Due diligence w healthtech — dlaczego ta branża wymaga szczególnej uwagi
Due diligence w sektorze healthtech i usług medycznych należy do najtrudniejszych procesów weryfikacyjnych w całym spektrum transakcji M&A. Kupujący staje przed wyjątkową kombinacją ryzyk: regulacyjnych, klinicznych, technologicznych i reputacyjnych — i każde z nich może zniweczyć wartość akwizycji lub wygenerować odpowiedzialność, której nie dało się przewidzieć ze standardowego bilansu.
Polski rynek cyfrowej ochrony zdrowia rośnie dynamicznie. Telemedycyna, platformy diagnostyczne, systemy HIS/EMR, aplikacje zdrowotne z elementami AI — to wszystko segmenty, w których pojawiają się przejęcia zarówno przez fundusze private equity, jak i branżowych konsolidatorów. Zanim jednak zdecydujesz się na zakup, warto rozumieć, że regulacje w tej branży są wielowarstwowe: łączą przepisy ogólnogospodarcze z wymogami Prawa farmaceutycznego, ustawy o działalności leczniczej, rozporządzeń MDR/IVDR dla wyrobów medycznych oraz RODO w kontekście danych wrażliwych.
W praktyce oznacza to, że klasyczny zespół due diligence — prawnik korporacyjny plus doradca finansowy — w healthtech zwyczajnie nie wystarczy. Potrzebny jest interdyscyplinarny zespół, który potrafi czytać dokumentację techniczną wyrobu medycznego, ocenić ważność certyfikatu notyfikowanego oraz zrozumieć, jak zmiana właściciela wpływa na kontrakt z płatnikiem publicznym. Ten artykuł prowadzi krok po kroku przez wszystkie te obszary.
Jeśli rozważasz nabycie podmiotu z tej kategorii, przeglądaj aktywne ogłoszenia w dziale healthtech — to dobry punkt wyjścia do zrozumienia, jakie firmy faktycznie trafiają na rynek i w jakich widełkach cenowych się poruszają.
1. Weryfikacja prawna i regulacyjna — fundament całego procesu
Pierwszym krokiem jest mapa regulacyjna podmiotu. W zależności od profilu działalności, firma może podlegać nadzorowi wielu organów jednocześnie:
- Ministra Zdrowia — w zakresie rejestrów podmiotów leczniczych (RPWDL)
- Urzędu Rejestracji Produktów Leczniczych, Wyrobów Medycznych i Produktów Biobójczych (URPL) — jeśli firma produkuje lub dystrybuuje wyroby medyczne
- Prezesa Urzędu Ochrony Danych Osobowych (UODO) — w zakresie przetwarzania danych zdrowotnych (art. 9 RODO)
- Narodowego Funduszu Zdrowia — w przypadku kontraktowania świadczeń
- Samorządu zawodowego (izby lekarskie, izby pielęgniarek i położnych) — gdy kadra medyczna jest kluczowym aktywem
Dokumenty do zebrania na tym etapie
- Aktualny wpis do RPWDL lub jego brak z wyjaśnieniem przyczyn
- Certyfikaty zgodności wyrobów medycznych (oznakowanie CE, MDR 2017/745 lub IVDR 2017/746)
- Umowy z NFZ — aktywne, wygasłe, wypowiedziane, ze wskazaniem powodów zakończenia
- Licencje na oprogramowanie medyczne klasy IIa lub wyżej
- Korespondencja z organami regulacyjnymi z ostatnich 3–5 lat
- Decyzje administracyjne, postępowania sankcyjne lub ostrzeżenia
Czerwona flaga: certyfikat MDR wygasający w ciągu kilkunastu miesięcy bez potwierdzonej ścieżki odnowienia to poważny problem — procesy oceny zgodności w jednostkach notyfikowanych potrafią trwać długo i bywają kosztowne. Brak rezerwy czasowej oznacza ryzyko przerwy w legalnej sprzedaży wyrobu.
