AI w medycynie – od prototypu do zgodności z regulacjami
Autor: Magdalena Gawżyńska
Kategoria: Regulacje/ISO 42001
Rozwój sztucznej inteligencji otwiera ogromne możliwości wsparcia lekarzy w procesie diagnostycznym, jednak niesie też wyjątkowe wyzwania: od jakości danych, przez wiarygodność algorytmów, aż po rygorystyczne wymagania regulacyjne. W medycynie technologia musi być nie tylko skuteczna, ale też bezpieczna i transparentna, co znacząco podnosi poprzeczkę dla twórców takich rozwiązań.
Przyglądamy się historii software house’u, który po sukcesach w przemyśle postanowił wejść w obszar medycyny. Pokazujemy, jak wyglądało zderzenie oczekiwań z realiami – od pierwszych kroków przy tworzeniu systemu analizującego obrazy DICOM, przez bariery regulacyjne, aż po konieczność wdrożenia norm ISO i dostosowania się do wymogów MDR oraz AI Act.
Omawiamy kolejne etapy: od początkowych założeń i prototypu, przez moment zwrotny w projekcie, po kluczowe lekcje, które stały się fundamentem bardziej odpowiedzialnego podejścia do wdrażania AI w sektorze zdrowia. Wyjaśnimy również, dlaczego w tak wrażliwej branży jak medycyna o powodzeniu wdrożenia decyduje nie tylko jakość kodu, ale też zgodność z normami i regulacjami.
*Przykład ma charakter ilustracyjny – bazuje na naszych doświadczeniach z pracy nad projektami w branży medycznej i obserwacjach rynkowych, lecz nie opisuje jednej konkretnej organizacji.
Kontekst biznesowy
Szybko rozwijający się software house z południa Polski miał już na koncie kilka głośnych sukcesów: systemy AI do analizy obrazu w produkcji przemysłowej, rozwiązania do wykrywania uszkodzeń na liniach montażowych czy klasyfikacji jakości komponentów na podstawie zdjęć mikroskopowych. Skoro wcześniejsze projekty okazały się sukcesem, pomysł wejścia w branżę medyczną zespół przyjął z dużym entuzjazmem.
„To po prostu kolejny projekt z obrazem, tylko dane będą inne” – powtarzano w firmie.
Tak narodziła się idea stworzenia systemu wspomagającego diagnostykę układu krążenia poprzez analizę obrazów USG. Cel wydawał się prosty – dostarczyć lekarzowi drugą parę oczu. Taką, która nigdy się nie męczy. Nikt jednak nie spodziewał się, że wejście do świata medycyny postawi przed organizacją zupełnie inne wyzwania i reguły gry niż te znane z przemysłu i hali produkcyjnej.
Jakie było wyzwanie?
Już pierwsze rozmowy z lekarzami pokazały, że „to nie to samo”. Obraz z ultrasonografu okazał się znacznie mniej oczywisty niż zdjęcie z fabryki. Dane były niejednorodne, a ich jakość zależała od wielu czynników – urządzenia, osoby wykonującej badanie czy samego pacjenta. Najważniejsze jednak było to, że konsekwencje błędu miały zupełnie inny ciężar.
- Na hali produkcyjnej pomyłka oznaczała zwykle stratę materiału i zakwalifikowanie elementu do odrzutu.
- W gabinecie lekarskim ten sam błąd mógł przełożyć się na przeoczenie zagrożenia życia.
Zespół projektowy początkowo podszedł do wyzwania jak do każdego innego projektu AI: zebrać dane, wytrenować model, zbudować aplikację. Szybko powstało demo, które robiło wrażenie. Problem w tym, że… nie nadawało się ono do wdrożenia.
To, co początkowo wydawało się wyłącznie technicznym wyzwaniem, okazało się dopiero wstępem do prawdziwej próby – konfrontacji z regulacjami i procesem certyfikacji.
Zderzenie z rzeczywistością regulacyjną
W jednej z rozmów z potencjalnym partnerem klinicznym padło pytanie, które wystarczyło, żeby zatrzymać cały projekt na dłużej.
„Czy wasz system ma już oznakowanie CE jako wyrób medyczny?”
