Norske virksomheter har AI-strategi – men har de AI-governance? 

Norske virksomheter har AI-strategi – men har de AI-governance? 

Norske virksomheter AI strategi

Mange norske virksomheter har de siste årene laget AI-strategier. De har identifisert muligheter, definert ambisjoner og pekt ut områder hvor kunstig intelligens kan skape verdi. Men en strategi alene styrer ikke bruken av AI. 

Spørsmålet ledere bør stille seg er derfor ikke om virksomheten har en AI-strategi. Spørsmålet er om virksomheten har kontroll på hvordan AI faktisk brukes. 

Fra ambisjon til styring

En AI-strategi handler gjerne om hvor virksomheten vil. AI-governance handler om hvordan virksomheten kommer dit på en trygg, ansvarlig og kontrollert måte. 

I mange organisasjoner skjer AI-bruken langt raskere enn styringen rundt den. Ansatte tar i bruk nye verktøy, avdelinger eksperimenterer med egne løsninger, og AI blir gradvis en del av arbeidsprosesser og beslutningsgrunnlag. 

Ofte uten at ledelsen har full oversikt. 

Vet dere hvor AI brukes?

Hvis du er leder, kan du svare på disse spørsmålene: 

  • Hvilke AI-verktøy brukes i virksomheten i dag?  
  • Hvilke data deles med disse løsningene?  
  • Hvem har ansvar for å godkjenne nye AI-verktøy?  
  • Hvordan kvalitetssikres AI-generert innhold?  
  • Hvilke beslutninger påvirkes av AI?  
  • Hvordan dokumenterer dere bruk av AI overfor kunder, eiere og myndigheter?  

Mange ledere oppdager at de ikke har gode svar på alle spørsmålene. 

Det betyr ikke nødvendigvis at virksomheten har et problem. Men det kan bety at virksomheten mangler styring. 

AI verktøy på PCen

AI-governance handler om kontroll

AI-governance er rammeverket som sikrer at AI brukes i tråd med virksomhetens mål, verdier, risikotoleranse og regulatoriske krav. 

Det handler blant annet om: 

  • roller og ansvar  
  • retningslinjer for bruk av AI  
  • risikovurderinger  
  • kontroll med data og modeller  
  • dokumentasjon og sporbarhet  
  • oppfølging av lover og standarder  

Kort sagt: AI-governance gjør AI til en styrt virksomhetskapabilitet, ikke bare et sett med verktøy ansatte bruker på eget initiativ. 

AI Act øker forventningene

Med EUs AI-forordning blir det stadig vanskeligere å behandle AI som et rent teknologiinitiativ. 

Virksomheter må kunne dokumentere hvordan AI brukes, hvilke risikoer som er vurdert, og hvilke kontrollmekanismer som er etablert. For mange vil dette kreve langt mer enn en strategi eller en generell AI-policy. Det krever styring. 

Dokumentasjon AI

Det viktigste spørsmålet ledere bør stille nå

Mange virksomheter bruker betydelig tid på å diskutere hva AI kan gjøre for dem. Kanskje er det på tide å bruke like mye tid på å diskutere hvordan AI skal styres. 

For når AI blir en del av virksomhetens arbeidsprosesser og beslutninger, er det ikke lenger nok å ha en strategi. Da trenger man AI-governance. 

Snakk med oss om styringssystemer for AI

Vi hjelper virksomheter med rådgivning, etablering og videreutvikling av styringssystemer for AI. Ta kontakt for å høre hvordan vi kan hjelpe deg!

Mirjam Meling

Mirjam Meling

Marketing & Communication Manager

Produserer innhold for Certain QMS om ledelsessystemer, kvalitetsstyring, informasjonssikkerhet og AI governance. Hun samarbeider med fagspesialister for å formidle komplekse temaer på en tydelig og praktisk måte.

Hvem har ansvaret for AI i virksomheten? 

Hvem har ansvaret for AI i virksomheten? 

Ansvarlig AI ledere

Etter hvert som AI tas i bruk i stadig flere arbeidsprosesser, dukker det samme spørsmålet opp i mange virksomheter: Hvem har egentlig ansvaret for AI? 

Er det IT-avdelingen? HR? Kvalitetsansvarlig? Ledelsen? 

Utfordringen er at AI sjelden passer inn i én avdeling. 

Et AI-verktøy kan påvirke personvern, informasjonssikkerhet, kvalitet, arbeidsprosesser, kundebehandling og beslutninger samtidig. Derfor blir det fort uklart hvem som skal eie risikoen, retningslinjene og oppfølgingen. 

AI kan ikke eies av IT alene

Mange starter med å plassere ansvaret hos IT. Det er forståelig, men ofte utilstrekkelig. 

