EU AI Act utsatt til desember 2027 — dette gjelder fortsatt for tannklinikker

EU AI Act utsatt til desember 2027 — dette gjelder fortsatt for tannklinikker


Ingress

EU-institusjonene ble 7. mai 2026 enige om å utsette de viktigste delene av AI Act med over et år. Deployer-kravene for høyrisiko-KI gjelder først fra 2. desember 2027. For tannklinikker betyr det ikke at det er trygt å vente. En vesentlig del av regelverket — og samtlige norske helselover som regulerer KI-bruk i klinikk — gjelder uendret.

Hva ble besluttet 7. mai

Etter måneder med politisk press fra Tyskland, USA og store deler av europeisk industri kom Parlamentet og Rådet til enighet om en omnibus-pakke som forskyver de mest omfattende kravene i forordningen. Hovedendringene som påvirker virksomheter som tar i bruk KI er:

  • Deployer-kravene for stand-alone høyrisiko-KI utsettes fra 2. august 2026 til 2. desember 2027. Det omfatter risikohåndtering, datakvalitet, menneskelig tilsyn, logging, dokumentasjon og rapportering.

  • Høyrisiko-KI integrert i produkter (medisinsk utstyr, maskiner, leketøy) får frist 2. august 2028.Maskinforordningen tas helt ut av AI Act sin direkte anvendelse.

  • Transparensreglene for generativ KI (artikkel 50) trer i kraft 2. august 2026 som planlagt, men aktører som allerede har systemer på markedet får frist til 2. desember 2026 på å implementere merking og maskinlesbar metadata.

  • Nytt forbud mot KI-generert ikke-samtykkebasert seksualisert innhold og overgrepsmateriale mot barn (CSAM) legges inn i forordningen.

Avtalen er foreløpig politisk og må formelt ratifiseres. Datoene er imidlertid satt som faste — ikke betingede — frister. Det er liten realistisk sjanse for ytterligere utsettelser.

Hva som ikke endres

Det er enkelt å lese utsettelsen som en generell pause. Det er feil. Disse delene av regelverket er gjeldende eller trer i kraft som opprinnelig planlagt:

Artikkel 4 — AI-literacy. I kraft siden 2. februar 2025. Virksomheter som bruker KI-systemer skal sørge for at ansatte har tilstrekkelig kompetanse til å forstå hvordan systemene fungerer, hvilke begrensninger de har, og hvordan de skal brukes forsvarlig. Plikten gjelder uavhengig av risikoklassifisering.

Artikkel 5 — forbudte praksiser. I kraft siden 2. februar 2025. Omfatter blant annet manipulerende KI, sosial poengsetting og visse former for biometrisk kategorisering. Ikke alle praksiser er aktuelle for tannhelse, men forbudet gjelder for alle virksomheter.

Artikkel 50 — transparens for generativ KI. Gjelder fra 2. desember 2026. Pasienter skal informeres når de interagerer med generativ KI, og KI-generert innhold skal være merket. Dette har direkte konsekvenser for klinikker som bruker generative verktøy i pasientkommunikasjon, behandlingsplaner eller markedsføring.

Reglene for general-purpose AI (GPAI). Gjelder fra 2. august 2025 for nye modeller. Modeller på markedet før denne datoen må være compliant innen 2. august 2027.

Norsk regelverk gjelder uavhengig av AI Act

EU AI Act er ennå ikke innlemmet i norsk rett gjennom EØS-avtalen, men flere norske lover regulerer KI-bruk i tannklinikk direkte. Disse er ikke berørt av utsettelsen:

Helsepersonelloven stiller krav om at virksomheten skal organisere sin virksomhet forsvarlig. Når KI inngår i behandling eller dokumentasjon, må ansvarsforhold og kontrollrutiner være etablert.

Pasient- og brukerrettighetsloven gir pasient rett til informasjon om hva som inngår i behandlingen. Det inkluderer KI-baserte vurderinger, analyser eller forslag som påvirker beslutninger.

Pasientjournalloven og journalforskriften krever at journal er fullstendig, etterprøvbar og dokumenterer hva som faktisk er gjort. KI-genererte vurderinger må kunne identifiseres som sådanne.

Personvernforordningen (GDPR). All behandling av personopplysninger med KI krever rettslig grunnlag, klar formålsangivelse, dokumentasjon og forsvarlig sikring. Helseopplysninger er særlig kategori og krever særskilt grunnlag.

Helsetilsynets løpende tilsyn med journalføring og virksomhetsstyring gjennomføres uavhengig av AI Act. Mangelfull dokumentasjon av KI-bruk kan utløse tilsynssak på samme grunnlag som annen mangelfull journalføring.

Hva dette betyr i praksis

For en tannklinikk som allerede bruker KI — i røntgenanalyse, journalsystem, administrasjon eller generativ pasientkommunikasjon — er det fire områder hvor dagens regelverk kreves overholdt nå:

1. AI-literacy hos ansatte. Klinikken må kunne dokumentere at ansatte som bruker KI har fått tilstrekkelig opplæring. En onboardingsrutine, opplæringsplan eller signert kompetansebekreftelse er minimum.

2. Transparens overfor pasient. Pasient har rett til å vite at KI brukes i behandling eller kommunikasjon. Det krever forhåndsdefinerte formuleringer for samtykke, journalføring og venterom — særlig der generativ KI inngår.

3. Menneskelig kontroll. KI kan ikke være endelig beslutningstaker i klinisk vurdering. Klinikken må ha dokumenterte rutiner for når KI-output skal vurderes, godkjennes eller overstyres, og hvem som har myndighet til å gjøre det.

