·

Teknologiadopsjon

Helsevesen

Helsevesen IT / CIO

EUs AI-regelverk for helsevesenet: MDR, GDPR og AI-loven

Naviger i EUs regelverk for klinisk AI. Forstå MDRs krav til medisinsk utstyr, GDPRs databeskyttelse og AI-lovens overholdelsesforpliktelser for helseorganisasjoner

EU-regelverksdokumenter med helseteknologisymboler

Helse-AI i Europa er ikke underlagt ett enkelt regelverk, men tre samtidig, hver med sin egen myndighet, egne etterlevelsesforpliktelser og egne håndhevingsmekanismer. Et klinisk AI-verktøy som støtter diagnostiske beslutninger kan kreve CE-merking som medisinsk utstyr, må håndtere pasientdata i samsvar med personvernforordningen (GDPR), og vil sannsynligvis bli klassifisert som høyrisiko under EUs AI-lov. Disse rammeverkene gjelder ikke etter hverandre, men parallelt, og de samhandler på måter som ikke alltid er enkle. For helseorganisasjoner som vurderer eller tar i bruk AI, er forståelse av dette regulatoriske landskapet en forutsetning for ansvarlig anskaffelse og trygg klinisk bruk.

De tre regulatoriske pilarene enhver helse-AI-aktør må forstå

Tre distinkte EU-rammeverk styrer klinisk AI-implementering, hver med ulikt hovedfokus.

EUs forordning om medisinsk utstyr (MDR) 2017/745 regulerer sikkerhet og ytelse. Fokuset er på om et produkt, inkludert programvare, er trygt for sitt tiltenkte kliniske formål og om det er validert til å fungere som hevdet.

GDPR regulerer personvern. Fokuset er på hvordan personopplysninger, særlig helseopplysninger, samles inn, behandles, lagres og deles, og på å sikre at enkeltpersoner beholder reelle rettigheter over sin informasjon.

EUs AI-lov (forordning (EU) 2024/1689, i kraft siden 1. august 2024) regulerer systemisk risiko. Fokuset er på om AI-systemer er transparente, ansvarsbevisste og underlagt tilstrekkelig menneskelig tilsyn, særlig der disse systemene påvirker grunnleggende rettigheter eller sikkerhetskritiske beslutninger.

Som en felles FAQ fra Medical Device Coordination Group (MDCG) og EU AI Board (MDCG 2025-6) bekreftet i 2025, må AI-systemer som kvalifiserer som medisinsk utstyr overholde både MDR/IVDR og AI-loven samtidig. Overholdelse av ett rammeverk erstatter ikke overholdelse av et annet.

Når helse-AI kvalifiserer som medisinsk utstyr under MDR

Under MDR 2017/745 er det sentrale spørsmålet om et programvareverktøy har et medisinsk tiltenkt formål. Det vil si om produsenten har til hensikt at det skal brukes til diagnose, forebygging, overvåking, prediksjon, prognose, behandling eller lindring av sykdom. Programvare som oppfyller denne definisjonen klassifiseres som Software as a Medical Device (SaMD) og må overholde hele MDR-regimet.

Tiltenkt formål er den avgjørende faktoren. Et dokumentasjonsverktøy som kun transkriberer kliniske notater uten å tolke eller påvirke kliniske beslutninger, befinner seg i en annen regulatorisk posisjon enn et AI-system som markerer unormale funn, foreslår diagnoser eller prioriterer pasienttriasje. Sistnevnte er langt mer sannsynlig å bli klassifisert som SaMD.

Når et verktøy klassifiseres som medisinsk utstyr, må produsenten:

  • Gjennomføre en samsvarsvurdering som er tilpasset utstyrets risikoklassifisering (klasse I til III)

  • Produsere og vedlikeholde omfattende teknisk dokumentasjon

  • Implementere et kvalitetsstyringssystem (QMS)

  • Oppnå CE-merking før utstyret plasseres på EU-markedet

  • Opprettholde overvåking etter markedsføring og rapportere alvorlige hendelser

Analyse fra King & Spalding av MDCG 2025-6-veiledningen identifiserer fem sentrale operasjonelle områder der MDR- og AI-lovforpliktelser konvergerer: styringssystemer, datastyring, teknisk dokumentasjon, transparens og menneskelig tilsyn, samt cybersikkerhet og nøyaktighet. Produsenter bør behandle disse som integrerte krav snarere enn parallelle sjekklister.

