Do 1 sierpnia
2014 r. wszystkie podmioty lecznicze będą musiały dysponować rozwiązaniami
informatycznymi, które umożliwią zapis danych medycznych w postaci
elektronicznej. Prawo wymusi również wymianę danych w ramach jednolitej
platformy usług publicznych w zakresie ochrony zdrowia. Nie wszystkie
placówki będą zaczynać od zera. Część, nie czekając na wytyczne Centrum
Systemów Informacyjnych Ochrony Zdrowia dotyczące formatów zapisu
(w lipcu, gdy powstawał tekst, ciągle nie były ogłoszone), już wdrożyła
niezbędne systemy, na razie na własne potrzeby. Dane udostępniane są
w ramach grupy współpracujących ze sobą lokalnie podmiotów. Zwykle
dokumentacja medyczna w postaci elektronicznej funkcjonuje w sposób
nazywany przez niektórych specjalistów wyspowym – większość dokumentów
znajduje się w systemach HIS. Jednak spora część funkcjonuje w ramach
systemów oferowanych na przykład wraz z rozwiązaniami rentgenologicznymi,
do obrazowania medycznego i innymi.

 

Lokalne składowanie drogim wyzwaniem

Zapewnienie
bezpiecznej archiwizacji gromadzonych danych to jedno z wyzwań, przed
którym staną nie tylko kierujący projektami w dużych szpitalach. Będą
musiały sobie z nim poradzić wszystkie bez wyjątku jednostki, również
jednoosobowe prywatne gabinety lekarskie. W przypadku dużych lecznic
możliwe jest, choć niezwykle kosztowne, stworzenie archiwum o wysokim
standardzie zabezpieczeń. Mowa tu nie tylko o niezbędnej infrastrukturze
IT, ale też całodobowym monitoringu, systemach antywłamaniowych, elektronicznym
nadzorze, zabezpieczeniach fizycznych, profesjonalnej obsłudze, polityce bezpieczeństwa
(tę ostatnią zresztą będzie musiał realizować każdy administrator danych
medycznych, a więc także lekarz w małym prywatnym gabinecie).
Wspomnieć należy również o szpitalnych centrach, które wydają zatrudnionym
lekarzom certyfikaty do potwierdzania wpisów w elektronicznej dokumentacji
medycznej – to też niezbędny element bezpieczeństwa, dotyczący zresztą
jednostek każdej wielkości (o tym więcej w ramce poniżej).

Cywilizowany outsourcing

Według Veracompu outsourcing infrastruktury będzie dobrym
rozwiązaniem dla małych podmiotów leczniczych. Dystrybutor mówi
o outsourcingu cywilizowanym, przez co rozumie:

– przejście przez outsourcera procesu certyfikacji ISO 27?000,

– precyzyjną definicję poziomów SLA, gwarantowanych pewnie
karami umownymi,

– wykupienie stosownej polisy OC.

Na wysokość ceny polisy OC przypuszczalnie duży wpływ
będzie miała konkurencyjność oferty outsourcerów. Będzie ona zależała od
oszacowania przez ubezpieczyciela potencjalnego ryzyka usługi oraz doskonałości
operacyjnej w obszarze bezpieczeństwa, niezawodności i HR.

Firmy, które zamierzają świadczyć takie usługi, będą
musiały dokładnie znać model biznesowy placówki i zastanowić się, co ma
być wyróżnikiem ich oferty na tle konkurencji. Czy będzie to cena przy
założonym poziomie SLA? Wówczas wygrywać będą ci, którzy najszybciej osiągną
ekonomię skali, zwłaszcza w segmencie małych NZOZ-ów. A może wyróżnikiem
ma być zdolność do integracji chmury z już istniejącym systemem HIS
szpitala, a potem outsourcing całego rozwiązania? W takim przypadku
wygrywać będą pewnie dotychczasowi dostawcy.

 

Czy każda duża jednostka wybierze choć w przybliżeniu
taką właśnie drogę? Trudno powiedzieć, bo skala przedsięwzięcia jest ogromna.
Trzeba zapanować nad wieloma, często nie do końca uregulowanymi prawem,
szczegółami. Systemy gromadzenia danych medycznych muszą być nowoczesne
i bezpieczne. W razie awarii powinna istnieć możliwość odtworzenia
nie tylko kopii dokumentów, ale i oryginałów. Zasadne jest więc pytanie:
jak poradzą sobie z tym małe placówki?