Warto też zweryfikować, czy struktura korporacyjna nie maskuje ukrytych zależności — np. czy część działalności leczniczej nie jest prowadzona przez powiązany podmiot, którego nie obejmuje transakcja. To częsty mechanizm w grupach, gdzie spółka technologiczna i podmiot leczniczy są formalnie rozdzielone.
Uwaga: powyższe ma charakter informacyjny i nie stanowi porady prawnej. W kwestiach regulacyjnych i licencyjnych zawsze warto skonsultować się z radcą prawnym specjalizującym się w prawie medycznym.
2. Analiza danych osobowych i bezpieczeństwo informacji
Dane zdrowotne to dane szczególnej kategorii w rozumieniu RODO — ich przetwarzanie bez podstawy prawnej może skutkować karami sięgającymi 4% rocznego obrotu lub 20 mln euro (w zależności od tego, która wartość jest wyższa). W kontekście healthtech due diligence ochrony danych to odrębna, rozbudowana ścieżka, której nie da się zastąpić ogólnym audytem prawnym.
Co sprawdzić
- Rejestr czynności przetwarzania (art. 30 RODO) — czy jest kompletny i aktualny
- Podstawy prawne przetwarzania danych pacjentów: zgoda vs. obowiązek prawny vs. niezbędność do świadczenia opieki zdrowotnej (art. 9 ust. 2 lit. h RODO)
- Polityki retencji danych — jak długo przechowywane są dokumentacja medyczna i logi systemowe
- Umowy powierzenia przetwarzania z podwykonawcami, dostawcami chmury, laboratoriami
- Historia incydentów bezpieczeństwa i sposób ich zgłaszania do UODO
- Wyniki ostatnich audytów bezpieczeństwa IT (testy penetracyjne, skan podatności)
- Lokalizacja serwerów — dane medyczne nie powinny bez podstawy prawnej i odpowiednich zabezpieczeń opuszczać EOG
Czerwona flaga: brak formalnych umów powierzenia z dostawcami chmury (AWS, Azure, GCP) przy jednoczesnym przetwarzaniu historii choroby pacjentów to ryzyko, które kupujący przejmuje w całości. Drugą poważną flagą jest brak udokumentowanej oceny skutków dla ochrony danych (DPIA) tam, gdzie przetwarzanie danych zdrowotnych na dużą skalę tego wymaga.
3. Weryfikacja technologiczna — specyfika systemów medycznych
Platforma technologiczna w healthtech nie jest zwykłym SaaS-em. Systemy klasy EMR (Electronic Medical Records), LIS (Laboratory Information System) czy telemedyczne mają swoją specyfikę:
- Walidacja systemów — oprogramowanie klasy medycznej powinno przejść procesy walidacyjne zgodne z normami IEC 62304 (cykl życia oprogramowania wyrobów medycznych) lub co najmniej z udokumentowanymi wewnętrznymi protokołami QA
- Integracje z systemami zewnętrznymi — Platforma P1 (e-Recepta, IKP), P2 (Elektroniczna Dokumentacja Medyczna), ZUS, NFZ. Każda integracja to osobna umowa, certyfikat i ryzyko awarii
- Dług technologiczny — legacy code w systemach krytycznych dla bezpieczeństwa pacjenta to ryzyko reputacyjne i prawne, nie tylko operacyjne
- Dokumentacja techniczna — tzw. Technical File dla wyrobów medycznych klasy IIa i wyżej, w tym zarządzanie ryzykiem wg ISO 14971
Pytania do zadania zespołowi technicznemu
- Kiedy ostatnio przeprowadzono pełny audyt bezpieczeństwa i kto go wykonał?
- Czy oprogramowanie jest certyfikowane jako wyrób medyczny? Przez którą jednostkę notyfikowaną?
- Jakie są SLA dla dostępności systemu i jak są egzekwowane wobec klientów instytucjonalnych?
- Ilu kluczowych programistów zna architekturę rdzenia systemu i czy ta wiedza jest udokumentowana?
