Rejestracje w podmiotach zdrowia toną w pracy administracyjnej i telefonach od pacjentów. Tymczasem wiele spraw pacjenci mogliby załatwić samodzielnie przez internet. Nowy Portal Pacjenta stworzony przez KAMSOFT ma zmniejszyć obciążenia organizacyjne, przenosząc proste czynności związane z obsługą pacjentów do kanału online i umożliwiając wygodną interakcję z podmiotem zdrowia. Obecnie trwają testy rozwiązania.

Łatwiejszy i szybszy kontakt pacjenta z placówką

Portal Pacjenta umożliwia intuicyjne korzystanie z usług medycznych bez konieczności kontaktu telefonicznego czy osobistej wizyty w przychodni. Dzięki Portalowi Pacjenta pacjent może samodzielnie:

• umówić lub odwołać wizytę u lekarza. System prezentuje dostępne terminy zgodnie z aktualnym grafikiem placówki;
• zamówić receptę na leki na kontynuację leczenia, stosowane w chorobach przewlekłych. Pacjent składa wniosek online; lekarz go akceptuje bez udziału rejestracji i bez konieczności wizyty stacjonarnej;
• sprawdzić wyniki badań. Wyniki publikują się automatycznie po ich zatwierdzeniu w placówce;
• uzyskać dostęp do historii wizyt i dokumentacji medycznej. Wszystkie informacje są dostępne w jednym miejscu, bez potrzeby dzwonienia z pytaniami.

Odciążenie personelu i oszczędność czasu

Wdrożenie Portalu Pacjenta to nie tylko korzyści dla pacjentów, ale także dla placówek zdrowia. Wśród nich są m.in.:

• mniejsza liczba połączeń telefonicznych dotyczących zapisów czy przepisania recept,
• mniej wizyt „po receptę”, które generowały kolejki i zajmowały czas lekarzom,
• mniejsza liczba tzw. no‑shows, czyli wizyt niezrealizowanych z powodu niestawienia się pacjenta, dzięki automatycznym powiadomieniom oraz możliwości łatwego odwołania terminu jednym kliknięciem.

Przeniesienie części procesów na pacjenta i umożliwienie mu wygodnej samoobsługi odciążają personel placówki z trzech najczęściej powtarzających się czynności: rejestracji wizyt, obsługi wizyt „po receptę” oraz udzielania podstawowych informacji, np. o wynikach badań.

– Dla coraz większej grupy pacjentów cyfrowe kanały obsługi są standardem, a nie dodatkiem. Nowy Portal Pacjenta odpowiada na te oczekiwania, jednocześnie realnie odciążając personel. To narzędzie, które pozwala placówkom budować nowoczesną, zorientowaną na pacjenta obsługę – mówi Tomasz Latko, Dyrektor Techniczny Wydziału Rozwoju KAMSOFT S.A.

Portal Pacjenta buduje pozytywny wizerunek placówki

Cyfryzacja w ochronie zdrowia to, oprócz usprawnienia pracy, także ważny element przewagi konkurencyjnej. Placówki oferujące pacjentom nowoczesne narzędzia online są postrzegane jako lepiej zorganizowane, dostępne i dbające o czas i wygodę swoich pacjentów.

Dzięki Portalowi Pacjenta pacjenci mają łatwy dostęp do swoich danych medycznych – wizyt, recept, wyników badań i zaleceń – zgromadzonych w jednym miejscu. To buduje poczucie bezpieczeństwa, większą kontrolę nad procesem leczenia i wrażenie indywidualnej troski. W efekcie pacjenci czują się lepiej „zaopiekowani”, co przekłada się na większe zaangażowanie i lojalność wobec placówki.

Opracowując nową wersję Portalu Pacjenta, postawiono na przejrzystość, nowoczesność oraz możliwość dopasowania narzędzia do specyfiki konkretnej placówki. Wśród nowych funkcjonalności i cech znajdują się:

• odświeżona, intuicyjna szata graficzna,
• rozszerzone możliwości konfiguracji – moduły i usługi można dostosować do oferty placówki (np. opcja sprzedaży usług komplementarnych),
• personalizacja elementów wizualnych,
• większy nacisk na ergonomię i łatwość obsługi zarówno dla pacjenta, jak i administratorów (proste i szybkie wdrożenie rozwiązania).

Trwa pilotaż, wkrótce premiera

Wybrane placówki testują nowe funkcje Portalu Pacjenta, a ich opinie pomogą dopracować narzędzie przed szerszym wdrożeniem. To ważny etap, który pozwala rozwijać Portal w oparciu o realne potrzeby użytkowników oraz codzienne doświadczenia pracy personelu i pacjentów.

Portal Pacjenta będzie dostępny jako moduł dla placówek korzystających z systemów KAMSOFT, a jego uruchomienie po stronie podmiotu medycznego nie będzie wymagało dodatkowych nakładów pracy ani czasochłonnych zmian organizacyjnych.

Portal Pacjenta jest kolejnym elementem ekosystemu OSOZ, którego centrum stanowi pacjent. Rozwiązanie uzupełnia znaną i cenioną przez pacjentów aplikację mobilną VisiMed, dzięki której pacjenci mogą załatwiać sprawy zdrowotne również z poziomu smartfona. VisiMed tym głównie różni się od Portalu Pacjenta, że daje dostęp do wielu placówek jednocześnie, zaś Portal Pacjenta pozwala na uzyskanie danych medycznych, które nie są w tak szerokim zakresie możliwe do udostępnienia w VisiMed. Obie aplikacje tworzą spójny duet i uzupełniają się nawzajem. Zarówno w Portalu Pacjenta, jak i aplikacji VisiMed, dostęp 24/7 sprawia, że pacjent załatwia swoje sprawy wtedy, kiedy najbardziej mu wygodnie, bez ograniczeń czasowych, czekania w kolejkach czy konieczności kontaktu z rejestracją.

Czytaj także: Nowy system KAMSOFT-u do koordynacji opieki nad pacjentem

Szpitale realizujące projekty e-zdrowia finansowane z Krajowego Planu Odbudowy dostały więcej czasu – dowiedzieliśmy się podczas Forum Wyzwań Zdrowotnych. Ministerstwo Zdrowia zdecydowało o możliwości przesunięcia terminu ukończenia wdrożeń do 15 lipca 2026 r. Warunkiem jest przygotowanie aneksu do umowy.

Trwa wyścig z czasem, aby nie stracić 3 mld zł na cyfryzację szpitali

Program cyfryzacji szpitali realizowany w ramach Krajowego Planu Odbudowy obejmuje 371 placówek medycznych w całej Polsce. Łączna wartość inwestycji wynosi ok. 3,1 mld zł. Środki mają zostać przeznaczone m.in. na modernizację infrastruktury IT, rozwój systemów informatycznych, poprawę cyberbezpieczeństwa oraz wdrażanie nowych narzędzi AI jak Platforma Usług Inteligentnych.

Jak podkreślają przedstawiciele resortu zdrowia, skala inwestycji jest bezprecedensowa.

– To ogromna kumulacja środków w czasie, ale jednocześnie unikalna szansa na wzmocnienie cyfryzacji w całym systemie ochrony zdrowia – mówiła podczas debaty Karolina Tądel, zastępczyni dyrektora Departamentu e-Zdrowia w Ministerstwie Zdrowia.

Decyzja o przesunięciu terminu, która zapadła 11 marca br., wynika przede wszystkim z napiętego harmonogramu realizacji inwestycji. Wiele szpitali ogłaszało przetargi dopiero pod koniec ubiegłego roku, gdy podpisywane były umowy o dofinansowanie. W efekcie znacząca część wdrożeń rozpoczęła się dopiero w pierwszych miesiącach 2026 r., a muszą zostać zamknięte do końca maja. W wielu przypadkach termin jest nierealny. Do tego w tym samym czasie realizowane są inne duże projekty jak m.in. Centralna e-Rejestracja. Wiele placówek alarmowało, że będzie miało problem z dotrzymaniem terminów.

1,5 miesiąca więcej, konieczny aneks do umowy

Możliwość wydłużenia terminu realizacji inwestycji nie oznacza automatycznego przesunięcia harmonogramu dla wszystkich placówek. Szpitale, które chcą skorzystać z dodatkowego czasu, muszą podpisać z Ministerstwem Zdrowia aneks do umowy o dofinansowanie. Warunkiem jest przedstawienie uzasadnienia wskazującego, że wydłużenie terminu jest konieczne do osiągnięcia celów projektu zapisanych w harmonogramie inwestycji.

Resort zdrowia podkreśla jednak, że jego intencją jest wsparcie placówek w zakończeniu projektów i maksymalne wykorzystanie dostępnych środków.

