Autor : Lidia Raś
2023-08-10 12:05
Dane muszą być używane tylko w interesie społecznie użytecznym – to kluczowe przesłanie wynikające z rozmów z ekspertami, zajmującymi się tematyką danych osobowych. Wydawać się może, że to truizm, ale wydarzenia z kluczową rolą ministra zdrowia sugerują, że pora poważnie podejść do tematu. Konsekwencją będzie m.in. osłabienie zaufania obywateli do cyfryzacji w ochronie zdrowia.
- Dostęp do danych to nie zabawka. Musimy wykształcić nowe praktyki społeczne na poziomie firm, urzędów, obywateli oraz powszechną świadomość, że dane mogą być używane tylko w interesie społecznie użytecznym - mówi Maria Libura, ekspertka ds. zdrowia.
Choć Adam Niedzielski nie jest już ministrem zdrowia, to konsekwencje ujawnienia danych wrażliwych pozostaną. Oby jak najkrócej. Zachwiane zostało zaufanie do systemu ochrony zdrowia i do organów publicznych. Nie po raz pierwszy - można by powiedzieć - ale po raz pierwszy na płaszczyźnie, która dotyczy każdego obywatela - pacjenta. Czy nasze dane są naprawdę nasze? Czy instytucjom, które powinny stać na ich straży, nie zaufaliśmy pochopnie? Czy gwarancje bezpieczeństwa wynikające z RODO, Białej Księgi czy w przyszłości z Data Governance Act oraz AI ACT, dają nam poczucie bezpieczeństwa? Czy można liczyć na zwykłe ludzkie poczucie odpowiedzialności?
Ujawnienie danych wrażliwych jest sytuacją kuriozalną i wręcz nieprawdopodobną w państwie demokratycznym, a jednak - stało się. Wcześniej mieliśmy historię z dostępem ministrów do danych akademików, zajęcie dokumentacji medycznej w gabinecie ginekologicznym w Szczecinie, nieuzasadnione korzystanie z Pegasusa. A to wszystko w czasie, gdy budowanie zaufania obywateli do organów publicznych jest szczególnie ważne. Bez mądrze i uczciwie wykorzystanych danych, nie będzie rozwoju technologicznego, nie będzie usprawnienia pracy medyków. Jeśli obywatele-pacjenci i pracownicy ochrony zdrowia nie będą przekonani, że dane wrażliwe są używane tylko w konkretnym, społecznie użytecznym celu, a nie dla partykularnych interesów, to cała idea przestaje mieć sens.
- Największa szkoda, jaką mógł wyrządzić były już minister Adam Niedzielski ochronie zdrowia, to utrata zaufania do cyfryzacji w obszarze danych - mówi Jan Oleszczuk-Zygmuntowski, współprzewodniczący Polskiej Sieci Ekonomii, wykładowca, doktorant Akademii Leona Koźmińskiego na kierunku Zarządzanie i AI w Cyfrowym Społeczeństwie. - Sama w sobie cyfryzacja w ochronie zdrowia już teraz jest bardzo trudna. Lekarze spędzają dużo czasu na wprowadzaniu dokumentacji medycznej, uznają ją za uciążliwą, a nie da się tego wyeliminować, bo te działania generują dane, bez których nie ma postępu - tłumaczy. - Pacjenci też nie do końca są przekonani, cyfryzacja jest droga i teraz jeszcze dodajemy do tego koszt utraconego zaufania, strachu i niechęci. Będziemy mieli barierę cyfryzacyjną nie do przeskoczenia. Z mojego punktu widzenia to, co się wydarzyło, uderza w podstawy jednego z największych wyzwań społecznej gospodarki - ocenia Oleszczuk-Zygmuntowski.
