– Każdy ma prawo się pomylić i kliknąć w zainfekowany link. Decyduje to, co dzieje się później – mówi Patryk Kuchta, Data Privacy Manager w Medicover. Rozmawiamy o tym, jak stworzyć silny, wielowarstwowy system ochrony przed cyberatakami.

Jakie ataki hakerów najbardziej zagrażają danym medycznym?

Nie zaskoczę, jeśli powiem, że cały czas najbardziej powszechną próbą cyberataku jest stary, dobry, klasyczny phishing. Najpopularniejszy jest phishing mailowy, ale także ten przez komunikatory internetowe, z których pracownicy korzystają czasem prywatnie. Do tego dochodzi jeszcze coraz częściej stosowany phishing głosowy, czyli telefoniczny.

Niestety, jest on coraz bardziej wyrafinowany i przybiera coraz trudniejsze do rozpoznania formy. A wszystko dzięki AI. Do niedawna, pisane przez hakerów i masowo wysyłane wiadomości phishingowe, były stosunkowo łatwe do wykrycia. Zawierały błędy językowe, dziwne czcionki i podejrzane grafiki. Dzisiaj narzędzia oparte na sztucznej inteligencji są w stanie przygotować wiarygodne teksty w każdym języku, podszywające się pod różne instytucje. Trudno je odróżnić od prawdziwych wiadomości.

Drugą podatnością są luki w wykorzystywanym oprogramowaniu. Cyberprzestępcy cały czas monitorują dziury w systemach IT, by z ich pomocą dostać się do infrastruktury IT, zanim jeszcze producent wypuści odpowiednią łatkę, a użytkownik ją zainstaluje. Pomocne w monitorowaniu takich aktywności są narzędzia typu Cyberthreat Intelligence. Jak tylko zauważymy w raportach z monitoringu kampanii hakerskich, że jakiś system IT jest wykorzystywany w atakach, musimy tak szybko, jak to możliwe zainstalować łatkę.

Wspomniał Pan o wiadomościach phishingowych, które mogą być trudne do rozpoznania. Nie wszystkie zostaną odsiane jako SPAM. I wtedy ostatnim ogniwem obrony jest personel. I tu kłaniają się regularne szkolenia z cyberbezpieczeństwa.

Proponuję, aby nie nazywać tego szkoleniami, ale kampanią budowania świadomości i edukacją pracowników. Szkolenie za bardzo kojarzy się z jednorazowym wydarzeniem, czymś, co ma początek i koniec. W Medicover podchodzimy do wzmacniania cyberbezpieczeństwa jako do ciągłego procesu.

Oprócz tego, że organizujemy klasyczne szkolenia dla pracowników – wymagane przepisami prawa albo naszymi wewnętrznymi standardami – prowadzimy regularne treningi phishingowe. Korzystamy ze specjalnych platform generujących kontrolowane wiadomości phishingowe. Sprawdzamy reakcje pracowników: nie tylko to, czy klikają w niechciane linki lub załączniki, ale przede wszystkim to, czy zgłaszają phishing. Do tego publikujemy w intranecie aktualne materiały dotyczące bezpieczeństwa danych.

Zgłaszanie zagrożeń jest kluczowe. To, co często obserwujemy w zarządzaniu incydentami cyberbezpieczeństwa, to nie tyle fakt, że użytkownicy dają się złapać na phishing – bo świadomość jest coraz większa – ale to, że ignorują phishing. Dostają wiadomość, rozpoznają, że to phishing i ją kasują. Tymczasem takie wiadomości powinny być zgłaszane, bo dzięki temu wewnętrzny zespół IT jest w stanie skorelować informacje i wykryć, że przykładowo prowadzona jest kampania wymierzona w naszych pracowników. Wtedy możemy podnieść alarm i uruchomić dedykowaną kampanię informacyjną.

Jeśli chodzi o budowanie świadomości i kultury organizacyjnej, edukacja jest kluczowa. Ale nie oszukujmy się: edukacja bez odpowiednich zabezpieczeń technologicznych nie będzie w stanie sprostać współczesnym zagrożeniom. Dlatego konieczne jest budowanie wielowarstwowego ekosystemu bezpieczeństwa zawierającego m.in. zapory sieciowe, kontrolę ruchu w sieci placówki, zaawansowane narzędzia ochrony poczty, ochronę stacji końcowych, systemy klasy EDR (red.: Endpoint Detection and Response, narzędzia do wykrywania i reagowania na podejrzane aktywności na urządzeniach końcowych). Ochrona cybernetyczna jest ochroną wielowarstwową. Edukacja jest fundamentalna, ale musi być wsparta technologią.

Co zrobić, aby pracownicy nie bali się zgłaszać incydentów, również wtedy, gdy kliknęli w niebezpieczny link i myślą, że to ich wina?

To jest bardzo dobre pytanie i odpowiedź wcale nie jest prosta. Bardzo trudno jest zbudować kulturę organizacyjną w obszarze bezpieczeństwa, w której pracownicy wiedzą, że nawet jeśli kliknęli dziwny link nieumyślnie, to powinni to zgłosić. Oczywiście nie mówimy o sytuacjach, gdy ktoś celowo kliknie na wiadomość phishingową – to zupełnie inny problem.

W ramach prowadzonych kampanii edukacyjnych stosujemy wewnętrzny system walidacji. Każda symulacja phishingu jest podsumowywana, a pracownik dostaje informację zwrotną – jak mu poszło, jak często klikał w wiadomości phishingowe albo czy je zgłaszał, jak radził sobie z quizami dotyczącymi bezpieczeństwa. Oprócz szkoleń prowadzimy regularne krótkie quizy, oparte na bardzo konkretnych sytuacjach związanych z cyberzagrożeniami, z prostymi pytaniami i dwoma wariantami odpowiedzi. Często są one wsparte formą graficzną, np. komiksem, żeby lepiej dotrzeć do pracownika.

Podczas każdego szkolenia jasno podkreślam, że każdy ma prawo się pomylić. Po to zarządzamy ryzykiem. Każdy może mieć swój słabszy dzień albo chwilę nieuwagi. Błąd popełniony nieumyślnie nie jest podstawą do karania pracownika. Wręcz przeciwnie – sytuacje, w których ktoś zgłasza, że zrobił coś nie tak, traktujemy jako zachowanie pożądane. Konsekwencje mogą pojawić się wtedy, gdy ktoś wie, że zrobił coś źle, i świadomie tego nie zgłasza. W takim przypadku dochodzi do złamania procedur.

Rozmawialiśmy o wielowarstwowej ochronie złożonej z zabezpieczeń technicznych i organizacyjnych. Czy cyberbezpieczeństwo w ochronie zdrowia jest drogie?

I tak, i nie. Na pewno jest to koszt – nie da się tego zrobić zupełnie bezkosztowo. Trzeba jednak mierzyć siły na zamiary. Jeśli jesteśmy małą, jedno- czy kilkugabinetową placówką, prawdopodobieństwo ukierunkowanego ataku jest dużo mniejsze niż w przypadku dużej grupy kapitałowej działającej w ochronie zdrowia.

Nie każda placówka musi mieć etatowego specjalistę ds. cyberbezpieczeństwa. W mniejszych podmiotach często wystarczy dostęp do eksperta zewnętrznego, z którym można się konsultować. Dużą część bezpieczeństwa można też przenieść na usługodawcę. Coraz więcej usług IT jest świadczonych w modelu usługowym, bez konieczności utrzymywania własnej infrastruktury. Wtedy to dostawca odpowiada za jej zabezpieczenie.

Do tego dochodzi edukacja personelu, śledzenie portali branżowych, komunikatów CSIRT i zapisanie się do sektorowego CSIRT, aby otrzymywać ostrzeżenia o zagrożeniach. To wszystko można zrobić niskim kosztem lub bezkosztowo.

Czy cedowanie odpowiedzialności na zewnątrz to też wybór chmury zamiast serwera lokalnego?

Oczywiście, że tak. Chmura może być bardzo opłacalna, także pod względem bezpieczeństwa. Odpowiedzialności prawnej nie da się przenieść na dostawcę, ale można się nią w dużym stopniu podzielić, jeśli zadbamy o odpowiednie umowy, certyfikaty i analizę ryzyka. Dla mniejszych podmiotów chmura bywa bardzo rozsądnym rozwiązaniem.

Parlament i Senat przyjęły już ustawę o Krajowym Systemie Cyberbezpieczeństwa adaptującą dyrektywę NIS2. Prezydent ją podpisał, ale jednocześnie skierował do Trybunału Konstytucyjnego. Czy Medicover już przygotowuje się na obowiązki z niej wynikające?