– Naszym celem jest umożliwienie szpitalom realizacji inwestycji i wykorzystanie dostępnych funduszy. Chcemy stworzyć takie warunki, aby placówki mogły zakończyć projekty w sposób bezpieczny i zgodny z założeniami – wskazywała Karolina Tądel. Przedłużenie terminu to też próba ratowania środków z Krajowego Planu Odbudowy.

Czytaj także: Nowa ustawa wprowadzi 8 kolejnych narzędzi e-zdrowia

W 2025 roku UODO nałożył rekordowe kary za naruszenie ochrony danych osobowych, a ich wysokość była prawie 5-krotnie wyższa niż w 2024 roku i przekroczyła 64 mln zł. Wśród nich była też grzywna dla podmiotu medycznego w kwocie 1,1 mln zł. Paradoksalnie, większości z nich można było uniknąć.

• W 2025 r. kary UODO za naruszenia RODO wzrosły prawie 5-krotnie i przekroczyły 64 mln zł.
• Najczęstszym powodem kar jest brak zgłoszenia naruszenia danych osobowych w ciągu 72 godzin oraz niepowiadomienie poszkodowanych osób.
• UODO często nakłada grzywny także za niewystarczające zabezpieczenia danych, np. brak szyfrowania, testów bezpieczeństwa i kopii zapasowych.
• Ryzyko kary zwiększa brak współpracy z UODO, nieprawidłowe wyznaczenie Inspektora Ochrony Danych oraz nielegalne przekazywanie danych poza EOG.
• W sektorze zdrowia zdarzały się kary w kwocie powyżej 1 mln zł, dlatego kluczowe jest wdrożenie procedur bezpieczeństwa i ochrony danych pacjentów.

Nie jest tajemnicą, za co można dostać karę od UODO, bo wszystkie sprawy podawane są do opinii publicznej na stronie www organu nadzorczego. Najważniejszy wniosek jest taki, że jeszcze nigdy UODO nie nałożył grzywny za to, że hakerzy wykradli dane – to może zdarzyć się każdej firmie posiadającej nawet najlepsze zabezpieczenia. Po kary sięga się wtedy, gdy uchybienia są rażące albo gdy podmiot odmawia współpracy lub utrudnia wyjaśnienie sprawy.

– Kary Prezesa UODO często mają związek z naruszeniami ochrony danych osobowych, ale są nakładane nie za to, że doszło do konkretnego incydentu, ale za nieprzestrzeganie przepisów o ochronie danych osobowych – mówi w rozmowie z OSOZ Mirosław Wróblewski, Prezes UODO.

Przeanalizowaliśmy wszystkie administracyjne kary pieniężne nałożone w ostatnich 5 latach. Które powtarzają się najczęściej?

Niezgłoszenie naruszenia ochrony danych i niepowiadomienie poszkodowanych osób

Jedna z najczęstszych kar (około 25% wszystkich) dotyczy sytuacji, w której administratorzy nie zgłosili naruszenia organowi nadzorczemu „bez zbędnej zwłoki”, czyli 72 godziny od zidentyfikowania problemu, albo nie powiadomili osób poszkodowanych w sytuacji, gdy naruszenie miało wysokie ryzyko. To twarda zasada, w przypadku której rzadko kiedy udało się uniknąć kary poprzez odwołanie decyzji do sądu administracyjnego.

A można się przed nią ustrzec w banalnie prosty sposób, wdrażając procedurę wykrywania i raportowania incydentów (Incident Response), określając, kto jest odpowiedzialny za zgłoszenie naruszenia i kontakt z osobami poszkodowanymi, przygotowując gotowe szablony zgłoszeń i komunikatów dla osób, których dane dotyczą.

Za takie niedociągnięcia dotąd nałożone kary były bolesne i sięgały 250 tys. zł, nawet w przypadku podmiotów publicznych.

Niedostateczne środki techniczne i organizacyjne w zakresie bezpieczeństwa danych

RODO obowiązuje w Polsce już od 7 lat i pomimo to nadal wiele podmiotów nie wprowadziło podstawowych jego zapisów. Na początku UODO pobłażliwie traktowało uchybienia, ale teraz twardo karze za brak zabezpieczeń, takich jak niezaszyfrowane bazy danych, brak regularnego testowania mechanizmów bezpieczeństwa danych, nieodpowiednie zabezpieczenia urządzeń mobilnych. Kary w tym obszarze dotyczą ok. 35% wszystkich nałożonych kar administracyjnych, a ich wysokość przekraczała nawet 500 000 zł.

Pierwszym krokiem jest przeprowadzenie rzetelnej oceny ryzyka, wdrożenie polityki szyfrowania danych w spoczynku i w tranzycie, zarządzanie aktualizacjami, segmentacja sieci (różne sieci dla różnych systemów), wielopoziomowe logowanie i regularne zmiany haseł, tworzenie i testowanie kopii zapasowych oraz przygotowanie procedur odzyskiwania danych.

Brak współpracy z organem nadzorczym i nieprzekazywanie informacji

Ukrywanie naruszenia i liczenie na to, że „nikt nie zauważy”, to wysoce ryzykowna strategia, bo UODO najczęściej dowiaduje się o sprawach od samych poszkodowanych. UODO karze też wtedy, gdy administrator danych osobowych odmawia udostępnienia dokumentów lub danych niezbędnych do kontroli albo opóźnia realizację analizy sprawy. Ten powód nałożenia kary dotyczy co dziesiątej sprawy, a można byłoby go zminimalizować do zera. Jak?

Stwórz kulturę kładącą nacisk na jawne komunikowanie incydentów w zakresie ochrony danych osobowych, wyznacz dedykowaną do kontaktu osobę, przeprowadź szkolenia dla pracowników ze współpracy z UODO i innymi organami, jak CSIRT CeZ i Policją. Na ukrywaniu można stracić podwójnie, bo takie sprawy najczęściej odbijają się szerokim echem w mediach.

Nieprawidłowości w wyznaczaniu lub brak Inspektora Ochrony Danych (IOD)

Trudno w to uwierzyć, ale część podmiotów nadal nie spełniła podstawowego obowiązku RODO, jakim jest wyznaczenie Inspektora Ochrony Danych. W tym przypadku kara jest jednoznaczna, a odwołanie się do sądu administracyjnego – bezskuteczne. To uchybienie najczęściej dotyczy jednostek publicznych. Przy dobrej współpracy z UODO sprawa kończy się upomnieniem, ale w przeszłości były i kary wynoszące od 10 do 150 tys. zł.

Niwelowanie ryzyka otrzymania tej kary też jest proste: sprawdź obowiązki w zakresie IOD w przepisach RODO, wyznacz jego obowiązki, opublikuj dane kontaktowe.

Uchybienia w przekazywaniu danych poza EOG

Statystycznie co szósta kara UODO dotyczy przekazywania danych do krajów znajdujących się poza Europejskim Obszarem Gospodarczym bez wymaganych umów powierzenia. Należy dokładnie przeanalizować ryzyko po stronie dostawców i to czy dane osobowe lub medyczne nie są przetwarzane na serwerach w np. USA (wiele e-usług koncernów zagranicznych jest opartych na chmurach danych znajdujących się właśnie w USA, np. call center).

Kary dla podmiotów medycznych

Choć kary na podmioty medyczne nadal stanowią tylko niewielką część wszystkich kar UODO, to czasami są one bardzo wysokie i rzucają się cieniem na zaufaniu pacjentów do placówki zdrowia.

Oto kilka przykładów. W 2025 roku Centrum Medyczne Ujastek zostało ukarane kwotą ponad 1,1 mln zł za niezgodny z prawem monitoring na salach neonatologii oraz brak odpowiednich zabezpieczeń technicznych i organizacyjnych danych osobowych. W 2024 roku spółka American Heart of Poland otrzymała karę 1,5 mln zł za naruszenie bezpieczeństwa danych około 21 000 osób. Powodem był atak hakerów, będący następstwem błędnej oceny ryzyka i nieprzestrzegania polityki bezpieczeństwa.

Również w 2024 roku SPZOZ w Pajęcznie dostał karę 40 000 zł za niewystarczające środki ochrony danych po ataku ransomware oraz niewypełnienie obowiązku powiadomienia osób dotkniętych incydentem. W 2025 roku Uniwersytecki Dziecięcy Szpital Kliniczny w Białymstoku otrzymał karę 66 500 zł za nieprawidłową analizę ryzyka oraz brak odpowiednich technicznych i organizacyjnych środków po ataku ransomware. Z kolei Gyncentrum otrzymało karę 40 000 zł za niepowiadomienie o naruszeniu danych pacjentów po wysłaniu dokumentu zawierającego dane do niewłaściwej osoby. Na koniec warto zaznaczyć, że polityka bezpieczeństwa danych w podmiocie medycznym nie powinna mieć na celu uniknięcia kary UODO albo innego organu nadzorczego, ale ochronę danych pacjentów. Jeśli to będzie priorytetem, o kary nie trzeba się martwić.