 

Dane w zewnętrznym archiwum

O potencjalnych problemach związanych z tym tematem
dyskutowali uczestnicy debaty zorganizowanej przez redakcję „Służby Zdrowia”
(relacja w numerze z 11 kwietnia 2013 r.
i w Internecie pod adresem http://nyczaj.blog.onet.pl). Specjaliści
zwrócili uwagę na liczebność małych ośrodków. Szpitali jest w Polsce około
800, a przychodni i małych praktyk lekarskich kilkadziesiąt tysięcy.
Wiele placówek trudno nazwać mocno zinformatyzowanymi – praktyka
większości ograniczała się do rozliczeń z NFZ, prowadzonych często przez
zewnętrzne biura rachunkowe. Teraz doszedł system identyfikacji osób
ubezpieczonych – eWUŚ. To dobre początki, jednak wyzwanie, które wiąże się
z datą 1 sierpnia 2014 r., wymaga dużo większego zaznajomienia
z systemami informatycznymi, jak również pogłębienia świadomości związanej
z ochroną danych medycznych.

Wydaje
się na przykład, że najprostszym i najbardziej
efektywnym rozwiązaniem w zakresie bezpiecznego składowania danych
medycznych dla mniejszych podmiotów leczniczych mogłyby być usługi
outsourcingu. W takim modelu dokumentacja medyczna tworzona byłaby przez
lekarza w trybie on-line. Nie archiwizowałby jej na swoim komputerze, ale
w zewnętrznym archiwum danych, do którego w każdym momencie miałby
dostęp.

 

Z wyspy na ląd

Jaka jest zdaniem przedstawicieli branży IT szansa, że
usługi outsourcingu w zakresie archiwizacji danych medycznych zyskają
przychylność podmiotów leczniczych? Uważają to oni za dobre rozwiązanie nie
tylko dla mniejszych, ale również dużych ośrodków. Wspomniane już HIS-y
zazwyczaj obejmują od 50 do 70 proc. całego procesu leczenia pacjenta
w placówce szpitalnej.




Mariusz Kochański

 

członek zarządu, dyrektor Działu Systemów Sieciowych w Veracompie

Patrząc z perspektywy dystrybutora specjalizującego się
w rozwiązaniach dla służby zdrowia, uważamy, że wprowadzenie systemów
elektronicznej dokumentacji medycznej w placówkach medycznych rozwija
istniejący już segment rynku, w którym nasi partnerzy mają szansę
generowania stabilnych przychodów z outsourcingu. Dotyczy to także
mniejszych firm resellerskich, które obsługują dzisiaj z sukcesem tysiące
NZOZ-ów. Oczywiście pod warunkiem, że będą aktywnie prezentowały swoją ofertę
potencjalnym klientom w zakresie korzyści z outsourcingu
w obszarach bezpieczeństwa, niezawodności oraz zarządzania zmianą.

 

 

Jak podkreśla Adam Pośpiech, dyrektor sprzedaży
technologii dla sektora ochrony zdrowia w Oracle’u, większość dostawców
HIS-ów oferuje moduł Elektroniczne Archiwum. To jednak nie musi oznaczać, że
takie rozwiązanie obejmuje całość dokumentacji medycznej w danej jednostce:
często tylko tę wytwarzaną w systemie HIS. W jednostkach leczniczych
funkcjonują przecież inne, wspomniane już, wyspowe systemy LIS (Laboratory
Information System), RIS (Radiology Information System), PACS (Picture
Archiving and Communication System). A, uciekając się do metafory, chodzi
o to, aby te wyspy danych połączyć w jeden, bezpieczny ląd.

 

Lekarz archiwista?

Do kluczowych spraw w świetle nowych przepisów
dotyczących digitalizacji danych medycznych należy też kwestia tego, czy autor
rozwiązania zaprojektował archiwum głębokiego składowania (wymagane prawem
okresy to 20 – 30 lat). Poza tym warto podkreślić konieczność
implementacji mechanizmów pełnej ochrony poufności danych i ich
skutecznego niszczenia.

Wiarygodność elektronicznej dokumentacji medycznej – podpis elektroniczny?

