Radi se o prijedlogu Pravilnika o načinu obrade zdravstvenih i drugih osobnih podataka u zdravstvenim nacionalnim i institucionalnim informacijskim sustavima u zdravstvu, načinu čuvanja i zaštite zdravstvenih podataka i izrade zdravstvenih pokazatelja, standardiziranim obrascima te registrima i evidencijama u zdravstvu, čiji prijedlog je na javnom savjetovanju u svatko može sudjelovati svojim komentarima do 09.11.2024.

 

Savjetovanje je moguće pronaći na poveznici:

https://esavjetovanja.gov.hr/Econ/MainScreen?EntityId=28846

 

Izdvajamo:

Člankom 19. stavkom 1. Zakona o podacima i informacijama u zdravstvu (NN 14/19) definirano je da zdravstveni i drugi osobni podaci moraju biti obrađivani na način kojim se osigurava odgovarajuća sigurnost i povjerljivost podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih organizacijskih, tehničkih i sigurnosnih mjera.

Stavak 3. istoga članka definira da način obrade podataka u CEZIH-u, NAJS-u i drugim zdravstvenim nacionalnim i institucionalnim informacijskim sustavima, način čuvanja i zaštite zdravstvenih podataka i izrade zdravstvenih pokazatelja, standardizirane obrasce za prikupljanje i obradu zdravstvenih podataka, sadržaj, popis i opis zdravstvenih registara i evidencija u području zdravstva koje služe za zdravstvena statistička istraživanja iz područja zdravstvene zaštite, javnog zdravstva, zdravstvenih djelatnosti, pružatelja i korisnika zdravstvenih usluga, zdravstvene infrastrukture, pruženih usluga, utvrđenih bolesti, stanja i ozljeda, krvi, krvnih pripravaka, lijekova i medicinskih proizvoda, zdravstvenog osiguranja i financiranja zdravstvene zaštite pravilnikom propisuje ministar nadležan za zdravstvo (u daljnjem tekstu: Pravilnik).

Obvezne tehničke i organizacijske mjere sigurnosti u sustavima pohrane i standardizirane obrade zdravstvenih i drugih osobnih podataka su:

- zdravstveni i drugi osobni podaci se ne smiju pohranjivati na vanjske medije (USB, CD, vanjski disk itd.)

- jedinstveno korisničko ime i zaporku može koristiti samo ovlaštena osoba za obradu

- obvezne su mjere fizičke sigurnosti u službenim prostorijama, u kojima se nalaze uređaji i sustavi koji se koriste za obradu osobnih podataka, koji su dostupni samo ovlaštenim osobama za obradu

- obvezno je redovito ažuriranje svih računala uključujući prijenosne i pokretne uređaje pomoću sigurnosnih programskih nadogradnji koje izdaje proizvođač operacijskog sustava, aplikacije ili programske podrške

- obvezno su uspostavljeni prikladni mehanizmi za zaštitu elektroničke pošte i poslovnih aplikacija od  neovlaštenog pristupa

- obvezno je uspostavljen sustav identifikacije, autentifikacije i autorizacije korisnika na svim uređajima i sustavima za obradu osobnih podataka na način da bude moguće jednoznačno odrediti aktivnosti svakog pojedinog korisnika

- obvezna je primjena snažnih zaporki visoke razine sigurnosti, od najmanje 16 znakova sastavljenih od kombinacije velikih i malih slova, brojki i interpunkcijskih znakova

- obvezno je korištenje samo ovlaštenog i licenciranog softvera na radnim stanicama te prijenosnim i  pokretnim uređajima

- obvezno je uspostavljen antivirusni sustav na svim radnim stanicama, prijenosnim i pokretnim uređajima, koji mora stalno raditi i redovito se ažurira redovito s najnovijim nadogradnjama prema preporuci proizvođača

- obvezno poslodavac uspostavlja proceduru koja sprječava svako neovlašteno iznošenje podataka izvan službenih prostorija, kao i svako neovlašteno dijeljenje bilo putem fizičkih medija ili slanjem putem komunikacijske mreže

- obvezno je prethodno osigurati kod otpisa i ekološkog zbrinjavanja računala i računalne opreme trajno i nepovratno brisanje svih podataka korištenjem nekog od alata za sigurno brisanje ili fizičkim uništenjem onemogućiti pristup prostorijama, opremi i sustavima odmah bez odgađanja nakon prestanka ugovornog odnosa s osobom koja je provodila obradu osobnih podataka

- obvezno je osigurati pristup samo onih korisnika koji se temelji na korisničkim ulogama, autentifikaciji i autorizaciji uz primjenu revizijskih zapisa za sve aktivnosti u sustavu

- obvezna je enkripcija osobnih podataka koja obuhvaća dovoljne tehnološke mjere kriptografije kojima se onemogućava neovlašten pristup podacima prilikom prijenosa, pri čemu bez valjanog odobrenja i kriptografskog ključa nije moguće pristupiti osobnim podacima, što podrazumijeva i organizacijske mjere pristupa osobnim podacima isključivo osobama ovlaštenim za obradu.

 

#gdprcroatia