EU AI Act for tannklinikker: krav per artikkel, forklart

EU AI Act for tannklinikker: krav per artikkel, forklart

Sist oppdatert: april 2026

EU AI Act (KI-forordningen) trer i kraft 2. august 2026, og forventes innlemmet i norsk rett kort tid etter via EØS-avtalen. For tannklinikker som bruker kunstig intelligens — i diagnostikk, journalføring, administrasjon eller pasientkommunikasjon — stiller regelverket konkrete krav. Denne siden er en praktisk gjennomgang av de viktigste artiklene, oversatt til hva de betyr i en tannklinikk-hverdag.

Om denne gjennomgangen: Innholdet er Acteras praktiske tolkning av regelverket for tannhelsekontekst. Den endelige fortolkningen avgjøres av norske myndigheter når KI-loven trer i kraft. For juridiske vurderinger, kontakt advokat. Sist faglig gjennomgått: april 2026.

Art. 4: KI-kompetanse hos personell {#art-4}

Hva regelverket sier

Virksomheter som tar i bruk KI-systemer skal sørge for at personell som opererer eller bruker systemene har tilstrekkelig KI-kompetanse — såkalt «AI literacy». Kravet gjelder også andre personer som arbeider med KI-systemene på vegne av virksomheten. Bestemmelsen trådte i kraft 2. februar 2025.

Hva det betyr for en tannklinikk

Alle ansatte som bruker eller berøres av KI-verktøy må ha grunnleggende forståelse av hva systemene gjør, hvordan de tolker resultater, og hvilke begrensninger som gjelder. Dette inkluderer tannleger som bruker KI-røntgenanalyse, tannhelsesekretærer som bruker AI-assisterte journalsystemer, og ledelse som tar beslutninger om innkjøp av KI-løsninger.

Eksempel fra hverdagen

En tannlege bruker en KI-modul i røntgenprogramvaren som markerer mistenkelige områder. Tannlegen må forstå at KI-en ikke stiller diagnoser, men gir forslag basert på mønstergjenkjenning — og at falske positiver og negativer forekommer. Tannhelsesekretæren som administrerer systemet må forstå at hun ikke kan tolke markeringene selv eller gi pasienten svar basert på dem.

Hva som typisk må dokumenteres

  • Hvilke ansatte som bruker hvilke KI-systemer

  • Gjennomført opplæring per system og dato

  • Innholdet i opplæringen (korte beskrivelser holder)

  • Plan for oppdatering av kompetanse ved nye systemer eller versjoner

Art. 9: Risikostyringssystem {#art-9}

Hva regelverket sier

For KI-systemer klassifisert som høyrisiko må det etableres et risikostyringssystem som dekker hele KI-systemets livssyklus. Risikostyringen skal være kontinuerlig, dokumentert og oppdateres jevnlig. Den må identifisere kjente og forutsigbare risikoer, evaluere disse, og iverksette tiltak for å redusere dem.

Hva det betyr for en tannklinikk

Mange KI-verktøy som brukes i tannklinikk faller under kategorien medisinsk utstyr — særlig de som brukes i diagnostikk eller behandlingsplanlegging. Disse vil typisk klassifiseres som høyrisiko under EU AI Act. For klinikken betyr det at risikoer ved KI-bruk må vurderes løpende: hva kan gå galt, hvor sannsynlig er det, hvilke konsekvenser har det, og hvilke tiltak er på plass.

Risikostyring er ikke en engangsaktivitet. Når klinikken bytter leverandør, oppdaterer programvare, ansetter nye personer eller tar i bruk nye KI-funksjoner, må risikobildet vurderes på nytt.

Eksempel fra hverdagen

Klinikken bruker en KI-modul som foreslår karies-funn basert på røntgenbilder. Risikoer som må vurderes: falske negativer (kariesfunn som overses), falske positiver (unødvendig behandling), endring i KI-modellens ytelse over tid, manglende opplæring av nytt personell, systemnedetid. For hver risiko: sannsynlighet, konsekvens og hvilket tiltak klinikken har på plass.