Zdaniem Comarchu

Wdrażanie systemu z podpisem elektronicznym nie
znajduje uzasadnienia ekonomicznego. Technologie informatyczne zapewniają
równie skuteczne, jak ustawowy podpis elektroniczny, sposoby autentykacji
i identyfikacji, zdecydowanie tańsze we wdrożeniu i eksploatacji.
Racjonalnym wydaje się wprowadzenie systemu, który spełnia wymagania prawne,
z ewentualną możliwością przejścia w przyszłości na nowe rozwiązanie
podpisu elektronicznego. Być może – jak było w projekcie nowego
dowodu osobistego – obywatele zostaną wyposażeni w uznawany
publicznie podpis elektroniczny, który będzie można zastosować także do celów
dokumentacji medycznej. W dzisiejszej sytuacji prawno-technologicznej
rozsądne wydaje się skorzystanie z rozwiązań innych niż podpis elektroniczny.

 

Zdaniem Oracle’a

Elektroniczny podpis
stanowi naturalny mechanizm autoryzacji i zatwierdzania dokumentacji
medycznej. Login i hasło przestało być bezpieczne wiele lat temu.
Aktualnie prawnicy spierają się, czy w myśl ustawy o ochronie danych
osobowych login i hasło można jeszcze w ogóle uznać za rzeczywiste
zabezpieczenie danych. Inną kwestią jest bardzo restrykcyjna polska definicja,
która za pełnoprawny uznaje jedynie Kwalifikowany Podpis Elektroniczny.
Z technicznego punktu widzenia dopuszczalny byłby np. scenariusz,
w którym, dajmy na to, izby lekarskie dysponują odpowiednią infrastrukturą
PKI i generują bezpłatne klucze dla swoich członków. Tak podpisana
i dodatkowo datowana w oparciu o Hardware Security Module
dokumentacja jest nieporównywalnie bardziej odporna na wszelkie manipulacje
aniżeli tradycyjna papierowa.

 


Niestety, większość decydentów jednostek ochrony zdrowia albo nie zdaje sobie
sprawy z powyższych aspektów, albo woli nie zadawać tak trudnych pytań
– mówi Adam Pośpiech.

Jednak
konieczność wywiązywania się z ustawowych obowiązków dotyczących
całkowitej digitalizacji danych medycznych spowoduje, że ucieczka od trudnych
pytań stanie się niemożliwa. Zmiana systemu będzie oznaczała podwyższenie
wymagań dotyczących bezpieczeństwa i niezawodności systemów IT.


Zarówno na właścicielach NZOZ-ów, jak i dyrektorach wielkich szpitali
uniwersyteckich wymusi to podjęcie decyzji, czy sami inwestują
w technologie i kadry związane z zabezpieczeniami, czy też
zlecają to outsourcerowi, który z racji ekonomii i skali może to
zrobić szybciej i lepiej
– mówi Mariusz Kochański, członek zarządu, dyrektor Działu
Systemów Sieciowych w Veracompie.

Zdaniem Norberta Stachury, adwokata, specjalisty
w zakresie zagadnień prawnych informatyzacji administracji publicznej
w Comarchu, outsourcing może być racjonalnym rozwiązaniem dla podmiotów
leczniczych, szczególnie małych, głównie ze względu na konieczność spełnienia
wysokich wymagań w zakresie bezpieczeństwa danych
i interoperacyjności.




Adam Pośpiech

 

dyrektor sprzedaży technologii dla sektora ochrony zdrowia w Oracle’u

Konieczność archiwizacji
zdigitalizowanej dokumentacji medycznej powinna przyczynić się do powstania
bardzo ciekawej oferty. Zarówno w przypadku kluczowych graczy na tym
rynku, którzy oferują rozwiązania np. klasy HIS, jak i firm posiadających
odpowiednie zaplecze technologiczne czy doświadczenie pochodzące np.
z rynku administracji rządowej bądź samorządowej. Aktualnie Oracle
prowadzi szereg rozmów z firmami z branży IT oraz nowymi graczami,
którzy są zainteresowani wykorzystaniem naszych rozwiązań i doświadczenia,
jakie zdobyliśmy, działając na rynkach innych państw. Bardzo istotne
w takich rozwiązaniach jest odpowiednie zaprojektowanie całej
infrastruktury. Biorąc pod uwagę, że okres przechowywania danych medycznych ma
sięgać nawet 30 lat, kluczowe jest wybranie sprawdzonej technologii, zarówno w warstwie
hardware, jak i software.




