Rozhovor: Tomáš Iránek

Rozhovor: Tomáš Iránek

Tomáš Iránek je náměstek pro informatiku ve Fakultní nemocnici Brno. Jako IT manažer má více než 20letou praxi jak v komerčním sektoru, tak ve zdravotnictví. V poslední době prošel fakultní, krajskou i okresní nemocnicí, a může tak porovnat úroveň a potřeby nemocničního IT v závislosti na velikosti zařízení poskytované péče. Spolupracuje jako konzultant NCEZ na digitalizaci českého zdravotnictví.

Snímek obrazovky 2024 12 20 132304

Jaké hlavní rozdíly jste zaznamenal v IT infrastruktuře mezi fakultní, krajskou a okresní nemocnicí?

Když to vztáhneme jenom na infrastrukturu, je samozřejmě hlavním rozdílem velikost. Fakultní nemocnice má po Brně tři velké areály, čemuž odpovídá infrastruktura. Co se ale týká potřebných technologií, je to vesměs podobné – všichni mají nějaké IT, radiologické nebo laboratorní systémy. Paradoxně i malá okresní nemocnice, pokud je pod zákonem kybernetické bezpečnosti (např. Uherské Hradiště, kde jsem v minulosti působil), musí plnit stejná bezpečnostní opatření jako fakultní nemocnice, což je pro ně finančně i personálně náročnější.

Fakultní nemocnice často nakupují podobné technologie jako menší nemocnice, což vytváří nepoměr – menší nemocnice má na kyberbezpečnost méně zdrojů. Dříve pomohly dotace, např. IROP 10 (končil 2021), kdy si nemocnice pořídily mnoho nových technologií. Nyní běží další IROP, resp. Národní plán obnovy, který se asi před 14 dny otevřel. Jsou tam asi dvě miliardy pro nemocnice, které v rámci předchozích dotací nezískaly potřebné prostředky. Jenže třeba nám končí udržitelnost některých řešení během příštího roku a pokračuje to až do roku 2026. Takže budeme muset najít finance na obnovu z vlastních zdrojů. Původní dotace byli ve výši cca 400 mil. Kč.

Jak je na tom české zdravotnictví s přechodem na digitalizaci např. v oblasti elektronických záznamů pacientů?

Shodou okolností spolupracuji s Národním centrem pro elektronizaci zdravotnictví jako konzultant a poradce. Takže vím, že v současné fázi existuje návrh core infrastruktury pro digitalizaci zdravotnictví na úrovni ministerstva. To jsou tzv. klíčové projekty, které mají za úkol vybudovat jednak nezbytnou infrastrukturu, ale hlavně vymyslet technologii a protokoly,

podle nichž se bude komunikovat a mají za úkol ověřit funkčnost celého designu. V příštím roce proběhnou pilotní projekty (např. v naší nemocnici, Mladé Boleslavi, Ostravě), které ověří realizovatelnost a funkčnost konceptu. Pokud budou projekty úspěšné, ostatní nemocnice by měly k systému přistoupit do roku 2027, což je podmíněno čerpáním dotací, které končí na konci roku 2026.

Snímek obrazovky 2024 12 20 184742

Jakým způsobem běžní praktičtí lékaři mimo nemocnice zajišťují své IT potřeby? Jaké výzvy v této oblasti vnímáte?

Ministerstvo má pouze 14 přímořízených organizací, z nich je pouze 10 nemocnic, ale většina nemocnic a praktických lékařů jsou soukromníci nebo pod správou krajů a měst. Na ně ministerstvo nemá přímý vliv, takže tam je problém je k té digitalizaci donutit. Kolega Petr Foltýn, který je na ministerstvu v roli ředitele NCEZ a má tak celou digitalizaci zdravotnictví na starost, o tom nedávno mluvil v rozhovoru. Zvažují třeba, jestli by pojišťovny nezavedly bonifikace pro ty, kdo na digitalizaci přejdou. Osvědčilo se to v Izraeli, kde lékaři, kteří přešli na digitální systémy, dostávali úhrady rychleji nebo s bonusem. Problém ale je, že spousta ambulancí pracuje na 15 až 20 let starých systémech, které mají minimální zabezpečení. Mnoho lékařů navíc nemá velkou počítačovou gramotnost a nechtějí investovat do nového systému a ani se učit nějaký nový systém – pro mnohé z nich je problémem i eNeschopenka. Takže je tu i riziko, že někteří starší praxi raději ukončí.

