Największym wyzwaniem nie jest technologia, lecz zaufanie – mówi Aneta Sieradzka

Ludzie są gotowi dzielić się danymi, jeśli widzą sens i mają poczucie kontroli. Dlatego kluczowe jest zapewnienie pełnej transparentności – kto korzysta z danych, kiedy, w jakim celu i jakie są tego efekty. Równie ważne jest pokazanie wartości zwrotnej, czyli tego, że dzięki tym danym poprawia się jakość leczenia i funkcjonowanie całego systemu – mówi Aneta Sieradzka, członkini Społecznego Zespołu Ekspertów przy Prezesie UODO.

Czym jest altruizm danych i dlaczego ma on kluczowe znaczenie w przypadku Europejskiej przestrzeni danych dotyczących zdrowia?

Altruizm danych to coś znacznie więcej niż techniczna zgoda na przetwarzanie informacji. To nowy wymiar odpowiedzialności społecznej, w którym obywatele świadomie współtworzą przyszłość medycyny. W kontekście Europejskiej przestrzeni danych zdrowotnych to absolutny fundament – bez gotowości ludzi do dzielenia się danymi w imię dobra wspólnego nie zbudujemy systemu zdolnego do realnych przełomów, choćby w medycynie spersonalizowanej czy profilaktyce chorób, a medycyna prewencyjna to fundament longevity (długowieczności).. To również potrzeba zmiany kulturowej, w której dane przestają być postrzegane wyłącznie jako zasób prywatny, a zaczynają pełnić funkcję dobra wspólnego. W dłuższej perspektywie może to zdefiniować na nowo relację między jednostką a systemem ochrony zdrowia.

Na jakich filarach opiera się system tworzony przez rozporządzenie EHDS?

EHDS opiera się na bardzo ambitnej architekturze, która łączy cztery kluczowe elementy: kontrolę obywatela nad własnymi danymi, interoperacyjność systemów, możliwość wtórnego wykorzystania danych oraz wysoki poziom bezpieczeństwa. To nie jest zwykła regulacja sektorowa – to próba stworzenia europejskiego modelu zarządzania danymi zdrowotnymi, który może się stać globalnym punktem odniesienia. Każdy z tych elementów musi działać równolegle i w sposób skoordynowany, inaczej system straci swoją spójność. W praktyce oznacza to konieczność ścisłej współpracy między regulatorami, sektorem publicznym i prywatnym. I to muszą teraz zrozumieć polscy decydenci – że nie są to kolejne regulacje, które wystarczy wdrożyć na ostatnią chwilę. EHDS to ogromna szansa dla naszej gospodarki – możemy jako kraj dużo zyskać, lub szansę zmarnować i patrzeć jak inni zrobili to lepiej i szybciej. EHDS to wyzwanie dla wielu resortów, nie tylko MZ, ale np. MF, MS, MNiSW, MRiT, aby systemowo podejść do tej dużej unijnej reformy. Dzięki EHDS rozwój sztucznej inteligencji w Unii Europejskiej znacznie przyspieszy.

Jak przekonać ludzi do dobrowolnego dzielenia się danymi o stanie zdrowia w świecie, w którym te dane są coraz bardziej traktowane jak waluta?

Największym wyzwaniem nie jest technologia, lecz zaufanie. Ludzie są gotowi dzielić się danymi, jeśli widzą sens i mają poczucie kontroli. Dlatego kluczowe jest zapewnienie pełnej transparentności – kto korzysta z danych, kiedy, w jakim celu i jakie są tego efekty. Równie ważne jest pokazanie wartości zwrotnej, czyli tego, że dzięki tym danym poprawia się jakość leczenia i funkcjonowanie całego systemu.

Pacjent potrzebuje mieć dostęp do dobrej i szybkiej diagnostyki, bez której nie ma leczenia – bez dostępu do leczenia pacjenci umierają. Trudno oczekiwać długofalowego zaangażowania obywateli, jeśli latami będą czekać na wizytę czy badanie u specjalisty w ramach NFZ, a za rogiem odpłatnie można to zrobić niemalże z dnia na dzień. Warszawa oferuje bardzo szeroki i szybki dostęp do świadczeń komercyjnych, ale stolica to nie kraj, lecz wycinek.

