Izvješće o provedenom savjetovanju - Savjetovanje o Nacrtu pravilnika o načinu obrade zdravstvenih i drugih osobnih podataka u zdravstvenim nacionalnim i institucionalnim informacijskim sustavima u zdravstvu, načinu čuvanja i zaštite zdravstvenih podataka i izrade zdravstvenih pokazatelja, standardiziranim obrascima te registrima i evidencijama u zdravstvu
|
Redni broj
|
Komentar | Odgovor | |||
|---|---|---|---|---|---|
| 1 | KARMEN LONČAREK | PRAVILNIK O NAČINU OBRADE ZDRAVSTVENIH I DRUGIH OSOBNIH PODATAKA U ZDRAVSTVENIM NACIONALNIM I INSTITUCIONALNIM INFORMACIJSKIM SUSTAVIMA U ZDRAVSTVU, NAČINU ČUVANJA I ZAŠTITE ZDRAVSTVENIH PODATAKA I IZRADE ZDRAVSTVENIH POKAZATELJA, STANDARDIZIRANIM OBRASCIMA TE REGISTRIMA I EVIDENCIJAMA U ZDRAVSTVU, Članak 6. | Iza stavka 2. dodati: "(3) Mehanizmi čuvanja i zaštite podataka ne smiju umanjivati dostupnost niti usporavati pružanje zdravstvene zaštite." Obrazloženje primjerom: Iz prakse znamo da se ponekad zbog straha od kršenja GDPR-a ne prenose bitni podaci o pacijentima zbog čega im se onda ne pruži adekvatna skrb. | Nije prihvaćen | Načelo dostupnosti i zaštite zdravstvenih podataka i informacija (članak 10. Zakona o podacima i informacijama u zdravstvu, "Narodne novine", broj 14/19) tek je jedno od načela slijedom kojih je obavezno provoditi prikupljanje, korištenje i obradu zdravstvenih podataka i informacija, sukladno članku 4. predmetnoga Zakona, odnosno navedeno je već obuhvaćeno Zakonom. |
| 2 | TOMISLAV GRGURINA | PRAVILNIK O NAČINU OBRADE ZDRAVSTVENIH I DRUGIH OSOBNIH PODATAKA U ZDRAVSTVENIM NACIONALNIM I INSTITUCIONALNIM INFORMACIJSKIM SUSTAVIMA U ZDRAVSTVU, NAČINU ČUVANJA I ZAŠTITE ZDRAVSTVENIH PODATAKA I IZRADE ZDRAVSTVENIH POKAZATELJA, STANDARDIZIRANIM OBRASCIMA TE REGISTRIMA I EVIDENCIJAMA U ZDRAVSTVU, Članak 7. | Predložene izmjene Članka 7. pružaju jasnije definiran okvir sigurnosnih mjera u skladu s najvišim standardima zaštite podataka. Preciziranje upotrebe suvremenih kriptografskih standarda i tehnologija za praćenje te zahtjev za automatiziranom obnovom dostupnosti podataka u slučaju incidenta osiguravaju veću otpornost sustava. Uvođenjem obveznog plana kontinuiteta poslovanja te sveobuhvatnog procesa testiranja i revizije povećava se učinkovitost sigurnosnih mjera, smanjuje rizik od sigurnosnih propusta i osigurava trajna zaštita podataka. Predlažem ovaj tekst Čl. 7.: „Članak 7. Sustavi pohrane i standardizirane obrade zdravstvenih i drugih osobnih podataka moraju primjenjivati odgovarajuće tehničke i organizacijske mjere kako bi se osigurala razina sigurnosti koja odgovara identificiranim rizicima, a osobito sljedeće mjere: pseudonimizaciju i enkripciju osobnih podataka, uz obvezno korištenje suvremenih kriptografskih standarda za zaštitu osjetljivih podataka u mirovanju i prilikom prijenosa, osiguravanje trajne povjerljivosti, cjelovitosti, dostupnosti i otpornosti sustava obrade, uključujući upotrebu naprednih tehnologija za praćenje i prevenciju sigurnosnih incidenata, pravodobnu i automatiziranu ponovnu uspostavu dostupnosti osobnih podataka i pristupa njima u slučaju fizičkog ili tehničkog incidenta, uz obvezan plan kontinuiteta poslovanja i oporavka u kriznim situacijama, redoviti i sveobuhvatni proces testiranja, ocjenjivanja i procjenjivanja učinkovitosti tehničkih i organizacijskih mjera za osiguranje sigurnosti obrade, koji uključuje periodične revizije, penetracijska testiranja i ocjene rizika u skladu s važećim standardima i najboljim praksama.