Een kwaliteitsmanager bij een Nederlands medtech-bedrijf heeft net het MDR-certificaat voor een beslissingsondersteunende radiologie-applicatie binnen: klasse IIa, beoordeeld door de notified body, technisch dossier op orde. Dan komt de vraag van de directie: "En de AI Act? Moeten we dat hele traject nu nog een keer doen?" Dezelfde vraag leeft bij de CMIO van het ziekenhuis dat de software afneemt en zich afvraagt wat er straks extra op het bordje van de zorginstelling landt.
Het directe antwoord: nee, je hoeft geen tweede, losstaand conformiteitstraject te doorlopen. Medische AI-software die onder de MDR in klasse IIa of hoger valt en dus door een notified body wordt beoordeeld, wordt via artikel 6 lid 1 van de AI Act automatisch ook een hoog-risico AI-systeem. Maar de AI Act is zo ontworpen dat de aanvullende eisen worden meegenomen in de bestaande MDR-conformiteitsbeoordeling: een gecombineerde beoordeling door dezelfde notified body, met een geïntegreerd technisch dossier en een geïntegreerd kwaliteitssysteem. De deadline voor deze route is 2 augustus 2028. Wat de AI Act wel toevoegt, zijn eisen die de MDR niet of nauwelijks kent: data governance, automatische logging, menselijk toezicht en transparantie richting de gebruiker. Daar zit het echte werk, niet in een dubbel certificeringstraject.
Waarom medische AI bijna altijd hoog-risico is
De route loopt via twee schakels. De eerste is de MDR zelf: classificatieregel 11 uit Annex VIII van de Medical Device Regulation plaatst software die informatie levert voor diagnostische of therapeutische beslissingen vrijwel altijd in klasse IIa of hoger. Alleen software zonder enige invloed op klinische beslissingen blijft klasse I. In de praktijk betekent dit dat vrijwel alle serieuze medische AI, van triagesoftware tot beeldanalyse, onder de beoordeling van een notified body valt.
De tweede schakel is artikel 6 lid 1 van de AI Act. Dat artikel zegt: een AI-systeem is hoog-risico als het (a) een product is dat onder de EU-harmonisatiewetgeving uit Annex I valt, of een veiligheidscomponent van zo'n product is, en (b) dat product een conformiteitsbeoordeling door een derde partij moet ondergaan. De MDR staat in Annex I van de AI Act. Beide voorwaarden zijn dus vervuld zodra je software klasse IIa of hoger is: je AI-systeem is hoog-risico, zonder dat er een aparte risicobeoordeling onder de AI Act aan te pas komt.
Voor een klasse I-hulpmiddel zonder notified body geldt die automatische kwalificatie niet. Dan moet je alsnog controleren of het systeem onder een van de toepassingsgebieden van Annex III valt, maar voor de meeste medische AI is dat een theoretische exercitie: de MDR-classificatie doet het werk al.
Annex I of Annex III: twee routes, twee deadlines
Hier gaan veel roadmaps de mist in, want de AI Act kent twee verschillende deadlines voor hoog-risico systemen en die lopen ruim een jaar uiteen.
- Annex III-route (zelfstandige AI-systemen): AI-systemen die hoog-risico zijn omdat hun toepassing in Annex III staat, zoals AI voor de triage van personen bij spoedeisende zorg of AI in werving en selectie, moeten per 2 december 2027 voldoen. Die datum is via het Digital Omnibus-pakket verschoven vanaf de oorspronkelijke augustus 2026; het pakket is politiek akkoord en door het Europees Parlement geëndorseerd, maar stond in juli 2026 nog niet in het Publicatieblad. Reken er dus mee, maar noem het intern nog geen definitief recht.
- Annex I-route (AI ingebed in gereguleerde producten): AI-systemen die hoog-risico zijn via artikel 6 lid 1, zoals medische hulpmiddelen onder de MDR, krijgen tot 2 augustus 2028. Dat is de route waar vrijwel alle gecertificeerde medische AI onder valt.
Voor een medtech-fabrikant is de praktische conclusie: jouw MDR-gecertificeerde product volgt de Annex I-route en heeft tot augustus 2028. Maar let op de randen van je portfolio. Een zelfstandige plannings- of triagetoepassing die net buiten de MDR-kwalificatie valt maar wel in Annex III staat, moet eerder klaar zijn, namelijk december 2027. En transparantieverplichtingen uit artikel 50, bijvoorbeeld voor een patiëntgerichte chatbot, gelden al vanaf 2 augustus 2026 en zijn niet uitgesteld. Wie alles op de 2028-deadline plant, mist die twee eerdere momenten.
Wat de AI Act toevoegt bovenop de MDR
De MDR en de AI Act overlappen fors: risicomanagement, technische documentatie, post-market surveillance en een kwaliteitsmanagementsysteem ken je al. De guidance MDCG 2025-6, de gezamenlijke FAQ van de Medical Device Coordination Group en de AI Board over de wisselwerking tussen MDR, IVDR en AI Act, bevestigt dat de bestaande MDR-processen het fundament blijven. De echte delta zit in vier clusters:
- Data governance (artikel 10). Eisen aan de kwaliteit, representativiteit en het beheer van trainings-, validatie- en testdata, inclusief onderzoek naar mogelijke bias. De MDR vraagt klinisch bewijs; de AI Act vraagt daarnaast aantoonbaar datamanagement over de hele levenscyclus.