Hva som typisk må dokumenteres

  • Identifisert risikobilde per KI-system

  • Vurdering av sannsynlighet og konsekvens

  • Tiltak iverksatt for å redusere hver risiko

  • Dato for siste gjennomgang

  • Plan for neste gjennomgang

  • Hvem som er ansvarlig for risikoeierskap i klinikken

Art. 10: Datakvalitet og datastyring {#art-10}

Hva regelverket sier

Høyrisiko KI-systemer skal bygges og brukes med data som oppfyller krav til kvalitet — relevans, representativitet, fravær av feil og fullstendighet for tiltenkt formål. Kravet retter seg primært mot leverandøren av KI-systemet, men idriftsetter (klinikken) har plikt til å sikre at egne data brukes innenfor rammene leverandøren har spesifisert.

Hva det betyr for en tannklinikk

Klinikken må forstå hvilke data KI-systemet er trent på og om det er representativt for klinikkens pasientgruppe. Hvis et røntgen-KI er trent på voksne pasienter, men klinikken behandler mange barn, kan ytelsen være redusert. Klinikken må også vurdere om egne data — røntgenbilder, journalføring — kan brukes til å trene eller forbedre KI-en, og hva som da kreves av samtykke og informasjonssikkerhet.

Eksempel fra hverdagen

Leverandøren av KI-røntgenmodulen oppgir at systemet er validert for voksne pasienter mellom 18 og 75 år. Klinikken må dokumentere at de er klar over begrensningen, og at de bruker manuell vurdering eller alternative metoder for pasienter utenfor dette spennet.

Hva som typisk må dokumenteres

  • Leverandørens spesifikasjon av treningsdata og valideringspopulasjon

  • Klinikkens vurdering av om dette samsvarer med egen pasientgruppe

  • Rutiner for når KI-en ikke skal brukes eller skal suppleres

  • Hvis klinikkens data deles med leverandøren: behandlingsgrunnlag, samtykke, databehandleravtale

Art. 11: Teknisk dokumentasjon {#art-11}

Hva regelverket sier

Leverandøren av høyrisiko KI-systemer skal utarbeide teknisk dokumentasjon før systemet settes på markedet. Dokumentasjonen må inneholde alt som kreves for å vise at systemet oppfyller kravene i forordningen. Idriftsetter har plikt til å bevare den tekniske dokumentasjonen tilgjengelig så lenge systemet er i bruk.

Hva det betyr for en tannklinikk

Klinikken må aktivt etterspørre og oppbevare leverandørens tekniske dokumentasjon. Dette er ikke en generell databehandleravtale, men spesifikk dokumentasjon av hvordan KI-systemet fungerer, hvilken validering som er gjennomført, og hvilke begrensninger som gjelder. Ved tilsyn skal klinikken kunne fremvise denne for hvert høyrisiko KI-system i bruk.

Eksempel fra hverdagen

Klinikken kjøper en KI-modul for kefalometrisk analyse. Som del av anskaffelsen ber de om leverandørens tekniske dokumentasjon, valideringsrapport og bruksanvisning. Dokumentene lagres i klinikkens system for KI-styring, koblet til navnet på systemet og versjonsnummeret som er installert.

Hva som typisk må dokumenteres

  • Leverandørens tekniske dokumentasjon per KI-system

  • Versjonsnummer på installert programvare

  • Bruksanvisning og eventuell opplæringsmateriale

  • Dato for mottak og lagring

  • Plan for oppdatering av dokumentasjon ved nye versjoner

Art. 12: Hendelseslogging {#art-12}

Hva regelverket sier

Høyrisiko KI-systemer skal ha automatisk hendelseslogging som muliggjør sporbarhet av systemets bruk. Loggene skal være tilstrekkelige til å overvåke systemets ytelse, identifisere risikoer, og bidra til etterprøving ved hendelser. Idriftsetter skal bevare loggene så lenge det er rimelig i lys av systemets formål.

