Tredjeparts KI-løsninger i tannklinikk: hva kan ikke outsources?

Tannklinikker tar i økende grad i bruk KI-funksjoner som leveres av eksterne aktører – ofte som innebygde deler av journalsystemer, kommunikasjonsverktøy eller driftssystemer.

Når KI kommer “ferdig” fra en leverandør, er det lett å anta at ansvar også følger med. I praksis oppstår uklarhet nettopp i grenseflaten mellom leverandørens produktansvar og klinikkens ansvar for bruk, kontroll og dokumentasjon.

Denne artikkelen forklarer hva som typisk kan delegeres til tredjepart, hva som ikke kan outsources, og hvilke styringsprinsipper som bør være på plass for at bruken skal være etterprøvbar over tid. 

Hva menes med KI-bruk i tannhelse?

I tannhelse er tredjeparts KI sjelden én tydelig “KI-løsning”. Oftere er KI funksjonalitet pakket inn i tjenester klinikken allerede bruker, eller kjøpes som tillegg som gir automatisering og støtte.

Typiske tredjepartsleveranser kan være:

• Tekst- og dokumentasjonsstøtte (utkast, oppsummering, strukturering, språktilpasning)

• Arbeidsflyt og prioritering (sortering av henvendelser, oppgaveforslag, kapasitetsstøtte)

• Kvalitets- og avvikssignaler (varsler om mangler, inkonsistens eller mønstre)

• Pasientkommunikasjon (standardtekster, svarforslag, oversettelser)

I alle tilfeller er kjernen den samme: KI påvirker beslutningsgrunnlag, formuleringer eller prioriteringer i klinikkens arbeid. Det gjør at ansvaret ikke kan forstås som et “produktspørsmål” alene, men som et spørsmål om hvordan klinikken styrer og bruker funksjonaliteten i praksis. 

Hvor oppstår ansvarsspørsmålet?

Ansvarsspørsmålet blir særlig tydelig når klinikken tar i bruk tredjeparts KI uten at det samtidig etableres tydelige rammer for bruk, kontroll og dokumentasjon.

Noen gjentakende situasjoner er:

1. Når KI tas i bruk som “standardfunksjon” uten lokal avklaring
   Innebygde funksjoner kan aktiveres gjennom oppdateringer eller standardinnstillinger. Hvis klinikken ikke har et beslutningspunkt for hva som er tillatt bruksområde, blir ansvaret utydelig og personavhengig.

2. Når leverandørens dokumentasjon ikke svarer på klinikkens styringsbehov
   Leverandøren kan dokumentere produktet, men klinikken må fortsatt kunne forklare egen praksis: hvilke bruksområder som er godkjent, hvem som kontrollerer, og hvordan avvik håndteres.

3. Når datakjeden blir kompleks (underleverandører og skytjenester)
   Tredjeparts KI innebærer ofte flere ledd. For personopplysninger er det et grunnprinsipp at virksomheten som bestemmer formål og midler (behandlingsansvarlig) ikke kan “outsourc’e bort” sitt ansvar ved å bruke en databehandler. 

4. Når “menneskelig kontroll” antas, men ikke er operasjonalisert
   Klinikken kan anta at fagpersonell alltid vurderer og overstyrer ved behov, men uten konkrete kontrollpunkter og roller blir dette variabel praksis. I EU AI Act beskrives det for deployere av høyrisiko KI blant annet plikter knyttet til å sikre kompetent menneskelig tilsyn og å bruke systemet i tråd med instruksjoner. 

5. Når noe går galt – og klinikken ikke kan rekonstruere hendelsesforløpet
   I praksis blir “ansvar” ofte et etterspørsmål: Hva var aktiv funksjon? Hvilket forslag ga systemet? Hvem godkjente? Hva ble endret? Uten sporbarhet blir det vanskelig å lære, korrigere og forklare – uavhengig av leverandør.

Vanlige misforståelser

«Ansvar følger leverandøren»

Leverandører har ansvar for sitt produkt og sin dokumentasjon, men klinikken har ansvar for hvordan løsningen brukes i egen virksomhet: bruksområder, roller, opplæring, kontrollpunkter og avvikshåndtering. Dette blir særlig tydelig i EU AI Act, som skiller mellom leverandør- og deployerforpliktelser for høyrisiko KI. 

«Hvis vi har en kontrakt, har vi outsourcet risikoen»

En kontrakt kan fordele leveranser og plikter, men den erstatter ikke klinikkens behov for faktisk styring. Ved personopplysninger er det også tydelig at organisasjoner kan sette bort behandlingsaktiviteter, men ikke sitt ansvar og sine forpliktelser etter GDPR. 

