Kwestie bezpieczeństwa systemów teleinformatycznych w opiece zdrowotnej nabierają coraz większego znaczenia. Szczególnie, gdy rozumie się je szerzej, nie tylko jako ochronę przed niepowołanym dostępem do zasobów IT. Obecnie pod tym pojęciem kryje się również dostarczanie rozwiązań wspomagających działalność diagnostyczną oraz leczniczą. Celem jest zapewnienie jak największej skuteczności w ratowaniu zdrowia i życia pacjentów. To otwiera przed integratorami i resellerami nowe możliwości działania. Ale stawia też przed nimi nowe wyzwania.

Przykładowo szpitale, przychodnie, laboratoria diagnostyczne i gabinety lekarskie przetwarzają duże ilości poufnych informacji, którym trzeba zapewnić pełną ochronę. Z drugiej strony, nie można wprowadzać nieprzemyślanych, zbyt daleko idących zabezpieczeń, aby nie sparaliżować pracy personelu medycznego. Ochrona musi być, ale nie może utrudniać lub blokować dostępu do dokumentacji medycznej pacjenta. Zwłaszcza w sytuacjach krytycznych, gdy liczy się niemal każda sekunda.

Zacznijmy od RODO

Wprowadzenie RODO uczuliło placówki medyczne na kwestie ochrony danych osobowych.

Szczególnie dyrekcje szpitali zwracają specjalną uwagę na zabezpieczenia na wszystkich szczeblach dostępu do danych. To dobry punkt wyjścia do rozmów o wdrożeniach nowych czy modernizacji lub rozbudowie już istniejących rozwiązań IT – mówi Jan Siwek, dyrektor Działu Medycznego w Alstorze.

Duże znaczenie dla przestrzegania unijnych regulacji mają wszelkiego rodzaju kontakty z pacjentami. Przykładowo rejestrację trzeba zreorganizować tak, by czekający w kolejce nie widzieli danych innego pacjenta na monitorze. W chwili przyjęcia i podczas pobytu w szpitalu trzeba uzyskać od chorego liczne zgody związane z przetwarzaniem i udostępnianiem jego danych.

Obecnie zazwyczaj dokumenty zawierające zgody i informacje szpitalne mają formę papierową i trafiają do segregatorów. Gdy przez pomyłkę któryś znajdzie się nie tam gdzie trzeba, pojawia się problem z jego odszukaniem. A dotyczą tak ważnych kwestii jak wykonanie zabiegu, wypis na życzenie, wybór rodzaju znieczulenia, zgoda na pobranie/udostępnienie dokumentacji medycznej z/do innej placówki. Szpitale mogą być więc zainteresowane zastosowaniem narzędzi do uzyskiwania dokumentów zgody w formie elektronicznej. Ułatwiają bowiem obsługę pacjenta i usprawniają zarządzanie zasobami archiwum, a prowadzenie dokumentacji w postaci elektronicznej przynosi oszczędności. Obecnie z wymagających zgody dokumentów korzysta w tej formie niecałe 20 proc. szpitali.

Nie trzeba wdrażać rozwiązań wymagających kwalifikowanego podpisu elektronicznego. Na rynku są też narzędzia do składania podpisu biometrycznego. Podpis odręczny składa się za pomocą specjalnego piórka piszącego po ekranie dotykowym lub piórka z kamerą. System rejestruje elementy behawioralne – siłę nacisku, kąt nachylenia i szybkość prowadzenia linii. Plik z takim podpisem jest szyfrowany i przesyłany do elektronicznego archiwum.

Problematyczne może okazać się w niektórych przypadkach zintegrowanie tego typu rozwiązań z systemem szpitalnym (HIS). Tutaj otwiera się szansa dodatkowego zarobku dla integratorów i resellerów. Tym bardziej, że archiwum elektroniczne może też wymagać dodatkowych zasobów pamięci masowych.

