EU AI Act for tandklinikker: krav pr. artikel, forklaret
EU AI Act for tandklinikker: krav pr. artikel, forklaret
Senest opdateret: april 2026
EU AI Act (AI-forordningen) træder i kraft 2. august 2026, og forventes indarbejdet i norsk ret kort tid efter via EØS-aftalen. For tandklinikker, som bruger kunstig intelligens — i diagnostik, journalføring, administration eller patientkommunikation — stiller reglerne konkrete krav. Denne side er en praktisk gennemgang af de vigtigste artikler, oversat til hvad de betyder i en tandklinikhverdag.
Om denne gennemgang: Indholdet er Acteras praktiske fortolkning af reglerne i tandlægefaglig kontekst. Den endelige fortolkning afgøres af norske myndigheder, når AI-loven træder i kraft. For juridiske vurderinger, kontakt en advokat. Senest fagligt gennemgået: april 2026.
Art. 4: AI-kompetence hos personale {#art-4}
Hvad reglerne siger
Virksomheder, som tager AI-systemer i brug, skal sørge for, at personale, der betjener eller bruger systemerne, har tilstrækkelig AI-kompetence — såkaldt «AI literacy». Kravet gælder også andre personer, som arbejder med AI-systemerne på virksomhedens vegne. Bestemmelsen trådte i kraft 2. februar 2025.
Hvad det betyder for en tandklinik
Alle ansatte, som bruger eller berøres af AI-værktøjer, skal have en grundlæggende forståelse af, hvad systemerne gør, hvordan de fortolker resultater, og hvilke begrænsninger der gælder. Det omfatter tandlæger, som bruger AI-røntgenanalyse, tandklinikassistenter, som bruger AI-assisterede journalsystemer, og ledelse, som træffer beslutninger om indkøb af AI-løsninger.
Eksempel fra hverdagen
En tandlæge bruger en AI-modul i røntgenprogramvaren, som markerer mistænkelige områder. Tandlægen skal forstå, at AI'en ikke stiller diagnoser, men giver forslag baseret på mønstergenkendelse — og at falske positive og falske negative forekommer. Tandklinikassistenten, som administrerer systemet, skal forstå, at hun ikke selv kan fortolke markeringerne eller give patienten svar på baggrund af dem.
Hvad der typisk skal dokumenteres
Hvilke ansatte der bruger hvilke AI-systemer
Gennemført oplæring pr. system og dato
Indholdet i oplæringen (korte beskrivelser er tilstrækkelige)
Plan for opdatering af kompetencer ved nye systemer eller versioner
Art. 9: Risikostyringssystem {#art-9}
Hvad reglerne siger
For AI-systemer klassificeret som høj risiko skal der etableres et risikostyringssystem, som dækker hele AI-systemets livscyklus. Risikostyringen skal være kontinuerlig, dokumenteret og løbende opdateret. Den skal identificere kendte og forudsigelige risici, vurdere disse og iværksætte tiltag til at reducere dem.
Hvad det betyder for en tandklinik
Mange AI-værktøjer, som bruges i tandklinikker, falder under kategorien medicinsk udstyr — især dem, der bruges i diagnostik eller behandlingsplanlægning. Disse vil typisk blive klassificeret som højrisiko under EU AI Act. For klinikken betyder det, at risici ved AI-brug skal vurderes løbende: hvad kan gå galt, hvor sandsynligt er det, hvilke konsekvenser har det, og hvilke tiltag er der på plads.
Risikostyring er ikke en engangsaktivitet. Når klinikken skifter leverandør, opdaterer software, ansætter nye personer eller tager nye AI-funktioner i brug, skal risikobilledet vurderes på ny.
Eksempel fra hverdagen
Klinikken bruger en AI-modul, som foreslår cariesfund baseret på røntgenbilleder. Risici, som skal vurderes: falske negative (cariesfund, som overses), falske positive (unødvendig behandling), ændring i AI-modellens ydeevne over tid, manglende oplæring af nyt personale, systemnedetid. For hver risiko: sandsynlighed, konsekvens og hvilket tiltag klinikken har på plads.
