Sertifisering og samsvarsvurdering av KI-basert programvare

Sertifisering og samsvarsvurdering av KI-basert programvare

Ingress

KI-basert programvare brukes i økende grad i helsesektoren, også i tannhelse, både til kliniske og administrative formål. Når slike løsninger får betydning for pasientbehandling, kvalitet eller sikkerhet, aktualiseres krav til sertifisering og samsvarsvurdering.

Disse prosessene omtales ofte samlet, men har ulike formål og konsekvenser. Uklarhet rundt begrepene kan føre til feil antakelser om ansvar, lovlighet og faktisk bruk.

Denne artikkelen forklarer hva sertifisering og samsvarsvurdering av KI-basert programvare innebærer, hvordan kravene bør forstås i praksis, og hvilke begrensninger virksomheter må være oppmerksomme på.

Hva menes med KI-bruk i tannhelse?

KI-bruk i tannhelse omfatter programvare som analyserer data og genererer output som påvirker vurderinger, prioriteringer eller arbeidsprosesser. Dette kan være bildeanalyse, beslutningsstøtte, risikovarsler eller automatisert dokumentasjon.

Når programvaren er ment å brukes til medisinske formål, kan den omfattes av regelverk for medisinsk utstyr. I slike tilfeller utløses krav til samsvarsvurdering før løsningen kan tas i bruk.

Det avgjørende er bruksformålet. Den samme teknologien kan være uregulert i én kontekst og regulert i en annen, avhengig av hvordan den brukes i praksis.

Hvor oppstår ansvarsspørsmålet?

Ansvarsspørsmålet oppstår ofte i antakelsen om at sertifisering eller samsvarsvurdering flytter ansvaret bort fra virksomheten. I praksis er dette en forenkling.

Samsvarsvurdering innebærer at produsenten dokumenterer at programvaren oppfyller definerte krav til sikkerhet og ytelse for et spesifikt formål. Sertifisering kan inngå som del av denne prosessen, men dekker ikke bruken i en konkret klinisk kontekst.

Virksomhetens ansvar oppstår særlig når:

  1. Programvaren brukes utenfor sitt godkjente formål

  2. KI inngår i kliniske prosesser uten tydelig rolleavklaring

  3. Bruksmåte, tilpasninger eller integrasjoner ikke er vurdert

  4. Det mangler menneskelig kontroll og dokumentasjon i praksis

Samsvarsvurdering er dermed et nødvendig, men ikke tilstrekkelig, grunnlag for ansvarlig bruk.

Vanlige misforståelser

«Sertifisert programvare er alltid lovlig å bruke»

Sertifisering og samsvar gjelder for et definert formål. Bruk utenfor dette kan innebære at løsningen ikke lenger brukes i tråd med forutsetningene.

«Dette er produsentens ansvar alene»

Produsenten har ansvar for samsvarsvurdering. Virksomheten har ansvar for hvordan programvaren brukes, integreres og følges opp i praksis.

«Samsvarsvurdering dekker hele arbeidsflyten»

Vurderingen gjelder programvaren som produkt, ikke nødvendigvis samspillet med lokale rutiner, dataflyt eller organisatoriske forhold.

«Administrative KI-løsninger omfattes ikke»

Også ikke-klinisk programvare kan omfattes av krav, avhengig av hvordan den påvirker beslutninger, prioritering eller pasientrelaterte prosesser.

Hva bør være på plass i praksis?

For ansvarlig bruk av sertifisert eller samsvarsvurdert KI-basert programvare bør virksomheten ha:

– Oversikt over hvilke KI-løsninger som er underlagt samsvarsvurdering
– Forståelse av løsningens godkjente formål og begrensninger
– Avklarte roller og ansvar i bruk og oppfølging
– Menneskelig kontroll og reell mulighet for overstyring
– Dokumentasjon av bruk, integrasjoner og eventuelle avvik
– Rutiner for evaluering ved endringer i programvare eller praksis

Dette bidrar til at sertifisering fungerer som et sikkerhetsnivå, ikke som en erstatning for lokal styring.

Acteras rolle i dette

Actera er etablert for å gi tannhelsevirksomheter struktur rundt ansvarlig bruk av KI.

Vi jobber ikke med teknologiutvikling eller kliniske beslutninger, men med styringsstruktur, ansvarslinjer og dokumentasjon – slik at KI kan brukes på en trygg, forutsigbar og etterprøvbar måte.

