Koniec dyżuru, dokumentacji przybywa, a narzędzie AI kusi, żeby wkleić opis pacjenta i poprosić o szybkie podsumowanie. Aplikacja proponuje rozpoznanie, zanim zdążysz wyrobić sobie własne zdanie. Producent reklamuje system, który „sam" oceni wynik badania. Wszystkie te sytuacje mają wspólny mianownik. W tle pracuje sztuczna inteligencja, a jej materiałem są dane o zdrowiu pacjenta i decyzje, które dotyczą jego życia.
O ochronie tych danych pisaliśmy przy okazji RODO. Teraz dochodzi druga warstwa, czyli AI Act, pierwsze unijne przepisy napisane wprost o sztucznej inteligencji. Brzmi to jak temat dla działu prawnego, ale to nie prawnik klika „wyślij", tylko lekarz. To jego rękami dane pacjenta opuszczają gabinet.
Większość z nas korzysta dziś z takich narzędzi, i dobrze. Rzecz w tym, żeby wiedzieć, gdzie przebiega granica. Jedno nie zmienia się niezależnie od przepisów. Dane identyfikujące pacjenta zostają w bezpiecznym, kontrolowanym środowisku, a do narzędzi spoza medycyny trafia wyłącznie treść pozbawiona cech, które pozwoliłyby rozpoznać konkretną osobę.
Samo skreślenie nazwiska nie wystarcza. Jeśli zostawisz rzadkie rozpoznanie, datę i małą miejscowość, pacjenta nadal da się rozpoznać, a takie informacje wciąż są danymi osobowymi. W praktyce mówimy więc raczej o pozbawieniu opisu cech identyfikujących niż o pełnej anonimizacji w sensie prawnym, bo o tę drugą, nieodwracalną, w opisie przypadku trudno. Presja czasu w gabinecie jest faktem, ale tajemnica lekarska obejmuje także to, co wpisujesz do narzędzi cyfrowych.
AI Act to unijne rozporządzenie, które porządkuje korzystanie ze sztucznej inteligencji według poziomu ryzyka. Im poważniejsze skutki może mieć dany system dla człowieka, tym surowsze wymagania wobec jego twórcy i wobec tego, kto go wdraża.
Medycyna trafia tu wysoko. Sztuczna inteligencja, która wspiera diagnostykę albo decyzję kliniczną lub jest częścią wyrobu medycznego, należy do kategorii wysokiego ryzyka. To samo prawo, które pilnuje systemów decydujących o kredycie czy zatrudnieniu, obejmuje aplikację analizującą zdjęcie rentgenowskie lub podpowiadającą rozpoznanie.
Wysokie ryzyko oznacza konkretne obowiązki, takie jak zarządzanie ryzykiem, dbałość o jakość i pochodzenie danych, dokumentacja, przejrzystość i nadzór człowieka. Większość z nich spoczywa nie na lekarzu, ale na twórcy narzędzia i na placówce, która je wdraża. Podobnie jak przy RODO, to placówka jako administrator ocenia ryzyko i zawiera umowę z dostawcą. Jeśli prowadzisz własny gabinet, część tych obowiązków placówki spoczywa wtedy na Tobie.
Jedna zasada sięga jednak wprost do gabinetu. Nadzór człowieka ma być realny. System wysokiego ryzyka powinien być zaprojektowany tak, żeby człowiek mógł go skutecznie skontrolować i w razie potrzeby odrzucić podpowiedź. To nie może być podpis pod czymś, czego nie sprawdziłeś. Sztuczna inteligencja może podpowiadać, ale gdy w grę wchodzi zdrowie, ostatnie słowo należy do lekarza. Mówi to wprost także Kodeks Etyki Lekarskiej.
Bądźmy szczerzy, o terminy najłatwiej się potknąć. AI Act wszedł w życie w 2024 roku, ale jego przepisy zaczynają obowiązywać etapami. Zakazy najbardziej szkodliwych zastosowań ruszyły wcześniej, a pełne obowiązki dla AI w wyrobach medycznych wprowadzane są najpóźniej.
W 2026 roku UE poszła w stronę dodatkowego przesunięcia tych terminów w pakiecie „Digital Omnibus". Dla narzędzi wbudowanych w wyroby medyczne planowana data stosowania przesuwa się z 2027 na 2028 rok. Kalendarz wdrożenia wciąż się dopina, więc konkretnych dat nie traktuj jak ostatecznych.
Co z tego wynika dla lekarza? Dziś, przy danych pacjenta, najtwardsze obowiązki nie biorą się z AI Act, ale z RODO i z tajemnicy lekarskiej, o których pisaliśmy poprzednio. Warto przy tym pamiętać, że narzędzie będące wyrobem medycznym i tak musi już dziś mieć oznakowanie CE, niezależnie od kalendarza AI Act. Samo rozporządzenie o AI kształtuje przede wszystkim to, jakie narzędzia w ogóle trafią do gabinetu, i utrwala zasadę znaną już z etyki, że za decyzją stoi człowiek.
Łatwo widzieć w przepisach samo obciążenie, choć działają one na korzyść obu stron. Cyfrowa medycyna opiera się na zaufaniu. Pacjent dzieli się najbardziej osobistymi informacjami w przekonaniu, że pozostaną chronione i że o jego leczeniu zdecyduje lekarz, a nie algorytm. Jasne i przewidywalne reguły, czyli to, kto odpowiada za narzędzie, jak chronione są dane i kto podejmuje decyzję, są filarem tego zaufania.
Piszemy o tym jako lekarka i prawnik, z dwóch stron tego samego problemu. Przejrzyste przepisy o bezpieczeństwie danych traktujemy nie jako przeszkodę, ale jako warunek, na którym cyfrowa medycyna może się oprzeć.
Po pierwsze, dane identyfikujące pacjenta nie opuszczają kontrolowanego środowiska, a do narzędzi spoza medycyny trafia wyłącznie treść pozbawiona cech identyfikujących.
Po drugie, AI Act zalicza medyczne zastosowania AI do wysokiego ryzyka i obciąża głównie twórców narzędzi oraz placówkę, lekarzowi zostawiając realny nadzór nad rozstrzygnięciem.
Po trzecie, obowiązki AI Act wchodzą etapami, a ich terminy się przesuwają, więc dziś przy danych pacjenta wiążą Cię w pierwszej kolejności RODO i tajemnica lekarska. Wszystkie trzy zasady stoją po stronie lekarza, bo to on pracuje najbliżej pacjenta.
Artykuł wyraża własne doświadczenia autorów. Nie stanowi on porady prawnej i nie może być traktowany jako oficjalne stanowisko ZnanyLekarz sp. z o.o.