12. jan. 2026

Tredjeparts KI i tandklinik: hvad kan ikke outsources?

12. jan. 2026

Tredjeparts KI i tandklinik: hvad kan ikke outsources?

Tredjeparts KI-løsninger i tandklinik: hvad kan ikke outsources?

Tandklinikker anvender i stigende grad KI-funktioner leveret af eksterne aktører – ofte som indbyggede dele af journalsystemer, kommunikationsværktøjer eller driftssystemer.

Når KI kommer “færdig” fra en leverandør, er det nemt at antage, at ansvar også følger med. I praksis opstår der uklarhed netop i grænsefladen mellem leverandørens produktansvar og klinikkens ansvar for brug, kontrol og dokumentation.

Denne artikel forklarer, hvad der typisk kan delegeres til tredjepart, hvad der ikke kan outsources, og hvilke styringsprincipper der bør være på plads for, at brugen kan revurderes over tid. 

Hvad menes der med KI-brug i tandpleje?

Inden for tandpleje er tredjeparts KI sjældent én tydelig “KI-løsning”. Ofte er KI-funktionalitet pakket ind i tjenester, klinikken allerede bruger, eller købes som tillæg, der giver automatisering og støtte.

Typiske tredjepartsleverancer kan være:

  • Tekst- og dokumentationsstøtte (udkast, opsummering, strukturering, sproglig tilpasning)

  • Arbejdsflow og prioritering (sortering af henvendelser, opgaveforslag, kapacitetsstøtte)

  • Kvalitets- og afvigelsessignaler (advarsler om mangler, inkonsistens eller mønstre)

  • Patientkommunikation (standardtekster, svarforslag, oversættelser)

I alle tilfælde er kernen den samme: KI påvirker beslutningsgrundlag, formuleringer eller prioriteringer i klinikkens arbejde. Dette gør, at ansvaret ikke kan forstås som et “produktemne” alene, men som et spørgsmål om, hvordan klinikken styrer og bruger funktionaliteten i praksis. 

Hvor opstår ansvarsspørgsmålet?

Ansvarsspørgsmålet bliver særligt tydeligt, når klinikken anvender tredjeparts KI uden samtidig at etablere klare rammer for brug, kontrol og dokumentation.

Nogle tilbagevendende situationer er:

  1. Når KI anvendes som “standardfunktion” uden lokal afklaring
    Indbyggede funktioner kan aktiveres gennem opdateringer eller standardindstillinger. Hvis klinikken ikke har et beslutningspunkt for, hvad der er tilladt anvendelsesområde, bliver ansvaret uklart og personafhængigt.

  2. Når leverandørens dokumentation ikke svarer på klinikkens styringsbehov
    Leverandøren kan dokumentere produktet, men klinikken skal stadig kunne forklare egen praksis: hvilke anvendelsesområder er godkendt, hvem kontrollerer, og hvordan håndteres afvigelser.

  3. Når datakæden bliver kompleks (underleverandører og sky-tjenester)
    Tredjeparts KI indebærer ofte flere led. For personoplysninger er det et grundlæggende princip, at virksomheden, der bestemmer formål og midler (dataansvarlig), ikke kan “outsource” sit ansvar ved at bruge en databehandler. 

  4. Når “menneskelig kontrol” antages, men ikke er operationaliseret
    Klinikken kan antage, at fagpersonale altid vurderer og overstyrer ved behov, men uden konkrete kontrolpunkter og roller bliver dette variabel praksis. I EU AI Act beskrives det for deployere af højrisiko-KI blandt andet pligter forbundet med at sikre kompetent menneskelig tilsyn og at bruge systemet i overensstemmelse med instruktioner. 

  5. Når noget går galt – og klinikken ikke kan rekonstruere hændelsesforløbet
    I praksis bliver “ansvar” ofte et spørgsmål om opfølgning: Hvad var den aktive funktion? Hvilket forslag gav systemet? Hvem godkendte? Hvad blev ændret? Uden sporbarhed bliver det svært at lære, korrigere og forklare – uanset leverandør.

Almindelige misforståelser

«Ansvar følger leverandøren»

Leverandører har ansvar for deres produkt og dokumentation, men klinikken har ansvar for, hvordan løsningen anvendes i ens egen virksomhed: anvendelsesområder, roller, oplæring, kontrolpunkter og afvighåndtering. Dette bliver særligt tydeligt i EU AI Act, som skelner mellem leverandør- og deployerforpligtelser for højrisiko KI. 

«Hvis vi har en kontrakt, har vi outsourcet risikoen»

En kontrakt kan fordele leverancer og pligter, men den erstatter ikke klinikkens behov for faktisk styring. For personoplysninger er det også klart, at organisationer kan udlicitere behandlingsaktiviteter, men ikke deres ansvar og forpligtelser i henhold til GDPR. 

«Leverandørens certificering eller “compliance” er nok»

Certificeringer og standarder kan være relevante tegn, men de siger lidt om, hvordan løsningen fungerer i klinikkens konkrete brugsmønster. Ansvarsspørgsmålet opstår ofte ikke i leverandørens design, men i klinikkens arbejdsflow: hvad bruges KI til, hvornår skal man stoppe, og hvordan dokumenteres kontrol.

«Dette er bare et IT- og indkøbsspørgsmål»

Tredjeparts KI angår indkøb og drift, men de mest krævende afklaringer er organisatoriske: hvem godkender anvendelsesområder, hvem udøver faglig kontrol, og hvem ejer afvigelser og ændringer. Når styring reduceres til IT/indkøb, bliver fagligt ejerskab ofte uklart.

