CE-merking for KI-verktøy: Hva fastleger må vite

CE-merking for KI-verktøy er et av de første spørsmålene mange fastleger stiller når de vurderer AI-transkribering, journalsøk eller skjemautfylling. Svaret er kort, men ikke helt enkelt: Nei, ikke alle KI-verktøy må være CE-merket. Men hvis verktøyet har et medisinsk formål, kan det være medisinsk utstyr. Da gjelder kravene til medisinsk utstyr.

Feilen mange gjør er å bruke CE-merking som et generelt trygghetsstempel. Det er det ikke. CE-merking sier noe om produktets tiltenkte bruk og regelverket for medisinsk utstyr. Det sier ikke alene at personvernet er løst, at verktøyet passer din praksis, eller at du slipper å lese gjennom teksten før den lagres i journalen.

Denne guiden gir deg en praktisk måte å vurdere spørsmålet på før du signerer en avtale.

CE-merking for KI-verktøy: Det korte svaret

Et KI-verktøy må ikke være CE-merket bare fordi det bruker kunstig intelligens.

CE-merking blir aktuelt når programvaren er et medisinsk utstyr. Ifølge Direktoratet for medisinske produkter er det produsenten som må vurdere om programvaren kvalifiserer som medisinsk utstyr. Vurderingen bygger på produktets tiltenkte formål.

For en fastlege betyr det:

• Et verktøy som bare skriver ned samtalen og lager et utkast til journalnotat, kan være ren dokumentasjonsstøtte.
• Et verktøy som foreslår diagnose, risikoskår, behandling eller prioritering for en pasient, kan være medisinsk utstyr.
• Et verktøy som endrer fra dokumentasjon til beslutningsstøtte, kan trenge en ny vurdering.

Du trenger ikke gjøre produsentens klassifisering for dem. Men som legekontor og dataansvarlig bør du be leverandøren forklare den.

Hva betyr CE-merking?

CE-merking betyr at produsenten har gjennomført en samsvarsvurdering og dokumentert at produktet oppfyller relevante krav før det settes på markedet. DMP skriver at produsenten må dokumentere at grunnleggende krav er oppfylt før utstyr kan CE-merkes.

For medisinsk utstyr handler dette blant annet om sikkerhet, ytelse, teknisk dokumentasjon, risikohåndtering og riktig informasjon til brukeren. For noen risikoklasser må et meldt organ vurdere dokumentasjonen. For andre kan produsenten i større grad selvdeklarere.

CE-merking er derfor ikke det samme som:

• offentlig forhåndsgodkjenning fra norske myndigheter
• garanti for at notatet alltid er riktig
• dokumentasjon på GDPR-etterlevelse
• bevis på at verktøyet passer ditt legekontor
• fritak fra medisinsk ansvar

Helsedirektoratet oppsummerer hovedprinsippet slik: Produsenten er juridisk ansvarlig for at medisinsk utstyr er sikkert, effektivt og trygt. Du som bruker må likevel bruke utstyret innenfor bruksanvisning og tiltenkt formål.

Det siste punktet er praktisk viktig. Hvis et produkt er CE-merket for en bestemt funksjon, betyr ikke det at alle andre funksjoner i samme produkt er dekket.

Når kreves CE-merking for KI-verktøy?

Spørsmålet er ikke om verktøyet er smart. Spørsmålet er hva verktøyet er ment å gjøre.

Helsedirektoratet skriver i veiledningen om medisinsk utstyr at KI-programvare kan være medisinsk utstyr dersom den har et tiltenkt medisinsk formål og faller inn under definisjonen i regelverket. DMP peker på medisinske formål som diagnostisering, forebygging, overvåking, prediksjon, prognostisering, behandling eller lindring av sykdom.

