Zdravotnická zařízení mají už jen pět měsíců na to, aby se připravila na evropské nařízení GDPR (GDPR – General Data Protection Regulation, Obecné nařízení o ochraně osobních údajů). Zatímco pro ta, která věnovala otázce bezpečnosti dat pozornost a dodržovala stávající zákony, by nemělo jít o zásadní změnu, další mohou mít velký problém. Největší překážku přitom neznamenají horentní náklady na nákup moderních technologií, bez nichž se lze obejít, ale nutnost přimět personál ke změně chování. Kromě toho, že zdravotníci příliš rádi změny nemají, se mnoho z nich obává fenoménu Velkého bratra. O tom, kde vnímají při přípravě na GDPR největší problémy, i vlastních zkušenostech s jejich překonáváním debatovali odborníci na úterním kulatém stole Zdravotnického deníku.
Pro některé hrozba, pro jiné příležitost. Nařízení GDPR, které začne platit 25. května 2018, je opatření, které by zdravotnická zařízení rozhodně neměla brát na lehkou váhu. Na druhou stranu ale navzdory některým tvrzením nemusí znamenat závratné investice. „Jeden čas jsem měl potřebu prezentovat GDPR jako hrozbu – když jsem mluvil s lidmi ze zdravotnictví, měl jsem pocit, že ne všichni vnímají ve vztahu k GDPR potřebu něco dělat. Proto bylo třeba zvýšit důležitost tématu, aby mu manažeři porozuměli. Teď už je ale minimálně pár týdnů doba, kdy se snažím přispět k demytizaci. Všiml jsem si totiž, jak se rozjel byznys se školeními ohledně GDPR, a když poslouchám lidi, kteří se seminářů účastní, bohužel se zdá, že řada školení není nejkvalitnějších. Prezentují to jako velkou hrůzu, pro kterou je třeba hodně udělat a investovat ohromné peníze, nejlépe miliardy. Tak to ale vůbec není,“ říká náměstek pro legislativu na ministerstvu zdravotnictví Radek Policar (psali jsme také zde).
GDPR tak sice bude povinností každého subjektu ve zdravotnictví, ale pro řadu zařízení nemusí znamenat žádné převratné změny. Na prvním místě je třeba vyhodnotit, zda se někdy nejde využívání osobních údajů vyhnout, případně která data se užívají a jak dlouho. Každé zařízení by mělo postupovat individuálně na základě vlastní analýzy rizik – rozhodně tedy není stanoveno, že všichni musí nakoupit to nejdražší a nejmodernější vybavení. Opatření by ovšem měla být úměrná tomu, jaká hrozí rizika. Po provedení domácí inventury, která může ve velké nemocnici zahrnovat i tisíce procesů s osobními daty, by tak mělo zařízení připravit plán kroků, které na zjištění reagují.
„GDPR je příležitost udělat si doma pořádek a nastavit správně kroky kolem zpracování osobních údajů, abych neztratil dobrou pověst a chránil informace o svých pacientech i zaměstnancích. Sankce, kterými všichni straší, jsou až na posledním místě,“ doplňuje Policar.
Podle Radka Policara se GDPR podobá principům, které před 17 lety přinesl zákon o ochraně osobních údajů. Směrnice je ale postavena tak, že stanovuje cíle, které je třeba naplnit, nedává ovšem přesný návod. Ministerstvo proto vypracovalo metodiku pro lůžková i ambulantní zařízení, která má poskytnout rady, jak postupovat. Materiál by měl být vydán po Novém roce, k tomu by pak ještě ministerstvo chtělo zpracovat kodex chování v podobě převedení pravidel GDPR pro konkrétní zdravotnickou praxi.
Pověřenec by měl znát danou nemocnici, právo i IT
Jedním z bodů metodiky je to, že by si každá organizace měla určit člověka, který bude mít problematiku na starosti. I z toho je patrné, že procesy týkající se aplikace GDPR nejsou jednorázové, ale kontinuální – analýzou dopadů a rizik by měla projít i každá novinka či změna, kterou dané zařízení provádí. Pověřenec pro ochranu osobních údajů by přitom měl být někdo, kdo sleduje procesy práce s osobními údaji uvnitř organizace a pomáhá s tím, jak je dobře nastavit. Zároveň by nemělo jít o někoho ve střetu zájmů, kdo se sám na nastavování procesů podílel. Zařízení si přitom může službu outsourcovat, nebo pozici obsadit vlastním zaměstnancem, který se vyzná v právu a IT.