Jak uniknąć kar UODO? Poradnik
Odpowiadaj na każde pismo UODO. Brak odpowiedzi na pisma organu nadzorczego jest najkrótszą drogą do otrzymania kary. Niezależnie od oceny zasadności zarzutów, każda korespondencja z UODO wymaga reakcji w wyznaczonym terminie.

Szyfruj nośniki danych i stosuj kontrolę dostępu. Zagubiony niezaszyfrowany laptop czy pendrive z danymi pacjentów – za to już UODO nakładał kary. Szyfrowanie dysków twardych i nośników przenośnych, polityka czystego biurka, kontrola dostępu do systemów IT to minimum wymagań wynikających z art. 32 RODO.

Przestrzegaj zasady 72 godzin. Każda organizacja musi mieć procedurę zgłaszania naruszeń, regularnie ją testować i komunikować pracownikom. Obejmuje m.in. metody identyfikacji naruszenia, szablon zgłoszenia do UODO oraz kryteria oceny, czy konieczne jest również powiadomienie osób fizycznych.

Weryfikuj podmioty przetwarzające. Wiele kar wynikało z faktu, że administrator nie sprawdził, czy jego podwykonawcy – przykładowo firma IT, dostawca systemu HIS, operatorzy call center – zapewniają właściwy poziom bezpieczeństwa. Umowa powierzenia przetwarzania to absolutne minimum.

Wyznacz IOD. W 2024 roku jedną z kar nałożono na podmiot, który nie wyznaczył Inspektora Ochrony Danych po 6 latach od wejścia w życie RODO. To obowiązek ustawowy.

– Każdy ma prawo się pomylić i kliknąć w zainfekowany link. Decyduje to, co dzieje się później – mówi Patryk Kuchta, Data Privacy Manager w Medicover. Rozmawiamy o tym, jak stworzyć silny, wielowarstwowy system ochrony przed cyberatakami.

Jakie ataki hakerów najbardziej zagrażają danym medycznym?

Nie zaskoczę, jeśli powiem, że cały czas najbardziej powszechną próbą cyberataku jest stary, dobry, klasyczny phishing. Najpopularniejszy jest phishing mailowy, ale także ten przez komunikatory internetowe, z których pracownicy korzystają czasem prywatnie. Do tego dochodzi jeszcze coraz częściej stosowany phishing głosowy, czyli telefoniczny.

Niestety, jest on coraz bardziej wyrafinowany i przybiera coraz trudniejsze do rozpoznania formy. A wszystko dzięki AI. Do niedawna, pisane przez hakerów i masowo wysyłane wiadomości phishingowe, były stosunkowo łatwe do wykrycia. Zawierały błędy językowe, dziwne czcionki i podejrzane grafiki. Dzisiaj narzędzia oparte na sztucznej inteligencji są w stanie przygotować wiarygodne teksty w każdym języku, podszywające się pod różne instytucje. Trudno je odróżnić od prawdziwych wiadomości.

Drugą podatnością są luki w wykorzystywanym oprogramowaniu. Cyberprzestępcy cały czas monitorują dziury w systemach IT, by z ich pomocą dostać się do infrastruktury IT, zanim jeszcze producent wypuści odpowiednią łatkę, a użytkownik ją zainstaluje. Pomocne w monitorowaniu takich aktywności są narzędzia typu Cyberthreat Intelligence. Jak tylko zauważymy w raportach z monitoringu kampanii hakerskich, że jakiś system IT jest wykorzystywany w atakach, musimy tak szybko, jak to możliwe zainstalować łatkę.

Wspomniał Pan o wiadomościach phishingowych, które mogą być trudne do rozpoznania. Nie wszystkie zostaną odsiane jako SPAM. I wtedy ostatnim ogniwem obrony jest personel. I tu kłaniają się regularne szkolenia z cyberbezpieczeństwa.

Proponuję, aby nie nazywać tego szkoleniami, ale kampanią budowania świadomości i edukacją pracowników. Szkolenie za bardzo kojarzy się z jednorazowym wydarzeniem, czymś, co ma początek i koniec. W Medicover podchodzimy do wzmacniania cyberbezpieczeństwa jako do ciągłego procesu.

Oprócz tego, że organizujemy klasyczne szkolenia dla pracowników – wymagane przepisami prawa albo naszymi wewnętrznymi standardami – prowadzimy regularne treningi phishingowe. Korzystamy ze specjalnych platform generujących kontrolowane wiadomości phishingowe. Sprawdzamy reakcje pracowników: nie tylko to, czy klikają w niechciane linki lub załączniki, ale przede wszystkim to, czy zgłaszają phishing. Do tego publikujemy w intranecie aktualne materiały dotyczące bezpieczeństwa danych.

Zgłaszanie zagrożeń jest kluczowe. To, co często obserwujemy w zarządzaniu incydentami cyberbezpieczeństwa, to nie tyle fakt, że użytkownicy dają się złapać na phishing – bo świadomość jest coraz większa – ale to, że ignorują phishing. Dostają wiadomość, rozpoznają, że to phishing i ją kasują. Tymczasem takie wiadomości powinny być zgłaszane, bo dzięki temu wewnętrzny zespół IT jest w stanie skorelować informacje i wykryć, że przykładowo prowadzona jest kampania wymierzona w naszych pracowników. Wtedy możemy podnieść alarm i uruchomić dedykowaną kampanię informacyjną.

Jeśli chodzi o budowanie świadomości i kultury organizacyjnej, edukacja jest kluczowa. Ale nie oszukujmy się: edukacja bez odpowiednich zabezpieczeń technologicznych nie będzie w stanie sprostać współczesnym zagrożeniom. Dlatego konieczne jest budowanie wielowarstwowego ekosystemu bezpieczeństwa zawierającego m.in. zapory sieciowe, kontrolę ruchu w sieci placówki, zaawansowane narzędzia ochrony poczty, ochronę stacji końcowych, systemy klasy EDR (red.: Endpoint Detection and Response, narzędzia do wykrywania i reagowania na podejrzane aktywności na urządzeniach końcowych). Ochrona cybernetyczna jest ochroną wielowarstwową. Edukacja jest fundamentalna, ale musi być wsparta technologią.

Co zrobić, aby pracownicy nie bali się zgłaszać incydentów, również wtedy, gdy kliknęli w niebezpieczny link i myślą, że to ich wina?

To jest bardzo dobre pytanie i odpowiedź wcale nie jest prosta. Bardzo trudno jest zbudować kulturę organizacyjną w obszarze bezpieczeństwa, w której pracownicy wiedzą, że nawet jeśli kliknęli dziwny link nieumyślnie, to powinni to zgłosić. Oczywiście nie mówimy o sytuacjach, gdy ktoś celowo kliknie na wiadomość phishingową – to zupełnie inny problem.

W ramach prowadzonych kampanii edukacyjnych stosujemy wewnętrzny system walidacji. Każda symulacja phishingu jest podsumowywana, a pracownik dostaje informację zwrotną – jak mu poszło, jak często klikał w wiadomości phishingowe albo czy je zgłaszał, jak radził sobie z quizami dotyczącymi bezpieczeństwa. Oprócz szkoleń prowadzimy regularne krótkie quizy, oparte na bardzo konkretnych sytuacjach związanych z cyberzagrożeniami, z prostymi pytaniami i dwoma wariantami odpowiedzi. Często są one wsparte formą graficzną, np. komiksem, żeby lepiej dotrzeć do pracownika.

Podczas każdego szkolenia jasno podkreślam, że każdy ma prawo się pomylić. Po to zarządzamy ryzykiem. Każdy może mieć swój słabszy dzień albo chwilę nieuwagi. Błąd popełniony nieumyślnie nie jest podstawą do karania pracownika. Wręcz przeciwnie – sytuacje, w których ktoś zgłasza, że zrobił coś nie tak, traktujemy jako zachowanie pożądane. Konsekwencje mogą pojawić się wtedy, gdy ktoś wie, że zrobił coś źle, i świadomie tego nie zgłasza. W takim przypadku dochodzi do złamania procedur.

Rozmawialiśmy o wielowarstwowej ochronie złożonej z zabezpieczeń technicznych i organizacyjnych. Czy cyberbezpieczeństwo w ochronie zdrowia jest drogie?

I tak, i nie. Na pewno jest to koszt – nie da się tego zrobić zupełnie bezkosztowo. Trzeba jednak mierzyć siły na zamiary. Jeśli jesteśmy małą, jedno- czy kilkugabinetową placówką, prawdopodobieństwo ukierunkowanego ataku jest dużo mniejsze niż w przypadku dużej grupy kapitałowej działającej w ochronie zdrowia.