4. Ansvarsplassering. Når noe går galt — feil diagnose basert på KI-analyse, feilaktig pasientkommunikasjon, datalek — må det være klart hvem som har ansvar. Klinisk ansvar, organisatorisk ansvar og kontrollansvar skal være tydelig plassert.

Ingen av disse fire er utsatt til 2027. De er praktiske konsekvenser av regelverk som er gjeldende i dag.

Den vanlige misforståelsen

Den hyppigste tilbakemeldingen fra klinikker etter Omnibus-avtalen har vært en variant av: "Da kan vi vente til neste år før vi tar tak i dette."

Det er en logisk feilslutning av to grunner.

For det første er det bare deployer-pliktene for høyrisiko-KI som er utsatt. AI-literacy, transparens og forbudte praksiser er i kraft eller trer i kraft før utsettelsesdatoen. Norsk helselovgivning er upåvirket.

For det andre er etableringen av KI-struktur ikke en kortvarig oppgave som kan gjennomføres på noen uker rett før en frist. Kartlegging av faktisk bruk, plassering av ansvar, etablering av kontrollrutiner og opplæring av ansatte krever tid og fagforankring. Klinikker som starter i november 2027 vil ikke være ferdige til 2. desember.

For det tredje er klinikker som bruker generativ KI i pasientkommunikasjon eller administrasjon allerede eksponert for tilsyn etter dagens regelverk — ikke på grunn av AI Act, men på grunn av helsepersonelloven, pasientjournalloven og GDPR.

Hva en klinikk uten struktur bør gjøre nå

Det er ikke nødvendig — og sjelden hensiktsmessig — å bygge full deployer-compliance før den faktisk kreves. Det som er hensiktsmessig nå, er å etablere strukturen som dekker dagens krav, og som kan utvides mot 2027-kravene når de nærmer seg.

Det innebærer fire konkrete dokumenter eller rutiner:

  • Oversikt over KI-systemer i bruk, med bruksområde og ansvarsperson per system.

  • Overordnet retningslinje for KI-bruk, signert av virksomhetens ledelse.

  • Retningslinje for generativ KI, med klare grenser for hva som kan og ikke kan brukes.

  • Onboardingsrutine for AI-literacy, dokumentert per ansatt.

I tillegg bør pasientkommunikasjonen ha forhåndsdefinerte formuleringer som dekker forklaringsplikten og transparensplikten.

Dette er ikke en omfattende leveranse. Det er den minimumsstrukturen som tåler dagens spørsmål fra pasient, ledelse og tilsyn.

Avslutning

Utsettelsen av EU AI Act er en politisk lettelse for industrien, ikke en regulatorisk hvilepause. For tannhelsesektoren — som er en av få sektorer som ikke ble unntatt eller fikk særskilt forsinkelse — er bildet entydig: hovedsporet av regelverket trer i kraft i 2027, men flankene gjelder allerede.

Klinikker som har KI i drift uten dokumentert struktur står ikke "et år foran fristen". De står utenfor dagens krav. Den realistiske responsen er ikke å vente, men å etablere den strukturen som uansett må være på plass — og som blir vesentlig dyrere å bygge under tidspress senere.


Workshop som første steg

Actera Workshop etablerer ansvar, retningslinjer, pasientkommunikasjon og AI-literacy-dokumentasjon i én strukturert gjennomgang. Klinikken sitter igjen med en signaturklar dokumentpakke som dekker dagens gjeldende krav. Fast pris 9 999 NOK eks. mva.

Se workshop →

Lawyer portrait photo

Relaterte artikler

Relaterte artikler

EU AI Act utsatt til desember 2027 — dette gjelder fortsatt for tannklinikker

EU AI Act utsatt til desember 2027 — dette gjelder fortsatt for tannklinikker

Hvem har ansvar for å informere pasienten om KI-bruk i tannklinikken?

Hvem har ansvar for å informere pasienten om KI-bruk i tannklinikken?

KI-styring og kvalitetssystem: hva er forskjellen — og hvorfor det betyr noe under EU AI Act

KI-styring og kvalitetssystem: hva er forskjellen — og hvorfor det betyr noe under EU AI Act

EU AI Act for tannklinikker: krav per artikkel, forklart

EU AI Act for tannklinikker: krav per artikkel, forklart

EU AI Act for tannklinikker: tre måter å løse det på

EU AI Act for tannklinikker: tre måter å løse det på

Redusere risiko ved KI i tannhelse

Redusere risiko ved KI i tannhelse

Læring etter hendelser der KI er brukt

Læring etter hendelser der KI er brukt

Når KI påvirker kliniske beslutninger indirekte

Når KI påvirker kliniske beslutninger indirekte

Undersøke hendelser der KI er involvert

Undersøke hendelser der KI er involvert

EU AI Act utsatt til desember 2027 — dette gjelder fortsatt for tannklinikker

EU AI Act utsatt til desember 2027 — dette gjelder fortsatt for tannklinikker

Hvem har ansvar for å informere pasienten om KI-bruk i tannklinikken?

Hvem har ansvar for å informere pasienten om KI-bruk i tannklinikken?

EU AI Act utsatt til desember 2027 — dette gjelder fortsatt for tannklinikker

EU AI Act utsatt til desember 2027 — dette gjelder fortsatt for tannklinikker

Hvem har ansvar for å informere pasienten om KI-bruk i tannklinikken?

Hvem har ansvar for å informere pasienten om KI-bruk i tannklinikken?

KI-styring og kvalitetssystem: hva er forskjellen — og hvorfor det betyr noe under EU AI Act

KI-styring og kvalitetssystem: hva er forskjellen — og hvorfor det betyr noe under EU AI Act