For fastleger kan skillet se slik ut:

Funksjon i KI-verktøy	Typisk vurdering	Hva du bør spørre om
Tale til tekst uten medisinsk vurdering	Kan være utenfor medisinsk utstyr	Er dette bare transkribering, eller tolker verktøyet samtalen klinisk?
Utkast til journalnotat basert på konsultasjon	Kan være dokumentasjonsstøtte	Hvilket tiltenkt formål oppgir leverandøren?
Utkast til NAV-skjema basert på journal	Kan være administrativ dokumentasjonsstøtte	Gir verktøyet medisinske anbefalinger, eller henter og strukturerer det informasjon?
Journalsøk som finner relevante notater	Ofte dokumentasjons- og søkestøtte	Rangering, oppsummering og kildevisning bør forklares
Forslag til diagnose eller differensialdiagnoser	Kan være medisinsk utstyr	Er verktøyet CE-merket for beslutningsstøtte?
Behandlingsforslag eller legemiddelråd	Kan være medisinsk utstyr	Hvilken risikoklasse og klinisk dokumentasjon finnes?
Triage eller prioritering av pasienter	Kan være medisinsk utstyr og høyrisiko-KI	Hvordan er pasientsikkerhet og menneskelig kontroll dokumentert?
Bildeanalyse, EKG-tolkning eller prøvesvar-tolkning	Ofte medisinsk utstyr	Hvilket bruksområde, pasientgruppe og klasse dekker merkingen?

Dette er ikke en fasit for hvert produkt. Det er en praktisk sortering av spørsmålene du bør stille.

Transkribering er ikke alltid det samme som beslutningsstøtte

Mange fastleger møter CE-spørsmålet gjennom AI-transkribering. Her blir diskusjonen ofte uklar fordi leverandørene bruker lignende ord om ganske ulike funksjoner.

Ren transkribering gjør lyd om til tekst. Et konsultasjonsnotat kan i tillegg strukturere teksten i SOAP, AUVT eller en annen journalmal. Dette kan fortsatt være dokumentasjonsstøtte hvis verktøyet ikke selv gir medisinske råd.

Beslutningsstøtte er noe annet. Da påvirker verktøyet en klinisk vurdering. Det kan være forslag til diagnose, flagg for alvorlig sykdom, anbefalt behandling, medisindose eller triage. Da blir CE-merking langt mer relevant.

Et praktisk kontrollspørsmål er:

Ville en lege kunne bruke svaret fra KI-verktøyet som grunnlag for en klinisk beslutning uten å lese kildene selv?

Hvis svaret er ja, bør du be om tydelig dokumentasjon på medisinsk utstyr, CE-merking og validering. Hvis svaret er nei, er spørsmålet fortsatt viktig, men mer nyansert.

CE-merking for KI-verktøy løser ikke GDPR

Et CE-merket verktøy kan fortsatt være uegnet for et norsk fastlegekontor hvis personvern og sikkerhet ikke er på plass.

GDPR-sporet er et annet regelverk enn medisinsk utstyr. Når leverandøren behandler pasientdata på dine vegne, trenger du normalt en databehandleravtale. GDPR artikkel 28 krever at behandlingsansvarlig bare bruker databehandlere som gir tilstrekkelige garantier for egnede tekniske og organisatoriske tiltak.

Du bør også vurdere DPIA, særlig ved bruk av KI på helseopplysninger. Se vår DPIA-guide for KI-verktøy på fastlegekontoret for en mer detaljert sjekkliste.

Minimum bør du avklare:

• Hvor behandles og lagres data?
• Brukes pasientdata til å trene modeller?
• Hvor raskt slettes lyd, tekst og opplastede dokumenter?
• Hvem har tilgang hos leverandøren?
• Finnes det logging og sporbarhet?
• Kan leverandøren bruke underleverandører?
• Hvordan håndteres avvik?
• Kan pasienten få informasjon og reservere seg der det er relevant?

CE-merking svarer ikke på disse spørsmålene. Du må stille dem uansett.