“ | Djelomično prihvaćen | S obzirom da je kibernetička sigurnost obuhvaćena nizom propisa koji transponiraju NIS2 direktivu u nacionalno zakonodavstvo, članak 7. će biti dopunjen na sljedeći način: Sustavi pohrane i standardizirane obrade zdravstvenih i drugih osobnih podataka sadrže odgovarajuće tehničke i organizacijske mjere, u skladu s propisima kojima se uređuje kibernetička sigurnost, kako bi se osigurala razina sigurnosti koja je odgovarajuća stupnju rizika, a osobito mjere: 1. pseudonimizaciju i enkripciju osobnih podataka 2. osiguravanje trajne povjerljivosti, cjelovitosti, dostupnosti i otpornosti sustava obrade 3. pravodobna ponovna uspostava dostupnosti osobnih podataka i pristupa njima u slučaju fizičkog ili tehničkog incidenta 4. proces redovnog testiranja, ocjenjivanja i procjenjivanja učinkovitosti tehničkih i organizacijskih mjera za osiguravanje sigurnosti obrade. |
| 3 | IVICA ŽUPAN | PRAVILNIK O NAČINU OBRADE ZDRAVSTVENIH I DRUGIH OSOBNIH PODATAKA U ZDRAVSTVENIM NACIONALNIM I INSTITUCIONALNIM INFORMACIJSKIM SUSTAVIMA U ZDRAVSTVU, NAČINU ČUVANJA I ZAŠTITE ZDRAVSTVENIH PODATAKA I IZRADE ZDRAVSTVENIH POKAZATELJA, STANDARDIZIRANIM OBRASCIMA TE REGISTRIMA I EVIDENCIJAMA U ZDRAVSTVU, Članak 8. | HRVATSKA KOMORA MEDICINSKIH BIOKEMIČARA: Postoje zdravstveni podaci, kao što su npr. laboratorijski nalazi, koji se generiraju izvan sustava koji su umreženi i pohranjuju na vanjske jedinice koje služe kao backup i arhiva u slučaju pada sustava. Onemogućavanje ovog načina pohrane može uzrokovati gubitak takvih podataka i ugroziti njihovu dostupnost što može imati posljedice za sigurnost pacijenata. Stoga je važno omogućiti i regulirati izradu sigurnosnih kopija zdravstvenih podataka. | Prihvaćen | Prihvaćen. |
| 4 | WERXE DRUŠTVO S OGRANIČENOM ODGOVORNOŠĆU ZA INFORMACIJSKE TEHNOLOGIJE | PRAVILNIK O NAČINU OBRADE ZDRAVSTVENIH I DRUGIH OSOBNIH PODATAKA U ZDRAVSTVENIM NACIONALNIM I INSTITUCIONALNIM INFORMACIJSKIM SUSTAVIMA U ZDRAVSTVU, NAČINU ČUVANJA I ZAŠTITE ZDRAVSTVENIH PODATAKA I IZRADE ZDRAVSTVENIH POKAZATELJA, STANDARDIZIRANIM OBRASCIMA TE REGISTRIMA I EVIDENCIJAMA U ZDRAVSTVU, Članak 8. | Predložene mjere u članku 8. mogle bi se unaprijediti integracijom preporuka Centra za kibernetičku sigurnost, koje su dostupne na poveznici https://www.skaut.hr/assets/Prioritetne_preporuke_za_zastitu_od_kibernetickih_napada.pdf. Neke od ključnih preporuka su: - Preciznije definiranje zahtjeva za autentifikaciju, kao što je uvođenje multifaktorske autentifikacije. - Uspostavljanje redovitog procesa izrade pričuvnih kopija podataka (backup) i provjere njihove funkcionalnosti, čime bi se osigurala minimalna razina otpornosti sustava. To je posebno važno s obzirom na trenutne poteškoće s pohranom i razmjenom određenih podataka putem CEZIH-a, primjerice radioloških snimaka. Napominje se da zabrana pohrane podataka na vanjske medije (USB, CD, vanjski disk i sl.) do implementacije odgovarajućeg tehničkog rješenja može predstavljati izazov u praksi. Naime, pacijenti često primaju snimke većeg podatkovnog obujma na spomenutim medijima, koji omogućuju sigurnu i praktičnu razmjenu takvih podataka između