·
Teknologiadoption
Sundhedsvæsen
Sundhed IT / CIO
EU-regler for AI i sundhedsvæsenet: MDR, GDPR og AI Act
Naviger i EU-regler for klinisk AI. Forstå MDR-krav til medicinsk udstyr, GDPR-databeskyttelse og AI Act-forpligtelser for sundhedsorganisationer

Sundhedsrelateret AI i Europa er ikke underlagt én samlet reguleringsramme. Den er omfattet af tre rammer samtidigt, hver med sin egen myndighed, sine egne compliance-forpligtelser og håndhævelsesmekanismer. Et klinisk AI-værktøj, der understøtter diagnostiske beslutninger, kan have behov for CE-mærkning som medicinsk udstyr, skal håndtere patientdata i overensstemmelse med den generelle databeskyttelsesforordning (GDPR) og vil sandsynligvis blive klassificeret som højrisiko under EU's AI-forordning. Disse rammer gælder ikke i rækkefølge, men parallelt, og de interagerer på måder, der ikke altid er ligetil.
De tre reguleringssøjler, som enhver sundhedsrelateret AI-virksomhed skal forstå
Tre forskellige EU-rammer styrer implementeringen af klinisk AI, hver med sit eget primære fokus.
EU's forordning om medicinsk udstyr (MDR) 2017/745 regulerer sikkerhed og ydeevne. Fokus er på, om et produkt, herunder software, er sikkert til dets tilsigtede kliniske formål, og om det er valideret til at fungere som påstået.
GDPR regulerer databeskyttelse. Fokus er på, hvordan persondata, især sundhedsdata, indsamles, behandles, opbevares og deles, og på at sikre, at enkeltpersoner bevarer meningsfulde rettigheder over deres oplysninger.
EU's AI-forordning (forordning (EU) 2024/1689, gældende fra 1. august 2024) regulerer systemisk risiko. Fokus er på, om AI-systemer er gennemsigtige, ansvarlige og underlagt tilstrækkeligt menneskeligt tilsyn, især hvor disse systemer påvirker grundlæggende rettigheder eller sikkerhedskritiske beslutninger.
Som en fælles FAQ fra Medical Device Coordination Group (MDCG) og EU AI Board (MDCG 2025-6) bekræftede i 2025, skal AI-systemer, der kvalificerer som medicinsk udstyr, overholde både MDR/IVDR og AI-forordningen samtidigt. Overholdelse af den ene ramme erstatter ikke overholdelse af den anden.
Hvornår sundhedsrelateret AI kvalificerer som medicinsk udstyr under MDR
Under MDR 2017/745 er det centrale spørgsmål, om et softwareværktøj har et medicinsk tilsigtet formål. Det vil sige, om producenten har til hensigt, at det skal bruges til diagnose, forebyggelse, overvågning, forudsigelse, prognose, behandling eller lindring af sygdom. Software, der opfylder denne definition, klassificeres som Software as a Medical Device (SaMD) og skal overholde hele MDR-regimet.
Tilsigtet formål er den afgørende faktor. Et dokumentationsværktøj, der kun transskriberer journalnotater uden at fortolke eller påvirke kliniske beslutninger, befinder sig i en anden reguleringsmæssig position end et AI-system, der markerer abnorme fund, foreslår diagnoser eller prioriterer patienttriage. Sidstnævnte vil langt mere sandsynligt blive klassificeret som SaMD.
Hvis et værktøj klassificeres som medicinsk udstyr, skal producenten:
Gennemføre en overensstemmelsesvurdering, der passer til udstyrets risikoklassifikation (klasse I til III)
Udarbejde og vedligeholde omfattende teknisk dokumentation
Implementere et kvalitetsstyringssystem (QMS)
Opnå CE-mærkning, før udstyret markedsføres i EU
Vedligeholde markedsovervågning efter markedsføring og rapportere alvorlige hændelser
Analyse fra King & Spalding af MDCG 2025-6-vejledningen identificerer fem centrale operationelle områder, hvor MDR- og AI-forordningsforpligtelser konvergerer: styringssystemer, datastyring, teknisk dokumentation, gennemsigtighed og menneskeligt tilsyn samt cybersikkerhed og nøjagtighed. Producenter bør behandle disse som integrerede krav frem for parallelle tjeklister.
