Dane to złoto i ropa XXI wieku. Dane medyczne mają wartość dziesięciokrotnie większą – przekonywali przedstawiciele samorządu lekarskiego, przedstawiając raport „Dane medyczne w pracy lekarza – stan obecny i pożądane zmiany”.
Śniadanie prasowe poświęcone tematyce bezpieczeństwa danych medycznych, 12 lutego 2024 r. Fot. NIL
- Dane medyczne wymagają zapewnienia jednocześnie bezpieczeństwa, ochrony i kontroli, z drugiej, dostępu dla uprawnionych osób i podmiotów
- Polska jest w czołówce krajów europejskich pod względem tempa zmian w obszarze cyfryzacji ochrony zdrowia
- Lekarze już od dłuższego czasu walczą z obligowaniem ich do wielokrotnego wprowadzania tych samych danych dla różnych odbiorców
- Lekarze powinni nie tylko mieć dostęp do danych medycznych, ale również aplikacji i programów, które pomogą je analizować i wykorzystywać w praktyce
- Potrzebny jest jasny standard dostępu lekarza do różnych zbiorów danych oraz wsparcie w dostępie do danych przetwarzanych w różnych systemach IT
Nie ma żadnych wątpliwości, że pół roku temu kwestia bezpieczeństwa, poufności i wykorzystywania danych medycznych stanęła w centrum uwagi opinii publicznej. Fakt, że minister zdrowia za bezprawne przetworzenie danych pozyskanych z systemu e-zdrowia niezgodnie z przeznaczeniem stracił stanowisko, przekreślił karierę polityczną i prawdopodobnie będzie miał problemy z prawem, pokazała dobitnie, o jak wrażliwym obszarze mówimy. Ale podczas poniedziałkowego spotkania z dziennikarzami przedstawiciele Naczelnej Izby Lekarskiej zwracali uwagę, że samorząd lekarzy i lekarzy dentystów znacznie wcześniej zaczął pracować nad tematem bezpieczeństwa i wykorzystywania danych medycznych. Świadczy o tym przedstawiony wiosną 2023 roku raport Okręgowej Izby Lekarskiej w Warszawie, a teraz – raport Centralnego Ośrodka Badań, Innowacji i Kształcenia NIL i Sieci Lekarzy Innowatorów NIL, nad którym prace rozpoczęły się rok temu. Raport – jak mówił prezes Naczelnej Rady Lekarskiej Łukasz Jankowski – jest odpowiedzią z jednej strony na oczekiwania lekarzy, z drugiej – na potrzeby systemu, w tym partnerów instytucjonalnych. Lekarze podkreślili, że raport – przed publikacją – został poddany konsultacjom zewnętrznym.
– Dane medyczne mogą się wydawać tematem dość tajemniczym dla szerokiego grona odbiorców. Ostatni rok pokazał, że ten temat dotyka każdego z nas. Może dotknąć w każdym aspekcie i momencie naszego życia – mówił dyrektor COBIK NIL Artur Drobniak.
Jak tłumaczył partner zarządzający NIL IN Jakub Chwiećko, dane medyczne wymagają zapewnienia jednocześnie bezpieczeństwa, ochrony i kontroli, z drugiej, dostępu dla uprawnionych osób i podmiotów. Nie wystarczy, że będą bowiem gromadzone, muszą być używane, by ich gromadzenie miało sens. W obydwu wymiarach – bezpieczeństwa i łatwości (kontrolowanej) używania – mamy ogrom pracy do wykonania. – Mamy bariery prawne, legislacyjne, które związane są z tym, że legislacja mówi o tych danych w różnych miejscach, w różny sposób, czyli nie jest uspójniona. Mamy wyzwania techniczne i technologiczne, związane z infrastrukturą w placówkach ochrony zdrowia. Mamy bariery finansowe. Wprowadzenie tych innowacji i danych medycznych na szerszą skalę kosztuje – podkreślił Chwiećko.
Dane Centrum e-Zdrowia pokazują, że systemy IT, umożliwiające magazynowanie i przetwarzanie „w jakiś sposób” danych medycznych, ma już niemal 90 proc. placówek – ale tylko połowa z nich wykorzystuje je w sposób adekwatny. To z jednej strony pokazuje skalę wyzwań, z drugiej – jak mówili lekarze – nie mamy powodów do kompleksów, bo Polska jest raczej w czołówce krajów europejskich pod względem tempa zmian w obszarze cyfryzacji ochrony zdrowia.