ustanova, posredstvom pacijenta. Osim za korisnike sustava, predlaže se razmotriti postavljanje minimalnih sigurnosnih zahtjeva za identifikaciju i autentifikaciju osoba iz članka 9. pravilnika koje imaju administracijske ovlasti u sustavu. Članci 9., 24. i 25. GDPR-a postavljaju visoke standarde sigurnosti pristupa zdravstvenim podacima. Osobe s administracijskim pristupom predstavljaju visoko vrijedne mete za napadače, stoga bi autentifikacija trebala uključivati multifaktorsku autentifikaciju te složenije zahtjeve za lozinku u odnosu na korisnike sustava. Članak 5., stavak 2. GDPR-a nalaže da voditelji obrade, odnosno zdravstvene ustanove, odgovorno biraju i kontroliraju usklađenost korištenih softverskih rješenja s GDPR zahtjevima. Ako bi se ovakvi zahtjevi uvrstili u organizacijske i tehničke mjere ovog pravilnika, pružatelji softverskih rješenja morali bi ih primijeniti u svoja rješenja i prakse. Bez tih zahtjeva, u praksi bi se, prema preporukama Centra za kibernetičku sigurnost, mogla pojaviti rješenja s jedinstvenim korisničkim računom “administrator,” što bi predstavljalo visoki sigurnosni rizik. Predlaže se razmotriti i dodavanje specifičnih mjera iz Priloga II. Prijedloga uredbe o europskom prostoru za zdravstvene podatke, kao što su: 3.4 – obvezno vođenje evidencije događaja u informacijskom sustavu za korisnike i druge osobe s pravom pristupa u navedenom opsegu uz definiranje minimalnih rokova čuvanja zapisa. 3.9 – zahtjevi za minimalnu razinu identifikacije osoba s pravom pristupa. Ove dodatne mjere mogle bi doprinijeti većoj sigurnosti i otpornosti sustava u kontekstu zdravstvenih podataka. | Djelomično prihvaćen | Članak 8. točka 1. mijenja se i glasi: Obvezne tehničke i organizacijske mjere sigurnosti u sustavima pohrane i standardizirane obrade zdravstvenih i drugih osobnih podataka su: - zdravstveni i drugi osobni podaci se ne smiju pohranjivati na vanjske medije (USB, CD/DVD, vanjski disk, trake itd.), osim u sklopu propisanih procedura stvaranja sigurnosnih pričuvnih pohrana podataka Članak 8. točka 2. mijenja se i glasi: - jedinstveno korisničko ime i zaporku za pristup središnjem sustavu sa štićenog mjesta može koristiti samo ovlaštena osoba za obradu Članak 8. točka 3. mijenja se i glasi: - obvezne su primjerene mjere fizičke sigurnosti u službenim prostorijama, u kojima se nalaze uređaji i sustavi koji se koriste za obradu osobnih podataka, koji su dostupni samo ovlaštenim osobama za obradu Članak 8. točka 8. mijenja se i glasi: - obvezno je korištenje samo ovlaštenog i licenciranog softvera ili softvera sa slobodno dostupnim izvornim kôdom na radnim stanicama te prijenosnim i pokretnim uređajima Članak 8. točka 12. mijenja se i glasi: - obvezno je osigurati pristup samo onih korisnika sustava koji se temelji na korisničkim ulogama, autentifikaciji i autorizaciji uz primjenu revizijskih zapisa za sve aktivnosti u sustavu. |
| 5 | FEODORA STIPOLJEV | PRAVILNIK O NAČINU OBRADE ZDRAVSTVENIH I DRUGIH OSOBNIH PODATAKA U ZDRAVSTVENIM NACIONALNIM I INSTITUCIONALNIM INFORMACIJSKIM SUSTAVIMA U ZDRAVSTVU, NAČINU ČUVANJA I ZAŠTITE ZDRAVSTVENIH PODATAKA I IZRADE ZDRAVSTVENIH POKAZATELJA, STANDARDIZIRANIM OBRASCIMA TE REGISTRIMA I EVIDENCIJAMA U ZDRAVSTVU, Članak 8. | Traži se izmjena članka 8. koja se tiče stavke 1 koja se odnosi da se zdravstveni i drugi osobni podaci ne smiju pohranjivati na vanjske medije (USB, CD, vanjski disk itd.). Zdravstveni podaci se trenutno pohranjuju na vanjske jedinice bez pristupa mreže koje služe kao back up i arhiva u slučaju pada sistema ili hakerskog napada. Onemogućavanje ovog načina pohrane bi ugrozilo zdravstvene podatke pacijenata. | Prihvaćen | Prihvaćen. |