«Leverandørens sertifisering eller “compliance” er nok»

Sertifiseringer og standarder kan være relevante signaler, men de sier lite om hvordan løsningen fungerer i klinikkens konkrete bruksmønster. Ansvarsspørsmålet oppstår ofte ikke i leverandørens design, men i klinikkens arbeidsflyt: hva brukes KI til, når skal man stoppe, og hvordan dokumenteres kontroll.

«Dette er bare et IT- og innkjøpsspørsmål»

Tredjeparts KI angår innkjøp og drift, men de mest krevende avklaringene er organisatoriske: hvem godkjenner bruksområder, hvem utøver faglig kontroll, og hvem eier avvik og endringer. Når styring reduseres til IT/innkjøp, blir faglig eierskap ofte uklart.

«Hvis systemet er innebygd, er det ikke “vår KI”»

Innebygde funksjoner kan oppleves som “bare en del av systemet”, men for ansvar og etterprøvbarhet er det likevel klinikkens praksis som er avgjørende: hvem som bruker, til hva, og under hvilke rammer. Det er ofte her det oppstår et gap mellom faktisk bruk og dokumentert styring.

Hva bør være på plass i praksis?

Når KI leveres av tredjepart, bør klinikken i praksis kunne vise at den har styrt bruken – ikke bare anskaffet et verktøy. Et nøkternt minimum kan struktureres slik:

• Kartlagt faktisk KI-bruk i virksomheten
  Oversikt over hvilke systemer som har KI-funksjoner (inkludert “innebygde” funksjoner), hva de brukes til, og hvilke prosesser de påvirker. 

• Tydelige roller, ansvar og beslutningsmyndighet
  Definer hvem som kan aktivere nye funksjoner, hvem som godkjenner bruksområder, og hvem som eier oppfølging. I små klinikker kan dette samles hos få personer, men rollene bør være eksplisitte. 

• Menneskelig kontroll og mulighet for overstyring
  Kontrollen må være konkret: hva skal verifiseres før signering/utsendelse, hva er stoppkriterier, og hvem har mandat til å pause bruk ved avvik. For deployere av høyrisiko KI i EU AI Act beskrives plikter knyttet til kompetent human oversight, bruk etter instruksjoner og løpende overvåking. 

• Dokumentasjon og sporbarhet
  Klinikken bør kunne forklare i ettertid: hvilket bruksområde, hvilken funksjon, hvem som godkjente, og hvilke kontrollmekanismer som gjaldt. For høyrisiko KI omtaler EU AI Act også plikt for deployere til å oppbevare logger som systemet genererer i minst seks måneder (så langt loggene er under deployers kontroll). 

• Forklarbarhet overfor pasienter og tilsynsmyndigheter
  Klinikken bør kunne beskrive på et praktisk nivå hva KI brukes til og hvilke begrensninger og kontrollpunkter som finnes. Dette handler om etterprøvbarhet, ikke tekniske detaljer. 

• Tredjepartsstyring som faktisk dekker datakjeden
  Der personopplysninger behandles, må klinikken ha oversikt over roller og kjede (databehandlere/underleverandører) og kunne dokumentere at dette er håndtert som en del av virksomhetens ansvarlighet. EDPB understreker at ansvarlighet primært ligger hos behandlingsansvarlig, også når behandling settes ut, og at behandlingsansvarlig må ha kontroll gjennom instrukser og dokumentasjon. 

Acteras rolle i dette

Actera er etablert for å gi tannhelsevirksomheter struktur rundt ansvarlig bruk av KI. 

Vi jobber ikke med teknologiutvikling eller kliniske beslutninger, men med styringsstruktur, ansvarslinjer og dokumentasjon – slik at KI kan brukes på en trygg, forutsigbar og etterprøvbar måte. 

Avsluttende betraktning

Tredjeparts KI gjør det mulig å ta i bruk avansert funksjonalitet uten å bygge selv. Samtidig endrer det ikke et grunnleggende faktum: Klinikken eier bruken i egen kontekst, og må kunne forklare hvordan KI påvirker praksis.

Det som ikke kan outsources er derfor ikke “teknologien”, men styringen: beslutningspunkter, kontrollmekanismer, sporbarhet og ansvarslinjer som tåler etterprøving. Når dette er på plass, blir også leverandørbruk mer robust over tid – fordi klinikken har et rammeverk som håndterer endringer, avvik og nye funksjoner uten at ansvaret blir uklart.