Hvad der typisk skal dokumenteres
Identificeret risikobillede pr. AI-system
Vurdering af sandsynlighed og konsekvens
Iværksatte tiltag til at reducere hver risiko
Dato for seneste gennemgang
Plan for næste gennemgang
Hvem der er ansvarlig for risikoejerskabet i klinikken
Art. 10: Datakvalitet og datastyring {#art-10}
Hvad reglerne siger
Højrisiko AI-systemer skal bygges og bruges med data, som opfylder krav til kvalitet — relevans, repræsentativitet, fravær af fejl og fuldstændighed i forhold til det tilsigtede formål. Kravet retter sig primært mod leverandøren af AI-systemet, men ibrugtageren (klinikken) har pligt til at sikre, at egne data bruges inden for de rammer, leverandøren har specificeret.
Hvad det betyder for en tandklinik
Klinikken skal forstå, hvilke data AI-systemet er trænet på, og om det er repræsentativt for klinikkens patientgruppe. Hvis en røntgen-AI er trænet på voksne patienter, men klinikken behandler mange børn, kan ydeevnen være reduceret. Klinikken skal også vurdere, om egne data — røntgenbilleder, journalføring — kan bruges til at træne eller forbedre AI'en, og hvad der da kræves af samtykke og informationssikkerhed.
Eksempel fra hverdagen
Leverandøren af AI-røntgenmodulet oplyser, at systemet er valideret for voksne patienter mellem 18 og 75 år. Klinikken skal dokumentere, at de er opmærksomme på begrænsningen, og at de bruger manuel vurdering eller alternative metoder for patienter uden for dette spænd.
Hvad der typisk skal dokumenteres
Leverandørens specifikation af træningsdata og valideringspopulation
Klinikkens vurdering af, om dette stemmer overens med egen patientgruppe
Rutiner for, hvornår AI'en ikke skal bruges eller skal suppleres
Hvis klinikkens data deles med leverandøren: behandlingsgrundlag, samtykke, databehandleraftale
Art. 11: Teknisk dokumentation {#art-11}
Hvad reglerne siger
Leverandøren af højrisiko AI-systemer skal udarbejde teknisk dokumentation, før systemet bringes på markedet. Dokumentationen skal indeholde alt, hvad der kræves for at vise, at systemet opfylder kravene i forordningen. Ibrugtageren har pligt til at bevare den tekniske dokumentation tilgængelig, så længe systemet er i brug.
Hvad det betyder for en tandklinik
Klinikken skal aktivt efterspørge og opbevare leverandørens tekniske dokumentation. Det er ikke en generel databehandleraftale, men specifik dokumentation af, hvordan AI-systemet fungerer, hvilken validering der er gennemført, og hvilke begrænsninger der gælder. Ved tilsyn skal klinikken kunne fremvise dette for hvert højrisiko AI-system i brug.
Eksempel fra hverdagen
Klinikken køber en AI-modul til kefalometrisk analyse. Som led i anskaffelsen beder de om leverandørens tekniske dokumentation, valideringsrapport og brugsanvisning. Dokumenterne gemmes i klinikkens system for AI-styring, knyttet til navnet på systemet og versionsnummeret, som er installeret.
Hvad der typisk skal dokumenteres
Leverandørens tekniske dokumentation pr. AI-system
Versionsnummer på installeret software
Brugsanvisning og eventuelt oplæringsmateriale
Dato for modtagelse og opbevaring
Plan for opdatering af dokumentation ved nye versioner
Art. 12: Hændelseslogning {#art-12}
Hvad reglerne siger
Højrisiko AI-systemer skal have automatisk hændelseslogning, som muliggør sporbarhed af systemets brug. Loggene skal være tilstrækkelige til at overvåge systemets ydeevne, identificere risici og bidrage til efterprøvning ved hændelser. Ibrugtageren skal bevare loggene, så længe det er rimeligt i lyset af systemets formål.
Hvad det betyder for en tandklinik
AI-systemet skal logge brugen — hvem der brugte det, hvornår, og hvad resultatet var. Dette er primært en teknisk funktion i selve softwaren, men klinikken skal sikre, at logningen er aktiveret, at loggene gemmes i tilstrækkelig tid, og at de er tilgængelige ved behov. For patientrelaterede logfiler gælder også opbevaringskrav efter sundhedslovgivningen.
Eksempel fra hverdagen
AI-røntgenmodulet logger automatisk hver gang en analyse køres: dato, hvilken bruger der kørte analysen, hvilket billede der blev analyseret, hvilket resultat AI'en gav, og om tandlægen overstyrede forslaget. Hvis en patient stiller spørgsmål om en behandling seks måneder senere, kan klinikken finde tilbage til, hvad AI'en faktisk foreslog den dag.