| 6 | VEGASOFT INFORMATIKA I USLUGE, DRUŠTVO S OGRANIČENOM ODGOVORNOŠĆU | PRAVILNIK O NAČINU OBRADE ZDRAVSTVENIH I DRUGIH OSOBNIH PODATAKA U ZDRAVSTVENIM NACIONALNIM I INSTITUCIONALNIM INFORMACIJSKIM SUSTAVIMA U ZDRAVSTVU, NAČINU ČUVANJA I ZAŠTITE ZDRAVSTVENIH PODATAKA I IZRADE ZDRAVSTVENIH POKAZATELJA, STANDARDIZIRANIM OBRASCIMA TE REGISTRIMA I EVIDENCIJAMA U ZDRAVSTVU, Članak 8. | Prilikom definiranja obveznih tehničkih i organizacijskih mjera sigurnosti potrebno je voditi računa i o tome da osobe koje vrše obradu nisu samo administratori i bazaši unutar strogo štićenog središnjeg dijela sustava. Korisnici CEZIH-a su i liječnici, medicinske sestre, kao i administrativno osoblje u ambulantama, mobilnim puktovima i drugdje. Potrebno je prilikom definiranja zahtjeva voditi računa i o praktičnim mogućnostima implementacije svih ovih zahtijeva na svim pristupnim mjestima. Zabrana pohrane podataka na vanjski medij (USB, CD, vanjski disk) - ovo zapravo onemogućuje izradu sigurnosnih kopija (backupa) računala na kojem se nalaze medicinski podaci ili oprema za pristup istima, a takva zabrana vrijedi i slučaju kada su te arhive kriptografski zaštićene. Nisu svi medicinski podaci u podatkovnom centru. Medicinski podatak je i PDF na računalu sestre na pultu ambulante. To računalo treba backupirati, a to se radi na vanjski medij (USB ili vanjski disk). Ovim pravilnikom bi to bilo onemogućeno. Navedeno je potrebno ukloniti iz pravilnika, jer u koliziji sa obvezom izrade sigurnosnih kopija podataka. Ili definirati da se to odnosi samo na podatke u štićenim središnjim mjestima (CEZIH G1, NAJS, eHZZO i slično što je podatkovnom centru - ne i računalo u ambulanti). Podsjećamo također da "vanjski medij" uključuje i trake. Trake se koriste za air-gapped kopije podataka, koje su jedan od načina osiguravanja dostupnosti podataka i nakon ransom/crypto napada. Ovim pravilnikom onemogućeno je korištenje traki. Optički mediji su pak otporni na elektromagnetske smetnje, te ih netko može koristiti za stvaranje dodatnih kopija koje su otporne na to. Ovaj pravilnik to sprečava. Predlažemo stavku ukloniti, jer izrazito negativno utječe na sposobnost osiguravanja sigurnosnih kopija podataka i ne vidimo da donosi ikakvu korist. Medicinski podaci se ne smiju dijeliti, ali to nećemo spriječiti zabranom upotrebe podatkovnih medija (i papir je podatkovni medij, pa njegovo korištenje nije zabranjeno). Fizičke mjere sigurnosti potrebno je ograničiti na mjesta gdje su prikladna i gdje se mogu adekvatno implementirati (središnji dijelovi sustava, podatkovni centri, server sale). Ne ih pritom učiniti obveznima za radne stanice u ambulanti. Na koji način će ordinacija osigurati fizičke mjere sigurnosti za računalo na pultu Ili laptop na cijepnom punktu ili mobilnoj stanici u vozilu, kućnoj posjeti i slično ? Predlažem promijeniti da se fizičke mjere sigurnosti odnose na središnje sustave, ne i na sva klijentska pristupna računala. Promijeniti