Kajetan Wojsyk

 

zastępca dyrektora ds. europejskich w Centrum Systemów
Informacyjnych Ochrony Zdrowia

Lekarze
w prywatnych gabinetach nie będą w stanie we własnym zakresie
przechowywać i zabezpieczać na wymaganym poziomie elektronicznej
dokumentacji medycznej. Chociaż będą ją mogli tworzyć u siebie za pomocą
odpowiedniego oprogramowania, to jednak składować powinni na zewnętrznych
serwerach centrów danych specjalnie dostosowanych do tej roli. Tam, gdzie
dokumenty na pewno nie zginą. Trzeba brać pod uwagę fakt, że dokumentacja
medyczna w postaci cyfrowej ma być zabezpieczana przez co najmniej 20 lat.
A outsourcing w istocie dotyczy zapewnienia bezpiecznego
i długotrwałego przechowywania danych – i to w sposób,
który umożliwia, przy zmianie technologii, migrację zasobów na inne nośniki
i ich bezproblemowe odczytanie, nawet po upływie kilkudziesięciu lat.

 

– Wchodzi tu w grę chociażby zakup odpowiedniego
sprzętu i oprogramowania, który w przypadku małych i średnich
placówek będzie się wiązał z wysokimi wydatkami na starcie (na przykład na
odpowiednio wyposażony serwer) oraz koniecznością utrzymania poziomu obsługi
i serwisu
(na przykład przez wykupienie odpowiednich
usług serwisowych – przyp. red.), przy uwzględnieniu, że są to dane
zaliczane do grupy poufnych
– mówi przedstawiciel Comarchu.

Nie dość, że wszystko to jest po prostu drogie, pozostaje
jeszcze konieczność nadzorowania działań serwisu i bycia na bieżąco ze
zmianami prawnymi. Dlatego szansa na to, że przychodnie i małe praktyki
lekarskie, które mają zajmować się leczeniem, a nie profesjonalnym
składowaniem poufnych danych, będą korzystać z usług archiwizowania
w chmurze, jest spora.

Z drugiej strony środowisko specjalistów związanych
z rynkiem medycznym, jak i osoby z rynku IT wspominają
o nieufności lekarzy do modelu chmurowego. Większości z nich, jak
mówiono podczas wspomnianej debaty „Służby Zdrowia” – na co również
zwracają uwagę rozmówcy CRN-a – trudno sobie wyobrazić sytuację,
w której dokumentacja medyczna nie jest archiwizowana na komputerze
znajdującym się w placówce opieki zdrowotnej. Istnieje silna obawa przed
ewentualnym wyciekiem danych medycznych z zewnętrznego archiwum. Sytuacji
nie ułatwiają przepisy: brakuje jednoznacznych uregulowań dotyczących
możliwości korzystania z usług chmurowych w przypadku składowania
danych poufnych (choć zniesiono przepisy zabraniające przechowywania
dokumentacji medycznej poza obrębem placówki opieki zdrowotnej).

 

Teoria praktyki

Jak w praktyce mogłaby wyglądać współpraca
mniejszych ośrodków z zewnętrznymi centrami składowania danych?
Przedstawiciel Oracle’a uważa, że optymalny jest model hybrydowy, w którym
dane medyczne zapisywane są w lokalnych systemach IT jednostki ochrony zdrowia,
a następnie archiwizowane w specjalizowanych data center.


Model chmurowy wydaje się atrakcyjny zwłaszcza dla bardzo małych jednostek, na
przykład praktyki dentystycznej
– mówi Adam Pośpiech. – Ale wymaga dostępu do bardzo dobrej
jakości łączy internetowych. Będzie więc możliwy do zastosowania raczej
w placówkach znajdujących się na terenach zurbanizowanych.

Na jakość łączy zwraca także uwagę przedstawiciel
Veracompu. Jego zdaniem – przy założeniu, że dane będą gromadzone
w modelu chmury – każda placówka powinna dysponować bezpiecznymi,
zaufanymi terminalami do obsługi systemu. Powinny być wyposażone
w czytniki kart oraz mieć redundantny dostęp do łączy WAN dwóch operatorów
przez modem DSL, a do tego zapasowe łącze 3G (więcej na ten temat
w ramce powyżej).