Hva KI-forordningen endrer

KI-forordningen kommer i tillegg til reglene for medisinsk utstyr. Helsedirektoratet skriver at reglene etter planen skal gjelde i Norge fra august 2026, og at kravene må ses sammen med blant annet regelverket for medisinsk utstyr og helselovgivningen.

For fastleger betyr det at leverandøren må kunne forklare både:

• om systemet er medisinsk utstyr
• om systemet er et KI-system med høy risiko
• hvilke plikter leverandør og bruker har
• hvordan menneskelig kontroll er bygget inn
• hvordan verktøyet overvåkes etter at det er tatt i bruk

Et dokumentasjonsverktøy som bare hjelper deg å skrive, søke og strukturere kan havne i en annen kategori enn et verktøy som gir kliniske anbefalinger. Men grensen må forklares konkret. Ikke godta bare "vi er compliant" som svar.

Spørsmål fastleger bør stille leverandøren

Bruk denne listen før pilot, innkjøp eller fornyelse av avtale.

Om CE-merking og medisinsk utstyr

1. Hva er produktets tiltenkte formål?
2. Har dere vurdert om produktet er medisinsk utstyr etter MDR?
3. Er produktet CE-merket som medisinsk utstyr?
4. Hvis ja: Hvilken klasse gjelder, og hvilke funksjoner er dekket?
5. Hvis nei: Hvorfor faller produktet utenfor medisinsk utstyr?
6. Har produktet funksjoner for diagnose, behandling, triage, prediksjon eller beslutningsstøtte?
7. Kan vi få samsvarserklæring eller annen dokumentasjon?
8. Hva skjer hvis vi bruker produktet på en måte som går utenfor tiltenkt formål?

Om personvern og data

1. Finnes det databehandleravtale for norsk fastlegepraksis?
2. Hvor lagres pasientdata fysisk?
3. Hvilke underleverandører brukes?
4. Slettes lydopptak og opplastede dokumenter automatisk?
5. Brukes data til modelltrening, kvalitetssikring eller feilsøking?
6. Kan vi eksportere logger ved avvik?
7. Finnes det dokumentasjon som kan brukes i DPIA?

Om klinisk bruk

1. Skal legen alltid lese gjennom og godkjenne output?
2. Viser verktøyet kilder fra journalen eller samtalen?
3. Hvordan håndteres hallusineringer og feil?
4. Hva er kjent begrensning for norsk språk, dialekt og medisinsk terminologi?
5. Hvordan varsles kundene ved vesentlige produktendringer?

Vurderer du KI for journal og skjema?

Journalhjelp er laget for dokumentasjonsarbeid: journalsøk, kildeankrede svar og utkast til skjema som legen må kontrollere før bruk. Les mer om Journalchat for fastleger og automatisk skjemautfylling.

Røde flagg i leverandørsvaret

Noen svar bør få deg til å stoppe opp.

Rødt flagg	Hvorfor det er et problem
"CE gjelder ikke for oss" uten forklaring	Leverandøren bør kunne vise vurderingen av tiltenkt formål
"Alt er CE-merket" uten å si hvilke funksjoner	CE-merking gjelder konkrete produkter og bruksområder
"Vi bruker ikke persondata" mens du laster opp journal	Helseopplysninger er personopplysninger, også når de pseudonymiseres
"Data kan brukes til forbedring" uten presisering	Du må vite om pasientdata brukes til trening, testing eller feilsøking
"Legen har alt ansvar"	Legen har journalansvar, men leverandøren har også ansvar for produkt og databehandling
Ingen dokumentasjon til DPIA	Da blir det vanskelig å gjøre en forsvarlig vurdering

Et godt svar er konkret. Det forklarer hva verktøyet gjør, hva det ikke gjør, hvilket regelverk leverandøren mener gjelder, og hvilke dokumenter du kan få.

