Czego dowiesz się z tego artykułu?
- Jak ułożyć szkolenie z AI osobno dla recepcji, lekarzy, managera i marketingu placówki.
- Jak pokazać zespołowi przykłady danych, których nie wolno wpisywać do niezatwierdzonych narzędzi.
- Jak ćwiczyć human-in-the-loop bez realnych danych pacjenta.
- Jak mierzyć, czy po szkoleniu zespół faktycznie pracuje bezpieczniej.
Szkolenie z AI w placówce medycznej nie powinno zaczynać się od pokazu najnowszego narzędzia. Powinno zaczynać się od pytania: co pracownik może zrobić sam, kiedy musi zatrzymać proces i kogo woła, gdy pojawia się dane pacjenta, błąd modelu albo wątpliwość kliniczna.
W polskiej przychodni jedna instrukcja dla wszystkich zwykle nie działa. Recepcja widzi telefony, formularze i dokumenty od pacjentów. Lekarz widzi notatkę, wynik, zalecenie i odpowiedzialność kliniczną. Marketing widzi treści, zgody i opinie. Manager widzi ryzyko organizacyjne. Każda z tych ról potrzebuje innego treningu, choć zasady danych muszą być wspólne.
Ja bym nie robiła z tego wielkiego kursu o modelach językowych. Dobry warsztat ma nauczyć codziennych decyzji: czego nie wklejamy, które narzędzia są zatwierdzone, jak zgłaszamy błąd i kto zatwierdza komunikat do pacjenta. Reszta może poczekać, bo w pierwszym szkoleniu liczy się przewidywalność zachowań zespołu.
Najważniejsze
- Szkolenie z AI powinno być podzielone według ról, bo recepcja, lekarz, manager i marketing mają inne punkty kontaktu z danymi pacjenta.
- Zespół musi znać prostą listę danych zakazanych: wyniki badań z identyfikacją, PESEL, pełne opisy wizyt, zdjęcia dokumentacji, loginy i dane dostępowe.
- AI może przygotować szkic, klasyfikację albo listę pytań, ale człowiek zatwierdza odpowiedź do pacjenta, decyzję kliniczną i każdy wyjątek z danymi medycznymi.
- Zatwierdzone narzędzia powinny być nazwane z imienia: gdzie wolno pracować, do czego, na jakich danych i kto odpowiada za logi.
- Po szkoleniu manager powinien mierzyć zachowanie zespołu, nie tylko frekwencję: zgłoszenia błędów, odrzucone sugestie AI, eskalacje i poprawki procedur.
Najpierw zasady, potem prezentacja narzędzi
Największy błąd szkoleniowy polega na tym, że zaczynamy od możliwości AI, a kończymy zdaniem „pamiętajcie o RODO”. W placówce medycznej kolejność powinna być odwrotna. Najpierw granice danych i odpowiedzialności, dopiero potem przykłady użycia narzędzia w rejestracji, dokumentacji lub komunikacji.
To ma sens, gdy placówka ma już choćby krótką listę zatwierdzonych narzędzi, właściciela procesu i zasadę, że pracownik nie testuje nowych aplikacji na realnych danych pacjenta. Szkolenie nie zastąpi decyzji organizacyjnej, ale może sprawić, że zespół przestanie improwizować w każdym kanale.
To nie ma sensu, gdy manager chce „uświadomić ludzi”, ale nie potrafi powiedzieć, gdzie wolno używać AI, kto zatwierdza odpowiedzi i co zrobić po błędzie. W takiej sytuacji szkolenie będzie miłe, może nawet inspirujące, ale nie zmieni ryzyka w codziennej pracy.
Jeżeli placówka dopiero planuje pierwszy pilotaż, warto połączyć ten temat z tekstem o pierwszych 30 dniach AI w placówce. Tam wybierasz proces i metrykę. Tutaj uczysz zespół, jak ten proces wykonać bez skrótów na danych pacjenta.
Cztery role, cztery inne ryzyka
Jedno szkolenie dla całej placówki może mieć wspólny początek: czym jest AI, gdzie może się mylić, dlaczego nie wolno ufać jej jak człowiekowi i kiedy trzeba eskalować. Potem grupy powinny się rozdzielić. Recepcja potrzebuje scenariuszy rozmów, lekarze granic szkicu dokumentacji, manager kontroli procesu, a marketing zasad publikowania treści i opinii.
