Informatyzacja w placówkach medycznych to nie tylko konieczność, ale także szansa na wprowadzanie wciąż nowych rozwiązań technologicznych, które wspierają diagnostykę i leczenie pacjentów. Czy – Pana zdaniem – możemy, jako kraj, mówić o sukcesie? Chodzi o poziom wdrożenia i systemów IT w placówkach medycznych.
Z jednej strony sukces istotnie jest, bo w stosunkowo krótkim czasie, chodzi oczywiście o pandemię – udało się wdrożyć wiele nowoczesnych rozwiązań informatycznych w placówkach ochrony zdrowia, co przekłada się na rozwój branży medycznej i poprawę jakości usług medycznych dla pacjentów. Z drugiej strony jednak zauważalny jest brak koniecznych inwestycji w sprzęt, niezbędnych do zapewnienia optymalnego poziomu zabezpieczenia danych medycznych, co jest charakterystyczne przede wszystkim dla szpitali powiatowych. Wynika to z faktu braku odpowiedniego finansowania, ale też zrozumienia przez dyrekcje szpitali powiatowych znaczenia inwestycji w infrastrukturę informatyczną oraz konieczności zapewnienia wsparcia serwisowego w obecnych, szybko zmieniających się realiach.
Wróćmy jednak do sukcesów – do takich należy na pewno wdrożenie systemów e-recepty oraz e-skierowania. Poza tym rewelacyjnie udało się wprowadzić rozwiązanie gabinet.gov.pl, co jest znakomitym wsparciem dla lekarzy POZ. Warto tutaj podkreślić wsparcie na poziomie krajowym, ze strony instytucji odpowiedzialnych za wdrażanie tych systemów. Praca zespołowa, uwzględniająca przedstawicieli jednostek zajmujących się wprowadzaniem poszczególnych elementów e-zdrowia, kadrę zarządzającą placówek medycznych i tzw. użytkowników końcowych, czyli personel medyczny i administracyjny, przyniosła naprawdę spektakularne efekty.
Cyfrowe zarządzanie danymi związane jest jednak nie tylko z samymi szansami i sukcesami, lecz także z zagrożeniami. Cyberprzestępcy, wraz z wprowadzaniem nowych metod e-zarządzania w ochronie zdrowia, wymyślają kolejne narzędzia, których zadaniem jest kradzież danych i późniejsze próby wyłudzania określonych pieniędzy za dostęp do informacji wrażliwych. Jak zminimalizować ryzyko kradzieży danych w placówkach medycznych?
Przede wszystkim konieczne są inwestycje w sprzęt i oprogramowanie. W ubiegłym roku w ramach konkursu NFZ placówki medyczne mogły pozyskać środki na zapewnienie cyberbezpieczeństwa. Przykładowo Szpital Wolski pozyskał na ten cel 400 tys. zł. Warty podkreślenia jest fakt, że instytucje związane z systemem ochrony zdrowia dostrzegają konieczność wsparcia placówek medycznych w tym zakresie.
Zarządzający szpitalami, przede wszystkim publicznymi, często nie dostrzegają konieczności inwestowania we wsparcie zakupionego systemu informatycznego. Tłumaczą przy tym, że przykładowo serwery, mające dziesięć lat, nadal działają, więc np. ich wymiana lub serwis nie są w danej chwili konieczne. Problem powstaje, gdy serwer przestaje działać, a dane zostaną przechwycone przez hakerów.
Zminimalizowanie ryzyka kradzieży danych wrażliwych to przede wszystkim korzystanie z serwisowania, które oferują wyspecjalizowane firmy zewnętrzne, i zatrudnianie specjalistów, którzy na bieżąco śledzą ryzyka w tej szybko rozwijającej się, ale jednocześnie niosącej wiele wyzwań dziedzinie. Możliwe jest jednak także – co jest finansowo bardziej efektywne – zlecanie zadań wynikających z zapewnienia bezpieczeństwa danych ekspertom z firm zewnętrznych. Finansowo jest to korzystne, bo zgodnie z rozporządzeniem Rady Ministrów z 19 stycznia 2022 r. w sprawie wysokości świadczenia teleinformatycznego dla osób realizujących zadania z zakresu cyberbezpieczeństwa stawki dla pracowników są wyjątkowo korzystne, co oznacza wysokie koszty dla zarządzających.
Wskazówki dla menedżera placówki medycznej
- Informatyzacja placówek medycznych to nie tylko konieczność, lecz również szansa na wprowadzenie nowych rozwiązań technologicznych wspierających diagnostykę i leczenie pacjentów.
- Wdrożenie nowoczesnych rozwiązań informatycznych w placówkach ochrony zdrowia w czasie pandemii przyczyniło się do rozwoju branży medycznej i poprawy jakości usług medycznych dla pacjentów.
- Wartościowymi sukcesami są wprowadzenie systemów e-recepty, e-skierowania i rozwiązania gabinet.gov.pl, które wspierają pracę lekarzy.
- Zagrożeniem dla placówek medycznych jest kradzież danych przez cyberprzestępców. Konieczne są inwestycje w sprzęt i oprogramowanie oraz korzystanie z usług wyspecjalizowanych firm zewnętrznych w zakresie cyberbezpieczeństwa.
- Inwestowanie w szkolenia i warsztaty dla personelu medycznego i administracyjnego jest niezbędne, aby zapewnić skuteczne stosowanie procedur bezpieczeństwa danych.
