Ovaj vodič je namijenjen operatorima telemedicine, pružateljima usluga daljinskog nadzora bolesnika i razvojnim timovima zdravstvenih aplikacija koji trebaju razumjeti obveze važnih entiteta prema Zakonu o kibernetskoj sigurnosti (ZKS). Saznajte kako osigurati sigurnost podataka pacijenata, uskladiti se s GDPR-om i NIS2-om te izbjeći kazne do 10 milijuna eura.
Telehealth platforme, pružatelji usluga daljinskog praćenja vitala pacijenata i operatori zdravstvenih digitalnih aplikacija kvalificiraju se kao važni entiteti ako imaju kontinuirane operacije kritične za zdravstvenu zaštitu u Hrvatskoj te ako obslužavaju značajnu klijentelu (bolnice, zdravstvene domove ili veći broj pojedinačnih pacijenata). Organizacije s više od 250 zaposlenih ili godišnjim prometom većim od 50 milijuna eura smatraju se važnim entitetima, kao i sve organizacije koje pružaju digitalne zdravstvene usluge povezane sa zdravstvenim informacijskim sustavima.
Sve videokonsultacije, poruke, medicinski zapisi i signali vitalnih znakova moraju biti zaštićeni end-to-end enkripciijom tijekom prijenosa i pohrane. Telehealth platforme trebaju implementirati TLS 1.3+ za sve mrežne komunikacije te osigurati da niti operatori platforme nemaju pristup dešifriranima sadržaju između pacijenta i liječnika. Ova obveza direktno proizlazi iz GDPR članka 32 i ZKS članka 19 te je kritična za sprječavanje neovlaštenog pristupa osjetljivim zdravstvenim informacijama.
Digitalne zdravstvene usluge trebaju uskladiti zahtjeve NIS2-a za kibernetsku sigurnost s GDPR-ovim obvezama za zaštitu podataka. To uključuje pisane dogovore o obradi podataka sa svim podprocesima (cloud davatelje, integratori EHR sustava, pružatelje analitike), redovne procjene utjecaja na zaštitu podataka (DPIA) te jasne procedure za izvještavanje o incidentima koji mogu utjecati na privatnost. Svaka treća strana koja ima pristup zdravstvenim podacima mora biti uključena u formalnu evidenciju i podložna sigurnosnim auditima.
Kad se telehealth aplikacija integrira s bolničkim elektroničkim zdravstvenim kartama (EHR), telehealth operator mora provjeriti sigurnost svakog API-ja, biblioteke za integraciju i postupka sinhronizacije podataka. To uključuje zahtjeve da pružatelji bolničkih sustava pružaju sigurnosne certifikate, redovne penetracijske testove i dokaze o sukladnosti s NIS2-om. Telehealth operatori su odgovorni za incidente koji nastanu kroz neprovjerene ili zastarjele integracije s bolničkim sustavima.
Svaki sigurnosni incident koji utječe na dostupnost telehealth platforme, povjerljivost podataka pacijenata ili integritet zdravstvenih podataka mora biti prijavljen Agenciji za zaštitu konkurencije (SOA) u roku od 72 sata od otkrića. Incidenti koji dovode do prekida video konsultacija, gubitka poruka ili neslučajnog pristupa medicinskim zapisima trebaju biti dokumentirani s detaljima o broju utjecanih pacijenata, trajanju prekida i poduzatim mjerama. Operatori trebaju održavati dnevnik svih sigurnosnih događaja najmanje dvije godine.
Telehealth platforme moraju provesti minimalno godišnje sukladne penetracijske testove koje provode akreditirani vanjski sigurnosni stručnjaci. Zdravstvene aplikacije trebaju redovito procjenjivati ranjivosti (najmanje kvartalno) i imati formalnu proceduru za upravljanje pronađenim greškama do zakrpljivanja. Svi sigurnosni testovi trebaju biti dokumentirani i dostupni za pregled od strane SOA-e tijekom inspekcija.
Da. ZKS članak 19 zahtijeva end-to-end enkripciju za sve zdravstvene podatke tijekom prijenosa, neovisno o tome jesu li bolnice na privatnih mrežama. Privatne mreže ne osiguravaju dostatan standard — samo enkripcija na razini aplikacije. Video, poruke i zapisi trebaju biti nečitljivi čak i ako haker presiječe promet u bolničkoj mreži.
Incident je svaki nenamjeran sigurnosni događaj koji utječe na dostupnost (prekid videa duži od 30 minuta), povjerljivost (neovlašten pristup zdravstvenim podacima), ili integritet (promjena zapisa bez autorizacije). Primjeri: DDoS napad na platformu, SQL injection koji otkriva korisničke kredencijale, ili slučajni pristup pacijenta medicinski zapisima druge osobe. Incident koji utječe samo na jednog pacijenta i trajao minutu obično se ne prijavljuje, ali incident koji utječe na više od 10 pacijenata ili trajao sat vremena mora biti prijavljen.
Članice mogu izreći kazne do 10 milijuna eura ili 2% godišnjeg globalnog prometa (broj koji je viši) za teške povrede kao što su nepostojanje penetracijskih testova ili odsustvo plana izvještavanja o incidentima. Manji prekršaji (zastarjeli dogovori sa podprocesima) mogu izazvati kazne do 5 milijuna eura ili 1% prometa. SOA će početi s upozorenjem u 2025., a inspekcije će početi tijekom 2026. godine.