KI-styring og kvalitetssystem: hva er forskjellen — og hvorfor det betyr noe under EU AI Act
KI-styring og kvalitetssystem: hva er forskjellen — og hvorfor det betyr noe under EU AI Act
Sist oppdatert: april 2026
Når EU AI Act trer i kraft 2. august 2026, vil mange tannklinikker tenke at de allerede er godt rustet — fordi de har et kvalitetssystem på plass. Det er en forståelig antakelse. Kvalitetssystemer har vært det sentrale styringsverktøyet i norsk helsetjeneste i over 30 år, og de håndterer rutiner, avvik og pasientsikkerhet effektivt.
Men EU AI Act stiller en ny type krav som ikke kan løses gjennom eksisterende kvalitetssystem alene. Forskjellen er ikke åpenbar ved første øyekast, men den er strukturell — og den bestemmer hva klinikken faktisk må ha på plass innen august 2026.
To disipliner med ulik historie og ulikt formål
Kvalitetssystem og KI-styring løser to forskjellige problemer. Begge er nødvendige, men de overlapper ikke fullt ut.
Kvalitetssystem
Kvalitetssystem handler om å sikre at klinikkens rutiner er forutsigbare, sporbare og forbedrbare. Disiplinen vokste frem fra industriell kvalitetsledelse på 1980- og 90-tallet, og ble innført i norsk helsetjeneste gjennom internkontrollforskriften og senere forskrift om ledelse og kvalitetsforbedring i helse- og omsorgstjenesten.
Kjernen er at virksomheten skal ha skriftlige rutiner for hvordan ting gjøres, dokumentere når noe avviker fra rutinene, lære av avvik, og forbedre rutinene over tid. Det handler om prosesser — hvordan klinikken arbeider.
KI-styring
KI-styring — eller AI governance — handler om å sikre at klinikken har kontroll over hvordan kunstig intelligens brukes, hvem som har ansvar når KI påvirker beslutninger, og hvordan dette kan forklares overfor pasient, tilsyn og andre. Disiplinen er ny: den vokste frem internasjonalt fra rundt 2018, drevet av at KI begynte å brukes i beslutningskritiske sammenhenger uten klare ansvarslinjer.
EU AI Act er det første omfattende regelverket som setter krav til denne disiplinen. Kjernen er at virksomheten skal ha kontroll over teknologien — hvilke KI-systemer som brukes, hvordan de brukes, hva som skjer når de feiler, og hvordan menneskelig overblikk faktisk ivaretas.
Hva forskjellen betyr i praksis
Det enkleste er å se på konkrete spørsmål en klinikk kan møte — og hvilken disiplin som faktisk svarer på spørsmålet.
«Hvordan håndterer dere avvik fra avtalt rutine for sterilisering?»
Dette er et klassisk kvalitetssystem-spørsmål. Klinikken har en skriftlig rutine, et avvikssystem, og en gjennomgang av læringspunkter. Et godt kvalitetssystem håndterer dette uten problemer.
«Hvis en pasient spør hvordan KI-en analyserte røntgenet hennes, hva svarer dere?»
Dette er et KI-styring-spørsmål. Det handler om transparens (Art. 13 i EU AI Act), pasientinformasjon (Art. 50), og forklarbarhet av modellens arbeidsmåte. Et kvalitetssystem som ikke spesifikt er bygget for KI-bruk vil ikke ha svar på dette.
«Hvis tilsynet ber om logger over alle KI-anbefalinger siste 12 måneder, hva viser dere?»
Også KI-styring. Dette dreier seg om hendelseslogging (Art. 12) og evnen til å demonstrere menneskelig overblikk (Art. 14). Kvalitetssystem dekker normalt ikke krav til automatisk teknisk logging av hva en KI-modell har foreslått.
«Hva skjer hvis en KI-leverandør oppdaterer modellen og endrer hvordan funn markeres?»
Dette krysser begge disipliner. Den prosessuelle siden — hvordan oppdateringer håndteres internt — kan dekkes av kvalitetssystem. Den substansielle siden — vurdering av om endringen påvirker klinikkens risikobilde, om personellet trenger ny opplæring (Art. 4), og om dokumentasjonen må oppdateres (Art. 11) — er KI-styring.
Sammenligning av de to disiplinene
Dimensjon | Kvalitetssystem | KI-styring |
|---|---|---|
Etablert i norsk helsesektor | Siden 1990-tallet | Ny disiplin, formaliseres med EU AI Act |
Hovedfokus | Rutiner og prosesser | Teknologi og beslutningsstøtte |
Sentrale objekter | Aktiviteter, avvik, forbedringer | KI-systemer, modelladferd, ansvarsfordeling |
Typiske dokumenter | Prosedyrer, sjekklister, avviksrapporter | Risikoregister, leverandørdokumentasjon, hendelseslogger |
Ansvarsfordeling | Linjeansvar for prosess | Spesifikt utpekt KI-eierskap per system |
Hva som overvåkes | Etterlevelse av interne rutiner | Modellens ytelse og menneskelig kontroll |
Reguleres av | Internkontrollforskrift, helselovgivning | EU AI Act, kommende KI-lov |
Endringsdrivere | Avviksanalyse og kvalitetsutvikling | Modelloppdateringer, regelverksendringer, hendelser |
Tabellen viser at disiplinene ikke er motsetninger — de adresserer ulike lag av klinikkens drift. Et velfungerende kvalitetssystem har mye å bidra med når KI-styring skal etableres, men det kan ikke erstatte den.
