Användning av artificiell intelligens i medicintekniska produkter

• 1.8.2024
  • Förordningen träder i kraft.
• 2.2.2025
  • Allmänna bestämmelser och förbjudna användningsområden i anslutning till artificiell intelligens tillämpas.
• 1.8.2025
  • Anmälda organ, GPAI-modeller, förvaltning, konfidentialitet och påföljder. 
• 2.8.2026
  • Övriga bestämmelser träder i kraft med undantag av artikel 6(1).
• 2.8.2027
  • Förordningen tillämpas fullt ut på alla AI-system, inklusive medicintekniska produkter. 

Det första steget är att bedöma om systemet uppfyller definitionen i förordningen om artificiell intelligens. Enligt artikel 3.1 i förordningen avses med AI-system ett ”maskinbaserat system som är utformat för att fungera med varierande grad av autonomi och som kan uppvisa anpassningsförmåga efter införande och som, för uttryckliga eller underförstådda mål, drar slutsatser härledda från den indata det tar emot, om hur utdata såsom förutsägelser, innehåll, rekommendationer eller beslut som kan påverka fysiska eller virtuella miljöer ska genereras”.

Europeiska kommissionen har publicerat anvisningar om definitionen av ett AI-system. Kommissionens anvisningar hjälper aktörerna att förstå om deras system omfattas av tillämpningsområdet för förordningen om artificiell intelligens. Anvisningarna förtydligar de sju centrala delarna i definitionen av ett AI-system och ger praktiska anvisningar om hur definitionen ska tillämpas i olika situationer. På så sätt kan aktörerna bedöma sitt systems egenskaper, säkerställa behovet av och kraven på efterlevnaden av författningen samt planera nödvändiga åtgärder. 

Förordningen om artificiell intelligens ålägger AI-systemen riskbaserade skyldigheter:

1. Vissa system och användningsändamål för artificiell intelligens är förbjudna.  
2. System med hög risk åläggs omfattande skyldigheter innan de kan släppas ut på marknaden eller tas i bruk.  
3. Vissa system med låg risk har ålagts transparensskyldighet.

Utöver dessa finns det AI-system med så låg risk att de enligt förordningen inte har några skyldigheter. Obs! Allmänna modeller för artificiell intelligens regleras separat. 

Bestämmelserna i förordningen om artificiell intelligens gäller i huvudsak AI-system med hög risk. Med dessa avses AI-system som kan ha en betydande skadlig inverkan på EU-medborgarnas hälsa, säkerhet och grundläggande rättigheter. 

Europeiska kommissionen har publicerat anvisningar om förbjudna användningsområden i anslutning till artificiell intelligens och definitionen av ett AI-system. Anvisningarna om förbjudna användningsområden för artificiell intelligens ger en översikt över AI-system som är förbjudna, innebär en hög risk eller omfattas av transparenskravet samt betonar skyddet av hälsa, säkerhet och grundrättigheter. 

Med aktör avses leverantörer, ombud, importörer, distributörer eller tillhandahållare. 

Med leverantör avses en fysisk eller juridisk person, en offentlig myndighet, en byrå eller ett annat organ som utvecklar ett AI-system eller en AI-modell för allmänna ändamål och släpper ut det eller den på marknaden eller tar AI-systemet i bruk i eget namn eller under eget varumärke. Alla hänvisningar till ”tillverkare” enligt MDR (2017/745) och IVDR (2017/746) ska förstås som hänvisningar till ”leverantör” enligt förordningen om artificiell intelligens. 

Med ombud avses en fysisk eller juridisk person som befinner sig eller är etablerad i Europeiska unionen och som har fått och godtagit en skriftlig fullmakt från en leverantör av ett AI-system för att för dennes räkning fullgöra respektive genomföra de skyldigheter och förfaranden som fastställs i denna förordning.

Med importör avses en fysisk eller juridisk person som befinner sig eller är etablerad i Europeiska unionen och som släpper ut ett AI-system på marknaden som bär namnet på eller varumärket för en fysisk eller juridisk person som är etablerad i ett tredjeland.

Med distributör avses en annan fysisk eller juridisk person i leveranskedjan än leverantören eller importören, som tillhandahåller ett AI-system på unionsmarknaden.

Med tillhandahållare avses en fysisk eller juridisk person, offentlig myndighet, en byrå eller annat organ som under eget överinseende använder ett AI-system för annat än privat bruk.

Förordningen om artificiell intelligens fokuserar på skyldigheterna för leverantörer av AI-system och andra aktörer. I och med förordningen har även användare av AI-system vissa rättigheter. Om det utifrån resultatet av ett AI-system med hög risk fattas ett beslut som har en betydande inverkan på en person, har personen i fråga rätt att få en tydlig och begriplig förklaring av AI-systemets roll i beslutsfattandet. Dessutom har varje fysisk eller juridisk person som anser att bestämmelserna i förordningen har överträtts rätt att lämna in klagomål till den berörda marknadskontrollmyndigheten.