Wtedy zespół musiał przyznać, że temat regulacji pojawiał się jedynie w tle – przewijały się hasła, jak MDR czy klasyfikacja ryzyka – ale nikt nie zdawał sobie sprawy, że produkt faktycznie im podlega. A to oznaczało jedno: nie da się po prostu „zrobić AI dla lekarzy” bez przejścia formalnej procedury certyfikacji.
Problemem nie była technologia, lecz niedoszacowanie, jak głęboko projekt zahacza o prawo, bezpieczeństwo i odpowiedzialność. To, co początkowo traktowano jako innowacyjne wsparcie diagnostyki, okazało się pełnoprawnym „Wyrobem medycznym klasy 2a”, wymagającym bardzo konkretnej i rygorystycznej ścieżki dopuszczenia do użytku.
Co należało zrobić wcześniej?
Po odkryciu, że sam prototyp to za mało, firma musiała cofnąć się do punktu wyjścia. Tym razem nie zaczynali od kodu, lecz od fundamentów.
Pierwszym krokiem było zrozumienie, czym tak naprawdę jest MDR – unijne rozporządzenie o wyrobach medycznych. Zespół, który dotąd skupiał się głównie na danych i algorytmach, nagle musiał nauczyć się języka prawa i regulacji. Produkt trzeba było formalnie zaklasyfikować, opisać ryzyka i zaplanować strategię zgodności.
Kiedy to udało się uporządkować, przyszła kolej na wdrożenie ISO 13485 – systemu zarządzania jakością dla producentów wyrobów medycznych. Dla firmy oznaczało to ogromną zmianę perspektywy: od pracy „zwinnej i kreatywnej” w stronę pracy „udokumentowanej i kontrolowanej”. Każdy element kodu, każdy test, każda poprawka musiała zostać zapisana i udowodniona.
Równolegle zaczęli budować kompletną dokumentację techniczną – dziesiątki stron opisów, schematów, procedur i dowodów testów, które w przyszłości miały trafić do audytorów i otworzyć drogę do oznaczenia CE.
Istotnym elementem stała się też komunikacja roli systemu. Firma musiała jasno określić, że AI jest narzędziem wspierającym decyzje lekarza – może pomóc, ale może też się pomylić. Ostateczna odpowiedzialność za diagnozę zawsze spoczywała na lekarzu.
Tak krok po kroku budowali świadomość, że praca nad AI w medycynie to nie tylko kwestia technologii. To przede wszystkim proces, w którym regulacje, dokumentacja i odpowiedzialność stają się równie ważne jak sam algorytm.
W tym kontekście coraz częściej wracało też pytanie o ISO/IEC 42001 – pierwszą normę dedykowaną systemom sztucznej inteligencji. Czy właśnie to będzie kolejny krok, który pozwoli przygotować się na przyszłe wymagania AI Act? Tym bardziej, że pełne przepisy AI Act, (z wyjątkiem art. 6 ust 1.*) obejmujące systemy wysokiego ryzyka wejdą w życie już 2 sierpnia 2026 roku. To oznacza, że wszystkie systemy AI w medycynie za rok będą musiały spełniać te wymagania. W praktyce – choć systemy te nie są jeszcze objęte AI Actem – już dziś warto się do niego przygotować.
* Temat rozwijamy szerzej na naszych social mediach pod linkiem
Dlaczego normy ISO są kluczowe w medycznym AI
Projekt okazał się klasycznym przykładem systemu AI wysokiego ryzyka w rozumieniu AI Act – wspierał podejmowanie decyzji diagnostycznych, a to oznaczało konieczność spełnienia najwyższych standardów przejrzystości, audytowalności i nadzoru człowieka.
Takie oprogramowanie podlega jednocześnie wielu rozporządzeniom unijnym. Jest to m.in. MDR, który koncentruje się na bezpieczeństwie i skuteczności wyrobów medycznych. Z drugiej strony – AI Act, który rozszerza te wymagania o kwestie etyczne, ochronę praw podstawowych czy zarządzanie danymi wykorzystywanymi w AI. Oba rozporządzenia wymagają udziału niezależnej jednostki notyfikowanej i zakończenia procesu formalną certyfikacją.