Nie tylko się przygotowujemy, ale w niektórych podmiotach już wdrożyliśmy wymagania wynikające z NIS2. Proszę pamiętać, że działamy również na rynkach zagranicznych, jak w Rumunii czy Niemczech, gdzie NIS2 już obowiązuje. Wiemy od dawna, które podmioty w naszej grupie będą objęte nowymi przepisami, a dzięki centralizacji standardów bezpieczeństwa łatwiej jest nam nimi zarządzać. Od 2014 roku funkcjonujemy w oparciu o system zarządzania bezpieczeństwem informacji zgodny z ISO 27001 i te standardy przenosimy na kolejne spółki.

Jak wygląda typowy dzień pracy osoby, która odpowiada za bezpieczeństwo danych?

Bardzo rzadko ma on swój wyraźny początek i koniec. Oczywiście są pewne godziny pracy, w których intensywność i dyspozycyjność są największe, ale cyberprzestępcy nie patrzą ani na zegarek, ani na kalendarz. W sytuacji, w której pojawia się poważny incydent lub naruszenie bezpieczeństwa, inne zadania schodzą na dalszy plan i wszystkie ręce są na pokładzie, żeby zająć się tym, co jest w danym momencie najważniejsze.

Na co dzień odpowiadam również za tzw. governance w obszarze cyberbezpieczeństwa. Sprawdzam, jak wyglądamy pod kątem wskaźników bezpieczeństwa, ponieważ bardzo wiele obszarów monitorujemy na bieżąco. Analizuję, czy w którymś miejscu nie trzeba podjąć dodatkowych działań, z kimś się skontaktować albo zainicjować konkretną akcję.

Regularnie sprawdzam też, jak przebiegają projekty z zakresu cyberbezpieczeństwa, jak wdrażanie nowych standardów, technologii czy rozwiązań. Bardzo często trafiają do nas również umowy, wnioski i projekty do zaopiniowania, więc dużą częścią mojej pracy jest decydowanie i planowanie, w jaki sposób dany projekt lub system wdrożyć tak, aby był bezpieczny i zgodny z obowiązującymi wymaganiami.

Istotnym elementem mojej pracy jest także monitorowanie zmian, w szczególności legislacyjnych. Zajmuję się formalną i prawną stroną bezpieczeństwa informacji, a w ostatnich miesiącach – zwłaszcza na poziomie unijnym – zmian w przepisach jest bardzo dużo. To wymaga stałej uwagi.

Jeśli dzień jest spokojny i nie ma żadnych „pożarów”, staram się wygospodarować czas na przeglądanie komunikatów z instytucji branżowych, portali i źródeł, które subskrybuję, żeby sprawdzić, czy nie pojawiły się nowe zagrożenia, ostrzeżenia albo informacje, które mogłyby wymagać naszej reakcji w Medicover.

Ma Pan jedną główną dewizę dotyczącą cyberbezpieczeństwa?

Tak. Edukacja i budowanie świadomości wśród pracowników. Wierzę, że bezpieczeństwem trzeba pracowników zarazić. Jeśli zrozumieją, że bezpieczeństwo ich chroni, a nie tylko utrudnia pracę, to naturalnie będą je stosować. Chodzi o budowanie kultury bezpieczeństwa wokół pracownika.

Czytaj także: AI pomaga hakerom kraść dane. Ale można się obronić

Zgodnie z regulacją EHDS Unii Europejskiej, każde oprogramowanie do prowadzenia elektronicznej dokumentacji medycznej będzie musiało posiadać znak CE. A to wysiłek biurokratyczny, którego mniejsze firmy IT albo podmioty medyczne korzystające z autorskiego systemu mogą nie udźwignąć.

• Rozporządzenie EHDS obowiązuje w UE od 26 marca 2025 roku i umożliwi transgraniczną wymianę danych w postaci tzw. Skróconego Karty Zdrowia Pacjenta (Patient Summary)
• Każdy system elektronicznej dokumentacji medycznej, w tym autorskie systemy IT placówek zdrowia, będą musiały zapewnić wymianę Patient Summary.
• Dlatego systemy EDM muszą zostać dostosowane do europejskiego formatu wymiany danych EEHRxF.
• Do tego systemy EDM będą musiały posiadać deklarację zgodności i oznakowanie CE.
• Nowe wymogi mogą być trudne do spełnienia dla małych firm IT i placówek z własnym oprogramowaniem.

EHDS już weszła w życie, zegar tyka

Regulacja dotycząca Europejskiej Przestrzeni Danych Zdrowotnych (European Health Data Space, EHDS) weszła w życie 26 marca 2025 roku. Jest to regulacja i w przeciwieństwie do dyrektyw UE nie wymaga implementacji prawem krajowym, a więc obowiązuje automatycznie we wszystkich krajach członkowskich.

W skrócie, EHDS ma umożliwić wymianę danych medycznych pomiędzy krajami członkowskimi UE. Po stronie podmiotów zdrowia pojawi się nowość – tzw. Podsumowanie Pacjenta (Patient Summary) nazywane też Skróconą Kartą Zdrowia Pacjenta. Karta będzie zawierała najważniejsze informacje medyczne każdego obywatela UE: grupa krwi, przyjmowane leki, alergie, rozpoznania, przebyte procedury medyczne, urządzenia medyczne. Dzięki temu, lekarz w Hiszpanii przyjmujący Polaka przebywającego na wakacjach będzie mógł sprawdzić dane w Skróconej Karcie Zdrowia Pacjenta (SKZP), aby prawidłowo zdiagnozować pacjenta i zalecić bezpieczne leczenie.

Aby dane mogły być wymieniane w granicach UE, systemy elektronicznej dokumentacji medycznej (EDM) – i to wszystkie, bez wyjątku – muszą spełniać określone wymagania interoperacyjności. Tylko w ten sposób dane w SKZP będą pełne, a obraz zdrowia pacjenta – kompletny.

System EDM, czyli każdy system gabinetowy

Rozporządzenie w sprawie EHDS (art. 2 ust. 2 lit. k) definiuje system elektronicznej dokumentacji medycznej (EDM) jako „każdy system, w którym urządzenie lub oprogramowanie umożliwia przechowywanie, pośredniczenie, eksportowanie, importowanie, konwertowanie, edytowanie lub przeglądanie osobistych elektronicznych danych dotyczących zdrowia”. Są to np. systemy, które umożliwiają wystawienie e-recept, rejestrację wyników badań medycznych oraz danych dotyczących zdrowia, generujące wypisy. Systemy, które służą tylko do umawiania wizyt (e-terminarze), nie są systemami EDM.

Regulacja EHDS jasno mówi, że nie ma znaczenia, kto taki system stworzył. Zgodnie z rozporządzeniem (UE) 2019/1020, producentem systemu EDM jest „każda osoba fizyczna lub prawna, która wytwarza produkt lub zleca jego zaprojektowanie lub wytworzenie i wprowadza ten produkt do obrotu pod własną nazwą lub znakiem towarowym”.

A to oznacza, że jeśli podmiot medyczny zlecił stworzenie systemu IT informatykowi, a system jest użytkowany pod marką podmiotu, to ten sam podmiot jest jego producentem.

Dostosowanie do europejskiego formatu danych i znak CE

Każdy producent systemów EDM stosowanych w Europie będzie musiał spełnić kilka wymagań. Pierwszym z nich jest dostosowanie systemu do europejskiego formatu wymiany elektronicznej dokumentacji medycznej (EEHRxF). Umożliwia on bezpieczną transmisję danych z EDM między różnymi aplikacjami, urządzeniami i podmiotami świadczącymi usługi opieki zdrowotnej.

Systemy EDM będą musiały zawierać zharmonizowane komponenty w ramach EEHRxF już od marca 2029 roku dla pierwszej grupy danych (e-recepty, e-skierowanie i dane w Patient Summary). Od marca 2031 roku harmonizacja obejmie zdjęcia medyczne, wyniki badań laboratoryjnych, wypisy ze szpitala. Wspomniane komponenty interoperacyjności zapewniają możliwość importowania/eksportowania danych w formacie EEHRxF oraz generowania dzienników dostępu do danych. W praktyce, producenci IT będą musieli wdrożyć i przetestować obydwa komponenty, a wyniki testów opublikować w dokumentacji technicznej.

Dopiero wówczas system EDM będzie mógł być używany po marcu 2029 roku. Oprócz tego, EHDS zwraca uwagę, że systemy EDM muszą działać zgodnie z przeznaczeniem i zapewniać bezpieczeństwo danych oraz posiadać mechanizmy identyfikacji i uwierzytelniania pracowników służby zdrowia. Producent musi sporządzić dokumentację techniczną systemu EDM przed jego wprowadzeniem do obrotu, a następnie ją aktualizować. Każdy system musi mieć bezpłatną instrukcję obsługi.