En praktisk udfordring er manglen på udpegede bemyndigede organer, de uafhængige overensstemmelsesvurderingsorganisationer, der kræves til højere risikoklasser af udstyr. Baker McKenzie har bemærket, at denne flaskehals, kombineret med et betydeligt hul i harmoniserede standarder for AI-specifikke risici som algoritmisk bias og modeldrift, skaber reelle forsinkelser for producenter, der søger markedsadgang.
GDPR og klinisk AI: hvad tæller som særlige kategorier af data, og hvorfor det betyder noget
Sundhedsdata, der behandles af AI-systemer, klassificeres som særlige kategorier af data under artikel 9 i GDPR, hvilket udløser det højeste beskyttelsesniveau under EU's databeskyttelseslovgivning. Denne klassificering gælder uanset, om AI-systemet er den primære dataansvarlige eller en databehandler længere nede i kæden. Det er dataenes karakter, ikke behandlerens rolle, der afgør klassifikationen.
For kliniske AI-implementeringer har dette flere direkte konsekvenser.
Lovligt grundlag. Behandling af særlige kategorier af sundhedsdata kræver både et lovligt grundlag under artikel 6 og en yderligere betingelse under artikel 9. I kliniske sammenhænge er de mest anvendte artikel 9-betingelser: behandling, der er nødvendig for medicinsk diagnose eller levering af sundhedspleje (artikel 9(2)(h)), behandling af hensyn til samfundsinteresser i folkesundheden (artikel 9(2)(i)), og hvor ingen af disse gælder, eksplicit samtykke (artikel 9(2)(a)). Samtykke er sjældent det mest passende grundlag i kliniske sammenhænge på grund af den iboende magtubalance mellem patienter og sundhedsudbydere.
Dataminimering og formålsbegrænsning. AI-systemer må kun behandle de data, der er nødvendige for deres specificerede formål, og disse data kan ikke genbruges uden et nyt lovligt grundlag. Dette skaber særlige udfordringer, hvor leverandører ønsker at bruge kliniske data til modeltræning eller forbedring, en anvendelse, der typisk adskiller sig fra det oprindelige kliniske formål.
Registreredes rettigheder. Patienter bevarer rettigheder til indsigt, berigtigelse og under visse omstændigheder sletning, selv hvor deres data er blevet behandlet af AI-systemer. Sundhedsorganisationer skal kunne håndtere disse anmodninger i forhold til data, der opbevares eller behandles af tredjeparts AI-leverandører.
En gennemgang af databeskyttelse og styringsrammer for AI-drevne sundhedsudstyr fremhævede, at GDPR-overholdelse i AI-aktiverede kliniske sammenhænge kræver ikke kun tekniske kontroller, men også løbende styringsstrukturer, herunder konsekvensanalyser vedrørende databeskyttelse (DPIA'er), fortegnelser over behandlingsaktiviteter og klart definerede databehandleraftaler.
Datalokation og grænseoverskridende dataflow i EU's sundhedsrelaterede AI
GDPR pålægger strenge restriktioner på overførsel af persondata uden for Det Europæiske Økonomiske Samarbejdsområde (EØS). For kliniske AI-leverandører betyder det, at hvor patientdata behandles eller opbevares på infrastruktur placeret uden for EØS, herunder på cloud-platforme hostet i USA eller andre lande, skal specifikke overførselsmekanismer være på plads.
De primære mekanismer er:
Tilstrækkelighedsbeslutninger, hvor Europa-Kommissionen har fastslået, at et tredjeland yder et tilsvarende niveau af databeskyttelse (dækker i øjeblikket et begrænset antal jurisdiktioner)
Standardkontraktbestemmelser (SCC'er), som pålægger kontraktlige forpligtelser på både dataeksportøren og importøren
Bindende virksomhedsregler (BCR'er), der primært bruges inden for multinationale koncerner
For sundhedsorganisationer er det praktiske spørgsmål ikke kun, om en leverandør har underskrevet SCC'er, men hvor data faktisk behandles og opbevares. Datalokation i EU betyder, at patientdata behandles og opbevares på infrastruktur fysisk placeret inden for EØS. Dette eliminerer behovet for grænseoverskridende overførselsmekanismer og forenkler GDPR-overholdelse betydeligt. Sundhedsorganisationer bør kræve, at leverandører specificerer dette i kontraktdokumentationen.
