KI governance i tannhelse: styring i praksis

KI governance i tannhelse: hva innebærer styring i praksis?

KI blir raskt en del av tannklinikkens hverdag – ikke bare i “store” kliniske løsninger, men også i tekst, planlegging, pasientdialog og kvalitetssikring. Mange av funksjonene er innebygget i verktøy klinikken allerede bruker, og tas i bruk gradvis uten at virksomheten opplever at den “innfører KI”.

Det er nettopp her governance blir relevant. Når KI påvirker arbeidsflyt, prioriteringer, formuleringer eller beslutningsgrunnlag, handler ledelsesansvaret ikke først og fremst om teknologi, men om styring: Hvem eier bruken, hvilke rammer gjelder, hvordan kontrolleres kvalitet, og hva kan forklares i ettertid?

Denne artikkelen forklarer hva KI governance betyr i tannhelse, hvor styringsbehovet typisk oppstår, og hva som bør være på plass for å gjøre KI-bruk forutsigbar, sporbar og håndterbar over tid.

Hva menes med KI governance?

KI governance (KI-styring) er virksomhetens måte å etablere roller, beslutninger, kontrollmekanismer og dokumentasjon for hvordan KI kan brukes – og hvordan risiko og avvik skal håndteres.

Det er nyttig å se governance som “rammen rundt bruken”, ikke som en teknisk implementasjon. I praksis overlapper governance ofte med KI-risikostyring. NISTs AI Risk Management Framework beskriver for eksempel GOVERN som en tverrgående funksjon som skal være “infusert” gjennom hele risikostyringen, og som knytter tekniske valg til virksomhetens prinsipper, policy og risikotoleranse. 

På samme måte er ISO/IEC 42001 laget som en standard for et styringssystem for KI (AIMS) – et sett med policy, mål og prosesser som skal gjøre ansvarlig bruk mulig på tvers av bruksområder. 

For tannklinikker betyr governance typisk å ha kontroll på:

  • hvilke KI-bruksområder som er tillatt, og på hvilke vilkår

  • hvem som beslutter, eier og følger opp bruken

  • hvordan kvalitet, menneskelig kontroll og avvik håndteres

  • hvordan man dokumenterer slik at praksis kan etterprøves

Hvor oppstår ansvarsspørsmålet?

Ansvarsspørsmålet oppstår når KI “siver inn” i drift uten at styring følger med. Da blir det uklart hva som er besluttet, hva som bare har skjedd, og hvem som faktisk har mandat og plikt til å følge opp.

I tannhelse ser vi ofte fem gjentakende friksjonspunkter:

  1. Uklare beslutningslinjer ved innføring og endring
    Nye KI-funksjoner aktiveres i programvare, eller tas i bruk av enkeltpersoner fordi det gir tempo. Uten et definert beslutningspunkt (hvem godkjenner bruksområdet?) blir bruken personavhengig.

  2. Menneskelig kontroll blir en antakelse, ikke en mekanisme
    Mange tenker “vi har jo alltid en fagperson i loopen”. Men i praksis må menneskelig kontroll konkretiseres: Hvem skal overvåke, hva er stoppkriterier, og har vedkommende tid og kompetanse? EU AI Act peker eksplisitt på krav om human oversight for høyrisiko-bruk, både hos deployere og som del av governance-logikk. 

  3. Sporbarhet og logging mangler når det trengs
    Når noe går galt – feilinformasjon til pasient, avvik i dokumentasjon, eller systematiske skjevheter – blir spørsmålet: Kan vi vise hva som skjedde, og hvorfor? For deployere av høyrisiko KI beskrives også loggplikt (minst seks måneder) som en del av pliktene. 

  4. Tredjepart og innebygd KI skaper falsk trygghet
    “Dette er leverandørens ansvar” er en vanlig mental modell. Men virksomheten må fortsatt styre egen bruk: bruksområde, opplæring, kontroll, avvik og dokumentasjon. EU AI Act skiller tydelig mellom leverandør- og deployerforpliktelser. 

  5. Risiko vurderes for smalt (kun personvern eller kun klinikk)
    KI påvirker ofte flere risikodimensjoner samtidig: kvalitet på informasjon, arbeidsprosesser, kompetanse, pasientkommunikasjon, sikkerhet og etterprøvbarhet. OECDs KI-prinsipper løfter nettopp robusthet, transparens og ansvarlighet som varige styringskrav, uavhengig av bransje. 

Vanlige misforståelser

«Governance er et IT-prosjekt»

KI governance handler om virksomhetsstyring. IT kan være en viktig støtte, men governance må forankres i ledelse og linje: hvem bestemmer bruksområder, risikotoleranse, kontrollpunkter og hvordan avvik håndteres. NIST beskriver governance som koblingen mellom tekniske aktiviteter og organisasjonens mål, verdier og risikokultur. 

