Znamy cyfrowe priorytety rządu: rozbudowa usług zdrowotnych w aplikacji mObywatel oraz ujednolicenie standardów cyberbezpieczeństwa. Co to oznacza w praktyce dla menedżerów placówek medycznych i jak się przygotować?
#### mObywatel: więcej zdrowia w aplikacji – szansa na prostsze ścieżki pacjenta
Z zapowiedzi wynika, że mObywatel ma zyskać większy komponent zdrowotny, tak aby obywatel mógł w jednym miejscu wygodniej załatwiać sprawy medyczne. W praktyce może to oznaczać lepsze powiązanie z usługami P1 oraz uspójnienie sposobu autoryzacji i prezentacji danych pacjenta. Na tym etapie nie ma jeszcze pełnych danych co do zakresu i harmonogramu, ale kierunek jest jasny: mniejsza fragmentacja doświadczeń pacjenta i krótsza droga od powiadomienia do działania (np. od przypomnienia do rejestracji).
Dla placówek to potencjalnie:
– mniej nieudanych kontaktów (no‑show) dzięki powiadomieniom push,
– większa przewidywalność ruchu pacjentów, gdy procesy umawiania będą bardziej standaryzowane,
– mniejsza liczba punktów tarcia w identyfikacji i uwierzytelnianiu pacjentów, jeśli mObywatel stanie się powszechnym „kluczem” do usług medycznych.
Warto zauważyć, że równolegle funkcjonuje aplikacja zdrowotna MojeIKP oraz systemy gabinetowe i rejestracyjne poszczególnych podmiotów. Integracja lub współdziałanie tych elementów – niezależnie od ostatecznego modelu – będzie wymagało zgodności interfejsów, spójnych polityk prywatności oraz aktualizacji procedur operacyjnych.
#### Standardy cyberbezpieczeństwa w ochronie zdrowia: zgodność z NIS2 i KSC
Drugi filar dotyczy ujednolicenia i podniesienia standardów cyberbezpieczeństwa. W tle jest wdrożenie dyrektywy NIS2 oraz krajowa nowelizacja przepisów o Krajowym Systemie Cyberbezpieczeństwa (KSC). Choć szczegółowe wymagania i terminy mogą być jeszcze finalizowane, trend jest jednoznaczny: więcej obowiązków w zakresie zarządzania ryzykiem, ochrony łańcucha dostaw, zgłaszania incydentów, testów bezpieczeństwa i ciągłości działania.
Co to może oznaczać dla placówek:
– formalne, cykliczne zarządzanie ryzykiem (metodyka, rejestry, plan remediacji),
– obowiązek stosowania wieloskładnikowego uwierzytelniania, segmentacji sieci i szyfrowania danych w spoczynku oraz w tranzycie,
– wzmocnione logowanie i monitorowanie (SIEM/SOC adekwatnie do skali),
– dowody szkoleń i podnoszenia świadomości personelu,
– procedury zarządzania incydentami, kopii zapasowych, odtwarzania po awarii i testów w praktyce, a nie tylko „na papierze”.
Warto przygotować się na to, że zarówno podmioty publiczne, jak i prywatne mogą zostać formalnie objęte nowymi obowiązkami – w zależności od wielkości, skali świadczeń i znaczenia usług.
#### Cyfrowe priorytety rządu: integracja usług i minimalizacja rozdrobnienia
W centrum priorytetów jest uproszczenie dostępu obywatela do usług cyfrowych państwa. Dla ochrony zdrowia oznacza to dążenie do:
– jednego punktu dostępu do najczęstszych spraw pacjenta (aplikacja mObywatel),
– spójnych standardów identyfikacji i autoryzacji, co ułatwia rejestrację i upoważnienia,
– eliminacji dublowania funkcji w wielu aplikacjach, co zmniejsza koszty utrzymania ekosystemu.
Z perspektywy placówki korzyści będą realne dopiero wtedy, gdy integracje będą stabilne, a wytyczne – precyzyjne. Na razie brakuje pełnych danych co do kroków pośrednich i finansowania implementacji po stronie świadczeniodawców.
