EU AI Act for tannklinikker: Hvilke forhold må være strukturelt avklart?

1. Kontekstualiserende innledning

EU AI Act etablerer et felles regulatorisk rammeverk for bruk av kunstig intelligens i EU/EØS. For tannhelsevirksomheter innebærer dette ikke først og fremst nye teknologiske muligheter, men tydeligere krav til ansvar, struktur og dokumentasjon.

Mange tannklinikker benytter allerede KI-baserte systemer – i bildeanalyse, diagnostisk støtte, journalføring, administrasjon eller kommunikasjon. Bruken skjer ofte gradvis og fragmentert. EU AI Act gjør det nødvendig å samle denne praksisen i en eksplisitt styringsstruktur.

Reguleringen retter seg ikke bare mot utviklere og leverandører, men også mot virksomheter som tar systemene i bruk i profesjonell sammenheng. For klinikkeier, daglig leder og medisinsk faglig ansvarlig innebærer dette et tydelig plassert ledelsesansvar.

Denne mini-guiden avklarer fem forhold som bør være strukturelt definert før KI-bruk kan anses organisatorisk robust.

2. Operasjonell implikasjon

EU AI Act er risikobasert. Systemer som påvirker medisinske vurderinger eller beslutninger kan omfattes av kategorien høyrisikosystemer.

For tannklinikker betyr dette at:

• Virksomheten kan være å anse som deployer.

• Bruken må være i samsvar med systemets tiltenkte formål.

• Menneskelig tilsyn må være operasjonalisert.

• Dokumentasjon og sporbarhet må være etablert.

• Ansvar må være tydelig plassert på ledelsesnivå.

Et system kan være lovlig markedsført og korrekt CE-merket, men likevel være brukt på en måte som ikke er organisatorisk tilstrekkelig forankret i den enkelte klinikk.

Spørsmålet er derfor ikke bare om systemet er lovlig, men om bruken er strukturert.

3. Analytiske hovedpunkter

3.1 Avklaring av risikoklassifisering og faktisk bruk

Ledelsen må ha oversikt over:

• Hva systemet brukes til i praksis.

• Om bruken samsvarer med leverandørens definerte formål.

• Om bruken kan utløse høyrisikoklassifisering.

• Om systemet påvirker kliniske beslutninger direkte eller indirekte.

Administrativ støtte og klinisk beslutningsstøtte representerer ulike regulatoriske implikasjoner. Uten presis formålsavklaring blir risikovurderingen teoretisk.

3.2 Deployer-rollen og ledelsesansvar

En deployer er den som bruker et KI-system under egen autoritet i profesjonell sammenheng.

For en tannklinikk innebærer dette:

• Ansvar for korrekt implementering.

• Ansvar for at systemet brukes i samsvar med instruksjoner.

• Ansvar for menneskelig tilsyn.

• Ansvar for intern kontroll og oppfølging.

Leverandørens ansvar opphever ikke virksomhetens ansvar for faktisk bruk. Ansvaret kan heller ikke fordeles uformelt mellom enkeltbehandlere.

Det må være eksplisitt forankret.

3.3 Menneskelig tilsyn som struktur, ikke intensjon

EU AI Act forutsetter menneskelig kontroll over høyrisikosystemer.

I tannhelse innebærer dette blant annet:

• At KI ikke erstatter klinisk beslutningsmyndighet.

• At det finnes definerte terskler for overstyring.

• At behandlende tannlege har siste ord.

• At avvik identifiseres og håndteres systematisk.

Menneskelig tilsyn kan ikke være en antakelse. Det må være en etablert praksis.

3.4 Dokumentasjon og sporbarhet

Organisatorisk robusthet forutsetter dokumentasjon.

Dette omfatter:

• Oversikt over hvilke KI-systemer som brukes.

• Beskrivelse av bruksområde.

• Ansvarsplassering.

• Endringslogg ved oppdateringer.

• Rutiner for håndtering av avvik.

Dokumentasjon er en del av intern styring. Tilsynsberedskap er en konsekvens av struktur – ikke et separat tiltak.

3.5 Organisatorisk modenhet før videre implementering

Mange virksomheter vurderer nye KI-verktøy uten å ha kartlagt eksisterende bruk.

Før videre implementering bør ledelsen kunne svare presist på:

• Har vi fullstendig oversikt?

• Er ansvar tydelig plassert?

• Er human oversight definert?

• Er dokumentasjon etablert?

• Finnes en vurderingsprosess før anskaffelse?

Uten dette blir KI-bruk personavhengig og fragmentert.

4. Intern avklaringsmatrise

Følgende forhold bør være eksplisitt definert internt:

1. Hvilke KI-systemer brukes i klinikken?

2. Hva er deres faktiske formål?

3. Hvem har overordnet ansvar?

4. Hvem har klinisk beslutningsansvar?

5. Hvordan er menneskelig overstyring definert?

6. Hvordan dokumenteres bruk og endringer?

7. Hvordan vurderes nye systemer før implementering?

8. Hvordan håndteres feil og avvik?

Dersom ett eller flere punkter ikke kan besvares presist, foreligger et strukturelt avklaringsbehov.

5. Avsluttende syntese

EU AI Act introduserer ikke nødvendigvis nye oppgaver for tannklinikker. Den tydeliggjør eksisterende ansvar.

KI-bruk i tannhelse er ikke primært et teknologispørsmål. Det er et styringsspørsmål.

En klinikk som har avklart risikoklassifisering, deployer-rolle, menneskelig tilsyn, dokumentasjon og intern beslutningsstruktur, står bedre rustet – både organisatorisk og regulatorisk.

Teknologi kan implementeres raskt. Struktur må etableres bevisst.