W ostatnich latach Belgia znacząco rozwinęła system cyfrowej wymiany danych medycznych. Infrastruktura ta staje się jednak coraz bardziej narażona na zagrożenia wykraczające daleko poza zwykłe problemy techniczne. Thibaut Duvillier, który przez 12 lat pełnił funkcję zastępcy dyrektora platformy eHealth, wskazuje trzy najważniejsze wyzwania stojące przed belgijskim systemem e-zdrowia: poważną podatność szpitali na cyberataki, wykorzystywanie danych medycznych do monitorowania absencji chorobowej oraz problem suwerenności cyfrowej w relacjach z amerykańskimi gigantami technologicznymi. W jego ocenie e-zdrowie przestało być wyłącznie kwestią technicznych narzędzi wymiany informacji – dziś dotyczy stabilności całego systemu i odpowiedzialnego zarządzania na poziomie politycznym.
Trzy czwarte szpitali nieprzygotowanych na cyberataki
Najbardziej niepokojącym, a zarazem wciąż niedocenianym problemem jest cyberbezpieczeństwo placówek medycznych. Duvillier, obecnie doradca ds. strategii cyfrowej Narodowego Kolegium Międzymutualnego (Collège Intermutualiste National), zwraca uwagę na wyniki badania Shield przeprowadzonego przez Federalne Ministerstwo Zdrowia Publicznego (FOD Volksgezondheid/SPF Santé publique). Z analizy wynika, że aż trzy czwarte szpitali w Belgii nie jest przygotowanych lub jest przygotowanych jedynie częściowo na cyberatak.
Minister zdrowia Frank Vandenbroucke przeznaczył wprawdzie dodatkowe środki na poprawę bezpieczeństwa systemów informatycznych, jednak według specjalistów skala finansowania pozostaje niewystarczająca w stosunku do realnych potrzeb placówek oraz wymagań wynikających z nowej europejskiej dyrektywy NIS 2. Regulacje te nakładają na instytucje ochrony zdrowia znacznie surowsze obowiązki dotyczące cyberbezpieczeństwa, co oznacza konieczność szybkiego podniesienia poziomu zabezpieczeń w belgijskich szpitalach.
Duvillier podkreśla, że zagrożenie nie jest hipotetyczne. W jego opinii pytanie nie brzmi już, czy dany szpital stanie się celem cyberataku, lecz kiedy do niego dojdzie i czy placówka będzie w stanie utrzymać ciągłość działania. Ekspert zwraca uwagę na praktyczny problem: czy w przypadku awarii systemów informatycznych personel medyczny byłby w stanie powrócić do dokumentacji papierowej. Jak wskazuje, część szpitali w Belgii nie posiada nawet planu ciągłości działania (Business Continuity Plan) ani planu odtwarzania po awarii (Disaster Recovery Plan), który określa sposób stopniowego przywracania funkcjonowania systemów. Inne instytucje co prawda opracowały takie procedury, ale nigdy nie przeprowadziły ich realnych testów. Niektóre placówki przyznają wręcz, że nie wiedzą, jak odbudować swoje systemy po poważnym cyberataku lub wycieku danych. W wielu miejscach zależność od technologii cyfrowej stała się całkowita, podczas gdy odpowiednie zabezpieczenia nadal pozostają niewystarczające.
Kontrola zwolnień lekarskich – gdy dane medyczne służą nadzorowi
Drugie wyzwanie ma przede wszystkim wymiar polityczny i dotyczy przesunięcia akcentów w cyfrowej ochronie zdrowia z sektora czysto medycznego w stronę systemu świadczeń społecznych. Jeszcze kilkanaście lat temu cyfryzacja ochrony zdrowia w Belgii koncentrowała się wyłącznie na organizacji opieki medycznej. Obecnie, gdy ponad 525 000 osób w kraju przebywa na długotrwałych zwolnieniach chorobowych, uwaga decydentów coraz częściej kieruje się ku systemowi zasiłków oraz kontroli absencji.
Jak zauważa Duvillier, hasło odpowiedzialności uczestników systemu w praktyce oznacza rozszerzoną wymianę danych, która ma służyć zarówno wspieraniu pacjenta w procesie reintegracji zawodowej, jak i monitorowaniu jego sytuacji. Ta zmiana podejścia znajduje odzwierciedlenie w nowych projektach informatycznych łączących funkcję informacyjną z funkcją nadzorczą.
