Na podlagi šestega odstavka 14. člena Zakona o zbirkah podatkov s področja zdravstvenega varstva (Uradni list RS, št. 65/00 in 47/15) ministrica za zdravje izdaja
o pogojih, rokih, načinu vključitve in uporabe eZdravja za obvezne uporabnike
Ta pravilnik določa pogoje, roke, način vključitve in uporabe eZdravja za obvezne uporabnike storitev eZdravja.
Izrazi, uporabljeni v tem pravilniku, pomenijo:
1. Informacijski sistem je urejen in organiziran sistem, ki omogoča vnos podatkov in obvezne uporabnike oskrbuje z informacijami za odločanje.
2. Infrastruktura so sredstva, ki zagotavljajo ustrezno delovanje informacijskega sistema.
3. Komunikacijska oprema je oprema, ki omogoča komuniciranje med informacijskimi sistemi, storitvami in drugimi informacijskimi viri.
4. Kvalificirano potrdilo ima enak pomen, kot ga opredeljuje zakon, ki ureja elektronsko poslovanje in elektronski podpis.
5. Omrežni promet je prenos podatkov v računalniških omrežjih.
6. Omrežje obveznega uporabnika vsebuje strojno in programsko komunikacijsko opremo na lokacijah uporabnika (lokalno omrežje) in povezave med njimi (krajevno omrežje), ki omogoča delovanje ostale računalniške opreme izvajalca in povezavo na priključno točko zNET.
7. VPN povezava je navidezno zasebno omrežje, ki omogoča varen prenos podatkov skozi šifriran tunel v okviru javne komunikacijske infrastrukture.
8. Zlonamerna programska oprema je oprema, katere namen je škodljivo vplivati na delovanje informacijskega sistema (npr. virus, črv, stranska vrata, trojanski konj, vohunski program).
9. zNET je zasebno zdravstveno računalniško omrežje, ki ga upravlja Nacionalni inštitut za javno zdravje in ki zagotavlja varne in zanesljive komunikacijske povezave med obveznimi uporabniki, pri čemer ne vključuje lokalnih omrežij obveznih uporabnikov.
(zagotavljanje kakovosti infrastrukture)
(1) Za vključitev in uporabo storitev eZdravja obvezni uporabniki zagotavljajo kakovostno informacijsko-komunikacijsko infrastrukturo in izpolnjujejo vse minimalne varnostne zahteve, določene s tem pravilnikom.
(2) Obvezni uporabniki zagotavljajo varovanje svoje informacijsko-komunikacijske infrastrukture z ukrepi, primernimi glede na tveganja.
(dostop do storitev eZdravja)
(1) Obvezni uporabniki dostopajo do storitev eZdravja izključno prek omrežja zNET z uporabo strojne in programske komunikacijske opreme, ki jo predpiše in upravlja Nacionalni inštitut za javno zdravje (v nadaljnjem besedilu: NIJZ).
(2) Obvezni uporabniki imajo nameščeno ustrezno različico informacijskega sistema za obdelavo zdravstvene dokumentacije, ki omogoča uporabo storitev eZdravja. Ustreznost različice informacijskega sistema odobri NIJZ.
(3) Obvezni uporabnik storitev eZdravja določi odgovorno osebo za nadzor nad izvajanjem postopkov in ukrepov, določenih s tem pravilnikom, in o tem v 15 dneh po določitvi obvesti NIJZ.
(načini vključitve v zNET)
(1) Način vključitve obveznih uporabnikov v zNET je odvisen od tipa uporabnika, ki se določi glede na število zaposlenih, in sicer:
– majhen uporabnik – obvezni uporabnik, ki ima od 1 do 9 zaposlenih;
– srednji uporabnik – obvezni uporabnik, ki ima od 10 do 99 zaposlenih;
– večji uporabnik – obvezni uporabnik, ki ima od 100 do 499 zaposlenih;
– velik uporabnik – obvezni uporabnik z več kot 500 zaposlenimi.
(2) Vključitev obveznih uporabnikov iz prejšnjega odstavka v zNET se izvede v skladu s tehničnimi navodili, ki jih določi NIJZ in ki bodo objavljena na spletni strani NIJZ.
