Sektor

NIS2 Bilaga I

AI Act för hälso- och sjukvård: Krav på svenska sjukhus och regioner

NIS2-bilaga: I
Rekommenderad Sprint: Enterprise
Högrisk-andel: 70 procent
Deadline Art. 26: 2 aug 2026

Översikt

Vad AI-förordningen innebär för sektorn

Sjukhus, regioner och privata vårdgivare är deployers av medicinska AI-system och ibland även providers om de tränar egna modeller på lokala data. IVO är sektorsmyndighet för vård. Läkemedelsverket reglerar medicintekniska produkter. Vid implantat eller SaMD aktiveras MDR:s krav parallellt med AI Act.

Skillnaden mot andra sektorer: patientens säkerhet är direktverkande och påverkas av AI-beslut i realtid. Art. 14 human oversight är därför inte en administrativ dokumentationsfråga utan en klinisk arbetsprocess.

Klassificering

Bilaga III-punkter som gäller sektorn

Punkt	Tillämpning i hälso- och sjukvård
III.5a	AI som styr tillgång till offentlig vård, köadministration, akutprioritering
III.5c	AI i akut-prioritering (ambulansprioritering, triage)
III.1	Biometri för patientidentifiering
III.4	HR-beslut inom stora sjukhusorganisationer

AI-system

Typiska AI-system i svenska organisationer

Användningsområde	Typiska leverantörer	Risknivå
Bilddiagnostik (röntgen, CT, MR, patologi)	Sectra Amplifier, Siemens Healthineers, GE Healthcare Edison, Paige, Aidoc, PathAI	Hög (MDR plus III.5a)
Triage-algoritmer på akutmottagning	Epic Sepsis, Qventus, interna modeller	Hög (III.5a, III.5c)
Prediktiva journalsystem och tidig varning	Epic, Cerner, Take Care AI	Hög vid kliniska larm
Läkemedelsdosering och interaktionskontroll	First Databank, Cerner Multum, Lexicomp AI	Hög
Kliniskt beslutsstöd för diagnos	UpToDate Advanced, IBM Micromedex, Glass Health	Hög
Patientflöde och logistik	Qventus, Palantir Foundry Health	Begränsad till hög
Talerkänning och transkription	Nuance Dragon Medical One, Suki, DAX Copilot	Begränsad vid kliniskt beslut
Chatbottar för egenvård-rådgivning	Ada Health, Infermedica, K Health	Begränsad till hög

Tillsyn

Myndigheter som har tillsyn

IVO: sektorstillsyn för vårdens kvalitet och patientsäkerhet
Läkemedelsverket: medicintekniska produkter inklusive SaMD enligt MDR
IMY: primär marknadskontroll för grundläggande rättigheter och GDPR Art. 9
Socialstyrelsen: föreskrifter om journalsystem och informationshantering
MCF och CERT-SE: NIS2-aspekter

Regelverk

NIS2-överlapp och Cybersäkerhetslagen

Vård är NIS2 Bilaga I. Regioner och större sjukhus är väsentlig entitet. Cybersäkerhetslagen plus MDR plus AI Act plus GDPR Art. 9 skapar komplex regelrum. MDR kräver tredjepartsbedömning för högrisksystem. AI Act Art. 43 kräver CE-märkning. Båda körs typiskt parallellt på samma leverantör. MDCG 2019-16 reglerar cybersäkerhet för medicinteknik och överlappar med AI Act Art. 15. Styrelsens personliga ansvar enligt 6 kap. gäller regionens styrelse.

Risk

Unika risker för AI i sektorn

Patientsäkerhet vid AI-fel i diagnostik eller läkemedelsdosering
Bias i triage eller prioritering baserat på kön, ålder, etnicitet eller socioekonomisk status
Hälsodata är särskild kategori enligt GDPR Art. 9 med strängare regler
Dubbel-compliance MDR plus AI Act kräver samordning mellan juridik och klinisk funktion
Kliniskt ansvar när AI stöder beslut: vem bär ansvaret vid felaktig diagnos

Så hjälper CyberKlar

Plattformen för hälso- och sjukvård

Plattformen kombinerar NIS2, MDR-koppling och AI Act: AI-systemregister med kategorier för SaMD, CDS, journalintegrerad AI och administrativ AI. FRIA-workflow anpassat för offentliga vårddeployers (obligatoriskt enligt Art. 27). Integration med MDR-dokumentation. Incidentprocess som routar till IVO (Lex Maria), Läkemedelsverket, CERT-SE och IMY. Stöd för regioners obligatoriska publicering av FRIA.

Boka Enterprise Sprint Se demo

Vanliga frågor

Frågor vi oftast får från hälso- och sjukvård

Är medicinsk AI alltid högrisk?

Nära det. De flesta AI-system som påverkar kliniska beslut eller patientens tillgång till vård omfattas av Bilaga III.5a eller III.5c. AI som är inbäddad i medicinteknisk produkt (SaMD) är dessutom reglerad av MDR och klassas som högrisk enligt AI Act Art. 43. Administrativ AI är oftast begränsad eller minimal.