definiciju zaporki. Zaporke nisu jedino, niti će u skoroj budućnosti biti primarno, sredstvo zaštite i kontrole pristupa. Danas je trend "passwordless" autentikacija, biometrika, FIDO ključevi, itd, pored smartica. Točka 7 pretpostavlja obveznu primjenu zaporki. Dio sustava već i sada ne koristi zaporke uopće (koristi pametne kartice ili druge metode koje su naprednije od zaporki) međutim pravilnik ovdje zapravo izričito traži da se koriste zaporke. Predlažemo napisati da je zaporka obvezna samo u slučaju ako kontrola pristupa nije već osigurana jačom/modernijom tehnologijom. Također, duljina zaporki od 16 znakova uz kombinaciju velikih i malih slova, te specijalnih znakova - a posebno ideja učestalih promjena zaporki - u praksi se pokazala kao potpuni promašaj. Predlažemo da se definicija kompleksnosti zaporke (samo u slučaju kada se zaporka koristi kao sredstvo zaštite) pravilnikom uopće ne definira, a osobito savjetujemo NE definirati potrebu za učestalom promjenom zaporke - u praksi to zapravo znači da je korisnik ima zaporku zapisanu na papiriću pored monitora. Zaporke koje su kompleksne ali se ne mijenjaju pokazale su se bitno sigurnijima od zaporki koje se često mijenjaju (ove druge ljudi ne mogu pamtiti, pa ih redovno zapisuju na papiriće, što je pak sigurnosna katastrofa). Preporučamo revidirati pravila oko zaporki, odnosno iz pravilnika u potpunosti ukloniti definiciju kompleksnosti. Predlažemo konzultacije sa IT stručnjacima koji žive "na terenu" oko ove teme - ovakve definicije zaporki su zastarjele, nisu u skladu sa današnjim spoznajama, te po sigurnost podataka donose više štete nego koristi. | Djelomično prihvaćen | Članak 8. točka 1. mijenja se i glasi: Obvezne tehničke i organizacijske mjere sigurnosti u sustavima pohrane i standardizirane obrade zdravstvenih i drugih osobnih podataka su: - zdravstveni i drugi osobni podaci se ne smiju pohranjivati na vanjske medije (USB, CD/DVD, vanjski disk, trake itd.), osim u sklopu propisanih procedura stvaranja sigurnosnih pričuvnih pohrana podataka Članak 8. točka 2. mijenja se i glasi: - jedinstveno korisničko ime i zaporku za pristup središnjem sustavu sa štićenog mjesta može koristiti samo ovlaštena osoba za obradu Članak 8. točka 3. mijenja se i glasi: - obvezne su primjerene mjere fizičke sigurnosti u službenim prostorijama, u kojima se nalaze uređaji i sustavi koji se koriste za obradu osobnih podataka, koji su dostupni samo ovlaštenim osobama za obradu Članak 8. točka 8. mijenja se i glasi: - obvezno je korištenje samo ovlaštenog i licenciranog softvera ili softvera sa slobodno dostupnim izvornim kôdom na radnim stanicama te prijenosnim i pokretnim uređajima Članak 8. točka 12. mijenja se i glasi: - obvezno je osigurati pristup samo onih korisnika sustava koji se temelji na korisničkim ulogama, autentifikaciji i autorizaciji uz primjenu revizijskih zapisa za sve aktivnosti u sustavu. |