Co se týče digitalizace obecně, my na ni přejít musíme, protože nám to nařizuje Evropská unie, ale samozřejmě to není jediný důvod, ale je to ten pádný pro politiky, jinak totiž budou hrozit sankce. Evropská unie přijala usnesení o přeshraniční výměně zdravotnické dokumentace a zřizuje Evropský zdravotnický datový prostor (EHDS). To má být hotové od roku 2028, takže teď je fáze přípravy. V Česku zatím nemáme všechny zákony, ale třeba díky kraji Vysočina a panu Petru Pavlincovi se přeshraniční spolupráce již testuje.

Reálně ale podle mě bude přechod na digitální záznamy fungovat až kolem roku 2027–2028. I když pan ministr zdravotnictví říkal, že od roku 2026 už pacienti nebudou běhat s papíry, není to moc pravděpodobné. Dokud bude byť jen jediný praktický lékař posílat papírové žádanky, nemocnice je musí nějak zpracovat. Takže pokud zákon striktně nenařídí jen digitální komunikaci, pořád to bude dvojkolejné.

Jak zdravotnická zařízení přistupují k ochraně citlivých dat pacientů? A v čem je tento přístup odlišný mezi velkými a malými nemocnicemi?

Samozřejmě platí pro všechny zdravotnické subjekty GDPR. Zdravotní záznamy jsou nejcitlivější kategorií dat, takže nemocnice, ať velké nebo malé, musejí mít svého pověřence – buď interního, nebo externího – a musejí mít zpracované postupy ochrany dat.

Většina zařízení pořád vede pacientská data hlavně papírově, takže musejí chránit „fyzické kartotéky a papíry“. Samozřejmě k tomu vedou doplňkové digitální dokumentace, které šifrují a hlídají přístupy, ale reálně je pořád velká část zabezpečení o fyzické ochraně vytištěných dokumentů, které neumíme digitálně zkontrolovat. Musí se zaznamenávat, když si někdo něco půjčuje nebo nahlíží do dokumentace, ale pořád se bavíme o papírové offline formě.

Ale teď to není úplně v rukou IT. My se spíše chystáme na budoucnost, na plnou digitalizaci. A právě z těchto důvodů padlo rozhodnutí, že Česká republika, ačkoli by to mohlo být jednodušší, nepůjde cestou centrálního úložiště zdravotních záznamů pro všechny pacienty. Hrozí potenciální bezpečnostní riziko, že pokud by se prolomilo jedno místo, tak se vlastně někdo dostane ke všemu. A jdeme tak cestou tzv. afinitních domén, což je distribuovaný systém zdravotních záznamů, který funguje přes nějaké definované protokoly, jednoduše řečeno vyšle dotaz. Dostanete seznam dokumentací a o tu, která vás zajímá, požádáte elektronicky. Zobrazí se vám, ale nemáte právo si ji uložit. Je prostě jenom k náhledu.

Česko tudíž zvolilo model distribuovaného systému místo centrálního úložiště. Je to bezpečnější – data zůstanou tam, kde vznikla, a přístup se řídí přes dotazy a protokoly. Data se jen zobrazí, ale neukládají.

Snímek obrazovky 2024 12 20 185016

V praxi ale vždy narazíme na lidský faktor. Lékaři si třeba ofotí obrazovku mobilním telefonem, i když máme zablokované tisky. Nemluvě o kilometrech zdravotnické dokumentace, které archivujeme až 40 let – pronajímáme si k tomu např. i bývalé bunkry civilní obrany, abychom to měli kde ukládat.