Hva det betyr for en tannklinikk

KI-systemet må logge bruken — hvem som brukte det, når, og hva resultatet var. Dette er primært en teknisk funksjon i selve programvaren, men klinikken må sikre at loggingen er aktivert, at logger lagres i tilstrekkelig tid, og at de er tilgjengelige ved behov. For pasientrelaterte logger gjelder også oppbevaringskrav etter helselovgivning.

Eksempel fra hverdagen

KI-røntgenmodulen logger automatisk hver gang en analyse kjøres: dato, hvilken bruker som kjørte analysen, hvilket bilde som ble analysert, hvilket resultat KI-en ga, og om tannlegen overstyrte forslaget. Hvis en pasient stiller spørsmål om en behandling seks måneder senere, kan klinikken finne tilbake til hva KI-en faktisk foreslo den dagen.

Hva som typisk må dokumenteres

  • Bekreftelse på at hendelseslogging er aktivert per KI-system

  • Hvor lenge logger oppbevares

  • Hvem som har tilgang til logger

  • Rutiner for gjennomgang av logger ved hendelser

Art. 13: Transparens og informasjon til brukere {#art-13}

Hva regelverket sier

Høyrisiko KI-systemer skal designes og utvikles slik at brukerne — i klinikkens tilfelle, helsepersonellet — kan tolke systemets resultater og bruke dem på riktig måte. Leverandøren skal levere en bruksanvisning som er klar, fullstendig og forståelig.

Hva det betyr for en tannklinikk

Klinikken må sørge for at personellet faktisk har lest og forstått bruksanvisningen for hvert KI-system. Det er ikke nok at den ligger i en perm. Personellet må vite hvordan resultatene skal tolkes, hvilke begrensninger som gjelder, og hvordan de skal håndtere usikkerhet eller feilfunksjon.

Eksempel fra hverdagen

Bruksanvisningen for KI-røntgenmodulen sier at systemet har 87 % sensitivitet for karies klasse II, men 62 % for klasse III. Tannlegene må vite dette — slik at de manuelt vurderer alle klasse III-områder grundigere, uavhengig av hva KI-en markerer.

Hva som typisk må dokumenteres

  • Bekreftelse på at bruksanvisning er gjennomgått av personellet

  • Eventuell intern oppsummering eller veileder basert på bruksanvisningen

  • Når oppdateringer av bruksanvisning er mottatt og distribuert

Art. 14: Menneskelig overblikk {#art-14}

Hva regelverket sier

Høyrisiko KI-systemer skal designes slik at de kan overvåkes effektivt av mennesker mens systemet er i bruk. Mennesket som har overblikk skal kunne forstå systemets kapasitet og begrensninger, være oppmerksom på risiko for automatiseringsbias, kunne tolke resultatene, kunne velge å ikke bruke systemet, og kunne stoppe systemet ved behov.

Hva det betyr for en tannklinikk

Tannlegen må alltid være den som tar den endelige kliniske beslutningen. KI kan foreslå, indikere eller markere — men kan aldri stille diagnose eller bestemme behandling alene. Klinikken må ha dokumenterte rutiner som sikrer at menneskelig vurdering alltid skjer, og at personellet er oppmerksom på faren for å «stole blindt på KI-en».

Eksempel fra hverdagen

Klinikken har en rutine: alle KI-forslag skal verifiseres av tannlege før de inngår i behandlingsplan eller journalføres som funn. Hvis tannlegen overstyrer KI-en, dokumenteres begrunnelsen. Hvis tannlegen aksepterer KI-forslaget, signeres det aktivt — ikke automatisk.