Räcker MDR-certifiering för AI Act-efterlevnad?

Nej. MDR reglerar medicintekniska produkter. AI Act lägger till krav på datakvalitet, klassificering enligt Bilaga III, human oversight och incidentrapportering till IMY. Producenter måste efterleva båda. Deployers har egen skyldighet enligt Art. 26 oavsett MDR-certifieringen.

Måste regioner göra FRIA?

Ja. Offentliga deployers är obligerade att genomföra grundläggande rättighetsbedömning enligt Art. 27 innan högrisk-AI tas i bruk. FRIA dokumenteras hos IMY och delar av den är offentlig enligt Art. 27 punkt 5. Kan samköras med befintlig DPIA.

Vilken rapportering gäller vid AI-orsakad patientskada?

Parallella rapporter: Lex Maria till IVO inom 2 månader, MDR vigilance till Läkemedelsverket inom 15 dagar, allvarlig incident enligt AI Act Art. 73 inom 48 timmar till IMY (dödsfall) eller 15 dagar (övriga), Cybersäkerhetslagens rapport till CERT-SE om cyberaspekt, GDPR Art. 33 inom 72 timmar om personuppgiftsincident.

Kan vi använda en amerikansk bilddiagnostikmodell?

Ja, förutsatt att providern uppfyller Art. 8 till 15 och att ni som deployer uppfyller Art. 26. Särskilt fokus på datakvalitetskravet: modellen måste vara validerad på population jämförbar med svensk patientbefolkning. Bias-bedömning krävs. Klinisk validering som grund för CE-märkning bör finnas.

Kan en läkare vara human oversight enligt Art. 14?

Ja, förutsatt att läkaren har tid, kompetens och befogenhet att ingripa. Utmaningen är tid: en läkare som granskar 200 bilder per dag kan inte verifiera varje enskild AI-analys. Human oversight blir samspel mellan triage, klinisk erfarenhet och dokumentation av avsteg.

Relaterat

Fortsätt med nästa steg

AI Act

Jämförelser och sektorer

Alla 18 sektor-sidor

Läser in

AI Act för hälso- och sjukvård: Krav på svenska sjukhus och regioner

NIS2-bilaga: I
Rekommenderad Sprint: Enterprise
Högrisk-andel: 70 procent
Deadline Art. 26: 2 aug 2026

Vad AI-förordningen innebär för sektorn

Punkt

Tillämpning i hälso- och sjukvård

III.5a

AI som styr tillgång till offentlig vård, köadministration, akutprioritering

III.5c

AI i akut-prioritering (ambulansprioritering, triage)

III.1

Biometri för patientidentifiering

III.4

HR-beslut inom stora sjukhusorganisationer

Typiska AI-system i svenska organisationer

Användningsområde	Typiska leverantörer	Risknivå
Bilddiagnostik (röntgen, CT, MR, patologi)	Sectra Amplifier, Siemens Healthineers, GE Healthcare Edison, Paige, Aidoc, PathAI	Hög (MDR plus III.5a)
Triage-algoritmer på akutmottagning	Epic Sepsis, Qventus, interna modeller	Hög (III.5a, III.5c)
Prediktiva journalsystem och tidig varning	Epic, Cerner, Take Care AI	Hög vid kliniska larm
Läkemedelsdosering och interaktionskontroll	First Databank, Cerner Multum, Lexicomp AI	Hög
Kliniskt beslutsstöd för diagnos	UpToDate Advanced, IBM Micromedex, Glass Health	Hög
Patientflöde och logistik	Qventus, Palantir Foundry Health	Begränsad till hög
Talerkänning och transkription	Nuance Dragon Medical One, Suki, DAX Copilot	Begränsad vid kliniskt beslut
Chatbottar för egenvård-rådgivning	Ada Health, Infermedica, K Health	Begränsad till hög

Myndigheter som har tillsyn

IVO: sektorstillsyn för vårdens kvalitet och patientsäkerhet
Läkemedelsverket: medicintekniska produkter inklusive SaMD enligt MDR
IMY: primär marknadskontroll för grundläggande rättigheter och GDPR Art. 9
Socialstyrelsen: föreskrifter om journalsystem och informationshantering
MCF och CERT-SE: NIS2-aspekter

NIS2-överlapp och Cybersäkerhetslagen

Unika risker för AI i sektorn

Patientsäkerhet vid AI-fel i diagnostik eller läkemedelsdosering
Bias i triage eller prioritering baserat på kön, ålder, etnicitet eller socioekonomisk status
Hälsodata är särskild kategori enligt GDPR Art. 9 med strängare regler
Dubbel-compliance MDR plus AI Act kräver samordning mellan juridik och klinisk funktion
Kliniskt ansvar när AI stöder beslut: vem bär ansvaret vid felaktig diagnos