To jednak nie znaczy, że można osiąść na laurach. – Projektując kolejne rozwiązania dotyczące obszaru danych medycznych, należy pamiętać, że jednym z ich głównych odbiorców jest lekarz, który wykorzystuje je w codziennej pracy z pacjentem – podkreślili przedstawiciele samorządu lekarskiego. W ich ocenie lekarz powinien mieć łatwy i szybki dostęp do danych pacjentów pochodzących z różnych źródeł, powinien móc w ergonomiczny sposób z nich korzystać i z nimi pracować. Autorzy raportu rekomendują m.in. „przyjęcie wymogów dotyczących otwartych interfejsów umożlwiających pracę lekarza tylko na jednym systemie informatycznym (zasada jednego konta), z którego będzie w stanie przesyłać dane do innych systemów i realizować obowiązki sprawozdawcze, tzw. zasada jednej klawiatury”. Lekarze już od dłuższego czasu walczą z obligowaniem ich do wielokrotnego wprowadzania tych samych danych dla różnych odbiorców. W ostatnich kilku miesiącach dobitnym przykładem są szczepienia – zwłaszcza przeciw HPV i COVID-19 – w których na lekarzy zrzucono obowiązek raportowania danych do dwóch odrębnych systemów.
Raport sygnalizuje, że lekarze powinni nie tylko mieć dostęp do danych medycznych, ale również aplikacji i programów, które pomogą je analizować i wykorzystywać w praktyce. Lekarz powinien móc też wykorzystać dane medyczne w celach naukowych i badawczych oraz mieć świadomość, jakie możliwości stwarzają i jaki jest ich potencjał.
Jak to zrobić bezpiecznie i tak, żeby pacjent miał pewność, że informacje na jego temat pozostaną poufne? Pierwszą zasadą jest zasada zaufania do zawodu lekarza, ale to – jak wynika z raportu – za mało. – Lekarz powinien mieć zapewniony dostęp do tak gromadzonych danych i dokumentów medycznych pacjentów, którym udziela świadczeń zdrowotnych. Zasadne jest przeprowadzenie szerszej społecznej dyskusji na temat modelu dostępu lekarza do danych pacjenta – czytamy w raporcie. Autorzy przypominają, że w tej sprawie możliwe jest przyjęcie różnych rozwiązań, w szczególności modelu opartego o zgodę pacjenta (tzw. model opt-in) lub modelu zakładającego domyślny dostęp z możliwością zgłoszenia sprzeciwu przez pacjenta (tzw. model opt-out). – Możliwe jest także przyjęcie rozwiązań, w których łączy się różne modele, a część lekarzy ma z mocy prawa zapewniony bezwzględny dostęp do danych. Niezależnie od przyjętego modelu, pacjent powinien mieć możliwość uzyskania informacji na temat tego, kto i kiedy miał dostęp do jego danych. W związku z tym potrzebny jest jasny standard dostępu lekarza do różnych zbiorów danych oraz wsparcie w dostępie do danych przetwarzanych w różnych systemach IT – konkludują.
Wiele razy w ciągu prezentacji raportu zwracano uwagę na kontekst wydarzeń ostatnich miesięcy. To jednak nie tylko ujawnienie danych przez byłego ministra zdrowia, ale również atak hakerski na dużą firmę medyczną i pozyskanie danych (w tym danych medycznych) pacjentów, którzy korzystali z jej usług. Przedstawiciele samorządu lekarskiego przyznali, że ataki hakerskie na placówki ochrony zdrowia się zdarzają i nie są nowością. Od kilku lat realizowany jest projekt zwiększania cyberbezpieczeństwa w ochronie zdrowia, z którego mogą korzystać m.in. szpitale. W tej chwili, jak powiedział Jakub Chwiećko, w skali kraju kilkadziesiąt szpitali ma za sobą audyt cyberbezpieczeństwa.
Raport w tej sprawie stawia kropkę nad „i”: – Konieczne jest spełnienie przez podmioty udzielające świadczeń zdrowotnych wymogów niezbędnych dla zapewnienia wysokiego poziomu ochrony danych o stanie zdrowia.
Nie będzie to możliwe bez wsparcia finansowego, dlatego raport rekomenduje „kontynuowanie programów wsparcia finansowego, które byłyby dedykowane zakupom towarów i usług związanych z ochroną danych medycznych oraz zrealizowanie działań w obszarze bezpieczeństwa takich jak te przewidziane w Programie rozwoju e-zdrowia w Polsce do 2027”. W tym roku na poprawę zabezpieczeń zaplanowano kolejnych 400 mln zł.