Het verhaal van MediCheck
Over een medtech startup die ontdekte dat CE-markering alleen niet meer genoeg was
Fictief scenario — gebaseerd op realistische situaties
De Aanleiding
Hoe het begon
MediCheck had net de CE-markering voor hun SkinScan AI ontvangen onder de Medical Device Regulation. Het team vierde feest. Eindelijk mochten ze naar de markt. Maar de vreugde was van korte duur.
Een extra laag wetgeving. Opnieuw door hoepels springen. En de vraag: konden ze het zich veroorloven om te wachten? Huisartsen rekenden op hen. Patiënten ook.
Het telefoontje van hun notified body was onverwacht: "Jullie AI valt nu ook onder de AI Act. We moeten jullie dossier heroverwegen."
De Vragen
Wat moesten ze uitzoeken?
Wat verandert er voor medische AI onder de AI Act?
Het team dook in de wettekst. De AI Act classificeert medische hulpmiddelen met AI-componenten automatisch als hoog-risico AI. Maar wat betekende dat concreet? De MDR stelde al eisen aan klinische validatie, risicomanagement en post-market surveillance. Waar zat de toegevoegde waarde?
💡 Het inzicht
De AI Act voegt specifieke eisen toe die de MDR niet dekt: eisen aan trainingsdata (representativiteit, bias-detectie), transparantie naar operators (hoe begrijpt de gebruiker wat de AI doet?), en menselijk toezicht (kan de arts de AI overrulen?). Het zijn complementaire regelgevingen, geen vervangende.
🌍 Waarom dit ertoe doet
Veel medtech bedrijven denken dat hun MDR-compliance voldoende is. Maar de AI Act vraagt om een andere blik: niet alleen "werkt het systeem?" maar ook "is het eerlijk, begrijpelijk en controleerbaar?". Deze dimensies krijgen steeds meer aandacht bij notified bodies.
Moeten we onze conformiteitsbeoordeling opnieuw doen?
Dit was de vraag die iedereen nerveus maakte. De CE-markering was net binnen. Maanden werk, hoge kosten. Moest alles opnieuw? Het team nam contact op met hun notified body om duidelijkheid te krijgen.
💡 Het inzicht
Het antwoord was genuanceerd. Een volledige herbeoordeling was niet nodig, maar het technisch dossier moest worden aangevuld. Specifiek: documentatie over trainingsdata, bias-testing, en hoe menselijk toezicht was ingebouwd. De notified body zou dit meenemen bij de volgende periodieke review.
🌍 Waarom dit ertoe doet
De EU heeft bewust gezorgd voor aansluiting tussen de MDR en AI Act. Voor hoog-risico medische AI vindt de conformiteitsbeoordeling plaats via de bestaande MDR-route, maar met aanvullende AI Act-elementen. Dit voorkomt dubbel werk, maar vraagt wel om uitbreiding van het dossier.
Hoe combineren we MDR en AI Act compliance?
Het team maakte een mapping: welke MDR-eisen dekten al AI Act-verplichtingen, en waar zaten de gaten? Ze gingen door een checklist van beide regelgevingen, punt voor punt.
💡 Het inzicht
Er was meer overlap dan verwacht. Risicomanagement, klinische evaluatie, en post-market surveillance waren grotendeels gedekt. De gaten zaten in: specifieke eisen aan data governance (trainingsdata-documentatie), transparantie naar de operator (meer dan alleen de IFU), en systematische bias-testing.
🌍 Waarom dit ertoe doet
Voor startups en kleine medtech bedrijven is de overlap goed nieuws. Je hoeft niet twee parallelle compliance-trajecten te draaien. Maar je moet wel begrijpen waar de AI Act verder gaat dan wat je al doet voor MDR, en die elementen toevoegen aan je QMS en technisch dossier.
Kunnen we dit als kleine startup wel aan?
MediCheck had 25 medewerkers. Geen grote juridische afdeling, geen dedicated compliance-team. De vraag was reëel: hadden ze de capaciteit om dit er nog bij te nemen? En wat als ze het niet konden?