(pogoji za oddaljen dostop)
(1) Oddaljen dostop do omrežja obveznega uporabnika se omogoči le tistim zaposlenim pri obveznem uporabniku ali pogodbenem izvajalcu obveznega uporabnika, ki zaradi narave svojega dela nujno potrebuje oddaljen dostop.
(2) Osebe iz prejšnjega odstavka z oddaljenim dostopom dostopajo do lokalnega omrežja prek VPN povezave, ki se zaključuje na požarni pregradi zNET ali požarni pregradi obveznega uporabnika ali drugi opremi obveznega uporabnika s funkcionalnostjo zaključevanja VPN. Za vzpostavitev VPN povezave morajo osebe iz prejšnjega odstavka potrditi istovetnost z enkratnim geslom ali kvalificiranim potrdilom.
(3) Osebe iz prvega odstavka tega člena pri oddaljenem dostopu:
– zagotavljajo varnostne mehanizme, določene v 8. in 9. členu tega pravilnika,
– preprečujejo možnost nepooblaščenega dostopa do notranjega omrežja,
– varujejo podatke pred naključnim in namernim razkritjem drugim neupravičenim osebam,
– zagotavljajo nadzor nad računalniško opremo z vklopljeno VPN povezavo,
– se po uporabi odjavijo iz sistema in
– zagotavljajo, da osebni podatki ne ostanejo shranjeni na delovni postaji.
(4) Oddaljen dostop do informacijskega sistema obveznega uporabnika je omogočen le toliko časa, dokler za to obstaja potreba.
(5) Obvezni uporabnik zagotavlja revizijsko sled oddaljenega dostopanja do omrežja, informacijskih sistemov in podatkov.
(pogoji za omogočanje brezžičnega dostopa)
(1) Pri brezžičnem dostopu do omrežja obveznega uporabnika se uporablja sistem stroge avtentikacije (enkratna gesla, uporaba kvalificiranih potrdil ali drugih enakovrednih mehanizmov).
(2) Brezžično omrežje obveznega uporabnika storitev eZdravja, ki omogoča dostop za goste, je ločeno od lokalnega računalniškega omrežja obveznega uporabnika in ne sme omogočati dostopa v omrežje zNET.
(3) Brezžično omrežje obveznega uporabnika storitev eZdravja, ki omogoča dostop do zdravstvenega informacijskega sistema, mora biti varovano na naslednji način:
– radijski vmesnik mora biti šifriran;
– zagotovljeno mora biti prepoznavanje uporabnikov omrežja in
– zagotovljen mora biti nadzor nad dostopnimi točkami (stroga overitev dostopnih točk in ustrezna fizična varnost).
(varovanje strojne in programske opreme)
(1) Obvezni uporabnik omogoča uporabo samo certificirane in licencirane opreme. Dostop do strojne in programske opreme je dovoljen le tistim zaposlenim pri obveznem uporabniku ali zunanjim izvajalcem, ki zaradi narave svojega dela nujno potrebujejo dostop.
(2) Obvezni uporabnik določi pooblaščeno osebo, ki odobri:
– nameščanje programske opreme;
– iznos podatkov ali strojne opreme iz prostorov obveznega uporabnika;
– nameščanje ali priključevanje programske in strojne opreme, ki omogoča zajem in analizo omrežnega prometa;
– vzdrževanje, spreminjanje ali popravljanje strojne in programske opreme.
(3) Obvezni uporabnik ustrezno dokumentira namestitve, spremembe in dopolnitve strojne in programske opreme ter spremembe konfiguracij komunikacijske opreme (ID uporabnika, čas dostopa, namen in opis izvedenih sprememb).
(4) Obvezni uporabnik zagotavlja obvezno uporabo rešitev za varovanje pred zlonamerno programsko opremo na vseh strežnikih in delovnih postajah. Ob pojavu zlonamerne programske opreme jo obvezni uporabnik odstrani ter ugotovi in odpravi vzrok pojava.
(5) Varnostni mehanizmi, ki se uporabljajo za zaščito dostopa do kvalificiranih potrdil, s katerimi se dostopa do storitev eZdravja, so:
– kvalificirano potrdilo se hrani na prenosnem mediju (pametni kartici),
– za avtentikacijo se uporablja skrivno geslo,
– skrivno geslo se vpisuje na čitalniku kartic.