Poważne konsekwencje ostatnich wydarzeń dostrzega też Ligia Kornowska, liderka Koalicji AI w zdrowiu, dyrektorka zarządzająca Polskiej Federacji Szpitali. Według niej, zaufanie społeczne co do tego, jak są przetwarzane dane osobowe i dane wrażliwe, czyli medyczne, zostało nadwyrężone. - To duży problem, bo dla cyfryzacji dokumentacji medycznej, zaufanie społeczne jest kluczowe, by ją wdrażać i implementować. Sytuacja, w której udostępnione zostały dane medyczne tylko jednej osoby jest nie tylko negatywna w kontekście tego wypadku, ale też w kontekście potencjalnego przetwarzania danych dla innych celów, np. badawczo-rozwojowych - zwraca uwagę Ligia Kornowska. Przypomina, że w XXI wieku evidence-based medicine oraz dostęp do danych są absolutnie kluczowe w rozwoju każdej nowej technologii. - Nie chodzi tylko o stworzenie nowego algorytmu sztucznej inteligencji, ale też o przygotowanie nowego leku czy odkrycie ścieżek diagnostycznych. W tym przypadku zaufanie pacjenta jest kwestią podstawową -podkreśla Kornowska.
Przemysław Czuma: To znak czasów. Do duetu pacjent - lekarz dołącza AI
Z cyfryzacji zrezygnować nie można. Jest potrzebna i w XXI wieku nieuchronna. - Daje perspektywę rozwoju naukowego i zarządzania ochroną zdrowia - podkreśla Maria Libura i zaznacza, że jednocześnie wymaga ostrożnego wdrażania nie tylko ze względu na prawo do prywatności, ale też dlatego, że radykalnie zmienia ona sposób udzielania świadczeń medycznych. Rozwiązuje jedne problemy, ale też stwarza nowe wyzwania, czego przykładem są tzw. receptomaty.
Tego że państwo ma dostęp do ogromnej ilości danych w mniejszym lub większym stopniu jesteśmy jako obywatele świadomi, ale liczymy, że są one bezpieczne, a potencjalne wykorzystanie nastąpi tylko zgodnie z prawem. - To, co się wydarzyło, to cios w informatyzację ochrony zdrowia, bo pokazało, że każda informacja może wyciec i może zostać wykorzystana. Dodajmy, że mówimy o danych wrażliwych - mówi dr Paweł Litwiński, adwokat, członek Grupy Ekspertów Europejskiej Rady Ochrony Danych. Przypomina, że sytuacje, w których doszło do nadużycia i wykorzystania uprawień, miały już miejsce. W Polsce dotyczyło to np. pracownicy urzędu pomocy społecznej, w Niemczech policjantów, sprawdzających właścicieli aut, ale posypały na nich się dotkliwe kary. - Także i w tym przypadku UODO powinien zareagować i nałożyć karę, bo ewidentnie coś w procedurach nie zadziałało - przekonuje Litwiński. I jeszcze jedna niebagatelna kwestia. - Trzeba odróżnić organ od osoby fizycznej. Organ to w tym przypadku minister właściwy do spraw zdrowia, który jest administratorem danych osobowych. Ale to nie znaczy, że ten organ może zrobić z danymi, co zechce. Może przetwarzać dane jedynie w określonych w ustawie celach, np. dla utrzymania systemu czy kontroli, by ten system poprawnie działał - wyjaśnia prawnik. - Na Twitterze wypowiadał się pan Adam Niedzielski, nie minister Adam Niedzielski. Osoba fizyczna Adam Niedzielski wykorzystała fakt, że jako organ pełniła funkcję administratora, który miał dostęp do danych.
O braku procedur w nieco innym kontekście mówi też prawnik, ekspert od nowych technologii Jakub Betka. Jako że zajmuje się ochroną danych osobowych, informacja o przekazaniu ministrowi danych za pośrednictwem WhatsApp bardzo go zaskoczyła. - Jak to możliwe, że organ publiczny wykorzystuje narzędzie powiązane z Facebookiem, gdzie jak powszechnie wiadomo, dane nie są w pełni bezpieczne? - pyta.