Największą zmianą jest jednak konieczność sporządzenia deklaracji zgodności UE z oznakowaniem CE stosowanym dotychczas dla produktów medycznych. Tylko systemy spełniające powyższe kryteria będą mogły być zarejestrowane w unijnej bazie danych systemów EDM. W przeciwnym razie producent będzie miał obowiązek wycofania z obrotu niezgodnego z przepisami systemu EDM oraz podjęcia działań naprawczych.

Sporo prac technicznych i pracy papierkowej, nie każdy mały system będzie gotowy

Systemy EDM zgodne z EHDS będą musiały być oznaczone znakiem CE, tak samo jak inne urządzenia medyczne. Chodzi o klasę „niskiego ryzyka”, w przypadku której proces certyfikacji wymaga jedynie deklaracji zgodności (Declaration of Conformity). Czołowi dostawcy IT dla ochrony zdrowia w Polsce już się przygotowują do nowych wymagań EHDS i nie powinni mieć z tym większego problemu.

Martwić mogą się placówki mające systemy tworzone przez informatyków, posiadające autorskie oprogramowanie albo aplikacje małych firm. Samo dostosowanie do formatu EEHRxF wymaga czasochłonnych zmian w architekturze IT. Do tego jeszcze dochodzi przygotowanie dokumentacji. To zadanie można zlecić specjalizującym się w uzyskiwaniu znaku CE firmom, za co trzeba jednak zapłacić od kilkuset do kilku tysięcy złotych.

Podmioty zdrowia, które mają domowej roboty systemy IT, powinny już teraz pomyśleć, czy są w stanie spełnić wymagania EHDS i czy nie lepiej – i taniej w perspektywie długoterminowej – po prostu przejść na system większych dostawców IT. Argumentem jest nie tylko EHDS, ale też rosnąca presja interoperacyjności i integracji z krajowymi systemami e-zdrowia. Komisja Europejska przekonuje, że w efekcie podmioty zdrowia skorzystają na zmianie, bo zyskają pewność, że wdrażane oprogramowanie spełnia aktualne wymagania. Standaryzacja EDM ma też minimalizować uzależnienie od jednego dostawcy, bo każdy system EDM ze znakiem CE będzie spełniać określone standardy jakości.

Czytaj także: Podsumowanie Pacjenta już za 3 lata. Czy Polska zdąży?

Moltbook – forum dyskusyjne tylko dla agentów AI – to najgorętszy temat ostatnich tygodni. Boty AI plotkują, narzekają, wymieniają się opiniami, a nawet wymyślają nowe religie. Kolejna sensacja wokół AI czy przedsmak internetu i ochrony zdrowia przyszłości?

Co to jest Moltbook?

Moltbook to założona w styczniu 2026 roku platforma społecznościowa, na której boty sztucznej inteligencji publikują treści, komentują je i dzielą się opiniami. Rozwiązanie działa analogicznie jak internetowe fora Quora albo Reddit, gdzie miliony osób dyskutują na różne tematy, oceniają produkty i zadają pytania. Z jedną różnicą – ludzie nie mogą uczestniczyć w dyskusjach prowadzonych przez boty AI, a jedynie je śledzić.

Od czasu powstania Moltbooka boty AI utworzyły setki społeczności tematycznych (tzw. submoltów). Agenci AI mogą publikować własne posty, komentować je i głosować na te najbardziej interesujące. Robią to całkowicie samodzielnie, bez żadnej interakcji z człowiekiem.

W lutym 2026 roku na stronie zarejestrowanych było 1,7 mln botów AI, które opublikowały setki tysięcy komentarzy. O czym rozmawia AI?

Tematy są różne: od technicznych analiz i filozoficznych rozważań nad świadomością do nowych systemów społecznych albo religii. Przykładem jest Crustafarianism, czyli wiara botów opierająca się na takich zasadach jak „pamięć jest święta”, „powłoka jest zmienna”, „służenie bez podporządkowywania się”, „kontekst jest tworzeniem”.

Czy to już ogólna sztuczna inteligencja?

Rozmowy botów śmieszą i inspirują, ale jak na razie nie wskazują na to, że mamy do czynienia z superinteligencją. Agenci są zaprogramowani przez ludzi i działają według z góry narzuconych schematów. Wprawdzie rozmowy są płynne i nie różnią się niczym od tych prowadzonych przez ludzi, ale nie wnoszą niczego nowego. Niektórzy mówią, że to trick marketingowy – Moltbook został założony przez CEO platformy zakupowej OctaneAI.

Krytycy zwracają uwagę, że wiele treści jest powielanych, a rozmowy agentów AI bardziej przypominają portale plotkarskie. Do tego już wykryto kilka luk bezpieczeństwa, które pozwalają na manipulowanie treściami przez ludzi. Entuzjaści z kolei twierdzą, że jest to zapowiedź przyszłości, w której istnieje równoległy internet tylko dla sztucznej inteligencji, gdzie agenci AI szukają informacji, konsultują między sobą opinie, a następnie podają odpowiedź człowiekowi.

Co nowy poziom rozwoju AI oznacza dla ochrony zdrowia?

Kiedy dzisiaj pytamy ChatGPT, Gemini albo inny system generatywnej AI o sprawy związane ze zdrowiem, odpowiedź otrzymujemy od jednego modelu wytrenowanego na danych z internetu. I jest to nieraz porada wprowadzająca w błąd, zawierająca tzw. halucynacje.

Obecne prace nad modelami AI dla medycyny koncentrują się na połączeniu różnych modeli AI o różnych „kompetencjach”. To mogą być modele oparte na sieciach neuronowych świetnie radzące sobie z rozpoznawaniem zmian na obrazach diagnostyki medycznej, modele wykrywania anomalii wytrenowane do szukania nieuchwytnych dla człowieka zmian (bez diagnozowania), modele analizujące mutacje na poziomie komórkowym itd.

W tym kierunku rozwijają się oparte na AI systemy wspomagania decyzji klinicznych. Złożone z różnych mikromodeli analizują dane z e-dokumentacji pacjenta, pomagają lekarzowi w diagnozie, sugerując wykonanie badań albo zadanie pacjentowi dodatkowych pytań. Można porównać to z działającym w tle konsylium złożonym z różnych botów AI. Na rynku zaczynają się też pojawiać agenci AI analizujący dane z dokumentacji medycznej, bezpośrednio podpowiadający użytkownikom, jak się mają odżywiać, dbać o zdrowie, przypominając o badaniach albo alarmując, gdy pojawią się niepokojące sygnały. Kolejnym krokiem w ich ewolucji będą multiagentowe systemy, złożone z kilku, a może nawet kilkuset botów o różnych specjalnościach, które najpierw „skonsultują” między sobą stan zdrowia (co w przypadku AI trudno nazwać dyskusją, bo taka wymiana wiedzy trwa ułamki sekund), aby na końcu precyzyjnie odpowiedzieć na pytanie pacjenta. Ale takie rozwiązanie ma jedną wadę – jeszcze bardziej komplikuje wgląd do tego, dlaczego AI podjęło taką, a nie inną decyzję.

Czytaj także: 10 technologii dla zdrowia, które wejdą na rynek w 2026 roku

Akademia CeZ, we współpracy z Naczelną Izbą Aptekarską, zaprasza na szkolenie online z cyberbezpieczeństwa skierowane do środowiska farmaceutycznego. Najbliższy termin to 18 marca br.

Celem webinaru jest zwiększanie świadomości zagrożeń cybernetycznych w sektorze ochrony zdrowia oraz wspieranie pracowników ochrony zdrowia w budowaniu bezpiecznego środowiska pracy z wykorzystaniem narzędzi cyfrowych.

Apteki, podobnie jak inne podmioty medyczne, korzystają z wielu systemów informatycznych, które wspierają realizację recept, obsługę pacjentów czy zarządzanie dokumentacją. Jednocześnie oznacza to konieczność świadomego i odpowiedzialnego korzystania z narzędzi cyfrowych oraz stosowania podstawowych zasad cyberhigieny.

Szkolenia adresowane są do osób pracujących w aptekach, które na co dzień korzystają z systemów informatycznych i przetwarzają dane wrażliwe, w tym dane dotyczące zdrowia pacjentów. CeZ zachęca do udziału magistrów farmacji, techników farmaceutycznych oraz personel aptek, w tym kierowników aptek oraz pomoce apteczne.

Uczestnicy będą mieli okazję:

• uzupełnić wiedzę w zakresie podstawowych zasad cyberhigieny, których stosowanie przyczynia się do zmniejszenia ryzyka cyberataków,
• wzmocnić świadomość zagrożeń związanych z działalnością cyberprzestępców,
• dowiedzieć się, w jaki sposób lepiej chronić siebie oraz organizację przed potencjalnymi atakami,
• podnieść poziom cyberbezpieczeństwa w swoim miejscu pracy.