En praktisk utfordring er mangelen på utpekte varslingsorgan, de uavhengige samsvarsvurderingsorganisasjonene som kreves for høyere risikoklasser. Baker McKenzie har påpekt at denne flaskehalsen, kombinert med et betydelig gap i harmoniserte standarder for AI-spesifikke risikoer som algoritmisk skjevhet og modellforskyvning, skaper reelle forsinkelser for produsenter som søker markedsadgang.

GDPR og klinisk AI: hva som regnes som særlige kategorier av data og hvorfor det betyr noe

Helseopplysninger behandlet av AI-systemer klassifiseres som særlige kategorier av data under artikkel 9 i GDPR, noe som gir det høyeste beskyttelsesnivået under EUs personvernlovgivning. Denne klassifiseringen gjelder uavhengig av om AI-systemet er den primære behandlingsansvarlige eller en databehandler lenger ned i kjeden. Dataens natur, ikke databehandlerens rolle, avgjør klassifiseringen.

For kliniske AI-implementeringer har dette flere direkte konsekvenser.

Rettslig grunnlag. Behandling av særlige kategorier av helseopplysninger krever både et rettslig grunnlag under artikkel 6 og en tilleggsbestemmelse under artikkel 9. I kliniske sammenhenger er de mest relevante artikkel 9-bestemmelsene: behandling som er nødvendig for medisinsk diagnose eller levering av helsetjenester (artikkel 9(2)(h)), behandling av hensyn til allmenn interesse innen folkehelse (artikkel 9(2)(i)), og, der ingen av disse gjelder, eksplisitt samtykke (artikkel 9(2)(a)). Samtykke er sjelden det mest hensiktsmessige grunnlaget i kliniske omgivelser, gitt den iboende maktubalansen mellom pasienter og helsetjenesteleverandører.

Dataminimering og formålsbegrensning. AI-systemer må kun behandle de dataene som er nødvendige for deres spesifiserte formål. Disse dataene kan ikke brukes til andre formål uten et nytt rettslig grunnlag. Dette skaper særlig utfordringer der leverandører ønsker å bruke kliniske data til modelltrening eller forbedring, en bruk som typisk er forskjellig fra det opprinnelige kliniske formålet.

Registrertes rettigheter. Pasienter beholder rettigheter til innsyn, retting og i visse tilfeller sletting, selv der deres data har blitt behandlet av AI-systemer. Helseorganisasjoner må kunne svare på slike forespørsler også for data som holdes eller behandles av tredjeparts AI-leverandører.

En gjennomgang av personvern- og styringsrammeverk for AI-drevne helseenheter fremhevet at GDPR-overholdelse i AI-aktiverte kliniske omgivelser krever ikke bare tekniske kontroller, men også pågående styringsstrukturer, inkludert vurderinger av personvernkonsekvenser (DPIA), registre over behandlingsaktiviteter og klart definerte databehandleravtaler.

Datalagring og grensekryssende dataflyt i EU helse-AI

GDPR pålegger strenge restriksjoner på overføring av personopplysninger utenfor Det europeiske økonomiske samarbeidsområdet (EØS). For kliniske AI-leverandører betyr dette at dersom pasientdata behandles eller lagres på infrastruktur lokalisert utenfor EØS, inkludert på skyplattformer i USA eller andre land, må spesifikke overføringsmekanismer være på plass.

De viktigste mekanismene er:

  • Tilstrekkelighetsvedtak, der EU-kommisjonen har fastslått at et tredjeland gir et tilsvarende nivå av databeskyttelse (gjelder for tiden et begrenset antall jurisdiksjoner)

  • Standardkontraktsklausuler (SCC), som pålegger kontraktsmessige forpliktelser på både dataeksportøren og importøren

  • Bindende virksomhetsregler (BCR), brukt primært innenfor multinasjonale konsern

For helseorganisasjoner er det praktiske spørsmålet ikke bare om en leverandør har signert SCC, men hvor data faktisk behandles og lagres. Datalagring innenfor EU betyr at pasientdata behandles og lagres på infrastruktur fysisk lokalisert innenfor EØS. Dette eliminerer behovet for grensekryssende overføringsmekanismer og forenkler GDPR-overholdelse betydelig. Helseorganisasjoner bør kreve at leverandører spesifiserer dette i kontraktsdokumentasjonen.

En sammenlignende policyanalyse av cybersikkerhetsregulering i digital helse på tvers av USA, EU og India bemerket at EUs tilnærming til datasuverenitet i helsevesenet er betydelig mer preskriptiv enn i andre jurisdiksjoner, noe som påvirker hvordan globale AI-leverandører utformer sine produkter for europeiske markeder.

Hvordan EUs AI-lov klassifiserer helse-AI og hva høyrisiko betyr i praksis

EUs AI-lov etablerer et risikobasert klassifiseringssystem med fire nivåer: uakseptabel risiko (forbudt), høyrisiko, begrenset risiko og minimal risiko. De fleste kliniske AI-verktøy, inkludert diagnostiske støttesystemer, triasjeringsverktøy og kliniske dokumentasjonsassistenter som påvirker pasientforløp, vil sannsynligvis falle innenfor høyrisikokategorien.

Under artikkel 6(1) og vedlegg I i AI-loven klassifiseres AI-systemer som også reguleres som medisinsk utstyr under MDR eller IVDR automatisk som høyrisiko AI-systemer. CE-merket SaMD er derfor underlagt både MDR-samsvarskrav og det fulle høyrisiko AI-lovens overholdelsesregime.

Hunton Andrews Kurths analyse av AI-lovens anvendelse på medisinsk utstyr trekker frem nøkkelforpliktelsene for høyrisiko AI-systemer:

  • Teknisk dokumentasjon: Detaljerte registre over systemdesign, treningsdata, valideringsmetodikk og kjente begrensninger

  • Risikostyring: Et pågående risikostyringssystem som dekker AI-spesifikke risikoer, inkludert algoritmisk skjevhet og modellforskyvning

  • Datastyring: Krav til trenings-, validerings- og testdatasett, inkludert deteksjon av skjevhet og datakvalitetskontroller

  • Transparens og bruksanvisninger: Klar dokumentasjon slik at brukere og implementerende kan forstå systemets kapasiteter og begrensninger

  • Menneskelig tilsyn: Tekniske og organisatoriske tiltak som sikrer at mennesker effektivt kan overvåke, overstyre og gripe inn i AI-utdata

  • Samsvarsvurdering: Formell vurdering før markedsplassering, med pågående overvåking etter markedsføring

  • Registrering: Høyrisiko AI-systemer må registreres i EU-databasen for AI-systemer

AI-loven introduserer også AI-kompetanseforpliktelser, gjeldende fra februar 2025, som krever at leverandører og implementerende sikrer at ansatte som arbeider med AI-systemer har tilstrekkelig forståelse av teknologiens kapasiteter og begrensninger. Taylor Wessing påpeker at denne forpliktelsen gjelder for helseorganisasjoner som tar i bruk AI-verktøy, ikke bare for leverandørene som leverer dem.

Hvor MDR, GDPR og AI-loven overlapper og hvor de er i konflikt

De tre rammeverkene har flere felles trekk. Alle krever transparens om hvordan et system fungerer, hvilke data det bruker, og hva dets begrensninger er. Alle krever dokumentert risikostyring. Alle pålegger overvåkingsforpliktelser etter markedsføring eller løpende. Der MDR krever overvåking etter markedsføring og AI-loven krever løpende overvåking, kan disse forpliktelsene i prinsippet håndteres gjennom en samlet prosess.

En fagfellevurdert analyse publisert i 2025 som undersøker den regulatoriske forbindelsen mellom AI-loven og MDR/IVDR bekreftet at QMS som kreves under MDR kan danne grunnlag for AI-lovens overholdelse, og at tekniske dokumentasjonskrav under begge rammeverk kan integreres i stedet for å dupliseres. Artikkel 8 i AI-loven forutser eksplisitt denne integrasjonen for AI-medisinsk utstyr.

Det finnes imidlertid reelle spenninger.

Datalagring vs. dataminimering. AI-loven oppmuntrer, og i noen tilfeller krever, oppbevaring av treningsdata, valideringsdatasett og logger for revisjons- og ansvarlighetsformål. GDPRs prinsipper om dataminimering og lagringsbegrensning trekker i motsatt retning. Leverandører må håndtere denne spenningen eksplisitt, typisk gjennom formålsspesifikke oppbevaringsplaner og anonymisering der det er mulig.

