AI in medische hulpmiddelen – hoe om te gaan met de AI Act en de MDR

    - / 21 November 2024

    Technologie evolueert in een razend tempo en kunstmatige intelligentie (AI) speelt hierbij een steeds grotere rol. Ook voor en in de zorg wordt er volop ontwikkeld. Gebruikers van medische hulpmiddelen die AI-toepassingen bevatten, moeten echter niet alleen voldoen aan de Medical Device Regulation (MDR), maar ook aan de nieuwe AI Act. In dit blog worden de belangrijkste verplichtingen van de MDR en AI Act belicht, wordt besproken waar de wetgevingen elkaar overlappen en waarin ze verschillen. En dan de praktische insteek: een stappenplan wanneer AI onderdeel is van je medisch hulpmiddel.

    Hoewel op fabrikanten als ontwikkelaar van het hulpmiddel de meeste verplichtingen rusten, krijgen zorginstellingen ook te maken met de eisen van de MDR en AI Act. Zeker als zij zelf software (laten) ontwikkelen, maar ook onder de AI Act gelden er veel verplichtingen voor gebruikers van AI-toepassingen. Waar relevant worden de verplichtingen in dit blog aangestipt.

    Verplichtingen voor fabrikanten

    De MDR en de AI Act stellen beide eisen aan fabrikanten van medische hulpmiddelen met AI, maar ze doen dit vanuit verschillende invalshoeken.

    Verplichtingen volgens de AI Act

    De AI Act is gericht op de ontwikkeling, het gebruik en de markttoelating van AI-toepassingen. Medische hulpmiddelen met AI worden geclassificeerd als ‘high-risk AI systems’ in de AI Act, wat betekent dat ze aan strenge eisen moeten voldoen. Enkele van de belangrijkste verplichtingen zijn:

    • Risk management: fabrikanten moeten een gedegen risicobeheerproces inrichten voor de hele levenscyclus van de AI-toepassing, inclusief het testen, beoordelen en verminderen van risico’s. Dit omvat onder meer het trainen van AI-modellen om fouten en bias te minimaliseren.
    • Data governance: voor het trainen van AI-modellen moet de dataset relevant, representatief en nauwkeurig zijn en moeten datasets regelmatig worden gecontroleerd op bias.
    • Human oversight: de AI Act eist dat AI-systemen menselijk toezicht blijven toelaten. Hoe zou dat eruitzien binnen jouw AI-systeem?

    Je moet processen ontwikkelen waarmee menselijke gebruikers o.a. de werking naar behoren kunnen monitoren en kunnen ingrijpen indien nodig.

    • Documentatie en traceerbaarheid: een grondige documentatie is verplicht voor de AI Act. Onder andere over de trainings- en testdata en elke aanpassing aan het systeem. Dit maakt het eenvoudiger om het AI-systeem te controleren en te traceren.
    • Conformiteitsbeoordeling: voor een high-risk AI-systeem moet een conformiteitsbeoordeling worden uitgevoerd door een aangemelde instantie (notified body). Deze instantie verifieert of het AI-systeem voldoet aan alle vereisten voordat het op de markt mag komen.

    Verplichtingen volgens de MDR

    De MDR legt algemene veiligheidseisen op voor medische hulpmiddelen en stelt dat hulpmiddelen die AI bevatten, veilig en effectief moeten zijn. De belangrijkste verplichtingen omvatten:

    • Risicomanagement: de MDR vereist een risicomanagementsysteem voor de gehele levensduur van het hulpmiddel dat na oprichting, toegepast en onderhouden wordt.
    • Technische documentatie: de MDR verplicht uitgebreide documentatie, zoals de klinische evaluatie van het hulpmiddel en de toepasselijke algemeen veiligheids- en prestatie-eis, om de veiligheid en effectiviteit te waarborgen. In het geval van AI moet de documentatie ook informatie bevatten over de werking van de algoritmen.
    • Kwaliteitsmanagementsysteem: fabrikanten moeten een kwaliteitsmanagementsysteem implementeren dat past bij de risicoklasse van het hulpmiddel. Dit omvat processen voor ontwerp, productie, en post-market surveillance.
    • Post-market surveillance: fabrikanten moeten het hulpmiddel ook na het op de markt brengen blijven monitoren. De MDR vereist het verzamelen van feedback uit het veld om eventuele problemen vroegtijdig te signaleren.
    • Conformiteitsbeoordeling: net als de AI Act vereist de MDR een conformiteitsbeoordeling door een notified body voordat het hulpmiddel de Europese markt op mag.

    Overlappingen tussen de AI Act en de MDR

    Hoewel de AI Act en de MDR verschillende doeleinden hebben, zijn er enkele overlappende verplichtingen:

    • Risicomanagement: beide wetgevingen leggen een sterke focus op risicomanagement. De MDR en de AI Act vereisen dat fabrikanten risico’s identificeren, evalueren en minimaliseren gedurende de hele levenscyclus van het hulpmiddel.
    • Conformiteitsbeoordeling: voor high-risk AI-systemen en medische hulpmiddelen moet een conformiteitsbeoordeling plaatsvinden door een notified body. In de beoordeling zelf zit wel een verschil; de vereisten vanuit de MDR zijn niet gelijk aan de vereisten uit de AI Act.
    • Documentatie en transparantie: zowel de MDR als de AI Act vereisen gedetailleerde technische documentatie om de veiligheid en effectiviteit van het hulpmiddel aan te tonen en om een transparant gebruik van data en algoritmen te waarborgen.