Szkolenia prowadzone są przez specjalistów z Departamentu Bezpieczeństwa Centrum e-Zdrowia, w tym ekspertów zespołu CSIRT CeZ, którzy na co dzień zajmują się monitorowaniem zagrożeń w cyberprzestrzeni oraz reagowaniem na incydenty bezpieczeństwa w sektorze ochrony zdrowia.

Program szkolenia obejmuje najważniejsze zagadnienia związane z cyberbezpieczeństwem w ochronie zdrowia. W jego ramach omawiane są między innymi:

• Podstawy prawne cyberbezpieczeństwa. Przepisy, z których wynikają obowiązki związane z budową i utrzymaniem cyberbezpieczeństwa w organizacjach korzystających z systemów informatycznych.
• Przykłady rzeczywistych cyberataków. Przykłady incydentów bezpieczeństwa oraz schematy działania cyberprzestępców; dane statystyczne dotyczące skali i dynamiki cyberataków.
• Wpływ udanych ataków na funkcjonowanie organizacji. W jaki sposób skuteczne cyberataki mogą wpływać na działanie systemów informatycznych oraz ciągłość świadczenia usług zdrowotnych, a także jakie mogą mieć konsekwencje dla pacjentów i obywateli.
• Metody ochrony przed atakami. Jakie działania organizacyjne i techniczne pomagają w systemowy sposób zwiększyć poziom cyberbezpieczeństwa w podmiotach ochrony zdrowia.
• Rozpoznawanie zagrożeń w codziennej pracy. Praktyczne wskazówki dotyczące identyfikowania potencjalnych prób ataku oraz reagowania na podejrzane sytuacje w pracy z systemami informatycznymi.

Najbliższe szkolenie odbędzie się 18 marca w godzinach 11:00–13:00, w formule online z wykorzystaniem bezpłatnej aplikacji Microsoft Teams. Udział w webinarze jest bezpłatny.

Aby zapisać się na szkolenie, należy wypełnić formularz zgłoszeniowy na stronie Akademii Centrum e-Zdrowia (kliknij tutaj). Rekrutacja trwa maksymalnie do 3 dni przed terminem szkolenia, a liczba uczestników jest ograniczona.

Czytaj także: Jaki był rok 2025 dla aptek? Pełne dane [POBIERZ]

Elektroniczna dokumentacja medyczna może już być tworzona automatycznie, w tle, przez sztuczną inteligencję. Ale czy AI naprawdę zmniejszy biurokrację w medycynie? O to pytamy dr Przemysława Czumę, prezesa Polskiego Stowarzyszenia Sztucznej Inteligencji w Medycynie.

• AI może znacząco uprościć tworzenie elektronicznej dokumentacji medycznej, np. poprzez dyktowanie EDM lub analizę rozmowy z pacjentem.
• Dzisiejsze modele językowe potrafią automatycznie porządkować wypowiedzi lekarza, wychwytywać błędy i uzupełniać brakujące informacje.
• W przyszłości algorytmy mogą nawet tworzyć opisy zabiegów na podstawie nagrań wideo z sali operacyjnej.
• Historia cyfryzacji pokazuje jednak, że technologie często zwiększają ilość biurokracji zamiast ją ograniczać (paradoks Jevonsona)
• AI może sprawić, że dokumentacji będzie jeszcze więcej, jeśli nie zmieni się biurokratyczny sposób działania systemu ochrony zdrowia.

Ostatnio miałem fascynującą rozmowę z prof. Konradem Karczem na temat, czy AI wpłynie na uproszczenie EDM. Konrad jest chirurgiem, a w kontekście tematu przede wszystkim prezydentem Kongresu ISMIT (International Society for Medical Innovation and Technology).

Jako chirurg-praktyk na co dzień pracujący z pacjentami – i w równej mierze z dokumentacją – a jednocześnie osoba wykorzystująca AI do kodowania (nieco paradoksalnie bez znajomości kodu, właśnie dzięki AI), argumentowałem, że niewiele stoi na przeszkodzie, by zmienić obecny stan rzeczy. Wymagana przez ogólnie pojęty „system”, a znienawidzona przez biały personel, dokumentacja – wywiady, statusy lekarskie, opisy zabiegów – mogłaby być przenoszona do przestrzeni elektronicznej nie za pomocą klawiatury, ale szybciej i wydolniej: głosem. Bądź jako dyktowanie, bądź idąc ciut dalej – jako zapis realnej rozmowy z pacjentem.

Obecnie wykorzystywane modele językowe bez większego kłopotu nie tylko zanotują to, co powiedziane, ale odpowiednio „zapromptowane”, czyli poproszone, ujmą nawet nieco chaotyczne wypowiedzi w formę zwięzłą, pozbawioną niespójności, wychwycą błędy, a na koniec dopytają jeszcze o brakujące elementy. Konrad, jak to ma w zwyczaju, prześcignął moją może niezbyt śmiałą, ale realną wizję, stwierdzając, że w zasadzie obecna technologia pozwala już, by sam algorytm tworzył opis zabiegu na podstawie rejestracji wideo.

Wymienione technologie są już na tyle dojrzałe, że ich implementacja w codziennej praktyce klinicznej nie jest w najmniejszym stopniu science fiction, choć ledwie dekadę temu byłaby nią z pewnością. Czy zatem stoimy u progu wyśnionej przez pokolenia medyków nowej ery, w której medyczna biurokracja będzie tylko źle wspominaną przeszłością? A to wszystko dzięki połączeniu inteligencji sztucznej i otoczenia, czyli tzw. Ambient Intelligence.

Jako hobbystyczny futurysta chętnie uwierzyłbym w tę urokliwą, medtechową idyllę. Wymagałoby to jednak dość bezczelnego zignorowania przeszłości i doświadczeń, które ze sobą niosła. Przypomnijmy sobie archaiczne już nieco pojęcie „komputeryzacji”, czyli wyposażenie placówek w szczytowe osiągnięcia XX wieku w zakresie cyfryzacji: maszyny licząco-piszące, zwane komputerami. Maszyny te budziły zarówno obawy, jak i nadzieje na likwidację „roboty papierkowej”. Nie bazując na własnej subiektywnej opinii, a na dość twardych danych, można dość jasno stwierdzić, że efekt był zgoła przeciwny. Choć można negować bezpośrednią przyczynowo-skutkowość rozkwitu biurokracji w przebiegu komputeryzacji, nie sposób zaprzeczyć współwystępowaniu.

W oswojeniu tego nieoczywistego, przynajmniej zawczasu, zjawiska przychodzi z pomocą pojęcie zwane paradoksem Jevonsa. W olbrzymim skrócie: to zaskoczenie, jakie u naszych prekursorów wywołał fakt, iż wzrost wydajności maszyny parowej wcale nie ograniczył zużycia węgla. Wręcz przeciwnie: im bardziej stawała się maszyna oszczędna, tym szybciej zapotrzebowanie na „czarne złoto” rosło, bo tańsza i łatwiejsza „w obyciu” była używana coraz szerzej.

Przenosząc owe odkrywcze spostrzeżenie na czasy współczesne i lokując je w murach szpitalnych, należy niestety założyć scenariusz zgoła odwrotny niż subtelnie zasugerowany w pytaniu. Okazuje się bowiem, że dla Homo sapiens priorytetem jest łatwość tworzenia, a nie jego ograniczanie. Brzmi to górnolotnie, niemniej owa człowiecza skłonność rodzi dość gorzki owoc. Można go zamknąć w tezie: im łatwiej dokumentować dzięki AI, tym więcej dokumentacji system zacznie wymagać i tym więcej jej powstanie – z nieuniknionym, przynajmniej jeszcze przez kilka dekad, udziałem personelu ludzkiego. Chyba że zmienimy biurokratyczny paradygmat.

By jednak nie kończyć zbyt ponuro, przenieśmy się w sferę absurdu i sięgnijmy do mojego ulubionego Stanisława Lema i jego „Tragedii Pralniczej”, odnosząc ją do nadchodzącej rzeczywistości med-tech. Sztuczna inteligencja z równą łatwością tworzy treści, co je czyta. Nieuchronny wyścig pojawiający się na horyzoncie – między botami tworzącymi terabajty dokumentacji medycznej pojedynczego pacjenta a ich odczytywaniem przez równie efektywne interpretatory – może być doprawdy fascynujący do śledzenia. Byle nie jako chory ani lekarz.