Transparens vs. kommersiell konfidensialitet. Både AI-loven og GDPR krever reell transparens om hvordan AI-systemer behandler data og genererer utdata. I praksis kan leverandører vegre seg for å avsløre proprietære modellarkitekturer. Rammeverkene løser ikke denne spenningen fullt ut.

Algoritmisk skjevhet og GDPRs rettferdighetsprinsipp. GDPR krever at automatisert behandling er rettferdig, men spesifiserer ikke hvordan rettferdighet skal måles i AI-systemer. AI-loven introduserer mer spesifikke datastyringskrav rundt deteksjon av skjevhet, men akademisk kommentar har påpekt at ingen av rammeverkene gir definitiv metodisk veiledning for helse-AI-utviklere.

Det regulatoriske landskapet er i stadig endring. To konkurrerende EU-lovforslag, Digital Omnibus (ledet av DG CONNECT) og DG SANTE MDR/IVDR-endringen, søker begge å forenkle overlappet mellom AI-loven og MDR. Analyse fra Petrie-Flom Center ved Harvard Law School reiser bekymringer om at forenklingstiltak utilsiktet kan svekke sikkerhetstiltak for menneskelig tilsyn, særlig for klinikere og pasienter. Utfallet av disse forslagene er fortsatt usikkert per medio 2026.

Hvem er ansvarlig under hvert rammeverk: leverandøren, sykehuset eller begge

Regulatorisk ansvar under de tre rammeverkene er fordelt snarere enn entydig, og tildelingen varierer avhengig av hvilket rammeverk som gjelder.

Under MDR ligger hovedansvaret hos produsenten, typisk AI-leverandøren. Produsenten er ansvarlig for samsvarsvurdering, CE-merking, teknisk dokumentasjon og overvåking etter markedsføring. En helseorganisasjon som implementerer et CE-merket SaMD uten endringer opptrer vanligvis som operatør snarere enn produsent, med mer begrensede forpliktelser.

Under GDPR avhenger ansvarsfordelingen av hvem som bestemmer formål og midler for behandlingen. En helseorganisasjon som bruker et AI-system for å behandle pasientjournaler er typisk behandlingsansvarlig, med hovedansvar for rettslig grunnlag, pasientrettigheter og DPIA-forpliktelser. AI-leverandøren, som behandler data på organisasjonens vegne, er vanligvis databehandler, bundet av en databehandleravtale (DPA) som spesifiserer omfang og betingelser for behandlingen.

Under EUs AI-lov skilles det mellom leverandører (de som utvikler eller plasserer AI-systemer på markedet) og implementerende (de som bruker AI-systemer i profesjonell sammenheng). Leverandører bærer hovedansvaret for høyrisiko AI-systemer, inkludert teknisk dokumentasjon, samsvarsvurdering og registrering. Implementerende har egne forpliktelser: å innføre menneskelige tilsynstiltak, sikre AI-kompetanse blant ansatte, overvåke systemytelse i bruk og stanse bruk dersom sikkerhetsbekymringer oppstår.

White & Cases analyse av landskapet etter AI-ansvarsdirektivet, etter at dette direktivet ble trukket tilbake i februar 2025, bekrefter at det reviderte produktansvarsdirektivet nå utgjør en del av ansvarsrammen for AI-drevet medisinsk utstyr, med konsekvenser for både produsenter og implementerende dersom skade skyldes et defekt AI-system.

Et sykehus som tar i bruk et klinisk AI-verktøy kan ikke anta at regulatorisk overholdelse utelukkende er leverandørens ansvar. Kontraktsmessig klarhet om roller, forpliktelser og ansvarsfordeling er avgjørende før implementering.

Hva helseorganisasjoner bør spørre AI-leverandører om før implementering

Anskaffelsesteam og kliniske ledere som vurderer AI-verktøy for klinisk implementering bør be om klare, dokumenterte svar på følgende spørsmål.

Om MDR og medisinsk utstyrsstatus:

  • Er dette produktet klassifisert som medisinsk utstyr under EU MDR 2017/745?

  • Hvis ja, hva er risikoklassifiseringen, og er CE-merking oppnådd?

