Sztuczna inteligencja (AI) coraz śmielej wkracza do polskich szpitali, przychodni i laboratoriów – od systemów wspierających diagnostykę obrazową, przez automatyczną rejestrację pacjentów, po zarządzanie danymi medycznymi. Nowoczesne technologie niosą jednak ze sobą nie tylko korzyści, ale także poważne wyzwania prawne i etyczne: ochrona prywatności, niedyskryminacja, transparentność, bezpieczeństwo pacjenta. Od sierpnia 2024 r. europejskie regulacje – w tym AI Act – oraz nowe normy techniczne (m.in. IEEE 7000-2021) narzucają na placówki medyczne i ich dostawców obowiązek wdrażania systemów AI zgodnie z rygorystycznymi standardami etycznymi i bezpieczeństwa.
Ten poradnik wyjaśnia, jak w praktyce połączyć zgodność z prawem, etykę i cyberbezpieczeństwo AI w sektorze zdrowia – krok po kroku, z przykładami i praktyczną checklistą.
Znaczenie normy IEEE 7000-2021 w praktyce medycznej
Norma IEEE 7000-2021 to pierwszy międzynarodowy standard, który formalizuje proces integracji wartości etycznych na każdym etapie projektowania systemów technicznych – zwłaszcza tych, które wykorzystują sztuczną inteligencję. Nie jest to dokument „na półkę”: stosowanie tej normy pomaga placówkom medycznym uniknąć błędów, które mogą prowadzić do naruszenia praw pacjenta, wycieków danych lub dyskryminacji.
Kiedy norma jest obowiązkowa?
Normy techniczne – takie jak IEEE 7000-2021 – nie są same w sobie źródłem prawa, ale mogą stać się obligatoryjne w trzech głównych przypadkach:
- gdy przepisy prawa (np. ustawy, rozporządzenia, decyzje regulatorów) wprost się do nich odwołują,
- gdy stosowanie normy wynika z zapisów umowy, np. między szpitalem a dostawcą oprogramowania,
- gdy normę wskazano w specyfikacji zamówienia publicznego lub przetargu.
W praktyce oznacza to, że każda placówka medyczna wdrażająca AI powinna sprawdzić, czy nie jest zobowiązana do stosowania normy IEEE 7000-2021 lub pokrewnych (np. ISO/IEC 27001). Dodatkowo, stosowanie tych norm może pomóc w udowodnieniu tzw. należytej staranności w razie sporu sądowego lub kontroli.
Nowe obowiązki dla medycyny – AI Act i klasyfikacja systemów AI
Od sierpnia 2024 r. w całej UE obowiązuje AI Act – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689, które ustanawia jednolite przepisy dotyczące wykorzystywania AI, w tym w ochronie zdrowia.
Systemy AI w ochronie zdrowia zostały sklasyfikowane jako tzw. systemy wysokiego ryzyka, a więc objęte są dodatkowymi wymaganiami:
- wdrożenie systemu zarządzania ryzykiem,
- prowadzenie pełnej dokumentacji technicznej,
- zapewnienie transparentności (informowanie użytkowników, gdy mają do czynienia z AI),
- zagwarantowanie nadzoru człowieka nad działaniem AI,
- ochrona przed dyskryminacją i stronniczością algorytmów,
- poszanowanie praw podstawowych (np. prawa do prywatności, ochrony zdrowia, równego traktowania),
- ocena wpływu systemu na prawa podstawowe,
- dokumentowanie procesów zapewniających zgodność z etyką i przepisami.
Stosowanie normy IEEE 7000-2021, obok np. ISO/IEC 27001, staje się więc w praktyce kluczowym narzędziem do spełnienia tych wymagań.
Jak wdrożyć normę IEEE 7000-2021 w placówce medycznej? (Praktyczny przewodnik)
Wdrożenie normy to nie tylko formalność – to praktyczny proces, który daje realne korzyści: bezpieczeństwo prawne, lepszą jakość usług i zaufanie pacjentów.
1. Identyfikacja interesariuszy i ich wartości
Pierwszy krok to ustalenie, kto będzie miał kontakt z systemem AI i jakie ma oczekiwania oraz obawy:
- użytkownicy końcowi (np. lekarze, pielęgniarki, pacjenci),
- administratorzy IT,
- dostawcy systemu,
- organy nadzoru (np. PUODO, NFZ),
- szeroko rozumiane społeczeństwo (np. rodziny pacjentów, organizacje pacjenckie).
