Konsultacje publiczne projektu ustawy o rozwoju usług e-zdrowia zakończyły się zgromadzeniem ponad 200 uwag od instytucji publicznych, organizacji branżowych i ekspertów. W wielu miejscach pojawiły się te same zastrzeżenia, zgłaszane z różnych perspektyw. Najczęściej krytykowane obszary to regulacja sztucznej inteligencji, zasady przetwarzania danych pacjentów oraz wymagania dotyczące cyberbezpieczeństwa.

Najważniejsze luki wykryte w konsultacjach

Sztuczna inteligencja — brak precyzyjnych ram

Wskazywano, że projekt nie definiuje wystarczająco precyzyjnie roli rozwiązań opartych na sztucznej inteligencji w systemie e-zdrowia. Brakuje jasnych wymogów dotyczących walidacji algorytmów, monitorowania ich działania oraz mechanizmów odpowiedzialności za błędy. Eksperci postulują wprowadzenie norm dotyczących:

  • oceny ryzyka i obowiązkowej dokumentacji modeli AI (model cards / datasheets),
  • wymogu oceny wpływu na prawa pacjenta (AI impact assessment),
  • zasad nadzoru i obowiązku zapewnienia możliwości interwencji człowieka w decyzje krytyczne dla zdrowia.

Przetwarzanie danych — wątpliwości prawne i operacyjne

W uwagach często pojawiał się zarzut niejasności w zakresie podstaw prawnych przetwarzania danych medycznych, zasad udostępniania danych między podmiotami oraz mechanizmów anonimizacji i pseudonimizacji. Krytykowano też brak szczegółowych reguł dotyczących:

  • zakresu zgody pacjenta i jej formy w środowisku cyfrowym,
  • zasady minimalizacji danych i ograniczenia celu przetwarzania,
  • procedur udostępniania danych do badań naukowych i rozwoju usług komercyjnych.

Cyberbezpieczeństwo — wymagania zbyt ogólne

Wielu interesariuszy wskazało, że zapisy dotyczące bezpieczeństwa informacji mają charakter ogólny i nie precyzują technologicznych oraz organizacyjnych środków, które muszą być wdrożone. Do najczęstszych postulatów należały:

  • wprowadzenie minimalnych standardów szyfrowania danych w tranzycie i w spoczynku,
  • wymóg prowadzenia regularnych testów penetracyjnych i audytów bezpieczeństwa,
  • jasne reguły dotyczące zgłaszania incydentów i współpracy z krajowymi zespołami CERT.

Rekomendacje płynące z konsultacji

Na podstawie zgłoszonych uwag można sformułować kilka praktycznych rekomendacji dla ustawodawcy:

  1. Precyzować definicje i zakres zastosowań AI w e-zdrowiu oraz wprowadzić obowiązkowe oceny ryzyka dla systemów decyzyjnych.
  2. Uregulować zasady przetwarzania danych zgodnie z dobrymi praktykami GDPR: przewidzieć jasne podstawy prawne, mechanizmy minimalizacji danych oraz procedury anonimizacji.
  3. Określić minimalne wymagania techniczne i organizacyjne w zakresie cyberbezpieczeństwa, w tym szyfrowanie, monitoring, backup i obowiązek audytów.
  4. Wprowadzić mechanizmy transparentności i rozliczalności: rejestry modeli AI, logowanie dostępu do danych oraz mechanizmy odwoławcze dla pacjentów.
  5. Stosować podejście etapowe — pilotaże i oceny przed pełnym wdrożeniem, aby zidentyfikować ryzyka i poprawić regulacje na podstawie realnych doświadczeń.

Co dalej?

Projekt ustawy ma przed sobą fazę uwzględniania zgłoszonych uwag i dopracowywania zapisów. Kluczowe będzie, aby ustawodawca uwzględnił rekomendacje ekspertów i branży oraz zapewnił mechanizmy aktualizacji przepisów w odpowiedzi na szybką ewolucję technologii. Bez wyraźnych standardów dotyczących AI, ochrony danych i bezpieczeństwa cyfrowego istnieje ryzyko, że rozwiązania e-zdrowia będą podatne na błędy systemowe, naruszenia prywatności i incydenty bezpieczeństwa.

Publiczne konsultacje pokazały jednoznacznie: szybkie wdrożenie technologii w sektorze zdrowia wymaga równie szybkiego i precyzyjnego dopasowania reguł prawnych.

Ostateczny kształt ustawy będzie miał bezpośredni wpływ na bezpieczeństwo danych pacjentów, jakość usług medycznych cyfrowych oraz zaufanie społeczne do rozwiązań e-zdrowia. Monitoring dalszych prac legislacyjnych i aktywne uczestnictwo środowiska medycznego i technologicznego pozostają kluczowe.