Hvorfor sammenblandingen oppstår
Det er to grunner til at klinikker ofte forveksler de to.
Etablerte leverandører utvider markedsføringen
Flere norske kvalitetssystem-leverandører har de siste årene begynt å markedsføre at deres systemer dekker «trygg bruk av KI». I praksis betyr det ofte at systemet har en funksjon for å registrere hvilke KI-verktøy klinikken bruker, og kanskje noen ferdige risikomaler. Det er nyttig — men det er én delkomponent av hva EU AI Act krever (delvis dekning av Art. 11), ikke et fullt KI-styringssystem.
Markedsføringsspråket er forståelig, men det skaper falsk trygghet. En klinikk som tror den er compliant fordi den har registrert KI-verktøyene sine i kvalitetssystemet, vil oppdage gapet først ved et tilsyn — eller ved en hendelse.
Kategori-vokabularet er ennå ikke etablert i Norge
Internasjonalt er begrepene «AI governance», «AI compliance management» og «AI risk management» relativt etablerte. På norsk er vokabularet under utvikling. Det betyr at både klinikker, leverandører og myndigheter snakker forbi hverandre — der noen mener «vi bruker KI på en god måte», mener andre «vi har et formelt rammeverk for KI-styring som oppfyller EU AI Act».
Inntil norsk fagspråk stabiliserer seg, må klinikken vurdere konkret leveranse — ikke etiketter.
Hva som kreves av et fullt KI-styringssystem
For å være tydelig på hva et KI-styringssystem faktisk dekker — og dermed hva et kvalitetssystem alene ikke dekker — er dette de sentrale komponentene EU AI Act krever:
Kompetansekartlegging og opplæring av alt personell som bruker KI (Art. 4)
Løpende risikostyring av hvert KI-system gjennom hele livssyklusen (Art. 9)
Datastyring med vurdering av hvorvidt klinikkens pasientpopulasjon samsvarer med leverandørens valideringspopulasjon (Art. 10)
Forvaltning av teknisk dokumentasjon per KI-system og per versjon (Art. 11)
Sikring av at hendelseslogging er aktivert og oppbevares forsvarlig (Art. 12)
Tolkningsstøtte som sikrer at personell forstår modellens kapasitet og begrensninger (Art. 13)
Operasjonelle rutiner for menneskelig overblikk og overstyring (Art. 14)
Dokumentert ansvarsfordeling med utpekt KI-ansvarlig i klinikken (Art. 26)
Pasientinformasjon om KI-bruk som er tilgjengelig og forståelig (Art. 50)
Hendelseshåndtering og rapporteringsberedskap for alvorlige hendelser (Art. 72)
Et eksisterende kvalitetssystem dekker typisk deler av Art. 11 (registrering av systemer i bruk) og kan utvides med risikomaler relatert til Art. 9. Resten må etableres som egen disiplin.
Tre prinsipper for hvordan disiplinene kan henge sammen
For klinikker som allerede har et fungerende kvalitetssystem, er det ikke et spørsmål om å erstatte noe. Det er et spørsmål om hvordan KI-styring kan etableres i tillegg, slik at de to disiplinene støtter hverandre uten å bli forvekslet.
Prinsipp 1: Behold kvalitetssystem som prosessramme
Klinikkens etablerte kvalitetssystem håndterer fortsatt rutiner, avvik og kvalitetsforbedring. Det er fortsatt der dokumenterte arbeidsprosesser ligger, og det er fortsatt der avviksrapporter behandles. KI-styring legges ved siden av, ikke i stedet for.
Prinsipp 2: Etabler KI-styring som egen disiplin med egne dokumenter
KI-styring trenger sine egne strukturer: risikoregister per KI-system, ansvarsmatrise for KI-eierskap, dokumentasjonsregister for leverandørtekniske dokumenter, hendelseslogger relatert til KI-feil, og oppdateringsplaner ved modellendringer. Disse kan oppbevares i samme system som kvalitetssystem rent praktisk, men de må være tydelig identifiserbare som KI-styringsdokumenter.
Prinsipp 3: Knytt disiplinene sammen der de overlapper
Når en KI-relatert hendelse skjer — for eksempel at et KI-system gir feil resultat — utløses begge disipliner. Avviket håndteres i kvalitetssystemet, og den KI-spesifikke vurderingen (om det skal varsles til myndigheter under Art. 72, om risikobildet må oppdateres, om bruksanvisningen er fulgt) håndteres i KI-styringssystemet. De to må kunne henvise til hverandre, men de er ikke samme dokument.
Konsekvensen for klinikker som planlegger nå
Klinikker som starter compliance-arbeidet med utgangspunkt i sitt eksisterende kvalitetssystem alene, vil typisk dekke mellom 10 og 25 prosent av kravene under EU AI Act. Det er ikke null — men det er heller ikke i nærheten av tilstrekkelig.
KI-styring kan integreres i klinikkens kvalitetssystem som en separat modul, men kan ikke erstattes av eksisterende kvalitetssystem-funksjoner alene. Forskjellen mellom de to disiplinene er ikke en formalitet — den avgjør om klinikken faktisk har det som EU AI Act krever, eller bare tror den har det.
For klinikker som vurderer hvilken type bistand de trenger, er det første spørsmålet derfor ikke «hvilket verktøy skal vi velge?» — men «forstår vi forskjellen på å registrere KI-bruk og å styre den?»
For en konkret vurdering av hvilke deler av KI-styring din klinikk allerede har på plass — og hva som mangler — ta kontakt med Actera.