| Rola | Co musi umieć | Czego nie wolno robić | Jak ćwiczyć |
|---|---|---|---|
| Recepcja | Rozpoznać sprawę administracyjną, kliniczną i skargową | Wklejać opisu objawów, PESEL lub dokumentów do publicznego AI | Klasyfikacja fikcyjnych zgłoszeń i decyzja: odpowiedź, eskalacja, stop |
| Lekarz | Odróżnić szkic notatki od decyzji klinicznej | Przyjmować sugestii AI bez weryfikacji i podpisu osoby uprawnionej | Porównanie neutralnego szkicu z zatwierdzoną procedurą dokumentacji |
| Manager | Ustalić narzędzia, logi, role i zasady zgłaszania błędów | Wdrażać funkcji bez właściciela, metryki i zgody na zakres danych | Przegląd tygodniowych zgłoszeń, błędów i wyjątków |
| Marketing | Tworzyć treści bez danych pacjenta i bez obietnic medycznych | Używać historii pacjentów, opinii lub zdjęć bez właściwej podstawy | Redakcja komunikatu edukacyjnego z kontrolą prawną i medyczną |
Ta tabela nie jest dokumentem prawnym. To praktyczna mapa szkolenia. Każda rola powinna wyjść z sali z trzema decyzjami: co może zrobić samodzielnie, co zatwierdza człowiek z uprawnieniami i co zgłasza jako incydent albo błąd procesu.
Z mojego doświadczenia najwięcej napięcia pojawia się przy recepcji. To ona jest pod presją czasu, odbiera emocje pacjenta i najłatwiej może użyć AI jako szybkiej pomocy. Dlatego recepcja powinna ćwiczyć krótkie scenariusze, nie słuchać wykładu o architekturze modeli.
Dane zakazane: pokaż przykłady, nie tylko hasła
Samo zdanie „nie wpisujemy danych pacjenta” jest za ogólne. Dla zespołu trzeba przygotować listę przykładów, które brzmią jak codzienna praca: zdjęcie skierowania, opis objawów z nazwiskiem, wynik badania, numer PESEL, karta informacyjna, login do portalu, transkrypt rozmowy z pacjentem. Im bardziej konkretna lista, tym mniej miejsca na interpretację przy recepcji.
W szkoleniu dobrze działa podział na trzy koszyki. Zielony: treści organizacyjne bez danych pacjenta, na przykład godziny pracy, adres, ogólna instrukcja przygotowania do badania. Żółty: dane kontaktowe lub administracyjne, które wolno przetwarzać tylko w zatwierdzonym systemie. Czerwony: dane medyczne, dokumenty, wyniki, objawy, numery identyfikacyjne i pełne historie wizyt. Czerwony koszyk nie trafia do publicznych narzędzi AI.
Pacjent.gov.pl słusznie ostrzega pacjentów, żeby nie przekazywali AI wyników badań, PESEL, zdjęć dokumentacji i danych dostępowych. W placówce trzeba tę zasadę przenieść na personel. Pracownik też nie powinien używać niezatwierdzonego AI jako skrótu, nawet jeśli intencja jest dobra i chodzi tylko o szybszą odpowiedź.
Jeżeli temat dotyka formularzy, chatbotów albo dokumentów od pacjentów, warto wrócić do tekstu o prompt injection w placówce medycznej. Szkolenie z danych zakazanych powinno obejmować nie tylko prywatność, ale też sytuację, w której tekst pacjenta próbuje zmienić zachowanie systemu.
Zatwierdzone narzędzia muszą być nazwane
Polityka AI, której nikt nie potrafi powtórzyć, jest martwa. Na szkoleniu zespół powinien zobaczyć krótką listę: narzędzie A wolno używać do przygotowania szkicu komunikatu organizacyjnego, narzędzie B tylko w zamkniętym środowisku, narzędzie C nie jest dopuszczone do danych pacjenta, a publiczne narzędzia są dozwolone wyłącznie dla treści bez danych osobowych i medycznych.
Nie wystarczy powiedzieć „korzystajcie rozsądnie”. Recepcja musi wiedzieć, czy może wkleić treść pytania pacjenta po anonimizacji. Lekarz musi wiedzieć, czy może wygenerować edukacyjny szkic dla pacjenta i kto go zatwierdza. Marketing musi wiedzieć, czy może użyć AI do posta o usłudze, ale bez historii pacjenta i bez obietnicy efektu. Każda odpowiedź powinna mieć właściciela po stronie placówki.
Ja bym przygotowała jedną stronę „wolno / nie wolno / zapytaj”. To bardziej użyteczne niż trzydziestostronicowa procedura na start. Dobra instrukcja mieści się w recepcji przy monitorze, a szczegóły dla IOD i dostawcy mogą być w osobnym dokumencie.
UODO zwraca uwagę na ryzyko Shadow AI, czyli używania narzędzi poza wiedzą organizacji. Szkolenie powinno powiedzieć to wprost: celem nie jest karanie za pytania, tylko wyciągnięcie użycia AI na światło dzienne, żeby placówka mogła kontrolować cel, zakres i odpowiedzialność za dane.