Edward Stachura

 

adwokat, specjalista w zakresie zagadnień prawnych
informatyzacji administracji publicznej, Comarch

Skorzystanie
z outsourcingu zapewnia utrzymanie wymaganych prawem standardów, fachową
obsługę i serwis, a także eliminuje konieczność nadzoru nad sprzętem.
Umożliwia uniknięcie dużych kosztów początkowych wdrożenia elektronicznej
dokumentacji medycznej, choćby związanych ze sprzętem (serwery) czy licencjami
bazodanowymi. Należy zwrócić także uwagę, że zwykle w trakcie wdrażania
zupełnie nowych rozwiązań prawnych podlegają one licznym zmianom
i nowelizacjom, co może także wynikać z rozwoju technologii.
W takim przypadku skorzystanie z outsourcingu pozwoli na proste
i efektywne pod względem kosztów zapewnienie kompleksowej obsługi
technicznej wdrożenia rozwiązania koniecznego do zmiany formy dokumentacji
medycznej na elektroniczną.

 

Niezależnie
od kwestii technologicznych firmy IT muszą zwrócić ogromną uwagę na regulacje
prawne i normatywne. Norbert Stachura z Comarchu przestrzega, że ze
względu na wagę i poufność danych medycznych konsekwencje jakiegokolwiek
błędu czy naruszenia przepisów mogą być katastrofalne w skutkach.

 

Z ostatniej chwili

W
połowie sierpnia Helimed Diagnostic Imaging poinformował, że przy współpracy
z Grupą 3 S ulokował dane ponad miliona pacjentów w zewnętrznym
centrum przetwarzania danych 3 S w Katowicach. Operacja odbyła się
w ramach usługi 3 S Private Cloud.

W
chmurze zgromadzone zostały informacje ze wszystkich 11 ośrodków Helimedu
w woj. śląskim i opolskim, w tym z 10 centrów
diagnostycznych oraz Centrum Urologii Helimed, między innymi elektroniczne
wersje zdjęć RTG oraz tomografii komputerowej, rezonansu magnetycznego, jak
również rozpoznania i wyniki badań.

Zdaniem
przedstawicieli placówki nowe rozwiązanie usprawnia pracę całego Helimedu.
Rocznie przedsiębiorstwo diagnostyczne wykonuje się ponad 100 tys. badań
tomografii komputerowej, rezonansu magnetycznego oraz RTG i USG. Dla 11
ośrodków rozsianych po woj. śląskim i opolskim oznacza to ogromne ilości
dokumentacji medycznej.

Jak zapewniają specjaliści IT z Helimedu, znajdujące
się w chmurze dane pacjentów są bezpieczne. Z każdego ośrodka
wysyłane są one za pomocą bezpiecznego, szyfrowanego, szybkiego połączenia VPN
na serwery zlokalizowane w 3 S Data Center. Tam przechowywane są
w formie zaszyfrowanej za pomocą zaawansowanych technik kryptograficznych.
Dostęp do nich mają wyłącznie upoważnieni do tego przedstawiciele Helimedu,
a w przyszłości także pacjenci, którzy po zalogowaniu się uzyskają
wgląd w swoje dane medyczne.

Zdaniem integratora

Paweł Witkiewicz, prezes SI Alma, Grupa Kapitałowa CUBE.ITG

Nie sądzę, aby nowe realia rynkowe i zmiany
w sektorze zdrowia spowodowały masową rozbudowę ofert producentów
i usługodawców IT z uwzględnieniem outsourcingu dla placówek
medycznych. Nawet jeśli coraz częściej zaczną pojawiać się takie usługi, to
raczej dopiero w momencie wyklarowania się sytuacji rynkowej. Niezależnie
od tego, czy jest to outsourcing czy sprzedaż gotowych rozwiązań, branża
medyczna stanowi jeden z bardziej wymagających obszarów gospodarki pod
względem prawnym, który dynamicznie się zmienia. Te dwa czynniki
– formalizacja i pojawianie się nowych regulacji, które mają istotny
wpływ na środowisko informatyczne – są sporym utrudnieniem dla firm
informatycznych. Z problemami spotykamy się już na etapie produkcji
rozwiązania. To, z czym musimy się zmierzyć na początku, czyli szereg
ustaw i rozporządzeń, zwykle znacznie odbiega od tego, z czym mamy do
czynienia pod koniec procesów produkcyjnych. W efekcie aplikacja czy
usługa wymaga ciągłego wprowadzania zmian i stale ewoluuje. Niestety,
rynek ochrony zdrowia jest obszarem najbardziej regulowanym prawnie
w naszym kraju i taka sytuacja jest pewnego rodzaju standardem
branżowym.