IT kan ha ansvar for teknologien og sikkerheten, men de kan sjelden vurdere hvordan AI påvirker fagområdene som bruker den. 

Hvis HR bruker AI i rekruttering, må HR forstå risikoen og eie prosessen. Hvis markedsavdelingen bruker generativ AI til innholdsproduksjon, må markedsavdelingen ta ansvar for hvordan verktøyet brukes. Hvis økonomiavdelingen bruker AI til analyser eller beslutningsstøtte, må de eie sin del av bruken. 

På samme måte som avdelingene eier sine systemer og arbeidsprosesser, må de også eie AI-løsningene de bruker. 

Derfor ser vi nye roller og styringsgrupper

Store virksomheter begynner nå å etablere AI-styringsgrupper, AI-governance-funksjoner og egne ansvarlige for koordinering av AI-arbeidet. 

Målet er ikke nødvendigvis å kontrollere all bruk av AI, men å skape oversikt og sikre at virksomheten har felles retningslinjer og risikovurderinger. 

For mindre virksomheter er det sjelden behov for egne AI-stillinger. Der er det ofte mer realistisk å fordele ansvaret mellom ledelse, IT, kvalitetsfunksjoner og de avdelingene som faktisk bruker teknologien. 

Jobber med AI

EU AI Act gjør spørsmålet enda viktigere

En av utfordringene mange virksomheter nå oppdager, er at de ikke har full oversikt over hvordan AI brukes internt. 

EU AI Act stiller ulike krav avhengig av hvordan AI benyttes. Før en virksomhet kan vurdere hvilke krav som gjelder, må den først kartlegge hvilke AI-systemer som faktisk er i bruk. 

Det er vanskelig for én person å gjøre alene. 

For å få oversikt må virksomheten involvere flere fagområder. Hver avdeling må bidra med informasjon om hvilke verktøy som brukes, hva de brukes til, og hvilke prosesser de inngår i.

Det viktigste er ikke én AI-ansvarlig

Mange virksomheter leter etter én person som kan eie AI. 

I praksis handler god AI governance ofte mindre om å finne én ansvarlig og mer om å etablere tydelige roller og ansvar på tvers av virksomheten. 

Noen må koordinere arbeidet. Ledelsen må eie styringen. Men de som bruker AI i det daglige, må også eie risikoen og ansvaret for hvordan teknologien brukes i sine egne prosesser. 

Det er først når disse rollene er avklart at virksomheten får den oversikten og kontrollen som både ledelsen, ISO 42001 og EU AI Act legger opp til. 

Snakk med oss om styringssystemer for AI

Vi hjelper virksomheter med rådgivning, etablering og videreutvikling av styringssystemer for AI. Ta kontakt for å høre hvordan vi kan hjelpe deg!

Mirjam Meling

Mirjam Meling

Marketing & Communication Manager

Produserer innhold for Certain QMS om ledelsessystemer, kvalitetsstyring, informasjonssikkerhet og AI governance. Hun samarbeider med fagspesialister for å formidle komplekse temaer på en tydelig og praktisk måte.

Hva er dokumentstyring?

Hva er dokumentstyring?

Document control Certain QMS

Begrepene dokumentsamling, dokumentlagring og dokumentstyring brukes ofte om hverandre. I praksis beskriver de svært ulike måter å forholde seg til virksomhetens dokumentasjon på. Forskjellen handler ikke primært om teknologi, men om styring, ansvar og tillit.

Dokumentsamling og dokumentlagring

En dokumentsamling er akkurat hva det høres ut som: dokumenter samlet på ett eller flere steder, strukturert i mapper eller biblioteker. Formålet er oppbevaring og deling. 

Dokumentlagring gir et felles sted å finne filer, enkel tilgang og fleksibilitet i hvordan innholdet organiseres. Det stilles derimot få krav til hvem som eier innholdet, hvordan endringer skal håndteres, når dokumenter skal revideres, eller hvilket dokument som faktisk gjelder. 

Dette fungerer godt som arkiv og delingsflate – men gir begrenset støtte til å styre virksomhetens praksis over tid.

Hva dokumentstyring egentlig handler om

Dokumentstyring er systematisk forvaltning av styrende dokumentasjon gjennom hele livsløpet – fra utarbeidelse til bruk, revisjon og eventuell utfasing. 

Kjernen er ikke hvor dokumentene ligger, men hvordan de styres. Det forutsetter tydelige rammer for eierskap og ansvar, revisjon og godkjenning, versjonering og endringshistorikk, tilgang og tilgjengelighet, og etterlevelse i praksis. 