Przykład 1:
W Szpitalu Miejskim w Opolu wdrażany jest system AI wspierający triaż pacjentów na SOR. Analizując interesariuszy, zespół wdrożeniowy dostrzegł, że pielęgniarki obawiają się błędnej klasyfikacji, a pacjenci – udostępnienia swoich danych osobowych.
Dobre praktyki:
- przeprowadź warsztaty z udziałem reprezentantów wszystkich grup,
- zbierz i udokumentuj najważniejsze wartości (np. poszanowanie prywatności, przejrzystość działania, równość w traktowaniu).
Analiza etyczna systemów AI w ochronie zdrowia
Po zidentyfikowaniu interesariuszy kolejnym kluczowym krokiem jest analiza etyczna. Chodzi o dogłębną ocenę, jakie dylematy i potencjalne ryzyka niesie wdrożenie systemu AI – zarówno dla pacjentów, jak i personelu czy organizacji.
Na co zwrócić uwagę podczas analizy etycznej?
- Prywatność i ochrona danych – Czy dane pacjentów są gromadzone w minimalnym, koniecznym zakresie? Czy są właściwie anonimizowane?
- Niedyskryminacja – Czy algorytmy nie powielają uprzedzeń lub nie prowadzą do nierównego traktowania określonych grup (np. wiekowych, płciowych)?
- Bezpieczeństwo – Czy system AI nie wprowadza nowych zagrożeń, np. nieautoryzowanego dostępu do dokumentacji?
- Dobrostan społeczny i środowiskowy – Czy wdrożenie systemu przynosi realne korzyści, a nie tylko ryzyka? Czy wspiera rozwój kompetencji personelu, nie marginalizując ludzkiego nadzoru?
- Zgodność z prawem i normami etycznymi – Czy system spełnia wymogi wynikające z AI Act, RODO oraz innych przepisów?
Przykład 2:
Centrum Medyczne Medica24 wdraża system do zarządzania rejestracją online pacjentów z modułem AI rozpoznającym powtarzalne błędy w zgłoszeniach. Analiza etyczna wykazała, że algorytm początkowo częściej blokował rejestracje osób starszych, które popełniały błędy w formularzu. Po wykryciu tej niezamierzonej dyskryminacji zespół wdrożeniowy zmodyfikował algorytm oraz dodał opcję pomocy online.
Przekładanie wartości etycznych na wymagania techniczne
Wartości etyczne, które zostały zidentyfikowane i przeanalizowane, muszą być przekute na konkretne funkcje i rozwiązania techniczne. To jeden z najważniejszych momentów w procesie projektowania.
Jak to zrobić w praktyce?
- Prywatność:
- wprowadzenie szyfrowania danych medycznych,
- minimalizacja gromadzonych informacji (tylko niezbędne dane),
- zapewnienie pacjentom kontroli nad własnymi danymi.
- Niedyskryminacja:
- testowanie algorytmów na zróżnicowanych danych,
- stała analiza wyników pod kątem stronniczości,
- możliwość zgłoszenia przez użytkownika, gdy uzna wynik AI za niesprawiedliwy.
- Transparentność:
- jasne informowanie użytkownika, że ma do czynienia z AI,
- wyjaśnialność rekomendacji systemu (np. dlaczego taka, a nie inna diagnoza).
- Nadzór człowieka:
- zawsze ostateczna decyzja należy do lekarza,
- dokumentowanie wszystkich działań systemu,
- możliwość „odwołania się” od decyzji AI.
Dobre praktyki:
W procesie projektowania angażuj zespół multidyscyplinarny – nie tylko informatyków, ale także prawników, lekarzy i przedstawicieli pacjentów.
Weryfikacja i walidacja zgodności z normą IEEE 7000-2021
Samo wdrożenie normy nie wystarczy – niezbędna jest regularna weryfikacja i walidacja. Oznacza to testowanie systemu AI pod kątem:
- zgodności z wymaganiami technicznymi i etycznymi,
- skutków niezamierzonych (np. przypadkowej dyskryminacji, wycieków danych),
- aktualności z prawem i realiami technologicznymi.
Jak wygląda praktyczna weryfikacja?
- Regularne testy i audyty systemu,
- Konsultacje z użytkownikami końcowymi i interesariuszami,
- Wprowadzenie mechanizmu zgłaszania incydentów lub nieprawidłowości,
- Monitoring zmian w przepisach prawa (AI Act, RODO).
Warto wdrożyć mechanizmy monitoringu działania AI także po zakończeniu wdrożenia – np. comiesięczne raporty, panel do zgłaszania problemów przez użytkowników.
