Pracuji v pozici náměstka ředitele pro IT a předsedy výboru kybernetické bezpečnosti již čtvrtým rokem ve středně velké fakultní nemocnici. Po několikaletých zkušenostech jsem si jist, že prostředí velkých nemocnic v ČR je pro oblast IT svým prostředím, uživateli a zaměřením tím možná neproblematičtějším. České zdravotnictví čeká v oblasti digitalizace mnoho velmi očekávaných a velmi žádoucích změn. Informační technologie se staly nezbytnou součástí drtivé většiny procesů a je velmi zřejmé, že v budoucnu pozice IT ve zdravotnických zařízeních ještě posílí a IT se stanou nepostradatelnou součástí primárního úkolu všech nemocnic, tedy poskytování zdravotní péče.
zdravotnictví healthcare informační systémy elektronizace
Nemocnice a prostředí
IT úsek velkého zdravotnického zařízení (4 000+ zaměstnanců, 1 000+ lůžek) je obvykle segmentován do oblasti podpory velkých informačních systémů a aplikací, dále do oblasti infrastruktury a koncových zařízení. Všechna oddělení (odbory) jsou zastřešována obvykle pozicí náměstka, většinou přímo podřízeného řediteli organizace. Klíčové při vedení IT, tedy správněji v pozici CIO, je mimo provozní zajištění IT v organizaci, což bývá se skutečnou úlohou často zaměňováno, definování komplexní strategie v oblasti rozvoje IT, minimalizace či optimalizace rizik a vyjednání a plánování v rámci organizace, tedy i zajištění dostatečných zdrojů. Dnes jsou těmi klíčovými prvky, které by strategii a rozvoj IT v nemocnicích měly ovlivňovat, již přijaté zákony – zákon o kybernetické bezpečnosti a (181/2014 Sb.) a zákon o elektronizaci zdravotnictví (325/2021 Sb.).
Nemocnice, elektronizace a klíčové informační systémy
Nutným předpokladem pro úspěšnou digitalizaci je vlastnictví a provozování informačních systémů, které požadovaný vývoj v těchto oblastech umožní. Velmi zjednodušeně by se dalo s úspěchem konstatovat, že nemocnice se zájmem o rozvoj oblasti digitalizace by měla být vybavena informačním systémem – zejména tím klíčovým, tedy Nemocničním informačním systémem, který byl implementován v dohledné době (v řádu ideálně několika let zpětně) a splňuje podmínky moderního systému vhodného pro požadovaný vývoj. Zcela opačná situace však panuje právě v prostředí většiny velkých nemocnic. Nemocniční informační systémy (NIS) jsou právě tím komponentem, který je vhodný na výměnu jako jeden z prvních, bohužel se to však neděje.
Fakultní nemocnice Ostrava měnila klíčový informační sytém po těžce uvěřitelných 23 letech a mohu ujistit, že opravdu u většiny nemocnic je věk tohoto systému dodnes často dvouciferné číslo, a i přes naléhavost této situace se snaha o změnu již několik let nedaří. Důvodem je paradoxně nikoli složitost procesu implementace, která z důvodu prostředí nemocnice, složitosti práce s uživateli, nepřetržitém provozu, je jedním z velmi obtížných a který nemocnice se všemi riziky teprve čeká, ale je to nemožnost takovýto systém vůbec pořídit díky konkurenčnímu boji dodavatelských firem.