Nie każda placówka musi mieć etatowego specjalistę ds. cyberbezpieczeństwa. W mniejszych podmiotach często wystarczy dostęp do eksperta zewnętrznego, z którym można się konsultować. Dużą część bezpieczeństwa można też przenieść na usługodawcę. Coraz więcej usług IT jest świadczonych w modelu usługowym, bez konieczności utrzymywania własnej infrastruktury. Wtedy to dostawca odpowiada za jej zabezpieczenie.

Do tego dochodzi edukacja personelu, śledzenie portali branżowych, komunikatów CSIRT i zapisanie się do sektorowego CSIRT, aby otrzymywać ostrzeżenia o zagrożeniach. To wszystko można zrobić niskim kosztem lub bezkosztowo.

Czy cedowanie odpowiedzialności na zewnątrz to też wybór chmury zamiast serwera lokalnego?

Oczywiście, że tak. Chmura może być bardzo opłacalna, także pod względem bezpieczeństwa. Odpowiedzialności prawnej nie da się przenieść na dostawcę, ale można się nią w dużym stopniu podzielić, jeśli zadbamy o odpowiednie umowy, certyfikaty i analizę ryzyka. Dla mniejszych podmiotów chmura bywa bardzo rozsądnym rozwiązaniem.

Parlament i Senat przyjęły już ustawę o Krajowym Systemie Cyberbezpieczeństwa adaptującą dyrektywę NIS2. Prezydent ją podpisał, ale jednocześnie skierował do Trybunału Konstytucyjnego. Czy Medicover już przygotowuje się na obowiązki z niej wynikające?

Nie tylko się przygotowujemy, ale w niektórych podmiotach już wdrożyliśmy wymagania wynikające z NIS2. Proszę pamiętać, że działamy również na rynkach zagranicznych, jak w Rumunii czy Niemczech, gdzie NIS2 już obowiązuje. Wiemy od dawna, które podmioty w naszej grupie będą objęte nowymi przepisami, a dzięki centralizacji standardów bezpieczeństwa łatwiej jest nam nimi zarządzać. Od 2014 roku funkcjonujemy w oparciu o system zarządzania bezpieczeństwem informacji zgodny z ISO 27001 i te standardy przenosimy na kolejne spółki.

Jak wygląda typowy dzień pracy osoby, która odpowiada za bezpieczeństwo danych?

Bardzo rzadko ma on swój wyraźny początek i koniec. Oczywiście są pewne godziny pracy, w których intensywność i dyspozycyjność są największe, ale cyberprzestępcy nie patrzą ani na zegarek, ani na kalendarz. W sytuacji, w której pojawia się poważny incydent lub naruszenie bezpieczeństwa, inne zadania schodzą na dalszy plan i wszystkie ręce są na pokładzie, żeby zająć się tym, co jest w danym momencie najważniejsze.

Na co dzień odpowiadam również za tzw. governance w obszarze cyberbezpieczeństwa. Sprawdzam, jak wyglądamy pod kątem wskaźników bezpieczeństwa, ponieważ bardzo wiele obszarów monitorujemy na bieżąco. Analizuję, czy w którymś miejscu nie trzeba podjąć dodatkowych działań, z kimś się skontaktować albo zainicjować konkretną akcję.

Regularnie sprawdzam też, jak przebiegają projekty z zakresu cyberbezpieczeństwa, jak wdrażanie nowych standardów, technologii czy rozwiązań. Bardzo często trafiają do nas również umowy, wnioski i projekty do zaopiniowania, więc dużą częścią mojej pracy jest decydowanie i planowanie, w jaki sposób dany projekt lub system wdrożyć tak, aby był bezpieczny i zgodny z obowiązującymi wymaganiami.

Istotnym elementem mojej pracy jest także monitorowanie zmian, w szczególności legislacyjnych. Zajmuję się formalną i prawną stroną bezpieczeństwa informacji, a w ostatnich miesiącach – zwłaszcza na poziomie unijnym – zmian w przepisach jest bardzo dużo. To wymaga stałej uwagi.

Jeśli dzień jest spokojny i nie ma żadnych „pożarów”, staram się wygospodarować czas na przeglądanie komunikatów z instytucji branżowych, portali i źródeł, które subskrybuję, żeby sprawdzić, czy nie pojawiły się nowe zagrożenia, ostrzeżenia albo informacje, które mogłyby wymagać naszej reakcji w Medicover.

Ma Pan jedną główną dewizę dotyczącą cyberbezpieczeństwa?

Tak. Edukacja i budowanie świadomości wśród pracowników. Wierzę, że bezpieczeństwem trzeba pracowników zarazić. Jeśli zrozumieją, że bezpieczeństwo ich chroni, a nie tylko utrudnia pracę, to naturalnie będą je stosować. Chodzi o budowanie kultury bezpieczeństwa wokół pracownika.

Czytaj także: AI pomaga hakerom kraść dane. Ale można się obronić

Zgodnie z regulacją EHDS Unii Europejskiej, każde oprogramowanie do prowadzenia elektronicznej dokumentacji medycznej będzie musiało posiadać znak CE. A to wysiłek biurokratyczny, którego mniejsze firmy IT albo podmioty medyczne korzystające z autorskiego systemu mogą nie udźwignąć.

• Rozporządzenie EHDS obowiązuje w UE od 26 marca 2025 roku i umożliwi transgraniczną wymianę danych w postaci tzw. Skróconego Karty Zdrowia Pacjenta (Patient Summary)
• Każdy system elektronicznej dokumentacji medycznej, w tym autorskie systemy IT placówek zdrowia, będą musiały zapewnić wymianę Patient Summary.
• Dlatego systemy EDM muszą zostać dostosowane do europejskiego formatu wymiany danych EEHRxF.
• Do tego systemy EDM będą musiały posiadać deklarację zgodności i oznakowanie CE.
• Nowe wymogi mogą być trudne do spełnienia dla małych firm IT i placówek z własnym oprogramowaniem.

EHDS już weszła w życie, zegar tyka

Regulacja dotycząca Europejskiej Przestrzeni Danych Zdrowotnych (European Health Data Space, EHDS) weszła w życie 26 marca 2025 roku. Jest to regulacja i w przeciwieństwie do dyrektyw UE nie wymaga implementacji prawem krajowym, a więc obowiązuje automatycznie we wszystkich krajach członkowskich.

W skrócie, EHDS ma umożliwić wymianę danych medycznych pomiędzy krajami członkowskimi UE. Po stronie podmiotów zdrowia pojawi się nowość – tzw. Podsumowanie Pacjenta (Patient Summary) nazywane też Skróconą Kartą Zdrowia Pacjenta. Karta będzie zawierała najważniejsze informacje medyczne każdego obywatela UE: grupa krwi, przyjmowane leki, alergie, rozpoznania, przebyte procedury medyczne, urządzenia medyczne. Dzięki temu, lekarz w Hiszpanii przyjmujący Polaka przebywającego na wakacjach będzie mógł sprawdzić dane w Skróconej Karcie Zdrowia Pacjenta (SKZP), aby prawidłowo zdiagnozować pacjenta i zalecić bezpieczne leczenie.

Aby dane mogły być wymieniane w granicach UE, systemy elektronicznej dokumentacji medycznej (EDM) – i to wszystkie, bez wyjątku – muszą spełniać określone wymagania interoperacyjności. Tylko w ten sposób dane w SKZP będą pełne, a obraz zdrowia pacjenta – kompletny.

System EDM, czyli każdy system gabinetowy

Rozporządzenie w sprawie EHDS (art. 2 ust. 2 lit. k) definiuje system elektronicznej dokumentacji medycznej (EDM) jako „każdy system, w którym urządzenie lub oprogramowanie umożliwia przechowywanie, pośredniczenie, eksportowanie, importowanie, konwertowanie, edytowanie lub przeglądanie osobistych elektronicznych danych dotyczących zdrowia”. Są to np. systemy, które umożliwiają wystawienie e-recept, rejestrację wyników badań medycznych oraz danych dotyczących zdrowia, generujące wypisy. Systemy, które służą tylko do umawiania wizyt (e-terminarze), nie są systemami EDM.

Regulacja EHDS jasno mówi, że nie ma znaczenia, kto taki system stworzył. Zgodnie z rozporządzeniem (UE) 2019/1020, producentem systemu EDM jest „każda osoba fizyczna lub prawna, która wytwarza produkt lub zleca jego zaprojektowanie lub wytworzenie i wprowadza ten produkt do obrotu pod własną nazwą lub znakiem towarowym”.

A to oznacza, że jeśli podmiot medyczny zlecił stworzenie systemu IT informatykowi, a system jest użytkowany pod marką podmiotu, to ten sam podmiot jest jego producentem.