Ředitelka Nemocnice Na Bulovce Andrea Vrbovská zdůrazňuje, že je zásadní znalost dané nemocnice. „Procesy musí vycházet z toho, co se v nemocnici děje. Když to přesunu na nás, jsme velkou infekční klinikou, kde je ochrana těch nejcitlivějších dat, což je naše priorita číslo jedna. Jsme také soudně-znalecký ústav, úzce spolupracujeme s Policií ČR, což jsou další data podléhající stupni utajení. Dalším velkým oborem je onkologie,“ načrtává Vrbovská s tím, že nejlépe se na pozici pověřence hodí člověk s právním vzděláním.
Že znalost IT nestačí, potvrzuje i náměstek pro informatiku ve Všeobecné fakultní nemocnici Vlastimil Černý. „Kvůli slovu data se GDPR často považuje za IT projekt, což je nesmysl. Proto se stává, že to dostane IT. U nás vznikl tým složený jak z IT, tak ze zástupců právního oddělení a léčebné péče,“ uvádí Černý.
V nemocnicích Zlínského kraje naopak sáhli po tom, že jim službu zajistí externí subjekt. Jeden pověřenec by přitom měl obsloužit všechna čtyři zařízení. „Otázkou je i pojištění těchto rizik, které je možné. Nastavením procesů GDPR se sice lze vyvinit z úniku dat, ale druhou věcí jsou občansko-právní spory,“ říká Radomír Maráček, předseda představenstva a ředitel Krajské nemocnice T. Bati ve Zlíně. Podle něj je problém, že informační systémy z velké části neakceptují ochranu dat, takže lékaři vidí veškerou dokumentaci pacientů na oddělení – a pokud doktor nechá na ošetřovně přihlášený počítač, dostane se k datům úplně každý. Co se ovšem týče skladování dat, pokud se nemocnice rozhodne využívat cloudové služby, je možné přenést část odpovědnosti na dodavatele.
Nejtěžší úkol? Práce s lidmi
I když by GDPR nemělo znamenat přelomovou změnu, na některé nemocnice přesto tvrdě dopadne a některé se možná do května nestihnou připravit. Mezi jednotlivými zařízeními jsou totiž velké rozdíly – například nemocnice, které mají akreditaci kvality a bezpečnosti, mnoho změn nečeká, zatímco zařízení, která současným pravidlům vyhovují s odřenýma ušima (nebo je obcházejí), čeká podstatně těžší cesta.
„Jsou tady nemocnice, které s bezpečností nemají tak velký problém a k GDPR budou inklinovat velmi rychle. A pak jsou nemocnice, u kterých mám vážné pochybnosti, že to zvládnou,“ uvádí Rostislav Babarík, senior account executive zodpovědný za oblast zdravotnictví ve společnosti Microsoft. Dodává ovšem, že připravenost nesouvisí s velikostí zařízení. „Mnohé nemocnice ještě nemají ani zavedené adresářové služby. To naráží na bezpečnost a přístupová práva jednotlivých uživatelů do informačních systémů. Já to zaváděl mimo zdravotnictví před dvaceti lety,“ doplňuje Babarík.
Menší objem práce čeká například tři vojenské nemocnice v Praze, Brně a Olomouci. „Máme trochu specifické postavení v tom, že už zkušenost s ochranou osobních údajů máme z minulosti. Charakter našich nemocnic je takový, že občas máme pacienty, u nichž péče vyžaduje speciální režim při zacházení s osobními údaji. Už dnes tedy máme způsoby, jak nakládat s osobními údaji tak, aby byly maximálně chráněny,“ poukazuje náměstek pro řízení sekce průmyslové spolupráce a řízení organizací ministerstva obrany Tomáš Kuchta, který ovšem přiznává, že vojenské nemocnice ještě musí zapracovat na ochraně sítě.
Jako další problém Kuchta vidí přístup zaměstnanců k datům. „Je to otázka výchovy personálu, aby si byl vědom, jaké údaje i v papírové podobě se kde vyskytují a celkově zacházení s těmito materiály nepodceňoval,“ zdůrazňuje Kuchta.
Právě práce s lidmi a změna jejich přístupu je přitom při aplikaci GDPR zcela zásadní. „Není to ani tak o technologiích, ale o řízení změny – to je to nejdůležitější. Většina lékařů a zaměstnanců, kteří s daty pracují, se odmítá změnit. Vy zjistíte, co se děje špatně, ale uřídit vlastní změnu je největší část projektu GDPR – a nejen jeho,“ konstatuje Černý. „Je potřeba změnit myšlení lidí,“ přitakává Babarík.