Der dokumentlagring svarer på hvor dokumentene finnes, svarer dokumentstyring på hvordan organisasjonen sikrer at dokumentasjonen er korrekt, oppdatert og faktisk brukt.

Krav til dokumentstyring i ISO-standardene

Dokumentstyring er ikke bare god praksis – det er et eksplisitt krav i de mest utbredte styringssystemstandardene. ISO 9001, ISO 14001, ISO 45001 og ISO 27001 stiller alle krav til dokumentkontroll – det vil si kontroll av dokumentert informasjon: at dokumenter er tilgjengelige der de trengs, at de er egnet for bruk, og at de er tilstrekkelig beskyttet mot utilsiktet endring eller tap. 

For virksomheter som er sertifisert – eller som arbeider mot sertifisering – er dokumentstyring derfor ikke valgfritt. Det er en forutsetning for å oppfylle standardenes krav og for å kunne dokumentere dette overfor en ekstern revisor.

Når blir forskjellen synlig?

Gapet mellom lagring og styring viser seg gjerne først når noen stiller spørsmål ved dokumentasjonen. Ansatte er usikre på hvilken versjon som gjelder. Flere versjoner sirkulerer samtidig. Praksis varierer mellom enheter. Revisjon etterspør sporbarhet. 

I disse situasjonene er det sjelden mangel på dokumenter som er problemet. Det er mangel på styring rundt dem. 

Konsekvensene kan være mer alvorlige enn de først fremstår. Ansatte som følger utdaterte prosedyrer, øker risikoen for feil og avvik. Internrevisjoner avdekker hull som krever ressurskrevende opprydding. Eksterne tilsyn kan i verste fall føre til avvik mot standarden – med tap av sertifisering som mulig utfall. Og i organisasjoner med høy turnover eller vekst er mangelfull dokumentstyring ofte det som gjør at kunnskap forsvinner når erfarne medarbeidere slutter.

Tillit til et dokument bygges ikke av seg selv

Hva er det egentlig som gjør at vi stoler på et dokument? Spørsmålet stilles sjelden eksplisitt, men svaret er avgjørende. 

Tilliten handler ikke om tittel eller plassering. Den bygger på visshet om at dette er siste godkjente versjon, at noen har hatt et tydelig ansvar for innholdet, at endringer er gjort kontrollert og bevisst – og at det du leser, er det som gjelder nå. 

Når denne tryggheten mangler, oppstår det uformelle løsninger: lokale kopier, egne notater, «slik pleier vi å gjøre det». Over tid undergraver dette felles praksis og reell styring.

Endringskontroll: det undervurderte elementet

En dimensjon ved dokumentstyring som ofte undervurderes, er rollen den spiller når folk slutter eller nye kommer til. I virksomheter uten god dokumentstyring er mye av praksisen bundet opp i enkeltpersoner – i erfaring, hukommelse og uformelle rutiner som aldri er skrevet ned, eller som er skrevet ned men aldri holdt ved like. 

Når en erfaren medarbeider slutter, forsvinner denne kunnskapen ofte med dem. God dokumentstyring er det som gjør at virksomheten ikke starter på nytt hver gang – at en ny ansatt kan finne ut hvordan ting faktisk gjøres, og at opplæring bygger på noe mer solid enn kollegaenes huskelapper.

Dokumentstyring og kompetanseoverføring

Et sentralt, men ofte oversett aspekt ved dokumentstyring er synlighet i endringer. Det er ikke nok å vite at et dokument er oppdatert. Like viktig er det å vite hvem som har gjort endringene, når de ble gjort, og hva som konkret er endret siden forrige versjon. 

Når endringer er tydelige og sporbare, øker tilliten til dokumentasjonen. Ansatte slipper å lese hele dokumenter på nytt for å finne ut hva som er nytt. Ledelsen får bedre kontroll på hvordan praksis faktisk utvikler seg over tid. 

Dette er et av de klareste skillene mellom dokumentstyring og enkel dokumentlagring – og et kjerneprinsipp i dokumentkontroll slik det forstås i ISO-standardene.

Fra arkiv til styringsverktøy

Dokumentstyring blir først verdifull når dokumentasjonen brukes aktivt i arbeidshverdagen – ikke bare som referanse, men som et styrende rammeverk for hvordan arbeidet utføres. 

Virksomheter som lykkes med dette kjennetegnes gjerne av at ansatte har én tydelig kilde til gjeldende praksis, at roller og ansvar er klart definert, at dokumentasjon oppleves relevant og til å stole på, og at revisjon og oppfølging er en naturlig del av driften – ikke et skippertak.

