Poniższy wywiad ukazał się pierwotnie w ramach na łamach bloga cloud4med.pl – Innowacyjne technologie informatyczne w ochronie naszego zdrowia – Wywiad z Marcinem Mikołajczakiem, CEOspółki Mediporta, tworzącej pierwszy polski EDM w chmurze.
Łukasz Feldman, cloud4med.pl: Jaka jest geneza spółki Mediporta i czym zajmujecie się na co dzień? Czy jesteście typowym startupem, który przeszedł drogę od „garażu” do regularnej firmy z siedzibą, struktura organizacyjna i polityką zarządzania?
Marcin Mikołajczak, Mediporta: W historii spółki Mediporta rzeczywiście jest sporo elementów znanych z typowych startupów. Nie zaczynaliśmy co prawda w garażu, ale nasze pierwsze biuro mieściło się w suterenie, więc jest pewne podobieństwo. Droga, którą przeszliśmy od tego czasu, to nie tylko 12 poziomów (obecnie zajmujemy pomieszczenia na 11 piętrze), ale unormowanie wszelkich procedur: obsługi klientów, zarządzania serwerami, polityki bezpieczeństwa itp. Nadal tworzymy bardzo elastyczne struktury wewnątrz firmy. Bywa, że z klientem spotyka się nie handlowiec, a jeden z naszych programistów z zacięciem biznesowym, który najlepiej potrafi wyjaśnić działanie danego modułu. Jednak w wielu innych kwestiach, np. przetwarzania powierzonych danych, nie ma już miejsca na swobodę. Bezpieczeństwo traktujemy bardzo poważnie.
ŁF: Rynek rozwiązań informatycznych w medycynie istnieje od wielu lat, ale chmura w medycynie to raczej nowość. Czy wolicie mówić z anglosaska o Waszym rozwiązaniu ”cloud-based EHR” czy już możemy spolszczyć to i mówić o „chmurowym EDM”?
MM: Co do zasady jesteśmy zwolennikami posługiwania się językiem ojczystym. Tym bardziej w tym przypadku – pojęcie “chmury” chyba już na dobre zadomowiło się w rzeczywistości polskiej informatyki. Co do trój literowych skrótowców… Problemem jest liczba pojęć, z którymi musi zaznajomić się osoba zainteresowana informatyzacją własnej placówki medycznej. Kierując nasze usługi medyczne na rynek małych i średnich podmiotów, prezentujemy nieco inne podejście. W codziennej pracy nie jest istotne, czy korzystamy z EHR, EDM, HIS, CIS, RIS, PACS – ważne jest, aby wykorzystywane oprogramowanie pozwalało na zrealizowanie wszystkich procesów biznesowych i medycznych, a więc rejestracji pacjentów, opisu badań, konsultacji itd. Przykładowo, w pracy ortopedy często pojawia się konieczność obejrzenia zdjęcia RTG przyniesionego przez pacjenta i jego zapisania w historii choroby – powinno sprowadzić się to do włożenia płyty do napędu, bez wnikania w jakiekolwiek kwestie informatyczne. Zgodnie z tą filozofią budujemy oprogramowanie Mediporta.
ŁF: Do kogo w największym stopniu kierujecie swą ofertę EDM?
MM: Przede wszystkich chcielibyśmy pomóc tym placówkom, dla których informatyzacja jest w większości zupełnie nowym tematem, czyli indywidualnym praktykom lekarskim, małym przychodniom oraz tym podmiotom, których styczność z komputerem sprowadzała się do comiesięcznego przepisania księgi głównej i wysłania raportu statystycznego do NFZ. Placówki te staną już niedługo przed bardzo trudnym wyborem: czy zainwestować ogromne pieniądze w infrastrukturę serwerową, czy przetwarzać krytyczne i wrażliwe dane medyczne na przysłowiowym laptopie, ze wszystkimi zagrożeniami, z jakimi to jest związane. Mediporta oferuje w tym przypadku trzecią drogę – przetwarzanie danych w chmurze, będące rozwiązaniem zarówno bezpiecznym jak i ekonomicznym.