Jednym z takich projektów jest stworzenie centralnej bazy danych przy RIZIV/INAMI (Rijksinstituut voor Ziekte- en Invaliditeitsverzekering/Institut national d’assurance maladie-invalidité), w której gromadzone będą wszystkie elektroniczne zaświadczenia o niezdolności do pracy. Według Duvilliera głównym celem tej bazy jest profilowanie. System pozwoli identyfikować tak zwane outliers, czyli przypadki odbiegające od statystycznej normy. Przykładowo możliwe będzie wykrycie sytuacji, w której lekarz wystawił trzymiesięczne zwolnienie z powodu zwykłej infekcji żołądkowo-jelitowej. W pierwszym etapie RIZIV/INAMI ma informować lekarzy o takich nieprawidłowościach. W dalszej kolejności kontrola medyczna instytutu będzie mogła podejmować działania wobec lekarzy, których praktyka zostanie uznana za nieuzasadnioną. W efekcie system e-zdrowia zaczyna pełnić funkcję narzędzia zarządzania, w którym dane kliniczne wykorzystywane są również do kontroli wydatków publicznych i praktyk medycznych.
Suwerenność cyfrowa a rozwój sztucznej inteligencji
Trzecim ważnym zagadnieniem jest wtórne wykorzystanie danych zdrowotnych, określane jako Secondary Use. Wraz z utworzeniem Health Data Agency (HDA) Belgia planuje wykorzystywać zgromadzone dane medyczne w badaniach naukowych oraz projektach innowacyjnych. Rodzi to jednak pytanie o narzędzia, które będą wykorzystywane do ich analizy.
Coraz powszechniejsze stosowanie sztucznej inteligencji w gabinetach lekarskich – często za pośrednictwem narzędzi opracowanych poza Europą – stawia kwestię suwerenności cyfrowej. Duvillier przypomina, że w wielu przypadkach korzystanie z popularnych systemów AI oznacza przesyłanie danych pacjentów poza granice Europy, czego lekarze nie zawsze są świadomi. Ryzyko ma podwójny wymiar: z jednej strony istnieje możliwość komercyjnego wykorzystywania danych przez koncerny GAFAM, czyli Google, Apple, Meta, Amazon i Microsoft, z drugiej – pojawia się zagrożenie utraty zaufania pacjentów do systemu ochrony zdrowia.
W tym kontekście mechanizm opt-out, pozwalający pacjentowi sprzeciwić się wykorzystywaniu jego danych do celów badawczych, innowacyjnych lub związanych z polityką publiczną, może mieć dwojakie skutki. Jeśli wśród pacjentów pojawi się obawa, że ich dane mogą trafić do zagranicznych systemów sztucznej inteligencji lub firm ubezpieczeniowych, wielu z nich może zdecydować się na wycofanie zgody. Duvillier ostrzega, że w przypadku chorób rzadkich masowe rezygnacje z udostępniania danych mogłyby doprowadzić do utraty niezbędnej liczby przypadków potrzebnych do prowadzenia badań naukowych.
Zaufanie i komunikacja jako fundament systemu
Aby uniknąć takiego scenariusza, kluczowe znaczenie będzie miała przejrzysta komunikacja ze strony instytucji publicznych i środowiska medycznego. Pacjenci muszą mieć pewność, że wtórne wykorzystanie ich danych służy przede wszystkim rozwojowi badań naukowych, poszukiwaniu nowych metod leczenia, tworzeniu innowacyjnych rozwiązań medycznych oraz lepszej personalizacji diagnostyki i terapii – a nie interesom globalnych koncernów technologicznych.
Duvillier podkreśla, że istotną rolę odegrają w tym lekarze, którzy będą musieli tłumaczyć pacjentom zasady oraz cele przetwarzania danych medycznych. Jednocześnie zaznacza, że przekaz musi być jasny, zrozumiały i edukacyjny. Budowanie zaufania nie może opierać się na oczekiwaniu bezwarunkowej akceptacji ze strony pacjentów, lecz na rzetelnym informowaniu o sposobie wykorzystywania ich danych.