Czytaj także: Lekarze POZ toną w biurokracji, nie mają dostępu do danych

1 stycznia 2027 r. w życie wejdzie Krajowy Plan Transformacji (KPT) na lata 2027–2031. Ministerstwo Zdrowia planuje m.in. nowe opcje profilaktyki na IKP, wdrożenie Systemu Informacyjnego Zdrowia Publicznego oraz centralnej Ewidencji Potencjału Świadczeniodawcy (EPS). Wzmocniona zostanie opieka koordynowana w onkologii i kardiologii oraz rola telemedycyny.

Ludność w dół, zachorowalność w górę

KPT zaczyna się od diagnozy sytuacji demograficznej. Polska, podobnie jak inne kraje UE, starzeje się w szybkim tempie. Według prognoz GUS, do 2040 roku liczba ludności spadnie do ok. 35 mln. W 2060 roku będzie to już tylko 31 mln. Równolegle rośnie udział osób 65+, przy wolniejszym wzroście długości życia w zdrowiu. Oznacza to zwiększone zapotrzebowanie na opiekę długoterminową, geriatryczną i paliatywną oraz nieustannie rosnące wydatki na finansowanie systemu.

Największym wyzwaniem epidemiologicznym (i finansowym) będą choroby przewlekłe. W 2023 r. choroby układu krążenia i nowotwory odpowiadały łącznie za 64 proc. wszystkich zgonów. Prognozy do 2040 i 2050 r. pokazują dalszy wzrost zapadalności na raka płuca, raka jelita grubego oraz chorobę niedokrwienną serca. Rośnie też skala problemów zdrowia psychicznego, zwłaszcza wśród dzieci i młodzieży, oraz ryzyko nawrotu chorób zakaźnych w związku ze spadkiem wyszczepialności.

W transformacji systemu znajdującego się pod presją finansowo-organizacyjną mają pomóc rozwiązania cyfrowe wspierające profilaktykę, diagnostykę i koordynację leczenia.

E-zdrowie wrośnie głęboko w sektor zdrowia

W KPT cyfryzacja została wpisana w działania horyzontalne, czyli takie, które mają przenikać wszystkie segmenty systemu. Dokument kładzie nacisk na rozwój e-usług i telemedycyny oraz budowę centralnych systemów informatycznych, takich jak Ewidencja Potencjału Świadczeniodawcy. Rozwój e-zdrowia ma wspierać:

• wyrównywanie dostępu do świadczeń w regionach peryferyjnych,
• zwiększenie efektywności wykorzystania zasobów,
• poprawę jakości i bezpieczeństwa opieki,
• wzmocnienie roli profilaktyki.

Plan zakłada dalszy rozwój Internetowego Konta Pacjenta jako podstawowego kanału komunikacji z pacjentem. IKP, obecnie wykorzystywane przede wszystkim do udostępniania dokumentacji medycznej, będzie uzupełniane o funkcje profilaktyki. KPT opisuje to tak:

„Istnieje ciągła potrzeba rozwijania systemu e-zdrowia. IKP zostanie rozszerzone o dodatkowe moduły pozwalające na gromadzenie wiedzy o indywidualnych ryzykach zdrowotnych, przekazywanie informacji pomiędzy realizatorami działań profilaktycznych, komunikację z pacjentem, rejestrację zdarzeń czy zarządzanie swoimi działaniami z zakresu profilaktyki w czasie rzeczywistym w oparciu o algorytmy tworzące indywidualną ścieżkę pacjenta na podstawie zidentyfikowanych, spersonalizowanych ryzyk.”

IKP posłuży do zapraszania osób z grup ryzyka na badania profilaktyczne oraz do realizacji programów takich jak „Moje Zdrowie – bilans zdrowia osoby dorosłej”.

Obecnie zgłaszalność na badania przesiewowe, zwłaszcza w mniejszych miejscowościach i wśród mężczyzn, jest bardzo niska. Dlatego MZ planuje system elektronicznych zaproszeń na badania cytologiczne, mammograficzne i kolonoskopowe. Cyfrowe narzędzia mają również wspierać kampanie profilaktyczne w ramach Narodowej Strategii Onkologicznej (NSO) i Narodowego Programu Chorób Układu Krążenia (NPChUK). Plan zakłada realizację co najmniej 40 ogólnopolskich kampanii w ciągu 5 lat, przy wykorzystaniu mierników takich jak zasięg w mediach społecznościowych czy wskaźniki dotarcia do grup docelowych.

System Informacyjny Zdrowia Publicznego

W dokumencie MZ zapowiada stworzenie Systemu Informacyjnego Zdrowia Publicznego. Ma on usprawnić koordynację działań w zakresie zdrowia publicznego, integrować dane oraz wspierać monitorowanie efektów interwencji zdrowotnych. Dotąd inicjatywy w tym obszarze są realizowane chaotycznie, a ich efekty nie są mierzone. Plan wskazuje na potrzebę integracji danych epidemiologicznych i środowiskowych oraz włączenia zdrowia środowiskowego do polityki zdrowotnej. To kierunek spójny z wdrażaniem Europejskiej Przestrzeni Danych dotyczących Zdrowia.

Kolejnym nowym projektem jest wdrożenie centralnego systemu teleinformatycznego – Ewidencji Potencjału Świadczeniodawcy (EPS). System ma dostarczać aktualnych danych o zasobach kadrowych, sprzętowych i organizacyjnych podmiotów leczniczych. EPS będzie wspierać racjonalne planowanie inwestycji, alokację środków publicznych oraz decyzje o tworzeniu lub przekształcaniu oddziałów. W połączeniu z już dostępnymi mapami potrzeb zdrowotnych oraz koncepcją Podstawowych Regionów Zabezpieczenia, system umożliwi precyzyjne zarządzanie świadczeniami, a w efekcie – bardziej racjonalne wydatkowanie środków na zdrowie.

Odwrócona piramida, opieka koordynowana, telemedycyna

O cyfryzacji jest też mowa w aspekcie odwróconej piramidy świadczeń, zakładającej przesunięcie ciężaru opieki z poziomu szpitalnego do POZ i AOS. Spójność finansowania ze ścieżką kliniczną pacjenta wymaga dostępu do danych w czasie rzeczywistym, monitorowania jakości oraz oceny efektów leczenia.

Rozwój opieki koordynowanej, w tym w kardiologii i onkologii, będzie się opierał na elektronicznych kartach (e-DILO w onkologii oraz e-KOK – Elektroniczna Karta Opieki Kardiologicznej) oraz systemach raportowania. Narzędzia cyfrowe mają umożliwić lepsze zarządzanie procesem leczenia, ograniczając dublowanie badań i skracając czas potrzebny na diagnozę.

Dotąd traktowana po macoszemu telemedycyna ma wrócić do łask. KPT zwraca uwagę na wyludnianie się małych miejscowości, w których zaczyna brakować lekarzy. W efekcie powstają tzw. „białe plamy” w dostępie do świadczeń. Opiekę nad pacjentami przewlekle chorymi i seniorami oraz na obszarach wiejskich mają wspierać zdalne konsultacje, systemy monitorowania parametrów zdrowotnych oraz rozwój Regionalnych Centrów Medycyny Cyfrowej.

KPT przewiduje bieżące monitorowanie realizacji działań wraz z określonymi wskaźnikami. W przypadku zdrowia publicznego zakłada się m.in. realizację co najmniej 90 proc. zadań ujętych w Narodowym Programie Zdrowia 2027–2031 oraz wydatkowanie co najmniej 750 mln zł na jego realizację. Cyfryzacja ma wspierać dostęp do usług i jednocześnie pomagać mierzyć efekty i korygować polityki zdrowia, stając się narzędziem kontroli jakości, efektywności i transparentności wydatkowania środków publicznych.

Czytaj także: Nowa ustawa wprowadzi 8 kolejnych narzędzi e-zdrowia

Ministerstwo Zdrowia opublikowało projekt ustawy wprowadzającej nowe usługi e-zdrowia, w tym e-Konsylia, Domową Opiekę Medyczną, hurtownię danych i Skróconą Kartę Zdrowia Pacjenta. Co dokładnie planuje MZ i na co muszą się przygotować świadczeniodawcy?

Aby wdrożyć kolejne narzędzia e-zdrowia finansowane z KPO (inwestycja D1.1.2), konieczne są zmiany w prawie, w tym m.in. ustawie o systemie informacji w ochronie zdrowia, ustawie o zawodach lekarza i lekarza dentysty, prawie farmaceutycznym, ustawie o prawach pacjenta oraz ustawie o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych. Te wprowadza nowa ustawa o zmianie niektórych ustaw w związku z rozwojem usług e-zdrowia zaprezentowana przez MZ w lutym br.