Zaufanie buduje się latami, ale można je stracić w jednej chwili. Po różnych medialnych aferach z ostatnich lat, gdzie wykorzystywano dane medyczne do walk politycznych, jest to trudne wyzwanie. Należy zacząć od wymagania wyjątkowych postaw etycznych od decydentów, przez urzędników i menedżerów na różnych poziomach, aż po rolę samorządów medycznych w budowaniu kultury ochrony danych. Dziś lekarz powinien być pośrednikiem w budowaniu tego zaufania. Tylko jak ma to robić, gdy w praktyce świadomość personelu medycznego wobec ochrony danych jest bardzo różna. Środowiska medyczne same też powinny podejmować działania, aby o zaufanie pacjenta zabiegać.

Jak zabezpieczyć ogromną ilość wrażliwych danych, skoro już teraz specjaliści od  cyberbezpieczeństwa mówią, że wyciek jest tylko kwestią czasu i nie da się mu zapobiec

Musimy realistycznie podejść do kwestii bezpieczeństwa danych. W świecie cyfrowym nie istnieją systemy całkowicie odporne na incydenty. Dlatego zamiast obiecywać pełną szczelność, powinniśmy budować systemy odporne – takie, które minimalizują ryzyko, szybko wykrywają zagrożenia i potrafią skutecznie ograniczać ich skutki. To fundamentalna zmiana myślenia o cyberbezpieczeństwie.

Równie ważna jest edukacja użytkowników i instytucji, bo czynnik ludzki zawsze pozostaje najsłabszym ogniwem. Edukacja rozumiana jako proces, a nie odhaczanie raz na kilka lat szkoleń kiepskiej jakości, aby był „papier” po takim wydarzeniu. Ostatecznie bezpieczeństwo to wspólna odpowiedzialność wszystkich uczestników ekosystemu. Cyberbezpieczeństwa nie można sprowadzać do kupna wyłącznie infrastruktury, potrzebna jest specjalistyczna kadra, wewnętrzna lub zewnętrzna, która zapewnia kompleksowe wsparcie – rynek dziś oferuje wysokospecjalistyczne i komfortowe usługi w tym zakresie.

Jak spojrzymy na głośne medialnie przykłady hakowania szpitali w Polsce, które tygodniami nie mogły powrócić do normalnego funkcjonowania, to jawi nam się obraz rażących, długoletnich zaniedbań. Dziś organizacje muszą sobie odpowiadać na pytanie, czy stać je na to, że linia produkcyjna stanie lub sale operacyjne zostaną wyłączone na dni lub nawet tygodnie. Kiedy prezes o świcie dzwoni do „bezpieczników”, prawników i ludzi od kryzysów medialnych, to oznacza bardzo duży rachunek kosztów, stąd należy zapobiegać, a nie gasić (bardzo drogo) pożary. Bezpieczeństwo to zawsze inwestycja, a nie koszt.

Czy przepisy EHDS da się pogodzić z innymi aktami UE regulującymi przetwarzanie danych (DSA, AI Act, DGA, RODO), czy też pojawiają się tutaj znaczące sprzeczności?

EHDS funkcjonuje w bardzo złożonym otoczeniu regulacyjnym. Mamy RODO, AI Act, DGA czy DSA – i one wszystkie dotykają danych w różny sposób. Nie widzę tu sprzeczności systemowych, ale widzę ryzyko niespójności interpretacyjnej. Dlatego kluczowe będzie wypracowanie jasnych wytycznych, które pozwolą instytucjom działać bez obawy o naruszenie prawa. Bez tego istnieje ryzyko tzw. efektu mrożącego, który zahamuje innowacje.

Harmonizacja praktyki stosowania prawa będzie równie ważna jak same przepisy. I tu znów wyzwanie dla ustawodawcy, aby nie popełnić błędów jak w przypadku RODO. Wiele sektorowych przepisów krajowych do dziś nie zostało dostosowanych do możliwości, jakie oferuje RODO. Np. deregulacja przepisów dotyczących anonimizacji w udostępnianiu danych na cele naukowe czeka na ministerialnych biurkach – co jest zresztą inicjatywą i wysiłkiem prezesa UODO Mirosława Wróblewskiego, bo przez dekadę żadnej instytucji nie chciało się nic w tym obszarze skutecznie zrobić. Podkreślam – skutecznie – bo mówić, a robić to nie to samo.

W Europie istnieją już duże zbiory danych medycznych. Czego doświadczenia z nimi uczą nas w kwestii EHDS?

