Czego dowiesz się z tego artykułu?
- Gdzie AI zwiększa powierzchnię ryzyka w polskiej przychodni lub klinice.
- Jak ustawić sandbox dokumentów, whitelistę domen i zakaz automatycznych akcji.
- Jak szkolić recepcję, żeby phishing i fałszywe załączniki nie trafiały dalej do systemów.
- Jak mierzyć bezpieczeństwo pilotażu bez obietnic pełnej automatyzacji.
AI w placówce medycznej rzadko działa w próżni. Czyta maile, załączniki od pacjentów, formularze, notatki z rejestracji i czasem ma wykonać kolejny krok w grafiku lub systemie EDM. Właśnie dlatego cyberbezpieczeństwo AI zaczyna się od procesu, nie od wyboru modelu.
Ja bym na starcie przyjął dość twardą zasadę: AI może przygotować kontekst, ale nie powinna samodzielnie ufać dokumentowi ani wykonywać akcji na danych pacjenta. W polskiej przychodni jedno błędne kliknięcie w fałszywy link potrafi być większym problemem niż niedopracowany prompt.
Ten playbook jest dla właściciela, managera, kierownika rejestracji i IOD w polskiej placówce medycznej. Chodzi o spokojne ustawienie granic: co AI może czytać, co musi zostać odizolowane, kto zatwierdza wynik i gdzie kończy się automatyzacja.
Najważniejsze
- AI zwiększa powierzchnię ataku wtedy, gdy dostaje dostęp do maili, dokumentów, linków i integracji bez wyraźnych ograniczeń.
- Dokument od pacjenta powinien najpierw przejść przez sandbox albo bezpieczną strefę weryfikacji, zanim zobaczy go system AI lub EDM.
- Automatyczne akcje, takie jak zmiana terminu, wysyłka wiadomości, zapis do grafiku albo modyfikacja danych, wymagają zatwierdzenia człowieka.
- Recepcja potrzebuje prostych reguł phishingowych: co otwierać, czego nie klikać, kiedy eskalować i jak zgłaszać incydent.
- To ma sens, gdy placówka chce używać AI w realnym procesie, ale potrafi zatrzymać wynik przed dotknięciem danych pacjenta lub systemu produkcyjnego.
Rys. 1. Bezpieczny przepływ: AI pomaga dopiero po wstępnej kontroli, a akcję zatwierdza człowiek.
Decyzja w skrócie
Najważniejsze pytanie nie brzmi: czy wybrać najlepszy model AI. Pytanie brzmi: czy ten model ma prawo zobaczyć dany dokument i czy ma prawo coś po nim zrobić. Jeśli odpowiedź nie jest spisana, pilotaż zaczyna się od ryzyka, nie od usprawnienia.
W praktyce placówka powinna rozdzielić trzy poziomy. Pierwszy to odczyt treści: mail, PDF, zdjęcie skierowania, wiadomość z formularza. Drugi to interpretacja: streszczenie, klasyfikacja, propozycja odpowiedzi. Trzeci to akcja: wpis do grafiku, wysłanie SMS-a, zmiana statusu sprawy, dodanie notatki. Im bliżej akcji, tym mocniejszy powinien być human-in-the-loop.
| Obszar | Minimalna decyzja managera | Czego nie robić |
|---|---|---|
| Maile i formularze | AI czyta tylko po filtrze antyphishingowym i w ograniczonym zakresie | Nie podłączaj skrzynki bez reguł i logów |
| Dokumenty pacjenta | Załączniki trafiają najpierw do sandboxa albo kolejki weryfikacji | Nie otwieraj automatycznie plików z linków i archiwów |
| Linki | Lista dozwolonych domen, reszta wymaga ręcznej oceny | Nie pozwalaj botowi klikać i pobierać plików z dowolnych adresów |
| Akcje w systemach | AI proponuje, człowiek zatwierdza | Nie zapisuj automatycznie zmian w EDM, grafiku ani komunikacji pacjenta |
Jeżeli rozważasz prywatne środowisko lub lokalny model jako odpowiedź na część ryzyk, zobacz też analizę prywatnego modelu AI w placówce. Sam model nie zastępuje jednak procedury dla maili, załączników i uprawnień.
