Podvody a spamy se objevují už i v nabídce zdravotních služeb, říká advokátka Monika Mašková

Moderní technologie jsou ve zdravotnictví stále častěji jako doma. Včetně umělé inteligence nebo komunikace na dálku. Z hlediska regulace se přitom ještě nedávno v podstatě pohybovaly v šedé zóně, říká advokátka a partnerka kanceláře PRK Partners Monika Mašková. Dnes už například telemedicína regulovaná je, což mimo jiné znamená, že poskytovatel zdravotních služeb si bude muset na komunikaci například pořídit speciální software.

Je telemedicína dostatečně legislativně ošetřená, nebo se spíše jen dohání reálný stav?

Momentálně je definována v zákoně, jehož klíčová pasáž nabyla postupně účinnosti v letech 2024 a 2025. Je to zvláštní, když si uvědomíte, že nějaká forma telemedicíny reálně fungovala už dřív. Existovala na ni řada projektů, které se ale pohybovaly v šedé zóně. Za covidu pak vznikla specifická situace, kdy konzultace na dálku dokonce hradily zdravotní pojišťovny. Přitom pořád neměly oporu v zákoně.

Jinak si myslím, že to je a vždycky tak bude, že s nástupem nových technologií bude legislativa vlastně dohánět praxi. Nemluvím přitom jenom o běžných konzultacích po telefonu nebo přes video. Dnes je telemedicína mnohem širší, zahrnuje třeba telemonitoring životních funkcí jako například zaznamenávání dat z kardiostimulátoru a podobně. Právě u těchto technologií jde vývoj hodně rychle dopředu. Že to má oporu v zákoně, je určitě posun dobrým směrem.

Pokud si má pacient třeba pro výsledky vyšetření zavolat, nebo dokonce napsat mail, je to bez dalšího v pořádku?

Běžné e-maily nebo třeba komunikace přes WhatsApp pravidla pro poskytování telemedicínských služeb a sdílení citlivých informací nesplňují. Vyhláška říká, že ten kanál musí být šifrovaný, technicky zabezpečený a musí být v souladu s požadavky GDPR. Ty běžný mail ani WhatsApp nesplňují.

Mimochodem právě tenhle příklad ukazuje, že legislativa nejen chrání pacienty, ale je důležitá i pro poskytovatele služeb. Aby věděli, co mají splnit, aby jednali lege artis a v souladu s právními předpisy. Pro pacienty je pak důležité, aby mohli systému důvěřovat. Myslím, že povědomí o ochraně citlivých údajů u veřejnosti roste a mnoho pacientů může mít obavy, zda data někam neuniknou, přičemž nemusí jít zrovna o celebrity.

Tuší vůbec lidé, kolik údajů běhá mezi institucemi?

Těžko říct. Každopádně propojování systémů roste a dál bude narůstat. Na úrovni Evropské unie bylo přijato nařízení s názvem European Health Data Space. Předvídá, že zdravotní data pacientů půjde sdílet nejenom v jednom státě, ale i do zahraničí. Pokud pojedete na dovolenou do Chorvatska, něco se vám stane, dostanete se do zdravotnického zařízení, tak v době, kdy už bude EHDS funkční, by tamní lékař měl mít možnost se podívat do vašich základních zdravotních informací. Jestli nemáte nějaké alergie, jestli máte kardiostimulátor, jestli jste očkovaný proti tetanu a tak dále.

Kterých služeb se týká povinnost mít speciální software?

Například u telefonické konzultace postačí šifrování operátorem. U videokonzultací nebo v případě využití telemonitoringu už skutečně musí být specializovaný software s dostatečnou technickou úrovní zabezpečení a šifrování. Pokud lékař chce tyto služby poskytovat, musí si ho pořídit.

Určitě v současnosti platí, že více těchto softwarů zatím vidíme spíš v soukromém sektoru. Lékaři a management vnímají úspory nebo efektivitu, kterou to přináší. Proto jsou ochotni do jejich pořízení investovat a naučit se s nimi pracovat. Oproti tomu třeba ve velkých fakultních nebo krajských nemocnicích je to určitě složitější. Ony mají své vlastní informační systémy, s nimiž by třeba ten dodatečný software nemusel být kompatibilní.