Czerwona flaga: kluczowe funkcje kliniczne zbudowane przez jedną osobę, która właśnie odchodzi, to scenariusz, który regularnie pojawia się w małych startupach healthtech trafiających na rynek. Tzw. bus factor równy jeden w systemie wspierającym decyzje kliniczne to ryzyko, którego nie da się szybko zneutralizować po zamknięciu transakcji.
4. Analiza finansowa z perspektywą branżową
Healthtech rządzi się innymi prawami niż typowy SaaS. Przy analizie finansowej warto zwrócić uwagę na:
- Strukturę przychodów — subskrypcja B2B (placówki), pay-per-use (konsultacje), kontrakt NFZ, refundacja. Każde źródło ma inną trwałość i przewidywalność
- Kontrakty NFZ — wartość, czas trwania, historia renegocjacji, możliwość kontynuacji przez nowego właściciela (uwaga: zmiana formy prawnej lub właściciela może wymagać ponownego przystąpienia do postępowania konkursowego)
- Churn klientów instytucjonalnych — utrata jednego dużego szpitala lub sieci przychodni może oznaczać istotną część przychodów rocznych
- Cykl sprzedaży i zapadalność kontraktów — jak długo trwa pozyskanie nowego klienta szpitalnego? Jakie są klauzule wypowiedzenia?
- Koszty regulacyjne — utrzymanie certyfikatów MDR, audyty, rejestracje to stały koszt, który musi być ujęty w prognozach, a często bywa pomijany w modelach finansowych startupów
Uwaga: kwestie podatkowe związane z przejęciem (VAT, PCC, rozliczenie aportów, opodatkowanie sprzedaży udziałów) wymagają indywidualnej konsultacji z doradcą podatkowym.
5. Zasoby ludzkie — kadra medyczna jako kluczowy aktyw
W podmiotach leczniczych kadra medyczna jest aktywem, który może nie przejść do nowego właściciela. Lekarze prowadzący praktyki w ramach firmy często działają na zasadach B2B i mają pełną swobodę odejścia po zmianie właściciela.
Co weryfikować
- Umowy z lekarzami, pielęgniarkami, diagnostami — B2B, kontrakt, umowa o pracę
- Klauzule zakazu konkurencji i ich realna wykonalność
- Specjalizacje kluczowe dla kontraktów NFZ — utrata specjalisty może uniemożliwić rozliczenie świadczeń
- Relacje z pacjentami — czy baza pacjentów jest w podmiocie, czy w prywatnej dokumentacji lekarzy
- Status uprawnień zawodowych (PWZ) wszystkich kluczowych osób
Czerwona flaga: firma zależna w większości przychodów od jednego lub dwóch lekarzy bez podpisanych umów o zakazie konkurencji i bez klauzul przypisania własności intelektualnej do spółki.
6. Odpowiedzialność cywilna i historia roszczeń
Podmioty medyczne narażone są na roszczenia z tytułu błędów medycznych. To ryzyko, które musi być szczegółowo zbadane:
- Aktualna polisa OC podmiotu leczniczego — suma ubezpieczenia, zakres, wyłączenia
- Historia roszczeń z ostatnich 5–7 lat — sądowych i pozasądowych
- Toczące się postępowania kompensacyjne dotyczące zdarzeń medycznych
- Skargi do NFZ, Rzecznika Praw Pacjenta, izb lekarskich
Warto pamiętać, że odpowiedzialność za zdarzenia sprzed transakcji może — w zależności od struktury transakcji — przejść na nabywcę, zwłaszcza przy przejęciu udziałów (share deal vs. asset deal). Mechanizmy umowne, takie jak oświadczenia i zapewnienia (reps & warranties), klauzule indemnifikacyjne czy część ceny zatrzymana w depozycie (escrow), pozwalają częściowo rozłożyć to ryzyko między strony.
