Due diligence w healthtech: co sprawdzić przed zakupem firmy medycznej

Healthtech9 min czytania·2026-06-23

Kupujesz firmę z sektora healthtech lub usług medycznych? Due diligence w tej branży to znacznie więcej niż analiza finansów — liczy się zgodność z RODO, certyfikaty MDR, umowy z NFZ i kwestie odpowiedzialności klinicznej. Przewodnik eksperta M&A dla polskiego rynku.

Due diligence w healthtech — dlaczego ta branża wymaga szczególnej uwagi

Due diligence w sektorze healthtech i usług medycznych należy do najtrudniejszych procesów weryfikacyjnych w całym spektrum transakcji M&A. Kupujący staje przed wyjątkową kombinacją ryzyk: regulacyjnych, klinicznych, technologicznych i reputacyjnych — i każde z nich może zniweczyć wartość akwizycji lub wygenerować odpowiedzialność, której nie dało się przewidzieć ze standardowego bilansu.

Polski rynek cyfrowej ochrony zdrowia rośnie dynamicznie. Telemedycyna, platformy diagnostyczne, systemy HIS/EMR, aplikacje zdrowotne z elementami AI — to wszystko segmenty, w których pojawiają się przejęcia zarówno przez fundusze private equity, jak i branżowych konsolidatorów. Zanim jednak zdecydujesz się na zakup, warto rozumieć, że regulacje w tej branży są wielowarstwowe: łączą przepisy ogólnogospodarcze z wymogami Prawa farmaceutycznego, ustawy o działalności leczniczej, rozporządzeń MDR/IVDR dla wyrobów medycznych oraz RODO w kontekście danych wrażliwych.

W praktyce oznacza to, że klasyczny zespół due diligence — prawnik korporacyjny plus doradca finansowy — w healthtech zwyczajnie nie wystarczy. Potrzebny jest interdyscyplinarny zespół, który potrafi czytać dokumentację techniczną wyrobu medycznego, ocenić ważność certyfikatu notyfikowanego oraz zrozumieć, jak zmiana właściciela wpływa na kontrakt z płatnikiem publicznym. Ten artykuł prowadzi krok po kroku przez wszystkie te obszary.

Jeśli rozważasz nabycie podmiotu z tej kategorii, przeglądaj aktywne ogłoszenia w dziale healthtech — to dobry punkt wyjścia do zrozumienia, jakie firmy faktycznie trafiają na rynek i w jakich widełkach cenowych się poruszają.


1. Weryfikacja prawna i regulacyjna — fundament całego procesu

Pierwszym krokiem jest mapa regulacyjna podmiotu. W zależności od profilu działalności, firma może podlegać nadzorowi wielu organów jednocześnie:

  • Ministra Zdrowia — w zakresie rejestrów podmiotów leczniczych (RPWDL)
  • Urzędu Rejestracji Produktów Leczniczych, Wyrobów Medycznych i Produktów Biobójczych (URPL) — jeśli firma produkuje lub dystrybuuje wyroby medyczne
  • Prezesa Urzędu Ochrony Danych Osobowych (UODO) — w zakresie przetwarzania danych zdrowotnych (art. 9 RODO)
  • Narodowego Funduszu Zdrowia — w przypadku kontraktowania świadczeń
  • Samorządu zawodowego (izby lekarskie, izby pielęgniarek i położnych) — gdy kadra medyczna jest kluczowym aktywem

Dokumenty do zebrania na tym etapie

  1. Aktualny wpis do RPWDL lub jego brak z wyjaśnieniem przyczyn
  2. Certyfikaty zgodności wyrobów medycznych (oznakowanie CE, MDR 2017/745 lub IVDR 2017/746)
  3. Umowy z NFZ — aktywne, wygasłe, wypowiedziane, ze wskazaniem powodów zakończenia
  4. Licencje na oprogramowanie medyczne klasy IIa lub wyżej
  5. Korespondencja z organami regulacyjnymi z ostatnich 3–5 lat
  6. Decyzje administracyjne, postępowania sankcyjne lub ostrzeżenia

Czerwona flaga: certyfikat MDR wygasający w ciągu kilkunastu miesięcy bez potwierdzonej ścieżki odnowienia to poważny problem — procesy oceny zgodności w jednostkach notyfikowanych potrafią trwać długo i bywają kosztowne. Brak rezerwy czasowej oznacza ryzyko przerwy w legalnej sprzedaży wyrobu.