Budoucnost vidím jako velkou výzvu, protože zdravotnické přístroje generují obrovská data. Máme např. přístroj na focení znamének, který ročně vytvoří 2 TB dat, a speciální sekvenátor DNA dokáže vytvořit 40 TB ročně. A to je jen pár zařízení – celkově máme desítky tisíc kusů zdravotnické techniky, která generuje data. A některá z nich se stávají součástí zdravotnické dokumentace pacienta, takže je musíme archivovat po zákonem určenou dobu. Ten nárůst požadavků na úložný prostor pro data bude ve zdravotnictví enormní.

Problém je, že nemocnice nemají specifické financování IT. Vše platí z prostředků zdravotního pojištění, kde jsou náklady na IT zahrnuté do kolonky „ostatní“ společně třeba s údržbou nebo účetnictvím. Dotace z EU jsou spíše na interoperabilitu nebo výměnu dokumentace, ale ne na záložní úložiště nebo provoz IT. Kam všechna ta data dáme, to bude v budoucnu velká otázka.

Jaký plán mají malé nemocnice, které se zatím nemusejí řídit ZoKB s příchodem nového zákona o kybernetické bezpečnosti, který by měl platit od roku 2026 a do kterého budou spadat?

Rozlišujeme dvě věci – kybernetickou bezpečnost a interoperabilitu zdravotních dat. V rámci digitalizace zdravotnictví mají vznikat tzv. afinitní domény, což jsou distribuované systémy pro výměnu zdravotnické dokumentace. Na tyto certifikované domény lze nyní čerpat dotace. Podmínkou dotace ale je, že doména musí umožnit připojení komukoli, kdo o to požádá.

Původní myšlenka byla, že kraje zřídí tyto domény ve svých datových centrech, protože krajské úřady mají největší pravomoci v oblasti zdravotní péče. Kromě nemocnic by se do těchto domén mohli připojit ambulantní specialisté nebo třeba i sociální sektor. Jenže provoz domény je složitý – vyžaduje lidi na správu, kteří musejí být k dispozici např. i o víkendu. A to se krajským úřadům nelíbí. Oni v takovém režimu neumí pracovat a snaží se tu povinnost přenést na nemocnice.

Víme, že některé domény vzniknou např. na Vysočině nebo u přímo řízených organizací Ministerstva zdravotnictví ČR. V některých krajích si o dotaci požádali, ale jinde to nejspíše bude vznikat živelně, kdy se zařízení mezi sebou domluví na sdílení infrastruktury.

Pokud jde o kybernetickou bezpečnost a pravidla NIS2, každá nemocnice si musí poradit sama. Některé kraje, např. Pardubický nebo Královéhradecký, už vytvořily zdravotní holdingy, které sdružují menší nemocnice. Tím lépe využívají IT zdroje, např. mají dvě sdílená datová centra místo jednoho v každé třeba z pěti nemocnic. To je efektivní model, který by mohly následovat i ostatní kraje. Stejně tak se jim daří sdílet i „ajťáky“, protože těch je ve zdravotnictví nedostatek. Menší nemocnice se na nový zákon připravují, ale je pravda, že to u nich často není priorita. Mnohdy spíše doufají, že kontrola na ně nepřijde a že se nikdy nic nestane (myšleno kyberincident).

Jak vidíte situaci kolem kybernetické bezpečnosti hlavně s ohledem na to, že stát to neřeší centrálně, ale spíše si každý resort dělá věci po svém?

Já si myslím, že stát to v minulosti trochu prošvihl. Bylo tu ministerstvo pro informatiku, snažilo se centralizovat digitalizaci, ale to trvalo jen chviličku a pak to zaniklo. A nyní je to tak, že si každý resort dělá to svoje, ať už jde o to, jak jsou řízené přijímací zkoušky na střední školy nebo stavební řízení.