| 7 | TOMISLAV GRGURINA | PRAVILNIK O NAČINU OBRADE ZDRAVSTVENIH I DRUGIH OSOBNIH PODATAKA U ZDRAVSTVENIM NACIONALNIM I INSTITUCIONALNIM INFORMACIJSKIM SUSTAVIMA U ZDRAVSTVU, NAČINU ČUVANJA I ZAŠTITE ZDRAVSTVENIH PODATAKA I IZRADE ZDRAVSTVENIH POKAZATELJA, STANDARDIZIRANIM OBRASCIMA TE REGISTRIMA I EVIDENCIJAMA U ZDRAVSTVU, Članak 8. | Predložene izmjene Članka 8. donose dodatne mjere koje reflektiraju suvremene sigurnosne zahtjeve i najbolje prakse u zaštiti osobnih podataka, s posebnim naglaskom na osiguravanje integriteta, povjerljivosti i dostupnosti zdravstvenih podataka. Ovi prijedlozi uključuju korištenje naprednih kriptografskih metoda za pohranu i prijenos podataka, primjenu sustava za sprječavanje gubitka podataka (DLP), kao i obvezne mehanizme poput dvofaktorske autentifikacije, revizijskih zapisa te strožih pravila o brisanju podataka prije otpisa opreme. Uključivanjem ovih mjera u formalne zahtjeve pravilnika, smanjujemo rizik od povrede podataka i osiguravamo usklađenost s GDPR-om i važećim standardima informacijske sigurnosti. Predlažem ovaj tekst Čl. 8.: „Članak 8. Obvezne tehničke i organizacijske mjere sigurnosti u sustavima pohrane i standardizirane obrade zdravstvenih i drugih osobnih podataka su: Zdravstveni i drugi osobni podaci ne smiju se pohranjivati na vanjske medije (USB, CD, vanjski disk, cloud servisi izvan suvereniteta Republike Hrvatske ili bez izričite dozvole voditelja obrade), osim ako su ti mediji kriptirani primjenom naprednih kriptografskih algoritama (minimalno AES-256). Jedinstveno korisničko ime i zaporku može koristiti samo ovlaštena osoba za obradu, uz obvezu dvofaktorske autentifikacije (2FA) pri svakom pristupu sustavima koji sadrže osobne podatke. Obvezne su mjere fizičke sigurnosti u službenim prostorijama, u kojima se nalaze uređaji i sustavi za obradu osobnih podataka. Pristup tim prostorijama dopušten je samo ovlaštenim osobama putem biometrijske autentifikacije ili drugih naprednih sustava kontrole pristupa. Obvezno je redovito ažuriranje svih računala, uključujući prijenosne i pokretne uređaje, putem sigurnosnih nadogradnji od strane proizvođača operacijskog sustava, aplikacija ili programske podrške. Osim toga, ažuriranja moraju biti centralno upravljana putem automatiziranog sustava upravljanja zakrpama (patch management) kako bi se smanjio rizik od ranjivosti. Obvezno je uspostaviti prikladne mehanizme za zaštitu elektroničke pošte i poslovnih aplikacija od neovlaštenog pristupa, uz primjenu mehanizama za filtriranje zlonamjernih priloga i hiperveza te obveznog skeniranja poruka pomoću sustava za otkrivanje prijetnji (threat intelligence). Obvezno je uspostaviti sustav jedinstvene identifikacije, autentifikacije i autorizacije korisnika na svim uređajima i sustavima za obradu osobnih podataka, uz obvezu primjene revizijskih zapisa koji omogućuju jednoznačno praćenje aktivnosti svakog pojedinog korisnika i zaštitu integriteta zapisa. Obvezno je koristiti snažne zaporke visoke razine sigurnosti (od najmanje 16 znakova, sastavljene od kombinacije velikih i malih slova, brojki i interpunkcijskih znakova) uz redovitu promjenu zaporki svakih 90 dana te zabranu ponovne uporabe prethodnih zaporki. Obvezno je korištenje isključivo ovlaštenog i licenciranog softvera na radnim stanicama, prijenosnim i pokretnim uređajima, uz obveznu provjeru integriteta softvera prije instalacije na uređaje. Obvezno je uspostaviti napredni antivirusni sustav na svim radnim stanicama, prijenosnim i pokretnim uređajima, koji mora biti stalno aktivan, centralno upravljan i redovito ažuriran sukladno najnovijim preporukama proizvođača. Poslodavac je dužan uspostaviti proceduru koja uključuje tehnologije za sprječavanje neovlaštenog iznošenja