Archiwum
Roboty medyczne a prawo
Redaktor: Krystian Lurka
Data: 22.02.2023
Źródło: Aneta Sieradzka
| Tagi: | Aneta Sieradzka, roboty medyczne, roboty, operator, operatorzy, szpital, szpitale, operacja, operacje, prawo, robotyka |
Nowe technologie zmieniają możliwości, jakie oferuje współczesna medycyna – ułatwiają pracę lekarzom, sprawiają, że zabiegi są mniej inwazyjne, szybsze i łatwiej dostępne dla pacjentów. To jednak musi być bezpieczne od strony medycznej i prawnej. O tym – w cyklu artykułów o robotach medycznych w szpitalach – pisze prawniczka Aneta Sieradzka.
Artykuł prawniczki Anety Sieradzkiej z Kancelarii Prawnej Sieradzka & Partners:
Nowe technologie nie tylko niosą za sobą szanse i wymierne korzyści, lecz także zagrożenia. Tworzą się hybrydy, lekarz–algorytm–pacjent. W procesie leczenia każdy jego uczestnik powinien mieć zapewnione bezpieczeństwo prawne – pacjent, lekarz oraz placówka medyczna, która oferuje świadczenia zdrowotne. Rozwiązania oparte na nowych technologiach są obecnie współużytkowane przez wiele podmiotów w sektorze medycznym, które to podmioty mają wspólne ze sobą zależności, ale też i słabości – infrastrukturalne, organizacyjne, kadrowe czy komunikacyjne. Niewątpliwą bolączką w obszarze korzystania z dobrodziejstwa danych medycznych z użyciem nowych technologii jest brak dostatecznej współpracy pomiędzy szpitalami (często nie ma żadnej), dostępności i wymiany danych czy tworzenia ujednoliconych tzw. dobrych praktyk w procesie szkoleniowym z użyciem robotów medycznych w aspektach teoretycznych, praktycznych i prawnych (cyberbezpieczeństwo i RODO). Ustandaryzowanie dobrych praktyk ma wymierne korzyści w zakresie bezpieczeństwa zarówno lekarzy oraz pacjentów poddających się zabiegom z użyciem robotów medycznych, jak i szpitali oferujących takie zabiegi.
Hybrydowe bezpieczeństwo
Patrząc z perspektywy zarządzania ryzykiem prawnym w szpitalu, najistotniejsze jest wykazanie zgodności z obowiązującymi wymogami nałożonymi na placówki medyczne zwłaszcza w obszarze fundamentalnym, czyli ochrony danych medycznych oraz cyberbezpieczeństwa. Szpitale przetwarzają ogromne ilości danych medycznych, szczególnie chronionych. To na szpitalach spoczywa obowiązek podjęcia adekwatnych działań, aby ochronę danym medycznym zapewnić, minimalizować ryzyko ich naruszenia oraz mieć opracowane na te okoliczności transparentne procedury. Tworząc podstawy bezpieczeństwa infrastruktury informatycznej, należy skoncentrować wysiłki na obszarach objętych największym ryzykiem wycieku danych i ataku z zewnątrz na infrastrukturę wewnątrz szpitala – tę infrastrukturę tworzą również roboty medyczne.
Szkolenia personelu medycznego
Nie bez znaczenia jest proces szkoleniowy w każdym szpitalu, zwiększający świadomość prawną personelu medycznego w obszarze cyberzagrożeń i wdrożonych rozwiązań. Człowiek zawsze będzie najsłabszym ogniwem w relacji do takich zagrożeń i utraty danych. Niezależnie od pełnionych funkcji w szpitalu każdy pracownik może być celem ataku, tak jak może nim być każdy obszar działalności szpitala. Nikt nie jest w stanie zagwarantować stuprocentowych rozwiązań, które uchronią przed cyberatakami, ponieważ takie nie istnieją Dziś każdy szpital powinien być gotowy na działania cyberprzestępców. Powinien cyklicznie szkolić kadrę medyczną i administracyjną w celu minimalizowania ryzyka. I uczyć, jak działać w przypadku ataku, tworzyć przejrzyste ścieżki działania dla lekarzy na okoliczność cyberzdarzeń na poziomie wewnętrznym placówki. Personel medyczny powinien mieć narzędzia i wiedzieć, jak ich używać, czego nie robić i kogo informować w szpitalu w sytuacji zagrożenia czy ataku. Budowanie świadomości prawnej pracowników szpitala powinno stanowić system naczyń połączonych wespół z wewnętrznymi procedurami, infrastrukturą oraz OC szpitali na okoliczność cyberataków. Wiedza z zakresu cyberbezpieczeństwa i szeroko rozumianej ochrony danych medycznych powinna stanowić stały element szkoleniowy wszystkich zespołów chirurgicznych wykonujących operacje z użyciem robotów medycznych. W celu rozszerzenia przez szpital polisy o cyberbezpieczeństwo placówka musi wykazać, że spełnia wymogi określone przez prawo w obszarze bezpieczeństwa danych. Ponadto, poleganie jedynie na wewnętrznym IT może prowadzić do błędnych wniosków – jeśli na przykład ransomware był atakiem wewnętrznym, a także jeśli administratorzy próbują ukryć podatność, którą sami stworzyli, lub w przypadku naruszenia polityki bezpieczeństwa obowiązującej w szpitalu. Dlatego istotne jest, aby nie polegać wyłącznie na wewnętrznych specjalistach, ale korzystać także z rozwiązań konsultacji zewnętrznych.
