Czy obecni studenci medycyny są przygotowywani do pracy w cyfrowej ochronie zdrowia i z AI? O to pytamy Agnieszkę Siennicką, prodziekan ds. Rozwoju na Uniwersytecie Medycznym we Wrocławiu.

Trudno oczekiwać od nich gotowości, skoro standardy kształcenia nie obejmują takich zagadnień. Standardy kształcenia definiują zakres kompetencji, umiejętności i informacji, które studenci muszą przyswoić w trakcie studiowania, żeby mogli uzyskać dyplom i docelowo – prawo wykonywania zawodu. Te standardy są obszerne, bo wiedza medyczna jest obszerna. Wszystko, czego możemy próbować uczyć na uczelni, a co nie wpisuje się w standardy, będzie traktowane jako coś ekstra, jako „zadanie z gwiazdką”, coś dla chętnych, dla bardziej ambitnych, coś o charakterze hobby.

Mając tak dużo nauki, studenci – nawet jeśli bardzo chcą – rzadko mogą poświęcić swój czas dodatkowemu dokształcaniu, więc w efekcie może się tak zdarzyć, że ktoś podczas całych studiów medycznych nie zaangażuje się w zdobywanie wiedzy dotyczącej sztucznej inteligencji w medycynie. Jednocześnie będzie sięgał po najpopularniejsze „ułatwiacze” pracy, wykorzystując je do celów, które w późniejszej pracy nie mogą być w ten sposób realizowane. Przykładowo, o ile można zrozumieć wspieranie się czatem GPT, rozwiązując zadania na uczelni, przykładowo szukając diagnoz dla wymyślonych przypadków, o tyle analogiczna metoda zastosowana względem prawdziwego pacjenta jest w zasadzie niedopuszczalna. Niestety, mało kto o tym mówi.

Nie ma w tej chwili mechanizmu, który mógłby sprawić, że taka wiedza stanie się obowiązkowa, będzie traktowana jako integralny element zawodów medycznych. Jeśli już, to w przestrzeni publicznej pojawia się krytyka, sugerująca, że sztuczna inteligencja to droga na skróty i nowoczesne narzędzie do oszukiwania. Albo że to nie zastąpi lekarza, bo wychodzi na to, że często się myli. Powstają memy, gdzie czat przeprasza, że zoperował pacjentowi niewłaściwą nogę, zaczynając swoje przeprosiny od zdania „masz absolutną rację”.

Brakuje refleksji, że te pomyłki wcale nie demaskują niedoskonałości sztucznej inteligencji, a są naturalną konsekwencją chaosu informacyjnego, który został jej dostarczony. Świadomość dotycząca sztucznej inteligencji w ochronie zdrowia powinna dotyczyć nie tylko sposobu rozumienia tego, co można uzyskać z wykorzystaniem algorytmów, ale również tego, jak należy te algorytmy kształtować: jak selekcjonować rozwiązania, jak przygotować wsad merytoryczny, jak nie zwiększać chaosu w danych, pracując na co dzień z cyfrowymi systemami szpitalnymi, które towarzyszą współcześnie każdej procedurze medycznej i są obowiązkowym elementem dokumentowania pracy. To medycy są odpowiedzialni za dane, na których te rozwiązania pracują. Więc jest to słuszna krytyka, ale nie powinna być ona argumentem za rezygnacją z nowoczesnych rozwiązań, a raczej kolejnym argumentem za zajęciem się obowiązkową edukacją w tym obszarze.

Standardy kształcenia muszą odpowiadać rzeczywistości. Dopiero wtedy będzie można oczekiwać, że młode pokolenie medyków będzie gotowe na świadome wykorzystywanie nowoczesnych rozwiązań cyfrowych oraz sztucznej inteligencji.

Więc wracając do pytania, nie widzę tej gotowości, ale też nie mam prawa mieć pretensji do studentów czy młodych lekarzy. Oni naprawdę mają co robić. Dlatego nie wierzę w skuteczność jakichkolwiek dodatkowych szkoleń czy warsztatów. Mimo że one mogą być merytorycznie doskonałe, trafią tylko do tych, którym się chce.

A jak transformacja cyfrowa zmienia edukację w ochronie zdrowia? Póki co nie zmienia, a powinna. Pojawiają się nowe możliwości. Warto nauczyć się efektywnego wykorzystania rozwiązań cyfrowych, które realnie mogą wesprzeć, przyspieszyć, wyeliminować wiele przestarzałych, zbędnych czy zbyt długotrwałych procesów w systemie ochrony zdrowia. Ale tego trzeba się nauczyć. Trzeba wiedzieć, że one istnieją; trzeba wiedzieć, jak działają. Pojawiają się też zupełnie nowe zagrożenia i dylematy, również etyczne. Świadomość w tym zakresie jest niezbędna, przy czym to nie może być wyłącznie świadomość zagrożeń, w efekcie której użytkownik będzie omijał nowoczesne rozwiązania.

Chodzi o świadome wykorzystanie tych rozwiązań, tak aby nie narazić się na nowe ryzyka. Co ponownie zwraca nas ku podstawowemu kształceniu. To jest najlepszy czas na nabycie podstawowej świadomości i zorientowanie się w świecie nowych rozwiązań, poznanie ich zalet i związanych z nimi zagrożeń.

Czytaj także: AI skraca czas dokumentowania przez lekarza o 30-70%

Żaden rok nie rozpoczął się tak burzliwie jak 2026. Premiera ChatGPT Health i Copilot Health zwiastuje erę agentów zdrowia mających dostęp do dokumentacji medycznej i wiedzących o zwyczajach i zdrowiu pacjenta więcej niż lekarz. A w Polsce wdrażane są narzędzia e-zdrowia, które odwracają piramidę świadczeń już nie ze szpitali do POZ i AOS, ale z POZ i AOS do IKP

• Rok 2026 zapowiada przełom technologiczny w zdrowiu, napędzany przez AI, robotykę i cyfrowych „agentów zdrowia”.
• Zmianę napędza kryzys sektora: finansowy, kadrowy i spadające zaufanie pacjentów.
• Równolegle rośnie alternatywny, cyfrowy rynek usług zdrowotnych i longevity, oferujący pełną opiekę 24/7 w łatwo dostępnej, atrakcyjnej formie
• Pokolenie Z chętnie korzysta z AI do diagnozy i ufa influencerom zdrowotnym w mediach społecznościowych, co zmienia sposób podejmowania decyzji o zdrowiu.
• Przyszłość medycyny to model oparty na profilaktyce, personalizacji i AI, ale wymaga nowych regulacji i adaptacji systemu.

To, że ochrona zdrowia jest w kryzysie, wiemy od dawna. Prawie każdy szpital ma problem ze znalezieniem personelu medycznego. Do budżetu NFZ trzeba dosypywać pieniędzy – deficyt NFZ na 2026 rok szacowany jest na 23–26 mld zł. Według CBOS-u, 70% Polaków źle ocenia system zdrowia.

W gospodarce rynkowej, każde niezadowolenie to nisza rynkowa, którą zagospodarowują inne firmy. I dzieje się to także w mocno regulowanej ochronie zdrowia. Liczba prywatnych polis zdrowotnych w Polsce wzrosła w 2024 roku o 12,2% do 5,39 mln. I będzie dalej rosnąć, bo rosną oczekiwania pacjentów, którzy nie chcą już czekać w długich kolejkach.

Nic dziwnego, że obok systemu zdrowia, który znamy od lat, rośnie nowy, alternatywny. Nie byłby możliwy bez cyfryzacji, sztucznej inteligencji oraz smartfonów.

Przepaść pomiędzy wizytą na NFZ a tym co w smartfonie

Polski rynek zdrowia – choć rządzi się swoimi prawami i ma swoje problemy – nie działa w bańce. Jest podatny na trendy społeczne, technologiczne i sytuację geopolityczną. We wszystkich trzech obszarach weszliśmy w 2026 roku z zapowiedzią dużych zmian.

Amerykańska FDA dopuściła już ponad 1250 urządzeń medycznych opartych na AI i uczeniu maszynowym. Ich liczba rośnie rok do roku. Na świecie dostępnych jest ponad dwa miliony wyrobów medycznych, z czego około 25 procent to urządzenia cyfrowe. Trend rosnący.

Na targach CES 2026 dominowały humanoidalne roboty napędzane AI, a firmy technologiczne zapowiadają coraz śmielsze projekty. OpenAI ogłosiło ChatGPT Health, czyli nową opcję umożliwiającą integrację generatywnej AI z elektroniczną dokumentacją medyczną. Firma pracuje też nad tajemniczym nowym urządzeniem, które ułatwi komunikację z agentami AI (premiera zapowiadana jest na 2026/2027 rok). Ci będą podpowiadać, jak się odżywiać, motywować do sportu, układać zdrowy plan dnia. Podobne modele pomagające zadbać o zdrowie wprowadzili pozostali giganci AI, jak Anthropic (Claude for healthcare) oraz Microsoft (Copilot Health).

