Thought leadership för svensk hälso- och sjukvård. Perspektiv: IT, drift, informationssäkerhet och verksamhet.

Ingress

De flesta vårdorganisationer har hunnit prova generativ  AI i en eller flera piloter. Det svåra börjar när tekniken ska lämna labbet och bli en del av vardagen. I den punkten avgörs om AI skapar tryggare vårdmöten och kortare ledtider, eller om den blir ännu en idé som aldrig riktigt landar.

Den här texten beskriver hur man bygger en körbar målbild, hur man gör dataskydd konkret och hur människa i loopen blir ett arbetssätt snarare än en slogan.

Innehåll

• Varför piloter fastnar
• En målbild som håller i drift
• Dataskydd som praktik, inte pappersprodukt
• Människa i loopen där den gör verklig skillnad
• Drift, mätning och lärande över tid
• Från upphandling till införande

Varför piloter fastnar

Pilotstudier är bra på att skapa nyfikenhet, men de missar ofta tre saker som produktionen kräver. För det första testas AI i isolerade miljöer där inloggning, loggar och tillgänglighet inte prövas på riktigt. För det andra fokuserar man ofta på upplevelse i stunden i stället för på mätbara effekter som färre ombokningar, kortare ärendetider och högre first time right. För det tredje saknas en tydlig berättelse om hur lösningen ska leva tillsammans med övriga system, roller och processer.

I vården är det samspelet som skapar värde. En bra POC visar att något är möjligt. En bra produktionssättning visar att det är säkert, spårbart och nyttigt vecka efter vecka. Det betyder att arkitektur, styrning och förändringsledning måste beskrivas lika tydligt som själva modellen.

En målbild som håller i drift

Tänk på AI som en tjänst som ska bära sin egen vikt i en komplex miljö. Den målbilden och de driftkrav som följer behöver vara enkla att rita upp och enkla att granska.

Börja med identitet och åtkomst. Vem får göra vad, i vilket sammanhang och med vilka data. I praktiken handlar det om multifaktorinloggning, rollbaserade rättigheter och tydlig separation mellan patientdata och den metadata som behövs för spårbarhet. Nästa lager är integrationsytan. AI ska inte bli en sidovagn som kräver handpåläggning, utan en modul som talar med bokningssystem, tolksystem och vid behov journalsystem via godkända gränssnitt och en hanterad API-gateway.

Sedan kommer observabilitet och loggning. Det ska gå att svara på frågorna vem, vad, när och varför utan att exponera patientuppgifter. Det görs med central loggning av händelser och med sparad kontext som kan revideras. Till sist behövs en disciplin kring modellversioner. Beskriv vad modellen är avsedd för, vilka begränsningar som finns och hur ni rullar fram nya versioner med möjlighet till snabb återgång om något brister.

En enkel illustration brukar hjälpa i dialogen med verksamheten. Beställaren lägger ett tolkuppdrag. Systemet föreslår förberedelsepaket med relevanta termer och riskfrågor. Tolken granskar, kompletterar och levererar. Metadata kring händelser sparas i en revisionsbar yta. Ingen patientdata lämnar regionens domän. När målbilden går att återberätta med enkla ord brukar den också gå att drifta.

Dataskydd som praktik, inte pappersprodukt

DPIA och biträdesavtal kan upplevas som bromsklossar. I verkligheten är de verktyg för att undvika kostsamma incidenter och för att skapa förtroende mellan IT, jurist och verksamhet.

En bra DPIA beskriver inte bara risker på en hög nivå. Den kopplar varje risk till en konkret kontroll. Exempel: om hallucinering av medicinsk terminologi är en risk, då behövs en process för stickprov, en tydlig åtgärdsloop och ett sätt att visa att feltyperna minskar över tid. Om dataläckage är en risk, då ska ni kunna visa kryptering i vila och transit, behörighetsgranskningar, raderingsrutiner och en tydlig lista över underbiträden.