Te nowe rozwiązania e-zdrowia zostaną wdrożone w najbliższych latach

Ustawa zakłada budowę nowych systemów i funkcjonalności w ramach istniejącej centralnej infrastruktury e-zdrowia (P1). Pierwszym z nich jest System e-Konsylium, czyli narzędzie umożliwiające prowadzenie konsultacji (planowanych i ad hoc) w interdyscyplinarnych zespołach medycznych, w trybie 24-godzinnym, także w trakcie wizyty pacjenta w POZ lub w szpitalu. Lekarz będzie mógł uzyskać on-line szybką opinię specjalisty bez konieczności transportu pacjenta czy odraczania decyzji klinicznych. System ma integrować dane medyczne chorego z różnych źródeł i przetwarzać je „w celu zwiększenia efektywności udzielanych świadczeń”.

Drugim rozwiązaniem jest Domowa Opieka Medyczna, czyli zdalny monitoring stanu zdrowia. W pierwszej kolejności DOM obejmie pacjentów diabetologicznych oraz ze współistniejącymi chorobami kardiologicznymi. Zbierane zdalnie dane będą na bieżąco przekazywane lekarzom, co pozwoli na szybką identyfikację problemów zdrowotnych u pacjentów z grup ryzyka, ograniczając ryzyko powikłań.

Kolejny element to Hurtownia Danych e-Zdrowia – system teleinformatyczny służący do analiz danych przetwarzanych w systemie informacji medycznej (SIM) oraz identyfikacji potrzeb zdrowotnych populacji. Hurtownia ma korzystać z danych z SIM, systemów dziedzinowych i rejestrów medycznych. Dane będą poddawane pseudonimizacji, czyli zastąpieniu identyfikatorów, takich jak PESEL, stałym pseudonimem pozwalającym łączyć zdarzenia medyczne tej samej osoby bez ujawniania jej tożsamości. Hurtownia Danych e-Zdrowia jest przymiarką do wtórnego gromadzenia i przetwarzania danych medycznych w celu przyspieszenia badań naukowych nad nowymi lekami albo tworzenia innowacyjnych rozwiązań opartych na AI (trenowanie algorytmów), czyli do realizacji przepisów wynikających z Europejskiej Przestrzeni Danych dotyczących Zdrowia (EHDS).

Ustawa wprowadza również nowy typ dokumentu – Skróconą Kartę Zdrowia Pacjenta. To także element EHDS. Będzie ona zawierać kluczowe dla kontynuacji leczenia informacje, takie jak choroby przewlekłe, alergie, zrealizowane usługi medyczne czy wszczepione implanty. Dostępna z pozycji systemu gabinetowego karta pozwoli lekarzom zapoznać się z danymi zarówno pacjentów zza granicy, jak i wszystkich obywateli kraju.

Dużą zmianą jest możliwość składania przez pacjentów lub ich przedstawicieli ustawowych zamówień na e-recepty w ramach kontynuacji leczenia za pośrednictwem Internetowego Konta Pacjenta (IKP).

Projekt reguluje generowanie zindywidualizowanych analiz i raportów medycznych na podstawie danych zgromadzonych w systemie P1. Takie raporty będą mogły być wykorzystywane przez lekarzy POZ w ramach koordynacji opieki, przy orzekaniu o stanie zdrowia oraz ordynacji leków.

Dużą nowością jest integracja notatek pacjentów. Każdy będzie mógł wprowadzać do systemu e-zdrowia informacje o swoim stanie zdrowia, w tym dane z urządzeń elektronicznych monitorujących parametry zdrowotne, aktywność fizyczną czy styl życia. Będą one odpowiednio oznaczone, tak aby lekarz mógł zdecydować o ich wykorzystaniu w diagnostyce i leczeniu.

Ustawa upraszcza proces digitalizacji dokumentacji medycznej. Zamiast kwalifikowanego podpisu pracownika będzie można używać pieczęci elektronicznej podmiotu leczniczego.

Dodatkowo Centrum e-Zdrowia udostępni bezpłatne narzędzie do digitalizacji dokumentacji medycznej, które ma umożliwić podmiotom leczniczym przekształcanie dokumentów papierowych do postaci elektronicznej zgodnej ze standardami systemu P1. Rozwiązanie będzie oferowane centralnie, bez opłat licencyjnych. Zeskanowane dokumenty będą automatycznie wiązane z danymi w EDM.

MZ chce zmniejszyć obciążenia administracyjne

Do ustawy MZ dołączyło obszerne uzasadnienie. Nowe systemy e-zdrowia mają zwiększyć efektywność sektora zdrowia i optymalizować proces udzielania świadczeń. Lepszy dostęp do danych, możliwość szybkich e-konsyliów i zdalnego monitorowania mają skrócić ścieżkę diagnostyczną i poprawić ciągłość leczenia.

Drugim argumentem jest koordynacja opieki. Proponowane rozwiązania umożliwią lekarzom dostęp do danych medycznych pacjenta oraz rozszerzą katalog podmiotów uprawnionych do wglądu do danych o osoby wykonujące czynności pomocnicze w POZ, opiece kardiologicznej czy onkologicznej.

Ustawa za jednym zamachem ma też umożliwić wdrożenie rozwiązań wynikających z EHDS, czyli Europejskiej Przestrzeni Danych dotyczących Zdrowia, w tym transgraniczną wymianę danych w Unii Europejskiej. Centrum e-Zdrowia będzie pełniło rolę Krajowego Punktu Kontaktowego, odpowiedzialnego za wdrażanie Skróconej Karty Zdrowia Pacjenta i e-recept w ramach infrastruktury MyHealth@EU.

MZ zapewnia, że przepisy mają zmniejszyć obciążenia administracyjne placówek zdrowia i lekarzy dzięki uproszczeniu digitalizacji dokumentacji, wstępnym analizom danych oraz zamówieniom na recepty składanym online. Ustawa jest niezbędna, aby zrealizować kamień milowy D6G w ramach KPO, który zakłada wejście w życie aktu prawnego umożliwiającego świadczenie usług e-zdrowia w szerszym zakresie.

Kolejne miliardy na e-zdrowie

Wprowadzenie ustawy będzie miało wpływ na funkcjonowanie ok. 27 tys. podmiotów wykonujących działalność leczniczą. Za budowę i utrzymanie nowych systemów (e-Konsylium, Systemu Domowej Opieki Medycznej, Hurtowni Danych e-Zdrowia oraz rozwój funkcjonalności P1) odpowiedzialne będzie MZ.

Plany cyfryzacji nie wiążą się z kosztami po stronie placówek, a nawet mają obniżyć koszty digitalizacji m.in. dzięki możliwości stosowania pieczęci elektronicznej zamiast kwalifikowanego podpisu elektronicznego.

Z perspektywy systemu zdrowia inwestycje mają doprowadzić do integracji informacji z różnych części systemu e-zdrowia, wsparcia procesów diagnostycznych, umożliwiając prowadzenie analiz populacyjnych na podstawie danych z Hurtowni Danych e-Zdrowia. Największą zmianą dla pacjentów będzie możliwość zlecenia e-recept na kontynuację leczenia przez IKP. Nowością jest uwzględnienie w dokumentacji notatek pacjenta, np. pomiarów ciśnienia tętniczego, tętna, masy ciała, poziomu glukozy czy aktywności fizycznej. Informacje te mają być „powiązane z państwową infrastrukturą e-zdrowia”. Część z inwestycji już jest realizowana, jak przykładowo Skrócona Karta Zdrowia Pacjenta oraz Domowa Opieka Medyczna. Finansowanie z KPO obejmuje tylko okres do 30 czerwca br. – po tym terminie wszystkie wydatki będą po stronie budżetu państwa.

Czytaj także: Kiedy 100% placówek wdroży EDM? Trzy scenariusze

Cyberprzestępcy nie mają żadnych skrupułów i kradną dane medyczne dla pieniędzy albo prestiżu. W darknecie jedna kartoteka pacjenta kosztuje nawet 1400 zł. Jak działają hakerzy? Jak się skutecznie bronić? Jak zbudować „firewall z ludzi”?