Dokumentacja i transparentność – budowanie zaufania do AI
Norma IEEE 7000-2021 kładzie szczególny nacisk na pełną dokumentację procesu – nie tylko na początku, ale przez cały cykl życia systemu.
Dokumentacja powinna obejmować:
- opis wszystkich interesariuszy i ich oczekiwań,
- wyniki analizy etycznej i ryzyka,
- opis zastosowanych rozwiązań technicznych,
- wyniki weryfikacji i walidacji,
- mechanizmy nadzoru i raportowania,
- procedury reagowania na incydenty.
Transparentność – czyli gotowość do udostępnienia wybranych informacji interesariuszom i organom kontrolnym – buduje zaufanie do organizacji oraz minimalizuje ryzyka reputacyjne.
Przykłady zastosowania normy IEEE 7000-2021 w praktyce medycznej
Przykład 1: System AI wspierający diagnostykę obrazową
W Wojewódzkim Szpitalu Specjalistycznym w Gliwicach wdrożono system wspierający analizę zdjęć rentgenowskich.
W praktyce:
- przeprowadzono warsztaty z udziałem lekarzy, techników, informatyków i pacjentów,
- określono najważniejsze wartości: bezpieczeństwo, równość dostępu, prywatność,
- wprowadzono mechanizmy podwójnej weryfikacji diagnoz (AI + lekarz),
- system przeszedł niezależny audyt pod kątem zgodności z AI Act i normami ISO/IEC 27001,
- wdrożono jasne procedury zgłaszania błędów i incydentów.
Przykład 2: System rejestracji pacjentów online
Przychodnia Lekarska w Rzeszowie wdrożyła system AI do analizy rejestracji online i rozpoznawania potencjalnych nadużyć.
W procesie wdrożenia:
- przeanalizowano, czy algorytm nie dyskryminuje pacjentów słabiej radzących sobie z nowymi technologiami,
- stworzono instrukcje i pomoc online dla seniorów,
- system rejestruje wszystkie decyzje AI w logach, co ułatwia weryfikację i ewentualne odwołania,
- dokumentacja wdrożeniowa dostępna jest dla pacjentów i personelu na stronie internetowej.
Gotowa checklista wdrożeniowa – AI zgodnie z IEEE 7000-2021 i AI Act
🟩 Krok 1: Zidentyfikuj interesariuszy i ich oczekiwania/obawy
🟩 Krok 2: Przeprowadź analizę etyczną i ryzyka
🟩 Krok 3: Przekuj wartości etyczne na konkretne wymagania techniczne (np. szyfrowanie, mechanizmy zgłaszania błędów, nadzór człowieka)
🟩 Krok 4: Przeprowadź testy, walidację i audyty
🟩 Krok 5: Ustal i wdroż procedury monitoringu oraz reagowania na incydenty
🟩 Krok 6: Zapewnij pełną i aktualną dokumentację całego procesu
🟩 Krok 7: Regularnie aktualizuj system pod kątem zmian prawnych i technologicznych
Podsumowanie
Stosowanie normy IEEE 7000-2021 w połączeniu z wymaganiami AI Act oraz innymi standardami (np. ISO/IEC 27001) pozwala zapewnić bezpieczeństwo, zgodność prawną i etykę w wykorzystywaniu AI w medycynie. Przemyślane wdrożenie nie tylko minimalizuje ryzyko błędów, ale także buduje zaufanie pacjentów i całego otoczenia. Korzyści? Spokój prawny, wyższa jakość usług i przewaga rynkowa.
Podstawa prawna
- art. 113, art. 6 ust. 1, art. 101 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji (AI Act)
- art. 5, art. 24, art. 32 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO)
- IEEE 7000-2021 Modelowy proces uwzględniania kwestii etycznych podczas projektowania systemów
- ISO/IEC 27001 Standard zarządzania bezpieczeństwem informacji
- ISO/IEC 19941 Standardy chmury obliczeniowej
Tematy porad zawartych w poradniku
- wdrożenie AI w medycynie zgodnie z normami
- bezpieczeństwo AI w ochronie zdrowia
- zgodność z AI Act w szpitalu
- etyczne wdrażanie AI 2025
- ochrona danych pacjentów a AI
Przydatne adresy urzędowe
- https://uodo.gov.pl/ – Urząd Ochrony Danych Osobowych
- https://www.gov.pl/web/zdrowie – Ministerstwo Zdrowia
- https://www.eur-lex.europa.eu/ – Oficjalny portal aktów prawnych Unii Europejskiej
- https://www.ieee.org/ – Institute of Electrical and Electronics Engineers