Tillsyn och AI-användning: Vilken dokumentation måste tandkliniken kunna uppvisa?

1. Kontextualiserande inledning

Användningen av artificiell intelligens inom tandvård ingår i verksamhetens samlade ansvar för patientsäkerhet, journalföring och internkontroll.

EU AI Act skärper kraven på dokumentation och tydliggör deployer-rollen. Samtidigt kan befintliga tillsynsmyndigheter ställa frågor om hur AI används, vem som har ansvar och hur kontrollen utövas.

Tillsyn är inte ett undantagsfall. Det är en del av normala verksamhetsstyrningen.

Frågan är därför inte om tillsyn sker, utan om kliniken kan redogöra för egen praxis.

2. Operativa implikationer

Om en tandklinik använder AI-system, bör ledningen kunna dokumentera:

• Vilka system som används.

• För vilka ändamål.

• Hur ansvar är fördelat.

• Hur mänsklig kontroll utövas.

• Hur avvikelser hanteras.

Tillsyn kommer typiskt att fokusera på struktur, inte på teknikens inre funktion.

Bristande översikt är i sig ett styrningsproblem.

3. Analytiska huvudpunkter

3.1 Förväntade frågor från tillsynsmyndigheter

Vid tillsyn kan följande frågor vara relevanta:

• Har kliniken överblick över all AI-användning?

• Vem är deployer?

• Vem har kliniskt beslutsansvar?

• Hur säkerställs mänsklig kontroll?

• Hur dokumenteras användning och förändringar?

• Hur hanteras fel eller avvikelser?

Om svaren är personberoende eller informella indikerar detta bristande struktur.

3.2 Dokumentation av ansvar och beslutslinjer

Ansvarsfördelning måste vara explicit definierad.

Detta innebär:

• Identifierad överordnad ansvarig i ledningen.

• Avklarat kliniskt beslutsansvar.

• Beskriven rollfördelning mellan behandlare och ledning.

• Dokumenterad deployer-roll där relevant.

Tydlig ansvarstruktur minskar risken för ansvarspulverisering vid händelser.

3.3 Spårbarhet och ändringslogg

AI-system kan uppdateras över tid. Användningsområde kan ändras.

Därför bör verksamheten kunna redogöra för:

• När systemet togs i bruk.

• Vilka versioner som används.

• Ändringar i användningsområde.

• Uppdaterade riskbedömningar vid behov.

• Eventuella händelser eller avvikelser.

Spårbarhet är en del av efterprövbarheten.

3.4 Begreppet tillsynsrobusthet

Tillsynsrobusthet innebär att verksamheten kan förklara egen praxis utan att improvisera.

Detta förutsätter:

• Strukturerad dokumentation.

• Tydliga roller.

• Definierade kontrollrutiner.

• Samband mellan praxis och skriftliga rutiner.

Robusthet handlar inte om omfattande dokument, utan om att ha konsekventa och förståeliga strukturer.

3.5 Sambandet mellan intern styrning och extern kontroll

Tillsyn är en yttre manifestation av intern styrning.

En klinik som har:

• Kartlagt AI-användning.

• Avklarat deployer-roll.

• Definierad mänsklig övervakning.

• Dokumenterat ansvar och rutiner.

är oftast förberedd för tillsyn utan särskilda åtgärder.

Tillsynsberedskap kan inte etableras i efterhand av en förfrågan.

4. Intern avklaringsmatris

Följande förhållanden bör vara dokumenterade och lättillgängliga:

1. Fullständig översikt över AI-system i bruk.

2. Definierad deployer-roll där relevant.

3. Placerat ledningsansvar.

4. Avklarat kliniskt beslutsansvar.

5. Beskriven mänsklig övervakningspraxis.

6. Dokumenterad utbildning av personal.

7. Rutiner för avvikelser och händelser.

8. Ändringslogg för system och praxis.

Om dokumentationen inte kan presenteras som helhet, är tillsynsrobustheten begränsad.

5. Avslutande syntes

AI-användning inom tandvård är inte befriad från vanlig verksamhetskontroll. Den ingår i den samlade styrningsstrukturen.

Tillsyn kommer inte primärt fråga om algoritmens uppbyggnad.
Den kommer fråga om ansvar, kontroll och dokumentation.

En tandklinik som har etablerat struktur innan frågor uppstår, står bättre rustad – både organisatoriskt och regulatoriskt.

Tillsynsrobusthet är ett resultat av intern ordning.