Ochrona danych w robotyce medycznej w dobie AI ACT i EHDS - konferencja [AKTUALIZACJA]
15 października br. odbyła się konferencja UODO i Fundacji AI One Health „Ochrona danych w robotyce medycznej w dobie AI ACT i EHDS”, współorganizowana przez Izbę POLMED i Ośrodek Przetwarzania Informacji – Państwowy Instytut Badawczy, we współpracy ze Społecznym Zespołem Ekspertów przy PUODO.
„Zmienia się otoczenie prawne w zakresie pozyskiwania i przechowywania danych medycznych, a EHDS wprowadza nowe ramy dla bezpiecznego wykorzystania danych medycznych na poziomie europejskim” – zaznaczył na początku spotkania Mirosław Wróblewski, prezes UODO.
PUODO zwrócił uwagę na istotę ścisłej współpracy oraz klarownych regulacji między technologią a ochroną danych, kluczowych zarówno dla zapewnienia prywatności pacjentów, jak i dla postępu medycznego. Wobec tych wyzwań ogromną rolę odgrywa Akt o Sztucznej Inteligencji (AI Act) oraz Europejska Przestrzeń Danych Dotyczących Zdrowia (EHDS), które mają na celu monitorowanie i regulację przetwarzania danych dotyczących zdrowia.
Jak zaakcentował Prezes UODO, motyw 16 projektu rozporządzenia o EHDS nakłada na UODO, jak i na pozostałe organy nadzorcze, obowiązek monitorowania zgodności przepisów dotyczących przetwarzania danych osobowych w kontekście AI. Urząd będzie więc odpowiedzialny za sprawdzanie, czy podmioty przetwarzające dane medyczne przestrzegają przepisów o ochronie danych osobowych.
Postęp medyczny a dostęp do danych
Harmonijne połączenie bezpieczeństwa danych medycznych, jakie daje EHDS z ich innowacyjnym wykorzystaniem może przyczynić się do znacznego postępu w medycynie.
Zaznaczono, że wejście w kolejny etap postępu technologicznego – technologię zdrowia, różni od poprzedniego etapu to, że może działać na odległość, także dzięki robotom.
Usługi zdrowotne uzależnione są od danych, jakie dostarczają wyniki badań uzyskane przy pomocy różnego rodzaju urządzeń. Urządzenia te mogą myśleć, uczyć się i podejmować autonomicznie decyzje, a na podstawie stale przetwarzanych informacji aktualizują swój sposób działania. Dlatego tak ważne jest dostarczenie im wiarygodnych, rzeczywistych danych medycznych. Powinny być nie tylko skutecznie chronione, ale także aktywnie wykorzystywane do celów badawczych i rozwojowych.
Usługa medyczna to proces, łańcuch następujących po sobie zdarzeń od przewidywania, ostrzegania, nadzorowania, diagnozy, terapii do rehabilitacji. Sztuczna inteligencja zbiera informacje, po czym układa je w określone kategorie i daje propozycje dotyczące decyzji. Łączy łańcuch pomiędzy przewidywaniem a ostrzeganiem, między nadzorowaniem i diagnozą, terapią i rehabilitacją. Nowe regulacje prawne mają zaś zapewniać, że procedury odnoszące się do przetwarzania danych będą zgodne z najwyższymi standardami etycznymi, umożliwiając jednocześnie naukowcom i instytucjom badawczym dostęp do informacji, które mogą prowadzić do przełomowych odkryć i ulepszeń w opiece zdrowotnej.
Kultura ochrony danych medycznych w Polsce
Podczas debaty podniesiony został problem dokumentacji i bezpieczeństwa danych w szpitalach. Z raportu NIK wynika, że większość szpitali nie zapewnia odpowiedniego poziomu bezpieczeństwa danych medycznych oraz dostępu do dokumentacji pacjentom, co stawia pod znakiem zapytania podstawowe prawa podmiotów danych.
Uczestnicy dyskusji zaakcentowali, że mimo istnienia procedur dotyczących postępowania z danymi w sektorze medycznym, w praktyce często nie są one stosowane. Procedury powinny być jasne i zwięzłe, aby zminimalizować biurokrację oraz umożliwić ich faktyczne stosowanie.