A právě v oblasti kybernetické bezpečnosti, jako je třeba NIS2 nebo nový zákon o kybernetické bezpečnosti, se ukazuje, že nám stát mohl pomoct. Požadavky na nás jsou jasné – musíme mít manažera kybernetické bezpečnosti, architekta, auditora a spoustu dalších funkcí, které by se ale daly sjednotit. Třeba u přímo řízených organizací by to mohlo být centralizováno. Stát by mohl nabídnout nějaké standardní politiky, které si jednotlivé nemocnice upraví podle potřeby, nebo by mohl poskytovat centrální služby – třeba architekta nebo manažera kybernetické bezpečnosti, který by byl sdílený pro více nemocnic. Vím, že se v současné době o něco podobného ministerstvo zdravotnictví pokouší, ale jsme už 10 minut po dvanácté. Taková centralizace by ušetřila peníze a práci, protože teď si to každý dělá po svém. Když pak NÚKIB dělá audity, mohl by je dělat pro celý sektor. Místo toho je dělá pro každého zvlášť a nikdo nemá odvahu něco změnit. Ale myslím, že by to takhle mělo fungovat do budoucna – alespoň v rámci jednotlivých resortů, kde by vznikly nějaké „klastry“ odborníků, kteří by se starali o legislativně vynucenou část informatiky a poskytovali tuto službu centrálně.

Snímek obrazovky 2024 12 20 185350

Konkrétně u Zlínského kraje vidíme takový příklad – máme tam čtyři nemocnice, které provozuje kraj: Zlín, Vsetín, Kroměříž, Uherské Hradiště. Dvě z nich jsou povinné podle zákona, dvě ne. Každá z těch nemocnic má svého manažera kybernetické bezpečnosti, architekta a auditora. Přitom se jedná o jednoho zřizovatele, mají stejnou IT infrastrukturu, takže kdyby se tyto nemocnice spojily do jednoho „klastru“, určitě by to bylo efektivnější. Ale bohužel to tak nefunguje.

Jaké jsou zásadní rozdíly mezi kybernetickou bezpečností ve zdravotnictví a v jiných subjektech?

Když jsem přišel do zdravotnictví, měl jsem zkušenosti z komerční sféry a automotivu, kde už v roce 2017, pokud jsme chtěli získat zahraniční zakázky, museli jsme splnit přísné IT bezpečnostní požadavky. Třeba když jsme se v automotivu ucházeli o zakázku společnosti VOLVO, přišel nám 60stránkový dokument, co všechno musíme splnit, včetně zabezpečení výrobních záznamů a přístupu k dokumentaci. Bez toho se s námi nikdo vůbec nebavil. Při přechodu do zdravotnictví jsem očekával, že to bude podobné – přece jde o lidské zdraví. Ale brzo jsem pochopil, že kybernetická bezpečnost ve zdravotnictví není jen o tvrdých opatřeních, jako je firewall nebo silná hesla. Je to hlavně o změně procesů a přístupu, tedy o změně myšlení.

Největším problémem je, že zdravotníci nejsou běžní uživatelé, jak je známe v jiných sektorech. Když jsem přišel do fakultní nemocnice v Brně, která byla pořád ovlivněná kybernetickým útokem, chtěli jsme zavést silnější hesla a zákaz flashdisků. Ředitel mi ale tehdy řekl: „Dělejte, co chcete, ale hlavně s tím neobtěžujte lékaře.“ A právě to je problém, protože ve zdravotnictví nejsme schopní zavést některá opatření běžná v komerčním sektoru, aniž by to ohrozilo pacienty. Představte si, že je vyhlášen trauma plán a potřebujete okamžitý přístup k pacientovým záznamům. Nemůžete se ptát, zda je lékař autorizován k přístupu, potřebujete, aby se k těm záznamům dostal okamžitě. To je jeden z hlavních rozdílů mezi zdravotnictvím a komerčními sektory – jde o život.

