Uradni list

Številka 69
Uradni list RS, št. 69/2015 z dne 25. 9. 2015
Uradni list

Uradni list RS, št. 69/2015 z dne 25. 9. 2015

Kazalo

2772. Pravilnik o pogojih, rokih, načinu vključitve in uporabe eZdravja za obvezne uporabnike, stran 7826.

  
Na podlagi šestega odstavka 14. člena Zakona o zbirkah podatkov s področja zdravstvenega varstva (Uradni list RS, št. 65/00 in 47/15) ministrica za zdravje izdaja
P R A V I L N I K
o pogojih, rokih, načinu vključitve in uporabe eZdravja za obvezne uporabnike
1. člen
(predmet urejanja)
Ta pravilnik določa pogoje, roke, način vključitve in uporabe eZdravja za obvezne uporabnike storitev eZdravja.
2. člen
(pomen izrazov)
Izrazi, uporabljeni v tem pravilniku, pomenijo:
1. Informacijski sistem je urejen in organiziran sistem, ki omogoča vnos podatkov in obvezne uporabnike oskrbuje z informacijami za odločanje.
2. Infrastruktura so sredstva, ki zagotavljajo ustrezno delovanje informacijskega sistema.
3. Komunikacijska oprema je oprema, ki omogoča komuniciranje med informacijskimi sistemi, storitvami in drugimi informacijskimi viri.
4. Kvalificirano potrdilo ima enak pomen, kot ga opredeljuje zakon, ki ureja elektronsko poslovanje in elektronski podpis.
5. Omrežni promet je prenos podatkov v računalniških omrežjih.
6. Omrežje obveznega uporabnika vsebuje strojno in programsko komunikacijsko opremo na lokacijah uporabnika (lokalno omrežje) in povezave med njimi (krajevno omrežje), ki omogoča delovanje ostale računalniške opreme izvajalca in povezavo na priključno točko zNET.
7. VPN povezava je navidezno zasebno omrežje, ki omogoča varen prenos podatkov skozi šifriran tunel v okviru javne komunikacijske infrastrukture.
8. Zlonamerna programska oprema je oprema, katere namen je škodljivo vplivati na delovanje informacijskega sistema (npr. virus, črv, stranska vrata, trojanski konj, vohunski program).
9. zNET je zasebno zdravstveno računalniško omrežje, ki ga upravlja Nacionalni inštitut za javno zdravje in ki zagotavlja varne in zanesljive komunikacijske povezave med obveznimi uporabniki, pri čemer ne vključuje lokalnih omrežij obveznih uporabnikov.
3. člen
(zagotavljanje kakovosti infrastrukture)
(1) Za vključitev in uporabo storitev eZdravja obvezni uporabniki zagotavljajo kakovostno informacijsko-komunikacijsko infrastrukturo in izpolnjujejo vse minimalne varnostne zahteve, določene s tem pravilnikom.
(2) Obvezni uporabniki zagotavljajo varovanje svoje informacijsko-komunikacijske infrastrukture z ukrepi, primernimi glede na tveganja.
4. člen
(dostop do storitev eZdravja)
(1) Obvezni uporabniki dostopajo do storitev eZdravja izključno prek omrežja zNET z uporabo strojne in programske komunikacijske opreme, ki jo predpiše in upravlja Nacionalni inštitut za javno zdravje (v nadaljnjem besedilu: NIJZ).
(2) Obvezni uporabniki imajo nameščeno ustrezno različico informacijskega sistema za obdelavo zdravstvene dokumentacije, ki omogoča uporabo storitev eZdravja. Ustreznost različice informacijskega sistema odobri NIJZ.
(3) Obvezni uporabnik storitev eZdravja določi odgovorno osebo za nadzor nad izvajanjem postopkov in ukrepov, določenih s tem pravilnikom, in o tem v 15 dneh po določitvi obvesti NIJZ.
5. člen
(načini vključitve v zNET)
(1) Način vključitve obveznih uporabnikov v zNET je odvisen od tipa uporabnika, ki se določi glede na število zaposlenih, in sicer:
– majhen uporabnik – obvezni uporabnik, ki ima od 1 do 9 zaposlenih;
– srednji uporabnik – obvezni uporabnik, ki ima od 10  do 99 zaposlenih;
– večji uporabnik – obvezni uporabnik, ki ima od 100 do 499 zaposlenih;
– velik uporabnik – obvezni uporabnik z več kot 500 zaposlenimi.
