EU AI Act för tandkliniker: krav per artikel, förklarat

EU AI Act för tandkliniker: krav per artikel, förklarade

Senast uppdaterad: april 2026

EU AI Act (AI-förordningen) träder i kraft den 2 augusti 2026, och förväntas införlivas i norsk rätt kort därefter via EES-avtalet. För tandkliniker som använder artificiell intelligens — i diagnostik, journalföring, administration eller patientkommunikation — ställer regelverket konkreta krav. Denna sida är en praktisk genomgång av de viktigaste artiklarna, översatt till vad de betyder i en tandkliniks vardag.

Om denna genomgång: Innehållet är Acteras praktiska tolkning av regelverket för tandvårdskontext. Den slutliga tolkningen avgörs av norska myndigheter när AI-lagen träder i kraft. För juridiska bedömningar, kontakta en advokat. Senast fackgranskat: april 2026.

Art. 4: AI-kompetens hos personal {#art-4}

Vad regelverket säger

Verksamheter som tar i bruk AI-system ska se till att personal som hanterar eller använder systemen har tillräcklig AI-kompetens — så kallad «AI literacy». Kravet gäller också andra personer som arbetar med AI-systemen på verksamhetens vägnar. Bestämmelsen trädde i kraft den 2 februari 2025.

Vad det betyder för en tandklinik

Alla anställda som använder eller berörs av AI-verktyg måste ha en grundläggande förståelse för vad systemen gör, hur de tolkar resultat och vilka begränsningar som gäller. Detta inkluderar tandläkare som använder AI-baserad röntgenanalys, tandsköterskor som använder AI-assisterade journalsystem och ledning som fattar beslut om inköp av AI-lösningar.

Exempel från vardagen

En tandläkare använder en AI-modul i röntgenprogramvaran som markerar misstänkta områden. Tandläkaren måste förstå att AI:n inte ställer diagnoser, utan ger förslag baserade på mönsterigenkänning — och att falska positiva och negativa förekommer. Tandsköterskan som administrerar systemet måste förstå att hon inte själv kan tolka markeringarna eller ge patienten svar utifrån dem.

Vad som typiskt behöver dokumenteras

• Vilka anställda som använder vilka AI-system

• Genomförd utbildning per system och datum

• Innehållet i utbildningen (korta beskrivningar räcker)

• Plan för uppdatering av kompetens vid nya system eller versioner

Art. 9: Riskhanteringssystem {#art-9}

Vad regelverket säger

För AI-system som klassificeras som högrisk ska ett riskhanteringssystem etableras som omfattar hela AI-systemets livscykel. Riskhanteringen ska vara kontinuerlig, dokumenterad och uppdateras regelbundet. Den ska identifiera kända och förutsebara risker, utvärdera dessa och vidta åtgärder för att minska dem.

Vad det betyder för en tandklinik

Många AI-verktyg som används i tandkliniker faller under kategorin medicinteknisk produkt — särskilt de som används i diagnostik eller behandlingsplanering. Dessa kommer typiskt att klassificeras som högrisk under EU AI Act. För kliniken betyder det att risker med AI-användningen måste bedömas löpande: vad kan gå fel, hur sannolikt är det, vilka konsekvenser får det och vilka åtgärder finns på plats.

Riskhantering är inte en engångsåtgärd. När kliniken byter leverantör, uppdaterar programvara, anställer nya personer eller tar i bruk nya AI-funktioner måste riskbilden bedömas på nytt.

Exempel från vardagen

Kliniken använder en AI-modul som föreslår kariesfynd baserat på röntgenbilder. Risker som måste bedömas: falska negativa (kariesfynd som förbises), falska positiva (onödig behandling), förändring i AI-modellens prestanda över tid, bristande utbildning av ny personal, systemavbrott. För varje risk: sannolikhet, konsekvens och vilken åtgärd kliniken har på plats.