Warto też zweryfikować, czy struktura korporacyjna nie maskuje ukrytych zależności — np. czy część działalności leczniczej nie jest prowadzona przez powiązany podmiot, którego nie obejmuje transakcja. To częsty mechanizm w grupach, gdzie spółka technologiczna i podmiot leczniczy są formalnie rozdzielone.

Uwaga: powyższe ma charakter informacyjny i nie stanowi porady prawnej. W kwestiach regulacyjnych i licencyjnych zawsze warto skonsultować się z radcą prawnym specjalizującym się w prawie medycznym.


2. Analiza danych osobowych i bezpieczeństwo informacji

Dane zdrowotne to dane szczególnej kategorii w rozumieniu RODO — ich przetwarzanie bez podstawy prawnej może skutkować karami sięgającymi 4% rocznego obrotu lub 20 mln euro (w zależności od tego, która wartość jest wyższa). W kontekście healthtech due diligence ochrony danych to odrębna, rozbudowana ścieżka, której nie da się zastąpić ogólnym audytem prawnym.

Co sprawdzić

  • Rejestr czynności przetwarzania (art. 30 RODO) — czy jest kompletny i aktualny
  • Podstawy prawne przetwarzania danych pacjentów: zgoda vs. obowiązek prawny vs. niezbędność do świadczenia opieki zdrowotnej (art. 9 ust. 2 lit. h RODO)
  • Polityki retencji danych — jak długo przechowywane są dokumentacja medyczna i logi systemowe
  • Umowy powierzenia przetwarzania z podwykonawcami, dostawcami chmury, laboratoriami
  • Historia incydentów bezpieczeństwa i sposób ich zgłaszania do UODO
  • Wyniki ostatnich audytów bezpieczeństwa IT (testy penetracyjne, skan podatności)
  • Lokalizacja serwerów — dane medyczne nie powinny bez podstawy prawnej i odpowiednich zabezpieczeń opuszczać EOG

Czerwona flaga: brak formalnych umów powierzenia z dostawcami chmury (AWS, Azure, GCP) przy jednoczesnym przetwarzaniu historii choroby pacjentów to ryzyko, które kupujący przejmuje w całości. Drugą poważną flagą jest brak udokumentowanej oceny skutków dla ochrony danych (DPIA) tam, gdzie przetwarzanie danych zdrowotnych na dużą skalę tego wymaga.


3. Weryfikacja technologiczna — specyfika systemów medycznych

Platforma technologiczna w healthtech nie jest zwykłym SaaS-em. Systemy klasy EMR (Electronic Medical Records), LIS (Laboratory Information System) czy telemedyczne mają swoją specyfikę:

  • Walidacja systemów — oprogramowanie klasy medycznej powinno przejść procesy walidacyjne zgodne z normami IEC 62304 (cykl życia oprogramowania wyrobów medycznych) lub co najmniej z udokumentowanymi wewnętrznymi protokołami QA
  • Integracje z systemami zewnętrznymi — Platforma P1 (e-Recepta, IKP), P2 (Elektroniczna Dokumentacja Medyczna), ZUS, NFZ. Każda integracja to osobna umowa, certyfikat i ryzyko awarii
  • Dług technologiczny — legacy code w systemach krytycznych dla bezpieczeństwa pacjenta to ryzyko reputacyjne i prawne, nie tylko operacyjne
  • Dokumentacja techniczna — tzw. Technical File dla wyrobów medycznych klasy IIa i wyżej, w tym zarządzanie ryzykiem wg ISO 14971