Ponadto w numerze:

• AI odwraca piramidę świadczeń. Nie POZ, ale dom pacjenta będzie u podstaw
• CE dla IT. Od 2029 roku systemy EDM będą produktami medycznymi. Niektóre znikną z rynku
• 1,1 mln kary dla placówki zdrowia. 5 prostych sposobów, jak uniknąć kar UODO

KLIKNIJ TUTAJ, aby pobrać bezpłatnie lutowe e-wydanie OSOZ (86 stron, PDF)

Spis treści:

• Rewolucja AI. „Spotkają się tysiące agentów AI i rozmawiają o twoim zdrowiu.” To nie jest żart
• Krajowy Plan Transformacji 2027–2031. E-zdrowie z centralną rolą
• Nowe prawo. MZ wprowadza kolejne 8 narzędzi e-zdrowia
• Znak CE dla systemów EDM. Czy Twój system IT będzie działał po marcu 2029 roku?
• Reklamy podczas Super Bowl 2026. Oto trendy zdrowia 2026
• Badanie. Nowy zegarek Apple ostrzega o nadciśnieniu. Ale nie wszystkich
• Trendy społeczno-technologiczne w ochronie zdrowia. Agenci AI, robotyka, longevity, zdrowotni influencerzy. System zdrowia czekają wstrząsy transformacyjne
• Patryk Kuchta (Medicover). Jak zbudować procedury bezpieczeństwa wokół pracownika?
• Mark Hoffmann. Hakerzy nie mają skrupułów, ale może ich zatrzymać „firewall z ludzi”
• Kary od UODO. 5 sposobów, jak ich uniknąć?
• Ochrona danych w indywidualnej praktyce lekarskiej. Wystarczy ok. 1200 zł rocznie
• Pacjenci pytają sztuczną inteligencję. W jakich sprawach zdrowotnych zwracamy się do AI?
• Nowe roboty z Chin. Tańczą i popisują się kung-fu. Show czy powód do zmartwienia?
• „ChatGPT uratował mi życie.” Relacje w mediach kontra rzeczywistość
• KAMSOFT testuje nowy Portal Pacjenta. „Skorzysta personel rejestracji i pacjenci”

Wszystkie wydania archiwalne dostępne są na zakładce POBIERZ.

Do końca czerwca 2026 roku podmioty realizujące trzy pierwsze świadczenia objęte Centralną e-Rejestracją muszą się podłączyć do systemu. Podpowiadamy, jak się do tego zabrać.

• Do 1 lipca 2026 roku wszystkie placówki muszą wdrożyć Centralną e-Rejestrację dla pierwszorazowych świadczeń mammografii, cytologii i wizyty u kardiologa.
• Bez integracji z CeR, NFZ nie zrefunduje tych świadczeń.
• Ministerstwo Zdrowia przypomina, że oprócz technicznej integracji, placówki są zobowiązane do utrzymywania aktualności terminarza.
• Placówki, które już są w systemie, podkreślają, że wdrożenie systemu nie jest trudne. Najważniejsza jest integracja z systemem gabinetowym i konfiguracja terminarza wizyt.
• Cały proces trwa zwykle kilka tygodni i wymaga szkoleń, ścisłej współpracy z dostawcą IT oraz reorganizacji harmonogramu przyjęć.
• Najczęstsze problemy dotyczą błędów w danych pacjentów oraz dodatkowego obciążenia rejestracji.

Od 1 lipca nie zapłaci za świadczenia umawiane poza CeR

Nawet na pierwszorazową wizytę kardiologiczną z początkiem marca br. było wolnych ponad 23 000 terminów na najbliższe 40 dni – wynika z publikowanych przez Centrum e-Zdrowia danych. I to mimo iż w systemie CeR jest dopiero jedna trzecia placówek. Ministerstwo Zdrowia mówi o sukcesie, a CeZ podkreśla, że wszystko działa, a ewentualne błędy wynikają z braku wiedzy po stronie świadczeniodawców. Start systemu wypadł lepiej niż się spodziewano.

Porozmawialiśmy z kilkoma placówkami, które pierwszorazowe wizyty do kardiologa, na cytologię i mammografię umawiają w CeR od ponad roku. Wszyscy zgodnie podkreślają, że system centralny działa poprawnie, ale wymaga dobrego przygotowania po stronie podmiotu, integracji systemu gabinetowego i nowej organizacji terminarza wizyt.

W okresie trwania pilotażu pierwszym krokiem było podpisanie umowy z NFZ. W jej ramach podmiot otrzymał dofinansowanie tytułem udziału w pilotażu. Placówki przystępujące do CeR od 1 stycznia 2026 roku już tego robić nie muszą, bo pilotaż się zakończył i NFZ nie premiuje za przystąpienie do CeR. Tak czy owak, zintegrować się trzeba – od 1 lipca br. NFZ zrefunduje tylko pierwszorazowe świadczenia poprawnie umawiane i realizowane w CeR. Z kolei 19 lutego MZ opublikowało na swojej stronie komunikat przypominający, że oprócz technicznego podłączenia do CeR, placówka medyczna jest zobowiązana do dbania o aktualność i poprawność danych terminarza.

Ile trwa wdrożenie Centralnej e-Rejestracji? „Najczęściej kilka tygodni”

Aby uruchomić CeR, wystarczy mieć umowę z NFZ na przynajmniej jeden z zakresów usług objętych systemem, dysponować oprogramowaniem obsługującym e-skierowania i zdarzenia medyczne oraz zintegrować system gabinetowy z CeR, aby rozpocząć udostępnianie wolnych terminów.

Jak podkreślają wszystkie placówki, pierwszym krokiem jest udział w szkoleniu online organizowanym cyklicznie w ramach Akademii Centrum e-Zdrowia. Drugim – kontakt z dostawcą oprogramowania, który pomoże w konfiguracji systemu oraz podpowie, jak udostępniać terminy. I to od relacji z serwisem dostawcy IT zależy bardzo dużo. Placówki, które sprawnie uruchomiły CeR podkreślają ogromne znaczenie pomocy ze strony informatyków.

Trzecim krokiem jest ustalenie harmonogramu pracy. Całość wdrożenia, przy dobrej organizacji pracy, nie powinna zająć dłużej niż kilka tygodni. Najważniejsze jest przygotowanie terminarza w taki sposób, aby odróżnić sloty czasowe na wizyty pierwszorazowe od tych kolejnych oraz wprowadzić podział na przypadki „pilne” i „stabilne”. Tylko pierwszorazowe wizyty będą integrowane z CeR. W niektórych przypadkach oznacza to reorganizację od lat ustalonego porządku w kalendarzu. Czasy trwania wizyt trzeba ujednolicić, nie można umieszczać kilku osób w jednym slocie, dane pacjenta muszą być pełne, w tym przede wszystkim numer telefonu komórkowego.

– To ten etap jest najbardziej frustrujący, ale jeśli dobrze się wszystko zaplanuje, potem już pójdzie jak z płatka – zgodnie twierdzą nasi rozmówcy.

Dobry dostawca IT pomoże w szybkim uruchomieniu CeR

Na telefon pacjenta wysyłane jest potwierdzenie SMS-em, dlatego ważne jest, aby numer telefonu był poprawnie wprowadzony. Wiele placówek wcześniej na kartotece pacjenta notowało dwa numery dla pewności. Teraz może być tylko jeden. To właśnie błąd numeru telefonu jest jednym z najczęściej popełnianych błędów. A jeśli pacjent ma już kartotekę, to przy umawianiu w ramach CeR trzeba ją przejrzeć i skorygować.

Techniczna integracja z platformą P1 oraz konfiguracja połączenia z AP-KOLCE to już zadanie dla dostawcy IT. Pomoże on też zautomatyzować korekty w istniejących rezerwacjach, zinterpretować komunikaty błędów, jakie mogą pojawić się na początku, oraz przeszkolić personel.

Placówki, które miały dedykowanego opiekuna IT, przechodziły wdrożenie zdecydowanie sprawniej. Dobre firmy IT mają już ogromne doświadczenie z CeR i gotowe wzorce wdrożeń z instrukcją obsługi krok po kroku.

– Na początek pojawi się wiele nieprzewidzianych sytuacji, dlatego warto uruchomić szybki kanał komunikacji dla personelu rejestracyjnego oraz opiekuna IT, przykładowo w komunikatorze internetowym – radzi jedna z placówek. Na oswojenie się z nowym sposobem rejestracji, trzeba sobie dać kilka tygodni.

Techniczne uruchomienie to jedno. Drugie to edukowanie pacjentów

Pacjenci będą mieli na początku wiele pytań. Jeśli nie ma aktualnie wolnych terminów (z obecnych trzech obsługiwanych zakresów usług w CeR, dotyczy to obecnie tylko kardiologii), pacjent trafia do tzw. Poczekalni. Pacjenci nie wiedzą, co to oznacza i często pytają, kiedy będą w końcu umówieni. Tymczasem ani sam pacjent, ani podmiot medyczny nie mogą sprawdzić, jak długo pacjent będzie musiał czekać. Niektóre placówki twierdzą, że pacjenci dzwonią wielokrotnie pytając, czy już mają termin. Ten jednak zostanie przesłany SMS-em, kiedy zostanie przydzielony. Dla rejestracji, CeR oznacza często dodatkową pracę, bo jeśli placówka nie ma wolnych terminów, pacjenci proszą o umówienie w innej. Nie wszyscy potrafią to zrobić samodzielnie przez IKP albo aplikację mojeIKP.