Často bývá v souvislosti s velkými IT projekty ve zdravotnictví zmíněno složitě dosažitelné financování a je pravda, že ohromné částky, které je nezbytné investovat, není v rozpočtech i velkých nemocnic snadné nalézt. Nicméně i tam, kde je financování řešeno dostatečnými prostředky z dotačních zdrojů (např. IROP – Výzva 26), nejsou zdaleka vyčerpány a časový limit, dokdy je nezbytné finance proinvestovat, je dnes již velmi těžce splnitelný nebo se tomuto hraničnímu termínu kvapem blíží. Smutným faktem zůstává skutečnost, že proces nákupu nového informačního systému, který je v oblasti elektronizace vnímán jako jeden z nejvýznamnějších prvků, by měl být v celém procesu tím nejjednodušším, resp. alespoň snadným. Protože tím skutečně obtížným, co jakoukoli organizaci a velkou nemocnici zvláště může potkat, je samotná změna nemocničního informačního systému a jeho nasazení za plného (a do plného) provozu. Nepřetržitý chod organizace, kritické úseky (operační sály, laboratoře, urgentní příjmy), tisíce uživatelů, které je nutno proškolit, propojení s dalšími systémy jsou zdrojem nekonečných rizik a přiznejme si, že to vše je realizováno pro uživatele, jejichž prostředkem pro vykonání tak důležité a odpovědné práce, jako je léčba pacientů, opravdu není počítač a jeho systémy, ale spíše znalosti, vědomosti a schopnosti. Všechna případná rizika projektu jsou navíc vždy podtržena tím nejzásadnějším, kterým případné ohrožení zdraví a životů našich pacientů při komplikacích během projektu rozhodně je.
Situace je tedy poměrně těžce pochopitelná. Nemocnice s možností profinancování takovéto investice, které pro rozvoj elektronizace nový informační systém nutně potřebují, přešlapují již několik let na místě a za vítězství považují samotný proces realizace nákupu namísto obav, že proces pořízení bude tak rychlý, že se nebudou schopny dokonale připravit na ten děsivý proces změn, který např. ve FNO trval skoro dva roky s obrovskými nároky na personální nasazení lidí zejména z IT a u klíčových pozic. Např. vedoucí projektu podal životní pracovní výkon bez nároku na skutečný odpočinek všech členů týmu po celou dobu trvání.
Nemocnice a kybernetická bezpečnost
Téma kybernetické bezpečnosti v nemocnicích bylo i přes pandemickou situaci v posledních letech poměrně hlasitým tématem. V období 2019–2020 se ve třech zdravotnických zařízeních provoz téměř zastavil, a to díky totální paralýze z důvodu nemožnosti využívat právě IT techniku, která se vlivem aktivace viru a následně zašifrování dat stala v podstatě nepoužitelnou. Předně to velmi nekompromisně ukázalo, že je IT v nemocnici nepostradatelným prvkem a dále že jakýkoli rozvoj elektronizace je bez zabezpečení velmi nejistým podnikem.
Z oněch tří velmi známých případů byl jeden v několika aspektech výjimečný. Jedná se o skutečně velké zdravotnické zařízení v zemi, paralýza interních IT systémů byla v podstatě totální, a přitom mělo toto zařízení několik let k dispozici nejvyšší částku pro čerpání právě v oblasti kybernetické bezpečnosti z unijních prostředků. Přesto byl „útok“, který nemocnici zcela paralyzoval, úspěšný právě zde a velmi zřetelně odpověděl na otázku, zda je problémem zajištění kybernetické bezpečnosti v nemocnicích pouze nedostatečné financování. Pravda je totiž někde uprostřed. Bez smysluplného financování to není možné.
Technické zabezpečení infrastruktury je skutečně nezbytné a je nutno pořídit technické prostředky v úrovni, které doopravdy nejsou levné. Nicméně pokud se nemocnice ocitne v situaci, kdy musí najednou investovat stovky miliónů a o celou částku transparentně a zcela správně dle zákona o veřejných zakázkách soutěžit, je celý proces natolik složitý, že pokud neexistuje dostatečné projektové interní prostředí a dostatek kapacit pro procesní zajištění, může být takovýto proces nekonečný. Zejména je-li spojen nešťastně do jediného obrovského projektu, který – a to je další z klíčových momentů – je svou velikostí natolik zajímavý pro dodavatele, že ti sami vytvářejí neadekvátní tlak na svá řešení a celý proces tím komplikují, znepřehledňují a v konečném důsledku zpomalují, či dokonce blokují. Zde bych byl ale dalek zásadní kritiky. Je logické, že v rámci konkurenčního boje a za zachování pravidel hospodářské soutěže se vytváří nesmírně komplikované prostředí pro zadavatele i dodavatele. Při takto obrovských zakázkách v řádu stovek miliónů se vše nesmírně zpomalí. Za chybu ale jednoznačně považuji snahu najít generálního dodavatele projektu a řešit několik samostatných zakázek jedním jediným procesem výběru a dodání. To vše totiž zapříčiní mimo zásadní odklady a prodlení také to, že se jakékoli investice v této oblasti bezpečnosti velmi logicky odkládají a organizace se stává postupem času zranitelnější.