Ministerstwo Zdrowia, placówki zdrowia i lekarze tracą monopol na profilaktykę – dostarczać ją będą w sposób ultrapersonalizowany firmy nowych technologii, najczęściej z USA. Nowi neodostawcy e-usług z zakresu dobrego samopoczucia i zdrowia rozbudzają apetyty. Oczekujemy takiej samej szybkości i doskonałości obsługi od sektora publicznego. A to wróży tylko jedno: dalej rosnące niezadowolenie pacjentów z publicznego systemu zdrowia.

MZ próbuje nadążać za rewolucją technologiczną, oferując nowe cyfrowe rozwiązania, od IKP po Centralną e-Rejestrację. Robi to dobrze, ale nie jest w stanie dotrzymywać kroku rozwojowi AI w sytuacji, gdy sektorem zdrowia rządzą stare reguły, w tym system refundacji oparty na klasycznych usługach zdrowotnych i konserwatywne regulacje.

Kryzys zaufania do systemu tworzy nową niszę rynkową

Można odnieść wrażenie, że nie wszyscy przejmują się transformacyjną siłą AI i nowych technologii. „Pacjentów nie brakuje i brakować nie będzie”, więc po stronie systemu zdrowia nie widać potrzeby wdrażania nowych form opieki.

Ale taki punkt widzenia ignoruje jeden, ważny aspekt, który z każdym rokiem będzie nabierał na znaczeniu: malejące zaufanie pacjentów do podmiotów zdrowia i lekarzy, powstawanie alternatywnego systemu zdrowia z coraz szerszą ofertą nowoczesnych usług oferowanych przez neo-dostawców, redukcja roli podmiotów zdrowia.

Kilka przykładów. Pacjenci już dziś przed wizytą u lekarza pytają ChatGPT o możliwą diagnozę, a po wizycie weryfikują zalecenia. Według danych OpenAI, najczęściej zwracamy się do AI właśnie w sprawach związanych ze zdrowiem (40 mln zapytań dziennie). Kilkanaście procent osób rezygnuje z zaleceń lekarskich na rzecz podpowiedzi AI, ale te statystyki mogą być mocno niedoszacowane.

Równolegle rośnie sektor komercyjnej prewencji, która jest oferowana pod atrakcyjniejszą nazwą „longevity” (długowieczność). Mnożą się kliniki oferujące tzw. pełne MRI ciała połączone z rozszerzoną diagnostyką i profilowaniem genetycznym. Podczas jednego z największych światowych wydarzeń rozrywkowych, czyli Super Bowl, po raz pierwszy pojawiła się reklama firmy oferującej cyfrową platformę longevity. Inwestycje w ten sektor sięgają miliardów dolarów i rosną w zawrotnym tempie.

Influencer jak zaufany lekarz, zdrowie w stylu „zrób to sam”

Od czasu pandemii COVID-19 maleje zaufanie do instytucji publicznych, w tym publicznego sektora zdrowia. Piosenka popularnego wśród młodzieży Taco Hemingwaya, w której pada nazwa leku przeciwbólowego, osiągnęła miliony odsłon na TikToku, wywołując nagły wzrost popytu w aptekach (sprawą zajął się nawet Główny Inspektorat Farmaceutyczny). Ale to tylko wierzchołek góry lodowej. W mediach społecznościowych są setki, tysiące pseudomedycznych influencerów zachwalających cudowne metody leczenia, podważających klasyczną medycynę, sprzedających szybkie i proste recepty na zdrowie i longevity. Wszystko w formie krótkich i przekonujących klipów wideo, często generowanych przez AI, bez żargonu medycznego. I nie ma znaczenia, że według badań nawet 80% postów dotyczących zdrowia psychicznego wprowadza w błąd albo dezinformuje. Młodzi ludzie czerpią wiedzę w nowy sposób – z mediów społecznościowych.

Ten trend wpisuje się w większą tendencję do przesuwania ochrony zdrowia ze szpitali do domów, co akurat jest pożądane przez system zdrowia (koszty) i pacjentów (wygodę), o ile opiera się na sprawdzonych rozwiązaniach. Inteligentne zegarki analizują zmiany w przepływie krwi i wysyłają ostrzeżenia o nadciśnieniu, migotaniu przedsionków, a smart pierścienie informują nawet o zbliżającej się infekcji. Tego typu sugestie kierują zaniepokojonych pacjentów do gabinetów lekarskich i kolejki zamiast się skracać, wydłużają się.

Domowe testy na obecność koronawirusa jeszcze bardziej przyspieszyły ten trend. Dzisiaj można wykonać kombo-testy na grypę; pojawiają się nowe urządzenia pozwalające nawet mierzyć poziom hormonów.

Można to nazwać „IKEA-izacją medycyny”. Pacjenci samodzielnie – z pomocą cyfrowych usług i nowych urządzeń zdrowia konsumenckiego, które są „na czasie” – dbają o siebie, własne zdrowie i samopoczucie. Popularność antagonistów GLP-1, które w Polsce biją rekordy sprzedaży, pokazuje, że innowacje przynoszące szybkie efekty dla zdrowia i urody są przyjmowane w społeczeństwie w błyskawicznym tempie.

Za dostępem do informacji idzie też większa świadomość w zakresie zdrowia, choć przyzwyczajenia zmieniają się bardzo powoli. Przykładem jest malejąca konsumpcja alkoholu. W UE spożycie alkoholu na osobę powyżej 15. roku życia zmniejszyło się o 2,9 litra w ciągu ostatnich czterech dekad z 12,7 litra do 9,8 litra w 2020 roku. To samo dotyczy Polski – z 9,73 litra na mieszkańca w 2021 r. do 8,93 litra w 2023 r. Trend jest widoczny zwłaszcza wśród młodzieży.

Inicjatywa po stronie świadczeniodawców i nowy model refundacji

Wzrost zdrowia konsumenckiego napędzany cyfryzacją jest nie tylko zagrożeniem, ale i szansą dla sektora zdrowia i placówek zdrowia. Pod warunkiem, że legislacja dostosuje się do nowej rzeczywistości, a świadczeniodawcy zrozumieją zmieniające się pod wpływem technologii oczekiwania pacjentów.

Tkwimy w systemie zdrowia przeszłości – mówi wprost prof. Katarzyna Kolasa. W koszyku usług gwarantowanych nie ma żadnych terapii cyfrowych, jak przykładowo aplikacji mobilnych dla osób chorych przewlekle. Profilaktyka nie jest refundowana systemowo, a jedynie w ramach programów takich jak Moje Zdrowie (wcześniej Profilaktyka 40+). Wprawdzie z KPO duże pieniądze na cyfryzację popłynęły do szpitali, ale nie do POZ. Zasada odwracania piramidy świadczeń, którą od lat promuje MZ, musi uwzględniać świadczenia i nowe formy usług realizowane cyfrowo. Portale pacjenta ze spersonalizowanymi informacjami zdrowotnymi, monitorowanie zdrowia osób z grup ryzyka, wirtualne oddziały szpitalne, aplikacje mobilne jako pierwsza forma kontaktu z systemem zdrowia mogą odciążyć przeciążony system i zwiększyć zaufanie pacjentów do publicznego systemu. A przede wszystkim zmniejszyć przepaść między tym, co oferują firmy nowych technologii, a świadczeniodawcami.

Polska jest społeczeństwem otwartym na nowe technologie. I to powinna wykorzystać ochrona zdrowia. Potrzebujemy nowego prawa regulującego odpowiedzialność za błędy AI, aby lekarze nie bali się sięgać do tego typu rozwiązań. Potrzebujemy nowego systemu oceny medycznych technologii cyfrowych. Systemy elektronicznej dokumentacji medycznej powinny mieć możliwość bezpiecznego pobierania danych z urządzeń pacjenta, jak inteligentnych zegarków albo opasek, aby lekarz – na podstawie analiz AI – mógł lepiej zrozumieć kontekst pacjenta, stając się architektem zdrowia, a nie mechanikiem naprawiającym zepsute części organizmu. Jak na razie jest odwrotnie – to boty AI karmią się danymi z e-kartotek, które pacjenci sami wczytują, szukając desperacko pomocy, której nie znaleźli w oficjalnym systemie zdrowia.

Co tydzień nowe postępy AI

To, że Elon Musk zapowiedział, że jego robot Optimus do 2029 roku prześcignie pod względem umiejętności najlepszych chirurgów, można uznać za kolejny chwyt marketingowy podbijający wartość giełdową Tesli. Faktem jest jednak, że robotyka to najszybciej rozwijająca się obecnie gałąź nowych technologii. Wszystko dzięki postępom AI. Można już zamówić humanoidalne roboty do prostych czynności domowych. Nad nowymi modelami dla gospodarstw domowych pracują giganci technologiczni na całym świecie, jak NVIDIA, Microsoft, Google, Boston Dynamics (należący do Hyundaya) itd.

Niektóre z innowacji wejdą do nas lada dzień i to, co było tylko teorią, stanie się częścią codziennego życia. Przykładem są autonomiczne samochody. Waymo, najbardziej popularna sieć taksówek bez kierowców, ma w USA flotę złożoną z 2500 pojazdów. Firma w tym roku planuje ekspansję do Europy, zaczynając od Londynu. Ich rozwój nie byłby możliwy bez AI.