Human-in-the-loop jako codzienny nawyk
Human-in-the-loop nie może być slajdem z prezentacji. W szkoleniu trzeba pokazać, jak wygląda w praktyce: system tworzy szkic odpowiedzi, recepcja go czyta i poprawia, lekarz zatwierdza element kliniczny, manager sprawdza wyjątek, a IOD ocenia ryzyko danych. Osoba z zespołu nie jest dodatkiem do automatu, tylko punktem odpowiedzialności.
Warto ćwiczyć trzy typy zatrzymania procesu. Pierwszy: model nie ma pewności albo halucynuje. Drugi: pojawia się dane medyczne, skarga, opis objawów albo prośba o interpretację wyniku. Trzeci: odpowiedź AI mogłaby zmienić zachowanie pacjenta, termin wizyty albo komunikację kliniczną. W każdym z tych przypadków zespół ma prawo powiedzieć stop.
Przykład z przychodni: pacjent wysyła formularz z prośbą o szybki termin i dopisuje opis objawów. AI może oznaczyć sprawę jako wymagającą weryfikacji i przygotować neutralną notatkę dla recepcji. Recepcja nie odpowiada medycznie, tylko przekazuje sprawę według procedury. Lekarz lub uprawniony personel decyduje, czy potrzebna jest pilna ścieżka. AI porządkuje kontekst, ale nie kwalifikuje pacjenta klinicznie.
Ten sam mechanizm dotyczy marketingu. AI może pomóc napisać edukacyjny tekst o przygotowaniu do badania, ale osoba odpowiedzialna medycznie powinna sprawdzić, czy treść nie brzmi jak indywidualne zalecenie. Placówka odpowiada za komunikat, nawet jeśli pierwszą wersję przygotował model.
Ćwiczenie warsztatowe bez danych pacjenta
Szkolenie powinno mieć część praktyczną, ale bez prawdziwych historii choroby, dokumentów i nazwisk. Najbezpieczniej pracować na opisach procesów: „pacjent pyta o zmianę terminu”, „formularz zawiera ogólną prośbę o kontakt”, „marketing chce przygotować post edukacyjny”. Celem ćwiczenia jest decyzja zespołu, nie testowanie modelu na realnych danych.
Poniższy blok można wykorzystać jako wewnętrzny szablon do przygotowania ćwiczeń. Nie jest to zachęta do wklejania danych pacjenta. Używaj wyłącznie fikcyjnych, neutralnych sytuacji organizacyjnych.
Przygotuj scenariusz ćwiczenia szkoleniowego dla polskiej placówki medycznej.
Kontekst:
- rola uczestników: recepcja / lekarz / manager / marketing,
- proces: telefon, formularz, szkic odpowiedzi, treść edukacyjna lub raport,
- narzędzia: tylko zatwierdzone systemy placówki,
- dane: bez imion, nazwisk, PESEL, wyników badań, opisów objawów i historii choroby.
Zwróć:
1. krótki opis fikcyjnej sytuacji,
2. decyzję, którą może przygotować AI,
3. decyzję, którą musi zatwierdzić człowiek,
4. dane, których nie wolno wpisywać do narzędzia,
5. moment zgłoszenia błędu lub eskalacji,
6. pytania do omówienia z zespołem po ćwiczeniu.Po takim ćwiczeniu zespół powinien umieć powiedzieć, gdzie kończy się wygoda, a zaczyna odpowiedzialność. Jeżeli uczestnicy chcą wkleić realny przykład, to jest dobry sygnał szkoleniowy: trzeba zatrzymać ćwiczenie i pokazać, jak zanonimizować proces albo przygotować fikcyjny wariant.
Pytania do IOD, managera i lekarza prowadzącego
Przed pierwszym szkoleniem manager powinien zebrać krótkie odpowiedzi od trzech osób: IOD lub osoby odpowiedzialnej za RODO, lekarza odpowiadającego za jakość medyczną oraz właściciela procesu. Bez tych odpowiedzi trener będzie improwizował, a zespół szybko wyczuje, że zasady są niepełne.
Do IOD zapytałabym: które narzędzia są zatwierdzone, jakie dane wolno przetwarzać, czy dostawca ma umowę powierzenia, gdzie są logi, jak długo przechowujemy dane i jak zgłaszamy naruszenie. To są pytania operacyjne, nie formalność do odhaczenia.
Do lekarza prowadzącego warto zadać inne pytania: które treści wymagają zatwierdzenia medycznego, kiedy recepcja ma przerwać rozmowę, jak wygląda granica między informacją organizacyjną a poradą kliniczną i kto decyduje o wyjątkach. Tu nie chodzi o blokowanie AI, tylko o ochronę odpowiedzialności zawodowej i pacjenta.