Document control Certain QMS

Dokumentstyring i Certain QMS

I Certain QMS er dokumentstyring bygget opp rundt de samme prinsippene: tydelig ansvar, kontrollert publisering og full sporbarhet i endringer. Løsningen skiller klart mellom arbeidet med å utarbeide og revidere dokumenter, og det som til enhver tid gjelder som virksomhetens offisielle, godkjente praksis. 

Utarbeidelse, revisjon og kvalitetssikring skjer i kontrollerte arbeidsflater. Ansatte som bruker dokumentasjonen i arbeidshverdagen, forholder seg kun til det som er godkjent og publisert. Det gir redusert usikkerhet og et dokumentasjonsgrunnlag som faktisk kan brukes til styring. 

For ansatte betyr dette at det alltid er siste godkjente versjon som er tilgjengelig, at det er tydelig hvem som eier innholdet og når det sist ble revidert, og at dokumentasjonen oppleves trygg å bruke i praksis. Når ansatte slipper å vurdere versjonsnummer eller sammenligne alternative dokumenter, senkes terskelen for faktisk bruk – og etterlevelsen bedres på tvers av roller og enheter. 

For virksomheten som helhet gir tilnærmingen bedre oversikt og styring: tydelig definert eierskap per dokument, full sporbarhet i hvem som har revidert og endret hva og når, oversiktlig endringshistorikk der tidligere og nye versjoner kan sammenlignes direkte, og bedre grunnlag for revisjon, dokumentkontroll og systematisk forbedringsarbeid – inkludert dokumentasjon som holder for en ekstern revisor. 

Dokumentstyring, riktig bygget opp, gjør dokumentasjonen til mer enn et arkiv. Den blir et aktivt styringsverktøy som støtter felles praksis, reduserer risiko for feil og gir et solid fundament for kvalitetsarbeidet i organisasjonens daglige drift.

Marte Sunde

Marte Sunde

Business Consultant

Marte Sunde er Business Consultant for Certain QMS, med spesialisering innen kvalitetsledelse og HMS-systemer. Hun arbeider i skjæringspunktet mellom operativ praksis og digitale løsninger, og hjelper organisasjoner med å implementere og forbedre styringssystemer som sikrer etterlevelse, struktur og kontinuerlig forbedring.

7 AI-spesifikke kontroller i ISO 42001 som skiller den fra ISO 27001 

7 AI-spesifikke kontroller i ISO 42001 som skiller den fra ISO 27001 

Diskusjon om AI og ISO standarder

Mange virksomheter som arbeider med ISO 27001 opplever at ISO 42001 virker kjent. Begge standardene bygger på de samme prinsippene for ledelsesforankring, risikostyring og kontinuerlig forbedring. 

Likevel er ISO 42001 mer enn en AI-versjon av ISO 27001. Standarden introduserer flere kontroller som er spesielt utviklet for utfordringene kunstig intelligens skaper. Det handler ikke bare om informasjonssikkerhet, men også om konsekvenser for mennesker, datakvalitet, transparens og ansvarlig bruk av AI. 

Her er syv av de viktigste kontrollområdene som skiller ISO 42001 fra tradisjonelle styringssystemer. 

1. Konsekvensvurderinger av AI-systemer

Et sentralt krav i ISO 42001 er at virksomheten skal vurdere hvilke konsekvenser AI-systemer kan få for mennesker, grupper og samfunnet som helhet. 

Et AI-system kan fungere teknisk som forventet og samtidig skape uønskede konsekvenser. Det kan for eksempel påvirke ansettelsesprosesser, kundebehandling eller beslutningsgrunnlag på måter virksomheten ikke hadde forutsett. 

Dette perspektivet er langt mindre fremtredende i ISO 27001, hvor hovedfokuset er å beskytte informasjon og redusere sikkerhetsrisiko. 

2. Ansvarlig utvikling av AI-systemer

ISO 42001 legger stor vekt på hvordan AI-systemer utvikles. 

Virksomheten skal definere mål og prosesser for ansvarlig utvikling, slik at hensyn som kvalitet, pålitelighet, sikkerhet og etiske vurderinger blir en del av utviklingsarbeidet. 

Dette er et viktig skille fra tradisjonelle IT-systemer. For AI handler risiko ikke bare om teknologien, men også om hvordan systemet er designet, trent og tatt i bruk.

3. Verifikasjon og validering av AI-systemer

Tradisjonell programvare testes for å sikre at den fungerer som forventet. For AI er dette ikke tilstrekkelig. 

Et AI-system kan være teknisk korrekt og samtidig gi misvisende eller uønskede resultater. Derfor stiller ISO 42001 krav til verifikasjon og validering gjennom hele livsløpet. 

Virksomheten må kunne dokumentere hvordan AI-systemet er testet, hvilke kriterier som er brukt, og hvordan resultatene er vurdert. 