«Hvis systemet er indbygget, er det ikke “vores KI”»

Indbyggede funktioner kan opleves som “bare en del af systemet”, men for ansvar og efterprøvbarhed er det alligevel klinikkens praksis, der er afgørende: hvem der bruger, til hvad, og under hvilke rammer. Det er ofte her, der opstår et gab mellem faktisk brug og dokumenteret styring.

Hvad bør være på plads i praksis?

Når KI leveres af tredjepart, bør klinikken i praksis kunne vise, at den har styret brugen – ikke bare anskaffet et værktøj. Et nøgternt minimum kan struktureres således:

  • Kortlagt faktisk KI-brug i virksomheden
    Oversigt over, hvilke systemer der har KI-funktioner (inklusive “indbyggede” funktioner), hvad de bruges til, og hvilke processer de påvirker. 

  • Klare roller, ansvar og beslutningskompetence
    Definer hvem der kan aktivere nye funktioner, hvem der godkender anvendelsesområder, og hvem der ejer opfølgningen. I små klinikker kan dette samles hos få personer, men rollerne bør være eksplicit. 

  • Menneskelig kontrol og mulighed for overstyring
    Kontrollen skal være konkret: hvad skal verificeres før underskrivelse/udsendelse, hvad er stopkriterier, og hvem har mandat til at pause brug ved afvigelse. For deployere af højrisiko-KI i EU AI Act beskrives pligter forbundet med kompetent menneskeligt tilsyn, brug efter instruktioner og løbende overvågning. 

  • Dokumentation og sporbarhed
    Klinikken bør kunne forklare i eftertid: hvilket anvendelsesområde, hvilken funktion, hvem der godkendte, og hvilke kontrolmekanismer der gjaldt. For højrisiko-KI omtaler EU AI Act også pligt for deployere til at opbevare logfiler, som systemet genererer, i mindst seks måneder (så langt logfilerne er under deployers kontrol). 

  • Forklarbarhed overfor patienter og tilsynsmyndigheder
    Klinikken bør kunne beskrive på et praktisk niveau, hvad KI bruges til og hvilke begrænsninger og kontrolpunkter, der findes. Dette handler om efterprøvbarhed, ikke tekniske detaljer. 

  • Tredjepartsstyring, der faktisk dækker datakæden
    Hvor personoplysninger behandles, skal klinikken have overblik over roller og kæde (databehandlere/underleverandører) og kunne dokumentere, at dette håndteres som en del af virksomhedens ansvarlighed. EDPB understreger, at ansvarlighed primært ligger hos den dataansvarlige, også når behandling outsources, og at den dataansvarlige skal have kontrol gennem instrukser og dokumentation. 

Acteras rolle i dette

Actera er etableret for at give tandplejevirksomheder struktur omkring ansvarlig brug af KI. 

Vi arbejder ikke med teknologiudvikling eller kliniske beslutninger, men med styringsstruktur, ansvarsdele og dokumentation – så KI kan bruges på en sikker, forudsigelig og efterprøvbar måde. 

Afsluttende betragtning

Tredjeparts KI gør det muligt at tage avanceret funktionalitet i brug uden at bygge selv. Samtidig ændrer det ikke et grundlæggende faktum: Klinikken ejer brugen i egen kontekst, og skal kunne forklare, hvordan KI påvirker praksis.

Det, der ikke kan outsources, er derfor ikke “teknologien”, men styringen: beslutningspunkter, kontrolmekanismer, sporbarhed og ansvarsdele, der tåler efterprøvning. Når dette er på plads, bliver også leverandørbrug mere robust over tid – fordi klinikken har et rammeværk, der håndterer ændringer, afvigelser og nye funktioner uden at ansvaret bliver uklart.

Lawyer portrait photo
Lawyer portrait photo
Lawyer portrait photo

Relaterede artikler

Relaterede artikler

KI i journalføring: ansvar og dokumentation

KI i journalføring: ansvar og dokumentation

KI i tandklinik: hvem har ansvaret?

KI i tandklinik: hvem har ansvaret?

KI og patientinformation: sporbarhed og efterprøvbarhed

KI og patientinformation: sporbarhed og efterprøvbarhed

Business Intelligence inden for tandpleje: data som beslutningsstøtte

Business Intelligence inden for tandpleje: data som beslutningsstøtte

Afvigelse ved KI i tandklinik: ansvar og opfølgning

Afvigelse ved KI i tandklinik: ansvar og opfølgning

Tredjeparts KI i tandklinik: hvad kan ikke outsources?

Tredjeparts KI i tandklinik: hvad kan ikke outsources?

Dokumentation af KI-brug i tandpleje

Dokumentation af KI-brug i tandpleje

Menneskelig kontrol ved brug af KI i tandklinik

Menneskelig kontrol ved brug af KI i tandklinik

Ansvarlig KI i tandklinik: hvilke roller skal være tydelige?

Ansvarlig KI i tandklinik: hvilke roller skal være tydelige?

KI i journalføring: ansvar og dokumentation

KI i journalføring: ansvar og dokumentation

KI i tandklinik: hvem har ansvaret?

KI i tandklinik: hvem har ansvaret?

KI i journalføring: ansvar og dokumentation

KI i journalføring: ansvar og dokumentation

KI i tandklinik: hvem har ansvaret?

KI i tandklinik: hvem har ansvaret?

KI og patientinformation: sporbarhed og efterprøvbarhed

KI og patientinformation: sporbarhed og efterprøvbarhed