Tilsyn og KI-bruk: Hvilken dokumentasjon må tannklinikken kunne fremlegge?

1. Kontekstualiserende innledning

Bruk av kunstig intelligens i tannhelse inngår i virksomhetens samlede ansvar for pasientsikkerhet, journalføring og internkontroll.

EU AI Act skjerper kravene til dokumentasjon og tydeliggjør deployer-rollen. Samtidig vil eksisterende tilsynsmyndigheter kunne stille spørsmål om hvordan KI brukes, hvem som har ansvar og hvordan kontroll utøves.

Tilsyn er ikke et unntakstilfelle. Det er en del av normal virksomhetsstyring.

Spørsmålet er derfor ikke om tilsyn kommer, men om klinikken kan redegjøre for egen praksis.

2. Operasjonell implikasjon

Dersom en tannklinikk bruker KI-systemer, bør ledelsen kunne dokumentere:

• Hvilke systemer som brukes.

• Til hvilke formål.

• Hvordan ansvar er plassert.

• Hvordan menneskelig kontroll utøves.

• Hvordan avvik håndteres.

Tilsyn vil typisk rette seg mot struktur, ikke teknologiens indre funksjon.

Manglende oversikt er i seg selv et styringsproblem.

3. Analytiske hovedpunkter

3.1 Forventede spørsmål fra tilsynsmyndigheter

Ved tilsyn kan følgende spørsmål være relevante:

• Har klinikken oversikt over all KI-bruk?

• Hvem er deployer?

• Hvem har klinisk beslutningsansvar?

• Hvordan sikres menneskelig kontroll?

• Hvordan dokumenteres bruk og endringer?

• Hvordan håndteres feil eller avvik?

Dersom svarene er personavhengige eller uformelle, indikerer dette manglende struktur.

3.2 Dokumentasjon av ansvar og beslutningslinjer

Ansvarsplassering må være eksplisitt definert.

Dette innebærer:

• Identifisert overordnet ansvarlig i ledelsen.

• Avklart klinisk beslutningsansvar.

• Beskrevet rollefordeling mellom behandler og ledelse.

• Dokumentert deployer-rolle der relevant.

Tydelig ansvarsstruktur reduserer risiko for ansvarspulverisering ved hendelser.

3.3 Sporbarhet og endringslogg

KI-systemer kan oppdateres over tid. Bruksområde kan endres.

Derfor bør virksomheten kunne redegjøre for:

• Når systemet ble tatt i bruk.

• Hvilke versjoner som er brukt.

• Endringer i bruksområde.

• Oppdaterte risikovurderinger ved behov.

• Eventuelle hendelser eller avvik.

Sporbarhet er en del av etterprøvbarheten.

3.4 Begrepet tilsynsrobusthet

Tilsynsrobusthet innebærer at virksomheten kan forklare egen praksis uten å improvisere.

Dette forutsetter:

• Strukturert dokumentasjon.

• Klare roller.

• Definerte kontrollrutiner.

• Sammenheng mellom praksis og skriftlige rutiner.

Robusthet handler ikke om å ha omfattende dokumenter, men om å ha konsistente og forståelige strukturer.

3.5 Sammenhengen mellom intern styring og ekstern kontroll

Tilsyn er en ekstern manifestasjon av intern styring.

En klinikk som har:

• Kartlagt KI-bruk.

• Avklart deployer-rolle.

• Definert human oversight.

• Dokumentert ansvar og rutiner.

vil som regel være forberedt på tilsyn uten særskilte tiltak.

Tilsynsberedskap kan ikke etableres i etterkant av en henvendelse.

4. Intern avklaringsmatrise

Følgende forhold bør være dokumentert og lett tilgjengelig:

1. Fullstendig oversikt over KI-systemer i bruk.

2. Definert deployer-rolle der relevant.

3. Plassert ledelsesansvar.

4. Avklart klinisk beslutningsansvar.

5. Beskrevet human oversight-praksis.

6. Dokumentert opplæring av ansatte.

7. Rutiner for avvik og hendelser.

8. Endringslogg for systemer og praksis.

Dersom dokumentasjonen ikke kan fremlegges samlet, er tilsynsrobustheten begrenset.

5. Avsluttende syntese

KI-bruk i tannhelse er ikke unntatt ordinær virksomhetskontroll. Den inngår i den samlede styringsstrukturen.

Tilsyn vil ikke primært spørre om algoritmens oppbygning.
Det vil spørre om ansvar, kontroll og dokumentasjon.

En tannklinikk som har etablert struktur før spørsmål oppstår, står bedre rustet – både organisatorisk og regulatorisk.

Tilsynsrobusthet er et resultat av intern orden.