Dále v komerčním sektoru, např. v bankách, zamykáte obrazovky počítačů po 15 minutách nečinnosti. Ve zdravotnictví si to ale nemůžeme plošně dovolit, např. na operačních sálech. Když chirurg operuje a používá počítač pro přístup k důležitým údajům, nemůže ho mít neustále otevřený a každých 15 minut pohnout myší, aby se obrazovka nevypnula. Takže i když víme, že některá bezpečnostní opatření jsou důležitá, v určitých případech jsou příliš rigidní pro zdravotnické prostředí, kde je třeba rychlé jednání a flexibilita.

Další zásadní rozdíl je ve zdravotnické technice. V nemocnicích se používají zařízení, jako jsou rentgeny, infuzní pumpy nebo systémy pro telemedicínu. Vývoj těchto přístrojů je pomalejší, jejich životnost je v průměru kolem deseti let a kybernetická bezpečnost na nich odpovídá technologické úrovni před pěti lety. Například některé aktuálně používané přístroje mají username a heslo „admin/admin“, které nelze změnit, protože to vyžaduje dodavatel nové certifikace a je to drahé. A od dodavatele často slyšíte, ať si pořídíte nový model, ale to zase není možné z pohledu nemocnice. Takže hledáme cesty, jak bezpečně provozovat zdravotnické prostředky, které sice mají certifikace z pohledu bezpečnosti pacienta, ale z pohledu kybernetické bezpečnosti jsou značně problematické.

V komerčním sektoru máte větší možnost vyjednávat s dodavateli, v případě zdravotnické techniky se ale často setkáváme s tím, že nám výrobce řekne: „To je všechno, co máme, buďto to vezmete, nebo nic.“ Tady by nám NÚKIB a jiné orgány mohly pomoci regulovat situaci, podobně jako to NÚKIB udělal v případě problematických technologií, jako je Huawei, ale v oblasti zdravotechniky nám chybí jednotná regulace. A to se samozřejmě ve zdravotnictví stává velkým problémem, protože my jako jednotlivé nemocnice nemáme sílu diktovat podmínky. A obecně celá ČR je objemem obchodu pro některé nadnárodní koncerny na úrovni zaokrouhlovací chyby, takže rozhodně nebudou kvůli našemu trhu něco měnit. Tady by měla tlačit celá EU.

Snímek obrazovky 2024 12 20 185643

Toto jsou zásadní rozdíly mezi kybernetickou bezpečností ve zdravotnictví a v komerčním sektoru: ve zdravotnictví jde o to, že musíme najít rovnováhu mezi bezpečnostními opatřeními a potřebou rychlého a flexibilního přístupu, který je často klíčový pro záchranu životů.

Na začátku listopadu 2024 jsme se potkali na hackathonu Hack Jak Brno. Jaký na Vás tento zážitek udělal dojem? A jaký je podle Vás zájem odborníků v IT o práci ve zdravotnictví a v nemocnicích? Co považujete za hlavní motivační faktory, a co může odborníky naopak odrazovat?

Hackathon Hack Jak Brno mě opravdu překvapil. Když jsem v neděli při vyhlašování viděl, co účastníci dokázali za 48 hodin připravit, doslova mi spadla brada. Tím spíše, že někteří z nich vlastně v pátek, kdy to začalo, neměli o zdravotnické informatice vůbec žádné povědomí. Je potřeba si uvědomit, že zdravotnická informatika je trochu jiná – jsou tam zvláštní protokoly. Data jsou uložena v jiných formátech a standardech než to mají např. výrobní databáze.

Pro odborníky v IT to může být odrazující, že v českém zdravotnictví je silná regulace a financování je problematické. Mnozí talentovaní lidé proto odcházejí do zahraničí, kde nejsou tak přísné regulace a mohou své inovace využít naplno. Přitáhnout tak do nemocničního IT nové lidi je velmi problematické – byť nám hackathon ukázal, že ten zájem a potenciál na trhu je.