Dariusz Tarabasz: Medycy muszą uważać, by nie uzależnić się od AI
Nonszalancja w korzystaniu z poczty elektronicznej, z komunikatorów pozostawiających wiele do życzenia pod względem poufności i bezpieczeństwa, to niemal znak rozpoznawczy ekipy rządzącej. Skoro dbałość o procedury zawodziła w takich przypadkach, trudno obywatelom oczekiwać, że władza odpowiednio zadba o bezpieczeństwo ich danych. Każdy kolejny taki wypadek osłabia zaufanie. Jakub Betka nie ma wątpliwości, że doszło do złamania przepisów RODO, ponieważ organy państwowe powinny działać w granicach prawa i tylko w granicach nadanych uprawnień. - Minister zdrowia może mieć dostęp do platformy P1, która obsługuje m.in. e-receptę, ale może z niego korzystać tylko do nadzoru nad ubezpieczeniami zdrowotnymi. Betka zaznacza, że i wtedy powinien być to dostęp tylko do danych statystycznych, a nie medycznych, a te dane także powinny być wykorzystane jedynie do nadzoru nad ubezpieczaniami, a nie - jak usłyszeliśmy w oświadczeniu - do obrony dobrego imienia ministerstwa. - Warto wskazać, że w samym oświadczeniu Ministerstwa Zdrowia celowo moim zdaniem pominięto fakt, że ustawa daje dostęp do danych, a nie do ich upublicznienia. Upublicznienie jest również przetwarzaniem danych, a do takiego wykorzystania danych żaden z przepisów ministra nie uprawnia - zaznacza Jakub Betka.
Fakt ujawnienia wrażliwych informacji przez ministra zdrowia budzi wiele wątpliwości. Nie tylko ma polityczny kontekst, bo wykorzystano je do dyskredytowania przeciwników jedynie słusznej koncepcji. Na aspekt społeczny zwraca uwagę dr n. med. Przemysław Czuma, chirurg, pomysłodawca, założyciel i organizator Polskiego Stowarzyszenia "Sztuczna Inteligencja w Medycynie". - Czy minister ma pełny dostęp do cyfrowych danych wszystkich pacjentów w Polsce? A jeśli tak, to kto jeszcze posiada taki dostęp? Czy takie rodzaje dostępów do naszych informacji medycznych są monitorowane? Innymi słowy, czy istnieje rejestr, który informuje, który urzędnik w Ministerstwie Zdrowia lub innym państwowym urzędzie, kiedy i gdzie przeglądał nasze cyfrowe karty zdrowia, w tym informacje o przepisanych lekach? Czy jeżeli takie rejestry dostępu istnieją, czy jest możliwość sprawdzenia, czy incydent związany z ministrem Niedzielskim był przypadkiem odosobnionym, czy też inne osoby były poddawane podobnym analizom? - zastanawia się dr Czuma.
Kwestia katalogu podmiotów uprawnionych do dostępu do dokumentacji medycznej i to w jaki sposób dokonuje się zabezpieczania materiału dowodowego, którym jest dokumentacja medyczna to według mec. Sebastiana Sikorskiego, prof. UKSW, osobny wątek. - Pokazał to słynny już przypadek lekarki ze Szczecina, w której gabinecie służby zajęły całą dokumentację medyczną pacjentów. Owszem, były uprawnione do dostępu do tej dokumentacji, ale powinny to robić w zakresie niezbędnym dla danego postępowania - ocenia Sikorski. - Za katalogiem podmiotów uprawnionych do dostępu do dokumentacji medycznej stoją ludzie. I tu pojawia się konkluzja, że nie chodzi tylko o regulacje, ale o to, czy prawo jest przestrzegane, w tym także przez organy je stosujące.
Mec. Sebastian Sikorski: Narzędzia z AI koniecznie z nadzorem lekarzy
Możemy mieć najlepiej napisane przepisy, ale bez staranności i poczucia odpowiedzialności osób posiadających dostęp do danych wrażliwych trudno będzie odzyskać zaufanie społeczne. To nie mogą być „funkcyjni”, którzy na zlecenie udostępniają dane wrażliwe, ale osoby mające świadomość tego, w posiadaniu jakich dóbr sią znajdują. Dane nie mogą być orężem i narzędziem do pacyfikacji przeciwników.