En sammenlignende politikanalyse af cybersikkerhedsregulering i digital sundhed på tværs af USA, EU og Indien bemærkede, at EU's tilgang til datasuverænitet i sundhedsvæsenet er betydeligt mere præskriptiv end andre jurisdiktioners, hvilket påvirker, hvordan globale AI-leverandører designer deres produkter til europæiske markeder.
Hvordan EU's AI-forordning klassificerer sundhedsrelateret AI, og hvad højrisiko betyder i praksis
EU's AI-forordning etablerer et risikobaseret klassifikationssystem med fire niveauer: uacceptabel risiko (forbudt), højrisiko, begrænset risiko og minimal risiko. De fleste kliniske AI-værktøjer, herunder diagnostiske støttesystemer, triageværktøjer og kliniske dokumentationsassistenter, der påvirker behandlingsforløb, vil sandsynligvis falde i højrisikokategorien.
Under artikel 6(1) og bilag I i AI-forordningen klassificeres AI-systemer, der i forvejen er reguleret som medicinsk udstyr under MDR eller IVDR, automatisk som højrisiko-AI-systemer. CE-mærket SaMD er derfor underlagt både MDR-overensstemmelseskrav og det fulde højrisiko-AI-forordnings-compliance-regime.
Hunton Andrews Kurths analyse af AI-forordningens anvendelse på medicinsk udstyr opstiller de centrale forpligtelser for højrisiko-AI-systemer:
Teknisk dokumentation: Detaljerede optegnelser over systemdesign, træningsdata, valideringsmetodologi og kendte begrænsninger
Risikostyring: Et løbende risikostyringssystem, der dækker AI-specifikke risici, herunder algoritmisk bias og modeldrift
Datastyring: Krav til trænings-, validerings- og testdatasæt, herunder bias-detektion og datakvalitetskontroller
Gennemsigtighed og brugsanvisninger: Klar dokumentation, så brugere og implementerende kan forstå systemets kapaciteter og begrænsninger
Menneskeligt tilsyn: Tekniske og organisatoriske foranstaltninger, der sikrer, at mennesker effektivt kan overvåge, tilsidesætte og gribe ind i AI-output
Overensstemmelsesvurdering: Formelt review før markedsføring med løbende markedsovervågning efter markedsføring
Registrering: Højrisiko-AI-systemer skal registreres i EU-databasen for AI-systemer
AI-forordningen indfører også AI-kompetenceforpligtelser, der trådte i kraft i februar 2025, som kræver, at udbydere og implementerende sikrer, at personale, der arbejder med AI-systemer, har tilstrækkelig forståelse af teknologiens muligheder og begrænsninger. Taylor Wessing bemærker, at denne forpligtelse gælder for sundhedsorganisationer, der implementerer AI-værktøjer, ikke kun for leverandørerne.
Hvor MDR, GDPR og AI-forordningen overlapper, og hvor de er i konflikt
De tre rammer deler flere fælles træk. Alle kræver gennemsigtighed om, hvordan et system fungerer, hvilke data det bruger, og hvad dets begrænsninger er. Alle kræver dokumenteret risikostyring. Alle pålægger markedsovervågning efter markedsføring eller løbende overvågningsforpligtelser. Hvor MDR kræver markedsovervågning efter markedsføring, og AI-forordningen kræver overvågning efter markedsføring, kan disse forpligtelser i princippet håndteres gennem en samlet proces.
En peer-reviewed analyse offentliggjort i 2025, der undersøger den reguleringsmæssige sammenhæng mellem AI-forordningen og MDR/IVDR, bekræftede, at det QMS, der kræves under MDR, kan danne grundlag for AI-forordnings-compliance, og at tekniske dokumentationskrav under begge rammer kan integreres frem for at blive duplikeret. Artikel 8 i AI-forordningen forudser eksplicit denne integration for AI-medicinsk udstyr.
Der eksisterer dog reelle spændinger.
Dataopbevaring vs. dataminimering. AI-forordningen tilskynder til og kræver i nogle tilfælde opbevaring af træningsdata, valideringsdatasæt og logfiler til revisions- og ansvarlighedsformål. GDPR's principper om dataminimering og opbevaringsbegrænsning trækker i den modsatte retning. Leverandører skal navigere denne spænding eksplicit, typisk gennem formålsspecifikke opbevaringsplaner og anonymisering, hvor det er muligt.