💡 Het inzicht
Het antwoord lag in prioritering en samenwerking. Het team besloot externe expertise in te huren voor de gap-analyse, intern focus te leggen op data governance (waar ze de domeinkennis hadden), en samen te werken met hun notified body als partner in plaats van tegenstander.
🌍 Waarom dit ertoe doet
Veel startups vrezen dat AI Act compliance hen zal overspoelen. Maar de sleutel is: begin vroeg, integreer het in je ontwikkelproces, en zie het als kwaliteitsverbetering. Bedrijven die compliance als afterthought behandelen, hebben het zwaarst. Bedrijven die het from-the-start meenemen, merken dat het onderdeel wordt van goede engineering.
De Reis
Stap voor stap naar compliance
Het bericht van de notified body
De notified body die hun MDR-dossier had beoordeeld, nam contact op. Met de komst van de AI Act moesten ze hun technisch dossier aanvullen. De vraag was niet óf, maar hoe snel.
Begrip van de overlap
De AI Act en de MDR zijn twee verschillende regelgevingen, maar voor medische AI-systemen overlappen ze. SkinScan AI viel als medisch hulpmiddel al onder strenge eisen — de AI Act voegde daar nieuwe dimensies aan toe.
De gap-analyse
Het team ging punt voor punt door de AI Act vereisten. Waar voldeden ze al aan dankzij MDR compliance? Waar zaten de gaten? Het risicomanagement was grotendeels gedekt, maar op het gebied van data governance waren er vragen.
De dataset onder de loep
Een van de AI Act vereisten betreft de kwaliteit en representativiteit van trainingsdata. Het team keek kritisch naar hun dataset. Was deze divers genoeg? Representeerde het alle patiëntgroepen die in de praktijk zouden worden gescreend?
De bias-discussie
De analyse bracht een ongemakkelijke waarheid aan het licht: de trainingsdata bevatte overwegend beelden van lichtere huidtypes. Zou het algoritme even goed presteren bij mensen met een donkere huidskleur? Dit was geen compliance-vraag alleen — het was een ethische kwestie.
De dataset uitbreiden
MediCheck besloot de dataset uit te breiden. Ze werkten samen met klinieken in verschillende landen om beelden te verzamelen die beter de diversiteit van de bevolking weerspiegelden. Het model moest opnieuw worden getraind en gevalideerd.
De Obstakels
Wat ging er mis?
✗ Uitdaging
De trainingsdata was niet divers genoeg
✓ Oplossing
Samenwerking met internationale klinieken om een meer representatieve dataset op te bouwen
✗ Uitdaging
Huisartsen interpreteerden AI-output als definitieve diagnose
✓ Oplossing
UI-aanpassingen met duidelijke disclaimers en verplichte bevestigingsstappen
✗ Uitdaging
De notified body had beperkte ervaring met AI Act vereisten
✓ Oplossing
Proactieve kennisdeling en gezamenlijk leerproces
De AI Act dwong ons om kritisch naar onze data te kijken. Ons systeem is daardoor beter geworden — voor alle patiënten.
De Lessen
Wat kunnen we hiervan leren?
Medische AI heeft dubbele compliance-verplichtingen
Als je AI ontwikkelt voor de gezondheidszorg, moet je rekening houden met zowel de MDR als de AI Act. Dit kan complex zijn, maar de regelgevingen versterken elkaar.
Data-diversiteit is niet optioneel
Trainingsdata moet representatief zijn voor alle patiëntgroepen die je systeem zal tegenkomen. Dit is geen luxe — het is een voorwaarde voor verantwoorde AI.
gebruikerscommunicatie is cruciaal
Hoe je AI presenteert aan gebruikers beïnvloedt hoe ze ermee omgaan. Wees expliciet over wat het systeem wel en niet kan.
Compliance kan innovatie verbeteren
De extra scrutiny die de AI Act bracht, leidde tot een beter product. Strengere eisen versterken vertrouwen — bij toezichthouders én patiënten.
Bouw je AI voor de zorg?
Ontdek welke AI Act vereisten specifiek voor jouw sector gelden.
Ga verder met leren
Ontdek gerelateerde content