Od polityki do praktyki

Większość placówek ochrony zdrowia biorących udział w ubiegłorocznym „Badaniu stopnia informatyzacji podmiotów wykonujących działalność leczniczą” prowadzonym przez CSIOZ deklaruje, że posiada opracowaną i wdrożoną wewnętrzną politykę bezpieczeństwa teleinformatycznego. Najwięcej jest wśród nich szpitali – 87 proc., najmniej placówek podstawowej opieki zdrowotnej – 63 proc.
Inna jest sytuacja, jeśli chodzi o stosowanie konkretnych rozwiązań i narzędzi z zakresu cyberbezpieczeństwa. Przykładowo, tylko w około jednej czwartej instytucji medycznych stosuje się metody kryptograficzne do zabezpieczania danych medycznych. Tutaj różnica między poszczególnymi rodzajami placówek jest niewielka – od 27 proc. w szpitalach do 25 proc. w POZ. Prawie jedna piąta (19,5 proc.) ośrodków podstawowej opieki zdrowotnej wciąż jeszcze nie robi kopii zapasowych swoich systemów informatycznych. Przyznało się do tego również 5,5 proc. szpitali.

 

Pacjent pod ochroną

Wprowadzając ochronę danych, trzeba jednak pamiętać, że w procesie leczenia najważniejsza jest możliwość pewnej, jednoznacznej identyfikacji pacjenta. Nie może być żadnych wątpliwości, czy wskazana terapia lub przepisane lekarstwo jest przeznaczone dla tej, a nie innej osoby. Również lekarz na obchodzie albo w gabinecie musi mieć stuprocentową pewność, że dostarczona mu dokumentacja dotyczy właśnie diagnozowanego pacjenta. Pewność rozpoznania ma zasadnicze znaczenie zarówno dla bezpieczeństwa chorego, jak i placówki medycznej, która go obsługuje.

To wymaga zastosowania rozwiązań informatycznych o odpowiednich parametrach technicznych i funkcjonalnych. Lekarz na obchodzie potrzebuje np. wydajnego tabletu jako stacji lekarskiej, za pomocą której połączy się z systemem szpitalnym, by poznać dane lub wyniki badań pacjenta. Konieczna jest także zaufana sieć Wi-Fi o dużej przepustowości, by nie trzeba było zbyt długo czekać na pobieranie niezbędnych informacji ze szpitalnej bazy danych. Połączenie musi być bezpieczne, a transmisja danych gwarantować ich kompletność i spójność.

Zwiększanie przepustowości sieci i podwyższanie jej parametrów bezpieczeństwa w placówkach opieki zdrowotnej to kolejny obszar, który przyniesie zyski integratorowi i resellerowi. Czasami może to wymagać wymiany lub modernizacji switchy albo konfigurowalnych routerów Wi-Fi. W innych przypadkach mogą być potrzebne bardziej zaawansowane działania. Zawsze należy zacząć od poznania sytuacji w konkretnym miejscu. Stopień informatyzacji poszczególnych placówek ochrony zdrowia jest bowiem bardzo zróżnicowany.

Dla bezpieczeństwa działań medycznych ważne jest również wprowadzenie skutecznych metod uwiarygodniania decyzji lekarza o zleconych badaniach lub zaaplikowanych lekach oraz pobraniu leków z apteki czy magazynku. W tym celu można użyć podpisu elektronicznego lub metody biometrycznej. Uwierzytelnianie przy logowaniu się do systemu nie zawsze jest wystarczające, gdyż tablet może przejąć inna osoba, która dokona zmian w systemie bez wiedzy i zgody uprawnionego użytkownika. Na razie najpowszechniejszą metodą zabezpieczenia jest używanie loginu i hasła.

Możliwość łatwej i niepodważalnej identyfikacji pacjenta oraz zapoznania się z dotyczącymi go zaleceniami lekarskimi musi mieć również personel pielęgniarski i pracownicy laboratoriów diagnostycznych. Chodzi o to, by nie dochodziło do pomyłek w dawkowaniu lekarstw bądź wykonywaniu zleconych badań i zabiegów. Zastosowane rozwiązania muszą zapewniać jednocześnie ochronę prywatności i poszanowanie intymności chorego. Do coraz częściej wykorzystywanych w tym zakresie technik należą systemy kodów kreskowych. Resellerzy i integratorzy mogą zarobić nie tylko na dostawie czytników, lecz także na integracji rozwiązań do ich obsługi z systemem szpitalnym.