(6) Za potrebe obnove računalniškega sistema ob okvarah in ob drugih izjemnih situacijah obvezni uporabnik zagotavlja redno izdelavo varnostnih kopij podatkov. Kopije se hranijo na določenih mestih, ki morajo biti ognjevarna, zavarovana proti poplavam in elektromagnetnim motnjam, v okviru predpisanih klimatskih pogojev in zaklenjena. Vsi vpogledi se beležijo.
(1) Dostop do programske opreme in podatkov se varuje s sistemom gesel za avtorizacijo ter identifikacijo uporabnikov programov in podatkov. Sistem upravljanja z gesli omogoča možnost naknadnega ugotavljanja, kdo in kdaj je obdeloval osebne podatke.
(2) Vsa gesla, ki omogočajo nadzor nad informacijsko- komunikacijsko infrastrukturo ali nadzor sistema upravljanja z gesli, se hranijo v zapečatenih ovojnicah in se jih varuje pred dostopom nepooblaščenih oseb. Uporabi se jih samo v izrednih okoliščinah oziroma ob nujnih primerih. Vsaka uporaba vsebine zapečatenih ovojnic se dokumentira. Po vsaki takšni uporabi se določijo nova gesla.
(3) Splošna pravila pri uporabi gesel:
– za vsako geslo za dostop je odgovorna ena oseba;
– gesla so težko ugotovljiva in imajo vsaj 8 znakov (sestavljena naj bodo iz kombinacije črk (male in velike), številk in posebnih znakov (npr. ()_+|@^#$\));
– uporaba samo črkovnih znakov je prepovedana;
– geslo ni zapisano ali shranjeno na mestu, kjer je lahko dostopno drugim;
– gesla se redno menjajo v določenih časovnih intervalih, vsaj enkrat vsakih šest mesecev;
– spreminjanje gesel je obvezno (kjer je mogoče, naj zamenjavo vsilijo tehnični sistemi);
– začetno geslo ali geslo po vzpostavitvi je začasno in mora biti spremenjeno ob njegovi prvi uporabi;
– začasna gesla je uporabnikom treba pošiljati oziroma izročati na varen način;
– če uporabnik geslo pozabi, mu sistemski skrbnik dodeli novo začasno geslo, ki ga uporabnik spremeni ob prvi prijavi;
– za interne in zunanje sisteme se ne uporablja istega gesla;
– računalnik se po določenem časovnem obdobju neaktivnosti avtomatično zaklene.
(4) Poleg pravil iz prejšnjega odstavka veljajo za gesla za strežniške sisteme in skrbniška gesla naslednja pravila:
– gesla se menjajo najmanj vsakih 60 dni;
– dolžina gesla je najmanj deset znakov;
– prepovedana je uporaba istega gesla za različne sisteme ali aplikacije;
– nabor oseb z dostopom do skrbniških gesel mora biti omejen;
– ob prekinitvi delovnega razmerja se osebi, ki ima dostop do skrbniških gesel, skrbniška gesla takoj zamenjajo.
Roki, način vključitve in uporabe storitev eZdravja so v prilogi, ki je sestavni del tega pravilnika.
(1) Do začetka izvajanja nalog eZdravja na NIJZ minister, pristojen za zdravje, izda tehnična navodila iz drugega odstavka 5. člena tega pravilnika in jih objavi na spletni strani ministrstva, pristojnega za zdravje.
(2) Tehnična navodila iz prejšnjega odstavka minister, pristojen za zdravje, izda ob uveljavitvi tega pravilnika.
Ta pravilnik začne veljati naslednji dan po objavi v Uradnem listu Republike Slovenije.
Št. 0070-57/2015/26
Ljubljana, dne 17. septembra 2015
EVA 2015-2711-0026
Milojka Kolar Celarc l.r.