I jeszcze jeden kontekst: - To strona publiczna ma być gwarantem bezpieczeństwa danych i chronić nas przed nadużyciami np. globalnych korporacji, musi więc sama świecić przykładem. Jeśli obywatele stracą zaufanie do instytucji publicznych, jeśli te instytucje nie staną na wysokości zadania, to nasze dane staną się zabawką globalnych korporacji – przestrzega ekspertka.
W podobnym tonie wypowiada się też Jan Oleszczuk-Zygmuntowski, podkreślając, że z cyfryzacji wycofać się nie możemy. - Rejestry pozostaną, nawet gdybyśmy wszystko sprywatyzowali, tylko że wtedy będą prowadzone przez największych ubezpieczycieli, a to nie byłoby bezpieczniejsze rozwiązanie, bo nie minister a firma ubezpieczeniowa miałaby w nie wgląd. Oleszczuk-Zygmuntowski podkreśla, że wzmacnianie społeczeństwa obywatelskiego to jedyne, co mamy, by obronić się przed coraz bardziej algorytmiczną władzą, która może nami sterować. - Na razie podglądając recordy, ale w niedalekiej przyszłości algorytmicznie sterując i zarządzając społeczeństwem. To najwyższa stawka, jaka może być – przestrzega i dodaje: - Jestem ekonomistą, którego interesuje ekonomia polityczna. Już wiemy, że kiedy wzmacniamy państwo, to musimy wzmacniać społeczeństwo obywatelskie, które je skontroluje. Budowane są ogromne magazyny danych, kontrolowane administracyjnie, które stają się narzędziem władzy, a wiedza to władza. Jedyne rozwiązanie w tej sytuacji to wzmacniać bezpośrednio stronę społeczną. Jeśli obywatel ma prawa wynikające z RODO czy praw pacjenta, to cyfryzacja nie ma być tylko czapą wysysającą dane i kontrolującą go, ale ma być metodą egzekwowania swoich praw. A Maria Libura dodaje: - W Polsce RODO bywało demonizowane, interpretowane w sposób stawiający ochronę danych przed bezpieczeństwem pacjenta, a z drugiej strony – jak widzimy, brakuje zrozumienia celu tej regulacji. Skupiamy się na „papierologii” a nie na ochronie prywatności. I to wymaga głębokiej zmiany.
„e-Receptagate” ma jeszcze jeden wymiar. Nie ma rozwoju sztucznej inteligencji bez danych. Tylko systematyczne zasilanie nimi algorytmów (bezpieczne, rozsądne i zgodne z prawem) pozwoli tworzyć nowe rozwiązania a następnie je ulepszać. Nie ma badań klinicznych bez danych, a żadne dane osobowe uczestników takich badań nie mogą być podawane do wiadomości publicznej ani rejestrowane w CTIS (Clinical Trials Information System). Czy zdarzenia z ministrem zdrowia w roli głównej nie zasieją niepewności wśród uczestników?
- Jestem przekonany, że ważnym aspektem tej sytuacji, która zasłużenie przyciągnęła uwagę mediów, jest fakt, że wielu obywateli zastanowi się teraz nad pytaniem: jak mogę usunąć swoje dane przechowywane przez rządowe agencje lub jak mogę zapobiec ich zbieraniu w przyszłości? W obecnych czasach, gdy dane są traktowane jako "cyfrowe złoto" i stanowią kluczowy czynnik dla rozwoju nowych technologii, takich jak sztuczna inteligencja, obawy te mogą wpłynąć na nasze możliwości społecznego rozwoju. To może prowadzić do realnych konsekwencji, choć ich skala może być trudna do oszacowania – ocenia dr Przemysław Czuma. To jeden z tych lekarzy, których do sztucznej inteligencji, wykorzystanej jako wsparcie dla ochrony zdrowia przekonywać nie trzeba. Założone przez niego stowarzyszenie od dwóch lat skupia medyków, prawników, specjalistów od technologii. Tacy pasjonaci najlepiej wiedzą, jak trudno jest tą otwartością na zmiany zarazić innych. - Poszukując pozytywów w tej sytuacji - chociaż mogą być trudne do znalezienia - można zauważyć, że incydent ujawnienia nieautoryzowanych informacji przechowywanych w naszych kartach zdrowia był kwestią czasu. To jest naturalna konsekwencja procesu cyfryzacji społeczeństwa – ocenia Przemysław Czuma. Jak mówi, niestety mało kto się spodziewał, że taki incydent będzie miał aż tak spektakularną i nieodpowiedzialną formę i to na tak wysokim stanowisku. - Teraz istotne jest, abyśmy wyciągnęli mądre wnioski z tej sytuacji i podjęli odpowiednie kroki, aby zapobiegać podobnym wypadkom w przyszłości.