Jak mnozí zdravotníci s daty zacházejí, ilustruje například zjištění z Bulovky. „Nedávno jsem si nechala zpracovat data, kolik kdo vykáže bodů na ambulanci. Byli tam lékaři, kteří vykazovali ve statisících, a další, kteří nevykazovali nic. Ukázalo se, že jeden se neodhlásil a ostatní celé tři dny vykazovali na něj. Došli jsme tedy k tomu, že lékaři nezavírají počítače, neodhlašují se a nedělají, co by z hlediska ochrany dat a bezpečnosti měli. Řekli jsme, že kdo to nebude dělat, tomu sáhneme na osobní ohodnocení, a okamžitě se bezpečnost výrazně zlepšila,“ popisuje Vrbovská. Další možné řešení, které zvolili ve VFN, je, že se přes systém posílají pracovníkům výplatní pásky – což následně motivuje k lepšímu dodržování bezpečnostních pravidel.
Nejúčinnější je hrozba finančními postihy
Dalším opatřením, které ve VFN přijali, je multifaktorová autentizace – když se uživatel přihlašuje mimo nemocnici z neznámého místa, nestačí jen zadat jméno a heslo, ale je nutná například ještě sms pro ověření, zda jde skutečně o daného člověka. „Často se nám stávalo, že uživatelé byli schopni na česko-rusko-bulharsky zkomolený text vyzývající k zadání přístupových údajů odpovědět a data vyplnit. To jsme tedy pokryli, zároveň monitorujeme chování a máme nasazeny technologie, které jsou schopny identifikovat únik citlivých dat. To paradoxně vedlo k tomu, že si doktoři myslí, že jim čteme maily,“ poukazuje Černý s tím, že by to obnášelo přečtení šesti milionů mailů ročně.
Proč je vůbec monitorování třeba? Bohužel se stává, že si lékař chce vzít například práci na studii domů a pošle excelový soubor s daty dvou tisíc pacientů na seznamový email. Běžnou praxí je i to, že se propouštěcí zpráva pacienta pošle praktikovi na nezabezpečený mail. Systém ale podobným věcem dokáže automaticky zabránit a uživatel je pak upozorněn na nevhodný postup, načež je mu doporučena bezpečná cesta. „Často je to jen tím, že neumějí používat technologie. My jsme ale dnes schopni dát k dispozici technologie, které umožňují pracovat kdekoliv,“ dodává Černý. Podle Rostislava Babaríka by zároveň měla zdravotnická zařízení poskytnout svým zaměstnancům metodiku, jak správně s osobními údaji nakládat. „Pokud organizace nedá lékařům nástroje, jak data předávat, tak si pomohou. Pro ně je prioritní léčení,“ konstatuje Babarík.
Výše zmíněné postupy sice zvyšují bezpečnost, ale zdravotníkům často příliš pod fousy nejdou. „Mají pocit, že je sledujeme jako Velký bratr. Nás to ale upozorňuje na možná rizika,“ říká Černý.
Podobné obavy ruku v ruce s neochotou zdravotníků zavádět novinky proces zavádění GDPR pochopitelně dost ztěžují. Ve VFN si ale vyzkoušeli, že když se chce, všechno jde. „Nejprve to otestujeme na sobě, na IT. Potom, což je důležitý krok, to otestujeme na ředitelce. Když to projde, spustíme to na celou nemocnici. Jak si všichni začnou stěžovat až k ředitelce, řekne jim, že to používá už měsíc a nemá problém. To je jedna finta. Druhou věc přirovnávám ke stržení náplasti – zapneme to tak rychle, že než se všichni stihnou vzpamatovat, je to hotové. Týden nadávají a pak to běží,“ radí Vlastimil Černý.
Dalším efektivním nástrojem je pak pochopitelně zmíněná hrozba finančního postihu. „Při zavádění elektronického receptu proběhla školení, kterých se nikdo neúčastnil. Pak jsem čtyřem primářům vzala osobní a od té doby máme účinnost 71 procent. Všechno se prostě v Česku řeší přes peníze, jiná varianta neexistuje,“ říká Andrea Vrbovská. Finanční postihy vidí jako jediný donucovací mechanismus také Radomír Maráček.
Navzdory snaze některých managementů ale zdravotnictví zůstává pozadu. „Bohužel si myslím, že nás už někdy pacienti v možnostech, co v systémech dohledat, předběhli – mají online přístupy k informacím na pojišťovnách, mohou si vyžádat svoje recepty… My jsme pak překvapení, co všechno umí, zatímco naši lékaři ne,“ konstatuje Vrbovská. „Největší hrozba je, že jsme v ochraně osobních dat ne úplně vzdělaní,“ dodává.
K diskusi u Kulatého stolu o GDPR se ještě vrátíme v dalším pokračování.
Michaela Koubová
Foto: Radek Čepelák
Kulatý stůl ZD se uskutečnil díky laskavé podpoře společnosti Microsoft.