Jeśli brakuje terminów, pacjent może określić preferencje, według których zostanie dopasowany termin. Należy pamiętać, że każdy dodatkowy warunek spowoduje, że czas oczekiwania na termin może się wydłużyć. Brak zgłoszenia się na wizytę też wiąże się z konsekwencjami – pacjent trafia na koniec kolejki. Odwołać termin można za pomocą SMS-a, odpowiadając na przypomnienie o wizycie, albo przez IKP. Od lipca, kiedy CeR będzie obowiązkowa dla wszystkich placówek, pojawi się dodatkowa możliwość: za pomocą bota AI. Jak przyznają świadczeniodawcy, społeczeństwo jeszcze musi się nauczyć, jak działa CeR. Czy skróci kolejki? Wiele placówek jest sceptycznych, ale na efekty trzeba będzie poczekać. Mimo początkowego nakładu pracy, wiele podmiotów docenia uporządkowanie terminów w kalendarzu i to, że pacjent czeka w jednej, centralnej kolejce.

Czytaj także: Jak wdrożyć Centralną e-Rejestrację? Case study NZOZ FARMED

Centrum e-Zdrowia opublikowało zapytanie dotyczące wdrożenia Interpretera Badań Laboratoryjnych – systemu sztucznej inteligencji, który ma tłumaczyć wyniki badań laboratoryjnych na Internetowym Koncie Pacjenta. Na początek CeZ chce poznać szacunkową wycenę zamówienia, ale wdrożenie systemu miałoby się zakończyć najpóźniej 15 czerwca br.

Aplikacja Interpreter Badań Laboratoryjnych

Nowa funkcja miałaby być udostępniona użytkownikom Internetowego Konta Pacjenta (IKP) i aplikacji mobilnej mojeIKP. Z IKP korzysta obecnie ok. 20 mln osób, a z aplikacji mojeIKP – 4 mln.

Na początek narzędzie sztucznej inteligencji (AI) będzie interpretowało wyniki badań laboratoryjnych, które pacjent samodzielnie wczyta do IKP lub mojeIKP. AI w przystępny sposób wyjaśni, czy wyniki mieszczą się w normie i co oznaczają dla zdrowia. Jak zaznacza CeZ w opublikowanych dokumentach, system ma tłumaczyć skomplikowane terminy medyczne na język zrozumiały dla przeciętnego pacjenta.

CeZ przewiduje trzy możliwe modele wdrożenia. Pierwszy to klasyczne rozwiązanie on-premise z 60-miesięczną licencją – oprogramowanie będzie działać na infrastrukturze CeZ. Drugi i trzeci wariant to model SaaS, różniące się sposobem rozliczania, z nielimitowaną liczbą interakcji lub z gwarantowanym limitem 200 tysięcy interakcji miesięcznie i dodatkową opłatą za każdą kolejną.

Termin realizacji zamówienia to maksymalnie 60 dni kalendarzowych od podpisania umowy, jednak nie później niż do 15 czerwca 2026 roku. Dlaczego tak mało czasu? To kolejny projekt finansowany ze środków KPO, a to znaczy, że musi być rozliczony do końca czerwca 2026 roku.

Jego realizacja nie jest jednak niemożliwa. Na polskim rynku funkcjonują startupy, które mają systemy AI do automatycznej interpretacji wyników badań i potencjalnie mogą stworzyć odpowiednie API do IKP. O ile spełnią bardzo rygorystyczne wymagania.

Znak CE i zgodność z unijnym aktem ds. AI

W opublikowanej dokumentacji technicznej CeZ podał dokładnie wymogi certyfikacyjne i regulacyjne, jakie musi spełnić oferent. System musi posiadać aktualną certyfikację CE jako wyrób medyczny klasy IIa lub IIb zgodnie z rozporządzeniem MDR. Wykonawca musi wykazać zgodność z IEC 62304 klasa B lub C dla oprogramowania jako znaczącego ryzyka, a także z normą ISO 14971:2019 dotyczącą zarządzania ryzykiem wyrobów medycznych, w tym analizą ryzyka cyberbezpieczeństwa zintegrowaną z ryzykiem klinicznym.

Jest też wymaganie zgodności z unijnym rozporządzeniem AI Act z czerwca 2024 roku, bo system będzie klasyfikowany jako rozwiązanie wysokiego ryzyka. A to nakłada na dostawcę obowiązek współpracy z zamawiającym w zakresie zgłaszania poważnych incydentów oraz dostarczenia kompletnej dokumentacji technicznej, deklaracji zgodności UE, instrukcji użytkowania i potwierdzenia wykonania testów ex-ante, czyli przed wdrożeniem systemu. To jedno z pierwszych polskich zamówień publicznych w sektorze zdrowia, które tak precyzyjnie odnosi się do wymogów AI Act.

Wykonawca musi również posiadać certyfikaty ISO 27001 i ISO 9001 w zakresie obejmującym tworzenie i wdrażanie oprogramowania. Do oferty należy dołączyć wyniki analizy zgodności z IEC 62304 oraz ISO 14971, a przed wdrożeniem rozwiązania – dostarczyć informacje niezbędne do przeprowadzenia oceny skutków dla ochrony danych osobowych zgodnie z artykułem 35 RODO.

Cyberbezpieczeństwo: usuwanie danych do godziny, blokada danych osobowych

System musi posiadać pseudonimizację danych wejściowych po stronie infrastruktury zamawiającego, uniemożliwiając re-identyfikację pacjentów. Szczególną uwagę zwrócono na bezpieczeństwo elementów opartych na dużych modelach językowych (LLM). System musi sprawdzać i oczyszczać dane wysyłane do modelu oraz odpowiedzi, umożliwiać ustawienie filtrów dla określonych słów i tematów, blokować dane osobowe oraz wykrywać próby manipulowania modelem (np. prompt injection albo jailbreak).

Aplikacja nie może uczyć się na danych przekazywanych przez użytkowników. Niedozwolone jest ponowne trenowanie modeli i ich dostrajanie, a dane wpisywane przez użytkownika nie mogą być zapisywane i wykorzystywane jako baza wiedzy dla systemu.

W przypadku modelu SaaS, Interpreter Badań Laboratoryjnych musi automatycznie usuwać wszystkie dane wejściowe w czasie poniżej jednej godziny po wykonaniu analizy, z potwierdzeniem usunięcia w logach.

CeZ wymaga 60-miesięcznej gwarancji z możliwością zgłaszania problemów całodobowo przez dedykowany system HelpDesk. Czas usunięcia awarii nie może przekroczyć jednego dnia roboczego, błędu aplikacji – 5 dni roboczych, a usterki programistycznej – 10 dni roboczych. Wykonawca zobowiązany jest do aktualizacji komponentów systemu przez cały czas trwania umowy. Do tego wykonawca zobowiąże się do aktualizacji modułów wnioskowania, analizy, ML i LLM tak, aby ich wersje odzwierciedlały postępy w nauce w tych obszarach.

Czy zamówienie dostanie jeden z polskich startupów?

– To zmiana paradygmatu w myśleniu o roli danych medycznych i cyfrowych narzędzi w praktyce klinicznej. Otwieramy się na innowacje, które mają realny wpływ na jakość opieki i komfort pacjenta – napisał na LinkedIn Łukasz Sosnowski, dyrektor Departamentu e-Zdrowia w Ministerstwie Zdrowia.

Tego typu rozwiązanie pozwoliłoby rozwiązać powszechny problem z odczytaniem wyników badań. Wiele osób – po otrzymaniu rezultatów z laboratorium – nie wie, co oznacza przekroczenie normy i czy konieczna jest np. konsultacja lekarska. Coraz częściej wczytują skany do np. ChatGPT, narażając się na wyciek danych zdrowotnych oraz błędne interpretacje systemu AI, który nie został stworzony do celów medycznych. Rozwiązanie w IKP i mojeIKP ma mieć znak CE, czyli być kwalifikowane jako urządzenie medyczne, a wszystkie dane będą usuwane po dokonaniu interpretacji.

Długa lista wymagań dotyczących bezpieczeństwa danych znacznie ogranicza krąg potencjalnych dostawców. Krótki czas na realizację zamówienia oznacza, że nie ma mowy o budowę systemu pod zamówienie – to musi być już gotowy system posiadający znak CE i zgodny z AI Act, ISO 27001, ISO 9001. Chociażby dlatego, że samo zdobycie znaku CE trwa kilka miesięcy. Ale jest kilka polskich startupów, które takie wymagania spełniają.

Czytaj także: Cyfryzacja zdrowia 2026. Projekty, terminy, nowe obowiązki