ŁF: Jak przekonujecie klientów do rozwiazania EDM w chmurze?
MM: Chmura to naturalny, kolejny krok w specjalizacji poszczególnych obszarów biznesu. Nikogo nie dziwi przecież, że stosy faktur i innych dokumentów oddajemy do biur księgowych, a w zamian na koniec miesiąca dostajemy głównie informację o kwotach należnych Urzędowi Skarbowemu. Na gruncie informatyki od lat oczywiste jest korzystanie z chmury w obszarze między innymi poczty elektronicznej – zachęcam do sprawdzenia, czy posiadamy własny serwer pocztowy, czy też raczej korzystamy z usług Gmail, WP, Onet lub innego, komercyjnego dostawcy usług hostingowych. W przeważającej liczbie przypadków będzie to drugi z wariantów, a więc właśnie poczta w chmurze. Skorzystanie z takiego rozwiązania jest niezwykle wygodne: nie musimy martwić się już zakupem serwerów, ich serwisem, administracją usługą, aktualizacją oprogramowania, kopiami zapasowymi. Wszystkie te zalety przekładają się na wymierną oszczędność czasu i pieniędzy. Dlaczego nie skorzystać z podobnego rozwiązania w przypadku EDM? Chmura to również zupełnie inna filozofia. Wiele firm sprzedaje klientom pudełko z płytą CD, pozostawiając ich samych ze zmartwieniem „co dalej”, ewentualnie pomaga tylko na starcie, w ramach wdrożenia (najczęściej dodatkowo płatnego). W przeciwieństwie do nich, Mediporta oferuje w ramach usługi gwarancję ciągłej gotowości do realizacji procesów biznesowych i medycznych. Podobnie jak Google i inni weterani usług chmurowych, aktualizujemy nasze oprogramowanie nawet kilka razy dziennie, aby zawsze zapewnić naszej usłudze najwyższą jakość. Rozwiązanie dla EDM musi być równie dynamiczne, co otoczenie prawne tej dziedziny.
ŁF: Jak zapatrujecie sie na negatywne komentarze chmurowych krytyków, że chmurowe aplikacjeEDM to zagrożenie dla ochrony danych osobowych?
MM: Jeśli chodzi o bezpieczeństwo, dyskusja “przetwarzanie w chmurze czy na własnym serwerze” jest bardzo podobna do dyskusji “podróż samolotem czy własnym samochodem”. Odruchowo będziemy wybierać to, co jest nam znane, bliskie i “namacalne” – czy będzie to kierownica własnego pojazdu, czy obudowa serwera pod biurkiem. Jeśli weźmiemy jednak pod uwagę statystyki, to każda jasno wskaże samolot jako bezpieczniejszy środek transportu. Fakt zasiadania za sterami rygorystycznie przeszkolonego profesjonalisty również powinien przemówić do naszego rozsądku. Podobnie jest z przetwarzaniem danych w chmurze. Krytykom tego rozwiązania proponuję zadać sobie kilka pytań o możliwości i o wysokość kosztów wdrożenia w placówce: zapasowych serwerów, zasilaczy awaryjnych, generatorów prądu, mechanizmów kopii zapasowych, fizycznego monitoringu. Tylko zastosowanie wszystkich z wymienionych środków ochrony zapewni poziom bezpieczeństwa akceptowalny dla danych medycznych. W serwerowniach realizujących chmurę są one standardem. Oczywiście oprócz bezpieczeństwa informatycznego należy rozważyć również czynnik ludzki. Krytycy chmury twierdzą, że nie wiadomo co dzieje się z danymi medycznymi poza placówką. Czasami zdają się niemal sugerować, że “źli administratorzy” sprzedają dane “złym firmom ubezpieczeniowym”. Taka argumentacja jest absurdalna i można by ją zastosować do każdego uczestnika procesu leczenia, który nie jest zobowiązany przysięgą i tajemnicą lekarską – od pracownika rejestracji, przez administratora lokalnego serwera, po urzędnika z NFZ. Wszystkie te osoby są jednak zobowiązane do zachowania poufności przez umowy o pracę, umowy cywilno-prawne, upoważnienia do przetwarzania danych osobowych, polityki bezpieczeństwa i szereg procedur, nie wspominając o obowiązującym prawie. Tak samo jest w przypadku korzystania z usług Mediporta. Chciałbym również odwołać się do zwykłego rozsądku: każdy incydent bezpieczeństwa w działalności firmy takiej jak nasza oznacza potencjalnie utratę zaufania klientów i załamanie całego biznesu. Zaryzykuję więc stwierdzenie, że Mediporta dba o bezpieczeństwo danych bardziej niż wiele placówek medycznych. Wynika to z naszej ogromnej motywacji, a także odpowiednich zasobów czasowych, finansowych i kompetencji.