Priloga: Roki, način vključitve in uporabe storitev eZdravja
Informacijska storitev eZdravja | Obvezni uporabnik | Način vključitve in uporabe | Rok za vključitev | Morebitne izjeme |
eRecept | Lekarne, ki izdajajo zdravila na recept | prevzemanje elektronskih receptov na vsaj eni delovni postaji v poslovni enoti lekarne | 30. september 2015 | / |
eRecept | Lekarne, ki izdajajo zdravila na recept | prevzemanje elektronskih receptov na vseh delovnih postajah, kjer je omogočeno izdajanje zdravil na recept | Izvajalci zdravstvene dejavnosti po naslednjih območnih enotah Zavoda za zdravstveno zavarovanje Slovenije: | / |
OE Murska Sobota | 30. september 2015 |
OE Ravne na Koroškem | 4. oktober 2015 |
OE Celje | 6. oktober 2015 |
OE Krško | 7. oktober 2015 |
OE Koper | 9. oktober 2015 |
OE Nova Gorica | 13. oktober 2015 |
OE Kranj | 15. oktober 2015 |
OE Novo mesto | 19. oktober 2015 |
OE Maribor | 21. oktober 2015 |
OE Ljubljana | 24. oktober 2015 |
eRecept | Izvajalci zdravstvene dejavnosti, ki izvajajo storitve na primarni ravni zdravstvene dejavnosti v mreži javne zdravstvene službe | predpisovanje elektronskih receptov vzporedno s predpisovanjem na papirnatem obrazcu | Izvajalci zdravstvene dejavnosti po naslednjih območnih enotah Zavoda za zdravstveno zavarovanje Slovenije: | / |
OE Murska Sobota | 2. oktober 2015 |
OE Ravne na Koroškem | 6. oktober 2015 |
OE Celje | 8. oktober 2015 |
OE Krško | 9. oktober 2015 |
OE Koper | 13. oktober 2015 |
OE Nova Gorica | 15. oktober 2015 |
OE Kranj | 19. oktober 2015 |
OE Novo mesto | 21. oktober 2015 |
OE Maribor | 23. oktober 2015 |
OE Ljubljana | 29. oktober 2015 |
eRecept | Izvajalci zdravstvene dejavnosti, ki izvajajo storitve na primarni ravni zdravstvene dejavnosti v mreži javne zdravstvene službe | predpisovanje samo elektronskih receptov | 2. november 2015 | – za osebno rabo – za nujne recepte |
eRecept | Izvajalci zdravstvene dejavnosti, ki izvajajo storitve na sekundarni in terciarni ravni zdravstvene dejavnosti v mreži javne zdravstvene službe | predpisovanje samo elektronskih receptov pri predpisovanju zdravil na recept | 1. februar 2016 | – za osebno rabo – za nujne recepte |
eNaročanje | Izvajalci zdravstvene dejavnosti, ki izvajajo storitve na sekundarni in terciarni ravni zdravstvene dejavnosti v mreži javne zdravstvene službe | – poročanje o čakalnih dobah v nacionalni čakalni seznam – poročanje o prvih prostih terminih – omogočanje eNaročanja – posredovanje fizičnih napotnic v elektronski obliki | 31. december 2015 | / |
eNaročanje | Izvajalci zdravstvene dejavnosti, ki izvajajo storitve na primarni ravni zdravstvene dejavnosti v mreži javne zdravstvene službe | – naročanje pacientov – izdelava eNapotnic za napotitev na sekundarno in terciarno raven zdravstvene dejavnosti | 15. marec 2016 | – v primeru drugačne želje pacienta |
eNaročanje | Izvajalci zdravstvene dejavnosti, ki izvajajo storitve na sekundarni in terciarni ravni zdravstvene dejavnosti v mreži javne zdravstvene službe | – izdelava eNapotnic za napotitev na sekundarno in terciarno raven zdravstvene dejavnosti v okviru zdravstvenega stanja, za katerega je bil pacient napoten – naročanje pacientov na zdravstvene storitve, na katere so napoteni | 15. marec 2016 | – v primeru drugačne želje pacienta |
CRPP | Izvajalci zdravstvene dejavnosti v mreži javne zdravstvene službe | – avtomatizirano pošiljanje vseh dokumentov, ki jih s pravilnikom predpiše minister – pregled dostopnih dokumentov v CRPP | 1. december 2015 | / |
CRPP – povzetek podatkov o pacientih | Izvajalci zdravstvene dejavnosti v mreži javne zdravstvene službe | objava in pridobivanje povzetka podatkov o pacientih | 1. april 2016 | / |
eKomunikacije | Izvajalci zdravstvene dejavnosti v mreži javne zdravstvene službe | avtomatizirano pošiljanje prijavnega obrazca | z dnem uveljavitve pravilnika | / |
Evidenca teleradioloških preiskav | Izvajalci zdravstvene dejavnosti v mreži javne zdravstvene službe | posredovanje in sprejemanje digitaliziranega radiološkega gradiva | 1. november 2015 | / |