Jaký je váš názor na současnou regulaci a financování moderních IT technologií ve zdravotnictví? Jak by mohl být systém upraven, aby motivoval nemocnice k zavádění inovací, například telemedicíny nebo analytických AI nástrojů?

Příkladem je telemedicína, kterou řeší Národní telemedicínské centrum. Měl by se vytvořit rámec pro pojišťovny, aby věděly, jaké moderní IT technologie mohou hradit a jakou formou. Během covidu se nějak usneslo, že když pacient zavolá lékaři přes telefon nebo Skype, lékař za to dostane nějaké peníze. Ale v dnešní době dokážeme měřit puls a tlak přes chytré hodinky, máme různá zařízení, která komunikují s nemocnicí, např. kardiostimulátory. Problém je, že tyto služby nejsou v pojištění zahrnuté, a tudíž je nemůžeme poskytovat, protože nemocnice by je musela dotovat z vlastního rozpočtu. Já bych rád pořídil nějaký analytický AI nástroj, třeba na rozpoznávání znamének, ale nikdo to nezaplatí, protože to není hrazeno a my to neumíme vykázat. To by byl čistý náklad pro nemocnici.

Jaké nové technologie by mohly v příštích letech nejvíce ovlivnit IT ve zdravotnictví v České republice?

Jedním z fenoménů je určitě umělá inteligence, i když v dnešní době je to stále strojové učení a jazykové modely a AI je jen marketingový pojem. Už teď to ukazují výzkumy, jak lze AI efektivně využívat v diagnostice. V Americe nedávno udělali slepé testy na diagnostiku pomocí AI. To znamená, že vzali dokumentace pacientů a dali je skupině lékařů diagnostikovat bez AI. Potom jim dali k dispozici AI, a nakonec nechali vytvořit diagnostiku jenom AI. Dopadlo to tak, že lékaři bez AI měli úspěšnost 74 %. Lékař, který použil AI, měl úspěšnost 76 %. A samotná AI měla úspěšnost 90 %. Z čehož vyplynulo, že většina lékařů AI zatím neumějí používat nebo ji používají špatně. Ale samotná AI byla poměrně přesnější. Před čtyřmi lety jsem byl na konferenci, kde ukazovali, že čtení ultrazvukových nebo radiologických snímků umí počítač udělat lépe, protože odstíny šedi vyhodnotí přesněji než lidské oko. Ale bohužel, tak jako v minulosti mnohokrát, se lidé pokroku a inovaci brání.

Dalším fenoménem je digitalizace samotná. Pokud lékaři budou mít online přístup k výsledkům a k dokumentaci pacienta napříč resortem, aby bylo nepodstatné, jestli ho léčili v Chomutově nebo v Ostravě, může to samozřejmě urychlit léčbu a zpřesnit diagnózu. A druhým efektem, který si od toho slibují pojišťovny je zlevnění zefektivnění léčení. V dnešní době vám praktický lékař udělá několik vyšetření, odebere vám krev, ale když si druhý den např. zlomíte nohu a odvezou vás někam do nemocnice k operaci, tak vám ty základní odběry udělají znovu, protože se k výsledkům od praktického doktora nemohou dostat. Spousta vyšetření probíhá opakovaně úplně zbytečně a za všechna se platí. Když se výsledky budou moct sdílet, zrychlí se péče o pacienta.

Samozřejmě bude pokračovat vývoj nových technologií, robotické operace, chytré kloubní náhrady a chytré protézy, celé IT se bude do budoucna posouvat dál. Důležité ale je, aby to lékaři uměli a chtěli používat a nebránili se tomu a aby existoval způsob, jak tyto nové metody a prostředky efektivně financovat.

Děkuji za rozhovor.
Za DSM se ptal Martin Haloda.


Vytisknout