Prije nekoliko dana ugledao je svijetlo pravilnik Ministarstva zdravstva iz naslova ovog posta, dostupan je ovdje:

https://narodne-novine.nn.hr/clanci/sluzbeni/2024_12_150_2465.html

Tim Pravilnikom se propisuje način obrade zdravstvenih i drugih osobnih podataka u CEZIH-u, Nacionalnom javnozdravstvenom informacijskom sustavu (u daljnjem tekstu: NAJS) i drugim zdravstvenim nacionalnim i institucionalnim informacijskim sustavima, između ostalog.

Posebno želimo istaknuti članak 8. koji opisuje tehničke i organizacijske mjere sigurnosti, kakve bi svaka organizacija trebala primjenjivati s obzirom na opće poznate kibernetičke prijetnje, da ne govorimo o ustanovama u zdravstvenom sektoru:

– zdravstveni i drugi osobni podaci se ne smiju pohranjivati na vanjske medije (USB, CD/DVD, vanjski disk, trake itd.), osim u sklopu propisanih procedura stvaranja sigurnosnih pričuvnih pohrana podataka

– ovlaštene osobe za pristup središnjem sustavu sa štićenog mjesta koriste jedinstveno korisničko ime i zaporku i iste ne smiju dijeliti s drugima

– obvezne su primjerene mjere fizičke sigurnosti u službenim prostorijama, u kojima se nalaze uređaji i sustavi koji se koriste za obradu osobnih podataka, koji su dostupni samo ovlaštenim osobama za obradu

– obvezno je redovito ažuriranje svih računala uključujući prijenosne i pokretne uređaje pomoću sigurnosnih programskih nadogradnji koje izdaje proizvođač operacijskog sustava, aplikacije ili programske podrške

– obvezno su uspostavljeni prikladni mehanizmi za zaštitu elektroničke pošte i poslovnih aplikacija od neovlaštenog pristupa

– obvezno je uspostavljen sustav identifikacije, autentifikacije i autorizacije korisnika na svim uređajima i sustavima za obradu osobnih podataka na način da bude moguće jednoznačno odrediti aktivnosti svakog pojedinog korisnika

– obvezna je primjena snažnih zaporki visoke razine sigurnosti, od najmanje 16 znakova sastavljenih od kombinacije velikih i malih slova, brojki i interpunkcijskih znakova

– obvezno je korištenje ovlaštenog i licenciranog softvera ili softvera sa slobodno dostupnim izvornim kôdom na radnim stanicama te prijenosnim i pokretnim uređajima

– obvezno je uspostavljen antivirusni sustav na svim radnim stanicama, prijenosnim i pokretnim uređajima, koji mora stalno raditi i redovito se ažurira redovito s najnovijim nadogradnjama prema preporuci proizvođača

– obvezno poslodavac uspostavlja proceduru koja sprječava svako neovlašteno iznošenje podataka izvan službenih prostorija, kao i svako neovlašteno dijeljenje bilo putem fizičkih medija ili slanjem putem komunikacijske mreže

– obvezno je prethodno osigurati kod otpisa i ekološkog zbrinjavanja računala i računalne opreme trajno i nepovratno brisanje svih podataka korištenjem nekog od alata za sigurno brisanje ili fizičkim uništenjem onemogućiti pristup prostorijama, opremi i sustavima odmah bez odgađanja nakon prestanka ugovornog odnosa s osobom koja je provodila obradu osobnih podataka

– obvezno je osigurati pristup samo onih korisnika sustava koji se temelji na korisničkim ulogama, autentifikaciji i autorizaciji uz primjenu revizijskih zapisa za sve aktivnosti u sustavu

– obvezna je enkripcija osobnih podataka koja obuhvaća dovoljne tehnološke mjere kriptografije kojima se onemogućava neovlašten pristup podacima prilikom prijenosa, pri čemu bez valjanog odobrenja i kriptografskog ključa nije moguće pristupiti osobnim podacima, što podrazumijeva i organizacijske mjere pristupa osobnim podacima isključivo osobama ovlaštenim za obradu.

– sigurnosna kopija podataka pohranjenih u sustavu se radi u odgovarajućim vremenskim intervalima kako bi se omogućila pravodobna ponovna uspostava dostupnosti osobnih podataka u slučaju fizičkog ili tehničkog incidenta

– redovito se testira ispravnost sigurnosnih kopija kako bi se osigurala mogućnost povrata podataka iz istih

– sigurnosne kopije se izrađuju na opremi i lokaciji koja nije istovjetna onoj na kojoj se primarno pohranjuju podaci koji se obrađuju.

#gdprcroatia