Europa już zgromadziła ogromne ilości danych medycznych, ale ich potencjał pozostaje w dużej mierze niewykorzystany. Powody są trzy: brak interoperacyjności, bariery prawne i niski poziom zaufania. EHDS ma szansę to zmienić, pod warunkiem że nie powieli dotychczasowych błędów i rzeczywiście ujednolici zasady gry. Kluczowe będzie także zapewnienie wysokiej jakości danych, bo ich wartość zależy od wiarygodności. Bez tego nawet największe zbiory nie przełożą się na realne korzyści. Powinniśmy w Polsce zabrać się za wielkie porządkowanie danych medycznych już dziś. I to na wielu poziomach, od instytucji centralnych, które same nie wiedzą, jakie dane posiadają, przez szpitale, po uczelnie medyczne. Żaden lekarz nie jest właścicielem danych pacjentów, choć w praktyce niejeden sobie takie prawo uzurpuje, naruszając przy tym przepisy. Teraz jest dobry czas na audyty EHDS w podmiotach, które przetwarzają dane zdrowotne na dużą skalę.

Jak zapewnić równy podział korzyści ze wspólnej przestrzeni danych dotyczących zdrowia?

Nie możemy budować systemu, w którym dane pochodzą od obywateli, a korzyści trafiają wyłącznie do wąskich grup np. biznesów farmaceutycznych, ubezpieczycieli, fintech, czy niektórych badaczy, którzy uczynią sobie dobry biznes z analizy danych zdrowotnych. Musimy wdrażać sztuczną inteligencję do sektora publicznego, aby ta technologia identyfikowała nieprawidłowości w przepalaniu pieniędzy podatników, aby weryfikowała zasadność, w tym oceny wniosków, albo czy recenzje nie pochodzą z Chata GPT. Sprawiedliwy podział wartości to warunek trwałości całego projektu. Oznacza to m.in. dostęp do wyników badań, wzmacnianie publicznych systemów ochrony zdrowia i realne korzyści dla pacjentów.

W przeciwnym razie pojawi się społeczny opór wobec dzielenia się danymi, co będzie zrozumiałe. A bez społecznej legitymizacji żaden system danych nie będzie funkcjonował efektywnie. Pacjent musi mieć faktyczne prawo do informacji o tym, co się dzieje z jego danymi. Dziś ma to prawo tylko częściowo zapewnione, bo nie wie, kto, kiedy i w jakim celu przegląda jego dane. Dane pacjentów wykorzystywane w badaniach klinicznych powinna cechować pełna transparentność, zaś do tego służy ogrom cyfrowych narzędzi, a nie kartka papieru. Ponadto nie każdy sukces medialny w medycynie jest faktycznym sukcesem medycznym.

Jaka jest różnica między pierwotnym a wtórnym wykorzystaniem danych medycznych?

Rozróżnienie między pierwotnym a wtórnym wykorzystaniem danych jest absolutnie kluczowe. Pierwotne dotyczy bezpośredniego leczenia pacjenta, natomiast wtórne obejmuje badania, innowacje i polityki publiczne. To rozróżnienie determinuje zarówno podstawy prawne, jak i sposób zarządzania zgodą pacjenta. W praktyce wymaga to bardzo precyzyjnych mechanizmów zarządzania dostępem do danych. Każde niejasności w tym zakresie mogą prowadzić do utraty zaufania i sporów prawnych.

Niedawno fundacja AI One Health, której jest Pani prezesem, przygotowała raport mapujący źródła danych medycznych. Jakie są te źródła i do czego można je wykorzystać?

Dzisiejszy ekosystem danych zdrowotnych jest znacznie szerszy niż tradycyjna dokumentacja medyczna. Obej-muje dane z urządzeń noszonych, aplikacji mobilnych, badań genomowych czy rejestrów chorób. To ogromna szansa, ale też wyzwanie, bo wymaga integracji bardzo różnych typów informacji. Każde z tych źródeł odznacza  się inną jakością i dynamiką aktualizacji danych. Dlatego konieczne jest opracowanie spójnych standardów ich przetwarzania. Bez tego jako kraj nie ruszymy do przodu. Chodzi o rozwój, a nie dreptanie w miejscu.