Artificiell intelligens omfattas av bestämmelserna om medicintekniska produkter om den är en väsentlig del av en medicinteknisk produkt eller en självständig programvara som uppfyller definitionen av en medicinteknisk produkt enligt MDR/IVDR. Enligt MDCG 2019-11-anvisningarna avses med medicinteknisk programvara (MDSW) en programvara som är avsedd att användas, ensam eller i kombination med andra programvaror, för ett medicinskt ändamål, såsom definieras i artikel 2.1 i MDR eller artikel 2.2 i IVDR. 

Om systemet uppfyller definitionen av ett AI-system i förordningen om artificiell intelligens och det är en väsentlig del av en medicinteknisk produkt eller en självständig programvara i enlighet med MDR/IVDR, tillämpas både regleringen om medicintekniska produkter och förordningen om artificiell intelligens. På Fimeas sida Programvara finns mer information om programvara som medicinteknisk produkt. På sidan finns mer information om när programvaran betraktas som en medicinteknisk produkt och vilken reglering som tillämpas på den.

Medicintekniska produkter som utnyttjar artificiell intelligens (MDAI) placeras enligt klassificeringsreglerna i artikel 6 i förordningen ofta som AI-system med hög risk. Detta innebär att utöver kraven i MDR/IVDR ska skyldigheterna i förordningen om artificiell intelligens uppfyllas för AI-system med hög risk. 

MDAI betraktas som ett AI-system med hög risk i enlighet med artikel 6.1 i förordningen, om det uppfyller båda följande villkor:

1. MDAI är en säkerhetskomponent eller i sig en medicinteknisk produkt
2. MDAI ska genomgå en tredjepartsbedömning av överensstämmelse av ett anmält organ i enlighet med MDR/IVDR.

Exempel på klassificeringar där det anmälda organet deltar och villkoren för AIA med hög risk (Art. 6(1)) uppfylls:

• MDR Klass I (steril, mätande, återanvändbar kirurgisk)
• MDR Klass IIa, IIb, III
• MDR Bilaga XVI
• IVDR Klass A (steril)
• IVDR Klass B, C, D.

Exempel på klassificeringar där det anmälda organet inte deltar och villkoren för AIA med hög risk (Art. 6(1) inte uppfylls:

• MDR Klass I (icke-steril, icke-mätande, icke-återanvändbar kirurgisk)
• IVDR Klass A (icke-steril)
• Hälso- och sjukvårdsenhetens egentillverkade produkter enligt artikel 5(5) i MDR/IVDR.

Europeiska unionens expertgrupper har publicerat en anvisning (MDCG 2025-6, på engelska) som behandlar den gemensamma tillämpningen av förordningen om artificiell intelligens och förordningarna om medicintekniska produkter MDR/IVDR. Anvisningen har utarbetats i form av frågor och svar och riktar sig särskilt till tillverkare av medicintekniska produkter, anmälda organ och behöriga myndigheter. Anvisningen ger svar på frågor som framkommit och den kompletteras och uppdateras i takt med att man får fler erfarenheter.

Nedan beskrivs kraven på AI-system med hög risk och deras samband med MDR/IVDR-kraven med tanke på leverantörens skyldigheter. Obs! Alla hänvisningar till ”tillverkare” enligt MDR/IVDR ska förstås som hänvisningar till ”leverantör” enligt förordningen om artificiell intelligens. Alla krav som gäller AI-system med hög risk samt skyldigheterna för leverantörer och tillhandahållare av AI-system med hög risk samt andra parter finns i kapitel 3, avsnitt 2 och 3 i förordningen om artificiell intelligens.   

Kontrollsystem:

Förordningen om artificiell intelligens medför utöver MDR och IVDR ytterligare krav på hanteringssystem för MDAI-system med hög risk. Till dessa hör ett systemspecifikt kvalitetsstyrningssystem (AIA, artikel 17), som omfattar datahantering, transparens och mänsklig tillsyn samt kontinuerlig och iterativ riskhantering (AIA, artikel 9), som också omfattar risker i anslutning till de grundläggande rättigheterna och bias i data. Dessutom betonar förordningen om artificiell intelligens eftermarknadsuppföljning särskilt för system som lär sig efter ibruktagandet.

Teknisk dokumentation: 

MDR, IVDR och förordningen om artificiell intelligens förutsätter att omfattande teknisk dokumentation om MDAI-systemen lämnas in. MD- och IVD-inställningarna kräver detaljerade beskrivningar av programvaran, programvaruarkitekturen, databehandlingsmetoderna och riskhanteringsstrategierna. Förordningen om artificiell intelligens förutsätter å sin sida tilläggsdokumentation som fokuserar på transparens och ansvarsfullhet. I detta ingår bland annat riskbedömningar, informationshanteringsmetoder samt resultat från prestandatest av MDAI-system med hög risk. Förordningen om artificiell intelligens kräver att det för MDAI-system med hög risk utarbetas en sammanställning av teknisk dokumentation som innehåller de uppgifter i teknisk dokumentation som krävs både i förordningarna om medicintekniska produkter och förordningen om artificiell intelligens (AIA, artikel 11, punkt 2). I MDCG/AIB-anvisningen 2025-6 ges praktiska råd om hur man kombinerar kraven i MD/IVD-förordningarna och förordningen om artificiell intelligens till en teknisk fil.