- Udział w projektach UE związanych z informatyzacją pozwala na pozyskanie nowej wiedzy i doświadczeń, które mogą przekładać się na wdrożenie innowacyjnych metod ochrony danych w placówkach medycznych.
- Korzystanie z rozwiązań open source w placówkach medycznych przynosi korzyści, takie jak wykorzystanie bezpłatnych narzędzi do zabezpieczenia zasobów przy ograniczonych środkach finansowych.
- Przyszłość cyberbezpieczeństwa w placówkach medycznych będzie dynamiczna, zwiększenie incydentów związanych z bezpieczeństwem jest nieuniknione. Konieczne jest pozyskiwanie środków na cyberbezpieczeństwo ze źródeł krajowych i utrzymanie czujności.
Najsłabszym ogniwem w ochronie danych cyfrowych mogą być pracownicy szpitali czy przychodni. Dlaczego warto inwestować w szkolenia i warsztaty dla administracji i personelu medycznego?
Jest to konieczność, bo systemy bezpieczeństwa mają wspierać pracę specjalistów, zarówno od strony medycznej, jak i administracyjnej. Chociaż szpitale mają wymagane przepisami procedury, zdarza się często, że efektywność zastosowania przepisów jest niewielka. Dlatego szkolenia i warsztaty są niezbędne i potrzebne, jednak w odpowiedniej, dostosowanej do danego zespołu pracowników, formie. Na przykład w Szpitalu Wolskim mamy platformę e-learningową, na której dostępne są szkolenia dla pracowników. Przeprowadza się je w zależności od zapotrzebowania, jednak minimum cztery razy w roku. E-szkolenia poprzedzają stosowne pisma od dyrekcji, a każdy pracownik, uczestniczący w kursie, ma potwierdzić pisemnie zapoznanie się z obowiązującymi zmianami w zakresie bezpieczeństwa danych informatycznych. Jeżeli jednak – mimo przeprowadzonych szkoleń e-learningowych, zaobserwujemy, jako Dział Informatyki, brak stosowania przepisów, decydujemy o spotkaniach stacjonarnych z wybranymi pracownikami po to, by uwrażliwić ich na problem i potencjalne konsekwencje braku stosowania określonych procedur.
Ma Pan bogate doświadczenie w zakresie realizacji projektów UE związanych z informatyzacją. Jak udział w takich aktywnościach przekłada się na konkretne efekty, np. w postaci wdrażania innowacyjnych metod ochrony danych w placówce medycznej?
Przede wszystkim chciałbym podkreślić, że w większości projektów ze źródeł UE tematyka cyberbezpieczeństwa nie jest rezultatem przedsięwzięcia, jednak może stanowić jedno z działań, wspierających osiągnięcie celu projektu. Co do udziału w takich aktywnościach, zdecydowanie to dobry sposób na pozyskanie najnowszej wiedzy i doświadczeń od partnerów projektów UE, z którymi realizowane są przedsięwzięcia inwestycyjne czy np. szkoleniowe.
Czy są w Polsce inne placówki medyczne, poza Szpitalem Wolskim, które tak dobrze radzą sobie nie tylko z zarządzaniem danymi wrażliwymi, ale również pozyskując unikalną wiedzę z realizacji projektów UE?
Tak, nie sposób wymienić tutaj wszystkie lub większość, ale skoncentruję się na dwóch przykładach, oprócz Szpitala Wolskiego. Są to Szpital Bielański oraz Centrum Medyczne Radzymin im. Bitwy Warszawskiej. Placówki te mają bogate doświadczenie projektowe pod kątem pozyskiwania środków na sprzęt IT oraz nowoczesną infrastrukturę. Nie zapominają również o ochronie danych. Przy okazji warto pamiętać, że nie wszystkie składane aplikacje kończą się sukcesem w postaci pozyskania środków i realizacji projektów. Zdarza się, że na kilkanaście lub nawet kilkadziesiąt złożonych wniosków pozytywna decyzja o finansowaniu dotyczy jedynie kilku aplikacji. Jednak warto próbować i być aktywnym, bo na działalność w zakresie IT, w tym zapewnienie bezpieczeństwa sieci i danych, środków finansowych nigdy nie będzie za wiele.
Jest Pan entuzjastą rozwiązań z zakresu open source. Jakie są korzyści z wprowadzania systemów i aplikacji OS w placówkach medycznych?
Przede wszystkim jest to możliwość wykorzystania istniejących bezpłatnych narzędzi do efektywnego zabezpieczenia istniejących zasobów. W sytuacji ograniczonych środków finansowych powinno być to istotne podejście w każdej placówce medycznej. Jedynym kosztem, z którym wiąże się korzystanie z OS, jest czas. Potrzebny jest on bowiem na konfiguracje pod kątem własnych potrzeb, takich jak np. narzędzia do skanowania podatności systemów i urządzeń.
KRZYSZTOF SZMIGIELSKI
Specjalista baz danych, od ponad 20 lat związany z informatyzacją jednostek ochrony zdrowia. Od 2008 roku kierownik Działu Informatyki w Szpitalu Wolskim w Warszawie. Brał udział we wdrażaniu 4 projektów unijnych związanych z informatyzacją szpitala. W swojej karierze zajmował się wdrażaniem i utrzymaniem systemów medycznych w szpitalach w całej Polsce. Wykładowca akademicki i prodziekan ds. studenckich Wydziału Informatyki Europejskiej Uczelni w Warszawie. Entuzjasta rozwiązań Open Source.
Autor: Magdalena Pokrzycka-Walczak
/WiedzaiPraktyka
/wip