Pytania do zadania zespołowi technicznemu

  1. Kiedy ostatnio przeprowadzono pełny audyt bezpieczeństwa i kto go wykonał?
  2. Czy oprogramowanie jest certyfikowane jako wyrób medyczny? Przez którą jednostkę notyfikowaną?
  3. Jakie są SLA dla dostępności systemu i jak są egzekwowane wobec klientów instytucjonalnych?
  4. Ilu kluczowych programistów zna architekturę rdzenia systemu i czy ta wiedza jest udokumentowana?

Czerwona flaga: kluczowe funkcje kliniczne zbudowane przez jedną osobę, która właśnie odchodzi, to scenariusz, który regularnie pojawia się w małych startupach healthtech trafiających na rynek. Tzw. bus factor równy jeden w systemie wspierającym decyzje kliniczne to ryzyko, którego nie da się szybko zneutralizować po zamknięciu transakcji.


4. Analiza finansowa z perspektywą branżową

Healthtech rządzi się innymi prawami niż typowy SaaS. Przy analizie finansowej warto zwrócić uwagę na:

  • Strukturę przychodów — subskrypcja B2B (placówki), pay-per-use (konsultacje), kontrakt NFZ, refundacja. Każde źródło ma inną trwałość i przewidywalność
  • Kontrakty NFZ — wartość, czas trwania, historia renegocjacji, możliwość kontynuacji przez nowego właściciela (uwaga: zmiana formy prawnej lub właściciela może wymagać ponownego przystąpienia do postępowania konkursowego)
  • Churn klientów instytucjonalnych — utrata jednego dużego szpitala lub sieci przychodni może oznaczać istotną część przychodów rocznych
  • Cykl sprzedaży i zapadalność kontraktów — jak długo trwa pozyskanie nowego klienta szpitalnego? Jakie są klauzule wypowiedzenia?
  • Koszty regulacyjne — utrzymanie certyfikatów MDR, audyty, rejestracje to stały koszt, który musi być ujęty w prognozach, a często bywa pomijany w modelach finansowych startupów

Uwaga: kwestie podatkowe związane z przejęciem (VAT, PCC, rozliczenie aportów, opodatkowanie sprzedaży udziałów) wymagają indywidualnej konsultacji z doradcą podatkowym.


5. Zasoby ludzkie — kadra medyczna jako kluczowy aktyw

W podmiotach leczniczych kadra medyczna jest aktywem, który może nie przejść do nowego właściciela. Lekarze prowadzący praktyki w ramach firmy często działają na zasadach B2B i mają pełną swobodę odejścia po zmianie właściciela.

Co weryfikować

  • Umowy z lekarzami, pielęgniarkami, diagnostami — B2B, kontrakt, umowa o pracę
  • Klauzule zakazu konkurencji i ich realna wykonalność
  • Specjalizacje kluczowe dla kontraktów NFZ — utrata specjalisty może uniemożliwić rozliczenie świadczeń
  • Relacje z pacjentami — czy baza pacjentów jest w podmiocie, czy w prywatnej dokumentacji lekarzy
  • Status uprawnień zawodowych (PWZ) wszystkich kluczowych osób

Czerwona flaga: firma zależna w większości przychodów od jednego lub dwóch lekarzy bez podpisanych umów o zakazie konkurencji i bez klauzul przypisania własności intelektualnej do spółki.


