Dr Paweł Kaźmierczyk: AI Act i EHDS w ochronie zdrowia – jak je wdrażać w placówkach medycznych

/appFiles/site_102/images/autor/s0DQ6hCJ3acUnRe.jpeg

Autor: Magdalena Pokrzycka-Walczak

Dodano: 15 września 2025
Dr Paweł Kaźmierczyk: AI Act i EHDS w ochronie zdrowia – jak je wdrażać w placówkach medycznych

AI Act i EHDS to nie przyszłość – to realne obowiązki dla placówek medycznych. Jak bezpiecznie wdrażać unijne regulacje, budować zaufanie do innowacji i skutecznie mapować procesy? Sprawdź, co musisz uwzględnić już dziś. Rozmowa z dr. Pawłem Kaźmierczykiem, ekspertem prawa medycznego.

  • Największym wyzwaniem przy wdrażaniu AI Act i EHDS jest stworzenie spójnej strategii łączącej wymagania prawne, techniczne, organizacyjne i finansowe.

  • Wymaga to interoperacyjności systemów, inwestycji w infrastrukturę i kompetencje cyfrowe oraz zapewnienia cyberbezpieczeństwa i zaufania publicznego.

  • Brak całościowego podejścia grozi fragmentaryzacją dostępu do danych i utrwaleniem obecnych problemów w e-zdrowiu.

W czasie niedawnej konferencji AI & MedTech CEE 2025 mówił Pan o 10 kluczowych wyzwaniach związanych z implementacją Aktu o Sztucznej Inteligencji (ang. AI Act) i Europejskiej Przestrzeni Danych Medycznych (ang. EHDS). Które z wyzwań jest najbardziej złożone pod względem prawnym i organizacyjnym, a także wymaga nakładu czasu i środków finansowych?

Zasadnicza trudność związana z wdrożeniem AI Act i EHDS wynika ze złożonego charakteru materii regulowanej przez te akty prawne i ich wzajemnych powiązań. Mówimy tu o kwestiach znajdujących się na styku prawa, technologii, zdrowia, cyberbezpieczeństwa oraz etyki. Jeżeli chcemy wykorzystać te regulacje do stworzenia nowoczesnego, przyjaznego innowacjom sektora ochrony zdrowia, musimy połączyć wiele różnych elementów – od spójnych ram legislacyjnych, przez interoperacyjność, inwestycje w sprzęt i oprogramowanie, cyberbezpieczeństwo, rozwój kompetencji cyfrowych, aż po mechanizmy zarządzania ryzykiem, transparentności i budowę zaufania publicznego do systemu e-zdrowia. Wymaga to pomysłu i planu działania, całościowego podejścia i koordynacji. W innym przypadku próba wdrożenia tych aktów może prowadzić do fragmentaryzacji (np. część danych będzie dostępna, a część nie)i ugruntowania obecnych problemów – jeżeli reforma związana z EHDS nie zwiększy faktycznej dostępności do danych, na kolejny impuls do istotnych zmian być może będziemy musieli czekać kolejne kilkanaście lat.

AI Act dotyczy systemów sztucznej inteligencji. Obejmuje m.in. rozwiązania wykorzystywane w procesach diagnostycznych i terapeutycznych w ochronie zdrowia. Tego rodzaju innowacyjne narzędzia już od 2027 roku będą musiały spełniać rygorystyczne wymogi związane z jakością i bezpieczeństwem, które będą związane m.in. z wykorzystywanymi danymi. Rozwój AI zależy od dostępu do danych, a w tej dziedzinie w ochronie zdrowia czeka nas EHDS, która wprowadza nowy paradygmat zarządzania danymi medycznymi. Przede wszystkim ma zwiększyć możliwości ich wtórnego wykorzystywania (tzw. secondary use), czyli m.in. wykorzystywania zanonimizowanych danych na potrzeby trenowania algorytmów AI. Aby to było możliwe, musimy jednak wiedzieć, gdzie są potrzebne nam dane, jak można uzyskać do nich dostęp. Ten dostęp musi być technicznie możliwy, dane muszą być w formatach możliwych do odczytania przez różne systemy, a do tego musimy zapewnić cyberbezpieczeństwo. Tymczasem dziś najpopularniejszą formą udostępniania elektronicznej dokumentacji medycznej przez szpitale jest jej wydruk i wysyłka tradycyjną pocztą. W tym zakresie jest więc jeszcze sporo pracy przed nami.