Jan Siwek

dyrektor Działu Medycznego, Alstor

Ze względu na wprowadzanie nowych metod oceny stanu zdrowia pacjenta przybywa elementów w infrastrukturze IT w szpitalach, które wymagają rozbudowy lub modernizacji. Lekarze coraz częściej korzystają ze stacji wspomagających ocenę stanu pacjenta. Muszą mieć łatwy dostęp do różnych danych związanych z procesem leczenia. Nie tylko do wyników badań, lecz także do informacji i dokumentacji szpitalnej. Przykładowo w przypadku planowania wszczepienia endoprotezy ważne jest, by wiedzieć, jakie jej typy znajdują się aktualnie w szpitalnym magazynie. Dzięki wykorzystaniu dostępu do bazy danych HIS, RIS można szybko podejmować właściwe decyzje o najefektywniejszym procesie leczenia, a elektroniczne wspomaganie oceny stanu chorego i szybki dostęp do danych podnosi bezpieczeństwo pacjenta.

 

Małymi krokami

Wymagania w zakresie cyberbezpieczeństwa będą rosły równolegle z wprowadzaniem przez placówki ochrony zdrowia elektronicznej dokumentacji medycznej i digitalizacji wyników badań, co odbywa się etapami. Obowiązek wystawiania e-zwolnień lekarskich istnieje od 1 grudnia 2018 r. Od 1 stycznia bieżącego roku wyłącznie w formie elektronicznej muszą być wystawiane trzy kolejne dokumenty: karta informacyjna leczenia szpitalnego, karta odmowy przyjęcia do szpitala oraz informacja specjalisty dla lekarza kierującego. Obowiązek wystawiania recept w formie elektronicznej ma obowiązywać od 1 stycznia 2020 r., natomiast e-skierowania na badania będą wymagane od początku 2021. Pod koniec ubiegłego roku rozpoczął się pilotaż e-skierowania. Centrum Systemów Informacyjnych Ochrony Zdrowia poinformowało, że będzie przeprowadzony w około 200 placówkach.

Prowadzenie dokumentacji medycznej w formie elektronicznej może wciąż stanowić duże wyzwanie dla licznych placówek opieki zdrowotnej. Wiele z nich nie ma bowiem jeszcze wystarczających rozwiązań, oprogramowania bądź zasobów IT. Zgodnie z przepisami tworzenie e-dokumentacji medycznej musi się odbywać z wykorzystaniem standardu HL7 CDA. Trzeba to robić za pomocą właściwego oprogramowania i połączeń do wymiany danych.

Z przeprowadzonego w ubiegłym roku przez CSIOZ trzeciego „Badania stopnia informatyzacji podmiotów wykonujących działalność leczniczą” wynika, że w wielu miejscach brakuje wciąż komputerów, na których można by tworzyć dokumentację medyczną bez oczekiwania aż inny pracownik skończy pracę. Nie we wszystkich placówkach medycznych zapewniony jest również dostęp do komputera w pomieszczeniach, w których używana jest dokumentacja pacjentów.

Niepełna wiedza zarządzających często jest powodem powstawania aż nazbyt oczywistych luk bezpieczeństwa, co może skutkować obniżeniem poziomu zaufania pacjentów – ocenia Kamil Więcek, właściciel dbfr.pl.

Przygotowanie do prowadzenia elektronicznej dokumentacji medycznej deklarowało ok. 56 proc. ankietowanych przez CSIOZ podmiotów medycznych, w tym ponad 66 proc. szpitali i prawie 59 proc. placówek podstawowej opieki zdrowotnej. 47 proc. podmiotów, które nie były jeszcze gotowe, miało w planach albo rozważało inwestycję umożliwiającą prowadzenie EDM.

