Ovaj vodič je namijenjen upraviteljima i IT odgovornim osobama u stomatološkim lancima i specijalističkim klinikama s 50 ili više zaposlenih. Naučit ćete kako osigurati sigurnost pacijentskih zdravstvenih podataka, X-ray i CT DICOM snimaka te kako usklađiti NIS2 i GDPR zahtjeve do kraja 2026.
Stomatološke klinike, ordinacije specijalista te medicinski centri s najmanje 50 zaposlenih ili digitalno upravljanim sustavima za pacijente spadaju u važne subjekte prema NIS2/ZKS. Posebno se primjenjuje ako vašu kliniku koriste druge ustanove, odnosno ako pružate usluge daljinama ili upravljate medicinskom dokumentacijom drugih subjekata. Obveza se primjenjuje na sve hrvatske klinike neovisno o vlasničkoj strukturi.
Morali ste osigurati da su svi sustavi za pohranu i upravljanje pacijentskim zapisima, X-ray i CT snimcima (DICOM server) tehnički zaštićeni od neovlaštenog pristupa, zlonamjernog softvera i izgubljenih podataka. To uključuje enkripciju podataka u mirovanju i tijekom prijenosa te logiranje svih pristupa. Sustav je potrebno redovito testirati penetracijskim testiranjem najmanje jednom godišnje.
Zdravstveni podaci pacijenata su osjetljiva kategorija podataka prema GDPR-u i istovremeno kritični sadržaj prema NIS2/ZKS. Morate imati ugovor o obrada podataka (DPA) sa svim dobavljačima klinike, dokumentaciju o procjeni rizika i jasan mehanizam prihvaćanja suglasnosti pacijenata. NIS2 zahtjeva dodatno povećanu sigurnost s detaljnom evidencijom incidenta i vremenskom linijom oporavka.
Ako dođe do sigurnosnog incidenta koji utječe na pacijentske podatke ili mogućnost zakazivanja pacijenta, morate ga prijaviti Agenciji za zaštitu konkurencije i drugim relevantnim tijelima u roku od 72 sata. Prijabu je potrebno dokumentirati s vremenskom linijom, utjecajem na pacijente i poduzete mjere. Pacijente je potrebno obavijestiti ako je njihova privatnost ugrožena.
Svi dobavljači vašeg kliničkog softvera, od sustava za upravljanje pacijentima do integracije laboratorija, moraju se procjenjivati prema NIS2 zahtjevima. Morate imati redovite audite dobavljača, ugovore koji osiguravaju sigurnosne obveze i plan oporavka ako dobavljač prestane s radom. Posebna pozornost se posvećuje dobavljačima koji su dijelom lanaca opskrbe ili koriste iste resurse kao druga zdravstvena postrojenja.
Morate imati implementiran redovit proces provjere funkcioniranja rezervnih kopija pacijentskih zapisanika, s vremenom oporavka od maksimalno 24 sata. Rezervne kopije se ne smiju nalaziti na istoj mreži kao primarni sustav te moraju biti dostupne samo administratorima. Svaka provjera mora biti dokumentirana i uključiti test restoriranja barem svakog tromjesečja.
Ako imate 50 ili više zaposlenih ili upravljate pacijentskim podacima drugih subjekata te pružate usluge putem digitalne infrastrukture, smatrate se važnim subjektom. Ako imate manje od 50 zaposlenih ali koristite vanjski sustav za upravljanje pacijentima ili dijelite podatke sa drugih ordinacija, tada se mogućnosti primjene trebaju provjeriti sa regulatornom tijelom.
Rok je 31. prosinca 2026. godine za sve važne subjekte, uključujući stomatološke lance. Do tog datuma morate imati implementirane sve obaveze: sigurnost sustava, upravljanje incidentima, sigurnost dobavljača i redovite revizije. Počnite s procjenom rizika odmah jer se ažuriranja sustava i obuka zaposlenih trebaju planirati.
Prema NIS2 direktivi, glavna kazna je do 10 milijuna eura ili do 2% godišnjeg prometnog dohotka. Hrvatski zakoni o zaštiti kritične infrastrukture mogu dodatno predviđati sankcije, upozorenja i obvezu zastoja usluge. Preporučujem da se počne s usklađenjem odmah kako bi se izbjegle kazne i gubljenje povjerenja pacijenata.