Hvad der typisk skal dokumenteres
Bekræftelse på, at hændelseslogning er aktiveret pr. AI-system
Hvor længe loggene opbevares
Hvem der har adgang til loggene
Rutiner for gennemgang af loggene ved hændelser
Art. 13: Transparens og information til brugere {#art-13}
Hvad reglerne siger
Højrisiko AI-systemer skal designes og udvikles, så brugerne — i klinikkens tilfælde sundhedspersonalet — kan fortolke systemets resultater og bruge dem korrekt. Leverandøren skal levere en brugsanvisning, som er klar, fuldstændig og forståelig.
Hvad det betyder for en tandklinik
Klinikken skal sikre, at personalet faktisk har læst og forstået brugsanvisningen for hvert AI-system. Det er ikke nok, at den ligger i en mappe. Personalet skal vide, hvordan resultaterne skal fortolkes, hvilke begrænsninger der gælder, og hvordan de skal håndtere usikkerhed eller fejlfunktion.
Eksempel fra hverdagen
Brugsanvisningen for AI-røntgenmodulet siger, at systemet har 87 % sensitivitet for caries klasse II, men 62 % for klasse III. Tandlægerne skal vide dette — så de manuelt vurderer alle klasse III-områder grundigere, uanset hvad AI'en markerer.
Hvad der typisk skal dokumenteres
Bekræftelse på, at brugsanvisningen er gennemgået af personalet
Eventuelt intern opsummering eller vejledning baseret på brugsanvisningen
Hvornår opdateringer af brugsanvisningen er modtaget og distribueret
Art. 14: Menneskeligt overblik {#art-14}
Hvad reglerne siger
Højrisiko AI-systemer skal designes, så de kan overvåges effektivt af mennesker, mens systemet er i brug. Det menneske, som har overblikket, skal kunne forstå systemets kapacitet og begrænsninger, være opmærksom på risikoen for automatiseringsbias, kunne fortolke resultaterne, kunne vælge ikke at bruge systemet og kunne stoppe systemet ved behov.
Hvad det betyder for en tandklinik
Tandlægen skal altid være den, der træffer den endelige kliniske beslutning. AI kan foreslå, indikere eller markere — men kan aldrig stille diagnose eller bestemme behandling alene. Klinikken skal have dokumenterede rutiner, som sikrer, at der altid sker en menneskelig vurdering, og at personalet er opmærksom på faren ved at «stole blindt på AI'en».
Eksempel fra hverdagen
Klinikken har en rutine: alle AI-forslag skal verificeres af en tandlæge, før de indgår i behandlingsplanen eller journalføres som fund. Hvis tandlægen overstyrer AI'en, dokumenteres begrundelsen. Hvis tandlægen accepterer AI-forslaget, godkendes det aktivt — ikke automatisk.
Hvad der typisk skal dokumenteres
Skriftlige rutiner for menneskelig kontrol pr. AI-system
Hvem der har ansvaret for overblikket
Hvordan overstyring dokumenteres
Periodisk gennemgang af, om rutinerne faktisk følges
Art. 26: Ibrugtagerens pligter {#art-26}
Hvad reglerne siger
Ibrugtageren — virksomheden, som tager et AI-system i brug — har konkrete pligter: at bruge systemet i overensstemmelse med brugsanvisningen, sikre menneskeligt overblik, overvåge driften, opbevare logfiler, informere leverandør og myndigheder ved alvorlige hændelser og ved brug på arbejdspladsen informere ansatte.
Hvad det betyder for en tandklinik
Klinikken — som ibrugtager — har et selvstændigt ansvar, som ikke kan delegeres til leverandøren. Selv om en AI-leverandør har gjort sin del, er klinikken ansvarlig for, hvordan systemet bruges i praksis, om personalet har tilstrækkelig kompetence, og om der reageres korrekt ved fejl eller hændelser.
Eksempel fra hverdagen
AI-leverandøren udsender en opdatering, som ændrer, hvordan systemet markerer fund. Klinikken har pligt til at vurdere ændringen, opdatere internt oplæringsmateriale, informere personalet og dokumentere, at ændringen er håndteret. Det er ikke leverandørens ansvar, at klinikken faktisk gør dette.