Zacznij od mapy wejść, nie od listy narzędzi
W większości placówek pierwsze ryzyko pojawia się tam, gdzie pacjent lub osoba z zewnątrz wysyła treść do placówki. To może być mail do rejestracji, formularz kontaktowy, zdjęcie dokumentu, plik PDF, link do wyników badań albo wiadomość z prośbą o pilny kontakt. AI podłączona do takiego kanału staje się kolejnym czytelnikiem niezweryfikowanej treści.
Sugeruję zrobić prostą mapę wejść: skrzynki mailowe, formularze, komunikatory, upload plików, zgłoszenia telefoniczne przepisywane do systemu. Przy każdym wejściu wpisz: kto ma dostęp, jakie pliki mogą przyjść, czy są linki, czy AI ma tylko podsumować, czy może uruchomić akcję. To jest praktyczna inwentaryzacja ryzyka, którą manager może zrobić z IOD i osobą techniczną bez wielkiego projektu IT.
Najbardziej niebezpieczne są skróty w stylu: „AI przeczyta wszystkie maile i sama odpowie”. W medycynie to powinno zapalić czerwoną lampkę. Mail od pacjenta może zawierać dane medyczne, ale może też być fałszywką, próbą wyłudzenia albo plikiem złośliwym. Najpierw filtr i reguły, potem automatyzacja.
Sandbox dokumentów: załącznik nie jest jeszcze informacją
Dokument przesłany do placówki nie powinien od razu trafiać do procesu AI. Najpierw trzeba potraktować go jak obiekt techniczny: plik, link, format, źródło, rozmiar, makra, archiwum, podejrzana domena. Dopiero po tej kontroli można mówić o treści medycznej lub administracyjnej.
W małej przychodni sandbox nie musi oznaczać skomplikowanego laboratorium. Może oznaczać wydzieloną skrzynkę, skaner antywirusowy, blokadę makr, konwersję dokumentów do bezpiecznego podglądu, zasadę „nie pobieramy z linków skracających” i kolejkę, którą zatwierdza recepcja. Najważniejsze jest odseparowanie pliku od systemów produkcyjnych, zanim AI spróbuje go odczytać.
W przykładzie z rejestracji pacjent przesyła „skierowanie” jako PDF. AI może pomóc rozpoznać, że sprawa dotyczy konkretnego typu wizyty, ale nie powinna sama zapisać pacjenta ani dopisać dokumentu do kartoteki. Recepcja sprawdza źródło, dokument, kompletność i dopiero wtedy podejmuje decyzję. Przy wątku klinicznym lekarz albo uprawniony personel zatwierdza interpretację, a AI pozostaje narzędziem przygotowującym szkic.
Automatyczna akcja musi mieć hamulec
Największa różnica między „AI jako asystentem” a „AI jako ryzykiem” pojawia się przy akcjach. Streszczenie wiadomości jest czymś innym niż wysłanie odpowiedzi do pacjenta. Klasyfikacja zgłoszenia jest czymś innym niż zmiana terminu wizyty. Każda akcja, która wpływa na pacjenta, grafik, dokumentację lub komunikację, powinna mieć etap akceptacji człowieka.
Ja bym podzielił akcje na trzy koszyki. Pierwszy: bezpieczne robocze szkice, na przykład propozycja kategorii sprawy. Drugi: akcje wymagające zatwierdzenia, na przykład treść SMS-a lub propozycja terminu. Trzeci: akcje zakazane w pilotażu, na przykład samodzielna zmiana danych medycznych, automatyczne wysyłanie porad klinicznych albo pobieranie plików z nieznanych linków. Taki podział jest prostszy niż długa polityka, której nikt nie czyta.
