Tato stránka je určena vedoucím zubních klinik, zdravotnických klinik a jejich IT gestorům s 50 a více zaměstnanci. Dozvíte se, jaké konkrétní bezpečnostní opatření musíte zavést pro ochranu pacientských záznamů a zobrazovacích systémů podle NIS2 a zároveň splnit GDPR.
Zubní ordinace, speciální lékařské kliniky a zdravotnická centra v České republice s nejméně 50 zaměstnanci jsou klasifikovány jako důležité entity podle NIS2. Povinnost se vztahuje také na menší kliniky, pokud provozují digitální systémy správy pacientů se zpracováním zdravotních dat v síti dostupné z internetu.
Zajistěte šifrování pacientských záznamů a DICOM dat (rentgenogram, CT) v klidovém stavu i během přenosu. Všechny zobrazovací servery a databáze musí být izolovány v samostatném segmentu sítě (VLAN) odděleny od běžného Wi-Fi provozu kliniky. Proveďte inventarizaci všech zdravotnických zařízení a softwaru zpracovávajícího zdravotní data a zajistěte jejich pravidelné aktualizace.
Vytvořte proceduru pro hlášení incidentů NÚKIB, pokud k porušení dojde u systému obsahujícího pacientské informace nebo plánování pacientů. Incident musí být hlášen bez zbytečného odkladu, nejpozději do 72 hodin. Incidenty zahrnují neoprávněný přístup k záznamům, výpadky systému pro plánování pacientů a kompromitaci přihlašovacích údajů personálu.
Zákažte sdílené přihlašovací údaje recepčních a zdravotnických pracovníků pro pacienta-vedoucí software. Každý zaměstnanec musí mít individuální přihlášení s vázaným právem přístupu na základě své role (zdravotník, recepce, správce). Implementujte vícefaktorovou autentizaci (MFA) pro přístup ke kritickým systémům, včetně vzdáleného přístupu správců IT.
Zavázte své dodavatele správy pacientů (EHR/EMR systémy) k dodržování bezpečnostních standardů v písemné smlouvě včetně zajištění bezpečnostních aktualizací a pravidelného testování bezpečnosti. Před uzavřením smlouvy si vyžádejte dokumentaci o bezpečnostních testech a certifikacích. Pravidelně kontrolujte soulad dodavatelů s bezpečnostními požadavky.
Zavedení automatizovaných záloh pacientských záznamů a zobrazovacích dat s testováním obnovení alespoň čtvrtletně. Zálohy musí být fyzicky odděleny od produkčního prostředí a šifrovány. Vypracujte plán kontinuity provozu, který specifikuje, jak budou kritické funkce kliniky (plánování pacientů, přístup k zdravotním záznamům) obnoveny v případě výpadku.
Pokud má ordinace 50 a více zaměstnanců, je povinná. Menší ordinace s 45 zaměstnanci se řídí právními předpisy o ochraně osobních údajů (GDPR), ale nemusí splňovat NIS2 jako důležitá entita — pokud však provozuje kritickou digitální infrastrukturu pro zdravotnické služby dostupnou z internetu, NÚKIB ji může později klasifikovat jako důležitou entitu.
Pokud hlásíte incident později než do 72 hodin od zjištění, NÚKIB si může vyžádat vysvětlení důvodu zpoždění. Pokud zpoždění bylo unjustified, hrozí vám pokuta až 10 milionů korun nebo 2 % globálního obratu podle zákona č. 181/2014 Sb. Zvláště závažné porušení může vést k pokutě do 50 milionů korun.
Oddělte DICOM servery do vlastní VLAN (Virtual LAN) nebo fyzické sítě bez bezprostředního přístupu z běžného Wi-Fi kliniky. Implementujte firewall pravidla, která povolují přístup pouze autorizovaným zdravotnickým pracovníkům přes VPN nebo bezpečný tunel. Komunikace mezi pacienta-vedoucím systémem a DICOM serverem musí být šifrována (HTTPS/TLS) a logována pro audit.