Najbardziej w tym wszystkim boli mnie to, że zaufanie do technologii w ochronie zdrowia zostało zaprzepaszczone.
Technologia ma być przede wszystkim bezpieczna, później pomocna. Ale nie może być w taki sposób wykorzystywana.
Dziękujemy panie urzędniku
— Gilbert Kolbe (@GiKolbe) August 5, 2023
I Maria Libura, i Jan Oleszczuk-Zygmuntowski te kroki wskazują: zaangażować obywateli. To przecież są nasze dane. To obywatel ma mieć dostęp do danych i decydować, kto może z nich korzystać. Eksperci jako przykład podają Indywidulne Konto Pacjenta (IKP), które wymagałoby - na fali odzyskiwania zaufania - pewnych zmian. Dane nie wyciekły z IKP, ale to właśnie tu znajduje się ogromna baza wiedzy o pacjentach.
- Jeśli strona rządowa chce odbudować zaufanie obywateli do e-zdrowia, potrzebny jest jasny przekaz co konkretnie zrobi, by ludzie mieli kontrolę nad tym, co dzieje się z ich danymi - mówi Maria Libura. Jej zdaniem Konieczna jest kampania upowszechniająca wiedzę jak używać IKP, do czego ono służy, jak pacjenci mogą udzielać zgody na dostęp do niego. - Ważnym ruchem byłaby np. możliwość zapewnienia pacjentowi wglądu w to, kto i w jakim celu zaglądał w jego dane medyczne. Możliwości kontroli tego, zaglądał w dokumentację medyczną obywatela sama z siebie zniechęcałaby do wielu naruszeń. Przecież pacjenci nie mają zwykle problemu z tym, by dostęp do IKP mieli lekarze i inni medycy w związku z procesem terapii - podkreśla ekspertka.
Oleszczuk-Zygmuntowski dodaje, że także dla systemu P1 i dokumentacji elektronicznej powinno się utworzyć coś w rodzaju rady cyfryzacji zdrowia, w której znaleźliby się przedstawiciele pacjentów i lekarzy. To oni powinni decydować o procedurze dostępu - przekonuje.
Wydaje się, że takie możliwości stają się coraz bardziej dostępne choćby z racji pojawiania się kolejnych regulacji. O jednej przypomina Ligia Kornowska. - Uważamy, że dostęp do danych powinien odbywać się absolutnie za zgodą obywatela, pacjenta. Najnowsze regulacje unijne, np. wchodzący od września tego roku Data Governance Act, mówią, że każdy obywatel ma prawo udzielić zgody na dostęp do swoich danych dla celów badawczo-rozwojowych. Właśnie taki model też i my promujemy jako najbezpieczniejszy. Jako fundacja Podaruj dane, ale też gros innych podmiotów, realizujemy ideę dawstwa danych medycznych, które są wykorzystywane w celach badawczo-rozwojowych, tylko jeśli pacjent wyrazi na to zgodę. Dodatkowo pacjent otrzymuje całą listę narzędzi, by nie tylko ufać, ale też nas kontrolować, czy dane są przetwarzane zgodnie z celem. W każdym momencie może też podjąć decyzję o wycofaniu takiej zgody.