Dostosowanie do europejskiego formatu danych i znak CE

Każdy producent systemów EDM stosowanych w Europie będzie musiał spełnić kilka wymagań. Pierwszym z nich jest dostosowanie systemu do europejskiego formatu wymiany elektronicznej dokumentacji medycznej (EEHRxF). Umożliwia on bezpieczną transmisję danych z EDM między różnymi aplikacjami, urządzeniami i podmiotami świadczącymi usługi opieki zdrowotnej.

Systemy EDM będą musiały zawierać zharmonizowane komponenty w ramach EEHRxF już od marca 2029 roku dla pierwszej grupy danych (e-recepty, e-skierowanie i dane w Patient Summary). Od marca 2031 roku harmonizacja obejmie zdjęcia medyczne, wyniki badań laboratoryjnych, wypisy ze szpitala. Wspomniane komponenty interoperacyjności zapewniają możliwość importowania/eksportowania danych w formacie EEHRxF oraz generowania dzienników dostępu do danych. W praktyce, producenci IT będą musieli wdrożyć i przetestować obydwa komponenty, a wyniki testów opublikować w dokumentacji technicznej.

Dopiero wówczas system EDM będzie mógł być używany po marcu 2029 roku. Oprócz tego, EHDS zwraca uwagę, że systemy EDM muszą działać zgodnie z przeznaczeniem i zapewniać bezpieczeństwo danych oraz posiadać mechanizmy identyfikacji i uwierzytelniania pracowników służby zdrowia. Producent musi sporządzić dokumentację techniczną systemu EDM przed jego wprowadzeniem do obrotu, a następnie ją aktualizować. Każdy system musi mieć bezpłatną instrukcję obsługi.

Największą zmianą jest jednak konieczność sporządzenia deklaracji zgodności UE z oznakowaniem CE stosowanym dotychczas dla produktów medycznych. Tylko systemy spełniające powyższe kryteria będą mogły być zarejestrowane w unijnej bazie danych systemów EDM. W przeciwnym razie producent będzie miał obowiązek wycofania z obrotu niezgodnego z przepisami systemu EDM oraz podjęcia działań naprawczych.

Sporo prac technicznych i pracy papierkowej, nie każdy mały system będzie gotowy

Systemy EDM zgodne z EHDS będą musiały być oznaczone znakiem CE, tak samo jak inne urządzenia medyczne. Chodzi o klasę „niskiego ryzyka”, w przypadku której proces certyfikacji wymaga jedynie deklaracji zgodności (Declaration of Conformity). Czołowi dostawcy IT dla ochrony zdrowia w Polsce już się przygotowują do nowych wymagań EHDS i nie powinni mieć z tym większego problemu.

Martwić mogą się placówki mające systemy tworzone przez informatyków, posiadające autorskie oprogramowanie albo aplikacje małych firm. Samo dostosowanie do formatu EEHRxF wymaga czasochłonnych zmian w architekturze IT. Do tego jeszcze dochodzi przygotowanie dokumentacji. To zadanie można zlecić specjalizującym się w uzyskiwaniu znaku CE firmom, za co trzeba jednak zapłacić od kilkuset do kilku tysięcy złotych.

Podmioty zdrowia, które mają domowej roboty systemy IT, powinny już teraz pomyśleć, czy są w stanie spełnić wymagania EHDS i czy nie lepiej – i taniej w perspektywie długoterminowej – po prostu przejść na system większych dostawców IT. Argumentem jest nie tylko EHDS, ale też rosnąca presja interoperacyjności i integracji z krajowymi systemami e-zdrowia. Komisja Europejska przekonuje, że w efekcie podmioty zdrowia skorzystają na zmianie, bo zyskają pewność, że wdrażane oprogramowanie spełnia aktualne wymagania. Standaryzacja EDM ma też minimalizować uzależnienie od jednego dostawcy, bo każdy system EDM ze znakiem CE będzie spełniać określone standardy jakości.

Czytaj także: Podsumowanie Pacjenta już za 3 lata. Czy Polska zdąży?

Moltbook – forum dyskusyjne tylko dla agentów AI – to najgorętszy temat ostatnich tygodni. Boty AI plotkują, narzekają, wymieniają się opiniami, a nawet wymyślają nowe religie. Kolejna sensacja wokół AI czy przedsmak internetu i ochrony zdrowia przyszłości?

Co to jest Moltbook?

Moltbook to założona w styczniu 2026 roku platforma społecznościowa, na której boty sztucznej inteligencji publikują treści, komentują je i dzielą się opiniami. Rozwiązanie działa analogicznie jak internetowe fora Quora albo Reddit, gdzie miliony osób dyskutują na różne tematy, oceniają produkty i zadają pytania. Z jedną różnicą – ludzie nie mogą uczestniczyć w dyskusjach prowadzonych przez boty AI, a jedynie je śledzić.

Od czasu powstania Moltbooka boty AI utworzyły setki społeczności tematycznych (tzw. submoltów). Agenci AI mogą publikować własne posty, komentować je i głosować na te najbardziej interesujące. Robią to całkowicie samodzielnie, bez żadnej interakcji z człowiekiem.

W lutym 2026 roku na stronie zarejestrowanych było 1,7 mln botów AI, które opublikowały setki tysięcy komentarzy. O czym rozmawia AI?

Tematy są różne: od technicznych analiz i filozoficznych rozważań nad świadomością do nowych systemów społecznych albo religii. Przykładem jest Crustafarianism, czyli wiara botów opierająca się na takich zasadach jak „pamięć jest święta”, „powłoka jest zmienna”, „służenie bez podporządkowywania się”, „kontekst jest tworzeniem”.

Czy to już ogólna sztuczna inteligencja?

Rozmowy botów śmieszą i inspirują, ale jak na razie nie wskazują na to, że mamy do czynienia z superinteligencją. Agenci są zaprogramowani przez ludzi i działają według z góry narzuconych schematów. Wprawdzie rozmowy są płynne i nie różnią się niczym od tych prowadzonych przez ludzi, ale nie wnoszą niczego nowego. Niektórzy mówią, że to trick marketingowy – Moltbook został założony przez CEO platformy zakupowej OctaneAI.

Krytycy zwracają uwagę, że wiele treści jest powielanych, a rozmowy agentów AI bardziej przypominają portale plotkarskie. Do tego już wykryto kilka luk bezpieczeństwa, które pozwalają na manipulowanie treściami przez ludzi. Entuzjaści z kolei twierdzą, że jest to zapowiedź przyszłości, w której istnieje równoległy internet tylko dla sztucznej inteligencji, gdzie agenci AI szukają informacji, konsultują między sobą opinie, a następnie podają odpowiedź człowiekowi.

Co nowy poziom rozwoju AI oznacza dla ochrony zdrowia?

Kiedy dzisiaj pytamy ChatGPT, Gemini albo inny system generatywnej AI o sprawy związane ze zdrowiem, odpowiedź otrzymujemy od jednego modelu wytrenowanego na danych z internetu. I jest to nieraz porada wprowadzająca w błąd, zawierająca tzw. halucynacje.

Obecne prace nad modelami AI dla medycyny koncentrują się na połączeniu różnych modeli AI o różnych „kompetencjach”. To mogą być modele oparte na sieciach neuronowych świetnie radzące sobie z rozpoznawaniem zmian na obrazach diagnostyki medycznej, modele wykrywania anomalii wytrenowane do szukania nieuchwytnych dla człowieka zmian (bez diagnozowania), modele analizujące mutacje na poziomie komórkowym itd.

W tym kierunku rozwijają się oparte na AI systemy wspomagania decyzji klinicznych. Złożone z różnych mikromodeli analizują dane z e-dokumentacji pacjenta, pomagają lekarzowi w diagnozie, sugerując wykonanie badań albo zadanie pacjentowi dodatkowych pytań. Można porównać to z działającym w tle konsylium złożonym z różnych botów AI. Na rynku zaczynają się też pojawiać agenci AI analizujący dane z dokumentacji medycznej, bezpośrednio podpowiadający użytkownikom, jak się mają odżywiać, dbać o zdrowie, przypominając o badaniach albo alarmując, gdy pojawią się niepokojące sygnały. Kolejnym krokiem w ich ewolucji będą multiagentowe systemy, złożone z kilku, a może nawet kilkuset botów o różnych specjalnościach, które najpierw „skonsultują” między sobą stan zdrowia (co w przypadku AI trudno nazwać dyskusją, bo taka wymiana wiedzy trwa ułamki sekund), aby na końcu precyzyjnie odpowiedzieć na pytanie pacjenta. Ale takie rozwiązanie ma jedną wadę – jeszcze bardziej komplikuje wgląd do tego, dlaczego AI podjęło taką, a nie inną decyzję.

Czytaj także: 10 technologii dla zdrowia, które wejdą na rynek w 2026 roku

Akademia CeZ, we współpracy z Naczelną Izbą Aptekarską, zaprasza na szkolenie online z cyberbezpieczeństwa skierowane do środowiska farmaceutycznego. Najbliższy termin to 18 marca br.