(2) Vključitev obveznih uporabnikov iz prejšnjega odstavka v zNET se izvede v skladu s tehničnimi navodili, ki jih določi NIJZ in ki bodo objavljena na spletni strani NIJZ.
6. člen
(pogoji za oddaljen dostop)
(1) Oddaljen dostop do omrežja obveznega uporabnika se omogoči le tistim zaposlenim pri obveznem uporabniku ali pogodbenem izvajalcu obveznega uporabnika, ki zaradi narave svojega dela nujno potrebuje oddaljen dostop.
(2) Osebe iz prejšnjega odstavka z oddaljenim dostopom dostopajo do lokalnega omrežja prek VPN povezave, ki se zaključuje na požarni pregradi zNET ali požarni pregradi obveznega uporabnika ali drugi opremi obveznega uporabnika s funkcionalnostjo zaključevanja VPN. Za vzpostavitev VPN povezave morajo osebe iz prejšnjega odstavka potrditi istovetnost z enkratnim geslom ali kvalificiranim potrdilom.
(3) Osebe iz prvega odstavka tega člena pri oddaljenem dostopu:
– zagotavljajo varnostne mehanizme, določene v 8. in 9. členu tega pravilnika,
– preprečujejo možnost nepooblaščenega dostopa do notranjega omrežja,
– varujejo podatke pred naključnim in namernim razkritjem drugim neupravičenim osebam,
– zagotavljajo nadzor nad računalniško opremo z vklopljeno VPN povezavo,
– se po uporabi odjavijo iz sistema in
– zagotavljajo, da osebni podatki ne ostanejo shranjeni na delovni postaji.
(4) Oddaljen dostop do informacijskega sistema obveznega uporabnika je omogočen le toliko časa, dokler za to obstaja potreba.
(5) Obvezni uporabnik zagotavlja revizijsko sled oddaljenega dostopanja do omrežja, informacijskih sistemov in podatkov.
7. člen
(pogoji za omogočanje brezžičnega dostopa)
(1) Pri brezžičnem dostopu do omrežja obveznega uporabnika se uporablja sistem stroge avtentikacije (enkratna gesla, uporaba kvalificiranih potrdil ali drugih enakovrednih mehanizmov).
(2) Brezžično omrežje obveznega uporabnika storitev eZdravja, ki omogoča dostop za goste, je ločeno od lokalnega računalniškega omrežja obveznega uporabnika in ne sme omogočati dostopa v omrežje zNET.
(3) Brezžično omrežje obveznega uporabnika storitev eZdravja, ki omogoča dostop do zdravstvenega informacijskega sistema, mora biti varovano na naslednji način:
– radijski vmesnik mora biti šifriran;
– zagotovljeno mora biti prepoznavanje uporabnikov omrežja in
– zagotovljen mora biti nadzor nad dostopnimi točkami (stroga overitev dostopnih točk in ustrezna fizična varnost).
8. člen
(varovanje strojne in programske opreme)
(1) Obvezni uporabnik omogoča uporabo samo certificirane in licencirane opreme. Dostop do strojne in programske opreme je dovoljen le tistim zaposlenim pri obveznem uporabniku ali zunanjim izvajalcem, ki zaradi narave svojega dela nujno potrebujejo dostop.
(2) Obvezni uporabnik določi pooblaščeno osebo, ki odobri:
– nameščanje programske opreme;
– iznos podatkov ali strojne opreme iz prostorov obveznega uporabnika;
– nameščanje ali priključevanje programske in strojne opreme, ki omogoča zajem in analizo omrežnega prometa;
– vzdrževanje, spreminjanje ali popravljanje strojne in programske opreme.
(3) Obvezni uporabnik ustrezno dokumentira namestitve, spremembe in dopolnitve strojne in programske opreme ter spremembe konfiguracij komunikacijske opreme (ID uporabnika, čas dostopa, namen in opis izvedenih sprememb).
(4) Obvezni uporabnik zagotavlja obvezno uporabo rešitev za varovanje pred zlonamerno programsko opremo na vseh strežnikih in delovnih postajah. Ob pojavu zlonamerne programske opreme jo obvezni uporabnik odstrani ter ugotovi in odpravi vzrok pojava.
(5) Varnostni mehanizmi, ki se uporabljajo za zaščito dostopa do kvalificiranih potrdil, s katerimi se dostopa do storitev eZdravja, so:
– kvalificirano potrdilo se hrani na prenosnem mediju (pametni kartici),
– za avtentikacijo se uporablja skrivno geslo,
– skrivno geslo se vpisuje na čitalniku kartic.