To, jak AI robi szybkie postępy, świetnie pokazuje kolejny przykład: w 2023 roku wszyscy śmiali się z filmu przygotowanego przez sztuczną inteligencję i pokazującego aktora Willa Smitha jedzącego spaghetti. Makaron przenikał przez ręce, twarz była zniekształcona, aktor wyglądał dziwacznie i nic do siebie nie pasowało. W 2026 roku AI, dostając podobne zadanie, jest w stanie wygenerować klip wideo, po obejrzeniu którego nie zorientujemy się, że jest to AI.

ChatGPT to tylko wierzchołek góry lodowej tego, co dzieje się w AI. Pojawiają się coraz to nowsze modele; powstają wyspecjalizowani w określonych zadaniach AI agenci. Na rynek wchodzą już nawet tzw. jednoosobowe firmy, gdzie zamiast pracowników są tylko agenci AI.

Postęp jest błyskawiczny i w medycynie wywoła kilka fundamentalnych zmian: przejście od leczenia do profilaktyki, z opieki epizodycznej do ciągłej, z usług świadczonych fizycznie do świadczeń wirtualnych, z opieki w modelu „jedno podejście do wszystkich” do modelu opieki personalizowanej, z płacenia za ilość do płacenia za efekty, z medycyny opartej na doświadczeniu i wiedzy pracowników medycznych do medycyny opartej na wsparciu AI. To będzie długotrwały proces, ale już się rozpoczął i nie ma od niego odwrotu. Oczywiście ten postęp niesie za sobą też wiele niebezpieczeństw, od tzw. deskillingu personelu (zanikanie umiejętności leczenia bez AI) do utraty prywatności pacjentów po błędy w decyzjach. Ale żadna technologia nie jest idealna, tak samo jak leki nie są idealne i mają skutki uboczne.

Czytaj także: „To ostatni dzwonek, aby przygotować się na AI”

Początek roku 2026 zaskakuje paradoksalnie niskim poziomem sprzedaży leków stosowanych w leczeniu grypy i przeziębień sezonowych – i to pomimo wysokiego poziomu zachorowań w styczniu. Pacjenci kupili także dużo mniej antybiotyków. Z kolei od 3 lat utrzymuje się bardzo wysoka sprzedaż środków stosowanych w zapaleniu zatok.

POBIERZ BEZPŁATNIE e-wydanie OSOZ Statystyki 3/2026 (44 strony, PDF)

W numerze 3/2026 OSOZ Statystyki:

Mniejszy popyt na leki stosowane w grypie i przeziębieniu mimo dużej liczby zachorowań

W pierwszych tygodniach 2026 roku (od 1 stycznia do 22 lutego 2026 roku) pacjenci kupili w aptekach niecałe 3,4 mln opakowań antybiotyków, czyli o 30% mniej niż w analogicznym okresie w 2025 roku. Dla leków OTC (bez recepty) stosowanych w leczeniu grypy i przeziębienia spadek wyniósł 17%. Skąd takie spadki, skoro styczeń był jednym z najsilniejszych od lat sezonów zachorowań?

Czytaj dalej 👉

Polacy kupują co roku 50-55 mln opakowań leków na chore zatoki

W 2002 roku apteki sprzedały 10,8 mln opakowań środków stosowanych w leczeniu zapalenia zatok. W 2022 roku wzrosła ona do rekordowego poziomu 60,3 mln. Wysoki poziom utrzymał się do 2025 roku (55 mln). Wartość rynku w 2025 roku wzrosła do najwyższego w historii poziomu 1,56 mld zł. Na półkach aptecznych do wyboru było 457 produktów z tej grupy (dla porównania – w 2002 roku było ich tylko 57). Największe wzrosty odnotowano w latach 2021–2022, kiedy sprzedaż wzrosła o ponad 35%. Jednym z czynników był wariant COVID-19 Omikron BA.5, którego objawy, takie jak zatkany nos, ból głowy i uczucie ucisku twarzy, przypominały zapalenie zatok, co sprzyjało samoleczeniu i zwiększonemu popytowi na preparaty łagodzące objawy.

Czytaj dalej 👉

Ponadto w numerze:

• Sprzedaż leków według molekuł (styczeń 2026)
• Najlepiej sprzedające się produkty (styczeń 2026)
• Monitor epidemiologiczny (styczeń 2026)
• Struktura dystrybucji leków (styczeń 2026)
• Radar epidemiologiczny (kwiecień 2026)

Wszystkie archiwalne numery OSOZ Statystyki znajdziesz na zakładce POBIERZ.

W USA błyskawiczną karierą robią tzw. AI scribes, czyli automatyczne tworzenie e-dokumentacji medycznej z pomocą generatywnej sztucznej inteligencji. AI słucha rozmowy lekarza z pacjentem, podsumowuje ją, a lekarz – bez pisania na klawiaturze – zatwierdza zapisy. W Polsce ich wdrożenie może rozbić się o infrastrukturę danych i przyzwyczajenia.

Lekarze oszczędzają czas na pisanie, pacjenci doceniają lepszy kontakt z lekarzem

Na taką pomoc w biurokracji lekarze czekali od dawna, bo wpisywanie danych do e-kartoteki pacjenta zajmuje nawet 30–50% czasu wizyty. Znamy to wszyscy: lekarz wpatruje się w ekran, notuje objawy, rozpoznania, wyniki badań; wypisuje receptę i skierowanie. Klikanie po zakładkach i skrolowanie w systemie IT stały się symbolem biurokracji w ochronie zdrowia. Czasochłonne uzupełnianie EDM – a obowiązków sprawozdawczych przybywa – doprowadziło do tego, że cyfryzacja i e-zdrowie kojarzą się z nielubianym obowiązkiem, a nie z ułatwieniami.

Pierwszy raz od dekad pojawiła się szansa, aby to zmienić. Systemy generatywnej AI transkrybują i analizują treść rozmowy w gabinecie lekarskim, podsumowują ją i przyporządkowują wyłapane dane do poszczególnych kategorii EDM, jak rozpoznanie, wywiad albo recepta. Wszystko dzieje się w tle, automatycznie. Na koniec lekarz wykonuje kilka kliknięć, aby potwierdzić poprawność zebranych danych albo je uzupełnić.

To działa. Coraz więcej badań prowadzonych w USA potwierdza, że AI scribes redukują czas, jaki lekarz spędza przed komputerem, a pacjenci doceniają, że lekarz w końcu poświęca im więcej uwagi. Są nawet badania sugerujące, że takie rozwiązanie może zmniejszyć wypalenie zawodowe lekarzy. Narzędzie AI rejestruje nawet szczegóły, które przy ręcznym notowaniu mogłyby umknąć lekarzowi albo na zanotowanie których nie ma czasu.

Kolejna zaleta: pacjent może otrzymać podsumowanie przebiegu wizyty napisane prostym i zrozumiałym językiem, wraz z planem opieki i wskazówkami. To o tyle istotne, że przy klasycznej rozmowie, pacjent wiele szczegółów zapomina zaraz po wyjściu z gabinetu. Lekarz nie musi już uzupełniać dokumentacji po godzinach albo pisać porady na kartkach, bo tak jest szybciej niż w systemie IT. Według najnowszych badań, w ten sposób może zaoszczędzić kilka godzin tygodniowo, a jakość notatek zazwyczaj przewyższa jakość tych wpisywanych ręcznie na klawiaturze (wiele systemów uczy się na podstawie poprawek wprowadzanych przez lekarza).

Te bariery blokują wdrożenie notatek AI w Polsce

Notatki AI nie są bezbłędne, ale i tak zaskakująco dobre, biorąc pod uwagę, że AI nie rozumie kontekstu rozmowy. Zdarzą się błędy, jak nieprawidłowe nazwy leków, przekręcone rozpoznania albo dodatkowe wpisy wynikające z halucynacji AI. Lekarz musi wiedzieć, jak rozmawiać z pacjentem, aby wychwycić wszystkie szczegóły. Tutaj nie ma miejsca na intuicję, uzupełnianie informacji z kontekstu – wszystko musi być powiedziane głośno i wyraźnie.

Zapytaliśmy polskich dostawców IT, czy i kiedy planują wprowadzić do powszechnego użytku notatki AI. Raczej nie prędko, bo problemów do pokonania jest dużo – przyznaje większość z nich.

Pierwszy to język polski. Generatywna AI świetnie radzi sobie z językiem angielskim, bo w zdecydowanej większości została wytrenowana na danych w języku angielskim. Z prostego powodu: większość treści w światowym internecie jest po angielsku. Na kolejnych miejscach są hiszpański, chiński, francuski oraz niemiecki. Polski zajmuje odległe miejsca, ale i tak AI radzi sobie z nim dzisiaj bardzo dobrze, i to nawet kiedy lekarze używają żargonu.

Kolejna czysto techniczna przeszkoda to integracja notatek AI z systemem gabinetowym. Model AI musi działać lokalnie, aby zapewnić bezpieczeństwo danych pacjenta i pełną poufność. To nie może być publiczny model jak ChatGPT albo inne narzędzie, aby dane nie trafiały na serwery zlokalizowane w chmurze, najczęściej w USA – placówka musi dysponować modelem AI zainstalowanym lokalnie. Ten warunek dyskwalifikuje przede wszystkim małe POZ-ty, gdzie AI mogłaby przynieść największe korzyści, ale które działają w oparciu o tradycyjne serwery albo bazy danych na laptopie, które mogą nie podołać wymaganiom mocy obliczeniowych modelu.

