Governance AI w ochronie zdrowia: co muszą wiedzieć decydenci

Governance AI w ochronie zdrowia to zbiór polityk, procedur klinicznych i mechanizmów nadzoru zapewniających, że systemy AI w diagnostyce, terapii i operacjach szpitalnych działają bezpiecznie, zgodnie z regulacjami i w najlepszym interesie pacjenta. W odróżnieniu od sektorów, gdzie governance AI chroni głównie interesy biznesowe, w medycynie stawka jest dosłownie życiowa — wadliwy model scoringu kredytowego skutkuje stratą finansową, wadliwy model diagnostyczny może skutkować błędnym rozpoznaniem. Przy 38% organizacji ochrony zdrowia wdrażających AI, governance stanowi warunek sine qua non przejścia od pilotażu do zastosowań klinicznych. [Źródło: Deloitte Global Health Care Outlook 2025]

Dlaczego ochrona zdrowia stoi przed unikalnymi wyzwaniami governance AI

Nakładanie się regulacji wyrobów medycznych i AI. System AI informujący decyzje kliniczne może jednocześnie podlegać MDR 2017/745 (jako wyrób medyczny), EU AI Act (jako AI wysokiego ryzyka) i RODO art. 9 (jako system przetwarzający dane zdrowotne). Każda rama regulacyjna wymaga osobnego zestawu dokumentacji, procesów zatwierdzania i mechanizmów monitoringu. Governance musi zintegrować te wymagania, nie powielać ich.

Odpowiedzialność kliniczna wymaga jasnych granic. Gdy AI wspomaga diagnozę, kto odpowiada za błąd — lekarz, szpital, producent systemu AI? Polskie prawo medyczne (ustawa o zawodach lekarza i lekarza dentysty) przypisuje odpowiedzialność lekarzowi, ale granica między „wspomaganiem” a „wpływaniem na decyzję” jest prawnie niejasna. Framework governance musi definiować jasne granice odpowiedzialności i procedury eskalacji.

Dane medyczne wymagają szczególnej ochrony. Art. 9 RODO klasyfikuje dane zdrowotne jako dane szczególnej kategorii, z ograniczonymi podstawami przetwarzania. UODO aktywnie kontroluje placówki medyczne — w 2025 roku wydał 8 decyzji dotyczących przetwarzania danych medycznych przez systemy IT, w tym 2 dotyczące systemów z elementami AI. [Źródło: UODO, Sprawozdanie Roczne 2025]

Interoperacyjność między systemami komplikuje monitoring. Governance AI wymaga ciągłego monitoringu wydajności modeli. Gdy model AI korzysta z danych z 3–5 systemów EDM o różnych formatach, monitoring musi obejmować nie tylko wyjścia modelu, ale też jakość i spójność danych wejściowych ze wszystkich źródeł.

W Polsce Rzecznik Praw Pacjenta w 2025 roku opublikował stanowisko dotyczące AI w ochronie zdrowia, podkreślając wymóg informowania pacjenta o użyciu AI w procesie diagnostycznym i terapeutycznym oraz prawo pacjenta do decyzji opartej wyłącznie na ocenie lekarza. [Źródło: RPP, Stanowisko ws. AI w ochronie zdrowia 2025]

Jak governance AI działa w ochronie zdrowia

1. Ustanów dwuścieżkowy model governance

Governance AI w ochronie zdrowia musi rozróżniać dwie ścieżki z fundamentalnie różnymi wymaganiami:

Ścieżka kliniczna (AI wpływające na decyzje medyczne):

• Komitet ds. AI klinicznego (Clinical AI Committee) z udziałem lekarzy, pielęgniarek, farmaceutów, bioetyka, prawnika i specjalisty IT
• Walidacja kliniczna przed wdrożeniem — prospektywna, na populacji docelowej
• Continuous monitoring outcomes klinicznych — nie tylko metryk ML
• Procedura wycofania modelu (decommissioning) gdy performance degraduje
• Raportowanie incydentów do systemu vigilance (MDR art. 87)