(6) Za potrebe obnove računalniškega sistema ob okvarah in ob drugih izjemnih situacijah obvezni uporabnik zagotavlja redno izdelavo varnostnih kopij podatkov. Kopije se hranijo na določenih mestih, ki morajo biti ognjevarna, zavarovana proti poplavam in elektromagnetnim motnjam, v okviru predpisanih klimatskih pogojev in zaklenjena. Vsi vpogledi se beležijo.
9. člen
(uporaba gesel)
(1) Dostop do programske opreme in podatkov se varuje s sistemom gesel za avtorizacijo ter identifikacijo uporabnikov programov in podatkov. Sistem upravljanja z gesli omogoča možnost naknadnega ugotavljanja, kdo in kdaj je obdeloval osebne podatke.
(2) Vsa gesla, ki omogočajo nadzor nad informacijsko- komunikacijsko infrastrukturo ali nadzor sistema upravljanja z gesli, se hranijo v zapečatenih ovojnicah in se jih varuje pred dostopom nepooblaščenih oseb. Uporabi se jih samo v izrednih okoliščinah oziroma ob nujnih primerih. Vsaka uporaba vsebine zapečatenih ovojnic se dokumentira. Po vsaki takšni uporabi se določijo nova gesla.
(3) Splošna pravila pri uporabi gesel:
– za vsako geslo za dostop je odgovorna ena oseba;
– gesla so težko ugotovljiva in imajo vsaj 8 znakov (sestavljena naj bodo iz kombinacije črk (male in velike), številk in posebnih znakov (npr. ()_+|@^#$\));
– uporaba samo črkovnih znakov je prepovedana;
– geslo ni zapisano ali shranjeno na mestu, kjer je lahko dostopno drugim;
– gesla se redno menjajo v določenih časovnih intervalih, vsaj enkrat vsakih šest mesecev;
– spreminjanje gesel je obvezno (kjer je mogoče, naj zamenjavo vsilijo tehnični sistemi);
– začetno geslo ali geslo po vzpostavitvi je začasno in mora biti spremenjeno ob njegovi prvi uporabi;
– začasna gesla je uporabnikom treba pošiljati oziroma izročati na varen način;
– če uporabnik geslo pozabi, mu sistemski skrbnik dodeli novo začasno geslo, ki ga uporabnik spremeni ob prvi prijavi;
– za interne in zunanje sisteme se ne uporablja istega gesla;
– računalnik se po določenem časovnem obdobju neaktivnosti avtomatično zaklene.
(4) Poleg pravil iz prejšnjega odstavka veljajo za gesla za strežniške sisteme in skrbniška gesla naslednja pravila:
– gesla se menjajo najmanj vsakih 60 dni;
– dolžina gesla je najmanj deset znakov;
– prepovedana je uporaba istega gesla za različne sisteme ali aplikacije;
– nabor oseb z dostopom do skrbniških gesel mora biti omejen;
– ob prekinitvi delovnega razmerja se osebi, ki ima dostop do skrbniških gesel, skrbniška gesla takoj zamenjajo.
10. člen
(priloga)
Roki, način vključitve in uporabe storitev eZdravja so v prilogi, ki je sestavni del tega pravilnika.
11. člen
(prehodno obdobje)
(1) Do začetka izvajanja nalog eZdravja na NIJZ minister, pristojen za zdravje, izda tehnična navodila iz drugega odstavka 5. člena tega pravilnika in jih objavi na spletni strani ministrstva, pristojnega za zdravje.
(2) Tehnična navodila iz prejšnjega odstavka minister, pristojen za zdravje, izda ob uveljavitvi tega pravilnika.
12. člen
(začetek veljavnosti)
Ta pravilnik začne veljati naslednji dan po objavi v Uradnem listu Republike Slovenije.
Št. 0070-57/2015/26
Ljubljana, dne 17. septembra 2015
EVA 2015-2711-0026
Milojka Kolar Celarc l.r.