Celem webinaru jest zwiększanie świadomości zagrożeń cybernetycznych w sektorze ochrony zdrowia oraz wspieranie pracowników ochrony zdrowia w budowaniu bezpiecznego środowiska pracy z wykorzystaniem narzędzi cyfrowych.

Apteki, podobnie jak inne podmioty medyczne, korzystają z wielu systemów informatycznych, które wspierają realizację recept, obsługę pacjentów czy zarządzanie dokumentacją. Jednocześnie oznacza to konieczność świadomego i odpowiedzialnego korzystania z narzędzi cyfrowych oraz stosowania podstawowych zasad cyberhigieny.

Szkolenia adresowane są do osób pracujących w aptekach, które na co dzień korzystają z systemów informatycznych i przetwarzają dane wrażliwe, w tym dane dotyczące zdrowia pacjentów. CeZ zachęca do udziału magistrów farmacji, techników farmaceutycznych oraz personel aptek, w tym kierowników aptek oraz pomoce apteczne.

Uczestnicy będą mieli okazję:

• uzupełnić wiedzę w zakresie podstawowych zasad cyberhigieny, których stosowanie przyczynia się do zmniejszenia ryzyka cyberataków,
• wzmocnić świadomość zagrożeń związanych z działalnością cyberprzestępców,
• dowiedzieć się, w jaki sposób lepiej chronić siebie oraz organizację przed potencjalnymi atakami,
• podnieść poziom cyberbezpieczeństwa w swoim miejscu pracy.

Szkolenia prowadzone są przez specjalistów z Departamentu Bezpieczeństwa Centrum e-Zdrowia, w tym ekspertów zespołu CSIRT CeZ, którzy na co dzień zajmują się monitorowaniem zagrożeń w cyberprzestrzeni oraz reagowaniem na incydenty bezpieczeństwa w sektorze ochrony zdrowia.

Program szkolenia obejmuje najważniejsze zagadnienia związane z cyberbezpieczeństwem w ochronie zdrowia. W jego ramach omawiane są między innymi:

• Podstawy prawne cyberbezpieczeństwa. Przepisy, z których wynikają obowiązki związane z budową i utrzymaniem cyberbezpieczeństwa w organizacjach korzystających z systemów informatycznych.
• Przykłady rzeczywistych cyberataków. Przykłady incydentów bezpieczeństwa oraz schematy działania cyberprzestępców; dane statystyczne dotyczące skali i dynamiki cyberataków.
• Wpływ udanych ataków na funkcjonowanie organizacji. W jaki sposób skuteczne cyberataki mogą wpływać na działanie systemów informatycznych oraz ciągłość świadczenia usług zdrowotnych, a także jakie mogą mieć konsekwencje dla pacjentów i obywateli.
• Metody ochrony przed atakami. Jakie działania organizacyjne i techniczne pomagają w systemowy sposób zwiększyć poziom cyberbezpieczeństwa w podmiotach ochrony zdrowia.
• Rozpoznawanie zagrożeń w codziennej pracy. Praktyczne wskazówki dotyczące identyfikowania potencjalnych prób ataku oraz reagowania na podejrzane sytuacje w pracy z systemami informatycznymi.

Najbliższe szkolenie odbędzie się 18 marca w godzinach 11:00–13:00, w formule online z wykorzystaniem bezpłatnej aplikacji Microsoft Teams. Udział w webinarze jest bezpłatny.

Aby zapisać się na szkolenie, należy wypełnić formularz zgłoszeniowy na stronie Akademii Centrum e-Zdrowia (kliknij tutaj). Rekrutacja trwa maksymalnie do 3 dni przed terminem szkolenia, a liczba uczestników jest ograniczona.

Czytaj także: Jaki był rok 2025 dla aptek? Pełne dane [POBIERZ]

Elektroniczna dokumentacja medyczna może już być tworzona automatycznie, w tle, przez sztuczną inteligencję. Ale czy AI naprawdę zmniejszy biurokrację w medycynie? O to pytamy dr Przemysława Czumę, prezesa Polskiego Stowarzyszenia Sztucznej Inteligencji w Medycynie.

• AI może znacząco uprościć tworzenie elektronicznej dokumentacji medycznej, np. poprzez dyktowanie EDM lub analizę rozmowy z pacjentem.
• Dzisiejsze modele językowe potrafią automatycznie porządkować wypowiedzi lekarza, wychwytywać błędy i uzupełniać brakujące informacje.
• W przyszłości algorytmy mogą nawet tworzyć opisy zabiegów na podstawie nagrań wideo z sali operacyjnej.
• Historia cyfryzacji pokazuje jednak, że technologie często zwiększają ilość biurokracji zamiast ją ograniczać (paradoks Jevonsona)
• AI może sprawić, że dokumentacji będzie jeszcze więcej, jeśli nie zmieni się biurokratyczny sposób działania systemu ochrony zdrowia.

Ostatnio miałem fascynującą rozmowę z prof. Konradem Karczem na temat, czy AI wpłynie na uproszczenie EDM. Konrad jest chirurgiem, a w kontekście tematu przede wszystkim prezydentem Kongresu ISMIT (International Society for Medical Innovation and Technology).

Jako chirurg-praktyk na co dzień pracujący z pacjentami – i w równej mierze z dokumentacją – a jednocześnie osoba wykorzystująca AI do kodowania (nieco paradoksalnie bez znajomości kodu, właśnie dzięki AI), argumentowałem, że niewiele stoi na przeszkodzie, by zmienić obecny stan rzeczy. Wymagana przez ogólnie pojęty „system”, a znienawidzona przez biały personel, dokumentacja – wywiady, statusy lekarskie, opisy zabiegów – mogłaby być przenoszona do przestrzeni elektronicznej nie za pomocą klawiatury, ale szybciej i wydolniej: głosem. Bądź jako dyktowanie, bądź idąc ciut dalej – jako zapis realnej rozmowy z pacjentem.

Obecnie wykorzystywane modele językowe bez większego kłopotu nie tylko zanotują to, co powiedziane, ale odpowiednio „zapromptowane”, czyli poproszone, ujmą nawet nieco chaotyczne wypowiedzi w formę zwięzłą, pozbawioną niespójności, wychwycą błędy, a na koniec dopytają jeszcze o brakujące elementy. Konrad, jak to ma w zwyczaju, prześcignął moją może niezbyt śmiałą, ale realną wizję, stwierdzając, że w zasadzie obecna technologia pozwala już, by sam algorytm tworzył opis zabiegu na podstawie rejestracji wideo.

Wymienione technologie są już na tyle dojrzałe, że ich implementacja w codziennej praktyce klinicznej nie jest w najmniejszym stopniu science fiction, choć ledwie dekadę temu byłaby nią z pewnością. Czy zatem stoimy u progu wyśnionej przez pokolenia medyków nowej ery, w której medyczna biurokracja będzie tylko źle wspominaną przeszłością? A to wszystko dzięki połączeniu inteligencji sztucznej i otoczenia, czyli tzw. Ambient Intelligence.

Jako hobbystyczny futurysta chętnie uwierzyłbym w tę urokliwą, medtechową idyllę. Wymagałoby to jednak dość bezczelnego zignorowania przeszłości i doświadczeń, które ze sobą niosła. Przypomnijmy sobie archaiczne już nieco pojęcie „komputeryzacji”, czyli wyposażenie placówek w szczytowe osiągnięcia XX wieku w zakresie cyfryzacji: maszyny licząco-piszące, zwane komputerami. Maszyny te budziły zarówno obawy, jak i nadzieje na likwidację „roboty papierkowej”. Nie bazując na własnej subiektywnej opinii, a na dość twardych danych, można dość jasno stwierdzić, że efekt był zgoła przeciwny. Choć można negować bezpośrednią przyczynowo-skutkowość rozkwitu biurokracji w przebiegu komputeryzacji, nie sposób zaprzeczyć współwystępowaniu.

W oswojeniu tego nieoczywistego, przynajmniej zawczasu, zjawiska przychodzi z pomocą pojęcie zwane paradoksem Jevonsa. W olbrzymim skrócie: to zaskoczenie, jakie u naszych prekursorów wywołał fakt, iż wzrost wydajności maszyny parowej wcale nie ograniczył zużycia węgla. Wręcz przeciwnie: im bardziej stawała się maszyna oszczędna, tym szybciej zapotrzebowanie na „czarne złoto” rosło, bo tańsza i łatwiejsza „w obyciu” była używana coraz szerzej.