Problem w tym, że same przepisy nie podają gotowych instrukcji, jak spełnić te wymagania. Tutaj na scenę wchodzą normy – czyli zestandaryzowane dobre praktyki, które pozwalają udowodnić zgodność z prawem. Dla producentów oprogramowania medycznego kluczowe znaczenie ma ISO 13485, norma dotycząca systemu zarządzania jakością. Jest ona zharmonizowana z MDR, co oznacza, że jej stosowanie daje formalne domniemanie zgodności z wymaganiami regulacyjnymi. Innymi słowy – jeśli firma pracuje zgodnie z ISO 13485, łatwiej przejdzie audyt i uzyska oznaczenie CE.
Jak przygotować projekt AI na kolejne kroki?
Aby kolejne projekty AI w firmie startowały z lepszego punktu, warto od początku myśleć o wdrożeniu ISO/IEC 42001 – pierwszej normy dedykowanej systemom sztucznej inteligencji. Jej rola w świecie AI może być podobna do tej, jaką ISO 13485 odgrywa wobec MDR: tak jak ISO 13485 pomaga producentom wyrobów medycznych udowodnić zgodność z regulacjami, tak ISO/IEC 42001 może wspierać organizacje w spełnieniu wymagań AI Act. Co prawda nie jest planowana harmonizacja tej normy z AI ACT natomiast na jej podstawie opracowywana jest nowa norma prEN XXX Artificial intelligence – Quality management system for EU AI Act regulatory purposes i do czasu jej publikacji wdrożenie normy ISO/IEC 42001 jest dobrym przygotowaniem. Obejmuje ona cały cykl życia AI: od oceny ryzyka, przez nadzór nad danymi i transparentność algorytmów, aż po monitorowanie systemu w praktyce.
Równolegle należy zadbać o bezpieczeństwo informacji poprzez ISO/IEC 27001 – bez tego trudno mówić o ochronie danych pacjentów i zgodności z RODO. Kluczowe będzie też jasne przypisanie ról i odpowiedzialności w projekcie, ciągłe monitorowanie wpływu AI na decyzje kliniczne oraz kompletna dokumentacja audytowa. Dzięki takim normom sztuczna inteligencja przestaje być „czarną skrzynką” – staje się narzędziem, którego sposób działania można opisać, wytłumaczyć i skontrolować. To z kolei pozwala lekarzom traktować ją jako wsparcie w procesie diagnostycznym, a nie nieprzewidywalny algorytm działający poza ich kontrolą.
Warto pamiętać także o normach wspierających: ISO 14971 (zarządzanie ryzykiem), IEC 62304 (cykl życia oprogramowania medycznego) czy ISO/IEC TS 4213 (ocena skuteczności klasyfikatorów AI). Razem tworzą one zestaw narzędzi, który pomaga systematycznie podejść do bezpieczeństwa, skuteczności i transparentności działania AI w wyrobach medycznych.
Podsumowanie: odpowiedzialność ważniejsza niż kod
Firma dziś otwarcie przyznaje: to był dla nich moment pokory. Trafili do świata, w którym nie wystarczy stworzyć działające rozwiązanie – trzeba je jeszcze udokumentować, zatwierdzić i wprowadzić zgodnie z rygorystycznymi przepisami. Obecnie współpracują z doradcami ds. regulacji, rozbudowują system jakości i przygotowują się do pełnej certyfikacji wyrobu medycznego.
Z technicznego punktu widzenia nie był to ich najtrudniejszy projekt.
Ale z perspektywy odpowiedzialności – zdecydowanie najpoważniejszy.
Patrząc wstecz, widać też, że wcześniejsze wdrożenie normy ISO/IEC 42001 mogłoby uporządkować cały proces: od systematycznego zarządzania ryzykiem, przez transparentność algorytmów, po jasne przypisanie odpowiedzialności. Takie podejście ułatwiłoby nie tylko zgodność z MDR czy AI Act, ale przede wszystkim budowę zaufania – zarówno u lekarzy, jak i pacjentów.
Brak odniesienia do tej normy zwiększał ryzyko błędnych diagnoz, utraty zaufania użytkowników czy odpowiedzialności prawnej. To ważna przestroga: wrażliwe zastosowania AI, szczególnie w medycynie, nie mogą opierać się wyłącznie na dobrych intencjach i działającym kodzie. Muszą być zakorzenione w solidnych fundamentach – regulacjach, normach i odpowiedzialności.