#### Interoperacyjność i integracja z P1: FHIR, API i porządek w danych
Jeśli mObywatel ma obsługiwać więcej usług zdrowotnych, kluczowa stanie się interoperacyjność:
– standaryzowane API (np. oparte o HL7 FHIR tam, gdzie to możliwe),
– zgodność słownikowa i kodowa na styku systemów (kody badań, rozpoznań, procedur),
– jasna mapa danych: które dane są referencyjne, gdzie są przechowywane, kto jest ich źródłem.
Choć szczegóły rządowych wytycznych nie są jeszcze publicznie doprecyzowane, placówki już dziś mogą wymagać od dostawców systemów gabinetowych i HIS:
– dokumentacji API, wsparcia standardów interoperacyjności i sposobów wersjonowania,
– zgodności z Krajowymi Ramami Interoperacyjności (KRI) oraz minimalnymi wymaganiami dla systemów teleinformatycznych podmiotów publicznych,
– mechanizmów eksportu danych i ich przenoszalności (uniknięcie vendor lock‑in).
#### Zarządzanie tożsamością i zgodami pacjentów w mObywatelu
Rozszerzenie usług zdrowotnych w mObywatelu może w praktyce wpłynąć na:
– ujednolicenie uwierzytelniania pacjentów (z wykorzystaniem krajowych mechanizmów e‑ID),
– prostsze wyrażanie i odwoływanie zgód na dostęp do dokumentacji,
– skuteczniejsze powiadomienia o zdarzeniach medycznych i terminach.
Placówki powinny przejrzeć i zaktualizować polityki prywatności, RCPD (rejestr czynności przetwarzania), oceny skutków (DPIA) oraz wzorce upoważnień – tak, aby były spójne z nowymi kanałami dostępu i nie tworzyły sprzecznych ścieżek dla pacjenta.
#### Wpływ na procesy, ludzi i budżet placówki
Cyfrowe priorytety przekładają się na konkretne decyzje operacyjne:
– procesy: rejestracja, potwierdzanie wizyt, obsługa zgód i upoważnień, zarządzanie incydentami,
– ludzie: potrzebne kompetencje w rejestracji, IT i bezpieczeństwie informacji; rola Inspektora Ochrony Danych i ewentualnie pełnomocnika ds. cyberbezpieczeństwa,
– budżet: koszty aktualizacji systemów, testów bezpieczeństwa, szkoleń, a także potencjalnych usług SOC/CSIRT; równocześnie możliwe oszczędności dzięki automatyzacji i mniejszej liczbie błędów.
Ponieważ na tym etapie brakuje pełnych danych o finansowaniu ze środków centralnych, warto planować wdrożenia etapami i zabezpieczać elastyczne zapisy w umowach z dostawcami.
#### Ryzyka i niepewności: czego jeszcze nie wiemy
Na podstawie publicznych informacji nie ma dziś kompletu danych o:
– dokładnym harmonogramie i zakresie nowych funkcji zdrowotnych w mObywatelu,
– wymaganiach technicznych wobec systemów placówek (szczegółowe profile integracyjne),
– kosztach i źródłach finansowania po stronie świadczeniodawców,
– docelowym podziale ról pomiędzy mObywatel a istniejące aplikacje zdrowotne.
Dlatego rekomendowane jest podejście ostrożne: przygotowywać fundamenty (bezpieczeństwo, interoperacyjność, porządek w danych), ale pozostawić miejsce na zmianę kierunku, gdy pojawią się uszczegółowione wytyczne.
#### Dlaczego to ważne dla placówek
– Bezpieczeństwo prawne i finansowe: wzrost wymogów cyberbezpieczeństwa to realne sankcje za naruszenia oraz koszty incydentów. Proaktywne działania ograniczają ryzyko.
– Przewaga konkurencyjna: placówki, które szybciej zintegrują się z kanałami państwowymi (np. mObywatel), mogą liczyć na lepszą dostępność i wyższą satysfakcję pacjentów.
– Efektywność operacyjna: standaryzacja procesów i integracji skraca czas obsługi, zmniejsza liczbę błędów i reklamacji.
– Zaufanie pacjentów: przejrzysta obsługa zgód, czytelne powiadomienia i bezpieczne kanały komunikacji bezpośrednio wpływają na lojalność pacjentów.
– Odporność organizacyjna: wdrożone praktyki BCM/DR oraz szkolenia personelu zwiększają zdolność placówki do działania w sytuacjach kryzysowych.