Vad som typiskt behöver dokumenteras

• Identifierad riskbild per AI-system

• Bedömning av sannolikhet och konsekvens

• Åtgärder som vidtagits för att minska varje risk

• Datum för senaste genomgång

• Plan för nästa genomgång

• Vem som ansvarar för riskägarskapet i kliniken

Art. 10: Datakvalitet och datastyrning {#art-10}

Vad regelverket säger

Högrisk-AI-system ska byggas och användas med data som uppfyller krav på kvalitet — relevans, representativitet, frånvaro av fel och fullständighet för det avsedda ändamålet. Kravet riktar sig i första hand till leverantören av AI-systemet, men idrifttagaren (kliniken) har en skyldighet att säkerställa att egna data används inom de ramar som leverantören har specificerat.

Vad det betyder för en tandklinik

Kliniken måste förstå vilka data AI-systemet är tränat på och om det är representativt för klinikens patientgrupp. Om en röntgen-AI är tränad på vuxna patienter, men kliniken behandlar många barn, kan prestandan vara försämrad. Kliniken måste också bedöma om egna data — röntgenbilder, journalföring — kan användas för att träna eller förbättra AI:n, och vad som då krävs av samtycke och informationssäkerhet.

Exempel från vardagen

Leverantören av AI-röntgenmodulen uppger att systemet är validerat för vuxna patienter mellan 18 och 75 år. Kliniken måste dokumentera att de är medvetna om begränsningen, och att de använder manuell bedömning eller alternativa metoder för patienter utanför detta spann.

Vad som typiskt behöver dokumenteras

• Leverantörens specifikation av träningsdata och valideringspopulation

• Klinikens bedömning av om detta stämmer med den egna patientgruppen

• Rutiner för när AI:n inte ska användas eller ska kompletteras

• Om klinikens data delas med leverantören: rättslig grund, samtycke, personuppgiftsbiträdesavtal

Art. 11: Teknisk dokumentation {#art-11}

Vad regelverket säger

Leverantören av högrisk-AI-system ska ta fram teknisk dokumentation innan systemet släpps på marknaden. Dokumentationen måste innehålla allt som krävs för att visa att systemet uppfyller kraven i förordningen. Idrifttagaren har en skyldighet att bevara den tekniska dokumentationen tillgänglig så länge systemet används.

Vad det betyder för en tandklinik

Kliniken måste aktivt begära och förvara leverantörens tekniska dokumentation. Detta är inte ett generellt personuppgiftsbiträdesavtal, utan specifik dokumentation av hur AI-systemet fungerar, vilken validering som har genomförts och vilka begränsningar som gäller. Vid tillsyn ska kliniken kunna visa upp detta för varje högrisk-AI-system som används.

Exempel från vardagen

Kliniken köper en AI-modul för kefalometrisk analys. Som del av upphandlingen begär de leverantörens tekniska dokumentation, valideringsrapport och bruksanvisning. Dokumenten lagras i klinikens system för AI-styrning, kopplade till systemets namn och det versionsnummer som är installerat.

Vad som typiskt behöver dokumenteras

• Leverantörens tekniska dokumentation per AI-system

• Versionsnummer på installerad programvara

• Bruksanvisning och eventuellt utbildningsmaterial

• Datum för mottagande och lagring

• Plan för uppdatering av dokumentation vid nya versioner

Art. 12: Händelseloggning {#art-12}

Vad regelverket säger

Högrisk-AI-system ska ha automatisk händelseloggning som möjliggör spårbarhet av systemets användning. Loggarna ska vara tillräckliga för att övervaka systemets prestanda, identifiera risker och bidra till granskning vid händelser. Idrifttagaren ska bevara loggarna så länge det är rimligt med tanke på systemets ändamål.

Vad det betyder för en tandklinik

AI-systemet måste logga användningen — vem som använde det, när och vad resultatet blev. Detta är i första hand en teknisk funktion i själva programvaran, men kliniken måste säkerställa att loggningen är aktiverad, att loggar sparas under tillräcklig tid och att de finns tillgängliga vid behov. För patientrelaterade loggar gäller också bevarandekrav enligt hälso- och sjukvårdslagstiftningen.

Exempel från vardagen

AI-röntgenmodulen loggar automatiskt varje gång en analys körs: datum, vilken användare som körde analysen, vilken bild som analyserades, vilket resultat AI:n gav och om tandläkaren överskred förslaget. Om en patient ställer frågor om en behandling sex månader senare kan kliniken gå tillbaka och se vad AI:n faktiskt föreslog den dagen.