Gennemsigtighed vs. kommerciel fortrolighed. Både AI-forordningen og GDPR kræver meningsfuld gennemsigtighed om, hvordan AI-systemer behandler data og når frem til output. I praksis kan leverandører modstå at afsløre proprietære modelarkitekturer. Rammerne løser ikke fuldt ud denne spænding.
Algoritmisk bias og GDPR's retfærdighedsprincip. GDPR kræver, at automatiseret behandling er retfærdig, men specificerer ikke, hvordan retfærdighed skal måles i AI-systemer. AI-forordningen indfører mere specifikke datastyringskrav omkring bias-detektion, men akademiske kommentarer har bemærket, at ingen af rammerne giver definitiv metodologisk vejledning til sundhedsrelaterede AI-udviklere.
Reguleringslandskabet er i konstant forandring. To konkurrerende EU-lovgivningsforslag, Digital Omnibus (ledet af DG CONNECT) og DG SANTE MDR/IVDR-ændringen, søger begge at forenkle overlapningen mellem AI-forordningen og MDR. Analyse fra Petrie-Flom Center ved Harvard Law School rejser bekymringer om, at forenklingsbestræbelser utilsigtet kan svække sikkerhedsforanstaltninger for menneskeligt tilsyn, især for klinikere og patienter. Resultatet af disse forslag er fortsat usikkert midt i 2026.
Hvem er ansvarlig under hver ramme: leverandøren, hospitalet eller begge
Reguleringsmæssigt ansvar under de tre rammer er fordelt snarere end entydigt, og fordelingen varierer afhængigt af, hvilken ramme der gælder.
Under MDR påhviler den primære forpligtelse producenten, typisk AI-leverandøren. Producenten er ansvarlig for overensstemmelsesvurdering, CE-mærkning, teknisk dokumentation og markedsovervågning efter markedsføring. En sundhedsorganisation, der implementerer et CE-mærket SaMD uden ændringer, fungerer generelt som operatør snarere end producent og har mere begrænsede forpligtelser.
Under GDPR afhænger fordelingen af, hvem der bestemmer formålene og midlerne til behandlingen. En sundhedsorganisation, der implementerer et AI-system til at behandle patientjournaler, er typisk den dataansvarlige og bærer det primære ansvar for lovligt grundlag, patientrettigheder og DPIA-forpligtelser. AI-leverandøren, der behandler data på organisationens vegne, er typisk databehandleren, bundet af en databehandleraftale (DPA), der specificerer omfanget og betingelserne for behandlingen.
Under EU's AI-forordning skelnes der mellem udbydere (dem, der udvikler eller bringer AI-systemer på markedet) og implementerende (dem, der bruger AI-systemer i en professionel sammenhæng). Udbydere bærer den primære compliance-byrde for højrisiko-AI-systemer, herunder teknisk dokumentation, overensstemmelsesvurdering og registrering. Implementerende har deres egne forpligtelser: at sikre menneskeligt tilsyn, AI-kompetence blandt personale, overvågning af systemets ydeevne i brug og suspension af brug, hvor sikkerhedsproblemer opstår.
White & Cases analyse af landskabet efter AI-ansvarsdirektivet, efter tilbagetrækningen af dette direktiv i februar 2025, bekræfter, at det reviderede produktansvarsdirektiv nu udgør en del af ansvarsrammen for AI-drevet medicinsk udstyr med konsekvenser for både producenter og implementerende, hvor der opstår skade fra et defekt AI-system.
Et hospital, der implementerer et klinisk AI-værktøj, kan ikke antage, at reguleringsmæssig compliance udelukkende er leverandørens ansvar. Kontraktlig klarhed om roller, forpligtelser og ansvarsfordeling er essentiel før implementering.
Hvad sundhedsorganisationer bør spørge AI-leverandører om før implementering
Indkøbsteams og kliniske ledere, der evaluerer AI-værktøjer til klinisk implementering, bør søge klare, dokumenterede svar på følgende spørgsmål.