#### Co zrobić teraz (checklista)
– Przeprowadź przegląd zgodności:
– ocena dojrzałości bezpieczeństwa wg uznanej normy (np. ISO/IEC 27001) i plan domknięcia luk,
– przegląd RODO: DPIA dla kluczowych systemów, aktualizacja rejestru czynności i podstaw prawnych.
– Wzmocnij fundamenty techniczne:
– wymuś MFA dla wszystkich ról uprzywilejowanych i dostępu zdalnego,
– segmentacja sieci i ograniczenie ruchu lateralnego; szyfrowanie danych w tranzycie i spoczynku,
– centralne logowanie zdarzeń, retencja i korelacja (SIEM lub alternatywa adekwatna do skali).
– Zaktualizuj procedury i szkolenia:
– zarządzanie incydentami (odkrycie–eskalacja–zgłoszenie–nauka),
– kopie zapasowe 3–2–1 i testy przywracania,
– cykliczne szkolenia personelu (phishing, obsługa danych, urządzenia mobilne).
– Przygotuj integracje i interoperacyjność:
– poproś dostawców HIS/EDM o dokumentację API i mapę zgodności z KRI; zaplanuj testy integracyjne,
– porządkuj słowniki i identyfikatory (badania, procedury, użytkownicy) – ułatwi to każdy projekt integracyjny,
– przewidź mechanizmy przenoszenia danych i eksportów (minimalizacja vendor lock‑in).
– Zaprojektuj doświadczenie pacjenta:
– przeanalizuj punkty styku: rejestracja, potwierdzanie wizyt, powiadomienia; wdroż spójne treści i procesy,
– przygotuj polityki i klauzule dotyczące zgód i upoważnień w kanałach cyfrowych.
– Zarządzaj ryzykiem dostawców:
– oceń podwykonawców (hosting, laboratoria, call center) pod kątem bezpieczeństwa i ciągłości działania,
– wpisz wymagania cyber do umów (MFA, szyfrowanie, logowanie, audyty, zgłaszanie incydentów).
– Zaplanuj komunikację i governance:
– powołaj zespół ds. priorytetów cyfrowych (IT, administracja, medyczni, IOD),
– ustal wskaźniki sukcesu (czas rejestracji, no‑show, liczba incydentów) i cykliczne przeglądy.
#### Perspektywa wdrożeniowa: pragmatyczna mapa na 6–12 miesięcy
– Kwartał 1: audyt bezpieczeństwa i RODO, inwentaryzacja systemów, szybkie wygrane (MFA, kopie, segmentacja).
– Kwartał 2: porządkowanie danych i słowników, umowy z dostawcami (wymagania cyber, API), pilotaż integracji.
– Kwartał 3: szkolenia personelu, testy DR/BC, wdrożenie monitoringu i procedur incydentowych.
– Kwartał 4: optymalizacja procesów rejestracji i komunikacji z pacjentem, przygotowanie do nowych funkcji mObywatel.
Harmonogram należy dostosować do wielkości placówki i dostępnych zasobów; kluczem jest iteracyjność i mierzenie postępów.
#### Podsumowanie
Kierunek cyfryzacji wyznaczony przez rząd – więcej zdrowia w mObywatelu i ujednolicone standardy cyberbezpieczeństwa – to dla placówek zarówno wyzwanie, jak i szansa. Choć brak dziś pełnych danych o szczegółach i finansowaniu, już teraz można budować trwałe fundamenty: bezpieczeństwo informacji, interoperacyjność, porządek w danych i spójne doświadczenie pacjenta. Dzięki temu, gdy pojawią się doprecyzowane wytyczne, placówka nie będzie zaczynała od zera, lecz z pozycji gotowości.
Źródło: Rynek Zdrowia – „Znamy cyfrowe priorytety rządu. Więcej zdrowia w mObywatelu i standardy cyberbezpieczeństwa”, dostęp: https://www.rynekzdrowia.pl/E-zdrowie/Znamy-cyfrowe-priorytety-rzadu-Wiecej-zdrowia-w-mObywatelu-i-standardy-cyberbezpieczenstwa,275997,7.html. W chwili pisania nie były publicznie dostępne pełne szczegóły harmonogramów i finansowania – powyższa analiza odzwierciedla kierunki i dobre praktyki przygotowawcze.