Hvornår anses en tandklinik som deployer efter EU AI-forordningen?

1. Kontekstualiserende indledning

EU AI-forordningen opererer med flere definerede aktørroller: leverandør, importør, distributør og deployer. I offentlig debat er der mest fokus på leverandøransvar. For tandklinikker er det imidlertid deployer-rollen, der er mest relevant.

En deployer er den, der bruger et AI-system under egen myndighed i professionel sammenhæng.

Mange tandklinikker benytter AI-baserede systemer udviklet af eksterne leverandører. Det kan skabe en opfattelse af, at ansvaret hovedsageligt ligger hos systemudvikleren. EU AI-forordningen præciserer, at dette ikke er tilstrækkeligt.

Spørgsmålet er derfor ikke, om klinikken har udviklet systemet selv, men om det anvendes som en del af egen virksomhed.

2. Operationel implikation

Hvis en tandklinik anses som deployer, indebærer det, at virksomheden har selvstændigt ansvar for, hvordan AI-systemet bruges i praksis.

Dette omfatter blandt andet:

• Brug i overensstemmelse med leverandørens tiltænkte formål.

• Etablering af menneskelig tilsyn, hvor det kræves.

• Overvågning af systemets ydeevne i faktisk brug.

• Håndtering af afvigelser.

• Intern forankring af ansvar.

Det afgørende er ikke ejerskab til teknologien, men kontrol over anvendelsen.

For klinikejer og ledelse indebærer deployer-rollen et ledelsesansvar, som ikke kan outsources.

3. Analytiske hovedpunkter

3.1 Juridisk definition versus operationel realitet

EU AI-forordningen definerer en deployer som den fysiske eller juridiske person, der bruger et AI-system i professionel sammenhæng.

Inden for tandpleje betyder dette, at:

• Klinikken er deployer, når AI bruges i diagnostik, journalføring, administration eller anden virksomhedsdrift.

• Den enkelte behandler handler under klinikkens organisatoriske rammer.

• Ansvar ikke kan individualiseres væk fra virksomheden.

Det er den organisatoriske anvendelse, der er afgørende, ikke hvem der klikker på knappen.

3.2 Skellet mellem leverandøransvar og brugervirksomhedens ansvar

Leverandøren har ansvar for udvikling, overensstemmelsesvurdering og dokumentation knyttet til systemet som produkt.

Deployer har ansvar for:

• Implementering i egen virksomhed.

• Korrekt brug.

• Menneskelig kontrol.

• Intern oplæring.

• Kontekstspecificeret risikovurdering.

At et system er CE-mærket fritager ikke klinikken fra ansvar for, hvordan det bruges i behandlingssituationer.

Ansvar opstår i brug.

3.3 Ikke-delegerbart ledelsesansvar

Deployer-rollen kan ikke opløses mellem ansatte.

Selvom den behandlende tandlæge har klinisk beslutningsansvar, ligger det overordnede ledelsesansvar hos virksomhedens ledelse.

Dette indebærer, at ledelsen skal:

• Have overblik over hvilke AI-systemer der anvendes.

• Have defineret rammer for brug.

• Have etableret struktur for menneskeligt tilsyn.

• Have dokumenteret ansvarsplacering.

Hvis deployer-rollen ikke er eksplicit forankret, opstår et ansvarsvakuum.

3.4 Dokumentationskrav og efterprøvbarhed

En deployer skal kunne redegøre for:

• Hvilke systemer der anvendes.

• Til hvilke formål.

• Hvem der har ansvar.

• Hvordan kontrol udøves.

• Hvordan afvigelser håndteres.

Dokumentation er ikke et tillægselement. Det er en del af deployer-rollen.

Uden dokumentation kan virksomheden vanskeligt vise, at kravene er forstået og operationaliseret.

3.5 Typiske fejltolkninger i klinisk praksis

Følgende misforståelser forekommer ofte:

• «Leverandøren har ansvaret.»

• «Dette er blot et støtteværktøj.»

• «Systemet er lovligt, derfor er brugen uproblematisk.»

• «Dette håndteres af IT.»

EU AI-forordningen skelner tydeligt mellem produktansvar og brugsansvar. Deployer-rollen gælder også ved støtteværktøjer, hvis disse indgår i professionel praksis.

Ansvar kan ikke reduceres til teknisk drift.

4. Intern afklaringsmatrice

Følgende forhold bør være eksplicit defineret internt:

1. Er klinikken at anse som deployer for hvert AI-system, der bruges?

2. Hvem har overordnet ansvar for deployer-rollen?

3. Hvordan er brugen forankret i ledelsen?

4. Hvordan sikres, at systemet bruges i overensstemmelse med det tiltænkte formål?

5. Hvordan udøves menneskeligt tilsyn?

6. Hvordan dokumenteres brug og opfølgning?

7. Hvordan håndteres ændringer i system eller brugsområde?

8. Hvordan håndteres hændelser eller fejl?

Hvis deployer-rollen ikke kan beskrives præcist, er den ikke tilstrækkeligt operationaliseret.

5. Afsluttende syntese

At være deployer efter EU AI-forordningen er ikke en formalitet. Det er en rolle med konkret ansvar.

For tandklinikker betyder dette, at AI-brug skal forstås som en del af virksomhedens ledelsesstruktur – ikke som et teknologisk tillæg.

Leverandøren leverer systemet.
Deployer bærer ansvaret for brugen.

En klinik, der eksplicit har defineret og dokumenteret sin deployer-rolle, reducerer risikoen for ansvarsglidning og styrker sin evne til at redegøre for praksis over for patienter, medier og tilsyn.