Lovlig bruk av KI-verktøy for røntgenanalyse i Norge

Lovlig bruk av KI-verktøy for røntgenanalyse i Norge

KI-baserte verktøy for røntgenanalyse blir stadig vanligere i tannhelse og andre bildediagnostiske miljøer. De kan støtte fagpersonen ved å peke på funn, strukturere observasjoner eller gi forslag til tolkning – ofte integrert i arbeidsflyten.

Samtidig oppstår uklarhet om hva som faktisk skal til for at bruk er «lovlig». Mange blander sammen leverandørens plikter (for eksempel produktkrav) med virksomhetens plikter (for eksempel journalføring, internkontroll og personvern), og antar at teknologiens modenhet i seg selv er tilstrekkelig.

Denne artikkelen forklarer hva lovlig bruk typisk innebærer i Norge, hvor ansvar og risiko oppstår i praksis, vanlige misforståelser – og hvilke styringsprinsipper som bør være på plass for at KI-støttet røntgenanalyse kan være forutsigbar, dokumenterbar og etterprøvbar over tid. 

Hva menes med KI-verktøy for røntgenanalyse?

I praksis omfatter «KI-verktøy for røntgenanalyse» flere typer funksjoner:

  • Funnstøtte og markering: Systemet markerer områder i bildet som kan indikere avvik, og foreslår hva det kan være.

  • Målinger og strukturering: Automatisert oppmåling, segmentering eller kategorisering av anatomiske strukturer.

  • Prioritering og arbeidsflyt: Sortering av bilder eller saker basert på sannsynlighet for avvik, for å støtte ressursbruk og oppfølging.

  • Dokumentasjonsstøtte: Forslag til formuleringer eller struktur i notat, basert på funn og bildegrunnlag.

I regulatorisk forstand er et nøkkelspørsmål om løsningen er programvare med medisinsk formål. Programvare som har medisinsk formål kan falle inn under regelverket for medisinsk utstyr, med krav til blant annet samsvarsvurdering og riktig tiltenkt bruk (intended purpose). 

Uavhengig av om løsningen er lokalt installert eller levert som tjeneste, berører den ofte helseopplysninger og dermed krav til forsvarlig behandling, tilgangsstyring og dokumentasjon. 

Hvor oppstår ansvarsspørsmålet?

Ansvar blir sjelden uklart fordi «KI finnes», men fordi KI griper inn i etablerte ansvars- og beslutningslinjer. Typiske situasjoner er:

  1. Overgangen mellom forslag og faglig vurdering
    Når KI leverer en anbefaling, må det være tydelig hva som er støtte, hva som er vurdering, og hvem som faktisk beslutter. Helsepersonell har dokumentasjonsplikt og plikt til forsvarlig yrkesutøvelse, og vurderinger kan ikke «flyttes» til et verktøy. 

  2. Når løsningen behandles som «bare programvare»
    Dersom verktøyet har medisinsk formål, kan det utløse forventninger til produktregulering (medisinsk utstyr). Da blir det vesentlig å avklare at løsningen er ment brukt til det klinikken faktisk gjør, og at bruken holder seg innenfor tiltenkt bruk. 

  3. Når bilde- og pasientdata flyttes ut av virksomheten
    Skybaserte analyser og eksterne tjenester gjør leverandørstyring og rolleavklaringer kritiske: hvem er behandlingsansvarlig, hvem er databehandler, hva er avtalt, og hvilke underleverandører inngår. Databehandleravtale er et sentralt kontrollpunkt der leverandør behandler opplysninger «på vegne av» virksomheten. 

  4. Når risiko endres over tid
    KI-verktøy kan oppdateres, modeller kan endres, og ytelse kan variere mellom pasientgrupper eller utstyrstyper. Da oppstår et driftsspørsmål: hvordan oppdages endringer, hvordan håndteres avvik, og hvordan kan virksomheten vise internkontroll dersom tilsyn spør. 

Vanlige misforståelser

«CE-merking betyr at klinikken er ferdig med ansvaret»

CE-merking (der det er relevant) sier noe om at produktet kan omsettes og at produsentens krav er oppfylt innenfor tiltenkt bruk. Det erstatter ikke virksomhetens ansvar for forsvarlig bruk, opplæring, lokale risikovurderinger, og hvordan resultatet faktisk inngår i kliniske beslutninger og journalføring. 