«Vi trenger governance bare hvis vi bruker klinisk KI»

Mye av KI-bruken i tannklinikker vil være “administrativ” eller kommunikativ: tekstutkast, oppsummeringer, planlegging og sortering. Disse bruksområdene kan likevel påvirke pasientopplevelse, dokumentasjonskvalitet og etterprøvbarhet. Governance er derfor relevant også ved lavere risikonivå – nettopp for å sikre at bruken ikke glir uten kontroll.

«En policy om ‘forsiktig bruk’ er governance»

Generelle retningslinjer er sjelden nok. Governance må omsettes til mekanismer: roller, godkjenning av bruksområder, opplæring, kontrollpunkter, logging/sporbarhet og rutiner for avvik. ISO/IEC 42001 beskriver styringssystem nettopp som en struktur av policy, mål og prosesser som skal kunne vedlikeholdes og forbedres over tid. 

«Leverandøren løser risikoen»

Leverandører kan levere dokumentasjon og funksjoner, men klinikken eier konteksten: hvilke data som brukes, hvem som bruker systemet, hvordan anbefalinger behandles, og hvordan man oppdager og håndterer feil. Deployere av høyrisiko KI har egne plikter knyttet til kompetent menneskelig oversikt, overvåking, input data og loggpraksis. 

«Governance betyr å bremse innovasjon»

Målet er ikke å stoppe bruk, men å gjøre den styrbar. OECD-prinsippene er eksplisitt formulert som en ramme for innovativ og tillitsverdig KI – med ansvarlighet, robusthet og transparens som forutsetninger for varig nytte. 

Hva bør være på plass i praksis?

For en tannklinikk er god KI governance ofte enklere enn det høres ut. Poenget er å etablere et minimum av struktur som tåler endring i verktøy, leverandører og bruksmønstre.

  • 1) Oversikt over KI-bruk (og hvor den er “innebygd”)
    En løpende oversikt over hvilke prosesser som påvirkes (journaltekst, pasientinformasjon, planlegging, analyse, kvalitet), hvilke systemer som inneholder KI-funksjoner, og hvilke data som berøres.

  • 2) Tydelige roller og beslutningspunkter
    Definer hvem som kan innføre/aktivere KI-funksjoner, hvem som godkjenner bruksområder, og hvem som eier oppfølging (avvik, endringer, internkontroll). Dette er kjernen i å flytte ansvar fra enkeltpersoner til virksomhet.

  • 3) Bruksregler og kontrollpunkter der risikoen faktisk oppstår
    Konkretiser når KI kan brukes, hva som alltid krever manuell faglig vurdering, og hva som er minimumskontroll før noe sendes, signeres eller brukes som grunnlag. For høyrisiko-kontekster er kravet om kompetent human oversight tydelig i EU AI Act. 

  • 4) Sporbarhet og dokumentasjon som kan forklares i ettertid
    Et minimum bør være at klinikken kan forklare: bruksområde, ansvarlig rolle, hvilke kontrollmekanismer som gjelder, og hvordan avvik håndteres. I høyrisiko-sammenheng omtales også krav til loggføring og oppbevaring som del av deployerpliktene. 

  • 5) Risiko- og avvikshåndtering tilpasset KI
    Etabler en enkel måte å fange opp systematiske feil, uønskede mønstre, misforståelser i pasientkommunikasjon, eller kvalitetsproblemer i dokumentasjon – og en rutine for å justere bruken (ikke bare “rette enkeltfeil”).

  • 6) Tredjepartsstyring og endringskontroll
    Når KI kommer via leverandør, bør governance dekke hva klinikken forventer av dokumentasjon, hvordan endringer i funksjonalitet håndteres, og hvordan klinikken sikrer at bruken fortsatt er innenfor definerte rammer.

  • 7) Kompetanse som del av styring, ikke engangskurs
    Governance forutsetter at de som utøver kontroll faktisk forstår begrensninger, typiske feilmodi og hva som skal trigge stopp/eskalering. EU AI Act beskriver at human oversight skal tildeles personer med nødvendig kompetanse, opplæring og myndighet. 

Acteras rolle i dette

Actera er etablert for å gi tannhelsevirksomheter struktur rundt ansvarlig bruk av KI.

Vi jobber ikke med teknologiutvikling eller kliniske beslutninger, men med styringsstruktur, ansvarslinjer og dokumentasjon – slik at KI kan brukes på en trygg, forutsigbar og etterprøvbar måte.