Jobber med ISO

4. Overvåking av AI-systemer i drift

En vanlig misforståelse er at AI-risiko vurderes én gang ved implementering. 

I praksis kan AI-systemer endre karakter over tid. Datagrunnlag kan utvikle seg, bruksmønstre kan endres, og resultatene kan bli dårligere enn forventet. 

ISO 42001 krever derfor at virksomheten etablerer prosesser for løpende overvåking av AI-systemenes ytelse og oppførsel. 

Dette er et område mange organisasjoner foreløpig har begrenset erfaring med. 

5. Datakvalitet og dataenes opprinnelse

Kvaliteten på et AI-system er tett knyttet til kvaliteten på dataene det bygger på. 

ISO 42001 inneholder derfor flere kontroller som omhandler datainnsamling, datakvalitet, datahåndtering og dokumentasjon av dataenes opprinnelse. 

For mange virksomheter vil dette være et av de mest krevende områdene. Det er ofte enklere å anskaffe et AI-verktøy enn å dokumentere kvaliteten på dataene som brukes til å trene, konfigurere eller drifte det. 

Dårlige data gir sjelden gode AI-resultater. 

6. Transparens og informasjon til interessenter

Brukere og andre interessenter må forstå hvordan AI-systemer påvirker dem. 

ISO 42001 legger derfor vekt på dokumentasjon, informasjon til brukere og rapportering av uønskede konsekvenser. 

Dette handler ikke nødvendigvis om å forklare alle tekniske detaljer, men om å gi tilstrekkelig informasjon til at brukere kan forstå systemets formål, begrensninger og risikoer. 

Transparens blir stadig viktigere etter hvert som AI tas i bruk i flere forretningskritiske prosesser. 

7. Tiltenkt bruk av AI-systemet

Et AI-system bør brukes til det formålet det er utviklet eller vurdert for. 

Dette kan virke selvsagt, men i praksis ser mange virksomheter at ansatte tar i bruk AI-verktøy på nye områder uten at risikoene er vurdert på forhånd. 

Et verktøy som er godkjent for å hjelpe med innholdsproduksjon, blir plutselig brukt som beslutningsstøtte, analyseverktøy eller kilde til faglige vurderinger. 

ISO 42001 adresserer denne utfordringen ved å kreve at virksomheten har kontroll på hva AI-systemer faktisk brukes til. 

Certain QMS

AI governance handler om mer enn sikkerhet

Virksomheter som allerede arbeider med ISO 27001 vil kjenne igjen mange av prinsippene i ISO 42001. Begge standardene handler om styring, ansvarlighet og risikohåndtering. 

Samtidig introduserer ISO 42001 flere nye perspektiver som er spesifikke for kunstig intelligens. Konsekvensvurderinger, datakvalitet, transparens og ansvarlig bruk er områder som sjelden får like stor oppmerksomhet i tradisjonelle styringssystemer. 

Det er nettopp disse kontrollene som gjør AI governance til noe mer enn informasjonssikkerhet. Målet er ikke bare å beskytte virksomheten mot risiko, men også å sikre at AI-systemer utvikles og brukes på en ansvarlig, etterprøvbar og tillitvekkende måte. 

Snakk med oss om styringssystemer for AI

Vi hjelper virksomheter med rådgivning, etablering og videreutvikling av styringssystemer for AI. Ta kontakt for å høre hvordan vi kan hjelpe deg!

Mirjam Meling

Mirjam Meling

Marketing & Communication Manager

Produserer innhold for Certain QMS om ledelsessystemer, kvalitetsstyring, informasjonssikkerhet og AI governance. Hun samarbeider med fagspesialister for å formidle komplekse temaer på en tydelig og praktisk måte.

eHåndbok for dokumentstyring i helsesektoren

eHåndbok for dokumentstyring i helsesektoren

ehåndbok dokumentstyring i helsesektoren

Dokumentmodulen i Certain QMS er kjernen i kvalitetsstyringssystemet og samler virksomhetens interne prosedyrer, retningslinjer, rutiner og annen styrende dokumentasjon på ett sted.

I mange år har løsningen vært brukt av store virksomheter i helsesektoren, der den omtales som eHåndbok, et begrep med lang historikk i sektoren. eHåndboken i Certain QMS fungerer som virksomhetens digitale oppslagsverk for både praktiske arbeidsrutiner og annen styrende dokumentasjon som danner grunnlaget for drift, internkontroll og systematisk kvalitetsarbeid.