System cyberbezpieczeństwa w sektorze zdrowia opiera się na zestawie regulacji prawnych adresujących zadania do poszczególnych podmiotów i organów. Podmioty lecznicze zgodnie z rozporządzeniem o Krajowych Ramach Interoperacyjności oraz z ustawą o Krajowym Systemie Cyberbezpieczeństwa wykonują działania mające na celu zapewnienie bezpieczeństwa danych medycznych oraz informują właściwy Sektorowy Zespół Cyberbezpieczeństwa (CSIRT) o incydentach. Wszystkie podmioty sektora ochrony zdrowia muszą wypełniać obowiązki w zakresie cyberbezpieczeństwa, wynikające z dwóch podstawowych aktów prawnych, rozporządzenia KRI oraz ustawy o KSC. W puli przepisów nakładających liczne obowiązki w zakresie ochrony danych medycznych na podmioty lecznicze należy ująć unijne rozporządzenie, tzw. RODO, oraz liczne przepisy krajowe dotyczące procesu udzielania świadczeń zdrowotnych. Każda czynność medyczna oparta jest na danych, a te z kolei podlegają szczegółowemu reżimowi prawnemu, którego naruszenie może skutkować dla szpitali dotkliwymi karami finansowymi oraz stratami wizerunkowymi.
Przeczytaj także: „Dawid Murawa: W Polsce panuje wolnoamerykanka na rynku robotów medycznych”, „Roboty medyczne – tak, ale mierzmy zamiar podług sił” i "Uwaga! Robot".
Nowe technologie nie tylko niosą za sobą szanse i wymierne korzyści, lecz także zagrożenia. Tworzą się hybrydy, lekarz–algorytm–pacjent. W procesie leczenia każdy jego uczestnik powinien mieć zapewnione bezpieczeństwo prawne – pacjent, lekarz oraz placówka medyczna, która oferuje świadczenia zdrowotne. Rozwiązania oparte na nowych technologiach są obecnie współużytkowane przez wiele podmiotów w sektorze medycznym, które to podmioty mają wspólne ze sobą zależności, ale też i słabości – infrastrukturalne, organizacyjne, kadrowe czy komunikacyjne. Niewątpliwą bolączką w obszarze korzystania z dobrodziejstwa danych medycznych z użyciem nowych technologii jest brak dostatecznej współpracy pomiędzy szpitalami (często nie ma żadnej), dostępności i wymiany danych czy tworzenia ujednoliconych tzw. dobrych praktyk w procesie szkoleniowym z użyciem robotów medycznych w aspektach teoretycznych, praktycznych i prawnych (cyberbezpieczeństwo i RODO). Ustandaryzowanie dobrych praktyk ma wymierne korzyści w zakresie bezpieczeństwa zarówno lekarzy oraz pacjentów poddających się zabiegom z użyciem robotów medycznych, jak i szpitali oferujących takie zabiegi.