Wprowadzanie kolejnych składowych systemu elektronicznej dokumentacji medycznej to dobra okazja do rozmawiania ze szpitalami o unowocześnianiu i rozbudowie systemów informatycznych oraz infrastruktury IT. Również pod kątem szeroko pojętego bezpieczeństwa. Związane z tym wdrożenia nie tylko zwiększą ochronę zasobów i informacji, ale także zoptymalizują pracę personelu medycznego. Otwiera się zatem duże pole do popisu dla integratorów i resellerów.

Mogą na przykład zaproponować rozwiązanie odciążające lekarzy specjalistów od uciążliwego i czasochłonnego prowadzenia dokumentacji, chociażby wypełniania kart pooperacyjnych. System z wcześniej przygotowanymi opisami procedur, materiałów oraz zabiegów ułatwiłby i przyspieszyłby ich pracę. W wypełnieniu dokumentów mogłaby pomóc dobrze zorientowana w procedurach operacyjnych sekretarka medyczna lub inna oddelegowana do tego osoba. Gotowy raport dawałaby lekarzowi do sprawdzenia i podpisania. Ewentualnie miałby on tylko uzupełnić niewielką część opisową dotyczącą np. zastosowanych technik zabiegowych. Czas, który by w ten sposób zyskał, mógłby przeznaczyć na dodatkowe zabiegi czy operacje.

Opisane rozwiązanie wymagałoby zapewne rozbudowy systemów HIS. Nie wszystkie jednak są wyposażone w moduły umożliwiające wprowadzanie dodatkowych funkcji. Może zajść konieczność wdrożenia nowych rozwiązań, które zapewniają tworzenie e-dokumentacji z wykorzystaniem standardu HL7 CDA. To kolejna okazja dla integratorów do zwiększenia zakresu działań w placówce ochrony zdrowia.

 

Zdaniem integratora

Kamil Więcek, właściciel dbfr.pl

W Polsce trwa intensywny proces cyfryzacji ochrony zdrowia. W końcu są efekty w postaci projektów: e-zwolnień, e-recept, e-skierowań, Internetowego Konta Pacjenta. Próba ujednolicenia struktury i integracji systemów na wielu płaszczyznach nie może się odbywać bez zapewnienia bezpieczeństwa danych, szczególnie w kontekście RODO oraz ustawy o cyberbezpieczeństwie. Strona publiczna w największych projektach oraz podmioty prywatne wydają się problem dostrzegać. Nie jest to jeszcze wykorzystanie technologii blockchain, co na świecie już często ma miejsce, ale powoli tworzymy hybrydę rozwiązań on-premise z chmurami, także publicznymi. Dla osiągnięcia odpowiedniego poziomu bezpieczeństwa potrzebne jest ujednolicenie danych. Dużą rolę ma tu do spełnienia państwo, które powinno pomóc otworzyć często zbyt hermetyczne systemy z danymi medycznymi.

 

Zdalnie znaczy skutecznie

Bezpieczeństwo funkcjonowania placówki medycznej i skuteczność pomocy choremu może wzrosnąć również dzięki wykorzystaniu rozwiązań z zakresu telemedycyny. Dają one firmom z branży IT szansę wejścia na nowy, dopiero w zasadzie się tworzący, ale perspektywiczny rynek.

W wielu szpitalach brakuje bowiem specjalistów, którzy mogliby zinterpretować wyniki badań lub udzielić konsultacji dotyczącej stanu pacjenta. Brakuje np. radiologów oraz specjalistów od analizy wyników badań udarowych. Wiele placówek może przyjąć pacjenta z udarem mózgu, ale wyniki jego badań musi wysyłać do odczytania do innego ośrodka. W tym przypadku czas reakcji lekarza ma kluczowe znaczenie. Usługa telemedyczna rozwiązuje problem.

Zdalne wsparcie specjalisty zwiększa szansę szybkiego, bezpiecznego zdiagnozowania oraz określenia sposobu leczenia pacjenta – podkreśla Jan Siwek z Alstoru.

