Konsultacje publiczne projektu ustawy o rozwoju usług e-zdrowia zakończyły się zgromadzeniem ponad 200 uwag od instytucji publicznych, organizacji branżowych i ekspertów. W wielu miejscach pojawiły się te same zastrzeżenia, zgłaszane z różnych perspektyw. Najczęściej krytykowane obszary to regulacja sztucznej inteligencji, zasady przetwarzania danych pacjentów oraz wymagania dotyczące cyberbezpieczeństwa.
Najważniejsze luki wykryte w konsultacjach
Sztuczna inteligencja — brak precyzyjnych ram
Wskazywano, że projekt nie definiuje wystarczająco precyzyjnie roli rozwiązań opartych na sztucznej inteligencji w systemie e-zdrowia. Brakuje jasnych wymogów dotyczących walidacji algorytmów, monitorowania ich działania oraz mechanizmów odpowiedzialności za błędy. Eksperci postulują wprowadzenie norm dotyczących:
- oceny ryzyka i obowiązkowej dokumentacji modeli AI (model cards / datasheets),
- wymogu oceny wpływu na prawa pacjenta (AI impact assessment),
- zasad nadzoru i obowiązku zapewnienia możliwości interwencji człowieka w decyzje krytyczne dla zdrowia.
Przetwarzanie danych — wątpliwości prawne i operacyjne
W uwagach często pojawiał się zarzut niejasności w zakresie podstaw prawnych przetwarzania danych medycznych, zasad udostępniania danych między podmiotami oraz mechanizmów anonimizacji i pseudonimizacji. Krytykowano też brak szczegółowych reguł dotyczących:
- zakresu zgody pacjenta i jej formy w środowisku cyfrowym,
- zasady minimalizacji danych i ograniczenia celu przetwarzania,
- procedur udostępniania danych do badań naukowych i rozwoju usług komercyjnych.
Cyberbezpieczeństwo — wymagania zbyt ogólne
Wielu interesariuszy wskazało, że zapisy dotyczące bezpieczeństwa informacji mają charakter ogólny i nie precyzują technologicznych oraz organizacyjnych środków, które muszą być wdrożone. Do najczęstszych postulatów należały:
- wprowadzenie minimalnych standardów szyfrowania danych w tranzycie i w spoczynku,
- wymóg prowadzenia regularnych testów penetracyjnych i audytów bezpieczeństwa,
- jasne reguły dotyczące zgłaszania incydentów i współpracy z krajowymi zespołami CERT.
Rekomendacje płynące z konsultacji
Na podstawie zgłoszonych uwag można sformułować kilka praktycznych rekomendacji dla ustawodawcy:
- Precyzować definicje i zakres zastosowań AI w e-zdrowiu oraz wprowadzić obowiązkowe oceny ryzyka dla systemów decyzyjnych.
- Uregulować zasady przetwarzania danych zgodnie z dobrymi praktykami GDPR: przewidzieć jasne podstawy prawne, mechanizmy minimalizacji danych oraz procedury anonimizacji.
- Określić minimalne wymagania techniczne i organizacyjne w zakresie cyberbezpieczeństwa, w tym szyfrowanie, monitoring, backup i obowiązek audytów.
- Wprowadzić mechanizmy transparentności i rozliczalności: rejestry modeli AI, logowanie dostępu do danych oraz mechanizmy odwoławcze dla pacjentów.
- Stosować podejście etapowe — pilotaże i oceny przed pełnym wdrożeniem, aby zidentyfikować ryzyka i poprawić regulacje na podstawie realnych doświadczeń.
Co dalej?
Projekt ustawy ma przed sobą fazę uwzględniania zgłoszonych uwag i dopracowywania zapisów. Kluczowe będzie, aby ustawodawca uwzględnił rekomendacje ekspertów i branży oraz zapewnił mechanizmy aktualizacji przepisów w odpowiedzi na szybką ewolucję technologii. Bez wyraźnych standardów dotyczących AI, ochrony danych i bezpieczeństwa cyfrowego istnieje ryzyko, że rozwiązania e-zdrowia będą podatne na błędy systemowe, naruszenia prywatności i incydenty bezpieczeństwa.
Publiczne konsultacje pokazały jednoznacznie: szybkie wdrożenie technologii w sektorze zdrowia wymaga równie szybkiego i precyzyjnego dopasowania reguł prawnych.
Ostateczny kształt ustawy będzie miał bezpośredni wpływ na bezpieczeństwo danych pacjentów, jakość usług medycznych cyfrowych oraz zaufanie społeczne do rozwiązań e-zdrowia. Monitoring dalszych prac legislacyjnych i aktywne uczestnictwo środowiska medycznego i technologicznego pozostają kluczowe.