Avsluttende betraktning

KI governance i tannhelse handler i praksis om å gjøre noe som allerede skjer, styrbart: å flytte KI-bruk fra “uformell effektivisering” til en virksomhetspraksis med tydelige roller, kontrollpunkter og sporbarhet.

Når governance er på plass, blir det enklere å ta i bruk nye funksjoner med kontroll, håndtere avvik uten skyldplassering, og forklare praksis ved tilsyn eller intern gjennomgang. Det er også mer robust over tid – fordi det ikke forutsetter at enkeltpersoner “husker å være forsiktige”, men at klinikken faktisk har etablert mekanismer som gjør ansvar og kontroll etterprøvbart. 

Lawyer portrait photo

Hva gjelder idag?

EU AI Act sine deployer-krav for høyrisiko-KI er utsatt til desember 2027. Kravene til AI-literacy, transparens, pasientinformasjon og journalføring gjelder allerede i dag.

Be om en vurdering

Artikkel 4 - AI-literacy.

Ansatte som bruker KI må ha tilstrekkelig kompetanse. I kraft siden februar 2025.

Artikkel 50 - transparens ved generativ KI.

Pasient skal informeres når generativ KI brukes i kommunikasjon eller dokumentasjon. Gjelder fra desember 2026.

Helsepersonellovens forklaringsplikt.

Pasient har rett til å forstå hva som inngår i behandlingen — også når KI er involvert.

Pasientjournalloven og GDPR.

Behandling av personopplysninger med KI krever rettslig grunnlag, dokumentasjon og menneskelig kontroll.

Helsetilsynets løpende tilsyn med journalføring

Gjelder uavhengig av AI Act.

Hva gjelder idag?

EU AI Act sine deployer-krav for høyrisiko-KI er utsatt til desember 2027. Kravene til AI-literacy, transparens, pasientinformasjon og journalføring gjelder allerede i dag.

Be om en vurdering

Artikkel 4 - AI-literacy.

Ansatte som bruker KI må ha tilstrekkelig kompetanse. I kraft siden februar 2025.

Artikkel 50 - transparens ved generativ KI.

Pasient skal informeres når generativ KI brukes i kommunikasjon eller dokumentasjon. Gjelder fra desember 2026.

Helsepersonellovens forklaringsplikt.

Pasient har rett til å forstå hva som inngår i behandlingen — også når KI er involvert.

Pasientjournalloven og GDPR.

Behandling av personopplysninger med KI krever rettslig grunnlag, dokumentasjon og menneskelig kontroll.

Helsetilsynets løpende tilsyn med journalføring

Gjelder uavhengig av AI Act.

Relaterte artikler

Relaterte artikler

EU AI Act utsatt til desember 2027 — dette gjelder fortsatt for tannklinikker

EU AI Act utsatt til desember 2027 — dette gjelder fortsatt for tannklinikker

Hvem har ansvar for å informere pasienten om KI-bruk i tannklinikken?

Hvem har ansvar for å informere pasienten om KI-bruk i tannklinikken?

KI-styring og kvalitetssystem: hva er forskjellen — og hvorfor det betyr noe under EU AI Act

KI-styring og kvalitetssystem: hva er forskjellen — og hvorfor det betyr noe under EU AI Act

EU AI Act for tannklinikker: krav per artikkel, forklart

EU AI Act for tannklinikker: krav per artikkel, forklart

EU AI Act for tannklinikker: tre måter å løse det på

EU AI Act for tannklinikker: tre måter å løse det på

Redusere risiko ved KI i tannhelse

Redusere risiko ved KI i tannhelse

Læring etter hendelser der KI er brukt

Læring etter hendelser der KI er brukt

Når KI påvirker kliniske beslutninger indirekte

Når KI påvirker kliniske beslutninger indirekte

Undersøke hendelser der KI er involvert

Undersøke hendelser der KI er involvert

EU AI Act utsatt til desember 2027 — dette gjelder fortsatt for tannklinikker

EU AI Act utsatt til desember 2027 — dette gjelder fortsatt for tannklinikker

Hvem har ansvar for å informere pasienten om KI-bruk i tannklinikken?

Hvem har ansvar for å informere pasienten om KI-bruk i tannklinikken?

EU AI Act utsatt til desember 2027 — dette gjelder fortsatt for tannklinikker

EU AI Act utsatt til desember 2027 — dette gjelder fortsatt for tannklinikker

Hvem har ansvar for å informere pasienten om KI-bruk i tannklinikken?

Hvem har ansvar for å informere pasienten om KI-bruk i tannklinikken?

KI-styring og kvalitetssystem: hva er forskjellen — og hvorfor det betyr noe under EU AI Act

KI-styring og kvalitetssystem: hva er forskjellen — og hvorfor det betyr noe under EU AI Act