- Logging (artikel 12). Het systeem moet gebeurtenissen automatisch registreren zodat de werking achteraf traceerbaar is. Voor veel bestaande medische software betekent dit een technische aanpassing, geen documentatie-exercitie.
- Transparantie en gebruiksinformatie (artikel 13). De gebruiksaanwijzing die je onder de MDR al kent, wordt uitgebreid met AI-specifieke informatie: capabilities, beperkingen, verwachte accuratesse en de omstandigheden waarin het systeem minder betrouwbaar presteert.
- Menselijk toezicht (artikel 14). Het systeem moet zo ontworpen zijn dat de zorgprofessional effectief kan ingrijpen, output kan negeren en zich bewust is van automation bias. Dit raakt direct het ontwerp van de gebruikersinterface en de training van gebruikers.
Daarnaast verbreedt het risicomanagement: waar de MDR stuurt op veiligheid en klinische prestaties, kijkt de AI Act ook naar risico's voor gezondheid, veiligheid én grondrechten. Accuratesse, robuustheid en cyberbeveiliging (artikel 15) moeten expliciet gespecificeerd en getest worden.
Zo organiseer je de gecombineerde beoordeling
De AI Act regelt de integratie zelf. Artikel 43 lid 3 bepaalt dat voor producten onder Annex I de conformiteitsbeoordeling van de sectorwetgeving wordt gevolgd, waarbij de AI Act-eisen onderdeel worden van die beoordeling. Concreet: dezelfde notified body die je MDR-certificaat afgeeft, toetst straks ook de AI Act-eisen, mits die instantie daarvoor is aangewezen. Vraag je notified body nu al naar hun tijdlijn voor die uitbreiding; capaciteit wordt schaars.
Ook op documentniveau is dubbel werk uitdrukkelijk niet de bedoeling. De AI Act staat één geïntegreerd technisch dossier toe waarin de MDR-documentatie en de AI Act-informatie samenkomen, en laat toe dat je de vereiste processen opneemt in je bestaande kwaliteitssysteem. Voor de meeste fabrikanten betekent dat: het ISO 13485-systeem uitbreiden met AI-specifieke procedures in plaats van een parallel systeem optuigen. Hoe zich dat verhoudt tot een ISO 42001-certificering, en wat zo'n certificaat wel en niet bewijst, hebben we eerder uitgewerkt in ISO 42001 versus de EU AI Act.
Een werkbare volgorde voor de komende twaalf maanden:
- Gap-assessment per artikel. Leg je bestaande MDR-dossier naast hoofdstuk III, sectie 2 van de AI Act en markeer wat al gedekt is, wat aangevuld moet worden en wat nieuw is. MDCG 2025-6 is hierbij de leidraad.
- Technische delta inplannen. Logging en menselijk-toezicht-functionaliteit vragen ontwikkelcapaciteit; zet ze in de release-planning richting 2027.
- Data governance documenteren. Herkomst, samenstelling en bias-analyse van trainingsdata vastleggen, ook voor modellen die al jaren in productie zijn.
- Notified body en tijdpad afstemmen. Combineer de AI Act-toets waar mogelijk met een geplande MDR-hercertificering, zodat je één audittraject houdt.
En het ziekenhuis?
Voor de CMIO geldt een ander lijstje. Het ziekenhuis is meestal geen aanbieder maar gebruiksverantwoordelijke, en die rol brengt eigen verplichtingen mee: het systeem gebruiken volgens de gebruiksaanwijzing, menselijk toezicht beleggen bij mensen met de juiste competentie, de werking monitoren en incidenten melden aan de fabrikant. Voor publieke zorginstellingen komt daar op termijn de grondrechteneffectbeoordeling van artikel 27 bij, die de high-risk deadlines volgt. De eerste stap is dezelfde als bij elke AI Act-voorbereiding: weten wat er draait. Een actueel overzicht van alle AI-systemen in huis, met leverancier, MDR-status en risicoklasse, is het fundament; hoe je dat opzet staat in ons artikel over de AI-inventarisatie. En vergeet artikel 4 niet: zorgprofessionals die met AI-output werken, moeten daar aantoonbaar mee kunnen omgaan. Dat is geen papieren verplichting maar de praktische voorwaarde om menselijk toezicht te laten werken.
Wie de volledige tijdlijn en risicoklassen wil naslaan, vindt die in onze AI Act Explorer. En wie het gap-assessment tussen MDR-dossier en AI Act-eisen liever niet alleen doet: Embed AI begeleidt medtech-bedrijven en zorginstellingen bij precies deze gecombineerde trajecten, van inventarisatie tot notified body-gesprek.
De kern voor je roadmap: geen paniek over een tweede certificeringstraject, wel gericht werk aan de vier AI-specifieke clusters. Wie de delta nu in kaart brengt, kan die meenemen in de reguliere MDR-cyclus en heeft in 2028 geen verrassing bij de notified body.