To nie ma sensu, gdy AI ma mieć dostęp do skrzynki, formularzy i grafiku bez logów, bez ograniczenia domen, bez listy dozwolonych akcji i bez osoby odpowiedzialnej za eskalację. W takim układzie placówka nie wdraża asystenta, tylko kolejny niekontrolowany kanał ryzyka.
Whitelista domen i reguły linków dla recepcji
Phishing w placówce medycznej często wykorzystuje pośpiech: „pilna dokumentacja”, „wyniki badań”, „faktura”, „zgoda pacjenta”, „link do pobrania”. AI może pomóc w klasyfikacji wiadomości, ale nie powinna traktować linku jako neutralnego źródła danych. Link to potencjalna decyzja bezpieczeństwa.
Dla recepcji warto przygotować listę dozwolonych domen: system rejestracji, znany dostawca poczty, portal pacjenta, oficjalne domeny instytucji i dostawców, z którymi placówka faktycznie pracuje. Reszta trafia do ręcznej oceny. Lista dozwolonych domen nie rozwiąże wszystkiego, ale mocno ogranicza ryzyko, że automat pobierze plik z podstawionej strony.
Dobrze działa też zasada dwóch zdań. Pierwsze: jeżeli wiadomość prosi o pilne kliknięcie, pobranie lub podanie danych, nie klikamy automatycznie. Drugie: jeżeli sprawa dotyczy danych pacjenta lub dokumentacji, eskalujemy według ustalonej ścieżki. Recepcja nie musi być zespołem cyberbezpieczeństwa, ale musi wiedzieć, kiedy zatrzymać proces.
Przykład modelowy: jedna przychodnia, jeden kanał, jeden miesiąc
Przykład modelowy — scenariusz pokazuje sposób myślenia o pilotażu. Liczby i kroki są ilustracyjne, nie opisują realnego klienta i nie gwarantują wyniku wdrożenia.
Przychodnia specjalistyczna chce użyć AI do porządkowania wiadomości z formularza kontaktowego. Manager wybiera tylko jeden kanał i jeden proces: zgłoszenia administracyjne do rejestracji. Dane kliniczne i pełne dokumenty pacjenta nie trafiają do modelu w pierwszym etapie.
Krok 1: przez tydzień zespół opisuje typy wiadomości i załączników. Krok 2: formularz dostaje regułę, że załącznik trafia do kolejki weryfikacji, a AI widzi najwyżej metadane i krótki opis sprawy. Krok 3: recepcja sprawdza szkic kategorii i decyduje, czy sprawa idzie do grafiku, do kontaktu telefonicznego, do IOD, czy do lekarza. Krok 4: manager raz w tygodniu przegląda błędy, fałszywe alarmy i przypadki eskalacji.
Po 30 dniach placówka nie pyta, czy AI „działa”. Pyta konkretnie: ile zgłoszeń trafiło do ręcznej eskalacji, ile razy system oznaczył podejrzany link, ile szkiców recepcja odrzuciła, ile przypadków wymagało lekarza lub IOD. Metryki bezpieczeństwa są tu równie ważne jak wygoda zespołu.
Checklist przed podłączeniem AI do maila lub formularza
Poniższa checklist nie zastępuje pracy IOD, administratora IT ani dostawcy systemu. Pomaga jednak managerowi poprowadzić rozmowę tak, żeby nie skończyła się na prezentacji funkcji.
Cel procesu: jaki jeden kanał i jedną decyzję wspieramy?
Dane: czy pojawiają się dane pacjenta, dane dzieci, dokumentacja lub informacje kliniczne?
Załączniki: gdzie trafia plik przed odczytem przez AI?
Linki: czy działa lista dozwolonych domen i blokada linków skracających?
Akcje: co AI może tylko zaproponować, a czego nie może wykonać?
Akceptacja: kto zatwierdza odpowiedź, zmianę w grafiku lub wpis w systemie?
Logi: kto sprawdza błędy, odrzucenia, eskalacje i incydenty?