Viktige funksjoner i eHåndboken

For å støtte kravene til dokumentstyring, internkontroll og kvalitet i helsesektoren, dekker eHåndboken i Certain QMS hele livsløpet til styrende dokumenter – fra utarbeidelse, intern høring og godkjenning til publisering, bruk og revisjon. Løsningen tilbyr blant annet: 

  • Fleksible og tilpassede dokumentmaler for ulike typer prosedyrer, retningslinjer og instrukser, slik at dokumentasjonen blir mer enhetlig og enklere å vedlikeholde.
  • Godkjenningsflyt og tydelige roller for hvem som kan redigere, kvalitetssikre, godkjenne og publisere dokumenter.
  • Avansert rolle- og tilgangsstyring, som kan kobles mot virksomhetens AD/Entra ID, slik at ansatte automatisk får tilgang til riktig innhold basert på rolle og enhet.
  • Skjerming av sensitiv informasjon, slik at deler av innholdet kun er tilgjengelig for definerte roller eller brukergrupper.
  • HTML-baserte og søkbare dokumenter, kombinert med mulighet for opplasting av ulike filformater og lenker til eksterne ressurser.
  • Endringsoppsummeringer, som gir brukerne rask oversikt over hva som er nytt eller endret i et dokument.
  • Leselister med kvittering, der ledere kan pålegge ansatte å lese utvalgte dokumenter og få dokumentert at dette er gjennomført.
  • Revisjonsfrister og automatiske varslinger, slik at dokumenter ikke blir liggende utdatert uten at ansvarlige blir fulgt opp.
  • Offentlig dokumentportal for ekstern publisering av utvalgte dokumenter, slik at prosedyrer, retningslinjer og annen informasjon kan deles på nett – uten innlogging.

Omfang og bruk av eHåndboken i helsesektoren

Tall fra de store helsevirksomhetene som bruker eHåndboken i Certain QMS, viser at løsningen ikke er et passivt dokumentarkiv, men et oppslagsverk som brukes aktivt og daglig av ansatte.

Brukstallene viser høy aktivitet, med tusenvis av dokumentåpninger daglig og et stort antall unike brukere over tid. Dette bekrefter eHåndbokens rolle som en sentral arbeidsflate for styrende dokumentasjon, både for klinisk personell, ledere og støttefunksjoner.

Eksempler på dokumentomfang og publisering:

Virksomhet Interne dokumenter Offentlige dokumenter
Oslo universitetssykehus HF ca. 33 000 ca. 8 000
Vestre Viken HF ca. 18 000 ca. 8 000
Helse Fonna HF 8 000+ ca. 500
Lovisenberg Diakonale Sykehus ca. 3 500 0*

 

ehåndbok helsesektoren

Offentlig dokumentportal – kontrollert deling av styrende dokumentasjon

Mange virksomheter har behov for å gjøre deler av dokumentasjonen tilgjengelig for eksterne brukere, samtidig som de ønsker full kontroll på innhold, versjoner og publisering. Med offentlig dokumentportal kan utvalgte dokumenter fra eHåndboken publiseres i en egen, åpen eHåndbok-portal som er tilgjengelig via nettleser, uten krav til innlogging. Dokumentene vedlikeholdes, godkjennes og revideres fortsatt i den samme løsningen, før de publiseres til den offentlige portalen.

I helsesektoren brukes dette blant annet til å dele pasientrettede prosedyrer, informasjon om tjenester, samarbeidsrutiner med fastleger og andre aktører, samt retningslinjer som skal være offentlig tilgjengelige. Når dokumentene oppdateres i eHåndboken, oppdateres de også automatisk i den offentlige portalen, noe som reduserer risikoen for at utdatert informasjon blir tilgjengelig eksternt.

Den offentlige dokumentportalen i Certain QMS gir dermed trygg offentlig tilgjengeliggjøring og deling av dokumenter, med full sporbarhet og revisjonskontroll ivaretatt i Certain QMS.

Erfaringer fra Oslo universitetssykehus

Oslo universitetssykehus (OUS) ble dannet i 2009 gjennom fusjonen av Rikshospitalet, Ullevål universitetssykehus og Aker universitetssykehus. Sykehuset er Europas største med 24.000 ansatte.

eHåndboken i en stor og kompleks organisasjon

OUS har brukt Certain QMS til effektiv dokumentstyring og kontroll siden 2010, og viser en moden og gjennomtenkt bruk av eHåndboken. Med et dokumentgrunnlag på flere titalls tusen interne dokumenter og daglig bruk fra mange tusen ansatte, fungerer løsningen som en sentral kunnskapsplattform på tvers av fag, roller og lokasjoner.

Bruken er høy gjennom hele året, med kontinuerlige oppslag i dokumenter som inngår direkte i både klinisk og administrativ arbeidshverdag.

