ChatGPT w dokumentacji medycznej. UODO wyjaśnia, co wolno lekarzowi

Po ujawnieniu sprawy użycia AI przez lekarza dyżurującego na Szpitalnym Oddziale Ratunkowym Wojewódzkiego Szpitala Dziecięcego w Bydgoszczy w dokumentacji medycznej pacjentki, Urząd Ochrony Danych Osobowych (UODO) wyjaśnia, co lekarzowi wolno podczas korzystania np. z ChatGPT.

Dokumentacja z wpisem z ChatGPT

Przypomnijmy, że dokument sporządzony przez lekarza dotyczący 14-letniej pacjentki SOR bydgoskiego szpitala pojawił się na facebookowej grupie poświęconej AI. Figurował na nim typowy fragment wygenerowany przez sztuczną inteligencję następującej treści: „Jeśli chcesz, mogę też przygotować pełniejszy wywiad po urazie głowy u dziecka (z typowymi pytaniami o utratę przytomności, wymioty, zawroty głowy), który często wpisuje się w dokumentacji SOR”.

Dyrekcja szpitala potwierdziła w rozmowie z TVN24.pl zdarzenie i zapowiedziała działania naprawcze. W jej ocenie „taka sytuacja nie powinna się zdarzyć”. Dodatkowo poinformowano, że „lekarz nie popełnił żadnego błędu merytorycznego, nie opierał się na sztucznej inteligencji w diagnozowaniu pacjenta. Rzeczywiście użył czatu GPT do skorygowania poprawności językowej wywiadu lekarskiego, natomiast cała procedura odbyła się na naszych arkuszach do badania, pacjent był konsultowany przez lekarza chirurga. Dane pacjenta nie wyciekły, nie zostały wprowadzone do sztucznej inteligencji”.

Czy lekarz może korzystać z ChatGPT?

Czy użycie ChatGPT przy tworzeniu dokumentacji medycznej jest w Polsce zgodne z przepisami? Czy i w jakim zakresie lekarz może wprowadzać dane pacjenta do sztucznej inteligencji? – między innymi o to Podyplomie.pl zapytało UODO.

Ponadto pytaliśmy: Czy szpitale muszą posiadać procedury dotyczące użycia AI np. w dokumentacji medycznej? Jak szpitale powinny weryfikować, czy dane nie opuściły systemu medycznego? Jakie są ryzyka prawne i etyczne użycia ChatGPT dla lekarza i placówki? Jakie środki ostrożności powinien stosować lekarz?

W odpowiedzi dla Podyplomie.pl Karol Witowski, rzecznik prasowy UODO, przybliżył zasady obowiązujące lekarzy oraz placówki.

Rzecznik zastrzegł, że w tym przypadku, aby stwierdzić, czy doszło do złamania przepisów, należałoby przeprowadzić formalne postępowanie i sprawdzić dokładnie, co lekarz wpisał do AI.

„Jednoznaczne zajęcie stanowiska przez Prezesa UODO możliwe jest jedynie w decyzji administracyjnej, wydanej po przeprowadzeniu postępowania i sprawdzeniu wszystkich okoliczności związanych z konkretną sprawą” – wyjaśnia rzecznik.

Dodaje, że w opisanej sprawie, choć użyto sztucznej inteligencji, to nie ma informacji, by doszło do przetwarzania danych osobowych z jej użyciem. Z jego odpowiedzi wynika, że to właśnie jest rozstrzygające.

„Pomocniczo wskazuję, że RODO nie zakazuje administratorom korzystania z określonych narzędzi czy technologii. Określa jednak zasady, jakie muszą oni stosować przy przetwarzaniu danych osobowych. Dlatego też, biorąc pod uwagę zasady określone w RODO, administrator musi przeprowadzić analizę ryzyka, która w przypadku planowanych operacji przetwarzania z udziałem sztucznej inteligencji powinna być bardzo wnikliwie przeprowadzona i uwzględnić wszystkie zagrożenia związane z takim przetwarzaniem danych, w tym np. ryzykiem ich ujawnienia przez ten sam model sztucznej inteligencji innym podmiotom, o ile nie jest to model działający w tzw. środowisku zamkniętym, do którego nie ma dostępu z zewnątrz” – wyjaśnia rzecznik. „Powyższe zasady dotyczą także innych narzędzi wykorzystywanych do przetwarzania danych osobowych. Zasady te mają zastosowanie do wszystkich procesów przetwarzania danych i wykorzystywanych technologii” – dodaje.

Według rzecznika Witkowskiego sam fakt, że szpital ma procedury, nie wystarcza. Musi on jeszcze pilnować, czy te procedury działają w praktyce. Jeśli lekarz popełnił taki błąd, to może znaczyć, że zabezpieczenia były za słabe.

„Na analizie ryzyka obowiązki administratorów się nie kończą. Powinna ona pozwolić ocenić np., jakie zabezpieczenia zastosować czy jakie ustalić zasady korzystania z określonych narzędzi. Każdy administrator zgodnie z art. 32 RODO musi bowiem wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić odpowiednie bezpieczeństwo przetwarzanym danym. Ponadto ma też obowiązek regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Stosowanie RODO jest więc ciągłym procesem, a nie jednorazowym działaniem. Dlatego też sam fakt wprowadzenia procedur nie ogranicza odpowiedzialności administratora. Przede wszystkim przyjęte rozwiązania techniczne i organizacyjne powinny być skuteczne. A jeżeli nie są, to właśnie ich testy powinny wykazać obszary, które wymagają bardziej skutecznego podejścia”.

Gdzie zgłosić zastrzeżenia

Rzecznik UODO poinformował również, że:

„Każda osoba, która uważa, że administrator niewłaściwie postępuje z jej danymi, w tym nie przestrzega jej praw, ma prawo złożyć skargę do Prezesa UODO”.

„Ponadto każdy, kto uważa, że jego dane osobowe są przetwarzane niezgodnie z prawem, może dochodzić swoich praw przed sądem powszechnym (art. 79 RODO). A jeżeli dana osoba uzna, że w wyniku naruszenia przepisów RODO poniosła szkodę majątkową lub niemajątkową, ma też prawo żądać od administratora lub podmiotu przetwarzającego odszkodowania, do czego uprawnia ją art. 82 RODO”.

Karol Witowski wyjaśnił także, jakie powinno być postępowanie szpitala, gdyby rzeczywiście doszło do wycieku danych poprzez przekazanie ich do AI.

„Pomocniczo wskazuję, że jeżeli w wyniku korzystania z narzędzi sztucznej inteligencji doszłoby do naruszenia ochrony danych, o którym mowa w art. 33 RODO, a więc np. naruszenia poufności danych, czyli nieuprawnionego lub przypadkowego ujawnienia bądź udostępnienia danych, to administrator musiałby przeanalizować takie zdarzenie pod kątem zgłoszenia tego incydentu do Prezesa UODO i powiadomienia osób, których ono dotyczyło”.