Vad som typiskt behöver dokumenteras

• Bekräftelse på att händelseloggning är aktiverad per AI-system

• Hur länge loggar sparas

• Vem som har tillgång till loggarna

• Rutiner för genomgång av loggar vid händelser

Art. 13: Transparens och information till användare {#art-13}

Vad regelverket säger

Högrisk-AI-system ska utformas och utvecklas så att användarna — i klinikens fall, hälso- och sjukvårdspersonalen — kan tolka systemets resultat och använda dem på rätt sätt. Leverantören ska tillhandahålla en bruksanvisning som är klar, fullständig och begriplig.

Vad det betyder för en tandklinik

Kliniken måste se till att personalen faktiskt har läst och förstått bruksanvisningen för varje AI-system. Det räcker inte att den ligger i en pärm. Personalen måste veta hur resultaten ska tolkas, vilka begränsningar som gäller och hur osäkerhet eller funktionsfel ska hanteras.

Exempel från vardagen

Bruksanvisningen för AI-röntgenmodulen säger att systemet har 87 % sensitivitet för karies klass II, men 62 % för klass III. Tandläkarna måste känna till detta — så att de manuellt bedömer alla klass III-områden mer noggrant, oavsett vad AI:n markerar.

Vad som typiskt behöver dokumenteras

• Bekräftelse på att bruksanvisningen har granskats av personalen

• Eventuell intern sammanfattning eller vägledning baserad på bruksanvisningen

• När uppdateringar av bruksanvisningen har mottagits och spridits

Art. 14: Mänsklig översyn {#art-14}

Vad regelverket säger

Högrisk-AI-system ska utformas så att de kan övervakas effektivt av människor medan systemet används. Den människa som har översyn ska kunna förstå systemets kapacitet och begränsningar, vara uppmärksam på risken för automatiseringsbias, kunna tolka resultaten, kunna välja att inte använda systemet och kunna stoppa systemet vid behov.

Vad det betyder för en tandklinik

Tandläkaren måste alltid vara den som fattar det slutliga kliniska beslutet. AI kan föreslå, indikera eller markera — men kan aldrig ställa diagnos eller bestämma behandling på egen hand. Kliniken måste ha dokumenterade rutiner som säkerställer att mänsklig bedömning alltid sker, och att personalen är uppmärksam på risken att «lita blint på AI:n».

Exempel från vardagen

Kliniken har en rutin: alla AI-förslag ska verifieras av tandläkare innan de ingår i behandlingsplanen eller journalförs som fynd. Om tandläkaren åsidosätter AI:n dokumenteras motiveringen. Om tandläkaren accepterar AI-förslaget signeras det aktivt — inte automatiskt.

Vad som typiskt behöver dokumenteras

• Skriftliga rutiner för mänsklig kontroll per AI-system

• Vem som har översynsansvar

• Hur åsidosättande dokumenteras

• Periodisk genomgång av om rutinerna faktiskt följs

Art. 26: Idrifttagarens skyldigheter {#art-26}

Vad regelverket säger

Idrifttagaren — verksamheten som tar i bruk ett AI-system — har konkreta skyldigheter: att använda systemet i enlighet med bruksanvisningen, säkerställa mänsklig översyn, övervaka driften, bevara loggar, informera leverantör och myndigheter vid allvarliga händelser och, vid användning på arbetsplatsen, informera anställda.

Vad det betyder för en tandklinik

Kliniken — som idrifttagare — har ett självständigt ansvar som inte kan delegeras till leverantören. Även om en AI-leverantör har gjort sitt arbete, ansvarar kliniken för hur systemet används i praktiken, om personalen har tillräcklig kompetens och om rätt åtgärder vidtas vid fel eller händelser.

Exempel från vardagen

AI-leverantören skickar ut en uppdatering som ändrar hur systemet markerar fynd. Kliniken har skyldighet att bedöma ändringen, uppdatera internt utbildningsmaterial, informera personalen och dokumentera att ändringen har hanterats. Det är inte leverantörens ansvar att kliniken faktiskt gör detta.

