12 jan. 2026

Tredjeparts KI i tandklinik: vad kan inte outsourcas?

12 jan. 2026

Tredjeparts KI i tandklinik: vad kan inte outsourcas?

Tredjeparts KI-lösningar inom tandvård: vad kan inte outsourcas?

Tandkliniker använder sig i allt större utsträckning av KI-funktioner som tillhandahålls av externa aktörer – ofta som inbyggda delar av journalsystem, kommunikationsverktyg eller driftsystem.

När KI kommer ”färdig” från en leverantör, är det lätt att anta att ansvar också följer med. I praktiken uppstår oklarhet just i gränsytan mellan leverantörens produktansvar och klinikens ansvar för användning, kontroll och dokumentation.

Denna artikel förklarar vad som typiskt kan delegeras till tredje part, vad som inte kan outsourcas, och vilka styrningsprinciper som bör finnas på plats för att användningen ska kunna granskas över tid. 

Vad menas med KI-användning inom tandvård?

Inom tandvård är tredjeparts KI sällan en tydlig ”KI-lösning”. Oftare är KI-funktioner integrerade i tjänster kliniken redan använder, eller köps som tillägg som ger automatisering och stöd.

Typiska tredjepartsleveranser kan vara:

  • Text- och dokumentationsstöd (utkast, sammanfattning, strukturering, språkanpassning)

  • Arbetsflöde och prioritering (sortering av förfrågningar, uppgiftsförslag, kapacitetsstöd)

  • Kvalitets- och avvikelsesignaler (varningar om brister, inkonsekvens eller mönster)

  • Patientkommunikation (standardtexter, svarsförslag, översättningar)

I alla dessa fall är kärnan densamma: KI påverkar beslutsunderlag, formuleringar eller prioriteringar i klinikens arbete. Detta innebär att ansvaret inte kan förstås som en ”produktfråga” enbart, utan som en fråga om hur kliniken styr och använder funktionaliteten i praktiken. 

Var uppstår ansvarfrågan?

Ansvarfrågan blir särskilt tydlig när kliniken använder tredje parts KI utan att samtidigt etablera tydliga ramar för användning, kontroll och dokumentation.

Några återkommande situationer är:

  1. När KI används som “standardfunktion” utan lokal klarläggning
    Inbyggda funktioner kan aktiveras genom uppdateringar eller standardinställningar. Om kliniken inte har en beslutsplats för vad som är tillåtet användningsområde, blir ansvaret otydligt och personberoende.

  2. När leverantörens dokumentation inte svarar på klinikens styrningsbehov
    Leverantören kan dokumentera produkten, men kliniken måste fortfarande kunna förklara sin egen praxis: vilka användningsområden som är godkända, vem som kontrollerar, och hur avvikelser hanteras.

  3. När datakedjan blir komplex (underleverantörer och molntjänster)
    Tredjeparts KI innebär ofta flera led. För personuppgifter är det en grundläggande princip att verksamheten som bestämmer syfte och medel (behandlingsansvarig) inte kan “outsourca bort” sitt ansvar genom att använda en databehandlare. 

  4. När ”mänsklig kontroll” antas men inte operationaliserats
    Kliniken kan anta att yrkespersoner alltid bedömer och överskrider vid behov, men utan konkreta kontrollpunkter och roller blir detta varierande praxis. I EU AI Act beskrivs bland annat skyldigheter för “deployers” av högrisk-KI att säkerställa kompetent mänsklig tillsyn och använda systemet i enlighet med instruktioner. 

  5. När något går fel – och kliniken inte kan rekonstruera händelseförloppet
    I praktiken blir “ansvar” ofta en fråga i efterhand: Vilken funktion var aktiv? Vilket förslag gav systemet? Vem godkände? Vad ändrades? Utan spårbarhet blir det svårt att lära, korrigera och förklara – oavsett leverantör.

Vanliga missförstånd

«Ansvaret följer leverantören»

Leverantörer har ansvar för sin produkt och sin dokumentation, men kliniken har ansvar för hur lösningen används i egen verksamhet: användningsområden, roller, utbildning, kontrollpunkter och avvikelserhantering. Detta blir särskilt tydligt i EU AI Act, som skiljer mellan leverantörs- och deployerförpliktelser för högrisk-KI. 

«Om vi har ett avtal har vi outsourcat risken»

Ett avtal kan fördela leveranser och skyldigheter, men det ersätter inte klinikens behov av faktisk styrning. För personuppgifter är det också tydligt att organisationer kan outsourca behandlingar, men inte sitt ansvar och sina skyldigheter enligt GDPR. 

«Leverantörens certifiering eller “compliance” är tillräckligt»

Certifieringar och standarder kan vara relevanta signaler, men de säger lite om hur lösningen fungerar i klinikens konkreta användningsmönster. Ansvarfrågan uppstår ofta inte i leverantörens design, utan i klinikens arbetsflöde: vad används KI till, när ska man stoppa, och hur dokumenteras kontroll.

«Detta är bara en IT- och inköpsfråga»

Tredjeparts KI berör inköp och drift, men de mest krävande klargörandena är organisatoriska: vem godkänner användningsområden, vem utövar professionell kontroll, och vem äger avvikelser och förändringar. När styrningen reduceras till IT/inköp, blir professionellt ägarskap ofta oklart.