Nutno také podotknout, že metodika pro zavedení a dohled nad kybernetickou bezpečností minimálně pro velká zdravotnická zařízení je nejen známa, ale také zákonem vyžadována, a to již od roku 2015, kdy byl přijat zákon o kybernetické bezpečnosti. Nemocnice se záhy staly nositeli systémů základní služby a byla definována přesná a velmi sofistikovaná pravidla, jak tuto oblast bezpečnosti zajistit. Metodické audity provedené Národním úřadem pro kybernetickou a informační bezpečnost u všech šestnácti velkých nemocnic, které pod tento zákon svou velikostí či zaměřením spadají, v posledním roce ale neprokázaly zdaleka komplexní připravenost a zavedení všech pravidel a velmi konkrétně poukázaly na to, že i mimo nedostatečné financování je nutno mnohem usilovněji pracovat také ve všech dalších požadovaných oblastech, zejména pak v oblasti zavedení procesů a přijetí závazných pravidel, která budou průběžně kontrolována. Jednoduše tak, jak je to dle zákona nejen myšleno, ale také nařízeno a vyžadováno.
Dá se velmi úspěšně konstatovat, že v procesu zabezpečení velkých zdravotnických zařízení v oblasti kybernetické bezpečnosti je kromě zajištění nezbytného financování technických prostředků také nezbytné nastavení interních procesů, které velmi důvodně a racionálně požaduje zákon, a v neposlední řadě i zajištění projektových a technických kapacit. To vše by mělo být podpořeno velmi zřetelnou, známou a transparentní strategií organizace. Ta (mimo jiné) umožní i trhu a potažmo dodavatelům se lépe zorientovat v důvodnosti a racionálnosti případné účasti ve výběrových řízeních na zásadní investiční celky. Jakýkoli pocit nejistoty pevné strategie a směru logicky vyvolává dodavatelské ambice návrhu na dodání i nekoncepčních řešení, a vytváří tak ideální prostor pro nekompromisní konkurenční boj. Existují v rámci zákona velmi efektivní a transparentní metody konzultací s dodavateli a domnívám se, že je netaktické jejich důsledné nevyužití.
Nemocnice a financování
Nedostatečné financování se v minulosti stalo zaklínadlem pokroku v oblasti IT a kybernetické bezpečnosti. Je pravdou, že finance pro investice, které má nemocnice pro oblast IT poskytnout, nebývají dostatečné a je vcelku pochopitelné, že pokud se lékařské přístroje blíží své živostnosti nebo dochází k haváriím vody na operačních sálech, stává se IT jednou z těch velmi neakutních priorit.
Ale neméně vážná je situace právě tam, kde jsou dostatečné finance k dispozici, ale není časová nebo odbornostní kapacita finance zužitkovat, a to zejména v oblasti poskytování obrovských finančních prostředků z Evropské unie právě do oblastí kybernetické bezpečnosti a informačních systémů. Velmi snadno se potom může argumentace zastaralosti a nedostatečnosti v oblasti IT vést tou nejjednodušší cestou, a to výmluvou na očekávání finančních zdrojů.
Nemocnice a projekty
Nemocnice jsou zařízení s nepřetržitým provozem a takřka všichni uživatelé nějakým způsobem používají IT techniku, takže je provozní zajištění takovéto organizace velmi komplikované a nezáviděníhodné. Primární úlohou mnoha tisíc lidí v těchto organizacích nicméně není produkce vytvořená prostřednictvím IT techniky, ale léčení pacientů prostřednictvím lékařů, zdravotních sester a dalšího personálu. Tedy IT (zdánlivě) není klíčovým komponentem celého procesu. COVID-19 velmi zřetelně poukázal na rostoucí nároky na oblast IT a paralýza nemocnic po kybernetických útocích také na nezbytnost sofistikovaného zabezpečení. Zákon o kybernetické bezpečnosti a aktuálně již přijatý zákon o elektronizaci zdravotnictví to vše ještě několikrát podtrhnul.