Prezes UODO podkreślił, że EHDS stanowi sektorową regulację, którą należy stosować w ścisłej współpracy z RODO oraz innymi aktami prawnymi, takimi jak Akt o Sztucznej Inteligencji. W związku z tym istotne jest, aby podejmowane działania były rzeczywiście wdrażane w życie, a nie ograniczały się jedynie do powierzchownego opracowywania nowych procedur.
Zwrócono uwagę na konieczność budowania zaufania w relacjach między pacjentami a personelem medycznym oraz na potrzebę regularnego szkolenia pracowników, aby zwiększyć ich świadomość w zakresie ochrony danych. Stałe aktualizowanie wiedzy personelu medycznego jest niezbędne dla bezpieczeństwa pacjentów. Ponadto informacje na temat ochrony danych powinny być przekazywane personelowi medycznemu prostym i zrozumiałym językiem.
Zaznaczono, że EHDS umożliwia łatwiejszy dostęp do danych dla lekarzy i pracowników medycznych, co powinno przyczynić się do rozwoju badań.
Jak zauważono, obecnie panuje chaos w regulacjach prawnych dotyczących obszaru danych medycznych. Chodzi o bariery w przepisach ustawy o prawach pacjenta, które obejmują przekazywanie danych do Agencji. Kwestie te należy pilnie zreformować, istotna w tym zakresie jest rola projektodawcy – Ministerstwa Zdrowia.
Operacje w asyście robota
W trakcie dyskusji na temat operacji robotycznych zaakcentowano istotny problem percepcji, który może sugerować, że roboty przeprowadzają zabiegi chirurgiczne lepiej od ludzi. Przykładem jest system da Vinci, który ma ograniczone zastosowanie w niektórych rodzajach zabiegów.
Operacje robotyczne nie powinny być postrzegane jako całkowita alternatywa dla chirurgii tradycyjnej, lecz jako narzędzie, które w odpowiednich warunkach może wspierać lekarzy, zwiększając precyzję i efektywność zabiegów. Ważne jest, aby rozwijać tę technologię w sposób przemyślany, z uwzględnieniem zarówno jej możliwości, jak i ograniczeń.
Wskazano na konieczność rzetelnych pomiarów efektywności zabiegów z użyciem technologii robotycznych oraz monitorowania wyników pooperacyjnych pacjentów. Podkreślono, że brak takich danych utrudnia ocenę rzeczywistej skuteczności operacji z udziałem robotów. Istotne jest również ustalenie jednoznacznej definicji operacji robotycznych, co pozwoli na lepsze zrozumienie ich specyfiki i zastosowania.
Zagrożenie atakami hakerskimi na roboty medyczne
Debata skupiła się na temacie rosnącego ryzyka związanego ze zautomatyzowanymi systemami, takimi jak roboty chirurgiczne, które są narażone na ataki cyberprzestępcze.
Ataki hakerskie na roboty medyczne są poważnym zagrożeniem. Uczestnicy mówili o konieczności zapewnienia odpowiedniej higieny danych oraz wprowadzenia standaryzacji na poziomie Unii Europejskiej dla ochrony bezpieczeństwa przetwarzanych informacji. Niewłaściwe zabezpieczenia oraz luki w systemach operacyjnych robotów mogą prowadzić do dramatycznych konsekwencji. Przykładem jest sytuacja, w której haker, manipulując danymi, może spowodować, że pacjentowi zostanie przeprowadzony inny zabieg niż zaplanowany. Wprowadzenie fałszywych informacji lub nieprawidłowych parametrów może prowadzić do błędnych decyzji medycznych, a w rezultacie stworzyć zagrożenie dla zdrowia i życia pacjentów.
Opracowanie skutecznych mechanizmów zabezpieczeń oraz niezawodnych systemów operacyjnych da gwarancje ochrony zarówno pacjentów, jak i personelu medycznego. Problemy z funkcjonowaniem tych systemów mogą paraliżować działania lekarzy, ograniczając ich zdolność do podejmowania szybkich i właściwych decyzji w sytuacjach kryzysowych.