  • Kan du levere samsvarserklæring og sammendrag av sikkerhet og klinisk ytelse?

  • Hvordan gjennomføres overvåking etter markedsføring, og hvordan rapporteres hendelser?

Om GDPR og databehandling:

  • Hvor behandles og lagres pasientdata? Er EU-datalagring garantert?

  • Vil dere signere en databehandleravtale i samsvar med GDPR artikkel 28?

  • Er en vurdering av personvernkonsekvenser tilgjengelig for gjennomgang?

  • Brukes pasientdata til modelltrening eller forbedring? Hvis ja, på hvilket rettslig grunnlag?

  • Hvordan håndteres registrertes rettigheter (innsyn, sletting, retting)?

Om EUs AI-lov:

  • Er dette systemet klassifisert som et høyrisiko AI-system under EUs AI-lov?

  • Hvilken samsvarsvurdering er gjennomført, eller er planlagt, under AI-loven?

  • Hvilken teknisk dokumentasjon er tilgjengelig som dekker treningsdata, validering og kjente begrensninger?

  • Hvilke menneskelige tilsynsmekanismer er bygget inn i systemet?

  • Er systemet registrert i EU AI-systemdatabasen?

Om sikkerhet og revisjon:

  • Har organisasjonen ISO 27001-sertifisering, og er den gyldig?

  • Hvilke revisjonssporkapasiteter gir systemet?

  • Hvordan identifiseres og håndteres cybersikkerhetssårbarheter etter implementering?

Om AI-kompetanse:

  • Hvilken opplæring eller dokumentasjon leveres for å støtte AI-kompetanseforpliktelser under AI-loven?

Ufullstendige eller unnvikende svar på disse spørsmålene bør betraktes som et betydelig anskaffelsesrisikosignal.

Hvordan det regulatoriske landskapet utvikler seg: hva å følge med på gjennom 2026 og videre

EUs AI-lov trådte i kraft i august 2024, men forpliktelsene gjelder etter en faseinndelt tidslinje. Sentrale milepæler inkluderer:

  • Februar 2025: Forbud mot AI-systemer med uakseptabel risiko gjelder. AI-kompetanseforpliktelser for leverandører og implementerende trer i kraft.

  • August 2026: Høyrisiko AI-systemforpliktelser under kapittel III gjelder fullt ut, inkludert de for AI-medisinsk utstyr under vedlegg I.

  • August 2027: Full anvendelse på tvers av alle gjenværende bestemmelser.

MDX CRO-overholdelsesguiden bemerker at overgangsbestemmelser eksisterer for AI-systemer som allerede er lovlig på markedet før august 2026, men disse bestemmelsene er tidsbegrenset og fritar ikke produsenter fra full overholdelse på sikt.

To ytterligere utviklinger fortjener nøye oppmerksomhet.

Forordningen om det europeiske helseområdet for data (EHDS) trådte i kraft 26. mars 2025. EHDS etablerer et rammeverk for sekundær bruk av helsedata, inkludert for AI-utvikling og forskning, på tvers av EUs medlemsland. EU-kommisjonens offisielle veiledning om AI i helsevesenet identifiserer EHDS som en nøkkel for ansvarlig klinisk AI-utvikling, men dens samspill med GDPRs formålsbegrensningsprinsipp vil kreve løpende avklaring etter hvert som implementeringen fortsetter.

Konkurrerende forenklingsforslag, Digital Omnibus og DG SANTE MDR/IVDR-endringen, søker begge å redusere overholdelsesbyrden ved MDR/AI-lovens krysningspunkt. Som Harvard Law Schools Petrie-Flom Center har observert, kan utfallet av disse forslagene i stor grad endre overholdelseslandskapet for klinisk AI, enten ved å forenkle doble samsvarskrav eller, hvis bestemmelser om menneskelig tilsyn svekkes, ved å skape nye pasientsikkerhetsrisikoer.

Usikkerhet om lovligheten av AI-bruk i spesifikke kliniske sammenhenger forblir en reell utfordring for helsetjenesteleverandører, selv der rammeverk eksisterer. Regulatorisk overholdelse i klinisk AI er ikke en engangs anskaffelsessjekkliste. Det krever løpende overvåking av et regulatorisk miljø i stadig utvikling, og en styringsstruktur som kan tilpasse seg etter hvert som forpliktelser endres.

