AI-styring og kvalitetssystem: hvad er forskellen — og hvorfor betyder det noget under EU AI Act
KI-styring og kvalitetssystem: hvad er forskellen — og hvorfor det betyder noget under EU AI Act
Sidst opdateret: april 2026
Når EU AI Act træder i kraft 2. august 2026, vil mange tandklinikker tænke, at de allerede er godt rustet — fordi de har et kvalitetssystem på plads. Det er en forståelig antagelse. Kvalitetssystemer har i over 30 år været det centrale styringsværktøj i den norske sundhedstjeneste, og de håndterer rutiner, afvigelser og patientsikkerhed effektivt.
Men EU AI Act stiller en ny type krav, som ikke kan løses gennem det eksisterende kvalitetssystem alene. Forskellen er ikke åbenlys ved første øjekast, men den er strukturel — og den afgør, hvad klinikken faktisk skal have på plads inden august 2026.
To discipliner med forskellig historie og forskelligt formål
Kvalitetssystem og KI-styring løser to forskellige problemer. Begge er nødvendige, men de overlapper ikke fuldt ud.
Kvalitetssystem
Kvalitetssystem handler om at sikre, at klinikkens rutiner er forudsigelige, sporbare og forbedringsbare. Disciplinen voksede frem fra industriel kvalitetsledelse i 1980'erne og 90'erne og blev indført i den norske sundhedstjeneste gennem internkontrolforskriften og senere forskrift om ledelse og kvalitetsforbedring i sundheds- og omsorgstjenesten.
Kernen er, at virksomheden skal have skriftlige rutiner for, hvordan ting gøres, dokumentere, når noget afviger fra rutinerne, lære af afvigelser og forbedre rutinerne over tid. Det handler om processer — hvordan klinikken arbejder.
KI-styring
KI-styring — eller AI governance — handler om at sikre, at klinikken har kontrol over, hvordan kunstig intelligens bruges, hvem der har ansvaret, når KI påvirker beslutninger, og hvordan dette kan forklares over for patienten, tilsynet og andre. Disciplinen er ny: den voksede frem internationalt fra omkring 2018, drevet af, at KI begyndte at blive brugt i beslutningskritiske sammenhænge uden klare ansvarsforhold.
EU AI Act er det første omfattende regelsæt, som stiller krav til denne disciplin. Kernen er, at virksomheden skal have kontrol over teknologien — hvilke KI-systemer der bruges, hvordan de bruges, hvad der sker, når de fejler, og hvordan menneskeligt overblik faktisk varetages.
Hvad forskellen betyder i praksis
Det enkleste er at se på konkrete spørgsmål, som en klinik kan møde — og hvilken disciplin der faktisk besvarer spørgsmålet.
«Hvordan håndterer I afvigelser fra den aftalte rutine for sterilisering?»
Dette er et klassisk kvalitetssystem-spørgsmål. Klinikken har en skriftlig rutine, et afvikssystem og en gennemgang af læringspunkter. Et godt kvalitetssystem håndterer dette uden problemer.
«Hvis en patient spørger, hvordan KI'en analyserede hendes røntgen, hvad svarer I så?»
Dette er et KI-styringsspørgsmål. Det handler om transparens (Art. 13 i EU AI Act), patientinformation (Art. 50) og forklarbarhed i modellens arbejdsmåde. Et kvalitetssystem, som ikke specifikt er bygget til KI-anvendelse, vil ikke have svar på dette.
«Hvis tilsynet beder om logger over alle KI-anbefalinger de seneste 12 måneder, hvad viser I så?»
Også KI-styring. Dette handler om hændelseslogning (Art. 12) og evnen til at demonstrere menneskeligt overblik (Art. 14). Kvalitetssystemet dækker normalt ikke krav til automatisk teknisk logning af, hvad en KI-model har foreslået.
«Hvad sker der, hvis en KI-leverandør opdaterer modellen og ændrer, hvordan fund markeres?»
Dette krydser begge discipliner. Den processuelle side — hvordan opdateringer håndteres internt — kan dækkes af kvalitetssystemet. Den substantielle side — vurdering af, om ændringen påvirker klinikkens risikobillede, om personalet har brug for ny oplæring (Art. 4), og om dokumentationen skal opdateres (Art. 11) — er KI-styring.
Sammenligning af de to discipliner
Dimension | Kvalitetssystem | KI-styring |
|---|---|---|
Etableret i norsk sundhedssektor | Siden 1990'erne | Ny disciplin, formaliseres med EU AI Act |
Hovedfokus | Rutiner og processer | Teknologi og beslutningsstøtte |
Centrale objekter | Aktiviteter, afvigelser, forbedringer | KI-systemer, modeladfærd, ansvarsfordeling |
Typiske dokumenter | Procedurer, tjeklister, afvigerapporter | Risikoregister, leverandørdokumentation, hændelseslogger |
Ansvarsfordeling | Linjeansvar for proces | Særligt udpeget KI-ejerskab per system |
Hvad der overvåges | Overholdelse af interne rutiner | Modellens ydeevne og menneskelig kontrol |
Reguleres af | Internkontrolforskrift, sundhedslovgivning | EU AI Act, kommende KI-lov |
Ændringsdrivere | Afviksanalyse og kvalitetsudvikling | Modelopdateringer, regelændringer, hændelser |
Tabellen viser, at disciplinerne ikke er modsætninger — de adresserer forskellige lag af klinikkens drift. Et velfungerende kvalitetssystem har meget at bidrage med, når KI-styring skal etableres, men det kan ikke erstatte den.
