Konsultacje publiczne projektu ustawy o rozwoju usług e-zdrowia zakończyły się zgłoszeniem ponad 200 uwag przez instytucje publiczne, organizacje branżowe i ekspertów. W zgłoszeniach powtarzały się te same zastrzeżenia zgłaszane z różnych perspektyw — przede wszystkim dotyczące regulacji dotyczących sztucznej inteligencji, zasad przetwarzania danych oraz wymagań w zakresie cyberbezpieczeństwa.

Główne luki i zastrzeżenia

Poniżej przedstawiamy kluczowe obszary, w których konsultacje ujawniły braki lub niejasności w projekcie ustawy.

Sztuczna inteligencja

Wielu uczestników konsultacji zwraca uwagę, że w projekcie brakuje precyzyjnych definicji oraz zasad nadzoru nad systemami wykorzystującymi AI w opiece zdrowotnej. Problemem są m.in. kryteria weryfikacji algorytmów medycznych, standardy walidacji oraz mechanizmy odpowiedzialności za błędy diagnostyczne generowane przez modele.

Przetwarzanie danych osobowych

Uwagi dotyczyły zgodności zapisów projektowej ustawy z obowiązującymi przepisami o ochronie danych osobowych (m.in. RODO). Eksperci wskazywali na konieczność doprecyzowania podstaw przetwarzania danych, procedur anonimizacji/pseudonimizacji oraz zasad udostępniania danych pomiędzy podmiotami medycznymi a dostawcami usług cyfrowych.

Cyberbezpieczeństwo

Konsultujący podkreślali, że projekt nie określa wystarczająco szczegółowych wymogów bezpieczeństwa systemów e-zdrowia. Braki dotyczą m.in. minimalnych standardów technicznych, obowiązków zgłaszania incydentów, testów penetracyjnych oraz mechanizmów audytu i certyfikacji dostawców.

Interoperacyjność i standardy techniczne

Wielokrotnie powtarzającym się postulatem była potrzeba jasnego określenia standardów wymiany danych medycznych oraz zasad interoperacyjności między systemami. Brak takich zapisów może utrudnić integrację rozwiązań telemedycznych i prowadzić do fragmentaryzacji rynku usług cyfrowych w ochronie zdrowia.

Odpowiedzialność prawna i modele biznesowe

Projekt nie zawsze wystarczająco reguluje kwestie odpowiedzialności podmiotów oferujących usługi e-zdrowia, w szczególności w kontekście usług opartych na chmurze oraz rozwiązań udostępnianych przez podmioty komercyjne. Konsultujący wskazali też na potrzebę uwzględnienia realiów biznesowych i mechanizmów współpracy z sektorem prywatnym.

Rekomendacje z konsultacji

  1. Doprecyzowanie definicji i zakresu regulacji dotyczących systemów AI w ochronie zdrowia, w tym wymogów walidacji i transparentności algorytmów.
  2. Wprowadzenie jasnych zasad przetwarzania danych pacjentów, mechanizmów anonimizacji oraz standardów udostępniania danych między podmiotami.
  3. Określenie minimalnych standardów cyberbezpieczeństwa, obowiązków zgłaszania incydentów i mechanizmów certyfikacji implementacji.
  4. Ustanowienie krajowych standardów interoperacyjności i zgodności technicznej dla systemów e-zdrowia.
  5. Regulacje określające odpowiedzialność prawną dostawców usług oraz zasady współpracy z sektorem prywatnym.
Mimo dobrej intencji projektu, konsultacje wykazały, że bez doprecyzowania kluczowych zapisów istnieje ryzyko fragmentaryzacji rynku oraz zagrożeń dla bezpieczeństwa danych pacjentów.

Co dalej?

Zgłoszone uwagi powinny posłużyć jako podstawa do redakcji poprawionej wersji projektu. W praktyce oznacza to prace eksperckie nad szczegółowymi przepisami wykonawczymi, włączenie specjalistów ds. AI i cyberbezpieczeństwa oraz dalsze konsultacje społeczne, które ułatwią wypracowanie rozwiązań możliwych do implementacji w systemie ochrony zdrowia.

Bez takich korekt istnieje ryzyko, że ustawodawstwo nie nadąży za szybkim rozwojem technologii i potrzebami zapewnienia bezpieczeństwa i jakości usług cyfrowych dla pacjentów.