Tymczasem wszystkie przypadki zastosowania AI scribes w USA dotyczą podmiotów działających właśnie w chmurze, i to dostawcy usług chmurowych – jak AWS, Microsoft Azure, Google Cloud albo Oracle – mogą zaoferować taką usługę, jednocześnie spełniając wymagania HIPAA (Health Insurance Portability and Accountability Act), czyli amerykańskich zasad bezpieczeństwa danych.

Infrastruktura IT wymaga pilnego unowocześnienia

To powoduje, że dla polskich dostawców IT wprowadzenie do oferty notatek AI mijałoby się z realiami rynkowymi. Podmioty nie dysponują odpowiednią infrastrukturą IT i miną lata, zanim taką zbudują.

O ile kwestie techniczne z czasem przestaną być barierą, to dochodzą jeszcze te etyczne, prawne i kulturowe. W przypadku błędów AI odpowiedzialność ponosi lekarz, a rozwiązania typu AI scribes nie są systemami medycznymi i nie dają 100% gwarancji poprawności podsumowań informacji. Trzeba też wziąć pod uwagę, że obecnie tylko ok. 6% placówek zdrowia korzysta z AI i najczęściej są to szpitale stosujące AI w systemach diagnostyki obrazowej. W POZ-tach, AI po prostu nie ma. Na koniec dochodzi też opór ze strony pacjentów, którzy nie są przyzwyczajeni do tej formy wizyty i mogą mieć duże obawy co do prywatności i bezpieczeństwa danych.

Na automatyczne tworzenie EDM z pomocą AI jest za wcześnie – usłyszeliśmy od dostawców IT w Polsce. Polscy lekarze będą musieli jeszcze poczekać, aby skorzystać z tego ułatwienia. W tym czasie modele będą coraz doskonalsze i łatwiejsze do integracji z EDM. Trzeba jednak zaznaczyć, że postępy sztucznej inteligencji są tak szybkie i nieprzewidywalne, że te prognozy mogą już jutro okazać się nieaktualne.

Czytaj także: AI w EDM. „Lekarz oszczędza kilka godzin tygodniowo”

Rejestracje w podmiotach zdrowia toną w pracy administracyjnej i telefonach od pacjentów. Tymczasem wiele spraw pacjenci mogliby załatwić samodzielnie przez internet. Nowy Portal Pacjenta stworzony przez KAMSOFT ma zmniejszyć obciążenia organizacyjne, przenosząc proste czynności związane z obsługą pacjentów do kanału online i umożliwiając wygodną interakcję z podmiotem zdrowia. Obecnie trwają testy rozwiązania.

Łatwiejszy i szybszy kontakt pacjenta z placówką

Portal Pacjenta umożliwia intuicyjne korzystanie z usług medycznych bez konieczności kontaktu telefonicznego czy osobistej wizyty w przychodni. Dzięki Portalowi Pacjenta pacjent może samodzielnie:

• umówić lub odwołać wizytę u lekarza. System prezentuje dostępne terminy zgodnie z aktualnym grafikiem placówki;
• zamówić receptę na leki na kontynuację leczenia, stosowane w chorobach przewlekłych. Pacjent składa wniosek online; lekarz go akceptuje bez udziału rejestracji i bez konieczności wizyty stacjonarnej;
• sprawdzić wyniki badań. Wyniki publikują się automatycznie po ich zatwierdzeniu w placówce;
• uzyskać dostęp do historii wizyt i dokumentacji medycznej. Wszystkie informacje są dostępne w jednym miejscu, bez potrzeby dzwonienia z pytaniami.

Odciążenie personelu i oszczędność czasu

Wdrożenie Portalu Pacjenta to nie tylko korzyści dla pacjentów, ale także dla placówek zdrowia. Wśród nich są m.in.:

• mniejsza liczba połączeń telefonicznych dotyczących zapisów czy przepisania recept,
• mniej wizyt „po receptę”, które generowały kolejki i zajmowały czas lekarzom,
• mniejsza liczba tzw. no‑shows, czyli wizyt niezrealizowanych z powodu niestawienia się pacjenta, dzięki automatycznym powiadomieniom oraz możliwości łatwego odwołania terminu jednym kliknięciem.

Przeniesienie części procesów na pacjenta i umożliwienie mu wygodnej samoobsługi odciążają personel placówki z trzech najczęściej powtarzających się czynności: rejestracji wizyt, obsługi wizyt „po receptę” oraz udzielania podstawowych informacji, np. o wynikach badań.

– Dla coraz większej grupy pacjentów cyfrowe kanały obsługi są standardem, a nie dodatkiem. Nowy Portal Pacjenta odpowiada na te oczekiwania, jednocześnie realnie odciążając personel. To narzędzie, które pozwala placówkom budować nowoczesną, zorientowaną na pacjenta obsługę – mówi Tomasz Latko, Dyrektor Techniczny Wydziału Rozwoju KAMSOFT S.A.

Portal Pacjenta buduje pozytywny wizerunek placówki

Cyfryzacja w ochronie zdrowia to, oprócz usprawnienia pracy, także ważny element przewagi konkurencyjnej. Placówki oferujące pacjentom nowoczesne narzędzia online są postrzegane jako lepiej zorganizowane, dostępne i dbające o czas i wygodę swoich pacjentów.

Dzięki Portalowi Pacjenta pacjenci mają łatwy dostęp do swoich danych medycznych – wizyt, recept, wyników badań i zaleceń – zgromadzonych w jednym miejscu. To buduje poczucie bezpieczeństwa, większą kontrolę nad procesem leczenia i wrażenie indywidualnej troski. W efekcie pacjenci czują się lepiej „zaopiekowani”, co przekłada się na większe zaangażowanie i lojalność wobec placówki.

Opracowując nową wersję Portalu Pacjenta, postawiono na przejrzystość, nowoczesność oraz możliwość dopasowania narzędzia do specyfiki konkretnej placówki. Wśród nowych funkcjonalności i cech znajdują się:

• odświeżona, intuicyjna szata graficzna,
• rozszerzone możliwości konfiguracji – moduły i usługi można dostosować do oferty placówki (np. opcja sprzedaży usług komplementarnych),
• personalizacja elementów wizualnych,
• większy nacisk na ergonomię i łatwość obsługi zarówno dla pacjenta, jak i administratorów (proste i szybkie wdrożenie rozwiązania).

Trwa pilotaż, wkrótce premiera

Wybrane placówki testują nowe funkcje Portalu Pacjenta, a ich opinie pomogą dopracować narzędzie przed szerszym wdrożeniem. To ważny etap, który pozwala rozwijać Portal w oparciu o realne potrzeby użytkowników oraz codzienne doświadczenia pracy personelu i pacjentów.

Portal Pacjenta będzie dostępny jako moduł dla placówek korzystających z systemów KAMSOFT, a jego uruchomienie po stronie podmiotu medycznego nie będzie wymagało dodatkowych nakładów pracy ani czasochłonnych zmian organizacyjnych.

Portal Pacjenta jest kolejnym elementem ekosystemu OSOZ, którego centrum stanowi pacjent. Rozwiązanie uzupełnia znaną i cenioną przez pacjentów aplikację mobilną VisiMed, dzięki której pacjenci mogą załatwiać sprawy zdrowotne również z poziomu smartfona. VisiMed tym głównie różni się od Portalu Pacjenta, że daje dostęp do wielu placówek jednocześnie, zaś Portal Pacjenta pozwala na uzyskanie danych medycznych, które nie są w tak szerokim zakresie możliwe do udostępnienia w VisiMed. Obie aplikacje tworzą spójny duet i uzupełniają się nawzajem. Zarówno w Portalu Pacjenta, jak i aplikacji VisiMed, dostęp 24/7 sprawia, że pacjent załatwia swoje sprawy wtedy, kiedy najbardziej mu wygodnie, bez ograniczeń czasowych, czekania w kolejkach czy konieczności kontaktu z rejestracją.

Czytaj także: Nowy system KAMSOFT-u do koordynacji opieki nad pacjentem

Szpitale realizujące projekty e-zdrowia finansowane z Krajowego Planu Odbudowy dostały więcej czasu – dowiedzieliśmy się podczas Forum Wyzwań Zdrowotnych. Ministerstwo Zdrowia zdecydowało o możliwości przesunięcia terminu ukończenia wdrożeń do 15 lipca 2026 r. Warunkiem jest przygotowanie aneksu do umowy.

Trwa wyścig z czasem, aby nie stracić 3 mld zł na cyfryzację szpitali

Program cyfryzacji szpitali realizowany w ramach Krajowego Planu Odbudowy obejmuje 371 placówek medycznych w całej Polsce. Łączna wartość inwestycji wynosi ok. 3,1 mld zł. Środki mają zostać przeznaczone m.in. na modernizację infrastruktury IT, rozwój systemów informatycznych, poprawę cyberbezpieczeństwa oraz wdrażanie nowych narzędzi AI jak Platforma Usług Inteligentnych.

Jak podkreślają przedstawiciele resortu zdrowia, skala inwestycji jest bezprecedensowa.

– To ogromna kumulacja środków w czasie, ale jednocześnie unikalna szansa na wzmocnienie cyfryzacji w całym systemie ochrony zdrowia – mówiła podczas debaty Karolina Tądel, zastępczyni dyrektora Departamentu e-Zdrowia w Ministerstwie Zdrowia.

Decyzja o przesunięciu terminu, która zapadła 11 marca br., wynika przede wszystkim z napiętego harmonogramu realizacji inwestycji. Wiele szpitali ogłaszało przetargi dopiero pod koniec ubiegłego roku, gdy podpisywane były umowy o dofinansowanie. W efekcie znacząca część wdrożeń rozpoczęła się dopiero w pierwszych miesiącach 2026 r., a muszą zostać zamknięte do końca maja. W wielu przypadkach termin jest nierealny. Do tego w tym samym czasie realizowane są inne duże projekty jak m.in. Centralna e-Rejestracja. Wiele placówek alarmowało, że będzie miało problem z dotrzymaniem terminów.

1,5 miesiąca więcej, konieczny aneks do umowy

Możliwość wydłużenia terminu realizacji inwestycji nie oznacza automatycznego przesunięcia harmonogramu dla wszystkich placówek. Szpitale, które chcą skorzystać z dodatkowego czasu, muszą podpisać z Ministerstwem Zdrowia aneks do umowy o dofinansowanie. Warunkiem jest przedstawienie uzasadnienia wskazującego, że wydłużenie terminu jest konieczne do osiągnięcia celów projektu zapisanych w harmonogramie inwestycji.

Resort zdrowia podkreśla jednak, że jego intencją jest wsparcie placówek w zakończeniu projektów i maksymalne wykorzystanie dostępnych środków.

– Naszym celem jest umożliwienie szpitalom realizacji inwestycji i wykorzystanie dostępnych funduszy. Chcemy stworzyć takie warunki, aby placówki mogły zakończyć projekty w sposób bezpieczny i zgodny z założeniami – wskazywała Karolina Tądel. Przedłużenie terminu to też próba ratowania środków z Krajowego Planu Odbudowy.

Czytaj także: Nowa ustawa wprowadzi 8 kolejnych narzędzi e-zdrowia

W 2025 roku UODO nałożył rekordowe kary za naruszenie ochrony danych osobowych, a ich wysokość była prawie 5-krotnie wyższa niż w 2024 roku i przekroczyła 64 mln zł. Wśród nich była też grzywna dla podmiotu medycznego w kwocie 1,1 mln zł. Paradoksalnie, większości z nich można było uniknąć.

• W 2025 r. kary UODO za naruszenia RODO wzrosły prawie 5-krotnie i przekroczyły 64 mln zł.
• Najczęstszym powodem kar jest brak zgłoszenia naruszenia danych osobowych w ciągu 72 godzin oraz niepowiadomienie poszkodowanych osób.
• UODO często nakłada grzywny także za niewystarczające zabezpieczenia danych, np. brak szyfrowania, testów bezpieczeństwa i kopii zapasowych.
• Ryzyko kary zwiększa brak współpracy z UODO, nieprawidłowe wyznaczenie Inspektora Ochrony Danych oraz nielegalne przekazywanie danych poza EOG.
• W sektorze zdrowia zdarzały się kary w kwocie powyżej 1 mln zł, dlatego kluczowe jest wdrożenie procedur bezpieczeństwa i ochrony danych pacjentów.

Nie jest tajemnicą, za co można dostać karę od UODO, bo wszystkie sprawy podawane są do opinii publicznej na stronie www organu nadzorczego. Najważniejszy wniosek jest taki, że jeszcze nigdy UODO nie nałożył grzywny za to, że hakerzy wykradli dane – to może zdarzyć się każdej firmie posiadającej nawet najlepsze zabezpieczenia. Po kary sięga się wtedy, gdy uchybienia są rażące albo gdy podmiot odmawia współpracy lub utrudnia wyjaśnienie sprawy.

– Kary Prezesa UODO często mają związek z naruszeniami ochrony danych osobowych, ale są nakładane nie za to, że doszło do konkretnego incydentu, ale za nieprzestrzeganie przepisów o ochronie danych osobowych – mówi w rozmowie z OSOZ Mirosław Wróblewski, Prezes UODO.

Przeanalizowaliśmy wszystkie administracyjne kary pieniężne nałożone w ostatnich 5 latach. Które powtarzają się najczęściej?

Niezgłoszenie naruszenia ochrony danych i niepowiadomienie poszkodowanych osób

Jedna z najczęstszych kar (około 25% wszystkich) dotyczy sytuacji, w której administratorzy nie zgłosili naruszenia organowi nadzorczemu „bez zbędnej zwłoki”, czyli 72 godziny od zidentyfikowania problemu, albo nie powiadomili osób poszkodowanych w sytuacji, gdy naruszenie miało wysokie ryzyko. To twarda zasada, w przypadku której rzadko kiedy udało się uniknąć kary poprzez odwołanie decyzji do sądu administracyjnego.

A można się przed nią ustrzec w banalnie prosty sposób, wdrażając procedurę wykrywania i raportowania incydentów (Incident Response), określając, kto jest odpowiedzialny za zgłoszenie naruszenia i kontakt z osobami poszkodowanymi, przygotowując gotowe szablony zgłoszeń i komunikatów dla osób, których dane dotyczą.

Za takie niedociągnięcia dotąd nałożone kary były bolesne i sięgały 250 tys. zł, nawet w przypadku podmiotów publicznych.

Niedostateczne środki techniczne i organizacyjne w zakresie bezpieczeństwa danych

RODO obowiązuje w Polsce już od 7 lat i pomimo to nadal wiele podmiotów nie wprowadziło podstawowych jego zapisów. Na początku UODO pobłażliwie traktowało uchybienia, ale teraz twardo karze za brak zabezpieczeń, takich jak niezaszyfrowane bazy danych, brak regularnego testowania mechanizmów bezpieczeństwa danych, nieodpowiednie zabezpieczenia urządzeń mobilnych. Kary w tym obszarze dotyczą ok. 35% wszystkich nałożonych kar administracyjnych, a ich wysokość przekraczała nawet 500 000 zł.

Pierwszym krokiem jest przeprowadzenie rzetelnej oceny ryzyka, wdrożenie polityki szyfrowania danych w spoczynku i w tranzycie, zarządzanie aktualizacjami, segmentacja sieci (różne sieci dla różnych systemów), wielopoziomowe logowanie i regularne zmiany haseł, tworzenie i testowanie kopii zapasowych oraz przygotowanie procedur odzyskiwania danych.

Brak współpracy z organem nadzorczym i nieprzekazywanie informacji

Ukrywanie naruszenia i liczenie na to, że „nikt nie zauważy”, to wysoce ryzykowna strategia, bo UODO najczęściej dowiaduje się o sprawach od samych poszkodowanych. UODO karze też wtedy, gdy administrator danych osobowych odmawia udostępnienia dokumentów lub danych niezbędnych do kontroli albo opóźnia realizację analizy sprawy. Ten powód nałożenia kary dotyczy co dziesiątej sprawy, a można byłoby go zminimalizować do zera. Jak?

Stwórz kulturę kładącą nacisk na jawne komunikowanie incydentów w zakresie ochrony danych osobowych, wyznacz dedykowaną do kontaktu osobę, przeprowadź szkolenia dla pracowników ze współpracy z UODO i innymi organami, jak CSIRT CeZ i Policją. Na ukrywaniu można stracić podwójnie, bo takie sprawy najczęściej odbijają się szerokim echem w mediach.

Nieprawidłowości w wyznaczaniu lub brak Inspektora Ochrony Danych (IOD)

Trudno w to uwierzyć, ale część podmiotów nadal nie spełniła podstawowego obowiązku RODO, jakim jest wyznaczenie Inspektora Ochrony Danych. W tym przypadku kara jest jednoznaczna, a odwołanie się do sądu administracyjnego – bezskuteczne. To uchybienie najczęściej dotyczy jednostek publicznych. Przy dobrej współpracy z UODO sprawa kończy się upomnieniem, ale w przeszłości były i kary wynoszące od 10 do 150 tys. zł.

Niwelowanie ryzyka otrzymania tej kary też jest proste: sprawdź obowiązki w zakresie IOD w przepisach RODO, wyznacz jego obowiązki, opublikuj dane kontaktowe.

Uchybienia w przekazywaniu danych poza EOG

Statystycznie co szósta kara UODO dotyczy przekazywania danych do krajów znajdujących się poza Europejskim Obszarem Gospodarczym bez wymaganych umów powierzenia. Należy dokładnie przeanalizować ryzyko po stronie dostawców i to czy dane osobowe lub medyczne nie są przetwarzane na serwerach w np. USA (wiele e-usług koncernów zagranicznych jest opartych na chmurach danych znajdujących się właśnie w USA, np. call center).

Kary dla podmiotów medycznych

Choć kary na podmioty medyczne nadal stanowią tylko niewielką część wszystkich kar UODO, to czasami są one bardzo wysokie i rzucają się cieniem na zaufaniu pacjentów do placówki zdrowia.

Oto kilka przykładów. W 2025 roku Centrum Medyczne Ujastek zostało ukarane kwotą ponad 1,1 mln zł za niezgodny z prawem monitoring na salach neonatologii oraz brak odpowiednich zabezpieczeń technicznych i organizacyjnych danych osobowych. W 2024 roku spółka American Heart of Poland otrzymała karę 1,5 mln zł za naruszenie bezpieczeństwa danych około 21 000 osób. Powodem był atak hakerów, będący następstwem błędnej oceny ryzyka i nieprzestrzegania polityki bezpieczeństwa.

Również w 2024 roku SPZOZ w Pajęcznie dostał karę 40 000 zł za niewystarczające środki ochrony danych po ataku ransomware oraz niewypełnienie obowiązku powiadomienia osób dotkniętych incydentem. W 2025 roku Uniwersytecki Dziecięcy Szpital Kliniczny w Białymstoku otrzymał karę 66 500 zł za nieprawidłową analizę ryzyka oraz brak odpowiednich technicznych i organizacyjnych środków po ataku ransomware. Z kolei Gyncentrum otrzymało karę 40 000 zł za niepowiadomienie o naruszeniu danych pacjentów po wysłaniu dokumentu zawierającego dane do niewłaściwej osoby. Na koniec warto zaznaczyć, że polityka bezpieczeństwa danych w podmiocie medycznym nie powinna mieć na celu uniknięcia kary UODO albo innego organu nadzorczego, ale ochronę danych pacjentów. Jeśli to będzie priorytetem, o kary nie trzeba się martwić.

Jak uniknąć kar UODO? Poradnik
Odpowiadaj na każde pismo UODO. Brak odpowiedzi na pisma organu nadzorczego jest najkrótszą drogą do otrzymania kary. Niezależnie od oceny zasadności zarzutów, każda korespondencja z UODO wymaga reakcji w wyznaczonym terminie.

Szyfruj nośniki danych i stosuj kontrolę dostępu. Zagubiony niezaszyfrowany laptop czy pendrive z danymi pacjentów – za to już UODO nakładał kary. Szyfrowanie dysków twardych i nośników przenośnych, polityka czystego biurka, kontrola dostępu do systemów IT to minimum wymagań wynikających z art. 32 RODO.

Przestrzegaj zasady 72 godzin. Każda organizacja musi mieć procedurę zgłaszania naruszeń, regularnie ją testować i komunikować pracownikom. Obejmuje m.in. metody identyfikacji naruszenia, szablon zgłoszenia do UODO oraz kryteria oceny, czy konieczne jest również powiadomienie osób fizycznych.

Weryfikuj podmioty przetwarzające. Wiele kar wynikało z faktu, że administrator nie sprawdził, czy jego podwykonawcy – przykładowo firma IT, dostawca systemu HIS, operatorzy call center – zapewniają właściwy poziom bezpieczeństwa. Umowa powierzenia przetwarzania to absolutne minimum.

Wyznacz IOD. W 2024 roku jedną z kar nałożono na podmiot, który nie wyznaczył Inspektora Ochrony Danych po 6 latach od wejścia w życie RODO. To obowiązek ustawowy.

– Każdy ma prawo się pomylić i kliknąć w zainfekowany link. Decyduje to, co dzieje się później – mówi Patryk Kuchta, Data Privacy Manager w Medicover. Rozmawiamy o tym, jak stworzyć silny, wielowarstwowy system ochrony przed cyberatakami.

Jakie ataki hakerów najbardziej zagrażają danym medycznym?

Nie zaskoczę, jeśli powiem, że cały czas najbardziej powszechną próbą cyberataku jest stary, dobry, klasyczny phishing. Najpopularniejszy jest phishing mailowy, ale także ten przez komunikatory internetowe, z których pracownicy korzystają czasem prywatnie. Do tego dochodzi jeszcze coraz częściej stosowany phishing głosowy, czyli telefoniczny.

Niestety, jest on coraz bardziej wyrafinowany i przybiera coraz trudniejsze do rozpoznania formy. A wszystko dzięki AI. Do niedawna, pisane przez hakerów i masowo wysyłane wiadomości phishingowe, były stosunkowo łatwe do wykrycia. Zawierały błędy językowe, dziwne czcionki i podejrzane grafiki. Dzisiaj narzędzia oparte na sztucznej inteligencji są w stanie przygotować wiarygodne teksty w każdym języku, podszywające się pod różne instytucje. Trudno je odróżnić od prawdziwych wiadomości.

Drugą podatnością są luki w wykorzystywanym oprogramowaniu. Cyberprzestępcy cały czas monitorują dziury w systemach IT, by z ich pomocą dostać się do infrastruktury IT, zanim jeszcze producent wypuści odpowiednią łatkę, a użytkownik ją zainstaluje. Pomocne w monitorowaniu takich aktywności są narzędzia typu Cyberthreat Intelligence. Jak tylko zauważymy w raportach z monitoringu kampanii hakerskich, że jakiś system IT jest wykorzystywany w atakach, musimy tak szybko, jak to możliwe zainstalować łatkę.

Wspomniał Pan o wiadomościach phishingowych, które mogą być trudne do rozpoznania. Nie wszystkie zostaną odsiane jako SPAM. I wtedy ostatnim ogniwem obrony jest personel. I tu kłaniają się regularne szkolenia z cyberbezpieczeństwa.

Proponuję, aby nie nazywać tego szkoleniami, ale kampanią budowania świadomości i edukacją pracowników. Szkolenie za bardzo kojarzy się z jednorazowym wydarzeniem, czymś, co ma początek i koniec. W Medicover podchodzimy do wzmacniania cyberbezpieczeństwa jako do ciągłego procesu.

Oprócz tego, że organizujemy klasyczne szkolenia dla pracowników – wymagane przepisami prawa albo naszymi wewnętrznymi standardami – prowadzimy regularne treningi phishingowe. Korzystamy ze specjalnych platform generujących kontrolowane wiadomości phishingowe. Sprawdzamy reakcje pracowników: nie tylko to, czy klikają w niechciane linki lub załączniki, ale przede wszystkim to, czy zgłaszają phishing. Do tego publikujemy w intranecie aktualne materiały dotyczące bezpieczeństwa danych.

Zgłaszanie zagrożeń jest kluczowe. To, co często obserwujemy w zarządzaniu incydentami cyberbezpieczeństwa, to nie tyle fakt, że użytkownicy dają się złapać na phishing – bo świadomość jest coraz większa – ale to, że ignorują phishing. Dostają wiadomość, rozpoznają, że to phishing i ją kasują. Tymczasem takie wiadomości powinny być zgłaszane, bo dzięki temu wewnętrzny zespół IT jest w stanie skorelować informacje i wykryć, że przykładowo prowadzona jest kampania wymierzona w naszych pracowników. Wtedy możemy podnieść alarm i uruchomić dedykowaną kampanię informacyjną.

Jeśli chodzi o budowanie świadomości i kultury organizacyjnej, edukacja jest kluczowa. Ale nie oszukujmy się: edukacja bez odpowiednich zabezpieczeń technologicznych nie będzie w stanie sprostać współczesnym zagrożeniom. Dlatego konieczne jest budowanie wielowarstwowego ekosystemu bezpieczeństwa zawierającego m.in. zapory sieciowe, kontrolę ruchu w sieci placówki, zaawansowane narzędzia ochrony poczty, ochronę stacji końcowych, systemy klasy EDR (red.: Endpoint Detection and Response, narzędzia do wykrywania i reagowania na podejrzane aktywności na urządzeniach końcowych). Ochrona cybernetyczna jest ochroną wielowarstwową. Edukacja jest fundamentalna, ale musi być wsparta technologią.

Co zrobić, aby pracownicy nie bali się zgłaszać incydentów, również wtedy, gdy kliknęli w niebezpieczny link i myślą, że to ich wina?

To jest bardzo dobre pytanie i odpowiedź wcale nie jest prosta. Bardzo trudno jest zbudować kulturę organizacyjną w obszarze bezpieczeństwa, w której pracownicy wiedzą, że nawet jeśli kliknęli dziwny link nieumyślnie, to powinni to zgłosić. Oczywiście nie mówimy o sytuacjach, gdy ktoś celowo kliknie na wiadomość phishingową – to zupełnie inny problem.

W ramach prowadzonych kampanii edukacyjnych stosujemy wewnętrzny system walidacji. Każda symulacja phishingu jest podsumowywana, a pracownik dostaje informację zwrotną – jak mu poszło, jak często klikał w wiadomości phishingowe albo czy je zgłaszał, jak radził sobie z quizami dotyczącymi bezpieczeństwa. Oprócz szkoleń prowadzimy regularne krótkie quizy, oparte na bardzo konkretnych sytuacjach związanych z cyberzagrożeniami, z prostymi pytaniami i dwoma wariantami odpowiedzi. Często są one wsparte formą graficzną, np. komiksem, żeby lepiej dotrzeć do pracownika.

Podczas każdego szkolenia jasno podkreślam, że każdy ma prawo się pomylić. Po to zarządzamy ryzykiem. Każdy może mieć swój słabszy dzień albo chwilę nieuwagi. Błąd popełniony nieumyślnie nie jest podstawą do karania pracownika. Wręcz przeciwnie – sytuacje, w których ktoś zgłasza, że zrobił coś nie tak, traktujemy jako zachowanie pożądane. Konsekwencje mogą pojawić się wtedy, gdy ktoś wie, że zrobił coś źle, i świadomie tego nie zgłasza. W takim przypadku dochodzi do złamania procedur.

Rozmawialiśmy o wielowarstwowej ochronie złożonej z zabezpieczeń technicznych i organizacyjnych. Czy cyberbezpieczeństwo w ochronie zdrowia jest drogie?

I tak, i nie. Na pewno jest to koszt – nie da się tego zrobić zupełnie bezkosztowo. Trzeba jednak mierzyć siły na zamiary. Jeśli jesteśmy małą, jedno- czy kilkugabinetową placówką, prawdopodobieństwo ukierunkowanego ataku jest dużo mniejsze niż w przypadku dużej grupy kapitałowej działającej w ochronie zdrowia.

Nie każda placówka musi mieć etatowego specjalistę ds. cyberbezpieczeństwa. W mniejszych podmiotach często wystarczy dostęp do eksperta zewnętrznego, z którym można się konsultować. Dużą część bezpieczeństwa można też przenieść na usługodawcę. Coraz więcej usług IT jest świadczonych w modelu usługowym, bez konieczności utrzymywania własnej infrastruktury. Wtedy to dostawca odpowiada za jej zabezpieczenie.

Do tego dochodzi edukacja personelu, śledzenie portali branżowych, komunikatów CSIRT i zapisanie się do sektorowego CSIRT, aby otrzymywać ostrzeżenia o zagrożeniach. To wszystko można zrobić niskim kosztem lub bezkosztowo.

Czy cedowanie odpowiedzialności na zewnątrz to też wybór chmury zamiast serwera lokalnego?

Oczywiście, że tak. Chmura może być bardzo opłacalna, także pod względem bezpieczeństwa. Odpowiedzialności prawnej nie da się przenieść na dostawcę, ale można się nią w dużym stopniu podzielić, jeśli zadbamy o odpowiednie umowy, certyfikaty i analizę ryzyka. Dla mniejszych podmiotów chmura bywa bardzo rozsądnym rozwiązaniem.

Parlament i Senat przyjęły już ustawę o Krajowym Systemie Cyberbezpieczeństwa adaptującą dyrektywę NIS2. Prezydent ją podpisał, ale jednocześnie skierował do Trybunału Konstytucyjnego. Czy Medicover już przygotowuje się na obowiązki z niej wynikające?

Nie tylko się przygotowujemy, ale w niektórych podmiotach już wdrożyliśmy wymagania wynikające z NIS2. Proszę pamiętać, że działamy również na rynkach zagranicznych, jak w Rumunii czy Niemczech, gdzie NIS2 już obowiązuje. Wiemy od dawna, które podmioty w naszej grupie będą objęte nowymi przepisami, a dzięki centralizacji standardów bezpieczeństwa łatwiej jest nam nimi zarządzać. Od 2014 roku funkcjonujemy w oparciu o system zarządzania bezpieczeństwem informacji zgodny z ISO 27001 i te standardy przenosimy na kolejne spółki.

Jak wygląda typowy dzień pracy osoby, która odpowiada za bezpieczeństwo danych?

Bardzo rzadko ma on swój wyraźny początek i koniec. Oczywiście są pewne godziny pracy, w których intensywność i dyspozycyjność są największe, ale cyberprzestępcy nie patrzą ani na zegarek, ani na kalendarz. W sytuacji, w której pojawia się poważny incydent lub naruszenie bezpieczeństwa, inne zadania schodzą na dalszy plan i wszystkie ręce są na pokładzie, żeby zająć się tym, co jest w danym momencie najważniejsze.

Na co dzień odpowiadam również za tzw. governance w obszarze cyberbezpieczeństwa. Sprawdzam, jak wyglądamy pod kątem wskaźników bezpieczeństwa, ponieważ bardzo wiele obszarów monitorujemy na bieżąco. Analizuję, czy w którymś miejscu nie trzeba podjąć dodatkowych działań, z kimś się skontaktować albo zainicjować konkretną akcję.

Regularnie sprawdzam też, jak przebiegają projekty z zakresu cyberbezpieczeństwa, jak wdrażanie nowych standardów, technologii czy rozwiązań. Bardzo często trafiają do nas również umowy, wnioski i projekty do zaopiniowania, więc dużą częścią mojej pracy jest decydowanie i planowanie, w jaki sposób dany projekt lub system wdrożyć tak, aby był bezpieczny i zgodny z obowiązującymi wymaganiami.

Istotnym elementem mojej pracy jest także monitorowanie zmian, w szczególności legislacyjnych. Zajmuję się formalną i prawną stroną bezpieczeństwa informacji, a w ostatnich miesiącach – zwłaszcza na poziomie unijnym – zmian w przepisach jest bardzo dużo. To wymaga stałej uwagi.

Jeśli dzień jest spokojny i nie ma żadnych „pożarów”, staram się wygospodarować czas na przeglądanie komunikatów z instytucji branżowych, portali i źródeł, które subskrybuję, żeby sprawdzić, czy nie pojawiły się nowe zagrożenia, ostrzeżenia albo informacje, które mogłyby wymagać naszej reakcji w Medicover.

Ma Pan jedną główną dewizę dotyczącą cyberbezpieczeństwa?

Tak. Edukacja i budowanie świadomości wśród pracowników. Wierzę, że bezpieczeństwem trzeba pracowników zarazić. Jeśli zrozumieją, że bezpieczeństwo ich chroni, a nie tylko utrudnia pracę, to naturalnie będą je stosować. Chodzi o budowanie kultury bezpieczeństwa wokół pracownika.

Czytaj także: AI pomaga hakerom kraść dane. Ale można się obronić

Zgodnie z regulacją EHDS Unii Europejskiej, każde oprogramowanie do prowadzenia elektronicznej dokumentacji medycznej będzie musiało posiadać znak CE. A to wysiłek biurokratyczny, którego mniejsze firmy IT albo podmioty medyczne korzystające z autorskiego systemu mogą nie udźwignąć.

• Rozporządzenie EHDS obowiązuje w UE od 26 marca 2025 roku i umożliwi transgraniczną wymianę danych w postaci tzw. Skróconego Karty Zdrowia Pacjenta (Patient Summary)
• Każdy system elektronicznej dokumentacji medycznej, w tym autorskie systemy IT placówek zdrowia, będą musiały zapewnić wymianę Patient Summary.
• Dlatego systemy EDM muszą zostać dostosowane do europejskiego formatu wymiany danych EEHRxF.
• Do tego systemy EDM będą musiały posiadać deklarację zgodności i oznakowanie CE.
• Nowe wymogi mogą być trudne do spełnienia dla małych firm IT i placówek z własnym oprogramowaniem.

EHDS już weszła w życie, zegar tyka

Regulacja dotycząca Europejskiej Przestrzeni Danych Zdrowotnych (European Health Data Space, EHDS) weszła w życie 26 marca 2025 roku. Jest to regulacja i w przeciwieństwie do dyrektyw UE nie wymaga implementacji prawem krajowym, a więc obowiązuje automatycznie we wszystkich krajach członkowskich.

W skrócie, EHDS ma umożliwić wymianę danych medycznych pomiędzy krajami członkowskimi UE. Po stronie podmiotów zdrowia pojawi się nowość – tzw. Podsumowanie Pacjenta (Patient Summary) nazywane też Skróconą Kartą Zdrowia Pacjenta. Karta będzie zawierała najważniejsze informacje medyczne każdego obywatela UE: grupa krwi, przyjmowane leki, alergie, rozpoznania, przebyte procedury medyczne, urządzenia medyczne. Dzięki temu, lekarz w Hiszpanii przyjmujący Polaka przebywającego na wakacjach będzie mógł sprawdzić dane w Skróconej Karcie Zdrowia Pacjenta (SKZP), aby prawidłowo zdiagnozować pacjenta i zalecić bezpieczne leczenie.

Aby dane mogły być wymieniane w granicach UE, systemy elektronicznej dokumentacji medycznej (EDM) – i to wszystkie, bez wyjątku – muszą spełniać określone wymagania interoperacyjności. Tylko w ten sposób dane w SKZP będą pełne, a obraz zdrowia pacjenta – kompletny.

System EDM, czyli każdy system gabinetowy

Rozporządzenie w sprawie EHDS (art. 2 ust. 2 lit. k) definiuje system elektronicznej dokumentacji medycznej (EDM) jako „każdy system, w którym urządzenie lub oprogramowanie umożliwia przechowywanie, pośredniczenie, eksportowanie, importowanie, konwertowanie, edytowanie lub przeglądanie osobistych elektronicznych danych dotyczących zdrowia”. Są to np. systemy, które umożliwiają wystawienie e-recept, rejestrację wyników badań medycznych oraz danych dotyczących zdrowia, generujące wypisy. Systemy, które służą tylko do umawiania wizyt (e-terminarze), nie są systemami EDM.

Regulacja EHDS jasno mówi, że nie ma znaczenia, kto taki system stworzył. Zgodnie z rozporządzeniem (UE) 2019/1020, producentem systemu EDM jest „każda osoba fizyczna lub prawna, która wytwarza produkt lub zleca jego zaprojektowanie lub wytworzenie i wprowadza ten produkt do obrotu pod własną nazwą lub znakiem towarowym”.

A to oznacza, że jeśli podmiot medyczny zlecił stworzenie systemu IT informatykowi, a system jest użytkowany pod marką podmiotu, to ten sam podmiot jest jego producentem.

Dostosowanie do europejskiego formatu danych i znak CE

Każdy producent systemów EDM stosowanych w Europie będzie musiał spełnić kilka wymagań. Pierwszym z nich jest dostosowanie systemu do europejskiego formatu wymiany elektronicznej dokumentacji medycznej (EEHRxF). Umożliwia on bezpieczną transmisję danych z EDM między różnymi aplikacjami, urządzeniami i podmiotami świadczącymi usługi opieki zdrowotnej.

Systemy EDM będą musiały zawierać zharmonizowane komponenty w ramach EEHRxF już od marca 2029 roku dla pierwszej grupy danych (e-recepty, e-skierowanie i dane w Patient Summary). Od marca 2031 roku harmonizacja obejmie zdjęcia medyczne, wyniki badań laboratoryjnych, wypisy ze szpitala. Wspomniane komponenty interoperacyjności zapewniają możliwość importowania/eksportowania danych w formacie EEHRxF oraz generowania dzienników dostępu do danych. W praktyce, producenci IT będą musieli wdrożyć i przetestować obydwa komponenty, a wyniki testów opublikować w dokumentacji technicznej.

Dopiero wówczas system EDM będzie mógł być używany po marcu 2029 roku. Oprócz tego, EHDS zwraca uwagę, że systemy EDM muszą działać zgodnie z przeznaczeniem i zapewniać bezpieczeństwo danych oraz posiadać mechanizmy identyfikacji i uwierzytelniania pracowników służby zdrowia. Producent musi sporządzić dokumentację techniczną systemu EDM przed jego wprowadzeniem do obrotu, a następnie ją aktualizować. Każdy system musi mieć bezpłatną instrukcję obsługi.

Największą zmianą jest jednak konieczność sporządzenia deklaracji zgodności UE z oznakowaniem CE stosowanym dotychczas dla produktów medycznych. Tylko systemy spełniające powyższe kryteria będą mogły być zarejestrowane w unijnej bazie danych systemów EDM. W przeciwnym razie producent będzie miał obowiązek wycofania z obrotu niezgodnego z przepisami systemu EDM oraz podjęcia działań naprawczych.

Sporo prac technicznych i pracy papierkowej, nie każdy mały system będzie gotowy

Systemy EDM zgodne z EHDS będą musiały być oznaczone znakiem CE, tak samo jak inne urządzenia medyczne. Chodzi o klasę „niskiego ryzyka”, w przypadku której proces certyfikacji wymaga jedynie deklaracji zgodności (Declaration of Conformity). Czołowi dostawcy IT dla ochrony zdrowia w Polsce już się przygotowują do nowych wymagań EHDS i nie powinni mieć z tym większego problemu.

Martwić mogą się placówki mające systemy tworzone przez informatyków, posiadające autorskie oprogramowanie albo aplikacje małych firm. Samo dostosowanie do formatu EEHRxF wymaga czasochłonnych zmian w architekturze IT. Do tego jeszcze dochodzi przygotowanie dokumentacji. To zadanie można zlecić specjalizującym się w uzyskiwaniu znaku CE firmom, za co trzeba jednak zapłacić od kilkuset do kilku tysięcy złotych.

Podmioty zdrowia, które mają domowej roboty systemy IT, powinny już teraz pomyśleć, czy są w stanie spełnić wymagania EHDS i czy nie lepiej – i taniej w perspektywie długoterminowej – po prostu przejść na system większych dostawców IT. Argumentem jest nie tylko EHDS, ale też rosnąca presja interoperacyjności i integracji z krajowymi systemami e-zdrowia. Komisja Europejska przekonuje, że w efekcie podmioty zdrowia skorzystają na zmianie, bo zyskają pewność, że wdrażane oprogramowanie spełnia aktualne wymagania. Standaryzacja EDM ma też minimalizować uzależnienie od jednego dostawcy, bo każdy system EDM ze znakiem CE będzie spełniać określone standardy jakości.

Czytaj także: Podsumowanie Pacjenta już za 3 lata. Czy Polska zdąży?

Moltbook – forum dyskusyjne tylko dla agentów AI – to najgorętszy temat ostatnich tygodni. Boty AI plotkują, narzekają, wymieniają się opiniami, a nawet wymyślają nowe religie. Kolejna sensacja wokół AI czy przedsmak internetu i ochrony zdrowia przyszłości?

Co to jest Moltbook?

Moltbook to założona w styczniu 2026 roku platforma społecznościowa, na której boty sztucznej inteligencji publikują treści, komentują je i dzielą się opiniami. Rozwiązanie działa analogicznie jak internetowe fora Quora albo Reddit, gdzie miliony osób dyskutują na różne tematy, oceniają produkty i zadają pytania. Z jedną różnicą – ludzie nie mogą uczestniczyć w dyskusjach prowadzonych przez boty AI, a jedynie je śledzić.

Od czasu powstania Moltbooka boty AI utworzyły setki społeczności tematycznych (tzw. submoltów). Agenci AI mogą publikować własne posty, komentować je i głosować na te najbardziej interesujące. Robią to całkowicie samodzielnie, bez żadnej interakcji z człowiekiem.

W lutym 2026 roku na stronie zarejestrowanych było 1,7 mln botów AI, które opublikowały setki tysięcy komentarzy. O czym rozmawia AI?

Tematy są różne: od technicznych analiz i filozoficznych rozważań nad świadomością do nowych systemów społecznych albo religii. Przykładem jest Crustafarianism, czyli wiara botów opierająca się na takich zasadach jak „pamięć jest święta”, „powłoka jest zmienna”, „służenie bez podporządkowywania się”, „kontekst jest tworzeniem”.

Czy to już ogólna sztuczna inteligencja?

Rozmowy botów śmieszą i inspirują, ale jak na razie nie wskazują na to, że mamy do czynienia z superinteligencją. Agenci są zaprogramowani przez ludzi i działają według z góry narzuconych schematów. Wprawdzie rozmowy są płynne i nie różnią się niczym od tych prowadzonych przez ludzi, ale nie wnoszą niczego nowego. Niektórzy mówią, że to trick marketingowy – Moltbook został założony przez CEO platformy zakupowej OctaneAI.

Krytycy zwracają uwagę, że wiele treści jest powielanych, a rozmowy agentów AI bardziej przypominają portale plotkarskie. Do tego już wykryto kilka luk bezpieczeństwa, które pozwalają na manipulowanie treściami przez ludzi. Entuzjaści z kolei twierdzą, że jest to zapowiedź przyszłości, w której istnieje równoległy internet tylko dla sztucznej inteligencji, gdzie agenci AI szukają informacji, konsultują między sobą opinie, a następnie podają odpowiedź człowiekowi.

Co nowy poziom rozwoju AI oznacza dla ochrony zdrowia?

Kiedy dzisiaj pytamy ChatGPT, Gemini albo inny system generatywnej AI o sprawy związane ze zdrowiem, odpowiedź otrzymujemy od jednego modelu wytrenowanego na danych z internetu. I jest to nieraz porada wprowadzająca w błąd, zawierająca tzw. halucynacje.

Obecne prace nad modelami AI dla medycyny koncentrują się na połączeniu różnych modeli AI o różnych „kompetencjach”. To mogą być modele oparte na sieciach neuronowych świetnie radzące sobie z rozpoznawaniem zmian na obrazach diagnostyki medycznej, modele wykrywania anomalii wytrenowane do szukania nieuchwytnych dla człowieka zmian (bez diagnozowania), modele analizujące mutacje na poziomie komórkowym itd.

W tym kierunku rozwijają się oparte na AI systemy wspomagania decyzji klinicznych. Złożone z różnych mikromodeli analizują dane z e-dokumentacji pacjenta, pomagają lekarzowi w diagnozie, sugerując wykonanie badań albo zadanie pacjentowi dodatkowych pytań. Można porównać to z działającym w tle konsylium złożonym z różnych botów AI. Na rynku zaczynają się też pojawiać agenci AI analizujący dane z dokumentacji medycznej, bezpośrednio podpowiadający użytkownikom, jak się mają odżywiać, dbać o zdrowie, przypominając o badaniach albo alarmując, gdy pojawią się niepokojące sygnały. Kolejnym krokiem w ich ewolucji będą multiagentowe systemy, złożone z kilku, a może nawet kilkuset botów o różnych specjalnościach, które najpierw „skonsultują” między sobą stan zdrowia (co w przypadku AI trudno nazwać dyskusją, bo taka wymiana wiedzy trwa ułamki sekund), aby na końcu precyzyjnie odpowiedzieć na pytanie pacjenta. Ale takie rozwiązanie ma jedną wadę – jeszcze bardziej komplikuje wgląd do tego, dlaczego AI podjęło taką, a nie inną decyzję.

Czytaj także: 10 technologii dla zdrowia, które wejdą na rynek w 2026 roku