Prof. Marek Krzystanek: AI powinna wspomagać, ale człowiek leczyć
Także Jakub Betka nie ma wątpliwości, że AI jest medycynie niezbędna do rozwoju służby zdrowia i automatyzacji niektórych procesów. - Bez dostępu do danych medycznych pacjentów, AI niestety nie będzie mogła zostać wykorzystana. Jeśli chodzi o samą sytuację związaną z upublicznieniem informacji przez Ministra Zdrowia, to nie łączyłbym tego z wykorzystaniem danych do AI - nieco optymistyczniej ocenia sytuację prawnik. - Czym innym jest naruszenie obowiązujących przepisów przez ministra dla „obrony dobrego imienia Ministerstwa Zdrowia, a czym innym wykorzystanie danych do działań sztucznej inteligencji. Ponadto warto wskazać, że sama sztuczna inteligencja nie musi w ramach swoich zasobów otrzymywać danych identyfikujących konkretnego pacjenta. Jednak oczywiście ze względu na zaistniałą sytuację, obywatele mogą mieć bardziej ograniczone zaufanie, jeśli chodzi o wykorzystanie ich danych. Dobrym znakiem jest postępowanie wszczęte przez Prezesa Urzędu Ochrony Danych Osobowych. PUODO ma dbać o bezpieczeństwo danych osobowych jako organ nadzorczy nie tylko nad przedsiębiorcami czy szpitalami, ale też nad innymi ministerstwami. Jednak patrząc historycznie, postępowanie może skończyć się na prośbie o zaniechanie podobnych praktyk w przyszłości.
Mec. Michał Kibil: Narzędzia z AI trzeba wdrażać do szpitali rozsądnie
Głosu sprzeciwu środowiska trudno było nie usłyszeć, suchej nitki na sposobie załatwienia sprawy nie zostawili niezależni eksperci. Ale na tym temat nie powinien się zakończyć. Wręcz teraz powinien być wreszcie rozwijany w skali na jaką zasługuje. - Jako krytyczny, nie powinien zajmować jednego sektora, w tym przypadku ochrony zdrowia, ale wymaga szerokiej debaty publicznej - przekonuje Ligia Kornowska. - Trzeba rozmawiać jak zabezpieczać dane i gwarantować zaufanie obywateli do ich przetwarzania (szczególnie danych cyfrowych) przez państwo czy przez podmioty trzecie, ale też jak stworzyć mechanizmy, które pozwolą na dostęp do tych danych w celach badawczo-rozwojowych. Jeśli zablokujemy absolutnie dostęp do danych medycznych, może okazać się, że spowolni to rozwój nowych technologii. Temat jest wrażliwy więc wymaga współpracy kluczowych uczestników systemu i rozmowy o tym jak byśmy chcieli nim zarządzać - podkreśla liderka Koalicji AI w zdrowiu.
Jest też ważny z powodów czysto praktycznych na najbliższym nam-pacjentom poziomie - korzystania z ochrony zdrowia już teraz. - Z raportu przygotowanego z Okręgową Izbą Lekarską w Warszawie wynika, że jeśli wspomożemy lekarza w procesie cyfryzacji, dając mu jako wsparcie np. asystenta lekarza, który będzie rozumieć jak działają systemy, jak przechodzą informacje, jaka jest waga tych danych, to środowisko chętniej w ten proces się włączy. Zyskamy więcej wolnego czasu już wyszkolonych lekarzy bez otwierania medycyny na każdej uczelni, łącznie z politechniką - podsumowuje Jan Oleszczuk-Zygmuntowski.
W CowZdrowiu do listopada 2023. Wcześniej od 2014 do marca 2023 r. w „Dzienniku Gazecie Prawnej”, gdzie kierowała serwisem gazetaprawna.pl. Ponadto zajmowała się tematyką społeczną, ekologiczną, prawną i kulturalną oraz nagrywała podcasty i wideo. Wcześniej związana m.in. z Polska Press i Mediami Regionalnymi.
//