بيانات المرضى والذكاء الاصطناعي: ما يجب على العيادات في الإمارات معرفته
هل يمكن لعيادتك استخدام ChatGPT مع سجلات المرضى؟ الإجابة المختصرة لا. إليك ما يتطلبه قانون حماية البيانات الشخصية، وما يغيّره الذكاء الاصطناعي المحلي.
تتعامل العيادات في الإمارات مع بعض أكثر البيانات الشخصية حساسية على الإطلاق: هويات المرضى، وتواريخ التشخيص، وتفاصيل التأمين، وسجلات المواعيد. وعندما يدخل الذكاء الاصطناعي إلى الصورة — التنبؤ بعدم الحضور، والموافقة المسبقة للتأمين، ومساعدو المعرفة السريرية — لا يكون السؤال عن وجهة تلك البيانات تفصيلاً تقنياً في الامتثال، بل التزاماً تجاه ثقة المريض. وبموجب قانون حماية البيانات الشخصية في الإمارات (المرسوم بقانون رقم 45/2021)، تُعد البيانات الصحية فئة حساسة تتطلب موافقة صريحة وحماية مشددة. يغطي هذا الدليل الالتزامات المحددة التي تنطبق عندما تنشر عيادة في الإمارات أنظمة ذكاء اصطناعي تعمل على بيانات المرضى.
ماذا يعني هذا لأعمالك
- البيانات الصحية فئة حساسة بموجب قانون حماية البيانات الشخصية — وتتطلب معالجتها موافقة صريحة أو أساساً قانونياً آخر معترفاً به
- يُشترط إجراء تقييم أثر حماية البيانات قبل نشر ذكاء اصطناعي يجري معالجة آلية منهجية لبيانات المرضى (المادة 21 من قانون حماية البيانات الشخصية)
- يتطلب النقل العابر للحدود لبيانات المرضى — بما في ذلك إلى خدمات الذكاء الاصطناعي السحابية ذات الخوادم خارج الإمارات — ضمانات مناسبة وإخطار المريض
- تقليل البيانات: ينبغي ألا تطّلع أنظمة الذكاء الاصطناعي إلا على الحد الأدنى من بيانات المرضى اللازمة للغرض السريري المحدد
- للمرضى الحق في الاعتراض على اتخاذ القرارات الآلية التي تترتب عليها آثار قانونية أو جوهرية عليهم (المادة 18 من قانون حماية البيانات الشخصية)
كيف يعالج الذكاء الاصطناعي المحلي هذه الالتزامات
إجابة الامتثال لذكاء العيادات الاصطناعي مباشرة: أبقِ البيانات داخل المبنى. فالنموذج اللغوي الكبير المحلي الذي يعمل على أجهزة في غرفة خوادمك يعالج بيانات المواعيد والملاحظات السريرية ومستندات التأمين دون أن يغادر أي سجل لمريض شبكتك. لا نقل سحابي، ولا نقل عابر للحدود، ولا معالج فرعي خارجي للذكاء الاصطناعي. وما زال يتعين إجراء تقييم أثر حماية البيانات — لكن ملف المخاطر أدنى بشكل قابل للقياس عندما لا تغادر البيانات العيادة قط.
الأسئلة الشائعة
- هل يمكن لعيادة في الإمارات استخدام ChatGPT أو الذكاء الاصطناعي السحابي مع بيانات المرضى؟
- ليس دون ضمانات كبيرة. فإرسال بيانات المرضى إلى خدمة ذكاء اصطناعي سحابية مثل ChatGPT يوجّه تلك البيانات إلى خوادم خارج الإمارات، ما يُنشئ نقلاً عابراً للحدود. وبموجب قانون حماية البيانات الشخصية، يتطلب النقل العابر للحدود للبيانات الصحية ضمانات مناسبة — عادةً موافقة صريحة من المريض أو حماية تعاقدية معيارية. ومعظم شروط مزودي الذكاء الاصطناعي السحابي لا توفر مستوى ضمان التعامل مع البيانات المطلوب للاستخدام السريري. ويُلغي النشر المحلي هذا النقل.
- هل يغطي الامتثال لهيئة الصحة بدبي (DHA) التزاماتي بموجب قانون حماية البيانات الشخصية؟
- هذه العلاقة أكثر تعقيداً مما تبدو عليه. تستثني المادة 2(2) من قانون حماية البيانات الشخصية (المرسوم بقانون 45/2021) البيانات الصحية التي تخضع للقانون القطاعي رقم 2 لسنة 2019 بشأن استخدام تقنية المعلومات والاتصالات في قطاع الصحة من نطاق تطبيقه. وبالنسبة لبيانات المرضى السريرية في المنشآت المرخَّصة من هيئة الصحة بدبي، فإن التشريعات الصحية القطاعية ومعايير هيئة الصحة بدبي هي الإطار التنظيمي الأساسي — وقد لا يسري قانون حماية البيانات الشخصية مباشرةً على تلك البيانات. غير أن قانون حماية البيانات الشخصية قد يسري على البيانات الشخصية غير السريرية التي تعالجها العيادة (مثل سجلات الموظفين وجهات الاتصال التسويقية). يُنصح دائماً بالتشاور مع مستشار قانوني متخصص لتحديد النظام الواجب التطبيق على كل فئة من فئات البيانات.
- ما تقييم أثر حماية البيانات وهل تحتاج عيادتي إليه قبل نشر الذكاء الاصطناعي؟
- تقييم أثر حماية البيانات هو تقييم موثَّق للمخاطر يبيّن كيف يؤثر نشاط معالجة ما في خصوصية المريض. وبموجب المادة 21 من قانون حماية البيانات الشخصية، يكون تقييم أثر حماية البيانات مطلوباً للمعالجة التي تنطوي على تقنيات جديدة يُرجَّح أن تنشئ مخاطر عالية أو على تقييم آلي منهجي لجوانب شخصية — وهو ما يغطي أنظمة الذكاء الاصطناعي التي تقيّم مخاطر المرضى، أو تؤتمت مراجعة الموافقة المسبقة، أو تولّد رؤى سريرية من سجلات المرضى. وأنت بحاجة إليه قبل النشر، لا بعده.
- ماذا عن تكاملات Malaffi وNABIDH؟
- لدى Malaffi (مركز تبادل المعلومات الصحية في أبوظبي) وNABIDH (منصة تبادل المعلومات الصحية التابعة لهيئة الصحة بدبي — الشبكة والعمود الفقري التحليلي للصحة المتكاملة في دبي) متطلبات حوكمة بيانات خاصة بهما للأنظمة التي تتصل بواجهات برمجة التطبيقات الخاصة بهما. وأي نظام ذكاء اصطناعي يقرأ من هاتين الشبكتين أو يكتب إليهما يجب أن يمتثل لمتطلبات المنصة في التعامل مع البيانات، فضلاً عن أي التزامات قطاعية سارية بموجب القانون الاتحادي رقم 2 لسنة 2019 بشأن استخدام تقنية المعلومات والاتصالات في قطاع الصحة. وقد يسري قانون حماية البيانات الشخصية على البيانات غير السريرية التي تعالجها تلك الأنظمة؛ ويُنصح بالتشاور مع مستشار قانوني لتحديد النظام الواجب التطبيق على كل فئة من فئات البيانات. والنشر المحلي مع تخزين البيانات محلياً هو النهج المعتاد الذي يستوفي كليهما.