«Hvis leverandøren drifter alt, er leverandøren ansvarlig»

Ved bruk av eksterne tjenester er det lett å anta at ansvar følger drift. I personvernregelverket er det likevel virksomheten som vanligvis er behandlingsansvarlig for pasientopplysninger i egen tjeneste, og må sikre riktig rolleavklaring, avtalegrunnlag og kontroller over databehandler. 

«KI kan brukes så lenge det er en tannlege som klikker ‘godkjenn’»

Menneskelig involvering er nødvendig, men ikke alltid tilstrekkelig. Hvis arbeidsflyten gjør at KI-forslag i praksis blir fulgt rutinemessig, eller hvis det mangler dokumentert tilsyn, stikkprøver og avvikshåndtering, kan virksomheten ha svak etterprøvbarhet ved en uønsket hendelse. Dette er i hovedsak et styrings- og internkontrollspørsmål, ikke et knappetrykkspørsmål. 

«Personvern løses med en standard databehandleravtale»

Databehandleravtale er viktig, men må henge sammen med faktisk behandling: formål, dataminimering, tilgang, logging, sletting, underleverandører og sikkerhetstiltak. I mange tilfeller vil det også være relevant å vurdere personvernkonsekvenser (DPIA) når behandlingen kan innebære høy risiko. 

«AI Act avgjør alene om dette er lovlig»

AI Act (med trinnvis ikrafttredelse) vil påvirke styrings- og dokumentasjonsforventninger, særlig for høy-risiko KI og KI som inngår i medisinsk utstyr, men lovlig bruk i klinikk avgjøres fortsatt i et samspill mellom produktregler (medisinsk utstyr), helsekrav (forsvarlighet/journal), og personvern- og sikkerhetskrav. 

Hva bør være på plass i praksis?

Når ledelsen vurderer eller allerede bruker KI til røntgenanalyse, bør følgende typisk være definert og dokumentert i virksomhetens styringssystem:

  • Systemoversikt og formål
    Oversikt over hvilke KI-funksjoner som brukes, i hvilke steg i arbeidsflyten, og hva verktøyet ikke skal brukes til (avgrensning mot «utvidet» bruk utenfor tiltenkt formål). 

  • Klassifisering og leverandørdokumentasjon
    Avklaring av om løsningen er medisinsk utstyr (programvare med medisinsk formål), og hvilke produktforutsetninger som gjelder, inkludert bruksanvisning/forutsetninger og oppdateringsregime. 

  • Rolle- og ansvarsmodell
    Tydeliggjør hvem som er systemeier, hvem som er faglig ansvarlig for bruk, hvem som forvalter tilgang, og hvem som har mandat til å stoppe bruk ved avvik. Dette bør kobles til journalansvar og dokumentasjonsplikt i virksomheten. 

  • Personvern og leverandørstyring
    Rolleavklaring (behandlingsansvarlig/databehandler), databehandleravtale ved ekstern behandling, og kontroll på underleverandører. Ved sannsynlig høy risiko bør DPIA vurderes og dokumenteres som del av styringen. 

  • Menneskelig kontroll og beslutningsspor
    Beskriv hvordan KI skal brukes i vurdering, hvordan fagperson kan overstyre, og hvordan det håndteres når KI og fagperson er uenig. Dette bør være operativt (opplæring, stikkprøver, og tydelige stoppregler), ikke bare formuleringer. 

  • Logging, avvik og monitorering
    Rutiner for å oppdage feil, systematiske avvik og endringer ved oppdateringer. Målet er etterprøvbarhet: at virksomheten kan vise hva som ble gjort, hvorfor, og hvilke tiltak som ble iverksatt når noe ikke fungerte som forventet. 

  • Transparens i klinisk kontekst
    Vurder hva som er relevant å opplyse om til pasienter (på et forståelig nivå), og hva som bør være tilgjengelig ved tilsyn. Dette handler typisk om å kunne forklare verktøyets rolle og begrensninger, ikke om teknisk detaljering. 

Acteras rolle i dette

Actera er etablert for å gi tannhelsevirksomheter struktur rundt ansvarlig bruk av KI. 

Vi jobber ikke med teknologiutvikling eller kliniske beslutninger, men med styringsstruktur, ansvarslinjer og dokumentasjon – slik at KI kan brukes på en trygg, forutsigbar og etterprøvbar måte. 

Avsluttende betraktning

Lovlig bruk av KI-verktøy for røntgenanalyse i Norge handler i praksis om mer enn å «ta i bruk et verktøy». Det handler om å avklare formål, ansvar og rolle i beslutningsløpet, sikre personvern og leverandørkontroll, og etablere internkontroll som fungerer i drift.