V minulosti i současnosti pokulhávající financování jak v oblasti technických prostředků, tak také a velmi důrazně i v oblasti lidských kapacit a naprosto nereflektuje tuto situaci, kdy jsou očekávané velké změny a pokrok v těchto oblastech. Nemocnice nejsou personálně připraveny na nárůst počtu projektů a jejich řízení, a pokud mají shodou okolností v klíčových pozicích kvalifikované zaměstnance, tak jich rozhodně nemají dost pro další rozvoj. Argumentace zajištění externí dopomoci a saturace prostřednictvím outsourcingu platí pouze částečně. V předem těžko odhadnutelném momentu může dojít ke ztrátě kontroly nad projektem, k řízení ryze dodavatelem, a tedy k riziku velmi nebezpečné penetrace soukromého subjektu do interních procesů. Pouze dodavatelsky zkrátka tato nedostatečnost saturovat nelze a nalézt a vyvážit spolupráci je úloha pro velmi lucidní vedení organizace. Podmínkou je alespoň částečné zastoupení klíčových pozic řízení projektů z vlastních zdrojů.
FN Ostrava jako jedna z prvních provedla implementaci nemocničního informačního systému a podařilo se zužitkovat i investice z dotačních prostředků pro zajištění kybernetické bezpečnosti. Již během začátku projektů byla kapacitní nedostatečnost tou nejzásadnější komplikací. Mohu ujistit, že zranitelnost organizace je v těchto chvílích obrovská a takřka neřešitelný problém vzniká v oblasti zajištění jak interních služeb IT, tak zejména komplexní kybernetické bezpečnosti. V době, kdy jsou implementovány nové celky zabezpečení, není a nemůže být pozornost a důslednost na stejné úrovni se stejným počtem specialistů. Velmi složitým úkolem je do budoucna zajištění kapacit interních zaměstnanců, a to velmi důvodně nárůstem jejich celkového počtu a nalezením specialistů, které bude nutno odměňovat v souladu s trhem práce. Je smutným faktem, že procento IT pracovníků v nemocnicích na celkový počet zaměstnanců je v porovnání s jinými oblastmi naprosto nesmyslné a možnosti jejich financování jsou ještě smutnější – při nástupu do zaměstnání na většinu IT pozic je konkurentem v oblasti výše mzdy i pozice pokladní v supermarketu. Proto se domnívám, že právě tato kapacitně personální oblast se v dohledné době stane jednou z těch nejpalčivějších a drtivá většina rizik při implementaci zásadních projektů v oblasti elektronizace zdravotnictví a kybernetické bezpečnosti bude pramenit právě z těchto nedostatků.
Nemocnice a budoucnost
Neoddiskutovatelným faktem je, že velká část nemocnic – troufám si tvrdit, že těch největších v ČR většina – a zdravotnických zařízení bude procházet v následujících letech obrovskými změnami v oblastech informačních systémů, komplexní elektronizace a kybernetické bezpečnosti.
COVID-19 a situace, která za této pandemie v nemocnicích vznikla, doopravdy poukázala na nezbytnost a nepostradatelnost IT a ony dva zákony a dnes známé medializované problémy v oblasti kybernetické bezpečnosti nemocnic tuto problematiku a nutnost ji řešit velmi smutně akcentovaly. Proto se domnívám, že přes všechny neduhy dochází k průlomům v zásadních nedokonalostech celého procesu obnovy a bezpečnosti IT ve zdravotnictví. Nicméně dnes již zkušenosti například z naší nemocnice a zřetelné a snadno popsatelné nedostatky v procesech změn je možné a nutné eliminovat předem a pro nemocnice lépe připravit podmínky tak, aby bylo možno nezbytné kroky obměny, rozvoje a souvisejícího zabezpečení v oblasti IT provádět za zachování maximální dostupnosti a kvality poskytování péče našim pacientům. Zkrátka umožnit v dohledné době nemocnicím a zdravotnictví obecně tento očekávaný a velmi nutný rozvoj, ale vždy tak, aby mohl být a byl na prvním místě primární účel a důvod existence všech zdravotnických zařízení a nemocnic, kterým je co nejlépe pečovat, ošetřovat a léčit naše pacienty.