Do managera: kto prowadzi rejestr narzędzi, kto zbiera błędy, kto aktualizuje instrukcję i co robimy, gdy pracownik zgłosi, że używał niezatwierdzonego AI. Jeśli odpowiedź brzmi „zobaczymy”, szkolenie powinno najpierw uporządkować proces, a dopiero potem przejść do ćwiczeń.
Co mierzyć po szkoleniu
Frekwencja na szkoleniu mówi tylko, kto był na sali. Manager powinien mierzyć, czy po szkoleniu zespół zachowuje się inaczej. Najważniejsze są sygnały kontroli, nie liczba obejrzanych slajdów.
Przez pierwsze 30 dni mierzyłabym pięć rzeczy: liczbę zgłoszonych wątpliwości o użycie AI, liczbę odrzuconych sugestii modelu, liczbę eskalacji do lekarza lub IOD, liczbę poprawek w instrukcji oraz liczbę przypadków, w których pracownik zapytał przed użyciem nowego narzędzia. Wzrost zgłoszeń na początku nie musi być porażką. Często oznacza, że zespół wreszcie wie, co raportować.
Warto też zrobić krótką powtórkę po dwóch tygodniach. Nie kolejne szkolenie ogólne, tylko przegląd sytuacji: co było niejasne, które zakazy są zbyt abstrakcyjne, gdzie recepcja nadal czuje presję, a gdzie lekarze potrzebują lepszego wzoru zatwierdzania. Procedura AI dojrzewa przez użycie, nie przez samo ogłoszenie.
Jeżeli szkolenie dotyczy także maili, załączników i linków, dobrym uzupełnieniem jest playbook o cyberbezpieczeństwie AI w placówce medycznej. Zespół powinien rozumieć, że bezpieczeństwo danych i bezpieczeństwo techniczne spotykają się dokładnie w codziennych decyzjach recepcji.
Pierwszy krok w tym tygodniu
Na start nie organizuj całodniowego szkolenia dla wszystkich. Zrób 60 minut z czterema reprezentantami: recepcja, lekarz, manager i osoba od komunikacji lub marketingu. Na stole połóż trzy listy: narzędzia zatwierdzone, dane zakazane i sytuacje wymagające eskalacji.
Potem przygotuj krótką kartę zasad dla całego zespołu. Jedna strona wystarczy: co wolno, czego nie wolno, gdzie zgłosić błąd, kto zatwierdza komunikat, gdzie są materiały szkoleniowe i kiedy robimy powtórkę. Sugeruję zacząć od jednej placówki lub jednego zespołu, zanim rozszerzysz zasady na wszystkie lokalizacje.
Na końcu zapisz prostą obietnicę organizacyjną: pracownik, który zgłasza wątpliwość, nie spowalnia placówki, tylko chroni pacjenta i zespół. Bez tego ludzie będą ukrywać skróty. Dobre szkolenie z AI nie straszy, ale daje bezpieczną ścieżkę działania.
Źródła
- UODO - Czy AI to zagrożenie dla danych? - oficjalny materiał z AI & MEDTECH CEE 2026; wnosi aktualny kontekst kontroli celu, zakresu i odpowiedzialności za dane przy AI oraz ryzyka Shadow AI w organizacjach. Publikacja: 10.06.2026, dostęp: 2026-07-05.
- Pacjent.gov.pl - Nie przekazuj AI swoich danych - materiał Centrum e-Zdrowia dla pacjentów; użyteczny jako lista przykładów danych, których także personel nie powinien przekazywać do niezatwierdzonych narzędzi AI. Opublikowano i zmodyfikowano: 14.05.2026, dostęp: 2026-07-05.
- CSIRT CeZ - Raport 2025 „Krajobraz cyberbezpieczeństwa w sektorze ochrony zdrowia” - świeży kontekst bezpieczeństwa dla ochrony zdrowia; uzasadnia, dlaczego szkolenie AI powinno obejmować zgłaszanie błędów, phishing i pracę z dokumentami. Publikacja: 02.06.2026, dostęp: 2026-07-05.
- Ministerstwo Cyfryzacji - UE upraszcza przepisy dotyczące sztucznej inteligencji - aktualny komunikat o zmianach w otoczeniu AI Act; ważny dla managera, który planuje szkolenia i zasady użycia AI w zmieniającym się reżimie regulacyjnym. Publikacja: 07.05.2026, dostęp: 2026-07-05.
- Zdjęcie okładkowe: RDNE Stock project na Pexels - spokojny kadr rozmowy personelu medycznego, bez sensacyjności i bez widocznych danych pacjenta; dostęp: 2026-07-05.