Ofte stilte spørsmål

▶ Hvilke regulatoriske rammeverk gjelder for klinisk AI i Europa?

Tre EU-rammeverk gjelder samtidig for klinisk AI. Forordningen om medisinsk utstyr (MDR) 2017/745 regulerer sikkerhet og ytelse. Personvernforordningen (GDPR) regulerer hvordan pasientdata samles inn, behandles og lagres. EUs AI-lov (forordning (EU) 2024/1689), i kraft siden 1. august 2024, regulerer transparens, ansvarlighet og menneskelig tilsyn. En felles FAQ fra Medical Device Coordination Group og EU AI Board bekreftet i 2025 at overholdelse av ett rammeverk ikke erstatter overholdelse av et annet.

▶ Når kvalifiserer et klinisk AI-verktøy som medisinsk utstyr under EU MDR?

Et klinisk AI-verktøy kvalifiserer som medisinsk utstyr når produsenten har til hensikt at det skal brukes til diagnose, forebygging, overvåking, prediksjon, prognose, behandling eller lindring av sykdom. Programvare som oppfyller denne definisjonen klassifiseres som Software as a Medical Device (SaMD). Et dokumentasjonsverktøy som kun transkriberer kliniske notater uten å påvirke kliniske beslutninger befinner seg i en annen regulatorisk posisjon enn et AI-system som markerer unormale funn eller prioriterer pasienttriasje. Sistnevnte er langt mer sannsynlig å bli klassifisert som SaMD og må oppnå CE-merking før det plasseres på EU-markedet.

▶ Hvordan gjelder GDPR for helseopplysninger behandlet av AI-systemer?

Helseopplysninger behandlet av AI-systemer klassifiseres som særlige kategorier av data under artikkel 9 i GDPR, noe som gir det høyeste beskyttelsesnivået under EUs personvernlovgivning. Behandling av slike data krever både et rettslig grunnlag under artikkel 6 og en tilleggsbestemmelse under artikkel 9. I kliniske sammenhenger er de mest relevante bestemmelsene behandling som er nødvendig for medisinsk diagnose eller levering av helsetjenester, og behandling av hensyn til allmenn interesse innen folkehelse. AI-systemer må også praktisere dataminimering, noe som betyr at de kun kan behandle data som er nødvendige for sitt spesifiserte formål. Disse dataene kan ikke brukes til andre formål uten et nytt rettslig grunnlag.

▶ Hva betyr EU-datalagring for kliniske AI-leverandører?

Datalagring innenfor EU betyr at pasientdata behandles og lagres på infrastruktur fysisk lokalisert innenfor Det europeiske økonomiske samarbeidsområdet (EØS). GDPR pålegger strenge restriksjoner på overføring av personopplysninger utenfor EØS, så dersom en leverandør behandler data på infrastruktur lokalisert i USA eller andre land, må spesifikke overføringsmekanismer være på plass, som standardkontraktsklausuler. EU-datalagring eliminerer behovet for slike mekanismer og forenkler GDPR-overholdelse betydelig. Helseorganisasjoner bør kreve at leverandører spesifiserer datalagringsordninger i kontraktsdokumentasjonen.

▶ Hvordan klassifiserer EUs AI-lov helse-AI-verktøy?

EUs AI-lov etablerer et risikobasert klassifiseringssystem med fire nivåer: uakseptabel risiko (forbudt), høyrisiko, begrenset risiko og minimal risiko. De fleste kliniske AI-verktøy, inkludert diagnostiske støttesystemer, triasjeringsverktøy og kliniske dokumentasjonsassistenter som påvirker pasientforløp, vil sannsynligvis falle innenfor høyrisikokategorien. Under artikkel 6(1) og vedlegg I i AI-loven klassifiseres AI-systemer regulert som medisinsk utstyr under MDR automatisk som høyrisiko AI-systemer, noe som gjør dem underlagt både MDR-samsvarskrav og det fulle høyrisiko AI-lovens overholdelsesregime.

▶ Hvor overlapper eller er MDR, GDPR og EUs AI-lov i konflikt?