Data och datahantering:

MDR och IVDR förutsätter att kliniska data är tillförlitliga och representerar produktens avsedda användningsändamål. AIA å sin sida ställer krav på datakvalitet, datahantering och transparens (AIA, artikel 10). Utbildnings-, validerings- och testdata för MDAI-system med hög risk ska ha lämpliga statistiska egenskaper och data ska vara så felfria, representativa och ändamålsenliga som möjligt. Dataskyddet och datans ursprungliga användningsändamål ska vara öppet dokumenterade. Tillverkarna ska genomföra förfaranden för att säkerställa datans integritet och identifiering samt förhindra/lindra eventuell bias.

Insamling av logguppgifter:

AIA förutsätter att ett MDAI-system med hög risk automatiskt registrerar logguppgifter under hela sin livstid för att säkerställa spårbarheten (AIA, artikel 12). På så sätt säkerställs uppföljningen av systemets funktion, identifieringen av risker som påverkar de grundläggande rättigheterna och övervakningen efter utsläppandet på marknaden.

Transparens och mänsklig tillsyn:

AIA och MDR/IVDR ålägger skyldigheter i fråga om transparens och mänsklig tillsyn. Tillverkarna ska utforma och utveckla MDAI-system med hög risk på ett sådant sätt att driften av dem är tillräckligt transparent för att tillhandahållare ska kunna tolka resultaten rätt och använda systemet på lämpligt sätt (AIA, artikel 13). Detta förutsätter tydliga och begripliga bruksanvisningar, information om systemets egenskaper, begränsningar och funktionslogik samt dokumentation som stöder beslutens förklarbarhet. Dessutom kräver AIA tekniska lösningar som gör det möjligt för människan att ingripa i kritiska beslut och säkerställer att systemet inte kan kringgå dessa begränsningar (AIA, artikel 14). Dessa skyldigheter kompletterar de grundläggande kraven i MDR/IVDR som betonar tydlig och heltäckande information om produktens syfte, funktion och begränsningar samt dokumentation som stöder spårbarhet och säker användning.

Riktighet, robusthet och cybersäkerhet:

MDR, IVDR och AIA betonar cybersäkerhetens betydelse. Tillverkarna ska implementera tekniska lösningar som förhindrar obehörig åtkomst, attacker och manipulering. AIA förutsätter att MDAI-system med hög risk innehåller tekniska lösningar för sårbarheter som är typiska för artificiell intelligens (AIA, artikel 15). Cybersäkerhet är en del av riskhanteringen, kvalitetsstyrningen och bedömningen av överensstämmelse. MDAI-systemets tillverkare ska skydda överföringen och lagringen av data, förhindra manipulation av modeller och reagera på cybersäkerhetsincidenter. Dessa krav gäller hela produktens livstid och driftsmiljö.

De viktigaste skyldigheterna för leverantörer av AI-system med hög risk och andra aktörer

Alla skyldigheter för leverantörer av AI-system med hög risk finns i kapitel 3, avsnitt 3 i förordningen om artificiell intelligens.   

Leverantörens viktigaste skyldigheter

• implementering av riskhanterings- och kvalitetsstyrningssystem
• registrering av uppgifter och iakttagande av transparensskyldigheterna
• testning av systemet och bedömning av överensstämmelse innan det släpps ut på marknaden eller tas i bruk
• uppgifternas kvalitet och teknisk dokumentation
• CE-märkning och EU-försäkran om överensstämmelse
• registreringsskyldighet
• spårbarhet och mänsklig tillsyn
• säkerställande av riktighet, robusthet och cybersäkerhet
• genomförande av korrigerande åtgärder
• samarbeta med behöriga myndigheter.

Ombudens viktigaste skyldigheter

• utföra de uppgifter som anges i uppdraget
• bevara och se till att de behöriga myndigheterna har tillgång till de handlingar som behövs
• registreringsskyldighet enligt behov
• samarbeta med behöriga myndigheter.

Ombudets uppdrag får inte omfatta bl.a. planering och tillverkning av ett AI-system, upprättande av tekniska dokument eller bedömning av överensstämmelse.

Importörens viktigaste skyldigheter

• säkerställa att systemet uppfyller kraven i förordningen innan det släpps ut på marknaden
• bevara och se till att de behöriga myndigheterna har tillgång till de handlingar som behövs
• vidta korrigerande åtgärder 
• underrätta de behöriga myndigheterna om man upptäcker att kraven inte uppfylls
• samarbeta med behöriga myndigheter.

Distributörens viktigaste skyldigheter

• säkerställa att systemet uppfyller kraven i förordningen innan det släpps ut på marknaden
• bevara och se till att de behöriga myndigheterna har tillgång till de handlingar som behövs
• vidta korrigerande åtgärder 
• underrätta de behöriga myndigheterna om man upptäcker att kraven inte uppfylls
• samarbeta med behöriga myndigheter.

Tillhandahållarens viktigaste skyldigheter

• använda systemet enligt bruksanvisningen och användningsändamålet
• övervaka systemets funktion och rapportera avvikelser.