Možná je pro ně aktuálnější kyberbezpečnost.

Určitě, kyberbezpečnost a umělá inteligence. To jsou dvě hodně aktuální témata. Jde ale i o náklady. Třeba v oblasti kardiologie existuje řada nových řešení, která i za pomoci umělé inteligence dokážou s mnohem větším předstihem odhalit riziko srdečného selhání. Tedy i zachránit život. Přestože včasná diagnostika šetří peníze na následnou péči, použití samotného prostředku, který k ní slouží, pojišťovny nehradí. Proto máme problém takové systémy dostat do praxe. Například v Německu jsou v tomto ohledu napřed.

Když jste zmínila AI, co je pro zdravotnictví palčivější?

Určitě kyberbezpečnost. Hlavně pro nemocnice. I tady v Česku už některé čelily útokům. Navíc máme od loňského podzimu novou regulaci, zákon o kybernetické bezpečnosti implementující směrnici NIS 2. Stanoví poměrně přísné požadavky pro velké a střední nemocnice. Obsahuje nejen nároky týkající se technické stránky, ale i osobní odpovědnost manažerů a poměrně citelné pokuty, pro některé subjekty třeba až do dvou procent z ročního obratu. Proto si myslím, že pro velké nemocnice bude tématem spíš vyřešit kyberbezpečnost než se pouštět do něčeho nového, jako je telemedicína.

Patří pod telemedicínu i prosté sdílení dat?

Patří, pokud jde o sdílení v rámci poskytování zdravotní služby, přičemž nemusí jít vždy o komunikaci mezi lékařem a pacientem. Váš lékař například může chtít konzultovat s jiným odborníkem, což pod telemedicínu spadne. Takže v tomto smyslu ano.

Jak je to s poskytováním online služeb přes hranice?

V zásadě platí, že je třeba plnit regulatorní požadavky jak v místě, kde se nachází pacient, tak v místě lékaře. Řešili jsme případ klinického psychologa z USA, který se chce přestěhovat do Česka a zároveň obsluhovat online své stávající klienty. Došli jsme k tomu, že vlastně musí splnit nejenom podmínky Spojených států, ale i českých předpisů s ohledem na záměr jako poskytovatel dlouhodobě vykonávat profesi na našem území. Myslím, že v praxi je to velká překážka. Ačkoliv by se mohlo zdát, že v telemedicíně je překračování hranic jednoduché, tak není, protože regulace v jednotlivých státech je výrazně specifická.

A platí to třeba i na úrovni Evropské unie, kde je snaha o harmonizaci přece jenom silná?

Platí. Regulaci výkonu povolání lékaře nemají státy unifikovanou. A telemedicína je poskytnutím regulované služby.

Setkala jste se už s reálným problémem porušení podmínek, nebo to spíše všichni řeší preventivně?

Setkala jsem se zatím jen s případy, kdy to dotyční právě řešili dopředu.

S jakými problémy se potýká užití umělé inteligence?

Začíná to vlastně už u vývoje softwaru. Pro trénink algoritmu jsou samozřejmě naprosto zásadní data. Většinou je lze získat od velké nemocnice a právě taková spolupráce musí být dobře právně ošetřená.

Teď v dubnu proběhla v Ostravě konference Advanced Med. Účastnila se jí řada startupů a právě s poznámkou, že navázat takovou spolupráci je kvůli právním otázkám opravdu složité.

Když se po dvou třech letech podaří vyvinout řešení, spadne do kategorie zdravotnického prostředku, což znamená certifikaci. Ta může opět trvat třeba rok nebo i dva. Tím pádem uplyne strašně dlouhá doba od začátku vývoje, než se zdravotnický prostředek vůbec dostane na trh. Samozřejmě to stojí i spoustu peněz. Takže když už konečně dojde na reálné využití, vzniká otázka, kdo to zaplatí. Znovu je nutné si uvědomit, že když lékař použije nějaký prostředek s umělou inteligencí nebo třeba telemonitoring, tak pojišťovna zpravidla hradí ten daný výkon, ale ne použití konkrétní technologie. Tudíž si každé pracoviště musí položit otázku, zda se mu investice do něj vyplatí.