Om MDR og medicinsk udstyrsstatus:
Er dette produkt klassificeret som medicinsk udstyr under EU MDR 2017/745?
Hvis ja, hvad er dets risikoklassifikation, og er CE-mærkning opnået?
Kan du levere overensstemmelseserklæringen og resuméet af sikkerhed og klinisk ydeevne?
Hvordan udføres markedsovervågning efter markedsføring, og hvordan rapporteres hændelser?
Om GDPR og databehandling:
Hvor behandles og opbevares patientdata? Er datalokation i EU garanteret?
Vil du underskrive en databehandleraftale, der er i overensstemmelse med GDPR artikel 28?
Er en konsekvensanalyse vedrørende databeskyttelse tilgængelig til gennemgang?
Bruges patientdata til modeltræning eller forbedring? Hvis ja, på hvilket lovligt grundlag?
Hvordan håndteres registreredes rettigheder (indsigt, sletning, berigtigelse)?
Om EU's AI-forordning:
Er dette system klassificeret som et højrisiko-AI-system under EU's AI-forordning?
Hvilken overensstemmelsesvurdering er gennemført eller planlagt under AI-forordningen?
Hvilken teknisk dokumentation er tilgængelig, der dækker træningsdata, validering og kendte begrænsninger?
Hvilke mekanismer for menneskeligt tilsyn er indbygget i systemet?
Er systemet registreret i EU's AI-systemdatabase?
Om sikkerhed og revision:
Har organisationen ISO 27001-certificering, og er den aktuel?
Hvilke revisionssporkapaciteter leverer systemet?
Hvordan identificeres og adresseres cybersikkerhedssårbarheder efter implementering?
Om AI-kompetence:
Hvilken træning eller dokumentation leveres for at understøtte AI-kompetenceforpligtelser under AI-forordningen?
Ufuldstændige eller undvigende svar på disse spørgsmål bør betragtes som et væsentligt indkøbsrisikosignal.
Hvordan reguleringslandskabet udvikler sig: hvad man skal holde øje med gennem 2026 og fremover
EU's AI-forordning trådte i kraft i august 2024, men dens forpligtelser gælder efter en trinvis tidsplan. Centrale milepæle inkluderer:
Februar 2025: Forbud mod AI-systemer med uacceptabel risiko gælder. AI-kompetenceforpligtelser for udbydere og implementerende træder i kraft
August 2026: Højrisiko-AI-systemforpligtelser under kapitel III gælder fuldt ud, herunder for AI-medicinsk udstyr under bilag I
August 2027: Fuld anvendelse af alle resterende bestemmelser
MDX CRO compliance-guiden bemærker, at overgangsbestemmelser eksisterer for AI-systemer, der allerede lovligt er på markedet før august 2026, men disse bestemmelser er tidsbegrænsede og fritager ikke producenter fra eventuel fuld compliance.
To yderligere udviklinger fortjener tæt opmærksomhed.
Det Europæiske Sundhedsdataområde (EHDS)-forordningen trådte i kraft den 26. marts 2025. EHDS skaber en ramme for sekundær anvendelse af sundhedsdata, herunder til AI-udvikling og forskning, på tværs af EU-medlemsstater. Europa-Kommissionens officielle vejledning om AI i sundhedsvæsenet identificerer EHDS som en nøglefaktor for ansvarlig klinisk AI-udvikling, men dens samspil med GDPR's formålsbegrænsningsprincip vil kræve løbende afklaring, efterhånden som implementeringen skrider frem.
Konkurrerende forenklingsforslag, Digital Omnibus og DG SANTE MDR/IVDR-ændringen, søger begge at reducere compliance-byrden ved krydsfeltet mellem MDR og AI-forordningen. Som Harvard Law Schools Petrie-Flom Center har observeret, kan resultatet af disse forslag ændre compliance-landskabet for klinisk AI markant, enten ved at strømline dobbelte overensstemmelseskrav eller, hvis bestemmelser om menneskeligt tilsyn svækkes, ved at skabe nye patientsikkerhedsrisici.
Usikkerhed om lovligheden af AI-anvendelse i specifikke kliniske sammenhænge forbliver en reel udfordring for sundhedsudbydere, selv hvor rammer eksisterer. Reguleringsmæssig compliance i klinisk AI er ikke en engangs-tjekliste ved indkøb. Det kræver løbende overvågning af et reguleringsmiljø, der fortsætter med at udvikle sig, og en styringsstruktur, der kan reagere, efterhånden som forpligtelserne ændrer sig.
