Hvorfor er en isolert KI-policy utilstrekkelig i tannhelse?

1. Kontekstualiserende innledning

Når kunstig intelligens tas i bruk i en tannklinikk, er det naturlig å utarbeide en policy. Dokumentet kan beskrive formål, ansvar og overordnede prinsipper.

En policy kan være nødvendig. Den er sjelden tilstrekkelig.

EU AI Act og øvrige regulatoriske krav retter seg ikke bare mot dokumentasjon, men mot faktisk praksis. En statisk tekst kan ikke i seg selv sikre løpende kontroll, oppfølging og tilpasning.

Spørsmålet er derfor om virksomheten har en policy – eller om den har etablert governance.

2. Operasjonell implikasjon

En isolert KI-policy kan gi en opplevelse av kontroll. Uten operasjonalisering kan den likevel ha begrenset effekt.

Ledelsen bør derfor avklare:

• Hvordan policyen implementeres i praksis.

• Hvem som følger opp etterlevelse.

• Hvordan endringer håndteres.

• Hvordan nye systemer vurderes.

• Hvordan avvik fanges opp.

Governance innebærer kontinuerlig styring – ikke bare formalisering.

3. Analytiske hovedpunkter

3.1 Policy versus governance

En policy er et dokument.
Governance er en funksjon.

Policy kan beskrive:

• Prinsipper for bruk.

• Overordnet ansvarsplassering.

• Krav til menneskelig kontroll.

Governance omfatter:

• Løpende oppfølging.

• Evaluering av praksis.

• Oppdatering ved endringer.

• Integrasjon i internkontroll.

Uten governance blir policyen et statisk referansedokument.

3.2 Endringsdynamikk i KI-bruk

KI-systemer kan:

• Oppdateres teknisk.

• Endre funksjonalitet.

• Få nye bruksområder.

• Integreres i andre systemer.

En policy skrevet på ett tidspunkt kan raskt bli utdatert dersom ikke virksomheten har mekanismer for revisjon.

Governance må derfor inkludere:

• Rutiner for vurdering ved oppdateringer.

• Prosess for godkjenning av nye bruksområder.

• Periodisk gjennomgang av eksisterende praksis.

Teknologi utvikler seg. Styringen må følge med.

3.3 Revisjon og vedlikehold

En policy bør være gjenstand for:

• Planlagt revisjon.

• Dokumentert endringshistorikk.

• Tydelig versjonskontroll.

Videre bør ledelsen kunne svare på:

• Er policyen kjent blant ansatte?

• Er den implementert i praksis?

• Er det samsvar mellom tekst og faktisk bruk?

Uten vedlikehold mister policyen sin funksjon.

3.4 Ansvarsnivå og organisatorisk kompleksitet

I mindre klinikker kan governance-strukturen være enkel. I større virksomheter eller kjeder kan den være mer kompleks.

Uavhengig av størrelse bør følgende være definert:

• Hvem har overordnet ansvar?

• Hvem følger opp etterlevelse?

• Hvordan rapporteres avvik?

• Hvordan samordnes praksis på tvers av lokasjoner?

Governance må tilpasses virksomhetens kompleksitet.

3.5 Governance som integrert del av ledelsesansvar

KI-bruk bør ikke behandles som et separat prosjekt.

Den bør inngå i:

• Internkontroll.

• Risikovurdering.

• Pasientsikkerhetsarbeid.

• Kvalitetssystem.

Når KI-governance er integrert i eksisterende styringsstruktur, reduseres risiko for isolerte dokumenter uten praktisk effekt.

4. Intern avklaringsmatrise

Følgende forhold bør være eksplisitt definert:

1. Foreligger det en KI-policy?

2. Hvem har ansvar for oppfølging?

3. Hvordan revideres policyen?

4. Hvordan vurderes nye KI-systemer?

5. Hvordan håndteres systemoppdateringer?

6. Hvordan dokumenteres avvik?

7. Hvordan sikres opplæring og etterlevelse?

8. Hvordan integreres KI i internkontrollsystemet?

Dersom governance begrenser seg til et dokument, er styringen utilstrekkelig.

5. Avsluttende syntese

En KI-policy kan være et nødvendig utgangspunkt. Den er ikke et sluttpunkt.

EU AI Act og øvrig regulering forutsetter at virksomheten kan vise til faktisk struktur, ansvar og oppfølging.

Governance innebærer:

• Løpende vurdering.

• Dokumentert praksis.

• Integrert ledelsesansvar.

En tannklinikk som går fra dokument til funksjon, fra tekst til struktur, står bedre rustet til å håndtere både teknologisk utvikling og regulatoriske krav.

Policy kan vedtas.
Governance må utøves.