Hva som typisk må dokumenteres

  • Skriftlige rutiner for menneskelig kontroll per KI-system

  • Hvem som har overblikk-ansvar

  • Hvordan overstyring dokumenteres

  • Periodisk gjennomgang av om rutinene faktisk følges

Art. 26: Idriftsetters plikter {#art-26}

Hva regelverket sier

Idriftsetter — virksomheten som tar i bruk et KI-system — har konkrete plikter: å bruke systemet i samsvar med bruksanvisningen, sikre menneskelig overblikk, monitorere driften, oppbevare logger, informere leverandør og myndigheter ved alvorlige hendelser, og ved bruk på arbeidsplassen informere ansatte.

Hva det betyr for en tannklinikk

Klinikken — som idriftsetter — har et selvstendig ansvar som ikke kan delegeres til leverandøren. Selv om en KI-leverandør har gjort jobben sin, er klinikken ansvarlig for hvordan systemet brukes i praksis, om personellet har tilstrekkelig kompetanse, og om det reageres riktig ved feil eller hendelser.

Eksempel fra hverdagen

KI-leverandøren sender ut en oppdatering som endrer hvordan systemet markerer funn. Klinikken har plikt til å vurdere endringen, oppdatere internt opplæringsmateriale, informere personellet, og dokumentere at endringen er håndtert. Det er ikke leverandørens ansvar at klinikken faktisk gjør dette.

Hva som typisk må dokumenteres

  • Klinikkens utpekte ansvarlige for KI-drift

  • Rutiner for håndtering av leverandøroppdateringer

  • Loggføring av iverksatte tiltak ved endringer

  • Informasjonsrutiner overfor ansatte om KI-bruk

Art. 50: Informasjonsplikt overfor pasient {#art-50}

Hva regelverket sier

Når personer interagerer med et KI-system, skal de informeres om dette — med mindre det er åpenbart fra konteksten. For systemer som genererer eller manipulerer innhold som ligner på faktisk innhold, gjelder spesifikke informasjonskrav. Bestemmelsen retter seg primært mot leverandører, men har implikasjoner for hvordan klinikken kommuniserer med pasienter.

Hva det betyr for en tannklinikk

Pasienten skal kunne vite at KI brukes som del av behandlingen, og hva det betyr for dem. Dette gjelder enten KI brukes i diagnostikk (røntgenanalyse), kommunikasjon (chatbot på nettsiden), eller administrasjon (automatiske påminnelser). Informasjonen må være tilgjengelig på en måte pasienten kan forstå — ikke begravd i en personvernerklæring.

Eksempel fra hverdagen

Klinikken har et avsnitt på nettsiden om hvilke KI-verktøy som brukes og hvordan. Ved første konsultasjon nevnes det muntlig dersom KI brukes i analyse av røntgen. Ved automatiske påminnelser via SMS eller chatbot står det tydelig at meldingen er generert av et automatisert system.

Hva som typisk må dokumenteres

  • Skriftlig informasjon om KI-bruk tilgjengelig for pasient

  • Rutiner for muntlig informasjon ved relevant behandling

  • Hvordan pasienten kan stille spørsmål eller reservere seg

  • Plan for oppdatering når nye KI-verktøy tas i bruk

Art. 72: Hendelseshåndtering og rapportering {#art-72}

Hva regelverket sier

Idriftsetter av høyrisiko KI-systemer skal melde alvorlige hendelser til markedstilsynet. En alvorlig hendelse defineres bredt og inkluderer feil eller funksjonssvikt som kan føre til skade på liv, helse, grunnleggende rettigheter eller eiendom. Rapportering skal skje innen definerte tidsfrister.

Hva det betyr for en tannklinikk

Klinikken må ha en beredskap for hva som skjer hvis et KI-system gir feil resultat med konsekvens for pasient. Dette inkluderer interne rutiner for å oppdage hendelsen, vurdere alvorlighet, dokumentere, varsle leverandør, varsle myndigheter ved alvorlig hendelse, og lære av det. Norske myndigheter — i hovedsak Nasjonal kommunikasjonsmyndighet (Nkom) som koordinerende tilsyn — vil sannsynligvis spille en sentral rolle.