Dobrym przykładem państwowej platformy jest Internetowe Konto Pacjenta, do którego nie trafia każda dokumentacja, bo nie ma narzędzia do egzekwowania tego obowiązku od szpitali. Kolejny przykład:  system P1, gdzie jest obowiązek wpisywania każdej wizyty, ale w praktyce nie ma narzędzia do egzekucji tego obowiązku od lekarzy – dużo danych więc „gubimy” przez dziurawe rozwiązania. Następnie, badanie satysfakcji pacjentów jest u nas symboliczne, a winno być standardem przy każdej zmianie systemowej, gdy wykorzystywane są środki publiczne. Nasz raport można wykorzystać do tworzenia polityk publicznych, identyfikujemy w nim dostępne dane, porządkuje on ekosystem danych, ujawnia luki informacyjne, wspiera decyzje oparte na dowodach (evidence-based policy). Raport ma też walor edukacyjny dla lekarzy oraz pacjentów, aby wiedzieli, jak zarządzanie ich danymi o zdrowiu wpływa na dostęp do diagnostyki i leczenia.

Jak zapewnić równowagę między interoperacyjnością a ochroną prywatności pacjentów?

Nie powinniśmy traktować interoperacyjności i prywatności jako przeciwieństw. Nowoczesne podejście polega na projektowaniu systemów, które łączą oba te elementy – poprzez minimalizację danych, pseudonimizację i kontrolowany dostęp. To kwestia dobrego projektowania, a nie kompromisu. W praktyce oznacza to konieczność stosowania zasady privacy by design na każdym etapie tworzenia systemu. Tylko wtedy można zbudować rozwiązania, które są jednocześnie użyteczne i bezpieczne. To właśnie ochrona prywatności powinna być przewagą konkurencyjności na rynku usług, a audytowanie dostawców przed wdrożeniem powinno być standardem.

Jakie są obecnie problemy z ponownym wykorzystaniem danych i jakich zmian legislacyjnych potrzeba w tym względzie (jak wskazywał Prezes UODO)?

Dziś największym problemem nie jest brak danych, lecz brak możliwości ich ponownego wykorzystania. Instytucje często obawiają się konsekwencji prawnych i wolą nie działać. Z poziomu wielu instytucji, od tych centralnych po lokalne szpitale, obserwuje się uchylanie się od decyzyjności i odpowiedzialności.

Ta niechęć bierze się też z braku kompetencji, wiedzy i doświadczenia w wielu organizacjach, które przetwarzają dane szczególnie wrażliwe. Dochodzą także partykularne interesy, lepiej się nie wychylać, bo można stracić posadę, albo co gorsza, „zrobić komuś dobrze”. Nie daj Boże jakiś inny lekarz zrobi świetne badania na danych zebranych w naszej klinice albo wykryje błędy w leczeniu – takich praktyk, gdzie decyduje uznaniowość, a nie wyłącznie podstawy prawne, jest całkiem sporo na rynku. Potrzebujemy jasnych, uproszczonych zasad, które umożliwią bezpieczne i legalne korzystanie z danych w celach badawczych, co nie oznacza, że teraz ta wymiana nie jest możliwa. Trzeba tylko sięgać po narzędzia dostępne na rynku, a prawnicy są od rozwiązywania problemów, a nie generowania kolejnych. Kluczowe jest również skrócenie czasu uzyskiwania zgód i decyzji administracyjnych. Bez tego tempo innowacji pozostanie niewystarczające. Potrzebujemy egzekucji, bo same deklaracje to tylko opowieści.

Co należy zrobić, by odpowiednio korzystać z istniejących już zbiorów danych o zdrowiu?

Europa już poniosła ogromne koszty gromadzenia danych zdrowotnych. Teraz kluczowe jest ich efektywne wykorzystanie. To oznacza inwestycje w jakość danych, ich standaryzację oraz rozwój kompetencji analitycznych – instytucje powinny inwestować w zatrudnianie analityków danych. Inaczej pozostaniemy na etapie niewykorzystanego potencjału. Równie ważne jest tworzenie mechanizmów współpracy między instytucjami. Dane muszą zacząć pracować w ekosystemie, a nie w izolacji. Należy inwestować w kadry, czerpać z know-how, jakie ma biznes. Należy zmieniać także mentalność urzędników, bo nowe regulacje nie sprawią, że nagle system zacznie działać lepiej. I to też od początku robimy w naszej Fundacji AI One Health, budujemy technologiczne mosty, tworzymy merytoryczny dialog, działając interdyscyplinarnie.

