Sundhedssektoren er et af de mest komplekse regulatoriske landskaber for AI i Europa. EU AI Act (forordning EU 2024/1689) tilføjer et nyt lag til en allerede intens regulering der inkluderer Medicinsk Udstyrs-forordningen (MDR), IVD-forordningen (IVDR), GDPR med særlige regler for sundhedsdata, og nationale sundhedslovgivninger. Resultatet er et multidimensionalt compliance-krav der stiller store krav til sygehuse, medicinsoftwaren-leverandører og medtech-virksomheder.
Annex III punkt 6: Sundhedssektorens høj-risiko AI
EU AI Act Annex III punkt 6 identificerer følgende som høj-risiko AI-systemer inden for sundhed:
> *AI-systemer, der er beregnet til at blive anvendt som sikkerhedskomponenter i forvaltningen og driften af kritisk digital infrastruktur, og AI-systemer, der er beregnet til at blive anvendt i forbindelse med adgang til og nydelse af grundlæggende private og offentlige tjenesteydelser og ydelser samt til hjælp ved vurdering af kreditværdighed.*
Mere specifikt for sundhed og punkt 6 stk. a-b:
> *Bestemmelse af prioritering af nødopkald og -tjenester, herunder politiet, brandvæsenet og medicinske nødtjenester*
og punkt 5 stk. d:
> *Automatiseret offentlig vurdering af patientjournal og adgang til behandling*
Derudover falder mange sundhedsrelaterede AI-systemer under MDR som klasse IIa/IIb medicinsk udstyr — og dermed under både MDR og EU AI Act parallelt.
MDR og EU AI Act: Det dobbelte regelsæt
For AI-systemer der fungerer som medicinsk udstyr er MDR og EU AI Act delvist overlappende men med distinkte krav:
MDR (Medical Device Regulation 2017/745):
EU AI Act:
Koordineringen: EU AI Act Art. 6 stk. 1 og Annex I fastslår at AI-systemer i medicinsk udstyr der allerede er underlagt MDR-CE-mærkning, er underlagt EU AI Act parallelt. Conformity assessment under MDR (notified body) koordineres med EU AI Act-conformity assessment, men kravene er additive.
Praktisk: Et AI-baseret billediagnostisk system (f.eks. et ML-system der analyserer røntgenbilleder) er typisk MDR klasse IIa eller IIb medicinsk software — og dermed Annex III punkt 6 høj-risiko AI. Systemet skal opfylde begge regelsæts krav.
Specifikke AI-anvendelser i sundhedssektoren
AI-diagnostik: Billediagnostik og patologianalyse
AI-systemer der analyserer radiologiske billeder (CT, MRI, røntgen), patologiprøver eller ophthalmologiske billeder er blandt de mest modne og udbredte kliniske AI-applikationer. Europæiske eksempler inkluderer:
For disse systemer er human oversight (Art. 14) et centralt krav: En radiolog eller patolog skal have reel mulighed og kapacitet til at verificere AI-systemets output — ikke blot acceptere det automatisk. Art. 14 stk. 5 kræver specifikt at human oversight-ansvarlige kan "ignorere, tilsidesætte eller vende systemets output."
Udfordringen: I praksis kan kognitivt bias (automation bias) gøre det svært for klinisk personale at tilsidesætte systemer de opfatter som mere nøjagtige end dem selv. Compliance kræver aktiv træning i at udøve reel kritisk oversight.
Klinisk beslutningsstøtte (CDSS)
Clinical Decision Support Systems (CDSS) der anbefaler behandling, medicindoseringer eller diagnostiske veje baseret på patientdata, er potentielt høj-risiko afhængigt af automatiseringsgraden:
For ICU-monitoreringssystemer der automatisk justerer medicinering baseret på vitale parametre, er høj-risiko-klassificeringen klar.
Sundhedsadministrativ AI
AI der bruges administrativt i sundhedssektoren — prioritering af ventelister, optimering af operationsplaner, ressource-allokering — kan falde under EU AI Act punkt 6 stk. a om "bestemmelse af prioritering af nødtjenester" i bred forstand.
GDPR-overlap: Sundhedsdata er GDPR Art. 9 særlige kategorier. Al AI-behandling af sundhedsdata kræver eksplicit retsgrundlag (typisk Art. 9 stk. 2 litra h for behandlingsformål), og DPIA er næsten altid påkrævet.
Patientrettigheder under EU AI Act
Patienter der er genstand for AI-baserede sundhedsafgørelser har rettigheder under EU AI Act:
Transparency (Art. 13): Patienter skal kunne forstå at et AI-system bidrager til diagnostik eller behandlingsanbefalinger. Medicinsk personale har en forklaringspligt der nu er forstærket af EU AI Act.
Human oversight som : Art. 14's krav om menneskelig oversight er reelt en patientrettighed: Der skal altid være et kvalificeret sundhedsprofessionelt der overvåger og kan tilsidesætte AI-systemets anbefalinger.
GDPR Art. 22: Retten til ikke at være underlagt automatiserede sundhedsbeslutninger med retsvirkning uden menneskelig vurdering. For AI-base