Alle tre rammeverkene krever transparens, dokumentert risikostyring og løpende overvåkingsforpliktelser. En fagfellevurdert analyse publisert i 2025 bekreftet at kvalitetsstyringssystemet som kreves under MDR kan danne grunnlag for AI-lovens overholdelse, og at tekniske dokumentasjonskrav under begge rammeverk kan integreres i stedet for å dupliseres. Det finnes imidlertid reelle spenninger. AI-loven oppmuntrer til oppbevaring av treningsdata og logger for revisjonsformål, mens GDPRs prinsipper om dataminimering og lagringsbegrensning trekker i motsatt retning. Leverandører må håndtere denne spenningen eksplisitt, typisk gjennom formålsspesifikke oppbevaringsplaner og anonymisering der det er mulig.

▶ Hvem er ansvarlig for regulatorisk overholdelse: AI-leverandøren eller helseorganisasjonen?

Ansvaret er fordelt på tvers av alle tre rammeverk, og tildelingen varierer avhengig av hvilket rammeverk som gjelder. Under MDR ligger hovedansvaret hos produsenten, typisk AI-leverandøren, som er ansvarlig for CE-merking, teknisk dokumentasjon og overvåking etter markedsføring. Under GDPR er helseorganisasjonen som implementerer AI-systemet vanligvis behandlingsansvarlig, med hovedansvar for rettslig grunnlag og pasientrettigheter, mens leverandøren opptrer som databehandler. Under EUs AI-lov bærer leverandører hovedansvaret for høyrisiko AI-systemer, men implementerende organisasjoner har egne forpliktelser, inkludert innføring av menneskelig tilsyn og sikring av ansattes AI-kompetanse. Et sykehus som tar i bruk et klinisk AI-verktøy kan ikke anta at regulatorisk overholdelse utelukkende er leverandørens ansvar.

▶ Hvilke spørsmål bør helseorganisasjoner stille AI-leverandører før implementering?

Anskaffelsesteam bør be leverandører bekrefte om produktet har CE-merking som medisinsk utstyr og hva risikoklassifiseringen er. Om databeskyttelse bør de spørre hvor pasientdata behandles og lagres, om EU-datalagring er garantert, og om pasientdata brukes til modelltrening og på hvilket rettslig grunnlag. Om EUs AI-lov bør de spørre om systemet er klassifisert som høyrisiko, hvilken samsvarsvurdering som er gjennomført, og hvilke menneskelige tilsynsmekanismer som er bygget inn. Om sikkerhet bør de spørre om leverandøren har gyldig ISO 27001-sertifisering. Ufullstendige eller unnvikende svar bør betraktes som et betydelig anskaffelsesrisikosignal.

▶ Når trer EUs AI-lovs forpliktelser for høyrisiko kliniske AI-systemer fullt i kraft?

EUs AI-lov trådte i kraft 1. august 2024, men forpliktelsene gjelder etter en faseinndelt tidslinje. Forbud mot AI-systemer med uakseptabel risiko og AI-kompetanseforpliktelser for leverandører og implementerende trådte i kraft i februar 2025. Høyrisiko AI-systemforpliktelser under kapittel III, inkludert de for AI-medisinsk utstyr, gjelder fullt ut fra august 2026. Full anvendelse på tvers av alle gjenværende bestemmelser følger i august 2027. Overgangsbestemmelser eksisterer for AI-systemer som allerede er lovlig på markedet før august 2026, men disse er tidsbegrenset og fritar ikke produsenter fra full overholdelse på sikt.

▶ Hva er det europeiske helseområdet for data og hvordan påvirker det klinisk AI?

Forordningen om det europeiske helseområdet for data (EHDS) trådte i kraft 26. mars 2025. Den etablerer et rammeverk for sekundær bruk av helsedata, inkludert for AI-utvikling og forskning, på tvers av EUs medlemsland. EU-kommisjonen identifiserer EHDS som en nøkkel for ansvarlig klinisk AI-utvikling. Dens samspill med GDPRs formålsbegrensningsprinsipp, som begrenser data fra å bli brukt til andre formål uten et nytt rettslig grunnlag, vil kreve løpende avklaring etter hvert som implementeringen fortsetter.

Kom i gang med Tandem i dag

Join thousands of clinicians enjoying stress-free documentation.

Kom i gang med Tandem i dag

Join thousands of clinicians enjoying stress-free documentation.

Kom i gang med Tandem i dag

Join thousands of clinicians enjoying stress-free documentation.