6. Odpowiedzialność cywilna i historia roszczeń

Podmioty medyczne narażone są na roszczenia z tytułu błędów medycznych. To ryzyko, które musi być szczegółowo zbadane:

  • Aktualna polisa OC podmiotu leczniczego — suma ubezpieczenia, zakres, wyłączenia
  • Historia roszczeń z ostatnich 5–7 lat — sądowych i pozasądowych
  • Toczące się postępowania kompensacyjne dotyczące zdarzeń medycznych
  • Skargi do NFZ, Rzecznika Praw Pacjenta, izb lekarskich

Warto pamiętać, że odpowiedzialność za zdarzenia sprzed transakcji może — w zależności od struktury transakcji — przejść na nabywcę, zwłaszcza przy przejęciu udziałów (share deal vs. asset deal). Mechanizmy umowne, takie jak oświadczenia i zapewnienia (reps & warranties), klauzule indemnifikacyjne czy część ceny zatrzymana w depozycie (escrow), pozwalają częściowo rozłożyć to ryzyko między strony.


7. Ryzyka specyficzne dla healthtech — checklista czerwonych flag

Poniżej zestawienie sygnałów ostrzegawczych, które powinny wstrzymać lub przynajmniej znacząco spowolnić proces akwizycji:

Regulacyjne i prawne:

  • Brak aktualnego wpisu do RPWDL przy faktycznym udzielaniu świadczeń medycznych
  • Wygasłe lub zawieszone certyfikaty MDR bez planu odnowienia
  • Historia kar od UODO lub toczące się postępowania ws. naruszenia RODO
  • Niejasny status własności bazy danych pacjentów (lekarz B2B vs. podmiot)

Technologiczne:

  • Brak dokumentacji technicznej systemu (Technical File, zarządzanie ryzykiem ISO 14971)
  • Dane medyczne przechowywane na serwerach poza EOG bez umowy powierzenia i zabezpieczeń
  • Brak kopii zapasowych lub niezwalidowane procedury disaster recovery
  • Brak testów automatycznych w systemie wspierającym decyzje kliniczne

Finansowe i operacyjne:

  • Przychody z kontraktów NFZ bez gwarancji kontynuacji przez nabywcę
  • Wysoka koncentracja przychodów na jednym kliencie lub jednym płatniku
  • Brak kalkulacji kosztów regulacyjnych w modelu finansowym

Kadrowe:

  • Kluczowi lekarze bez umów o zakazie konkurencji i bez klauzuli cesji praw IP
  • Certyfikaty i licencje wydane na osobę fizyczną, nie na spółkę

8. Struktura data room — co powinien dostarczyć sprzedający

Dobrze przygotowany sprzedający podmiot healthtech powinien udostępnić data room obejmujący co najmniej:

  1. Dokumenty korporacyjne — KRS, umowa spółki, historia zmian właścicielskich
  2. Licencje i certyfikaty — RPWDL, MDR/IVDR, akredytacje jakościowe (jeśli dotyczą)
  3. Dokumentacja RODO — rejestry, polityki, umowy powierzenia, historia incydentów
  4. Kontrakty kluczowe — NFZ, B2B z placówkami, dostawcy IT, umowy z lekarzami
  5. Dokumentacja techniczna — architektura systemu, certyfikaty oprogramowania, wyniki audytów
  6. Finanse — kilka lat historycznych P&L, bilanse, prognozy z założeniami
  7. Roszczenia i spory — historia, toczące się postępowania, polisy OC
  8. Kadra — listy pracowników/współpracowników, umowy, specjalizacje, PWZ

Braki w którejkolwiek z tych kategorii nie zawsze są dyskwalifikujące, ale powinny przełożyć się na korektę ceny, dodatkowe zapewnienia umowne lub zatrzymanie części płatności do czasu uzupełnienia dokumentów.

Jeśli szukasz firm do przejęcia lub chcesz poznać realia wycen w tej branży, zapoznaj się z ogłoszeniami sprzedaży firm na Biznes Atlas — wiele transakcji rozpoczyna się właśnie od analizy rynku dostępnych podmiotów.


Podsumowanie — due diligence w healthtech to inwestycja, nie koszt

Due diligence w sektorze healthtech wymaga zaangażowania interdyscyplinarnego zespołu: prawnika specjalizującego się w prawie medycznym, doradcy ds. ochrony danych (IOD/DPO), audytora IT z doświadczeniem w systemach medycznych oraz doradcy finansowego znającego specyfikę kontraktowania ze świadczeniodawcami.

