Bezpieczniej w gabinetach lekarskich? Nadciąga wielka zmiana dla rynku IT dla medycyny

• Komitet Rady Ministrów ds. Cyfryzacji powołał zespół zadaniowy do spraw wspierania cyfryzacji w ochronie zdrowia. W jego skład wchodzą przedstawiciele resortów cyfryzacji i zdrowia, a także podległych im agend.
• Poznaliśmy pierwsze ustalenia dotyczące priorytetów zespołu. Ma pracować w czterech obszarach m.in. w zakresie udostępniania danych medycznych i cyberbezpieczeństwa w zdrowiu.
• Wiceminister cyfryzacji Dariusz Standerski zapowiada, że zespół ma także opracować standardy i wytyczne dotyczące cyberbezpieczeństwa w ochronie zdrowia.
• Standerski nie wyklucza, że w przyszłości wytyczne zaproponowane przez zespół mogą zostać wpisane do ustaw.

Zespół ds. wspierania cyfryzacji w ochronie zdrowia to odpowiedź na ślimaczące się procesy w Ministerstwie Zdrowia. Po zmianie w kierownictwie resortu cyfryzacja ma być jednak priorytetem, o czym mówił premier Donald Tusk podczas ogłaszania rekonstrukcji rządu.

Sprawa jest tym bardziej pilna, że już do sierpnia 2026 trzeba wydać pieniądze z Krajowego Planu Odbudowy, w ramach którego 4,3 mld zł jest przeznaczone właśnie na transformację cyfrową w ochronie zdrowia (3,1 mld zł to pula dla samych szpitali, 1,2 mld na projekty Centrum e-Zdrowia).

Jak pisaliśmy w ubiegłym tygodniu, na czele zespołu stanął wiceminister cyfryzacji Dariusz Standerski. Do zespołu zaproszono również Agencję Badań Medycznych, Narodowy Fundusz Zdrowia, Centrum e-Zdrowia, a także: Centralny Ośrodek Informatyki, Naukową i Akademicką Sieć Komputerową oraz Instytut Badawczy IDEAS.

- Już od dawna powinniśmy wspólnie wdrażać cyfryzację, przy uwzględnieniu perspektyw, kompetencji i doświadczeń przedstawicieli różnych instytucji państwowych - powiedział nam wiceminister zdrowia dr Tomasz Maciejewski tuż po pierwszym spotkaniu w ministrem Standerskim. - Korzystajmy z doświadczeń innych krajów europejskich np. Francji, która postanowiła cyfryzować całe państwo, a nie tylko jej wybrane fragmenty - dodawał.

Pierwsze spotkanie, cztery priorytety nowego zespołu

We wtorek 23 września odbyło się spotkanie robocze zespołu. Jak się dowiedzieliśmy, ustalono na nim, że zespół będzie pracować w czterech obszarach:

• udostępnienie podstawowych danych medycznych w mObywatelu i ustalenie relacji mObywatela z IKP,
• ustalenie reguł dostępu do danych dla celów badawczo rozwojowych,
• uporządkowanie rejestrów medycznych i procesów,
• standardy i wytyczne cyberbezpieczeństwa w ochronie zdrowia.

Co dokładnie kryje się pod tymi hasłami? Jak mówi w rozmowie z WNP i Rynkiem Zdrowia wiceminister Standerski, rząd chce wprowadzić do aplikacji mobilnej mObywatel kilka podstawowych informacji związanych z obszarem zdrowia, np. wyniki ostatnich badań, czy informacje o dostępnej profilaktyce. W założeniu nie ma jednak dublować Indywidualnego Konta Pacjenta, ale zachęcać do korzystania z tej zdrowotnej aplikacji. To także pomysł na popularyzację IKP, z którego korzystają obecnie 3 mln użytkowników (z mObywatela ponad trzy razy więcej).

W planie przyspieszenie prac nad e-rejestracją do lekarza

Zespół chce również wspierać resort zdrowia w zakresie wdrożenia istotnej unijnej regulacji - Europejskiej Przestrzeni Danych Dotyczących Zdrowia Medycznych (EHDS). Zakłada ona umożliwienie transgranicznej wymiany danych medycznych obywateli UE w celu uzyskiwania świadczeń zdrowotnych poza krajem swojego zamieszkania. Ponadto uwolnienie informacji o zdrowiu na potrzeby prac badawczo-rozwojowych. Formalnie przepisy EHDS obowiązują już od marca 2026 roku, ale pełne wdrożenie spodziewane jest około 2029 roku.

Międzyresortowy zespół zadaniowy ma się zająć także przyspieszeniem prac nad Centralną e-Rejestracją. Do końca roku potrwa pilotaż tego rozwiązania w trzech obszarach (pierwszorazowe wizyty u kardiologa, badania cytologiczne i mammograficzne). Od 2026 roku wszystkie placówki udzielające te świadczenia w ramach umowy z NFZ będą miały pół roku na integrację z systemem. W przeciwnym razie Fundusz nie będzie płacił za wizyty, które nie były zapisane w CeR.

Z czasem obowiązek będzie dotyczył coraz większej liczby świadczeń. Dyrektor departamentu e-Zdrowia Wojciech Demediuk zdradził na niedawnym posiedzeniu Sejmowej Komisji Zdrowia, że już w sierpniu 2026 roku system rezerwacji wizyt może objąć także np. choroby zakaźne, hepatologię, immunologię, endokrynologię, nefrologię, neonatologię czy choroby płuc.

Nowe standardy cyberbezpieczeństwa mają ochronić dane pacjentów

Jednym z wyzwań, które stawia przed sobą zespół jest także kwestia cyberbezpieczeństwa w ochronie zdrowia. Choć od placówek medycznych zależy choćby bezpieczeństwo danych ogromnej liczby pacjentów, do dziś nie ma dla nich jednolitych standardów cyberbezpieczeństwa. To problem dla dyrektorów placówek medycznych, bo często nie mają oni kompetencji do oceny rozwiązań, z których korzystają. Publiczne instytucje nie oferują im zaś wsparcia.

Powołany zespół zadaniowy przygotuje standardy i wytyczne cyberbezpieczeństwa w ochronie zdrowia. Jak zapewnia WNP i Rynek Zdrowia minister Dariusz Standerski, mają one odnosić się również do bezpieczeństwa aplikacji używanych przez placówki medyczne. Początkowo mają to być wytyczne MZ, później jednak mogą trafić na poziom ustawowy.

W grudniu 2024 “Dziennik Gazeta Prawna” opisał, że dane ok. 10 mln pacjentów przez lata były narażone na kradzież z aplikacji używanych przez apteki i lekarzy. Z programów można było w prosty sposób wydobyć dostęp m.in.: do dokumentacji medycznej pacjentów i ich danych osobowych (w tym adresowych i kontaktowych), a także uzyskać uprawnienia do wystawiania refundowanych recept, skierowań czy zwolnień lekarskich. Nieprawidłowości dotyczyły kilkunastu tysięcy przychodni, gabinetów lekarskich, stomatologicznych i aptek.

Na problem zwrócili uwagę anonimowi sygnaliści, a istnienie podatności w aplikacjach udowodnił i szczegółowo opisał Jakub Staśkiewicz, ekspert cyberbezpieczeństwa i autor bloga OpenSecurity.pl. Błąd leżał przede wszystkim po stronie producentów oprogramowania gabinetowego. Dostęp do bazy danych pacjentów odbywał się w ich aplikacjach przy użyciu zakodowanego na stałe hasła, które było zaszyte w kodzie oprogramowania.