Hva dette betyr for legekontoret

For et lite legekontor er målet ikke å bli ekspert på MDR, IVDR, AI Act og GDPR. Målet er å stille nok gode spørsmål til å vite om verktøyet passer forsvarlig inn i driften.

En praktisk arbeidsmåte:

1. Beskriv hva dere faktisk skal bruke verktøyet til.
2. Be leverandøren beskrive tiltenkt formål og regulatorisk klassifisering.
3. Skill dokumentasjon fra klinisk beslutningsstøtte.
4. Samle databehandleravtale, sikkerhetsdokumentasjon og eventuell CE-dokumentasjon.
5. Gjør risikovurdering og DPIA før bruk med pasientdata.
6. Lag rutine for pasientinformasjon der opptak eller KI-bruk krever det.
7. Avtal at legen alltid kvalitetssikrer før tekst lagres eller sendes.

Dette passer godt sammen med en praktisk implementeringsplan for AI-transkribering, men CE-spørsmålet bør vurderes for alle KI-verktøy som håndterer klinisk informasjon.

Oppsummering

CE-merking for KI-verktøy handler først og fremst om tiltenkt formål. Ikke om hvor avansert modellen er, hvor pen nettsiden er, eller hvor mange leger som bruker produktet.

Hovedregelen er:

• KI-verktøy med medisinsk formål kan være medisinsk utstyr og kan kreve CE-merking.
• Rene dokumentasjons- og administrasjonsverktøy kan falle utenfor, men leverandøren må kunne begrunne det.
• CE-merking erstatter ikke databehandleravtale, DPIA, risikovurdering eller legefaglig kvalitetssikring.
• CE-merking dekker bare de funksjonene og den bruken produktet er vurdert for.
• KI-forordningen gjør det enda viktigere å dokumentere rolle, risiko og menneskelig kontroll.

Den beste innkjøpsrutinen er enkel: Spør hva verktøyet er ment å gjøre, hva det ikke er ment å gjøre, og hvem som har ansvar for hva.

Ofte stilte spørsmål om CE-merking for KI-verktøy

Må alle KI-verktøy for fastleger være CE-merket?

Nei. CE-merking kreves når programvaren er medisinsk utstyr, altså når den har et tiltenkt medisinsk formål. Ren dokumentasjon, transkribering eller administrativ støtte kan falle utenfor. Leverandøren bør likevel kunne forklare klassifiseringen.

Må AI-transkribering være CE-merket?

Ikke alltid. Ren tale til tekst og journalutkast kan være dokumentasjonsstøtte. Hvis verktøyet gir kliniske anbefalinger, foreslår diagnose, prioriterer pasienter eller påvirker behandling, blir CE-spørsmålet langt mer sentralt.

Kan jeg bruke et KI-verktøy som ikke er CE-merket?

Ja, hvis verktøyet ikke har medisinsk formål og brukes innenfor leverandørens tiltenkte bruk. Du må fortsatt ha kontroll på personvern, databehandleravtale, DPIA, risikovurdering og medisinsk kvalitetssikring.

Er et CE-merket KI-verktøy alltid tryggere?

Ikke nødvendigvis. CE-merking kan være viktig når produktet er medisinsk utstyr, men det sier ikke alene at verktøyet har best språk, best personvern, best integrasjon eller best arbeidsflyt for fastleger.

Hva bør dataansvarlig dokumentere?

Dokumenter leverandørens tiltenkte formål, vurdering av medisinsk utstyr, eventuell CE-merking, databehandleravtale, datalagring, sletting, underleverandører, DPIA, risikovurdering og intern rutine for kvalitetssikring.

Hva skjer hvis vi bruker verktøyet utenfor tiltenkt formål?

Da kan ansvaret endre seg. Helsedirektoratet peker på at bruk utenfor samsvarserklæring eller endringer som påvirker samsvar kan gi virksomheten produsentansvar. Bruk derfor verktøyet slik leverandøren har beskrevet, eller få en ny vurdering.