Opplæring og rolleforståelse som nøkkel til god systembruk

Ved OUS er det lagt stor vekt på opplæring i bruk av eHåndboken, og det er etablert en egen intern støttefunksjon som bidrar til å bygge kompetanse hos brukerne over tid. Erfaringene viser at hvordan støtte og veiledning gis, har stor betydning for om ansatte blir trygge og selvstendige i bruken av systemet.

I stedet for å løse oppgaver på vegne av brukerne, har fokuset i stor grad vært på å forklare hvordan ulike roller skal arbeide i løsningen og hvordan oppgaver utføres riktig. Dette har bidratt til god rolleforståelse, høyere kvalitet i bruken av systemet og en tydelig reduksjon i antall supportsaker over tid.

Aktiv bruk og høy samhandling med innholdet

Bruksstatistikk viser at eHåndboken benyttes av mange tusen ansatte, med daglig oppslag i flere tusen dokumenter. Data fra OUS viser også at løsningen ikke bare besøkes, men brukes aktivt gjennom hele året.

Tallene indikerer høy grad av samhandling med innholdet, der ansatte navigerer mellom sider, åpner dokumenter, benytter søk og følger strukturen i håndboken – fremfor å hente enkeltdokumenter isolert.

Når opplæring bidrar til etterlevelse av kvalitet i praksis

Opplæring handler imidlertid ikke bare om å lære å bruke selve systemet, men om å sikre at kvalitetsarbeidet faktisk etterleves i praksis på tvers av hele organisasjonen. Ved OUS er eHåndboken tett koblet til e-læringskurs og kompetanseplaner knyttet til ulike roller, slik at ansatte får opplæring i både ansvar og arbeidsprosesser – ikke bare i funksjoner i løsningen.

For å sikre kvalitet i dokumentarbeidet må ansatte som skal ha skrivetilgang gjennomføre obligatorisk opplæring før tilgang gis. I tillegg brukes sjekklister i dokumentene for å støtte korrekt gjennomføring av sentrale oppgaver i arbeidshverdagen, og det anbefales repetisjon kort tid etter kurs for å sikre at kunnskapen omsettes til praksis.

OUS sin offentlige dokumentportal: En nasjonal referanse for prosedyrer og faglig praksis

Den offentlige dokumentportalen ved OUS brukes ikke bare internt, men er også aktivt benyttet av andre aktører i helsesektoren. Helsepersonell over hele landet kan søke opp hvordan OUS arbeider med ulike prosedyrer, behandlinger og inngrep, og bruke dette som veiledning i eget arbeid. På denne måten fungerer OUS i praksis som en nasjonal referanse for utforming av prosedyrer, innhold i rutiner og faglig praksis innen en rekke områder.

Dette henger tett sammen med rollen Oslo universitetssykehus har innen medisinsk forskning og utdanning av helsepersonell i Norge. Som universitetssykehus bidrar OUS i stor grad til utvikling av faglige standarder, og gjennom offentlig tilgjengelig dokumentasjon kan denne kunnskapen deles bredt i sektoren – på en strukturert, kvalitetssikret og oppdatert måte.

Se OUS sin offentlige del av eHåndboken her: ehandboken.ous-hf.no

Samlet sett viser erfaringene fra OUS hvordan eHåndboken kan brukes som et aktivt verktøy for kompetansebygging, kvalitet og effektiv drift – ikke bare som et sted der dokumenter lagres.

Fra dokumentasjon til kvalitet i praksis

I komplekse organisasjoner er god dokumentstyring en forutsetning for god og effektiv ledelse.

Erfaringer fra helsesektoren viser at verdien av eHåndboken virkelig realiseres når den er en naturlig del av arbeidshverdagen, der ansatte enkelt finner gjeldende rutiner og opplæring er tett knyttet til den styrende dokumentasjonen.

Over tid bidrar dette til felles praksis, færre feil og bedre grunnlag for forbedring – og erfaringene fra blant annet Oslo universitetssykehus viser at riktig struktur, tydelige roller og aktiv bruk gir varige gevinster for hele organisasjonen.

Marte Sunde

Marte Sunde

Business Consultant

Marte Sunde er Business Consultant for Certain QMS, med spesialisering innen kvalitetsledelse og HMS-systemer. Hun arbeider i skjæringspunktet mellom operativ praksis og digitale løsninger, og hjelper organisasjoner med å implementere og forbedre styringssystemer som sikrer etterlevelse, struktur og kontinuerlig forbedring.

