W dobie postępującej cyfryzacji i nieustannego rozwoju technologicznego nie ulega wątpliwości, że ochrona zdrowia – podobnie jak inne dziedziny naszego życia – powinna podążać za trendami i wykorzystywać je na swoją korzyść. Już dziś technologia odgrywa coraz większa rolę w branży medycznej, a dzięki zastosowaniu innowacyjnych rozwiązań sektor medyczny umożliwia poprawianie jakości obsługi pacjentów, jak również usprawnienie procesów z tą obsługą związanych. Jakie są obecne regulacje prawne w tym zakresie? Jakie narzędzia mogą wspierać placówki medyczne w efektywnej obsłudze pacjenta i automatyzacji pracy zespołów? Jaki jest realny wpływ technologii na ochronę zdrowia? Podczas minionej edycji Akademii Managera Ochrony Zdrowia panel dyskusyjny na ten temat poprowadził Dawid Sakowski (Medidesk), a w rozmowie udział wzięli Karolina Wodzyńska (Comarch), Piotr Turek (Fundusze Wsparcia), Paweł Bożek (Radpoint) oraz Dariusz Hypś (Systegra).
Jakie znaczenie dla branży medycznej mają zmiany, wprowadzone przez regulacje dotyczące sieci i bezpieczeństwa?
Dyrektywa NIS 1 która weszła w życie w 2016, znana jest w Polsce jako Krajowy System Bezpieczeństwa, zaimplementowany w 2018 roku. Po kilku latach doczekaliśmy się znacznego rozszerzenia i aktualizacji tej dyrektywy do NIS 2, którą Unia Europejska wprowadziła w życie w styczniu 2023 roku, a obecnie w procesie nowelizacji jest Krajowy System Bezpieczeństwa. Nowelizacja powinna wejść w życie w ciągu kilku najbliższych miesięcy.
Finalnie UE stawia nieprzekraczalny termin implementacji dla wszystkich państw członkowskich, w tym Polski, do października 2024 roku. To i dużo, i mało czasu zarazem, ponieważ dostosowanie placówki może potrwać nawet kilka miesięcy.
Co zmienia nowelizacja?
Przede wszystkim Krajowy System Bezpieczeństwa będzie obejmował znacznie więcej sektorów – sektor publiczny, transportu, logistyki, a także interesujący nas najbardziej sektor medyczny. Przede wszystkim zostaną nim objęte szpitale, kliniki, duże grupy medyczne.
Po wprowadzeniu nowelizacji czeka nas uszczelnianie przepisów, wprowadzenie odpowiednich procedur w sytuacji jakichś incydentów, zabezpieczenia danych i dalszego bezpieczeństwa danych osobowych. Nowelizacja ma na celu też budowę świadomości i dojrzałości bezpieczeństwa u kadry, która zatrudniana jest w poszczególnych placówkach.
Jakie konsekwencje może ponieść placówka medyczna za naruszenie tych wytycznych?
Konsekwencje są poważne – zgodnie z zapisami nowelizacji kary maksymalne to 10 milionów euro lub do 2% procent całkowitego globalnego obrotu danej organizacji. Jednak stosunkowo łatwo będzie uniknąć tej kary – mamy bowiem rok czasu na dostosowanie się do przepisów i znalezienie partnerów, które uzupełnią kompetencje kadry od strony technologicznej. Sprawne zadziałanie przez te kilkanaście miesięcy powinno zapewnić nam spokój i zminimalizować ryzyko otrzymania jakichkolwiek kar.
Jakie obecnie są największe zagrożenia związane z cyberbezpieczeństwem w placówkach medycznych?
Z roku na rok wzrasta liczba incydentów, zagrażających bezpieczeństwu danych w placówce medycznej. Co można zrobić aby temu przeciwdziałać? Jedną z metod jest z pewnością zabezpieczenie brzegów sieci, czyli tzw. firewalle, które mają chronić przed włamaniami do sieci. Nie bez znaczenia jest również monitorowanie tych sieci i ruchu w sieciach. Ważne jest, by sprawnie reagować na niepokojące działania, należ także zadbać o zabezpieczenie stacji roboczych czyli komputerów, przeglądarek. Poza tym warto postawić na ciągle szkolenia kadry, aby podwyższać ich świadomość, kwalifikacje i kompetencje dotyczące bezpieczeństwa. Osobną kwestię stanowi regularne wykonywanie kopii zapasowych – najlepiej codzienne – aby w momencie ataku, kradzieży danych nie sparaliżować pracy całej placówki.
Jakie zabezpieczenia powinien posiadać system HIS, aby zabezpieczyć dane wrażliwe?
Każdy system elektroniczny placówki medycznej powinien mieć swoje, osobne zabezpieczenie. Na przykład poprzez logowanie dwuetapowe – wówczas podczas logowania każdy użytkownik dostaje dodatkowo hasło w wiadomości SMS.
Po drugie – powinien być w placówce przeprowadzany audyt zdarzeń: kto, gdzie, kiedy zmienił dokumentację medyczną. Kolejna dobra praktyka to wielopoziomowe uprawnienia: jeden pracownik może mieć dostęp do wszystkich pacjentów, inny – nie powinien. Co więcej, kiedy lekarz jest przy pacjencie, jego komputer nie powinien zostać włączony bez opieki.
