krav på automatisk loggning av AI-systemets drift.
Tillsynsmyndigheter
Europeiska läkemedelsmyndigheten och nationella läkemedelsmyndigheter
Europeiska läkemedelsmyndigheten (EMA) har ingen direkt tillsynsroll enligt EU AI Act för AI som inte avser läkemedel, men dess vägledning om AI i läkemedelsutveckling och farmakovigilans är auktoritativ för life sciences-bolag. Nationella läkemedelsmyndigheter — inklusive ANSM (Frankrike), BfArM (Tyskland) och deras motsvarigheter — utövar marknadsövervakningsmyndighet enligt MDR och IVDR och kan undersöka AI-system inbyggda i medicintekniska produkter som del av sitt uppdrag avseende marknadskontroll efter utsläppande.
Anmälda organ
För högrisk-AI-system som är säkerhetskomponenter i medicintekniska produkter genomför anmälda organ utsedda enligt MDR/IVDR och, separat eller gemensamt, enligt EU AI Act bedömningar av överensstämmelse. Deras intyg är en förutsättning för CE-märkning. Anmälda organ kan suspendera eller återkalla intyg om marknadskontroll avslöjar bristande överensstämmelse.
Nationella AI-tillsynsmyndigheter
Varje EU-medlemsstat har utsett eller håller på att utse en nationell AI-tillsynsmyndighet (behörig myndighet enligt Art. 70 i EU AI Act). Inom hälso- och sjukvårdssektorn krävs samordning mellan AI-tillsynsmyndigheten och den nationella läkemedelsmyndigheten i de fall jurisdiktionerna överlappar. AI-tillsynsmyndigheten har befogenhet att begära dokumentation, genomföra revisioner, ålägga korrigerande åtgärder och hänskjuta ärenden för ekonomiska sanktioner.
Efterlevnadsplan — prioriteringar för hälso-AI
Steg 1: Klassificering och bedömning av tillämpningsområde
Kartlägg alla AI-system under utveckling eller driftsättning mot Art. 6(1) (säkerhetskomponent i en medicinteknisk produkt) och Annex III, punkt 5(a) (tillgång till nödvändiga tjänster). Dokumentera det avsedda ändamålet för varje system med tillräcklig precision för att stödja klassificeringsbeslut enligt både AI Act och MDR/IVDR. Anlita regulatorisk juridisk rådgivning för att bedöma gränsfall av CDS-verktyg.
Steg 2: Planering av dubbel bedömning av överensstämmelse
För varje högrisk-AI-system som även är en medicinteknisk produkt, identifiera tillämplig väg för bedömning av överensstämmelse enligt MDR/IVDR och fastställ om det utsedda anmälda organet även är ackrediterat enligt EU AI Act. Planera bedömningen av överensstämmelse som ett integrerat förfarande där så är möjligt för att minska dubbelarbete.
Steg 3: Datastyrning och GDPR-anpassning
Granska tränings- och valideringsdatauppsättningar för hälso-AI-system. Dokumentera rättsliga grunder enligt GDPR Art. 9(2) för all hälsodata som används i modellutveckling. Upprätta datastyrningsrutiner enligt Art. 10 i EU AI Act och säkerställ att dessa återspeglas i den tekniska dokumentation som krävs enligt Annex IV.
Steg 4: Protokoll för mänsklig tillsyn
Utforma och implementera mekanismer för mänsklig tillsyn enligt Art. 14 för varje högrisk-AI-driftsättning. Tillsynen måste vara operativt realistisk: den kräver utbildad personal, tillgängliga interventionsmekanismer och arbetsflödesintegration — inte en pro forma-markering. I akutvårdsmiljöer med tidspress kräver tillsynsutformningen särskild omsorg.
Steg 5: Integration av marknadskontroll efter utsläppande
Utforma ett system för marknadskontroll efter utsläppande som uppfyller kraven i både MDR Annex III (PMCF) och EU AI Act Art. 72. Upprätta rutiner för incidentrapportering som stämmer överens med MDR:s vigilanstidsfrister (Art. 87: allvarliga incidenter rapporteras inom 15 dagar) och AI Act:s rapportering av allvarliga incidenter enligt Art. 73.
Steg 6: Due diligence för driftsättare
Vårdinstitutioner som upphandlar diagnostiska AI-verktyg eller CDS-verktyg från tredje part bör kräva att leverantörer tillhandahåller EU-försäkran om överensstämmelse, bruksanvisning och en sammanfattning av den tekniska dokumentationen. Upphandlingskontrakt bör specificera skyldigheter avseende loggbevarande, ansvar för incidentrapportering och gränserna för det tillåtna användningsomfånget för att undvika ofrivillig omklassificering som leverantör.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Nej. Bedömningar av överensstämmelse enligt MDR och IVDR respektive EU AI Act är separata rättsliga skyldigheter som löper parallellt. Ett AI-system inbyggt i en medicinteknisk produkt av klass IIb måste uppfylla båda regelverken oberoende av varandra. I de fall ett anmält organ redan är involverat enligt MDR eller IVDR kan samma organ även utses som anmält organ enligt AI Act, vilket möjliggör en samordnad bedömning — men full efterlevnad av båda regelverken förblir obligatorisk.
Inte automatiskt. Klassificeringen beror på verktygets funktion och grad av autonomi. Om AI-systemet ersätter eller i väsentlig grad åsidosätter den kliniska bedömningen — exempelvis genom att självständigt fastställa en diagnos eller ordinera en behandling — är det mer sannolikt att det kvalificeras som högrisk enligt Annex III eller som en säkerhetskomponent i en medicinteknisk produkt enligt Art. 6(1). Om systemet enbart markerar eller filtrerar information för en kliniker som behåller det fulla beslutsansvaret, kan det falla utanför definitionen av högrisk, förutsatt att det inte uppfyller övriga kriterier i Annex III.
Art. 10 i EU AI Act kräver att tränings-, validerings- och testdatauppsättningar omfattas av datastyrningsrutiner som täcker ursprung, insamlingsmetoder, kända snedvridningar och representativitet. För hälso-AI samverkar denna skyldighet med GDPR Art. 9, som klassificerar hälsodata som känsliga personuppgifter och kräver en uttrycklig rättslig grund — vanligtvis uttryckligt samtycke eller ett undantag enligt Art. 9(2)(h) eller (j) — för behandlingen. Leverantörer måste dokumentera datauppsättningarnas sammansättning i den tekniska dokumentation som krävs enligt Annex IV och visa att träningsdata inte introducerar systematiska snedvridningar som kan äventyra diagnostisk träffsäkerhet hos olika patientpopulationer.
Sjukhus som agerar som driftsättare av högrisk-AI-system enligt Art. 26 måste: kontrollera att AI-systemet bär CE-märkning och har en EU-försäkran om överensstämmelse; implementera leverantörens bruksanvisning; tilldela kvalificerad klinisk personal ansvar för mänsklig tillsyn; bevara loggar över systemets drift i minst sex månader; samt rapportera allvarliga incidenter eller funktionsstörningar till leverantören och, när patientsäkerheten påverkas, till behöriga hälsomyndigheter i enlighet med tillämpliga MDR-vigilansregler. Driftsättare får inte modifiera högrisk-AI-system på ett sätt som förändrar deras avsedda ändamål utan att utlösa en ny bedömningsskyldighet.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.