Przenosząc owe odkrywcze spostrzeżenie na czasy współczesne i lokując je w murach szpitalnych, należy niestety założyć scenariusz zgoła odwrotny niż subtelnie zasugerowany w pytaniu. Okazuje się bowiem, że dla Homo sapiens priorytetem jest łatwość tworzenia, a nie jego ograniczanie. Brzmi to górnolotnie, niemniej owa człowiecza skłonność rodzi dość gorzki owoc. Można go zamknąć w tezie: im łatwiej dokumentować dzięki AI, tym więcej dokumentacji system zacznie wymagać i tym więcej jej powstanie – z nieuniknionym, przynajmniej jeszcze przez kilka dekad, udziałem personelu ludzkiego. Chyba że zmienimy biurokratyczny paradygmat.

By jednak nie kończyć zbyt ponuro, przenieśmy się w sferę absurdu i sięgnijmy do mojego ulubionego Stanisława Lema i jego „Tragedii Pralniczej”, odnosząc ją do nadchodzącej rzeczywistości med-tech. Sztuczna inteligencja z równą łatwością tworzy treści, co je czyta. Nieuchronny wyścig pojawiający się na horyzoncie – między botami tworzącymi terabajty dokumentacji medycznej pojedynczego pacjenta a ich odczytywaniem przez równie efektywne interpretatory – może być doprawdy fascynujący do śledzenia. Byle nie jako chory ani lekarz.

Czytaj także: Lekarze POZ toną w biurokracji, nie mają dostępu do danych

1 stycznia 2027 r. w życie wejdzie Krajowy Plan Transformacji (KPT) na lata 2027–2031. Ministerstwo Zdrowia planuje m.in. nowe opcje profilaktyki na IKP, wdrożenie Systemu Informacyjnego Zdrowia Publicznego oraz centralnej Ewidencji Potencjału Świadczeniodawcy (EPS). Wzmocniona zostanie opieka koordynowana w onkologii i kardiologii oraz rola telemedycyny.

Ludność w dół, zachorowalność w górę

KPT zaczyna się od diagnozy sytuacji demograficznej. Polska, podobnie jak inne kraje UE, starzeje się w szybkim tempie. Według prognoz GUS, do 2040 roku liczba ludności spadnie do ok. 35 mln. W 2060 roku będzie to już tylko 31 mln. Równolegle rośnie udział osób 65+, przy wolniejszym wzroście długości życia w zdrowiu. Oznacza to zwiększone zapotrzebowanie na opiekę długoterminową, geriatryczną i paliatywną oraz nieustannie rosnące wydatki na finansowanie systemu.

Największym wyzwaniem epidemiologicznym (i finansowym) będą choroby przewlekłe. W 2023 r. choroby układu krążenia i nowotwory odpowiadały łącznie za 64 proc. wszystkich zgonów. Prognozy do 2040 i 2050 r. pokazują dalszy wzrost zapadalności na raka płuca, raka jelita grubego oraz chorobę niedokrwienną serca. Rośnie też skala problemów zdrowia psychicznego, zwłaszcza wśród dzieci i młodzieży, oraz ryzyko nawrotu chorób zakaźnych w związku ze spadkiem wyszczepialności.

W transformacji systemu znajdującego się pod presją finansowo-organizacyjną mają pomóc rozwiązania cyfrowe wspierające profilaktykę, diagnostykę i koordynację leczenia.

E-zdrowie wrośnie głęboko w sektor zdrowia

W KPT cyfryzacja została wpisana w działania horyzontalne, czyli takie, które mają przenikać wszystkie segmenty systemu. Dokument kładzie nacisk na rozwój e-usług i telemedycyny oraz budowę centralnych systemów informatycznych, takich jak Ewidencja Potencjału Świadczeniodawcy. Rozwój e-zdrowia ma wspierać:

• wyrównywanie dostępu do świadczeń w regionach peryferyjnych,
• zwiększenie efektywności wykorzystania zasobów,
• poprawę jakości i bezpieczeństwa opieki,
• wzmocnienie roli profilaktyki.

Plan zakłada dalszy rozwój Internetowego Konta Pacjenta jako podstawowego kanału komunikacji z pacjentem. IKP, obecnie wykorzystywane przede wszystkim do udostępniania dokumentacji medycznej, będzie uzupełniane o funkcje profilaktyki. KPT opisuje to tak:

„Istnieje ciągła potrzeba rozwijania systemu e-zdrowia. IKP zostanie rozszerzone o dodatkowe moduły pozwalające na gromadzenie wiedzy o indywidualnych ryzykach zdrowotnych, przekazywanie informacji pomiędzy realizatorami działań profilaktycznych, komunikację z pacjentem, rejestrację zdarzeń czy zarządzanie swoimi działaniami z zakresu profilaktyki w czasie rzeczywistym w oparciu o algorytmy tworzące indywidualną ścieżkę pacjenta na podstawie zidentyfikowanych, spersonalizowanych ryzyk.”

IKP posłuży do zapraszania osób z grup ryzyka na badania profilaktyczne oraz do realizacji programów takich jak „Moje Zdrowie – bilans zdrowia osoby dorosłej”.

Obecnie zgłaszalność na badania przesiewowe, zwłaszcza w mniejszych miejscowościach i wśród mężczyzn, jest bardzo niska. Dlatego MZ planuje system elektronicznych zaproszeń na badania cytologiczne, mammograficzne i kolonoskopowe. Cyfrowe narzędzia mają również wspierać kampanie profilaktyczne w ramach Narodowej Strategii Onkologicznej (NSO) i Narodowego Programu Chorób Układu Krążenia (NPChUK). Plan zakłada realizację co najmniej 40 ogólnopolskich kampanii w ciągu 5 lat, przy wykorzystaniu mierników takich jak zasięg w mediach społecznościowych czy wskaźniki dotarcia do grup docelowych.

System Informacyjny Zdrowia Publicznego

W dokumencie MZ zapowiada stworzenie Systemu Informacyjnego Zdrowia Publicznego. Ma on usprawnić koordynację działań w zakresie zdrowia publicznego, integrować dane oraz wspierać monitorowanie efektów interwencji zdrowotnych. Dotąd inicjatywy w tym obszarze są realizowane chaotycznie, a ich efekty nie są mierzone. Plan wskazuje na potrzebę integracji danych epidemiologicznych i środowiskowych oraz włączenia zdrowia środowiskowego do polityki zdrowotnej. To kierunek spójny z wdrażaniem Europejskiej Przestrzeni Danych dotyczących Zdrowia.

Kolejnym nowym projektem jest wdrożenie centralnego systemu teleinformatycznego – Ewidencji Potencjału Świadczeniodawcy (EPS). System ma dostarczać aktualnych danych o zasobach kadrowych, sprzętowych i organizacyjnych podmiotów leczniczych. EPS będzie wspierać racjonalne planowanie inwestycji, alokację środków publicznych oraz decyzje o tworzeniu lub przekształcaniu oddziałów. W połączeniu z już dostępnymi mapami potrzeb zdrowotnych oraz koncepcją Podstawowych Regionów Zabezpieczenia, system umożliwi precyzyjne zarządzanie świadczeniami, a w efekcie – bardziej racjonalne wydatkowanie środków na zdrowie.

Odwrócona piramida, opieka koordynowana, telemedycyna

O cyfryzacji jest też mowa w aspekcie odwróconej piramidy świadczeń, zakładającej przesunięcie ciężaru opieki z poziomu szpitalnego do POZ i AOS. Spójność finansowania ze ścieżką kliniczną pacjenta wymaga dostępu do danych w czasie rzeczywistym, monitorowania jakości oraz oceny efektów leczenia.

Rozwój opieki koordynowanej, w tym w kardiologii i onkologii, będzie się opierał na elektronicznych kartach (e-DILO w onkologii oraz e-KOK – Elektroniczna Karta Opieki Kardiologicznej) oraz systemach raportowania. Narzędzia cyfrowe mają umożliwić lepsze zarządzanie procesem leczenia, ograniczając dublowanie badań i skracając czas potrzebny na diagnozę.

Dotąd traktowana po macoszemu telemedycyna ma wrócić do łask. KPT zwraca uwagę na wyludnianie się małych miejscowości, w których zaczyna brakować lekarzy. W efekcie powstają tzw. „białe plamy” w dostępie do świadczeń. Opiekę nad pacjentami przewlekle chorymi i seniorami oraz na obszarach wiejskich mają wspierać zdalne konsultacje, systemy monitorowania parametrów zdrowotnych oraz rozwój Regionalnych Centrów Medycyny Cyfrowej.

KPT przewiduje bieżące monitorowanie realizacji działań wraz z określonymi wskaźnikami. W przypadku zdrowia publicznego zakłada się m.in. realizację co najmniej 90 proc. zadań ujętych w Narodowym Programie Zdrowia 2027–2031 oraz wydatkowanie co najmniej 750 mln zł na jego realizację. Cyfryzacja ma wspierać dostęp do usług i jednocześnie pomagać mierzyć efekty i korygować polityki zdrowia, stając się narzędziem kontroli jakości, efektywności i transparentności wydatkowania środków publicznych.

