Nemocnice čekají náklady možná i v řádech desítek milionů kvůli evropskému nařízení na ochranu osobních údajů. To začne platit v průběhu května příštího roku a dotkne se nejen lékařských zařízení ale také škol, ministerstev, krajů či soukromých firem - prostě všech, kteří mají co do činění s osobními údaji na internetu. Nemocnice se tak připravují na to, jak ještě vylepšit ochranu citlivých dat, aby splňovali směrnici nazývanou GDPR.

Představitelé nemocnic zatím nejsou schopni přesně vyčíslit, kolik bude zavádění nového opatření do praxe stát. „Odhad nákladů je předčasný. My se budeme snažit pokud možno vše potřebné zajistit interně,“ vysvětlil pro deník Echo24 tiskový mluvčí Všeobecné fakultní nemocnice v Praze Filip Brož.

Někteří ale odhadují, že by to mohly být až desítky milionů. „Otázku ceny nelze vůbec stanovit, nemáme odvahu ji ani odhadovat. Bude to mnoho, řádově nejméně miliony korun, ale spíš více,“ uvedl pro server Echo24 lékařský náměstek Fakultní nemocnice Hradec Králové Zdeněk Tušl. Daleko vyšší náklady ale odhaduje Václav Řičář z Krajské nemocnice v Liberci. „Náklady na implementaci všech opatření jsou dohromady odhadovány v řádech desítek milionů korun,“ uvedl.

Nejblíže by nakonec mohl být právě tiskový mluvčí liberecké nemocnice. Už na začátku tohoto roku totiž zástupce ministerstva zdravotnictví Jiří Borej při zasedání zdravotního výboru sněmovny uvedl, že náklady by mohly přesáhnout 40 milionů. „Podle našich odhadů na to bude potřebovat každá z velkých nemocnic 40 až 60 milionů korun,“ řekl podle deníku E15.

Nemocnice nařízení nepodcenily

Nové povinnosti vyplývají z nařízení evropských institucí, které bude platit od jara 2018. To se dotkne všech členských států Evropské unie a každého, kdo nějakým způsobem s osobními údaji nakládá. Nařízení se týká zabezpečení dat, která firmy či instituce sbírají o svých klientech, nebo hlášení jejich úniků.

„Z pohledu nařízení a zákona o kybernetické bezpečnosti obecně zdravotnictví pracuje s těmi nejcitlivějšími daty a provádí podle stupně hodnocení ty nejvíce rizikové operace s nimi. Proto také zdravotnictví je jedna z oblastí s největším dopadem GDPR,“ uvedl Tušl a doplnil popis toho, co vše nemocnice čeká.

„Naše nemocnice je podle zákona zařízení, které spadá pod takzvané ‚poskytovatele základní služby‘, takže musíme mít pověřence pro GDPR a musíme instalovat manažera kybernetické bezpečnosti a zřídit výbor kybernetické bezpečnosti. Obě zmíněné funkce musí být přímo podřízeny řediteli“ vysvětlil Tušl.

Nemocnice tak zřizují týmy, které mají přípravu zavádění GDPR na starost. „Máme tým asi pěti lidí, kteří u nás mají na starosti IT a nyní se této problematice částečně věnují. To probíhá už mnoho měsíců, takže byla prozatím spuštěna potřebná mapování a analýzy současných procesů a podle výsledků budeme hledat vhodná technická řešení,“ uvedl Brož.

Podle Brože zároveň výsledky poslouží k přípravě změn v souvislosti s novelou kybernetického zákona, kterou bude muset schválit nová vláda. To potvrzuje i Řičář z liberecké nemocnice. „Jelikož bylo nařízení o GDPR vydáno již v roce 2016, připravujeme se na něj postupně již více než rok. Tuto problematiku v případě naší nemocnice zasazujeme do kontextu zákona o kybernetické bezpečnosti, který se týká velkých nemocnic,“ uvedl.

„Zatím jsme pověřili osobu prováděním činností, které by měl od zahájení platnosti nařízení vykonávat takzvaný pověřenec pro ochranu citlivých údajů. Do konce září se už sbíraly údaje z jednotlivých klinik, aby se mohla udělat inventura a zahájily se analýzy,“ dodal Tušl, podle nějž nemocnice sleduje postupně vydávané metodiky ministerstva zdravotnictví.

Nové nařízení řeší i resort zdravotnictví a to nejen ve vztahu k nemocnicím, ale také samo jako úřad. I jeho se totiž dotkne. „Ministerstvo zpracovává metodiky, které upraví vnitřní chod úřadu tak, aby k datu účinnosti nařízení byl zcela připraven na jeho uplatňování. Odpovědné osoby z přímo řízených organizací se zúčastnily celodenního semináře pořádaného náměstkem pro legislativu a právo za účasti Ústavu zdravotnických informací a statistiky, Úřadu pro ochranu osobních údajů a slovenské obdoby tohoto úřadu. Zde byly prezentovány všechny důležité aspekty a byl jim předán aplikační manuál,“ uvedla serveru Echo24 mluvčí resortu Štěpánka Čechová.

Ani ona přitom neví, kolik budou všechny tyto kroky resort stát. „Náklady Ministerstva zdravotnictví na implementaci prozatím vyčísleny nebyly," dodala.