Dyktat dostawców
| Tagi: | cyberbezpieczeństwo, szpital, szpitale, interoperacyjność, Maciej Wiśniewski, OSSP, Ogólnopolskie Stowarzyszenie Szpitali Prywatnych, informatyzacja |
Dostawcy systemów teleinformatycznych do podmiotów ochrony żądają horrendalnych pieniędzy nawet za drobne modyfikacje w dostarczanym oprogramowaniu – wśród zarządzających szpitalami mówi się o dyktacie.
- Część dyrektorów szpitali ma kłopoty z dostawami systemów teleinformatycznych
- Przykład – szef jednego ze szpitali wojewódzkich musiał płacić 50 tys. zł za zainstalowanie programów w dodatkowych lokalizacjach. Nie mogli tego zrobić pracownicy podmiotu
- Bywa, że cena oprogramowania to ułamek kosztów jednej czy drugiej integracji
- Czego oczekują zarządzający szpitalami?
Konieczne jest uregulowanie zagadnienia interoperacyjności systemów teleinformatycznych dostarczanych do podmiotów ochrony zdrowia w Polsce – obecnie obowiązują w Polsce dwa akty prawne:
- ustawa z 17 lutego 2005 roku o informatyzacji działalności podmiotów realizujących zadania publiczne,
- rozporządzenie Rady Ministrów z 21 maja 2024 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.
Powyższe przepisy określają między innymi zasady interoperacyjności w podmiotach realizujących zadania publiczne, w tym z zakresu ochrony zdrowia. To teoria – kłopotem jest praktyczna realizacja zasad interoperacyjności. Chodzi o wymagania dostawców dodatkowych wysokich opłat za stworzenie warunków interoperacyjności dla systemów i czas, jakiego żądają na realizację interoperacyjności, co znacznie wydłuża, a czasami uniemożliwia zakup nowego systemu od nowego dostawcy.
Interoperacyjność – co to?
Interoperacyjność to cecha produktu lub systemu, którego interfejsy funkcjonują w pełnej zgodności tak, aby współpracować z innymi produktami lub systemami, istniejącymi lub powstałymi w przyszłości, bez ograniczenia dostępu lub możliwości implementacji.
Interoperacyjność pozwala na wymianę informacji i wykorzystanie ich po otrzymaniu.
Zdaniem Macieja Wiśniewskiego, pełnomocnika zarządu Ogólnopolskiego Stowarzyszenia Szpitali Prywatnych do spraw informatyzacji i cyberbezpieczeństwa – mówił o tym 20 stycznia podczas konferencji „Informatyzacja szpitali w kontekście reformy systemu ochrony zdrowia” – zasadne jest wymaganie, aby dostawcy systemów teleinformatycznych zapewniali w cenie dostawy działania związane z koniecznością stworzenia warunków interoperacyjności z innymi systemami teleinformatycznymi. W przeciwnym razie wciąż będziemy mówić o dyktacie dostawców – jak wśród zarządzających szpitalami nieoficjalnie określa się kłopoty z interoperacyjnością.
Chodzi o to, że dostawcy żądają dużych pieniędzy nawet za drobne modyfikacje w dostarczanym oprogramowaniu.
Ekspert podaje przykład – dyrekcja jednego ze szpitali wojewódzkich musiała płacić 50 tys. zł za zainstalowanie programów w dodatkowych lokalizacjach (czego nie mogli zrobić pracownicy podmiotu).
Bywa, że cena oprogramowania to ułamek kosztów jednej czy drugiej integracji.
– Konieczne jest, aby dostawcy w oferowanych cenach zapewnili stworzenie warunków interoperacyjności, zgodnie z zasadami określonymi w przepisach ustawy z 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne, rozporządzenia z 21 maja 2024 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych oraz ustawy z 16 czerwca 2023 r. o jakości w opiece zdrowotnej i bezpieczeństwie pacjenta oraz poniższymi zapisami – wylicza Maciej Wiśniewski.
Ekspert przyznaje, że dostawcy powinni być zobowiązani w szczególności do:
- udostępnienia interfejsów programistycznych (API) umożliwiających integrację z innymi systemami,
- zapewnienia dokumentacji technicznej API w języku polskim i angielskim,
- aktualizacji API zgodnie z rozwojem standardów technologicznych.
Poza tym interfejsy programistyczne muszą obsługiwać:
- wymianę danych w formatach XML (Extensible Markup Language) JSON (JavaScript Object Notation) HL7 FHIR (Fast Healthcare Interoperability Resources),
- protokoły komunikacyjne REST API (Representational State Transfer) SOAP (Simple Object Access Protocol) WebSocket.
Dostawca powinien być zobowiązany do tego, aby interfejs programistyczny API zapewniał:
- wymianę dokumentacji medycznej,
- wymianę danych obrazowych zgodnych ze standardem DICOM,
- wymianę danych laboratoryjnych,
- synchronizację danych pacjentów,
- wymianę danych rozliczeniowych.
Wiśniewski podkreśla, że ważne jest też to, żeby dostawca zobligowany był do:
- monitorowania i rejestrowania wszystkich operacji wykonywanych przez API,
- zapewnienia mechanizmów kontroli dostępu.
– Dostawcy powinni także dostosowywać na własny koszt do końca 2026 r. – zgodnie z opublikowanym 15 stycznia 2025 r. przez Komisję Europejską dokumentem „European action plan on the cybersecurity of hospitals and healthcare providers” – systemy oferowane dla podmiotów ochrony zdrowia do minimalnych warunków interoperacyjności opisanych w niniejszym dokumencie, przy równoczesnym uwzględnieniu wymagań dyrektywy NIS2 – podsumowuje ekspert.
Przeczytaj także: „System raportowania incydentów – tego wymaga dyrektywa NIS2” i „Cyberodporność potrzebna od zaraz”.