EU AI Act readiness: Det første steget mot etterlevelse av AI Act 

EU AI Act readiness: Det første steget mot etterlevelse av AI Act 

EU Act readiness

AI Act (EU AI Act) er vedtatt i EU og forventes innført i norsk lov gjennom EØS-avtalen. Samtidig øker bruken av kunstig intelligens raskt i både offentlig og privat sektor. 

For mange ledere er spørsmålet ikke lenger om virksomheten bruker AI, men hvor mye den brukes, hvilke prosesser den påvirker, og hvilke krav som kan bli aktuelle når regelverket får virkning. 

Utfordringen er at mange virksomheter ikke har tilstrekkelig oversikt til å kunne svare på disse spørsmålene. Det er her AI Act readiness kommer inn. 

Hva er AI Act readiness?

AI Act readiness er en strukturert vurdering av virksomhetens bruk av kunstig intelligens med formål å identifisere hvordan AI Act kan påvirke organisasjonen. 

Vurderingen gir ledelsen et grunnlag for å forstå: 

  • hvilke AI-systemer som er i bruk  
  • hvilke prosesser som påvirkes av AI  
  • hvilke deler av virksomheten som kan omfattes av strengere krav  
  • hvilke tiltak som bør prioriteres videre  

Målet er ikke å dokumentere full etterlevelse av AI Act. Målet er å skaffe oversikt og forståelse nok til å kunne planlegge videre arbeid på en risikobasert måte. 

AI Act readiness rådgivere

Hvorfor bør virksomheter starte nå?

For de fleste organisasjoner vil den største utfordringen ikke være å skrive dokumentasjon eller etablere nye prosedyrer. Den største utfordringen vil være å forstå hvordan kunstig intelligens faktisk brukes i virksomheten. 

Jo større organisasjonen er, desto vanskeligere blir dette. 

AI brukes i dag gjennom: 

  • generative AI-verktøy som ChatGPT, Copilot og Gemini  
  • AI-funksjoner i eksisterende forretningssystemer  
  • analyse- og beslutningsstøtteverktøy  
  • leverandørløsninger som inneholder AI-funksjonalitet  

Mange virksomheter kan derfor ha en langt større AI-portefølje enn ledelsen er klar over. 

AI Act påvirker ikke alle virksomheter likt

AI Act er risikobasert og konsekvensene av regelverket avhenger i stor grad av hvordan AI brukes. Det betyr at ingen kan avgjøre hvor stor betydning AI Act får uten først å kartlegge virksomhetens AI-portefølje. 

Hva inngår i en AI Act readiness-vurdering?

En typisk vurdering vil omfatte følgende.

Kartlegging av AI-porteføljen

Hvilke AI-løsninger finnes i virksomheten? 

Analyse av bruksområder

Hvilke prosesser, beslutninger og arbeidsoppgaver påvirkes av AI? 

Vurdering av regulatorisk eksponering

Kan noen av løsningene omfattes av høyrisikokategoriene i AI Act? 

Vurdering av styring og kontroll

Har virksomheten tilstrekkelige retningslinjer, roller og prosesser for AI-bruk? 

Identifisering av tiltak

Hvilke områder bør prioriteres videre? 

AI Act readiness gir et beslutningsgrunnlag

Det er lett å hoppe rett til diskusjoner om AI governance, AI-policy eller ISO 42001. 

For mange virksomheter er det imidlertid vanskelig å vite hvilke tiltak som er nødvendige før de har fått oversikt over dagens situasjon. 

En AI Act readiness-vurdering gir ledelsen et faktabasert grunnlag for å vurdere risiko, prioriteringer og videre arbeid. 

For noen virksomheter vil vurderingen vise at dagens AI-bruk representerer begrenset regulatorisk risiko. For andre kan den avdekke behov for mer omfattende tiltak knyttet til styring, dokumentasjon og internkontroll. 

Vurdering av AI Act

Start med oversikt

AI Act kommer ikke til å påvirke alle virksomheter på samme måte. Hvor stor betydning regelverket får, avhenger av virksomhetens AI-portefølje, bruksområder og risikoprofil. 

Derfor er det første og viktigste steget å etablere oversikt. 

Virksomheter som starter dette arbeidet tidlig vil være bedre rustet til å møte både regulatoriske krav og den videre utviklingen innen kunstig intelligens. 

Snakk med oss om styringssystemer for AI

Vi hjelper virksomheter med rådgivning, etablering og videreutvikling av styringssystemer for AI. Ta kontakt for å høre hvordan vi kan hjelpe deg!

Mirjam Meling

Mirjam Meling

Marketing & Communication Manager

Produserer innhold for Certain QMS om ledelsessystemer, kvalitetsstyring, informasjonssikkerhet og AI governance. Hun samarbeider med fagspesialister for å formidle komplekse temaer på en tydelig og praktisk måte.