Ministrica
za zdravje
Priloga: Roki, način vključitve in uporabe storitev eZdravja
Informacijska storitev eZdravja
Obvezni uporabnik
Način vključitve in uporabe
Rok za vključitev
Morebitne izjeme
eRecept
Lekarne, ki izdajajo zdravila na recept
prevzemanje elektronskih receptov na vsaj eni delovni postaji v poslovni enoti lekarne
30. september 2015
/
eRecept
Lekarne, ki izdajajo zdravila na recept
prevzemanje elektronskih receptov na vseh delovnih postajah, kjer je omogočeno izdajanje zdravil na recept
Izvajalci zdravstvene dejavnosti po naslednjih območnih enotah Zavoda za zdravstveno zavarovanje Slovenije:
/
OE Murska Sobota
30. september 2015
OE Ravne na Koroškem
4. oktober 2015
OE Celje
6. oktober 2015
OE Krško
7. oktober 2015
OE Koper
9. oktober 2015
OE Nova Gorica
13. oktober 2015
OE Kranj
15. oktober 2015
OE Novo mesto
19. oktober 2015
OE Maribor
21. oktober 2015
OE Ljubljana
24. oktober 2015
eRecept
Izvajalci zdravstvene dejavnosti, ki izvajajo storitve na primarni ravni zdravstvene dejavnosti v mreži javne zdravstvene službe
predpisovanje elektronskih receptov vzporedno s predpisovanjem na papirnatem obrazcu
Izvajalci zdravstvene dejavnosti po naslednjih območnih enotah Zavoda za zdravstveno zavarovanje Slovenije:
/
OE Murska Sobota 
2. oktober 2015
OE Ravne na Koroškem
6. oktober 2015
OE Celje
8. oktober 2015
OE Krško
9. oktober 2015
OE Koper
13. oktober 2015
OE Nova Gorica
15. oktober 2015
OE Kranj
19. oktober 2015
OE Novo mesto
21. oktober 2015
OE Maribor
23. oktober 2015
OE Ljubljana
29. oktober 2015
eRecept
Izvajalci zdravstvene dejavnosti, ki izvajajo storitve na primarni ravni zdravstvene dejavnosti v mreži javne zdravstvene službe
predpisovanje samo elektronskih receptov 
2. november 2015
– za osebno rabo – za nujne recepte
eRecept
Izvajalci zdravstvene dejavnosti, ki izvajajo storitve na sekundarni in terciarni ravni zdravstvene dejavnosti v mreži javne zdravstvene službe
predpisovanje samo elektronskih receptov pri predpisovanju zdravil na recept
1. februar 2016
– za osebno rabo – za nujne recepte
eNaročanje
Izvajalci zdravstvene dejavnosti, ki izvajajo storitve na sekundarni in terciarni ravni zdravstvene dejavnosti v mreži javne zdravstvene službe 
– poročanje o čakalnih dobah v nacionalni čakalni seznam – poročanje o prvih prostih terminih – omogočanje eNaročanja – posredovanje fizičnih napotnic v elektronski obliki
31. december 2015
/
eNaročanje
Izvajalci zdravstvene dejavnosti, ki izvajajo storitve na primarni ravni zdravstvene dejavnosti v mreži javne zdravstvene službe
– naročanje pacientov – izdelava eNapotnic za napotitev na sekundarno in terciarno raven zdravstvene dejavnosti
15. marec 2016
– v primeru drugačne želje pacienta
eNaročanje
Izvajalci zdravstvene dejavnosti, ki izvajajo storitve na sekundarni in terciarni ravni zdravstvene dejavnosti v mreži javne zdravstvene službe
– izdelava eNapotnic za napotitev na sekundarno in terciarno raven zdravstvene dejavnosti v okviru zdravstvenega stanja, za katerega je bil pacient napoten – naročanje pacientov na zdravstvene storitve, na katere so napoteni
15. marec 2016
– v primeru drugačne želje pacienta
CRPP
Izvajalci zdravstvene dejavnosti v mreži javne zdravstvene službe 
– avtomatizirano pošiljanje vseh dokumentov, ki jih s pravilnikom predpiše minister – pregled dostopnih dokumentov v CRPP
1. december 2015
/
CRPP – povzetek podatkov o pacientih
Izvajalci zdravstvene dejavnosti v mreži javne zdravstvene službe
objava in pridobivanje povzetka podatkov o pacientih 
1. april 2016
/
eKomunikacije
Izvajalci zdravstvene dejavnosti v mreži javne zdravstvene službe
avtomatizirano pošiljanje prijavnega obrazca
z dnem uveljavitve pravilnika
/
Evidenca teleradioloških preiskav
Izvajalci zdravstvene dejavnosti v mreži javne zdravstvene službe
posredovanje in sprejemanje digitaliziranega radiološkega gradiva
1. november 2015
/

AAA Zlata odličnost