Dlaczego nie jesteśmy na tak zaawansowanym etapie wdrażania systemu jak Dania, Finlandia czy Wielka Brytania?

Kraje takie jak Dania czy Finlandia osiągnęły sukces, ponieważ konsekwentnie budowały swoje systemy przez lata, opierając je na zaufaniu i spójnej strategii państwa. W wielu innych krajach zabrakło tej ciągłości i koordynacji. Kluczowa była także stabilność regulacyjna i jasna wizja rozwoju. W Polsce tego stanowczo brakuje, brak przewidywalności prawa znacznie hamuje rozwój gospodarczy, a to z kolei nie są dobre warunki do rozwoju innowacji. To pokazuje, że transformacja cyfrowa w ochronie zdrowia to maraton, a nie sprint jednej kadencji sejmu czy zmieniających się ministrów.

Ponadto Polska pomimo rozwoju e-zdrowia w ostatnich latach ma dekady zaniedbań w obszarze kultury ochrony danych medycznych, którą właściwie zaczęliśmy budować od wejścia w życie RODO, pomimo świętości, jaką jest tajemnica lekarska. Zmiana nawyków, przyzwyczajeń to nie działania jednorazowe, to proces rozłożony w czasie. Najtrudniejsza jest zmiana mentalności. Potrzebujemy wizjonerów, przywództwa i charyzmy, prawdziwego partnerstwa i transparentności, a nie uprawiania niskich lotów marketingu, że jest dobrze, kiedy liczby mówią, że nie jest.

Co można zrobić, by zachęcić instytucje do wymiany danych i ograniczyć zamknięcie ich w systemie silosowym?

Silosy danych to nie problem technologiczny, lecz instytucjonalny, mentalny i kompetencyjny. Wynikają z braku zaufania, jasnych zasad i odpowiednich bodźców. Jeśli stworzymy środowisko, w którym dzielenie się danymi jest bezpieczne i opłacalne, instytucje zaczną współpracować. Potrzebna jest też instytucja lider, która chwyciłaby lejce i nadała temu procesowi prędkość, a dziś takiej nie ma. Obecnie transfery danych medycznych odbywają się w różnych hermetycznych gremiach, wytworzono jakąś hierarchiczność i poczucie, że dane są dostępne dla niektórych badaczy. Po prostu mamy uznaniowość udostępniania danych, co jest niegodną praktyką. Niezbędne są również mechanizmy odpowiedzialności i jasne reguły zarządzania ryzykiem.

Dopiero wtedy wymiana danych stanie się standardem, a nie wyjątkiem. I tu ważna rola organu, jakim jest UODO, który już drugi rok z rzędu kontroluje w ramach kontroli sektorowych ochronę zdrowia. Powinien to też robić w kolejnych latach, cyklicznie, z uwagi na rosnące zaniedbania w organizacjach, które ten ekosystem tworzą. Sporo rekomendacji przedstawiliśmy w naszym raporcie „Mapa źródeł danych medycznych w Polsce”, w którym eksperci z różnych dziedzin bardzo odważnie mówią o tym, że mają dość systemu, który oferuje warunki nieprzystające do możliwości, zasobów intelektualnych w kraju i współczesnej nauki na światowym poziomie.

Jak możemy skorzystać z tych danych dzięki narzędziom AI, blockchain i nowym technologiom?

Nowe technologie otwierają zupełnie nowe możliwości wykorzystania danych zdrowotnych. Sztuczna inteligencja pozwala na analizę na niespotykaną dotąd skalę, a technologie takie jak blockchain mogą zwiększyć przejrzystość i kontrolę nad danymi. Kluczowe jest jednak to, by technologia była narzędziem, a nie celem samym w sobie. Największą wartość generuje połączenie technologii z wysokiej jakości danymi i odpowiednim zarządzaniem.

To właśnie na tym styku powstają najbardziej przełomowe innowacje. Powinniśmy czerpać dobre wzorce ze świata, ale też finansować te programy, za którymi stoi walidacja, dostęp do publicznych danych pokazujących postęp, skuteczność, skalę. Instytucje publiczne nie mają w swoich kompetencjach przepalania publicznych pieniędzy, choć to niestety także robią. I tu bardzo potrzebujemy sztucznej inteligencji, która może być znakomitym sprzymierzeńcem transparentności i budowania zaufania do systemu ochrony zdrowia.

Dziękuję za rozmowę!