ŁF: Czy Wasz chmurowy EDM jest przygotowany na integracje z projektem P1? Jak widzicie przyszłość projektów ZIP (NFZ) oraz IKP/e-Recepta (CSiOZ)?
MM: Na początku każdej dyskusji o projektach centralnych takich jak P1 (którego częścią będzie Internetowe Konto Pacjenta oraz mechanizmy wymiany e-recept, e-skierowań, e-zleceń i e-zwolnień) czy ZIP warto zauważyć, że będą to rozwiązania w głównej mierze funkcjonujące właśnie w chmurze – jako publicznie dostępne portale internetowe i usługi sieciowe, pozwalające na komunikację z niezależnym oprogramowaniem. W tym kontekście chmurowy EDM, taki jaki oferuje Mediporta, jest już fundamentalnie, architektonicznie gotowy do integracji z centralnymi systemami. Wymiana danych może odbywać się na bieżąco, bez opóźnień, co będzie miało niebagatelne znaczenie np. w przypadku wysyłania e-recept. Korzyści z przetwarzania danych w chmurze nasi klienci odczuwają już teraz, dzięki doskonale działającej integracji z systemem eWUŚ. Kiedy pracownicy rejestracji i lekarze śpią, a wszystkie komputery w placówce są wyłączone, oprogramowanie Mediporta automatycznie sprawdza uprawnienia pacjentów, aby rano przedstawić już aktualną informację, bez względu na ewentualne awarie lub przeciążenia w NFZ w ciągu dnia. Jeśli chodzi o rzeczywistą, techniczną zgodność z interfejsami P1, to niestety ich specyfikacje w wersji ostatecznej nie są jeszcze nikomu znane. Uczestniczymy jednak we wszelkich otwartych spotkaniach dla dostawców rozwiązań informatycznych, organizowanych przez CSIOZ i na bieżąco będziemy wdrażać wynikające z nich ustalenia. Jak widzimy przyszłość ZIP i IKP? Cieszy nas każdy przejaw ucyfrowienia państwa, ale to pacjenci zweryfikują ostatecznie użyteczność tych narzędzi.
ŁF: Jakim kryterium kierowaliście się wybierając dostawcę usługi chmurowej infrastruktury (IaaS)?
MM: Długie lata nadmiernej kontroli ze strony państwa sprawiły, że Polacy są bardzo wrażliwi na punkcie swoich danych osobowych. I słusznie – informacje raz ujawnione pozostają publiczne już na zawsze. Jako rdzennie polska firma, doskonale to rozumiemy, i dlatego nie próbowaliśmy przekonać nikogo do korzystania z chmury potentatów z USA, gdzie do ochrony danych osobowych podchodzi się swobodniej, ale szukaliśmy dostawcy działającego na terenie kraju. Jednocześnie nie chcieliśmy rezygnować z możliwości jakie dają programistom Amazon czy Azure. Na szczęście znalazła się w Polsce firma, która oferuje IaaS na światowym poziomie – jest to Oktawave. Jedną z zalet tej chmury jest możliwość związania tradycyjną umową, która nadaje współpracy pewniejsze i sztywniejsze ramy.
ŁF: Gdybyście mieli w dwóch zdaniach powiedzieć dlaczego chmurowy EDM jest lepszy od tradycyjnych, instalowanych w serwerowni klienta…?