Hybrydowe bezpieczeństwo
Patrząc z perspektywy zarządzania ryzykiem prawnym w szpitalu, najistotniejsze jest wykazanie zgodności z obowiązującymi wymogami nałożonymi na placówki medyczne zwłaszcza w obszarze fundamentalnym, czyli ochrony danych medycznych oraz cyberbezpieczeństwa. Szpitale przetwarzają ogromne ilości danych medycznych, szczególnie chronionych. To na szpitalach spoczywa obowiązek podjęcia adekwatnych działań, aby ochronę danym medycznym zapewnić, minimalizować ryzyko ich naruszenia oraz mieć opracowane na te okoliczności transparentne procedury. Tworząc podstawy bezpieczeństwa infrastruktury informatycznej, należy skoncentrować wysiłki na obszarach objętych największym ryzykiem wycieku danych i ataku z zewnątrz na infrastrukturę wewnątrz szpitala – tę infrastrukturę tworzą również roboty medyczne.
Szkolenia personelu medycznego
Nie bez znaczenia jest proces szkoleniowy w każdym szpitalu, zwiększający świadomość prawną personelu medycznego w obszarze cyberzagrożeń i wdrożonych rozwiązań. Człowiek zawsze będzie najsłabszym ogniwem w relacji do takich zagrożeń i utraty danych. Niezależnie od pełnionych funkcji w szpitalu każdy pracownik może być celem ataku, tak jak może nim być każdy obszar działalności szpitala. Nikt nie jest w stanie zagwarantować stuprocentowych rozwiązań, które uchronią przed cyberatakami, ponieważ takie nie istnieją Dziś każdy szpital powinien być gotowy na działania cyberprzestępców. Powinien cyklicznie szkolić kadrę medyczną i administracyjną w celu minimalizowania ryzyka. I uczyć, jak działać w przypadku ataku, tworzyć przejrzyste ścieżki działania dla lekarzy na okoliczność cyberzdarzeń na poziomie wewnętrznym placówki. Personel medyczny powinien mieć narzędzia i wiedzieć, jak ich używać, czego nie robić i kogo informować w szpitalu w sytuacji zagrożenia czy ataku. Budowanie świadomości prawnej pracowników szpitala powinno stanowić system naczyń połączonych wespół z wewnętrznymi procedurami, infrastrukturą oraz OC szpitali na okoliczność cyberataków. Wiedza z zakresu cyberbezpieczeństwa i szeroko rozumianej ochrony danych medycznych powinna stanowić stały element szkoleniowy wszystkich zespołów chirurgicznych wykonujących operacje z użyciem robotów medycznych. W celu rozszerzenia przez szpital polisy o cyberbezpieczeństwo placówka musi wykazać, że spełnia wymogi określone przez prawo w obszarze bezpieczeństwa danych. Ponadto, poleganie jedynie na wewnętrznym IT może prowadzić do błędnych wniosków – jeśli na przykład ransomware był atakiem wewnętrznym, a także jeśli administratorzy próbują ukryć podatność, którą sami stworzyli, lub w przypadku naruszenia polityki bezpieczeństwa obowiązującej w szpitalu. Dlatego istotne jest, aby nie polegać wyłącznie na wewnętrznych specjalistach, ale korzystać także z rozwiązań konsultacji zewnętrznych.
System cyberbezpieczeństwa w sektorze zdrowia opiera się na zestawie regulacji prawnych adresujących zadania do poszczególnych podmiotów i organów. Podmioty lecznicze zgodnie z rozporządzeniem o Krajowych Ramach Interoperacyjności oraz z ustawą o Krajowym Systemie Cyberbezpieczeństwa wykonują działania mające na celu zapewnienie bezpieczeństwa danych medycznych oraz informują właściwy Sektorowy Zespół Cyberbezpieczeństwa (CSIRT) o incydentach. Wszystkie podmioty sektora ochrony zdrowia muszą wypełniać obowiązki w zakresie cyberbezpieczeństwa, wynikające z dwóch podstawowych aktów prawnych, rozporządzenia KRI oraz ustawy o KSC. W puli przepisów nakładających liczne obowiązki w zakresie ochrony danych medycznych na podmioty lecznicze należy ująć unijne rozporządzenie, tzw. RODO, oraz liczne przepisy krajowe dotyczące procesu udzielania świadczeń zdrowotnych. Każda czynność medyczna oparta jest na danych, a te z kolei podlegają szczegółowemu reżimowi prawnemu, którego naruszenie może skutkować dla szpitali dotkliwymi karami finansowymi oraz stratami wizerunkowymi.
Przeczytaj także: „Dawid Murawa: W Polsce panuje wolnoamerykanka na rynku robotów medycznych”, „Roboty medyczne – tak, ale mierzmy zamiar podług sił” i "Uwaga! Robot".