Ofte stillede spørgsmål
▶ Hvilke reguleringsrammer gælder for klinisk AI i Europa
Tre EU-rammer gælder samtidigt for klinisk AI. Forordningen om medicinsk udstyr (MDR) 2017/745 regulerer sikkerhed og ydeevne. Den generelle databeskyttelsesforordning (GDPR) regulerer, hvordan patientdata indsamles, behandles og opbevares. EU's AI-forordning (forordning (EU) 2024/1689), gældende fra 1. august 2024, regulerer gennemsigtighed, ansvarlighed og menneskeligt tilsyn. En fælles FAQ fra Medical Device Coordination Group og EU AI Board bekræftede i 2025, at overholdelse af den ene ramme ikke erstatter overholdelse af den anden.
▶ Hvornår kvalificerer et klinisk AI-værktøj som medicinsk udstyr under EU MDR
Et klinisk AI-værktøj kvalificerer som medicinsk udstyr, når producenten har til hensigt, at det skal bruges til diagnose, forebyggelse, overvågning, forudsigelse, prognose, behandling eller lindring af sygdom. Software, der opfylder denne definition, klassificeres som Software as a Medical Device (SaMD). Et dokumentationsværktøj, der kun transskriberer journalnotater uden at påvirke kliniske beslutninger, befinder sig i en anden reguleringsmæssig position end et AI-system, der markerer abnorme fund eller prioriterer patienttriage. Sidstnævnte vil langt mere sandsynligt blive klassificeret som SaMD og skal opnå CE-mærkning, før det markedsføres i EU.
▶ Hvordan gælder GDPR for sundhedsdata, der behandles af AI-systemer
Sundhedsdata, der behandles af AI-systemer, klassificeres som særlige kategorier af data under artikel 9 i GDPR, hvilket udløser det højeste beskyttelsesniveau under EU's databeskyttelseslovgivning. Behandling heraf kræver både et lovligt grundlag under artikel 6 og en yderligere betingelse under artikel 9. I kliniske sammenhænge er de mest anvendte betingelser behandling, der er nødvendig for medicinsk diagnose eller levering af sundhedspleje, og behandling af hensyn til samfundsinteresser i folkesundheden. AI-systemer skal også anvende dataminimering, hvilket betyder, at de kun kan behandle data, der er nødvendige for deres specificerede formål, og at disse data ikke kan genbruges uden et nyt lovligt grundlag.
▶ Hvad betyder datalokation i EU for kliniske AI-leverandører
Datalokation i EU betyder, at patientdata behandles og opbevares på infrastruktur fysisk placeret inden for Det Europæiske Økonomiske Samarbejdsområde (EØS). GDPR pålægger strenge restriktioner på overførsel af persondata uden for EØS, så hvis en leverandør behandler data på infrastruktur placeret i USA eller andre lande, skal specifikke overførselsmekanismer være på plads, såsom standardkontraktbestemmelser. Datalokation i EU eliminerer behovet for disse mekanismer og forenkler GDPR-overholdelse betydeligt. Sundhedsorganisationer bør kræve, at leverandører specificerer datalokationsarrangementer i kontraktdokumentationen.
▶ Hvordan klassificerer EU's AI-forordning sundhedsrelaterede AI-værktøjer
EU's AI-forordning etablerer et risikobaseret klassifikationssystem med fire niveauer: uacceptabel risiko (forbudt), højrisiko, begrænset risiko og minimal risiko. De fleste kliniske AI-værktøjer, herunder diagnostiske støttesystemer, triageværktøjer og kliniske dokumentationsassistenter, der påvirker behandlingsforløb, vil sandsynligvis falde i højrisikokategorien. Under artikel 6(1) og bilag I i AI-forordningen klassificeres AI-systemer, der er reguleret som medicinsk udstyr under MDR, automatisk som højrisiko-AI-systemer, hvilket gør dem underlagt både MDR-overensstemmelseskrav og det fulde højrisiko-AI-forordnings-compliance-regime.