Dataminimering blir ofta den största nyttan. När ni formulerar vad systemet inte ska kunna göra blir gränserna tydliga för användarna. Fri text kan bytas mot styrda fält där det passar. Förberedelse kan ske på anonymiserat underlag. Modellträning på personuppgifter undviks. Spårbarhet byggs med metadata i stället för att återanvända patientdata.

Det viktigaste är att ni kan visa spårbarhet vid varje revision. Vem hade åtkomst, vad gjordes, när gjordes det och varför. När det går att kontrollera uppstår också förtroende.

Människa i loopen där den gör verklig skillnad

Människa i loopen är inte ett skyddsnät som läggs på i efterhand. Det är en design av arbetet. I vården varierar risknivån mellan situationer. Därför måste graden av mänsklig kontroll variera.

I högriskmiljöer som psykiatri, förlossning och onkologi ska AI fungera som underlag, inte som beslutsmotor. Här är obligatorisk förgranskning eller eftergranskning rimlig. I mellanriskfall kan AI ge terminologiförslag och strukturera förberedelse, medan tolk eller handläggare godkänner innan användning. I lågriskfall, till exempel administrativ text eller utbildningsmaterial, kan kontroll ske i efterhand enligt riktlinje.

Nyckeln är att beskriva rollerna. Vem godkänner vad. När eskaleras ett ärende. Hur vägs tidsvinsten mot riskreduktion. När arbetssättet är formulerat i enkla steg blir AI ett stöd för människor, inte tvärtom.

Drift, mätning och lärande över tid

Det som inte mäts förbättras sällan. Välj få men relevanta mått som är lätta att samla in och som säger något om kvalitet och effekt.

För tolkning med AI-stöd brukar följande fungera. First time right som andel ärenden där ingen komplettering krävdes. Ledtid från beställning till genomförd tolkning. Andel ombokade ärenden på grund av terminologiska missförstånd. Klagomålsfrekvens. Förberedelsetid per uppdrag. Lägg till driftmått som latens och tillgänglighet för AI-komponenten samt MTTR vid incident.

Gör rapporteringen begriplig för tre målgrupper. Verksamhet behöver se hur kvalitet och flöde rör sig. IT behöver se drift och beroenden. Juridik och dataskydd behöver se spårbarhet och avvikelser. När samma siffror kan bära tre olika samtal blir de också mer stabila över tid.

Lärandet sker när en avvikelse leder till en åtgärd och när åtgärden följs upp. En enkel rutin där varje större avvikelse får en ägare, en plan och ett datum gör mer för kvaliteten än en lång katalog av policies.

Från upphandling till införande

Upphandlingens text avgör ofta hur bra resultatet blir. Om kraven formuleras så att alla kan svara ja blir skillnaden liten och risken för lottning ökar. Om kraven formuleras med tydliga beviskrav och poängtrappor blir det möjligt att separera de som lovar från de som levererar.

Be om konkreta evidens. Anonymiserade utdrag ur loggar som visar hur stickprov och åtgärder fungerar. Historiska KPI-serier som visar förbättring eller stabilitet. En mall för incidenthantering som prövats i skarpt läge. En beskrivning av hur människa i loopen fungerar i tre olika riskscenarier. En plan för versioner och återgång. När bevisen är tydliga blir dialogen saklig och utvärderingen rättvis.

Införandeplanen behöver vara lika praktisk. Utbildning i korta format för olika roller. En checklista för beställning så att rätt information följer med. En enkel FAQ i verksamhetens kanaler. En supportväg som inte kräver att vårdpersonal letar. De här detaljerna avgör om tekniken blir älskad eller undviken.

Nästa steg för ett säkert införande

Generativ AI kan göra vårdmöten tydligare och snabbare. Den kan också bli ännu en lösning som aldrig lämnar pilotstadiet. Skillnaden ligger inte i modellen, utan i hantverket runt omkring. En målbild som går att drifta, dataskydd som går att visa upp, människa i loopen som är rätt placerad och några få men bra mått som driver förbättring. När detta finns på plats blir AI inte ett experiment. Den blir en trygg del av vardagen.

Vill du fördjupa dig i ämnet i en live-session. Anmäl dig till webbinariet “AI i vården, krav som IT måste säkra”.

‍

‍