Ścieżka administracyjna (AI w operacjach szpitalnych):

• Standard governance IT — komitet IT, ocena ryzyka, monitoring wydajności
• DPIA jeśli system przetwarza dane osobowe
• Lżejsze wymagania regulacyjne — brak MDR, brak EU AI Act high-risk (typowo)

Szpital Uniwersytecki w Zurychu wdrożył ten dwuścieżkowy model w 2024 roku, redukując czas approval dla AI administracyjnego o 70% przy jednoczesnym wzmocnieniu kontroli nad AI klinicznym. [Źródło: Lancet Digital Health, AI Governance in European Hospitals 2025]

2. Zbuduj rejestr systemów AI z klasyfikacją regulacyjną

Centralny rejestr musi obejmować:

• Identyfikacja: Nazwa systemu, producent/developer, wersja, data wdrożenia
• Klasyfikacja regulacyjna: MDR klasa (jeśli dotyczy), EU AI Act kategoria ryzyka, DPIA status
• Opis kliniczny: Intended use, populacja docelowa, ograniczenia, kontraindykacje
• Metryki wydajności: Baseline performance, current performance, drift alerts
• Odpowiedzialność: Właściciel kliniczny, właściciel techniczny, reviewer

W Polsce CSIOZ (Centrum e-Zdrowia) pracuje nad krajowym rejestrem systemów AI medycznych — planowane uruchomienie w 2027 roku. Do tego czasu instytucje muszą prowadzić rejestry lokalne.

3. Wdróż ciągły monitoring bezpieczeństwa klinicznego

Monitoring AI klinicznego wykracza poza standardowe MLOps:

• Performance monitoring: Sensitivity, specificity, PPV, NPV śledzone na bieżącej populacji (nie historycznej)
• Safety monitoring: Śledzenie zdarzeń niepożądanych potencjalnie związanych z rekomendacjami AI
• Fairness monitoring: Weryfikacja, czy model nie dyskryminuje subpopulacji (wiek, płeć, choroby współistniejące)
• Drift detection: Alerty gdy dane wejściowe lub wyniki modelu odbiegają od baseline’u

System AI do wykrywania sepsy wdrożony w szpitalach Epic (USA) wykazał 12% spadek sensitivity po 18 miesiącach ze względu na zmiany w protokołach klinicznych — wykryty przez continuous monitoring, naprawiony przez retraining. Bez monitoringu spadek mógł pozostać niewykryty, prowadząc do opóźnionych interwencji. [Źródło: JAMA Network Open, AI Monitoring in Critical Care 2025]

4. Zdefiniuj procedury informowania pacjenta i zgody

Governance musi regulować transparentność wobec pacjenta:

• Informacja o użyciu AI: Pacjent ma prawo wiedzieć, że AI uczestniczyło w procesie diagnostycznym (RPP stanowisko 2025)
• Prawo do decyzji ludzkiej: Pacjent może zażądać, by decyzja diagnostyczna lub terapeutyczna była podjęta wyłącznie przez lekarza
• Dokumentacja w historii choroby: Rekomendacja AI i decyzja lekarza muszą być odnotowane w dokumentacji medycznej

Przypadki użycia governance AI w ochronie zdrowia

Kontekst regulacyjny

Governance AI w polskich placówkach medycznych podlega nadzorowi wielu instytucji:

Urząd Rejestracji Produktów Leczniczych, Wyrobów Medycznych i Produktów Biobójczych (URPL) — nadzoruje wyroby medyczne, w tym systemy AI kwalifikujące się jako wyrób medyczny pod MDR. Instytucja musi uzyskać oznakowanie CE dla AI klinicznego.

UODO — egzekwuje RODO art. 9 (dane zdrowotne), art. 35 (DPIA) i art. 22 (automatyczne podejmowanie decyzji). Kontrole UODO w placówkach medycznych nasilają się — 8 decyzji w 2025 roku dotyczących systemów IT przetwarzających dane medyczne.