Czas i koszt pełnego procesu weryfikacji są wyższe niż w typowej transakcji usługowej — ale proporcjonalnie niższe niż koszt wejścia w transakcję z nieuświadomionymi zobowiązaniami regulacyjnymi, których nabywca nie miał szansy wycenić.

Przed finalizacją jakiejkolwiek transakcji w tej przestrzeni polecamy przejrzeć nasze poradniki dla kupujących i sprzedających firmy — znajdziesz tam między innymi wskazówki dotyczące wyceny, negocjacji i struktury transakcji, które uzupełniają tę analizę branżową.

W zdrowym, dynamicznie rosnącym sektorze healthtech jest miejsce na dobre transakcje — trzeba tylko wiedzieć, na co patrzeć i które dokumenty zażądać, zanim podpisze się list intencyjny.

Najczęstsze pytania

Czym różni się due diligence w healthtech od standardowego procesu M&A?

Healthtech łączy ryzyka typowe dla firm technologicznych (dług technologiczny, własność IP, metryki SaaS) z ryzykami specyficznymi dla sektora medycznego: odpowiedzialnością kliniczną, certyfikatami MDR/IVDR, wymogami RODO dla danych zdrowotnych i zależnością od kontraktów NFZ. Każdy z tych obszarów wymaga specjalistycznej wiedzy i wydłuża proces weryfikacji w porównaniu z transakcją w klasycznej branży usługowej.

Czy przy zakupie udziałów spółki medycznej przejmuję jej historyczne zobowiązania regulacyjne?

W przypadku share deal (zakup udziałów) kupujący co do zasady wchodzi w sytuację prawną spółki, włącznie z zobowiązaniami z przeszłości. Dlatego tak ważne jest szczegółowe zbadanie historii kar, roszczeń i postępowań administracyjnych oraz zabezpieczenie się klauzulami w umowie. Alternatywą bywa asset deal, który pozwala wybrać przejmowane aktywa. W tej kwestii niezbędna jest indywidualna konsultacja z radcą prawnym — powyższe nie stanowi porady prawnej.

Jak długo trwa pełne due diligence podmiotu healthtech?

Dla małej lub średniej firmy healthtech — przy sprawnie przygotowanym data room — pełny proces trwa zazwyczaj od kilku do kilkunastu tygodni. Złożone przypadki z wieloma certyfikatami MDR, licznymi kontraktami NFZ lub historią sporów regulacyjnych mogą wymagać kilku miesięcy pracy interdyscyplinarnego zespołu.

Co sprawdzić w umowach z NFZ przed przejęciem podmiotu leczniczego?

Kluczowe pytania to: czy kontrakt pozostaje w mocy przy zmianie formy prawnej lub właściciela udziałów, jaki jest termin obowiązywania i historia renegocjacji oraz czy nie ma nałożonych kar umownych lub zawieszonych rozliczeń. Zmiana właścicielska może w niektórych przypadkach wymagać ponownego przystąpienia do postępowania konkursowego — sprawdź to przed zamknięciem transakcji.

Czy aplikacja mobilna z funkcjami zdrowotnymi to wyrób medyczny?

To zależy od przeznaczenia. Aplikacje wspierające decyzje diagnostyczne lub terapeutyczne mogą kwalifikować się jako wyroby medyczne na gruncie rozporządzenia MDR 2017/745 i wymagają odpowiednich procedur oceny zgodności. Aplikacje lifestylowe (licznik kroków, kalkulator BMI bez funkcji diagnostycznych) zazwyczaj nie są wyrobami medycznymi. Przed akwizycją warto uzyskać niezależną ocenę prawną statusu regulacyjnego każdego produktu w portfolio.

Szukasz konkretnej oferty?

Przeglądaj aktualne ogłoszenia sprzedaży firm na Biznes Atlas.

Powiązane poradniki