Zwraca przy tym uwagę, że coraz częściej najbardziej poszukiwani specjaliści nie pracują w szpitalach ani w przychodniach. Wybierają pracę z domu. Dzięki temu są w stanie obsłużyć większą liczbę placówek i skonsultować większą liczbę przypadków. Mogą podpisać kontrakty z kilkoma ośrodkami jednocześnie.

Do sprawnego wykonywania takiej usługi potrzebują jednak odpowiednich rozwiązań. Zaopatrzenie ich w sprzęt, oprogramowanie i łącza to już zadanie dla firm teleinformatycznych. Zdaniem Jana Siwka liczba klientów potrzebujących takiej obsługi będzie rosła, gdyż placówki ochrony zdrowia coraz częściej i coraz chętniej będą nawiązywały ze specjalistami współpracę na odległość. Tylko w ten sposób bowiem poradzą sobie z deficytem najbardziej poszukiwanych specjalistów. Czynnikiem sprzyjającym takiemu rozwojowi sytuacji będzie z pewnością postępująca digitalizacja badań medycznych.

Świadczący usługi telemedyczne specjalista potrzebuje nie tylko odpowiedniego oprogramowania oraz mocnej, zgodnej z przepisami medycznymi stacji roboczej. Potrzebuje też szybkiego i bezpiecznego łącza. Przekaz musi być szyfrowany, a wysyłane dane pseudonimizowane, by zapewnić zgodność z RODO. Należy je też gdzieś gromadzić, więc potrzebne są i duże zasoby pamięci dyskowej. Chyba że obrazy są udostępniane w chmurze, wtedy na znaczeniu zyskuje bezpieczeństwo dostępu. Funkcjonującą szybko i bezpiecznie infrastrukturą musi dysponować także szpital korzystający z usług telekonsultanta.

Transmisja powinna gwarantować spójność i kompletność przesyłanych informacji. Analizujący wyniki badań specjalista musi mieć pewność, że otrzymał oryginalną i kompletną dokumentację, szpital zaś – że przesłany opis dotyczy konkretnego przypadku i nie został po drodze w żaden sposób zafałszowany. Rozwiązaniem spełniającym wymienione wymagania są systemy automatyzujące przesyłanie danych i monitorujące ich jakość oraz kompletność.

Bezpieczeństwo systemowe

Obowiązująca od połowy ubiegłego roku ustawa o Krajowym Systemie Cyberbezpieczeństwa obejmie swym zasięgiem również wiele placówek ochrony zdrowia. Liczne szpitale i przychodnie ze względu na charakter i skalę oddziaływania społecznego zostaną z pewnością (lub już zostały) uznane za operatorów usług kluczowych. W takim przypadku spoczywa na nich obowiązek stworzenia mechanizmów zarządzania bezpieczeństwem systemów informatycznych wykorzystywanych do świadczenia usług. Ustawa nie precyzuje, jakie konkretnie działania mają być w tym celu podjęte. Decyzja o wyborze konkretnych środków jest w gestii każdego operatora. Prawo wymaga jedynie, aby zastosowane rozwiązania były adekwatne do oszacowanego ryzyka. Decyzję o uznaniu za operatora usług kluczowych podejmuje resort, któremu podlega placówka. Odbywa się to w drodze decyzji administracyjnej wydawanej na podstawie określonych w przepisach kryteriów. Niektóre podmioty już ją otrzymały, inne otrzymają w najbliższym czasie.
Wykaz wszystkich operatorów usług kluczowych jest prowadzony w Ministerstwie Cyfryzacji. Nie będzie upubliczniony, ale nie jest też tajny. To oznacza, że każda firma i instytucja będzie mogła potwierdzić, że została uznana za operatora usług kluczowych. Proces wydawania decyzji o uznaniu za operatora usług kluczowych jest w toku i wiele szpitali zapewne nie wie, że ich również to dotyczy. Integratorzy i resellerzy powinni więc systematycznie pytać interesujące ich placówki medyczne, czy są operatorami usług kluczowych.