Działania na rzecz zwiększenia bezpieczeństwa technologii medycznych powinny stać się priorytetem, aby móc w pełni wykorzystać potencjał innowacji w dziedzinie chirurgii robotycznej.
Przyszłość ochrony danych medycznych w chmurze
Technologia chmurowa zyskuje coraz większe znaczenie w sektorze medycznym. W miarę jak administracja zdrowia dostosowuje się do nowych realiów, niezwykle istotne staje się wprowadzenie odpowiednich list kontrolnych, które wspierają administratorów w zapewnieniu zgodności z przepisami.
EROD wspiera administratorów w budowaniu takich list kontrolnych m.in. poprzez regulacje zawarte w Wytycznych 07/2020 dotyczących pojęć administratora i podmiotu przetwarzającego zawartych w RODO. Administratorzy muszą dokładnie rozważyć, jakie rozwiązania technologiczne wprowadzają. Analiza środków chmurowych powinna być przeprowadzana z zachowaniem zasady rozliczalności. W obliczu tych zmian administratorzy są zobowiązani do dostosowania swoich systemów do nowych wymogów.
Niestety często zdarza się, że placówki medyczne nie powołują Inspektora Ochrony Danych (IOD). Tymczasem obecność IOD jest kluczowa dla skutecznej ochrony danych osobowych i zgodności z przepisami prawa.
Certyfikacja określonych usług medycznych nie równa się legalizacji procesów medycznych. Zgodność z przepisami musi być zachowana na każdym etapie procesu, dlatego tak ważna jest rola IOD.
Zaakcentowano również, że choć zgoda pacjenta jest uznawana za najlepszą podstawę przetwarzania danych, EHDS odchodzi od tej zasady. Współczesne wyzwania w zakresie uzyskiwania zgody mogą blokować rozwój innowacyjnych rozwiązań w medycynie.
Wdrażajmy technologię w sposób odpowiedzialny i bezpieczny
Skuteczne wdrożenie przepisów, budowanie zaufania w relacjach między pacjentami a personelem oraz zapewnienie odpowiedniego dostępu do danych to najważniejsze wnioski ze spotkania.
Nowe regulacje, takie jak EHDS i Akt o Sztucznej Inteligencji, stawiają przed sektorem ochrony zdrowia wiele wyzwań, ale również dają szansę na rozwój.
Przewiduje się, że wartość rynku medycznego na całym świecie osiągnie 320 miliardów dolarów, co uwydatnia znaczenie skutecznej ochrony danych w kontekście dalszego rozwoju tej branży. W obliczu nadchodzących zmian administratorzy muszą dostosować swoje praktyki do dynamicznie rozwijającego się otoczenia prawnego i technologicznego.
Podjęta podczas konferencji dyskusja to przyczynek do dalszych rozważań na temat niezbędnych kierunków działań. Tylko w ten sposób zbudujemy bezpieczną przestrzeń dla danych dotyczących zdrowia, w której prawo pacjenta do ochrony danych osobowych jest zawsze respektowane, a wszelkie procedury stosowane przy wykorzystaniu robotów medycznych uwzględniają przepisy ogólnego rozporządzenia o ochronie danych.
Konferencja odbyła się pod honorowym patronatem Ministra Zdrowia i Ministra Nauki. Wśród gości pojawili się znawcy medyczni, przedstawiciele instytucji rządowych, biznesu oraz członkowie Społecznego Zespołu Ekspertów przy PUODO.
Poniżej prezentujemy nagrania filmowe z konferencji.
Rozpoczęcie konferencji „Ochrona danych w robotyce medycznej w dobie AI ACT i EHDS” i wykład wprowadzający.
Debata I - Kultura ochrony danych medycznych w Polsce
Debata 2 - Standardy w robotyce medycznej oraz dalsze kierunki rozwoju
Debata 3 - Roboty medyczne w dobie cyberzagrożeń
Debata 4 - Wyzwania dla danych w chmurze w dobie AI i EHDS