Når er en tannklinikk å anse som deployer etter EU AI Act?

1. Kontekstualiserende innledning

EU AI Act opererer med flere definerte aktørroller: leverandør, importør, distributør og deployer. I offentlig debatt vies størst oppmerksomhet til leverandøransvar. For tannklinikker er det imidlertid deployer-rollen som er mest relevant.

En deployer er den som bruker et KI-system under egen autoritet i profesjonell sammenheng.

Mange tannklinikker benytter KI-baserte systemer utviklet av eksterne leverandører. Det kan skape en oppfatning av at ansvar hovedsakelig ligger hos systemutvikleren. EU AI Act presiserer at dette ikke er tilstrekkelig.

Spørsmålet er derfor ikke om klinikken har utviklet systemet selv, men om den anvender det som del av egen virksomhet.

2. Operasjonell implikasjon

Dersom en tannklinikk anses som deployer, innebærer det at virksomheten har selvstendig ansvar for hvordan KI-systemet brukes i praksis.

Dette omfatter blant annet:

• Bruk i samsvar med leverandørens tiltenkte formål.

• Etablering av menneskelig tilsyn der det kreves.

• Overvåking av systemets ytelse i faktisk bruk.

• Håndtering av avvik.

• Intern forankring av ansvar.

Det avgjørende er ikke eierskap til teknologien, men kontroll over bruken.

For klinikkeier og ledelse innebærer deployer-rollen et styringsansvar som ikke kan outsources.

3. Analytiske hovedpunkter

3.1 Juridisk definisjon versus operasjonell realitet

EU AI Act definerer deployer som den fysiske eller juridiske personen som bruker et KI-system i profesjonell sammenheng.

I tannhelse betyr dette at:

• Klinikken er deployer når KI brukes i diagnostikk, journalføring, administrasjon eller annen virksomhetsdrift.

• Den enkelte behandler handler under klinikkens organisatoriske rammer.

• Ansvar ikke kan individualiseres bort fra virksomheten.

Det er den organisatoriske bruken som er avgjørende, ikke hvem som klikker på knappen.

3.2 Skillet mellom leverandøransvar og brukervirksomhetens ansvar

Leverandøren har ansvar for utvikling, samsvarsvurdering og dokumentasjon knyttet til systemet som produkt.

Deployer har ansvar for:

• Implementering i egen virksomhet.

• Korrekt bruk.

• Menneskelig kontroll.

• Intern opplæring.

• Kontekstspesifikk risikovurdering.

At et system er CE-merket fritar ikke klinikken fra ansvar for hvordan det brukes i behandlingssituasjoner.

Ansvar oppstår i bruk.

3.3 Ikke-delegerbart ledelsesansvar

Deployer-rollen kan ikke pulveriseres mellom ansatte.

Selv om behandlende tannlege har klinisk beslutningsansvar, ligger det overordnede styringsansvaret hos virksomhetens ledelse.

Dette innebærer at ledelsen må:

• Ha oversikt over hvilke KI-systemer som brukes.

• Ha definert rammer for bruk.

• Ha etablert struktur for menneskelig tilsyn.

• Ha dokumentert ansvarsplassering.

Dersom deployer-rollen ikke er eksplisitt forankret, oppstår et ansvarsvakuum.

3.4 Dokumentasjonskrav og etterprøvbarhet

En deployer må kunne redegjøre for:

• Hvilke systemer som brukes.

• Til hvilke formål.

• Hvem som har ansvar.

• Hvordan kontroll utøves.

• Hvordan avvik håndteres.

Dokumentasjon er ikke et tilleggselement. Det er en del av deployer-rollen.

Uten dokumentasjon kan virksomheten vanskelig vise at kravene er forstått og operasjonalisert.

3.5 Typiske feiltolkninger i klinisk praksis

Følgende misforståelser forekommer ofte:

• «Leverandøren har ansvaret.»

• «Dette er bare et støtteverktøy.»

• «Systemet er lovlig, derfor er bruken uproblematisk.»

• «Dette håndteres av IT.»

EU AI Act skiller tydelig mellom produktansvar og bruksansvar. Deployer-rollen gjelder også ved støtteverktøy, dersom disse inngår i profesjonell praksis.

Ansvar kan ikke reduseres til teknisk drift.

4. Intern avklaringsmatrise

Følgende forhold bør være eksplisitt definert internt:

1. Er klinikken å anse som deployer for hvert KI-system som brukes?

2. Hvem har overordnet ansvar for deployer-rollen?

3. Hvordan er bruken forankret i ledelsen?

4. Hvordan sikres at systemet brukes i samsvar med tiltenkt formål?

5. Hvordan utøves menneskelig tilsyn?

6. Hvordan dokumenteres bruk og oppfølging?

7. Hvordan håndteres endringer i system eller bruksområde?

8. Hvordan håndteres hendelser eller feil?

Dersom deployer-rollen ikke kan beskrives presist, er den ikke tilstrekkelig operasjonalisert.

5. Avsluttende syntese

Å være deployer etter EU AI Act er ikke en formalitet. Det er en rolle med konkret ansvar.

For tannklinikker innebærer dette at KI-bruk må forstås som en del av virksomhetens styringsstruktur – ikke som et teknologisk tillegg.

Leverandøren leverer systemet.
Deployer bærer ansvaret for bruken.

En klinikk som eksplisitt har definert og dokumentert sin deployer-rolle, reduserer risiko for ansvarsglidning og styrker sin evne til å redegjøre for praksis overfor pasienter, media og tilsyn.