Ta počáteční spolupráce vyžaduje souhlas nějaké autority?

Poskytnutí dat je obvykle v kompetenci zmocněnce pro ochranu osobních údajů v daných nemocnicích. Do budoucna existuje jednotná vize v rámci Evropského prostoru pro zdravotní data EHDS. Má dvě roviny. Jednou je už zmíněné individuální využití dat třeba v případě ošetření v zahraničí. Ale tou druhou je právě využití dat pro výzkum a vývoj. Předpokládá se i vznik nového úřadu nebo rozšíření kompetencí některého stávajícího tak, že bude mít v agendě poskytování anonymizovaných dat pro tyto účely. Plná implementace celého systému je ale otázkou několika dalších let.

Kdybychom se vrátili na začátek, máte tedy pocit, že současná regulace a právní úprava všeho, o čem mluvíme, jsou dostačující?

Oblast telemedicíny je opravdu široká, přesto si myslím, že právní úprava je zatím dostatečná. Jak jde ale technologický vývoj dopředu, vznikají nová řešení. A teprve následně se vždy ukáže, zda je stávající úprava dostatečná nebo je třeba ji změnit. Regulace se ale nesmí přehnat. Abychom se jako u umělé inteligence nedostali do situace, kdy brání rozvoji a hrozí nám zaostávání za regiony, kde je vývoj mnohem dynamičtější.

Na co by si měl dát hlavně pozor pacient?

Poskytnutí jakékoliv telemedicínské služby by mělo být hlavně lege artis, což mimochodem znamená i adekvátní stavu pacienta. Doporučuji maximální obezřetnost zejména v případech, kdy předepsání léků na dálku nabízí neznámý subjekt – i v této oblasti se totiž objevují podvody a spamy, které cílí nejen na finanční prostředky, ale i na zneužití citlivých zdravotních údajů.

Ideální je proto využívat telemedicínu u svého ošetřujícího lékaře nebo u renomovaného pracoviště. Pokud subjekt neznáte, vždy si jej prověřte v Národním registru poskytovatelů zdravotních služeb, abyste měli jistotu, že jde o skutečné zdravotnické zařízení, a nikoliv třeba o zprostředkovatele. Pamatujte také, že lékař smí vaši konzultaci nahrávat pouze s vaším souhlasem.

Když data běhají po sítích, kdo má za ně primárně zodpovědnost?

Primární odpovědnost za zabezpečení a ochranu vašich zdravotních údajů nese vždy poskytovatel zdravotních služeb, který je jejich správcem. Tedy nemocnice, obchodní společnost nebo fyzická podnikající osoba, která má oprávnění k poskytování zdravotních služeb.

Jsou si všichni vědomi následků?

Manažery ve zdravotnictví určitě trápí spousta věcí a tohle je jen jedna z nich. Přinejmenším nemocnice si jich ale vědomy jsou a hledají cesty, jak si kyberbezpečnost zajistit. Dnes ovšem povinnosti padají i na střední poskytovatele. Ti se tomu možná zatím tolik nevěnovali a pro některé to je nová věc.

Pomohlo by, kdyby stát zřídil nějakou autoritu nebo aspoň konzultační místo, které by se na kyberbezpečnost ve zdravotnictví specializovalo?

Evropská komise ve svém Akčním plánu z ledna 2025 počítá se zřízením obdobného centra podpory při agentuře ENISA. Národní úřad pro kybernetickou bezpečnost již vydává metodické materiály a Ministerstvo zdravotnictví připravuje konzultační podporu pro menší poskytovatele. Klíčové je, aby tam poskytovatelé nacházeli skutečně praktickou pomoc.