MM: Myślę, że zmieścimy się nawet w jednym słowie: spokój. Chmurowy EDM eliminuje wiele typowych zmartwień. Możemy być spokojni, że dane są odpowiednio zabezpieczone przed niepowołanym dostępem i przypadkowym bądź celowym skasowaniem. Możemy być spokojni, że oprogramowanie jest zgodne z obowiązującymi przepisami, nawet jeśli nie poświęciliśmy ani odrobiny czasu na aktualizacje. Możemy być spokojni, że w razie jakichkolwiek kłopotów nieustannie czuwa zespół administratorów i konsultantów pomocy technicznej, aby nam udzielić wszechstronnej pomocy.
ŁF: Jak postrzegacie role rozwiązań e-rejestracyjnych (np. WolnyGabinet.pl)? Czy chmurowy EDMpowinien z nimi współpracować/integrować się?
MM: E-rejestracja staję się dla wielu pacjentów, szczególnie tych młodszych, równie oczywista co internetowa rezerwacja biletów do kina i teatru, czy zakupy wysyłkowe poprzez portale aukcyjne. E-rejestracja jest kolejnym dodatkowym atutem, który coraz częściej będzie decydował w wyborze lekarza spośród dwóch specjalistów o zbliżonym profilu. Warto również wspomnieć o tym, że udostępnienie internetowych zapisów jest już teraz obowiązkowe dla placówek realizujących AOSw ramach kontraktu z NFZ, zgodnie z Rozporządzeniem Ministra Zdrowia z dnia 19 kwietnia 2013 r. w sprawie minimalnej funkcjonalności dla systemów teleinformatycznych umożliwiających realizację usług związanych z prowadzeniem przez świadczeniodawców list oczekujących na udzielenie świadczenia zdrowotnego. Każdy rodzaj rejestracji powinien być zintegrowany z EDM – założenie rekordu wizyty pacjenta powinno sprowadzać się do potwierdzenia w terminarzu, że pacjent pojawił się w umówionym terminie w placówce. O ile większość rozwiązań informatycznych dla palcówek medycznych oferuje kalendarz w jakiejś postaci, o tyle integracja z e-rejestracją nie jest tak powszechna. W praktyce trudno jednak sobie wyobrazić ręczną koordynację dwóch kalendarzy. Internetowe umówienia muszą pojawiać się wprost w terminarzu wykorzystywanym na co dzień przez rejestrację – oczywiście odpowiednio oznaczone.
ŁF: Jak rozwiązujecie kwestie bezpieczeństwa (backupy, szyfrowanie, kontrola dostępu) i co gdy placówka medyczna chce przenieść dane do innego dostawcy?
MM: Troszczymy się o bezpieczeństwo niezależnie na wielu poziomach. Na poziomie infrastruktury są to wszystkie zabezpieczenia oferowane przez serwerownię. Wymienienie i opisanie ich zajęłoby prawdopodobnie więcej miejsca niż cały ten materiał, dlatego w tym przypadku chciałbym odesłać do materiałów źródłowych Oktawave. Na poziomie serwerowym stosujemy bardzo ścisły reżim dostępu. Na serwery produkcyjne może logować się wyłącznie bardzo wąskie grono administratorów. Na szczęście taka konieczność występuje bardzo rzadko, ponieważ całą naszą infrastrukturą zarządza się w sposób zautomatyzowany. Na poziomie systemu Mediporta wymuszamy korzystanie z indywidualnych, imiennych kont i haseł, a każda czynność wykonana w systemie jest rejestrowana w audytach użytkownika. Warto wspomnieć również o mechanizmie kopii zapasowych, który automatycznie wykonuje backup co 15 minut. To oczywiście jednak nie cały katalog zabezpieczeń jakie stosujemy. Jeśli chodzi o przeniesienie danych to nie różnimy się niczym od oprogramowania instalowanego lokalnie – w każdej chwili możliwe jest pobranie kopii bazy danych lub wykonanie eksportu danych. Tym, czym chcemy zatrzymywać klientów są jedynie: zadowolenie użytkowników, innowacyjne rozwiązania i korzystna oferta.