▶ Hvor overlapper eller er MDR, GDPR og EU's AI-forordning i konflikt
Alle tre rammer kræver gennemsigtighed, dokumenteret risikostyring og løbende overvågningsforpligtelser. En peer-reviewed analyse offentliggjort i 2025 bekræftede, at kvalitetsstyringssystemet, der kræves under MDR, kan danne grundlag for AI-forordnings-compliance, og at tekniske dokumentationskrav under begge rammer kan integreres frem for at blive duplikeret. Der eksisterer dog reelle spændinger. AI-forordningen tilskynder til opbevaring af træningsdata og logfiler til revisionsformål, mens GDPR's principper om dataminimering og opbevaringsbegrænsning trækker i den modsatte retning. Leverandører skal navigere denne spænding eksplicit, typisk gennem formålsspecifikke opbevaringsplaner og anonymisering, hvor det er muligt.
▶ Hvem er ansvarlig for reguleringsmæssig compliance: AI-leverandøren eller sundhedsorganisationen
Ansvaret er fordelt på tværs af alle tre rammer, og fordelingen varierer afhængigt af, hvilken ramme der gælder. Under MDR påhviler den primære forpligtelse producenten, typisk AI-leverandøren, som er ansvarlig for CE-mærkning, teknisk dokumentation og markedsovervågning efter markedsføring. Under GDPR er sundhedsorganisationen, der implementerer AI-systemet, typisk den dataansvarlige og bærer det primære ansvar for lovligt grundlag og patientrettigheder, mens leverandøren fungerer som databehandler. Under EU's AI-forordning bærer leverandører som udbydere den primære compliance-byrde for højrisiko-AI-systemer, men implementerende organisationer har deres egne forpligtelser, herunder implementering af menneskeligt tilsyn og sikring af personalets AI-kompetence. Et hospital, der implementerer et klinisk AI-værktøj, kan ikke antage, at reguleringsmæssig compliance udelukkende er leverandørens ansvar.
▶ Hvilke spørgsmål bør sundhedsorganisationer stille AI-leverandører før implementering
Indkøbsteams bør bede leverandører om at bekræfte, om produktet har CE-mærkning som medicinsk udstyr, og hvad dets risikoklassifikation er. Om databeskyttelse bør de spørge, hvor patientdata behandles og opbevares, om datalokation i EU er garanteret, og om patientdata bruges til modeltræning og på hvilket lovligt grundlag. Om EU's AI-forordning bør de spørge, om systemet er klassificeret som højrisiko, hvilken overensstemmelsesvurdering der er gennemført, og hvilke mekanismer for menneskeligt tilsyn der er indbygget. Om sikkerhed bør de spørge, om leverandøren har aktuel ISO 27001-certificering. Ufuldstændige eller undvigende svar bør betragtes som et væsentligt indkøbsrisikosignal.
▶ Hvornår træder EU's AI-forordningsforpligtelser for højrisiko-kliniske AI-systemer fuldt i kraft
EU's AI-forordning trådte i kraft den 1. august 2024, men dens forpligtelser gælder efter en trinvis tidsplan. Forbud mod AI-systemer med uacceptabel risiko og AI-kompetenceforpligtelser for udbydere og implementerende trådte i kraft i februar 2025. Højrisiko-AI-systemforpligtelser under kapitel III, herunder for AI-medicinsk udstyr, gælder fuldt ud fra august 2026. Fuld anvendelse af alle resterende bestemmelser følger i august 2027. Overgangsbestemmelser eksisterer for AI-systemer, der allerede lovligt er på markedet før august 2026, men disse er tidsbegrænsede og fritager ikke producenter fra eventuel fuld compliance.
▶ Hvad er Det Europæiske Sundhedsdataområde, og hvordan påvirker det klinisk AI
Det Europæiske Sundhedsdataområde (EHDS)-forordningen trådte i kraft den 26. marts 2025. Den skaber en ramme for sekundær anvendelse af sundhedsdata, herunder til AI-udvikling og forskning, på tværs af EU-medlemsstater. Europa-Kommissionen identificerer EHDS som en nøglefaktor for ansvarlig klinisk AI-udvikling. Dens samspil med GDPR's formålsbegrænsningsprincip, som begrænser data fra at blive genbrugt uden et nyt lovligt grundlag, vil kræve løbende afklaring, efterhånden som implementeringen skrider frem.