NFZ — choć nie reguluje bezpośrednio AI, wymogi sprawozdawcze NFZ wpływają na sposób integracji systemów AI z procesami klinicznymi i administracyjnymi.

Rzecznik Praw Pacjenta — stanowisko z 2025 roku ustanawia ramy ochrony praw pacjenta w kontekście AI medycznego, w tym prawo do informacji i prawo do decyzji czysto ludzkiej.

ROI i uzasadnienie biznesowe governance AI

Governance AI w ochronie zdrowia to inwestycja w bezpieczeństwo i skalowalność, nie centrum kosztów. Instytucje z dojrzałym governance:

• Wdrażają nowe systemy AI kliniczne 50% szybciej (eliminując wielomiesięczne ad hoc procesy approval)
• Raportują 70% mniej incydentów bezpieczeństwa związanych z AI
• Unikają kosztów regulacyjnych — kara UODO za naruszenie RODO w ochronie zdrowia sięga 20 mln EUR

Koszt wdrożenia governance AI w szpitalu wielospecjalistycznym: EUR 100–300 tys. w pierwszym roku (rejestr, procesy, szkolenia, monitoring). Koszt incydentu bezpieczeństwa AI bez governance — potencjalnie wielokrotnie wyższy (kary regulacyjne, odpowiedzialność cywilna, straty reputacyjne).

Jak zacząć

1. Przeprowadź inwentaryzację systemów AI. Zmapuj wszystkie systemy AI w placówce — formalne i shadow AI (narzędzia AI używane przez klinicystów bez wiedzy IT). Sklasyfikuj każdy pod MDR, EU AI Act i RODO.
2. Ustanów Clinical AI Committee. Multidyscyplinarny zespół z mandatem do approval i monitoringu AI klinicznego. Musi obejmować klinicystów, etyka, prawnika i informatyka.
3. Wdróż dwuścieżkowy model governance. Osobne procesy dla AI klinicznego (rygorystyczne) i administracyjnego (zwinne), z jasnym kryterium klasyfikacji.

W The Thinking Company prowadzimy warsztaty Governance AI dla placówek medycznych (EUR 5–10 tys.), dostarczające gap analysis, framework governance dostosowany do MDR/EU AI Act i plan implementacji w 2 dni.

Często zadawane pytania

Czy każdy system AI w szpitalu wymaga conformity assessment MDR?

Nie. MDR dotyczy systemów AI, które spełniają definicję wyrobu medycznego — tj. są przeznaczone do diagnostyki, leczenia lub monitoringu pacjentów. AI do schedulingu, kodowania DRG czy zarządzania łóżkami nie podlega MDR. Kluczowe jest intended use — nie technologia. Ten sam model ML może podlegać MDR (jeśli wspiera decyzję kliniczną) lub nie (jeśli optymalizuje scheduling).

Kto odpowiada za błąd AI w diagnostyce?

Zgodnie z polskim prawem medycznym odpowiedzialność kliniczna spoczywa na lekarzu, który podjął decyzję diagnostyczną — nawet jeśli była wspierana przez AI. Producent systemu AI odpowiada za wady produktu (odpowiedzialność producenta pod MDR). Szpital odpowiada za organizację procesu i zapewnienie governance. Framework governance musi jasno definiować, że AI jest narzędziem wspomagającym, a ostateczna decyzja należy do lekarza.

Jak często należy przeglądać wydajność AI klinicznego?

AI kliniczne wymaga ciągłego monitoringu (continuous monitoring), nie okresowych przeglądów. Metryki performance (sensitivity, specificity) powinny być śledzone w czasie rzeczywistym lub dziennie. Formalne przeglądy governance — kwartalnie. MDR wymaga okresowej aktualizacji ewaluacji klinicznej i dokumentacji technicznej. EU AI Act wymaga post-deployment monitoring z raportowaniem zmian w performance.

Ostatnia aktualizacja: 2026-03-12. Część serii AI w ochronie zdrowia. Sprawdź nasze warsztaty AI (EUR 5–10 tys.).