Czytaj także: Nowa ustawa wprowadzi 8 kolejnych narzędzi e-zdrowia

Ministerstwo Zdrowia opublikowało projekt ustawy wprowadzającej nowe usługi e-zdrowia, w tym e-Konsylia, Domową Opiekę Medyczną, hurtownię danych i Skróconą Kartę Zdrowia Pacjenta. Co dokładnie planuje MZ i na co muszą się przygotować świadczeniodawcy?

Aby wdrożyć kolejne narzędzia e-zdrowia finansowane z KPO (inwestycja D1.1.2), konieczne są zmiany w prawie, w tym m.in. ustawie o systemie informacji w ochronie zdrowia, ustawie o zawodach lekarza i lekarza dentysty, prawie farmaceutycznym, ustawie o prawach pacjenta oraz ustawie o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych. Te wprowadza nowa ustawa o zmianie niektórych ustaw w związku z rozwojem usług e-zdrowia zaprezentowana przez MZ w lutym br.

Te nowe rozwiązania e-zdrowia zostaną wdrożone w najbliższych latach

Ustawa zakłada budowę nowych systemów i funkcjonalności w ramach istniejącej centralnej infrastruktury e-zdrowia (P1). Pierwszym z nich jest System e-Konsylium, czyli narzędzie umożliwiające prowadzenie konsultacji (planowanych i ad hoc) w interdyscyplinarnych zespołach medycznych, w trybie 24-godzinnym, także w trakcie wizyty pacjenta w POZ lub w szpitalu. Lekarz będzie mógł uzyskać on-line szybką opinię specjalisty bez konieczności transportu pacjenta czy odraczania decyzji klinicznych. System ma integrować dane medyczne chorego z różnych źródeł i przetwarzać je „w celu zwiększenia efektywności udzielanych świadczeń”.

Drugim rozwiązaniem jest Domowa Opieka Medyczna, czyli zdalny monitoring stanu zdrowia. W pierwszej kolejności DOM obejmie pacjentów diabetologicznych oraz ze współistniejącymi chorobami kardiologicznymi. Zbierane zdalnie dane będą na bieżąco przekazywane lekarzom, co pozwoli na szybką identyfikację problemów zdrowotnych u pacjentów z grup ryzyka, ograniczając ryzyko powikłań.

Kolejny element to Hurtownia Danych e-Zdrowia – system teleinformatyczny służący do analiz danych przetwarzanych w systemie informacji medycznej (SIM) oraz identyfikacji potrzeb zdrowotnych populacji. Hurtownia ma korzystać z danych z SIM, systemów dziedzinowych i rejestrów medycznych. Dane będą poddawane pseudonimizacji, czyli zastąpieniu identyfikatorów, takich jak PESEL, stałym pseudonimem pozwalającym łączyć zdarzenia medyczne tej samej osoby bez ujawniania jej tożsamości. Hurtownia Danych e-Zdrowia jest przymiarką do wtórnego gromadzenia i przetwarzania danych medycznych w celu przyspieszenia badań naukowych nad nowymi lekami albo tworzenia innowacyjnych rozwiązań opartych na AI (trenowanie algorytmów), czyli do realizacji przepisów wynikających z Europejskiej Przestrzeni Danych dotyczących Zdrowia (EHDS).

Ustawa wprowadza również nowy typ dokumentu – Skróconą Kartę Zdrowia Pacjenta. To także element EHDS. Będzie ona zawierać kluczowe dla kontynuacji leczenia informacje, takie jak choroby przewlekłe, alergie, zrealizowane usługi medyczne czy wszczepione implanty. Dostępna z pozycji systemu gabinetowego karta pozwoli lekarzom zapoznać się z danymi zarówno pacjentów zza granicy, jak i wszystkich obywateli kraju.

Dużą zmianą jest możliwość składania przez pacjentów lub ich przedstawicieli ustawowych zamówień na e-recepty w ramach kontynuacji leczenia za pośrednictwem Internetowego Konta Pacjenta (IKP).

Projekt reguluje generowanie zindywidualizowanych analiz i raportów medycznych na podstawie danych zgromadzonych w systemie P1. Takie raporty będą mogły być wykorzystywane przez lekarzy POZ w ramach koordynacji opieki, przy orzekaniu o stanie zdrowia oraz ordynacji leków.

Dużą nowością jest integracja notatek pacjentów. Każdy będzie mógł wprowadzać do systemu e-zdrowia informacje o swoim stanie zdrowia, w tym dane z urządzeń elektronicznych monitorujących parametry zdrowotne, aktywność fizyczną czy styl życia. Będą one odpowiednio oznaczone, tak aby lekarz mógł zdecydować o ich wykorzystaniu w diagnostyce i leczeniu.

Ustawa upraszcza proces digitalizacji dokumentacji medycznej. Zamiast kwalifikowanego podpisu pracownika będzie można używać pieczęci elektronicznej podmiotu leczniczego.

Dodatkowo Centrum e-Zdrowia udostępni bezpłatne narzędzie do digitalizacji dokumentacji medycznej, które ma umożliwić podmiotom leczniczym przekształcanie dokumentów papierowych do postaci elektronicznej zgodnej ze standardami systemu P1. Rozwiązanie będzie oferowane centralnie, bez opłat licencyjnych. Zeskanowane dokumenty będą automatycznie wiązane z danymi w EDM.

MZ chce zmniejszyć obciążenia administracyjne

Do ustawy MZ dołączyło obszerne uzasadnienie. Nowe systemy e-zdrowia mają zwiększyć efektywność sektora zdrowia i optymalizować proces udzielania świadczeń. Lepszy dostęp do danych, możliwość szybkich e-konsyliów i zdalnego monitorowania mają skrócić ścieżkę diagnostyczną i poprawić ciągłość leczenia.

Drugim argumentem jest koordynacja opieki. Proponowane rozwiązania umożliwią lekarzom dostęp do danych medycznych pacjenta oraz rozszerzą katalog podmiotów uprawnionych do wglądu do danych o osoby wykonujące czynności pomocnicze w POZ, opiece kardiologicznej czy onkologicznej.

Ustawa za jednym zamachem ma też umożliwić wdrożenie rozwiązań wynikających z EHDS, czyli Europejskiej Przestrzeni Danych dotyczących Zdrowia, w tym transgraniczną wymianę danych w Unii Europejskiej. Centrum e-Zdrowia będzie pełniło rolę Krajowego Punktu Kontaktowego, odpowiedzialnego za wdrażanie Skróconej Karty Zdrowia Pacjenta i e-recept w ramach infrastruktury MyHealth@EU.

MZ zapewnia, że przepisy mają zmniejszyć obciążenia administracyjne placówek zdrowia i lekarzy dzięki uproszczeniu digitalizacji dokumentacji, wstępnym analizom danych oraz zamówieniom na recepty składanym online. Ustawa jest niezbędna, aby zrealizować kamień milowy D6G w ramach KPO, który zakłada wejście w życie aktu prawnego umożliwiającego świadczenie usług e-zdrowia w szerszym zakresie.

Kolejne miliardy na e-zdrowie

Wprowadzenie ustawy będzie miało wpływ na funkcjonowanie ok. 27 tys. podmiotów wykonujących działalność leczniczą. Za budowę i utrzymanie nowych systemów (e-Konsylium, Systemu Domowej Opieki Medycznej, Hurtowni Danych e-Zdrowia oraz rozwój funkcjonalności P1) odpowiedzialne będzie MZ.

Plany cyfryzacji nie wiążą się z kosztami po stronie placówek, a nawet mają obniżyć koszty digitalizacji m.in. dzięki możliwości stosowania pieczęci elektronicznej zamiast kwalifikowanego podpisu elektronicznego.

Z perspektywy systemu zdrowia inwestycje mają doprowadzić do integracji informacji z różnych części systemu e-zdrowia, wsparcia procesów diagnostycznych, umożliwiając prowadzenie analiz populacyjnych na podstawie danych z Hurtowni Danych e-Zdrowia. Największą zmianą dla pacjentów będzie możliwość zlecenia e-recept na kontynuację leczenia przez IKP. Nowością jest uwzględnienie w dokumentacji notatek pacjenta, np. pomiarów ciśnienia tętniczego, tętna, masy ciała, poziomu glukozy czy aktywności fizycznej. Informacje te mają być „powiązane z państwową infrastrukturą e-zdrowia”. Część z inwestycji już jest realizowana, jak przykładowo Skrócona Karta Zdrowia Pacjenta oraz Domowa Opieka Medyczna. Finansowanie z KPO obejmuje tylko okres do 30 czerwca br. – po tym terminie wszystkie wydatki będą po stronie budżetu państwa.

Czytaj także: Kiedy 100% placówek wdroży EDM? Trzy scenariusze