Vad som typiskt behöver dokumenteras

• Klinikens utsedda ansvariga för AI-drift

• Rutiner för hantering av leverantörsuppdateringar

• Loggning av vidtagna åtgärder vid ändringar

• Informationsrutiner gentemot anställda om AI-användning

Art. 50: Informationsskyldighet gentemot patient {#art-50}

Vad regelverket säger

När personer interagerar med ett AI-system ska de informeras om detta — om det inte är uppenbart utifrån sammanhanget. För system som genererar eller manipulerar innehåll som liknar faktiskt innehåll gäller specifika informationskrav. Bestämmelsen riktar sig i första hand till leverantörer, men får konsekvenser för hur kliniken kommunicerar med patienter.

Vad det betyder för en tandklinik

Patienten ska kunna veta att AI används som en del av behandlingen, och vad det innebär för dem. Detta gäller oavsett om AI används i diagnostik (röntgenanalys), kommunikation (chattbot på webbplatsen) eller administration (automatiska påminnelser). Informationen måste vara tillgänglig på ett sätt som patienten kan förstå — inte begravd i en integritetspolicy.

Exempel från vardagen

Kliniken har ett avsnitt på webbplatsen om vilka AI-verktyg som används och hur. Vid första konsultationen nämns det muntligt om AI används i analysen av röntgen. Vid automatiska påminnelser via SMS eller chattbot står det tydligt att meddelandet har genererats av ett automatiserat system.

Vad som typiskt behöver dokumenteras

• Skriftlig information om AI-användning tillgänglig för patienten

• Rutiner för muntlig information vid relevant behandling

• Hur patienten kan ställa frågor eller reservera sig

• Plan för uppdatering när nya AI-verktyg tas i bruk

Art. 72: Händelsehantering och rapportering {#art-72}

Vad regelverket säger

Idrifttagaren av högrisk-AI-system ska anmäla allvarliga händelser till marknadstillsynsmyndigheten. En allvarlig händelse definieras brett och omfattar fel eller funktionssvikt som kan leda till skada på liv, hälsa, grundläggande rättigheter eller egendom. Rapportering ska ske inom fastställda tidsfrister.

Vad det betyder för en tandklinik

Kliniken måste ha beredskap för vad som händer om ett AI-system ger ett felaktigt resultat med konsekvens för patienten. Detta inkluderar interna rutiner för att upptäcka händelsen, bedöma allvarlighetsgrad, dokumentera, meddela leverantören, meddela myndigheter vid allvarlig händelse och dra lärdom av det. Norska myndigheter — i huvudsak Nasjonal kommunikasjonsmyndighet (Nkom) som samordnande tillsyn — kommer sannolikt att spela en central roll.

Exempel från vardagen

AI-röntgenmodulen missar en tydlig karies klass III i en bild. Tandläkaren upptäcker detta vid manuell genomgång och åsidosätter AI:n, men händelsen loggas eftersom den tyder på en möjlig systembrist. Kliniken bedömer allvarlighetsgraden, anmäler till leverantören och dokumenterar sin egen bedömning. Om ett liknande mönster upprepas flera gånger bedöms om det ska anmälas som allvarlig händelse till myndigheterna.

Vad som typiskt behöver dokumenteras

• Internt rutinsystem för identifiering och bedömning av händelser

• Logg över alla händelser med bedömning av allvarlighetsgrad

• Bevis för meddelande till leverantör

• Eventuell anmälan till myndigheter

• Lärdomar och vidtagna förbättringar

Hur artiklarna hänger ihop

EU AI Act är inte en checklista. Artiklarna hänger ihop som ett system: kompetens (Art. 4) gör det möjligt att utöva mänsklig kontroll (Art. 14), riskhantering (Art. 9) bygger på datakvalitet (Art. 10) och dokumentation (Art. 11), och händelsehantering (Art. 72) förutsätter att loggning (Art. 12) och översyn (Art. 14) faktiskt finns på plats.

För en tandklinik betyder det att det inte räcker att uppfylla en artikel i taget. Styrningsstrukturen måste hänga ihop och uppdateras löpande — inte som en engångsinstallation.

EU AI Act kräver löpande styrning, inte en engångsinstallation. Det är denna skillnad som avgör vilket angreppssätt som passar för kliniken.

Behöver du en konkret bedömning av vilka artiklar som gäller för din kliniks AI-användning? Kontakta Actera.