Hvad der typisk skal dokumenteres
Klinikkens udpegede ansvarlige for AI-drift
Rutiner for håndtering af leverandøropdateringer
Logføring af iværksatte tiltag ved ændringer
Informationsrutiner over for ansatte om AI-brug
Art. 50: Oplysningspligt over for patienten {#art-50}
Hvad reglerne siger
Når personer interagerer med et AI-system, skal de informeres om det — medmindre det er åbenlyst af konteksten. For systemer, som genererer eller manipulerer indhold, der ligner faktisk indhold, gælder særlige informationskrav. Bestemmelsen retter sig primært mod leverandører, men har betydning for, hvordan klinikken kommunikerer med patienter.
Hvad det betyder for en tandklinik
Patienten skal kunne vide, at AI bruges som led i behandlingen, og hvad det betyder for dem. Det gælder, uanset om AI bruges i diagnostik (røntgenanalyse), kommunikation (chatbot på hjemmesiden) eller administration (automatiske påmindelser). Oplysningen skal være tilgængelig på en måde, patienten kan forstå — ikke gemt væk i en privatlivspolitik.
Eksempel fra hverdagen
Klinikken har et afsnit på hjemmesiden om, hvilke AI-værktøjer der bruges og hvordan. Ved første konsultation nævnes det mundtligt, hvis AI bruges i analysen af røntgen. Ved automatiske påmindelser via SMS eller chatbot står det tydeligt, at beskeden er genereret af et automatiseret system.
Hvad der typisk skal dokumenteres
Skriftlig information om AI-brug tilgængelig for patienten
Rutiner for mundtlig information ved relevant behandling
Hvordan patienten kan stille spørgsmål eller fravælge
Plan for opdatering, når nye AI-værktøjer tages i brug
Art. 72: Hændelseshåndtering og rapportering {#art-72}
Hvad reglerne siger
Ibrugtageren af højrisiko AI-systemer skal indberette alvorlige hændelser til markedstilsynet. En alvorlig hændelse defineres bredt og omfatter fejl eller funktionssvigt, som kan føre til skade på liv, helbred, grundlæggende rettigheder eller ejendom. Rapportering skal ske inden for fastsatte frister.
Hvad det betyder for en tandklinik
Klinikken skal have en beredskab for, hvad der sker, hvis et AI-system giver et forkert resultat med konsekvens for patienten. Det omfatter interne rutiner for at opdage hændelsen, vurdere alvoren, dokumentere, underrette leverandøren, underrette myndighederne ved en alvorlig hændelse og lære af det. Norske myndigheder — hovedsageligt Nasjonal kommunikasjonsmyndighet (Nkom) som koordinerende tilsyn — vil sandsynligvis spille en central rolle.
Eksempel fra hverdagen
AI-røntgenmodulet overser en åbenlys caries klasse III i et billede. Tandlægen opdager dette ved manuel gennemgang og overstyrer AI'en, men hændelsen logges, fordi den indikerer en mulig systemfejl. Klinikken vurderer alvoren, melder til leverandøren og dokumenterer sin egen vurdering. Hvis et lignende mønster gentager sig flere gange, vurderes det, om det skal indberettes som alvorlig hændelse til myndighederne.
Hvad der typisk skal dokumenteres
Internt proceduresæt for opsamling og vurdering af hændelser
Log over alle hændelser med vurdering af alvor
Dokumentation for underretning til leverandør
Eventuel underretning til myndighederne
Læringspunkter og iværksatte forbedringer
Hvordan artiklerne hænger sammen
EU AI Act er ikke en tjekliste. Artiklerne hænger sammen som et system: kompetence (Art. 4) gør det muligt at føre menneskelig kontrol (Art. 14), risikostyring (Art. 9) bygger på datakvalitet (Art. 10) og dokumentation (Art. 11), og hændelseshåndtering (Art. 72) afhænger af, at logning (Art. 12) og overblik (Art. 14) faktisk er på plads.
For en tandklinik betyder det, at det ikke er nok at opfylde én artikel ad gangen. Styringsstrukturen skal hænge sammen og skal opdateres løbende — ikke som en engangsopsætning.
EU AI Act kræver løbende styring, ikke engangsopsætning. Det er denne forskel, der afgør, hvilken tilgang der passer for klinikken.
Har du brug for en konkret vurdering af, hvilke artikler der gælder for din kliniks AI-brug? Tag kontakt til Actera.