Avsluttende betraktning

Sertifisering og samsvarsvurdering av KI-basert programvare er sentrale forutsetninger for lovlig og forsvarlig bruk. Samtidig løser de ikke ansvarsspørsmålet alene.

For tannhelsevirksomheter er det avgjørende å forstå hva vurderingene faktisk dekker – og hva de ikke dekker. Når regulatoriske krav kombineres med tydelig lokal styring, blir KI et kontrollerbart verktøy i praksis, ikke bare et godkjent produkt.

Lawyer portrait photo

Hva gjelder idag?

EU AI Act sine deployer-krav for høyrisiko-KI er utsatt til desember 2027. Kravene til AI-literacy, transparens, pasientinformasjon og journalføring gjelder allerede i dag.

Be om en vurdering

Artikkel 4 - AI-literacy.

Ansatte som bruker KI må ha tilstrekkelig kompetanse. I kraft siden februar 2025.

Artikkel 50 - transparens ved generativ KI.

Pasient skal informeres når generativ KI brukes i kommunikasjon eller dokumentasjon. Gjelder fra desember 2026.

Helsepersonellovens forklaringsplikt.

Pasient har rett til å forstå hva som inngår i behandlingen — også når KI er involvert.

Pasientjournalloven og GDPR.

Behandling av personopplysninger med KI krever rettslig grunnlag, dokumentasjon og menneskelig kontroll.

Helsetilsynets løpende tilsyn med journalføring

Gjelder uavhengig av AI Act.

Hva gjelder idag?

EU AI Act sine deployer-krav for høyrisiko-KI er utsatt til desember 2027. Kravene til AI-literacy, transparens, pasientinformasjon og journalføring gjelder allerede i dag.

Be om en vurdering

Artikkel 4 - AI-literacy.

Ansatte som bruker KI må ha tilstrekkelig kompetanse. I kraft siden februar 2025.

Artikkel 50 - transparens ved generativ KI.

Pasient skal informeres når generativ KI brukes i kommunikasjon eller dokumentasjon. Gjelder fra desember 2026.

Helsepersonellovens forklaringsplikt.

Pasient har rett til å forstå hva som inngår i behandlingen — også når KI er involvert.

Pasientjournalloven og GDPR.

Behandling av personopplysninger med KI krever rettslig grunnlag, dokumentasjon og menneskelig kontroll.

Helsetilsynets løpende tilsyn med journalføring

Gjelder uavhengig av AI Act.

Relaterte artikler

Relaterte artikler

EU AI Act utsatt til desember 2027 — dette gjelder fortsatt for tannklinikker

EU AI Act utsatt til desember 2027 — dette gjelder fortsatt for tannklinikker

Hvem har ansvar for å informere pasienten om KI-bruk i tannklinikken?

Hvem har ansvar for å informere pasienten om KI-bruk i tannklinikken?

KI-styring og kvalitetssystem: hva er forskjellen — og hvorfor det betyr noe under EU AI Act

KI-styring og kvalitetssystem: hva er forskjellen — og hvorfor det betyr noe under EU AI Act

EU AI Act for tannklinikker: krav per artikkel, forklart

EU AI Act for tannklinikker: krav per artikkel, forklart

EU AI Act for tannklinikker: tre måter å løse det på

EU AI Act for tannklinikker: tre måter å løse det på

Redusere risiko ved KI i tannhelse

Redusere risiko ved KI i tannhelse

Læring etter hendelser der KI er brukt

Læring etter hendelser der KI er brukt

Når KI påvirker kliniske beslutninger indirekte

Når KI påvirker kliniske beslutninger indirekte

Undersøke hendelser der KI er involvert

Undersøke hendelser der KI er involvert

EU AI Act utsatt til desember 2027 — dette gjelder fortsatt for tannklinikker

EU AI Act utsatt til desember 2027 — dette gjelder fortsatt for tannklinikker

Hvem har ansvar for å informere pasienten om KI-bruk i tannklinikken?

Hvem har ansvar for å informere pasienten om KI-bruk i tannklinikken?

EU AI Act utsatt til desember 2027 — dette gjelder fortsatt for tannklinikker

EU AI Act utsatt til desember 2027 — dette gjelder fortsatt for tannklinikker

Hvem har ansvar for å informere pasienten om KI-bruk i tannklinikken?

Hvem har ansvar for å informere pasienten om KI-bruk i tannklinikken?

KI-styring og kvalitetssystem: hva er forskjellen — og hvorfor det betyr noe under EU AI Act

KI-styring og kvalitetssystem: hva er forskjellen — og hvorfor det betyr noe under EU AI Act