Ryzyko związane z wykorzystaniem sztucznej inteligencji innych podmiotów w służbie zdrowia
- Katarzyna Celińska
- 1 dzień temu
- 2 minut(y) czytania
Sektor opieki zdrowotnej jest jednym z najbardziej wrażliwych z punktu widzenia cyberbezpieczeństwa. Jest on w dużym stopniu uzależniony od systemów cyfrowych, zewnętrznych dostawców, urządzeń medycznych, platform elektronicznej dokumentacji medycznej, usług w chmurze oraz, w coraz większym stopniu, narzędzi opartych na sztucznej inteligencji. Jednocześnie konsekwencje awarii nie ograniczają się jedynie do strat finansowych czy ryzyka naruszenia przepisów. W sektorze opieki zdrowotnej cyberbezpieczeństwo ma bezpośredni wpływ na bezpieczeństwo pacjentów.
Dlatego bardzo cenię sobie nowy przewodnik HSCC pt. „Third-Party AI Risk and Supply Chain Transparency Guide”. Jest to bardzo praktyczna publikacja, która odnosi się do specyficznej dla sektora opieki zdrowotnej rzeczywistości związanej z zarządzaniem ryzykiem związanym z wykorzystaniem sztucznej inteligencji przez podmioty zewnętrzne.
Sztuczna inteligencja jest już wykorzystywana lub rozważana w wielu obszarach, w tym:
wsparcie decyzji klinicznych,
radiologia, patologia i narzędzia diagnostyczne,
analizy predykcyjne wyników leczenia pacjentów,
urządzeń do zdalnego monitorowania i technologii noszonych,
urządzeń medycznych opartych na sztucznej inteligencji,
nasłuchiwania otoczenia i dokumentacji medycznej,
funkcji sztucznej inteligencji wbudowanych w elektroniczną dokumentację medyczną (EHR),
chatbotów i wirtualnych asystentów,
kodowania medycznego, rozliczeń i zarządzania cyklem przychodów,
analizy zdrowia populacji,
wykrywania nadużyć i monitorowania zgodności z przepisami,
monitorowania sieci i wykrywania zagrożeń.
Powoduje to powstanie zupełnie innego krajobrazu ryzyka w porównaniu z tradycyjnym procesem zakupu oprogramowania.
W przewodniku HSCC najbardziej podoba mi się to, że nie traktuje on ryzyka związanego ze sztuczną inteligencją jako pojedynczego „problemu związanego z kwestionariuszem przetargowym”. Proponuje on podejście obejmujące cały cykl życia.
Przewodnik zawiera bardzo przydatne narzędzia praktyczne: przykłady polityk zarządzania sztuczną inteligencją, wytyczne dotyczące zarządzania zasobami, macierz RACI, przykładowe sformułowania umów handlowych, przykładowe sformułowania umów o zachowaniu poufności (BAA), pytania do oceny dostawców rozwiązań AI, listy kontrolne szkoleń oraz wytyczne dotyczące zapewnienia jakości, weryfikacji i walidacji.
Z perspektywy zarządzania ryzykiem w relacjach z dostawcami (TPRM) szczególnie cenna jest sekcja poświęcona umowom.
Dla mnie jednym z najważniejszych przesłań jest to, że organizacje opieki zdrowotnej nie powinny zakładać, że narzędzie AI dostawcy jest bezpieczne tylko dlatego, że jest innowacyjne, popularne, wbudowane w istniejącą platformę lub reklamowane jako „bezpieczne”. AI musi być zarządzane, oceniane, walidowane, monitorowane i kontrolowane na podstawie umów.
Sektor opieki zdrowotnej jest często opisywany jako mniej dojrzały w zakresie cyberbezpieczeństwa niż inne sektory podlegające ścisłej regulacji, a jednocześnie jest często celem ataków i ma bezpośredni wpływ na życie i zdrowie ludzi. W opiece zdrowotnej bezpieczeństwo powinno być jednym z głównych czynników determinujących ochronę, w tym cyberbezpieczeństwo.
Mam nadzieję, że podobne praktyczne wytyczne i podejścia dostosowane do specyfiki sektora zostaną opracowane również dla polskiego sektora opieki zdrowotnej.
Author: Sebastian Burgemejster
Komentarze