7. Ryzyka specyficzne dla healthtech — checklista czerwonych flag
Poniżej zestawienie sygnałów ostrzegawczych, które powinny wstrzymać lub przynajmniej znacząco spowolnić proces akwizycji:
Regulacyjne i prawne:
- Brak aktualnego wpisu do RPWDL przy faktycznym udzielaniu świadczeń medycznych
- Wygasłe lub zawieszone certyfikaty MDR bez planu odnowienia
- Historia kar od UODO lub toczące się postępowania ws. naruszenia RODO
- Niejasny status własności bazy danych pacjentów (lekarz B2B vs. podmiot)
Technologiczne:
- Brak dokumentacji technicznej systemu (Technical File, zarządzanie ryzykiem ISO 14971)
- Dane medyczne przechowywane na serwerach poza EOG bez umowy powierzenia i zabezpieczeń
- Brak kopii zapasowych lub niezwalidowane procedury disaster recovery
- Brak testów automatycznych w systemie wspierającym decyzje kliniczne
Finansowe i operacyjne:
- Przychody z kontraktów NFZ bez gwarancji kontynuacji przez nabywcę
- Wysoka koncentracja przychodów na jednym kliencie lub jednym płatniku
- Brak kalkulacji kosztów regulacyjnych w modelu finansowym
Kadrowe:
- Kluczowi lekarze bez umów o zakazie konkurencji i bez klauzuli cesji praw IP
- Certyfikaty i licencje wydane na osobę fizyczną, nie na spółkę
8. Struktura data room — co powinien dostarczyć sprzedający
Dobrze przygotowany sprzedający podmiot healthtech powinien udostępnić data room obejmujący co najmniej:
- Dokumenty korporacyjne — KRS, umowa spółki, historia zmian właścicielskich
- Licencje i certyfikaty — RPWDL, MDR/IVDR, akredytacje jakościowe (jeśli dotyczą)
- Dokumentacja RODO — rejestry, polityki, umowy powierzenia, historia incydentów
- Kontrakty kluczowe — NFZ, B2B z placówkami, dostawcy IT, umowy z lekarzami
- Dokumentacja techniczna — architektura systemu, certyfikaty oprogramowania, wyniki audytów
- Finanse — kilka lat historycznych P&L, bilanse, prognozy z założeniami
- Roszczenia i spory — historia, toczące się postępowania, polisy OC
- Kadra — listy pracowników/współpracowników, umowy, specjalizacje, PWZ
Braki w którejkolwiek z tych kategorii nie zawsze są dyskwalifikujące, ale powinny przełożyć się na korektę ceny, dodatkowe zapewnienia umowne lub zatrzymanie części płatności do czasu uzupełnienia dokumentów.
Jeśli szukasz firm do przejęcia lub chcesz poznać realia wycen w tej branży, zapoznaj się z ogłoszeniami sprzedaży firm na Biznes Atlas — wiele transakcji rozpoczyna się właśnie od analizy rynku dostępnych podmiotów.
Podsumowanie — due diligence w healthtech to inwestycja, nie koszt
Due diligence w sektorze healthtech wymaga zaangażowania interdyscyplinarnego zespołu: prawnika specjalizującego się w prawie medycznym, doradcy ds. ochrony danych (IOD/DPO), audytora IT z doświadczeniem w systemach medycznych oraz doradcy finansowego znającego specyfikę kontraktowania ze świadczeniodawcami.
Czas i koszt pełnego procesu weryfikacji są wyższe niż w typowej transakcji usługowej — ale proporcjonalnie niższe niż koszt wejścia w transakcję z nieuświadomionymi zobowiązaniami regulacyjnymi, których nabywca nie miał szansy wycenić.
Przed finalizacją jakiejkolwiek transakcji w tej przestrzeni polecamy przejrzeć nasze poradniki dla kupujących i sprzedających firmy — znajdziesz tam między innymi wskazówki dotyczące wyceny, negocjacji i struktury transakcji, które uzupełniają tę analizę branżową.
W zdrowym, dynamicznie rosnącym sektorze healthtech jest miejsce na dobre transakcje — trzeba tylko wiedzieć, na co patrzeć i które dokumenty zażądać, zanim podpisze się list intencyjny.