    Verschillen tussen de AI Act en de MDR

    Hoewel er overeenkomsten zijn, verschilt de focus van beide wetgevingen op enkele punten:

    • Specifieke eisen aan data en algoritmen (AI Act): de AI Act legt specifieke eisen op aan de data governance en trainingsdata en hoe deze data worden verzameld en getest op bias. De MDR behandelt data voornamelijk als onderdeel van de klinische evaluatie, zonder specifieke eisen aan AI-trainingsdata. Je ziet hiermee dat de AI Act veel dieper ingaat op de kwaliteit en veiligheid van het algoritme en de MDR zich meer richt op de algemene kwaliteit en veiligheid van het hulpmiddel.
    • Human oversight (AI Act): de AI Act verplicht menselijk toezicht, wat niet expliciet als eis in de MDR wordt genoemd.
    • Post-market surveillance: Gebruikers van de hulpmiddelen moeten de prestaties van deze systemen blijven monitoren en rapporteren, maar de MDR legt meer nadruk op de algemene kwaliteit en veiligheid, terwijl de AI Act meer focust op technologische en algoritmische prestaties.

    Stappenplan voor de fabrikant

    Heb jij al in kaart gebracht hoe jouw hulpmiddel met AI voldoet aan zowel de MDR als de AI Act? Om ervoor te zorgen dat je als fabrikant voldoet aan zowel de AI Act als de MDR, volgt hier een praktisch stappenplan:

    1. Vaststellen of de software een medisch hulpmiddel is en onder de AI Act valt: start met een inventarisatie. Onderzoek of het hulpmiddel inderdaad een medisch hulpmiddel is onder de MDR en bepaal de risicoclassificatie. Als het AI bevat, wordt het vrijwel zeker aangemerkt als high-risk AI-systeem onder de AI Act.

    Tip: Ontwikkel een duidelijke compliance-strategie en stel een roadmap op met concrete stappen en deadlines. Betrek hierbij alle relevante afdelingen, zoals juridische zaken, IT en klinische ondersteuning, om ervoor te zorgen dat iedereen zijn rol kent. Wijs eenPerson Responsible for Regulatory Compliance (PRRC) aan voor de MDR en/of een AI Compliance Officervoor de AI Act. Beoordeel daarnaast of de benodigde expertise intern aanwezig is of dat externe ondersteuning noodzakelijk is om aan de eisen te voldoen.

    1. Kwaliteit- en risicomanagement inrichten: stel een robuust kwaliteit- en risicomanagementsysteem op dat voldoet aan zowel de MDR als de AI Act. Identificeer de risico’s verbonden aan de AI en het medisch gebruik en documenteer hoe je deze risico’s minimaliseert. Focus daarbij zowel op de klinische prestatie en patiëntveiligheid (MDR) als op de technische betrouwbaarheid en ethische aspecten van AI (AI Act).
    2. Data governance instellen: zorg voor een zorgvuldige selectie en controle van trainings- en testdata om de AI-modellen te trainen. Datasets moeten representatief, betrouwbaar en vrij van bias zijn.
    3. Human oversight implementeren: ontwikkel een structuur voor menselijk toezicht over het AI-systeem, zodat er ingegrepen kan worden wanneer nodig. Dit vergroot ook de veiligheid en het vertrouwen (niet geheel onbelangrijk) van gebruikers in de technologie.
    4. Documentatie opstellen: stel uitgebreide technische documentatie op die voldoet aan zowel de MDR als de AI Act. Dit omvat technische specificaties, klinische evaluaties, algoritme-informatie en een gedetailleerde beschrijving van de datasets.
    5. Conformiteitsbeoordeling uitvoeren: laat het hulpmiddel beoordelen door een notified body. Deze instantie controleert of je aan alle vereisten voldoet en of het hulpmiddel veilig en effectief is voor gebruik.

    Tip: houd rekening met lange wachttijden bij notified bodies door schaarste in de markt.

    1. Post-market surveillance plannen: monitor het hulpmiddel en de prestaties van het AI-algoritme ook nadat het op de markt is gebracht. Verzamel feedback van gebruikers en blijf de AI-modellen updaten waar nodig.
    2. Documentatie up-to-date houden: zorg ervoor dat alle documentatie actueel blijft. Pas deze aan na eventuele updates aan het AI-systeem en voer wijzigingen door in het risicomanagement- of post-market surveillanceplan.

    Dus … Werk aan de winkel!

    De combinatie van de AI Act en de MDR stelt aanzienlijke eisen aan alle gebruikers van medische hulpmiddelen met AI, maar dit is essentieel voor de veiligheid en betrouwbaarheid van AI in de gezondheidszorg.

    Wil je hulpmiddelen (blijven) gebruiken die veilig zijn en van voldoende kwaliteit? Wacht dan niet tot het laatste moment, want:

    • Het gebruik van software en AI-toepassingen vereist een compleet andere werkwijze. De implementatie van een compliance strategie kost tijd en vergt veel coördinatie tussen verschillende afdelingen.
    • Het gebrek aan gekwalificeerde experts zoals een PRRC of AI Compliance Officers, kan je vooruitgang vertragen.
    • Zonder tijdige voorbereiding loop je risico op boetes, reputatieschade en kan de kwaliteit van zorg in gevaar komen.

    Door nauwkeurig te voldoen aan zowel de eisen van de MDR als de AI Act en door een solide kwaliteits- en risicomanagementplan en post-market surveillanceplan in te richten, kunnen fabrikanten AI-technologie veilig inzetten in hun medische hulpmiddelen. Wil je weten of jouw hulpmiddel voldoet aan beide wetten? Wij helpen je graag verder met een analyse of compliance-check.

    Meer informatie
    Terug naar overzicht

    Pelçim Kaygusuz

    Legal Counsel
    Lees meer
    Click me

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    Juridisch advies
    Professionals inhuren
    Academy
    Legal Tech
    Security / Informatiebeveiliging
    Documenten
    Ons team
    Vacatures

     

     
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram