Nowa opcja IKP: AI wytłumaczy wyniki badań laboratoryjnych

Centrum e-Zdrowia opublikowało zapytanie dotyczące wdrożenia Interpretera Badań Laboratoryjnych – systemu sztucznej inteligencji, który ma tłumaczyć wyniki badań laboratoryjnych na Internetowym Koncie Pacjenta. Na początek CeZ chce poznać szacunkową wycenę zamówienia, ale wdrożenie systemu miałoby się zakończyć najpóźniej 15 czerwca br.

Aplikacja Interpreter Badań Laboratoryjnych

Nowa funkcja miałaby być udostępniona użytkownikom Internetowego Konta Pacjenta (IKP) i aplikacji mobilnej mojeIKP. Z IKP korzysta obecnie ok. 20 mln osób, a z aplikacji mojeIKP – 4 mln.

Na początek narzędzie sztucznej inteligencji (AI) będzie interpretowało wyniki badań laboratoryjnych, które pacjent samodzielnie wczyta do IKP lub mojeIKP. AI w przystępny sposób wyjaśni, czy wyniki mieszczą się w normie i co oznaczają dla zdrowia. Jak zaznacza CeZ w opublikowanych dokumentach, system ma tłumaczyć skomplikowane terminy medyczne na język zrozumiały dla przeciętnego pacjenta.

CeZ przewiduje trzy możliwe modele wdrożenia. Pierwszy to klasyczne rozwiązanie on-premise z 60-miesięczną licencją – oprogramowanie będzie działać na infrastrukturze CeZ. Drugi i trzeci wariant to model SaaS, różniące się sposobem rozliczania, z nielimitowaną liczbą interakcji lub z gwarantowanym limitem 200 tysięcy interakcji miesięcznie i dodatkową opłatą za każdą kolejną.

Termin realizacji zamówienia to maksymalnie 60 dni kalendarzowych od podpisania umowy, jednak nie później niż do 15 czerwca 2026 roku. Dlaczego tak mało czasu? To kolejny projekt finansowany ze środków KPO, a to znaczy, że musi być rozliczony do końca czerwca 2026 roku.

Jego realizacja nie jest jednak niemożliwa. Na polskim rynku funkcjonują startupy, które mają systemy AI do automatycznej interpretacji wyników badań i potencjalnie mogą stworzyć odpowiednie API do IKP. O ile spełnią bardzo rygorystyczne wymagania.

Znak CE i zgodność z unijnym aktem ds. AI

W opublikowanej dokumentacji technicznej CeZ podał dokładnie wymogi certyfikacyjne i regulacyjne, jakie musi spełnić oferent. System musi posiadać aktualną certyfikację CE jako wyrób medyczny klasy IIa lub IIb zgodnie z rozporządzeniem MDR. Wykonawca musi wykazać zgodność z IEC 62304 klasa B lub C dla oprogramowania jako znaczącego ryzyka, a także z normą ISO 14971:2019 dotyczącą zarządzania ryzykiem wyrobów medycznych, w tym analizą ryzyka cyberbezpieczeństwa zintegrowaną z ryzykiem klinicznym.

Jest też wymaganie zgodności z unijnym rozporządzeniem AI Act z czerwca 2024 roku, bo system będzie klasyfikowany jako rozwiązanie wysokiego ryzyka. A to nakłada na dostawcę obowiązek współpracy z zamawiającym w zakresie zgłaszania poważnych incydentów oraz dostarczenia kompletnej dokumentacji technicznej, deklaracji zgodności UE, instrukcji użytkowania i potwierdzenia wykonania testów ex-ante, czyli przed wdrożeniem systemu. To jedno z pierwszych polskich zamówień publicznych w sektorze zdrowia, które tak precyzyjnie odnosi się do wymogów AI Act.

Wykonawca musi również posiadać certyfikaty ISO 27001 i ISO 9001 w zakresie obejmującym tworzenie i wdrażanie oprogramowania. Do oferty należy dołączyć wyniki analizy zgodności z IEC 62304 oraz ISO 14971, a przed wdrożeniem rozwiązania – dostarczyć informacje niezbędne do przeprowadzenia oceny skutków dla ochrony danych osobowych zgodnie z artykułem 35 RODO.

Cyberbezpieczeństwo: usuwanie danych do godziny, blokada danych osobowych

System musi posiadać pseudonimizację danych wejściowych po stronie infrastruktury zamawiającego, uniemożliwiając re-identyfikację pacjentów. Szczególną uwagę zwrócono na bezpieczeństwo elementów opartych na dużych modelach językowych (LLM). System musi sprawdzać i oczyszczać dane wysyłane do modelu oraz odpowiedzi, umożliwiać ustawienie filtrów dla określonych słów i tematów, blokować dane osobowe oraz wykrywać próby manipulowania modelem (np. prompt injection albo jailbreak).

Aplikacja nie może uczyć się na danych przekazywanych przez użytkowników. Niedozwolone jest ponowne trenowanie modeli i ich dostrajanie, a dane wpisywane przez użytkownika nie mogą być zapisywane i wykorzystywane jako baza wiedzy dla systemu.

W przypadku modelu SaaS, Interpreter Badań Laboratoryjnych musi automatycznie usuwać wszystkie dane wejściowe w czasie poniżej jednej godziny po wykonaniu analizy, z potwierdzeniem usunięcia w logach.

CeZ wymaga 60-miesięcznej gwarancji z możliwością zgłaszania problemów całodobowo przez dedykowany system HelpDesk. Czas usunięcia awarii nie może przekroczyć jednego dnia roboczego, błędu aplikacji – 5 dni roboczych, a usterki programistycznej – 10 dni roboczych. Wykonawca zobowiązany jest do aktualizacji komponentów systemu przez cały czas trwania umowy. Do tego wykonawca zobowiąże się do aktualizacji modułów wnioskowania, analizy, ML i LLM tak, aby ich wersje odzwierciedlały postępy w nauce w tych obszarach.

Czy zamówienie dostanie jeden z polskich startupów?

– To zmiana paradygmatu w myśleniu o roli danych medycznych i cyfrowych narzędzi w praktyce klinicznej. Otwieramy się na innowacje, które mają realny wpływ na jakość opieki i komfort pacjenta – napisał na LinkedIn Łukasz Sosnowski, dyrektor Departamentu e-Zdrowia w Ministerstwie Zdrowia.

Tego typu rozwiązanie pozwoliłoby rozwiązać powszechny problem z odczytaniem wyników badań. Wiele osób – po otrzymaniu rezultatów z laboratorium – nie wie, co oznacza przekroczenie normy i czy konieczna jest np. konsultacja lekarska. Coraz częściej wczytują skany do np. ChatGPT, narażając się na wyciek danych zdrowotnych oraz błędne interpretacje systemu AI, który nie został stworzony do celów medycznych. Rozwiązanie w IKP i mojeIKP ma mieć znak CE, czyli być kwalifikowane jako urządzenie medyczne, a wszystkie dane będą usuwane po dokonaniu interpretacji.

Długa lista wymagań dotyczących bezpieczeństwa danych znacznie ogranicza krąg potencjalnych dostawców. Krótki czas na realizację zamówienia oznacza, że nie ma mowy o budowę systemu pod zamówienie – to musi być już gotowy system posiadający znak CE i zgodny z AI Act, ISO 27001, ISO 9001. Chociażby dlatego, że samo zdobycie znaku CE trwa kilka miesięcy. Ale jest kilka polskich startupów, które takie wymagania spełniają.

Czytaj także: Cyfryzacja zdrowia 2026. Projekty, terminy, nowe obowiązki