Szkolenie: jak recepcja rozpoznaje phishing i fałszywe dokumenty?Jeżeli w procesie pojawiają się dzieci, pacjenci zależni albo szczególnie wrażliwy kontekst, potrzebne są ostrzejsze reguły. Ten wątek rozwija tekst o tym, dlaczego dane dzieci i pacjentów wrażliwych w AI wymagają osobnego procesu.
Co mierzyć po miesiącu pilotażu
W cyberbezpieczeństwie łatwo mierzyć rzeczy pozorne: liczbę wiadomości, liczbę odpowiedzi, czas obsługi. Dla AI podłączonej do maila lub formularza ważniejsze są inne pytania. Czy człowiek nadal widzi decyzje ryzykowne? Czy załączniki są odizolowane? Czy system zostawia logi? Czy zespół wie, kiedy przerwać automatyzację?
Proponuję pięć metryk operacyjnych: liczba wiadomości zatrzymanych do ręcznej oceny, liczba podejrzanych linków, liczba odrzuconych szkiców AI, liczba akcji wymagających cofnięcia oraz liczba eskalacji do IOD, lekarza lub osoby kontaktowej ds. cyberbezpieczeństwa. To nie są metryki marketingowe, tylko sygnały, czy proces jest pod kontrolą.
Po pierwszym miesiącu manager powinien zdecydować, czy rozszerzać zakres, utrzymać pilotaż, czy go zatrzymać. Sugeruję nie rozszerzać automatyzacji, dopóki recepcja nie potrafi stabilnie obsłużyć wyjątków. AI w medycynie ma wspierać ludzi, a nie usuwać moment odpowiedzialnej decyzji.
Pierwszy krok jutro rano
Najprostszy start to spotkanie 45 minut: manager, kierownik rejestracji, IOD i osoba techniczna albo dostawca systemu. Na stole powinny leżeć trzy rzeczy: lista kanałów wejściowych, lista możliwych akcji AI i lista sytuacji, w których człowiek zatrzymuje proces. Bez tego każda integracja wygląda wygodnie tylko na slajdzie.
Na koniec przypisz właściciela procesu. Nie „dział IT” i nie „wszyscy”. Jedna osoba powinna wiedzieć, gdzie zgłasza się podejrzaną wiadomość, kto kontaktuje się z dostawcą, kto sprawdza logi i kto decyduje o zatrzymaniu pilotażu. Cyberbezpieczeństwo AI w placówce jest procesem zarządczym, nie tylko technicznym ustawieniem w panelu.
Źródła
- CSIRT CeZ — Raport 2025 „Krajobraz cyberbezpieczeństwa w sektorze ochrony zdrowia” — źródło branżowe dla ochrony zdrowia w Polsce; pokazuje skalę incydentów, phishingu i podatnych usług w sektorze medycznym. Data publikacji: 02.06.2026.
- Centrum e-Zdrowia — Nowy portal CSIRT CeZ — oficjalna informacja o ostrzeżeniach, zaleceniach i materiałach dla podmiotów medycznych w Polsce. Data publikacji: 23.06.2026.
- CERT Polska / CSIRT NASK — Podsumowanie Miesiąca nr 4/2026 — świeży kontekst krajowy: zgłoszenia, phishing, smishing i lista ostrzeżeń przed szkodliwymi domenami. Raport za kwiecień 2026, dostęp: 2026-07-01.
- Centrum e-Zdrowia — Nowe przepisy KSC: sprawdź, czy dotyczą Twojego podmiotu — oficjalne omówienie obowiązków i przygotowania placówek ochrony zdrowia do wymagań cyberbezpieczeństwa. Data publikacji: 03.04.2026.
- UODO — EROD o materiałach szkoleniowych dotyczących sztucznej inteligencji i ochrony danych — kontekst ochrony danych i kompetencji potrzebnych przy systemach AI przetwarzających dane osobowe. Posiedzenie EROD: 3–4 czerwca 2026, dostęp: 2026-07-01.
- Pexels — zdjęcie Pavel Danilyuk — okładka artykułu; spokojna scena pracy lekarza przy laptopie, bez sensacyjnego obrazu cyberataku. Dostęp: 2026-07-01.