KI kan være et faglig nyttig støtteledd, men bare når virksomheten kan vise at bruken er avgrenset, dokumentert og etterprøvbar – og at fagpersonen fortsatt har reell kontroll over vurdering og journalføring.

Lawyer portrait photo

Hva gjelder idag?

EU AI Act sine deployer-krav for høyrisiko-KI er utsatt til desember 2027. Kravene til AI-literacy, transparens, pasientinformasjon og journalføring gjelder allerede i dag.

Be om en vurdering

Artikkel 4 - AI-literacy.

Ansatte som bruker KI må ha tilstrekkelig kompetanse. I kraft siden februar 2025.

Artikkel 50 - transparens ved generativ KI.

Pasient skal informeres når generativ KI brukes i kommunikasjon eller dokumentasjon. Gjelder fra desember 2026.

Helsepersonellovens forklaringsplikt.

Pasient har rett til å forstå hva som inngår i behandlingen — også når KI er involvert.

Pasientjournalloven og GDPR.

Behandling av personopplysninger med KI krever rettslig grunnlag, dokumentasjon og menneskelig kontroll.

Helsetilsynets løpende tilsyn med journalføring

Gjelder uavhengig av AI Act.

Hva gjelder idag?

EU AI Act sine deployer-krav for høyrisiko-KI er utsatt til desember 2027. Kravene til AI-literacy, transparens, pasientinformasjon og journalføring gjelder allerede i dag.

Be om en vurdering

Artikkel 4 - AI-literacy.

Ansatte som bruker KI må ha tilstrekkelig kompetanse. I kraft siden februar 2025.

Artikkel 50 - transparens ved generativ KI.

Pasient skal informeres når generativ KI brukes i kommunikasjon eller dokumentasjon. Gjelder fra desember 2026.

Helsepersonellovens forklaringsplikt.

Pasient har rett til å forstå hva som inngår i behandlingen — også når KI er involvert.

Pasientjournalloven og GDPR.

Behandling av personopplysninger med KI krever rettslig grunnlag, dokumentasjon og menneskelig kontroll.

Helsetilsynets løpende tilsyn med journalføring

Gjelder uavhengig av AI Act.

Relaterte artikler

Relaterte artikler

EU AI Act utsatt til desember 2027 — dette gjelder fortsatt for tannklinikker

EU AI Act utsatt til desember 2027 — dette gjelder fortsatt for tannklinikker

Hvem har ansvar for å informere pasienten om KI-bruk i tannklinikken?

Hvem har ansvar for å informere pasienten om KI-bruk i tannklinikken?

KI-styring og kvalitetssystem: hva er forskjellen — og hvorfor det betyr noe under EU AI Act

KI-styring og kvalitetssystem: hva er forskjellen — og hvorfor det betyr noe under EU AI Act

EU AI Act for tannklinikker: krav per artikkel, forklart

EU AI Act for tannklinikker: krav per artikkel, forklart

EU AI Act for tannklinikker: tre måter å løse det på

EU AI Act for tannklinikker: tre måter å løse det på

Redusere risiko ved KI i tannhelse

Redusere risiko ved KI i tannhelse

Læring etter hendelser der KI er brukt

Læring etter hendelser der KI er brukt

Når KI påvirker kliniske beslutninger indirekte

Når KI påvirker kliniske beslutninger indirekte

Undersøke hendelser der KI er involvert

Undersøke hendelser der KI er involvert

EU AI Act utsatt til desember 2027 — dette gjelder fortsatt for tannklinikker

EU AI Act utsatt til desember 2027 — dette gjelder fortsatt for tannklinikker

Hvem har ansvar for å informere pasienten om KI-bruk i tannklinikken?

Hvem har ansvar for å informere pasienten om KI-bruk i tannklinikken?

EU AI Act utsatt til desember 2027 — dette gjelder fortsatt for tannklinikker

EU AI Act utsatt til desember 2027 — dette gjelder fortsatt for tannklinikker

Hvem har ansvar for å informere pasienten om KI-bruk i tannklinikken?

Hvem har ansvar for å informere pasienten om KI-bruk i tannklinikken?

KI-styring og kvalitetssystem: hva er forskjellen — og hvorfor det betyr noe under EU AI Act

KI-styring og kvalitetssystem: hva er forskjellen — og hvorfor det betyr noe under EU AI Act