To, czego w pierwszej kolejności potrzebujemy, to strategia działania, która będzie wyznaczać konkretne zadania, wskazywać ich realizatorów, przewidywać budżet i harmonogram uwzględniający rozłożone w czasie obowiązki wynikające zarówno z AI Act, jak i EHDS.

Taka strategia powinna być dokumentem operacyjnym, a nie deklaratywnym – zawierającym jasne priorytety, mierzalne wskaźniki postępu oraz mechanizmy monitorowania. To umożliwi sprawniejsze połączenie innowacyjności z bezpieczeństwem, rozwoju technologicznego z ochroną praw pacjenta.

Jak stworzyć innowacyjne rozwiązania w ochronie zdrowia, które dają poczucie zaufania zarówno lekarzowi, jak i pacjentowi?

To trudne zadanie. Innowacyjne rozwiązania ze swej natury wiążą się z niepewnością i ryzykiem. Tymczasem w ochronie zdrowia bezpieczeństwo jest priorytetem. Stąd m.in. wymóg badań klinicznych i oceny ryzyka. Z drugiej strony w obecnych warunkach zbyt długotrwały proces walidacji nowych technologii może skutkować tym, że zanim wdrożymy na szerszą skalę jakieś skuteczne rozwiązanie (np. dodając je do koszyka świadczeń gwarantowanych), będzie ono już na starcie przestarzałe technologicznie, a na rynku dostępne będą jeszcze lepsze narzędzia. Kluczowe wydaje się więc wypracowanie nowego podejścia do oceny technologii nielekowych, tzw. HTA, które będą dostarczać w rozsądnym czasie wystarczająco wiarygodne informacje na temat skuteczności, bezpieczeństwa, kosztów i wpływu badanej technologii na system opieki zdrowotnej. Pomocne jest także wypracowywanie standardów stosowania innowacji, np. systemów AI. Profesjonaliści medyczni powinni mieć jasne wskazówki, w czym i w jaki sposób nowe narzędzia mogą im pomóc, jak stosować je zgodnie z prawem.

Czy nie obawia się Pan, że wprowadzenie wymagań zgodnych z AI Act i EHDS może spowodować istotne ograniczenie rozwoju AI w ochronie zdrowia?

Zdecydowanie bardziej obawiam się przegapienia szansy, którą te regulacje stwarzają – zarówno dla systemu opieki zdrowotnej, jak i dla polskich twórców technologii medycznych. AI Act i EHDS nie są regulacjami zakazującymi czy blokującymi innowacje. Wręcz przeciwnie, mają je stymulować, tworząc przy tym standard zaufania i jakości, bez którego szerszy dostęp do danych i powszechne wdrożenia AI w sektorze zdrowia mogłyby się nie udać. Oczywiście, dodatkowe wymogi m.in. dla producentów systemów AI wykorzystywanych w ochronie zdrowia wiążą się ze zwiększonymi kosztami ich tworzenia, ale z drugiej strony dają użytkownikom gwarancję odpowiedniego bezpieczeństwa. Ważne będzie też wypracowanie odpowiedniej praktyki stosowania nowego prawa – na początku wszyscy będziemy się uczyć, jak podejść do egzekwowania AI Act. Zbytni i nieuzasadniony rygoryzm w tym zakresie faktycznie może prowadzić do ograniczenia stosowania i rozwoju AI z obawy o ewentualne sankcje.

Od czego Pana zdaniem rozpocząć aktualizację i ujednolicenie dokumentów strategicznych w placówce medycznej, aby jak najbardziej efektywnie przygotować się do wdrożenia kolejnych zaleceń i zasad AI Act i EHDS?

Aktualizację i ujednolicenie dokumentów w placówce medycznej warto rozpocząć od mapowania punktów styku między tymi regulacjami a kluczowymi procesami i systemami. Chodzi o to, aby zidentyfikować, które obszary działalności będą objęte nowymi wymogami. Na przykład, czy i gdzie już dziś lekarze lub personel administracyjny wykorzystują rozwiązania oparte na sztucznej inteligencji? Gdzie planujemy ich wdrożenie w przyszłości, np. w diagnostyce obrazowej, analizie EKG, systemach triażu, planowaniu zasobów, mo-nitorowaniu stanu pacjenta czy analizie dokumentacji? Jakie dokumenty medyczne są obecnie prowadzone wyłącznie papierowo? Które systemy będą musiały zostać dostosowane, aby spełnić nowe kryteria interoperacyjności i zgodności z zasadami udostępniania danych w ramach EHDS?