Hvorfor sammenblandingen opstår
Der er to grunde til, at klinikker ofte forveksler de to.
Etablerede leverandører udvider markedsføringen
Flere norske leverandører af kvalitetssystemer er i de senere år begyndt at markedsføre, at deres systemer dækker «sikker brug af KI». I praksis betyder det ofte, at systemet har en funktion til at registrere, hvilke KI-værktøjer klinikken bruger, og måske nogle færdige risikomaler. Det er nyttigt — men det er én delkomponent af, hvad EU AI Act kræver (delvis dækning af Art. 11), ikke et fuldt KI-styringssystem.
Markedsføringssproget er forståeligt, men det skaber falsk tryghed. En klinik, som tror, den er compliant, fordi den har registreret sine KI-værktøjer i kvalitetssystemet, vil først opdage hullet ved et tilsyn — eller ved en hændelse.
Kategori-vokabulariet er endnu ikke etableret i Norge
Internationalt er begreberne «AI governance», «AI compliance management» og «AI risk management» relativt etablerede. På norsk er vokabularet under udvikling. Det betyder, at både klinikker, leverandører og myndigheder taler forbi hinanden — hvor nogle mener «vi bruger KI på en god måde», mener andre «vi har et formelt rammeværk for KI-styring, som opfylder EU AI Act».
Indtil norsk fagsprog stabiliserer sig, må klinikken vurdere konkret leverance — ikke etiketter.
Hvad der kræves af et fuldt KI-styringssystem
For at være tydelig på, hvad et KI-styringssystem faktisk dækker — og dermed hvad et kvalitetssystem alene ikke dækker — er dette de centrale komponenter, som EU AI Act kræver:
Kompetencekortlægning og oplæring af alt personale, der bruger KI (Art. 4)
Løbende risikostyring af hvert KI-system gennem hele livscyklussen (Art. 9)
Datastyring med vurdering af, hvorvidt klinikkens patientpopulation svarer til leverandørens valideringspopulation (Art. 10)
Forvaltning af teknisk dokumentation per KI-system og per version (Art. 11)
Sikring af, at hændelseslogning er aktiveret og opbevares forsvarligt (Art. 12)
Fortolkningsstøtte som sikrer, at personalet forstår modellens kapacitet og begrænsninger (Art. 13)
Operationelle rutiner for menneskeligt overblik og overstyring (Art. 14)
Dokumenteret ansvarsfordeling med udpeget KI-ansvarlig i klinikken (Art. 26)
Patientinformation om KI-brug, som er tilgængelig og forståelig (Art. 50)
Hændelseshåndtering og rapporteringsberedskab for alvorlige hændelser (Art. 72)
Et eksisterende kvalitetssystem dækker typisk dele af Art. 11 (registrering af systemer i brug) og kan udvides med risikomaler relateret til Art. 9. Resten må etableres som en selvstændig disciplin.
Tre principper for, hvordan disciplinerne kan hænge sammen
For klinikker, der allerede har et velfungerende kvalitetssystem, er det ikke et spørgsmål om at erstatte noget. Det er et spørgsmål om, hvordan KI-styring kan etableres derudover, så de to discipliner understøtter hinanden uden at blive forvekslet.
Princip 1: Behold kvalitetssystemet som procesramme
Klinikkens etablerede kvalitetssystem håndterer fortsat rutiner, afvigelser og kvalitetsforbedring. Det er fortsat dér, dokumenterede arbejdsprocesser ligger, og det er fortsat dér, afvigerapporter behandles. KI-styring lægges ved siden af, ikke i stedet for.
Princip 2: Etabler KI-styring som en selvstændig disciplin med egne dokumenter
KI-styring har brug for sine egne strukturer: risikoregister per KI-system, ansvars-matrix for KI-ejerskab, dokumentationsregister for leverandørens tekniske dokumenter, hændelseslogger relateret til KI-fejl og opdateringsplaner ved modelændringer. Disse kan praktisk opbevares i det samme system som kvalitetssystemet, men de skal være tydeligt identificerbare som KI-styringsdokumenter.
Princip 3: Knyt disciplinerne sammen dér, hvor de overlapper
Når en KI-relateret hændelse sker — for eksempel at et KI-system giver et forkert resultat — udløses begge discipliner. Afvigelsen håndteres i kvalitetssystemet, og den KI-specifikke vurdering (om der skal varsles til myndighederne under Art. 72, om risikobilledet skal opdateres, om brugsanvisningen er fulgt) håndteres i KI-styringssystemet. De to skal kunne henvise til hinanden, men de er ikke det samme dokument.
Konsekvensen for klinikker, der planlægger nu
Klinikker, der starter compliance-arbejdet med udgangspunkt i deres eksisterende kvalitetssystem alene, vil typisk dække mellem 10 og 25 procent af kravene under EU AI Act. Det er ikke nul — men det er heller ikke i nærheden af tilstrækkeligt.
KI-styring kan integreres i klinikkens kvalitetssystem som en separat modul, men kan ikke erstattes af de eksisterende kvalitetssystemfunktioner alene. Forskellen mellem de to discipliner er ikke en formalitet — den afgør, om klinikken faktisk har det, som EU AI Act kræver, eller blot tror, den har det.
For klinikker, der vurderer, hvilken type bistand de har brug for, er det første spørgsmål derfor ikke «hvilket værktøj skal vi vælge?» — men «forstår vi forskellen på at registrere KI-brug og at styre den?»
For en konkret vurdering af, hvilke dele af KI-styring din klinik allerede har på plads — og hvad der mangler — kontakt Actera.