Czy system powinien mieć serwery stacjonarne czy w chmurze?
Nie ma dobrej odpowiedzi na to pytanie, bo jest to sprawa po części indywidualna dla każdego podmiotu medycznego. Serwery mają swoje zalety, ale mają też swoją żywotność. Wymagają opieki – co też ma swoje koszty, ponadto trzeba robić regularnie kopie bazy danych.
Chmura z kolei także ma wiele swoich zalet – po pierwsze, skalowanie biznesu. Po drugie, mniejsze koszty na starcie, a koszty te są comiesięczne. Chmura daje duże możliwości, kiedy mamy zamiar mieć kilka placówek w różnych lokalizacjach. Podczas transmisji danych z chmury są one zabezpieczone, zaszyfrowane – i wszystko wskazuje na to, że jako ochrona zdrowia coraz bardziej zmierzamy w stronę wykorzystania chmur.
Czy systemy chmurowe są bezpieczne?
Codziennie używamy systemów chmurowych w innych dziedzinach życia, więc nie ma co do tego wątpliwości. Nie powinniśmy się obawiać systemów chmurowych, ponieważ stoi za nimi szereg specjalistów, bardzo wyspecjalizowane zespoły, a także sprzęt, który normalnie nie jest dostępny dla przeciętnego przedsiębiorcy – nawet dużego szpitala. Korzystanie z tego rozwiązania, jakim jest infrastruktura w chmurze, jest bezpieczne.
Czasem ulegamy pokusie, że lepiej mieć komputer lokalnie, bo to coś bezpiecznego, namacalnego. Nie do końca tak jest, ponieważ o wiele łatwiej o atak na taki mały system. On sam zresztą, nawet jeśli jest lokalny, też się komunikuje z siecią zewnętrzną. Co więcej, przykładowo poprzez płytę z danymi pacjenta, pochodzącymi z badania wykonanego w innej placówce medycznej, możemy nieświadomie wprowadzić wirusa.
Co powinien zawierać system HIS, aby ułatwiać pracę personelowi?
Szpitalny system informacji HIS (ang. Hospital Information System) powinien być oparty na procesach, które odwzorowują to, co dzieje się w placówce. Co jednak istotne, tego typu system powinien być zarówno „lekarzocentryczny” i „rejestratorkocentryczny” – to znaczy być wygodny, intuicyjny i wspierać pracę obu tych grup zawodowych.
Z perspektywy lekarza przykładowo powinien zapewniać kopiowanie pewnych rozpoznań z poprzedniej karty wizyty – tak, aby lekarz podczas obecnej wizyty pacjenta widział całą historię jego choroby. Pomocne są także interaktywne dokumenty, w których wyklikujemy ankiety tak/nie, zamiast pisać wszystko ręcznie.
Z perspektywy personelu rejestracji medycznej warto zainterestować w taki system i portal pacjenta, by możliwe było łatwe zwalnianie terminów dla pacjentów. Na przykład poprzez pytanie o potwierdzenie wizyty za pomocą SMS odwołalność wizyt jest w stanie wzrosnąć nawet o 3% w pierwszym miesiącu stosowania.
Jakie wyzwania stoją przed managerami placówek medycznych w zakresie diagnostyki obrazowej?
Dostęp do wyspecjalizowanej kadry jest obecnie wąskim gardłem dzisiejszej diagnostyki obrazowej. Moglibyśmy robić o wiele więcej obrazów, jednak dzisiaj wyzwaniem jest zrobienie opisu obrazu na czas. Pacjent czeka niekiedy 2-3 tygodnie na opis, co w przypadku pacjentów onkologicznych jest nie do wyobrażenia i wręcz niedopuszczalne.
Robimy coraz więcej badań, ale nie ma kto ich opisać. Przydałoby się tymczasem lepsze wykorzystanie czasu lekarzy, co jednak wymaga dużej pracy u podstaw. Zarówno w kontekście cyberbezpieczeństwa, jak i faktu, że wdrażanie nowych technologii nierzadko napotyka na opór. Potrzebne jest nam sprawne, skuteczne przekonanie lekarzy do nowego sprzętu i metod, bo nasze starzejące się społeczeństwo z wieloma chorobami potrzebuje lekarzy, którzy będą ich leczyć, zamiast zajmować się formalnościami, które może wykonać za nich technologia.
Czy sztuczna inteligencja może być zagrożeniem dla lekarzy?
Wbrew ewentualnym obawom, absolutnie nie ma powodów do zmartwień i postrzegania sztucznej inteligencji jako zagrożenia. To narzędzie – tak samo, jak choćby Microsoft Word. Przyjdzie jeszcze czas, że lekarze i radiolodzy podzielą się na tych, którzy stosują sztuczną inteligencję i tych, którzy jej nie stosują. Wówczas ci drudzy po prostu przestaną być atrakcyjni na rynku pracy. Sztuczna inteligencja umożliwia popełnianie mniejszej liczby błędów i z perspektywy apcjetna warto jak najszybciej zadbać o poprawne wdrożenie jej w funkcjonowanie naszej placówki medycznej.