Eksempel fra hverdagen

KI-røntgenmodulen overser en åpenbar karies klasse III i et bilde. Tannlegen oppdager dette ved manuell gjennomgang og overstyrer KI-en, men hendelsen logges fordi det indikerer en mulig systemsvikt. Klinikken vurderer alvorligheten, melder til leverandøren, og dokumenterer egen vurdering. Hvis lignende mønster gjentar seg flere ganger, vurderes om det skal meldes som alvorlig hendelse til myndighetene.

Hva som typisk må dokumenteres

  • Internt rutineverk for hendelsesoppfanging og vurdering

  • Logg over alle hendelser med vurdering av alvorlighet

  • Bevis for varsling til leverandør

  • Eventuell varsling til myndigheter

  • Læringspunkter og iverksatte forbedringer

Hvordan henger artiklene sammen

EU AI Act er ikke en sjekkliste. Artiklene henger sammen som et system: kompetanse (Art. 4) gjør det mulig å føre menneskelig kontroll (Art. 14), risikostyring (Art. 9) bygger på datakvalitet (Art. 10) og dokumentasjon (Art. 11), og hendelseshåndtering (Art. 72) avhenger av at logging (Art. 12) og overblikk (Art. 14) faktisk er på plass.

For en tannklinikk betyr det at det ikke er nok å oppfylle én artikkel om gangen. Styringsstrukturen må henge sammen, og må oppdateres løpende — ikke som engangsoppsett.

EU AI Act krever løpende styring, ikke engangsoppsett. Det er denne forskjellen som avgjør hvilken tilnærming som passer for klinikken.

Trenger du en konkret vurdering av hvilke artikler som gjelder for din klinikks KI-bruk? Ta kontakt med Actera.

Lawyer portrait photo

Relaterte artikler

Relaterte artikler

KI-styring og kvalitetssystem: hva er forskjellen — og hvorfor det betyr noe under EU AI Act

KI-styring og kvalitetssystem: hva er forskjellen — og hvorfor det betyr noe under EU AI Act

EU AI Act for tannklinikker: krav per artikkel, forklart

EU AI Act for tannklinikker: krav per artikkel, forklart

EU AI Act for tannklinikker: tre måter å løse det på

EU AI Act for tannklinikker: tre måter å løse det på

Redusere risiko ved KI i tannhelse

Redusere risiko ved KI i tannhelse

Læring etter hendelser der KI er brukt

Læring etter hendelser der KI er brukt

Når KI påvirker kliniske beslutninger indirekte

Når KI påvirker kliniske beslutninger indirekte

Undersøke hendelser der KI er involvert

Undersøke hendelser der KI er involvert

Avvikssystemer og KI i tannklinikk

Avvikssystemer og KI i tannklinikk

Når KI bidrar til feil i tannklinikk

Når KI bidrar til feil i tannklinikk

KI-styring og kvalitetssystem: hva er forskjellen — og hvorfor det betyr noe under EU AI Act

KI-styring og kvalitetssystem: hva er forskjellen — og hvorfor det betyr noe under EU AI Act

EU AI Act for tannklinikker: krav per artikkel, forklart

EU AI Act for tannklinikker: krav per artikkel, forklart

KI-styring og kvalitetssystem: hva er forskjellen — og hvorfor det betyr noe under EU AI Act

KI-styring og kvalitetssystem: hva er forskjellen — og hvorfor det betyr noe under EU AI Act

EU AI Act for tannklinikker: krav per artikkel, forklart

EU AI Act for tannklinikker: krav per artikkel, forklart

EU AI Act for tannklinikker: tre måter å løse det på

EU AI Act for tannklinikker: tre måter å løse det på