«Om systemet är inbyggt är det inte “vår KI”»

Inbyggda funktioner kan upplevas som ”bara en del av systemet”, men för ansvar och efterföljbarhet är det ändå klinikens praxis som är avgörande: vem som använder, till vad och under vilka ramar. Det är ofta här det uppstår ett glapp mellan verklig användning och dokumenterad styrning.

Vad bör vara på plats i praktiken?

När KI levereras av tredje part, bör kliniken i praktiken kunna visa att den har styrt användningen – inte bara skaffat ett verktyg. Ett nödvändigt minimum kan struktureras så här:

  • Kartlagd faktisk KI-användning i verksamheten
    Översikt över vilka system som har KI-funktioner (inklusive ”inbyggda” funktioner), vad de används till och vilka processer de påverkar. 

  • Tydliga roller, ansvar och beslutsmyndighet
    Definiera vem som kan aktivera nya funktioner, vem som godkänner användningsområden, och vem som äger uppföljning. I små kliniker kan detta samlas hos få personer, men rollerna bör vara explicita. 

  • Mänsklig kontroll och möjlighet till överskridande
    Kontrollen måste vara konkret: vad ska verifieras innan signering/utsändelse, vad är stoppkriterier, och vem har mandat att pausa användning vid avvikelser. För “deployers” av högrisk-KI i EU AI Act beskrivs skyldigheter kopplade till kompetent mänsklig tillsyn, användning enligt instruktioner och löpande övervakning. 

  • Dokumentation och spårbarhet
    Kliniken bör kunna förklara i efterhand: vilket användningsområde, vilken funktion, vem som godkände, och vilka kontrollmekanismer som gällde. För högrisk-KI nämns i EU AI Act även en skyldighet för “deployers” att bevara loggar som systemet genererar i minst sex månader (så länge loggarna är under deployers kontroll). 

  • Förklarbarhet för patienter och tillsynsmyndigheter
    Kliniken bör kunna beskriva på en praktisk nivå vad KI används till och vilka begränsningar och kontrollpunkter som finns. Det handlar om genomgripande granskning, inte tekniska detaljer. 

  • Tredjepartsstyrning som faktiskt täcker datakedjan
    Där personuppgifter behandlas, måste kliniken ha översikt över roller och kedjan (databehandlare/underleverantörer) och kunna dokumentera att detta hanteras som en del av verksamhetens ansvar. EDPB understryker att ansvaret främst ligger hos behandlingsansvarig, även när behandling outsourcas, och att behandlingsansvarig måste ha kontroll genom instruktioner och dokumentation. 

Acteras roll i detta

Actera är etablerad för att ge tandvårdsverksamheter struktur kring ansvarsfull användning av KI. 

Vi arbetar inte med teknologiutveckling eller kliniska beslut, utan med styrningsstruktur, ansvarslinjer och dokumentation – så att KI kan användas på ett säkert, förutsägbart och granskningsbart sätt. 

Avslutande betraktelse

Tredjeparts KI gör det möjligt att använda avancerad funktionalitet utan att bygga själv. Samtidigt förändrar det inte ett grundläggande faktum: kliniken äger användningen i sin egen kontext och måste kunna förklara hur KI påverkar praxis.

Det som inte kan outsourcas är därför inte “teknologin”, utan styrningen: beslutsställen, kontrollmekanismer, spårbarhet och ansvarslinjer som tål granskning. När detta är på plats blir även leverantörsanvändningen mer robust över tid – eftersom kliniken har en ram som hanterar förändringar, avvikelser och nya funktioner utan att ansvaret blir oklart.

Lawyer portrait photo
Lawyer portrait photo
Lawyer portrait photo

Relaterade artiklar

Relaterade artiklar

AI i journalföring: ansvar och dokumentation

AI i journalföring: ansvar och dokumentation

AI på tandkliniken: vem har ansvaret?

AI på tandkliniken: vem har ansvaret?

AI och patientinformation: spårbarhet och verifierbarhet

AI och patientinformation: spårbarhet och verifierbarhet

Business Intelligence inom tandvård: data som beslutsstöd

Business Intelligence inom tandvård: data som beslutsstöd

Avvik vid AI i tandklinik: ansvar och uppföljning

Avvik vid AI i tandklinik: ansvar och uppföljning

Tredjeparts KI i tandklinik: vad kan inte outsourcas?

Tredjeparts KI i tandklinik: vad kan inte outsourcas?

Dokumentation av AI-användning inom tandvården

Dokumentation av AI-användning inom tandvården

Mänsklig kontroll vid användning av KI på tandklinik

Mänsklig kontroll vid användning av KI på tandklinik

Ansvarsfull KI på tandklinik: vilka roller måste vara tydliga?

Ansvarsfull KI på tandklinik: vilka roller måste vara tydliga?

AI i journalföring: ansvar och dokumentation

AI i journalföring: ansvar och dokumentation

AI på tandkliniken: vem har ansvaret?

AI på tandkliniken: vem har ansvaret?

AI i journalföring: ansvar och dokumentation

AI i journalföring: ansvar och dokumentation

AI på tandkliniken: vem har ansvaret?

AI på tandkliniken: vem har ansvaret?

AI och patientinformation: spårbarhet och verifierbarhet

AI och patientinformation: spårbarhet och verifierbarhet