Na tym etapie warto przeprowadzić inwentaryzację systemów IT i procesów obiegu danych, która obejmie wszystkie wykorzystywane rozwiązania – od systemów HIS, RIS, CIS, PACS, przez stosowane narzędzia analityczne i moduły wspierania decyzji klinicznych, aż po czatboty, aplikacje mobilne i portale pacjenta. Warto również spojrzeć szerzej na procedury dotyczące przetwarzania danych zdrowotnych. Dopiero mając taki przegląd, można świadomie przystąpić do aktualizacji dokumentacji wewnętrznej, czyli polityk ochrony danych, bezpieczeństwa informacji, zarządzania ryzykiem, zasad współpracy z dostawcami systemów IT, ale również strategii rozwoju cyfryzacji i innowacji w placówce. W świetle AI Act potrzebne będą nowe procedury związane z tą technologią. Warto to robić w sposób uporządkowany i etapowy, bo nowe regulacje będą wchodzić w życie stopniowo.

Na czym polega podejście „security by design and by default” w ochronie zdrowia? Jak efektywnie wdrażać to zalecenie w praktyce?

Podejście to bazuje na założeniu, że bezpieczeństwo danych i systemów nie jest „dodatkiem” wdrażanym na końcu, lecz jest wbudowane w projekt od samego początku – już na etapie planowania, budowy i wdrażania nowych narzędzi (np. systemów do zarządzania dokumentacją medyczną, AI analizujących obrazy radiologiczne czy aplikacji mobilnych dla pacjentów). Systemy i usługi powinny być domyślnie skonfigurowane w sposób najbardziej bezpieczny, tak aby ograniczyć ryzyko nieuprawnionego dostępu do danych lub ich nadmiernego ujawnienia, bez konieczności dodatkowej interwencji ze strony użytkownika.

Przede wszystkim każdy projekt z obszaru e-zdrowia, czy to wdrożenie nowego modułu sztucznej inteligencji, aplikacji mobilnej dla pacjentów, czy usługi telemedycznej, powinien już na etapie planowania obejmować szczegółową analizę ryzyka. Chodzi o to, aby zidentyfikować potencjalne zagrożenia związane z bezpieczeństwem danych medycznych i funkcjonowaniem systemów oraz ocenić ich wpływ na ochronę pacjentów i ciągłość działania.

Kolejnym kluczowym elementem jest projektowanie systemów w sposób bezpieczny od podstaw, czyli tak, aby zabezpieczenia były wbudowane na każdym poziomie – od warstwy przechowywania danych, przez szyfrowanie transmisji, mechanizmy uwierzytelniania i kontroli dostępu, aż po interfejsy użytkownika. Ważne jest też, aby domyślnie ograniczać dostęp do danych wyłącznie do tych osób i systemów, które faktycznie ich potrzebują. Ponadto wdrożenie tych zasad wymaga aktualizacji i dostosowania polityk bezpieczeństwa, jasnego określenia ról i odpowiedzialności w zakresie ochrony danych oraz systematycznego monitorowania i testowania zabezpieczeń.

DR PAWEŁ KAŹMIERCZYK

Radca prawny, senior associate w departamencie korporacyjnym kancelarii Rymarz Zdort Maruta oraz członek praktyki Life Sciences. Specjalizuje się w prawie medycznym, w tym m.in. w zasadach prowadzenia działalności leczniczej, wykonywania zawodów medycznych, prawach pacjenta, badaniach klinicznych, a także prawnych zagadnieniach związanych z telemedycyną i e-zdrowiem, sztuczną inteligencją i innowacjami w ochronie zdrowia.
Zaangażowany w projekty realizowane we współpracy z organizacjami branżowymi, m.in. z fundacją Telemedyczna Grupa Robocza (w której pełni też funkcję członka zarządu), Koalicją AI w zdrowiu, siecią lekarzy innowatorów NIL IN. Koordynuje merytoryczne prace nad zatwierdzonym przez PUODO w 2023 roku kodeksem postępowania dla sektora ochrony zdrowia.
Członek Komisji Ekspertów ds. Zdrowia przy Rzeczniku Praw Obywatelskich. Wykładowca studiów podyplomowych z zakresu prawa medycznego oraz prawnych aspektów stosowania nowych technologii w medycynie. Współautor komentarzy do ustaw z zakresu prawa medycznego.


Magdalena Pokrzycka-Walczak