podataka (Data Loss Prevention – DLP) kako bi se onemogućio prijenos ili iznošenje podataka izvan službenih prostorija, putem fizičkih medija ili komunikacijskih mreža, bez odgovarajućeg odobrenja. Prije otpisa i ekološkog zbrinjavanja računala i računalne opreme obvezno je trajno i nepovratno brisanje svih podataka primjenom naprednih alata za sigurno brisanje (u skladu s NIST 800-88 standardom) ili fizičkim uništenjem medija za pohranu podataka. Obvezno je odmah onemogućiti pristup prostorijama, opremi i sustavima svim osobama koje su obavljale obradu osobnih podataka, bez odgađanja nakon prestanka ugovornog odnosa, uz obvezno dokumentiranje postupka povlačenja pristupa. Pristup sustavu mora biti ograničen na korisnike temeljem njihovih korisničkih uloga i autorizacije, uz obveznu primjenu revizijskih zapisa za sve aktivnosti u sustavu, koji se moraju čuvati najmanje pet godina. Obvezna je primjena enkripcije osobnih podataka naprednim kriptografskim metodama (npr. AES-256) kako bi se onemogućio neovlašten pristup podacima prilikom prijenosa i pohrane, uz centralno upravljan sustav za upravljanje kriptografskim ključevima. Pristup osobnim podacima dopušten je isključivo ovlaštenim osobama za obradu na osnovu primjene kriptografskih mjera i u skladu s pravilnicima o zaštiti osobnih podataka.“ | Djelomično prihvaćen | Članak 8. točka 1. mijenja se i glasi: Obvezne tehničke i organizacijske mjere sigurnosti u sustavima pohrane i standardizirane obrade zdravstvenih i drugih osobnih podataka su: - zdravstveni i drugi osobni podaci se ne smiju pohranjivati na vanjske medije (USB, CD/DVD, vanjski disk, trake itd.), osim u sklopu propisanih procedura stvaranja sigurnosnih pričuvnih pohrana podataka Članak 8. točka 2. mijenja se i glasi: - jedinstveno korisničko ime i zaporku za pristup središnjem sustavu sa štićenog mjesta može koristiti samo ovlaštena osoba za obradu Članak 8. točka 3. mijenja se i glasi: - obvezne su primjerene mjere fizičke sigurnosti u službenim prostorijama, u kojima se nalaze uređaji i sustavi koji se koriste za obradu osobnih podataka, koji su dostupni samo ovlaštenim osobama za obradu Članak 8. točka 8. mijenja se i glasi: - obvezno je korištenje samo ovlaštenog i licenciranog softvera ili softvera sa slobodno dostupnim izvornim kôdom na radnim stanicama te prijenosnim i pokretnim uređajima Članak 8. točka 12. mijenja se i glasi: - obvezno je osigurati pristup samo onih korisnika sustava koji se temelji na korisničkim ulogama, autentifikaciji i autorizaciji uz primjenu revizijskih zapisa za sve aktivnosti u sustavu. |
| 8 | IVICA ŽUPAN | PRAVILNIK O NAČINU OBRADE ZDRAVSTVENIH I DRUGIH OSOBNIH PODATAKA U ZDRAVSTVENIM NACIONALNIM I INSTITUCIONALNIM INFORMACIJSKIM SUSTAVIMA U ZDRAVSTVU, NAČINU ČUVANJA I ZAŠTITE ZDRAVSTVENIH PODATAKA I IZRADE ZDRAVSTVENIH POKAZATELJA, STANDARDIZIRANIM OBRASCIMA TE REGISTRIMA I EVIDENCIJAMA U ZDRAVSTVU, Članak 9. | HRVATSKA KOMORA MEDICINSKIH BIOKEMIČARA: Pružatelji programske podrške obvezni su poduzeti sve potrebne mjere kako bi osigurali povjerljivost i dostupnost podataka. Jako je važno osigurati dostupnost podataka vlasnicima podataka, a to su zdravstvene ustanove u kojima su medicinski podaci generirani i sami pacijenti, odnosno njihovi skrbnici, i nakon promjene pružatelja programske podrške. Ne smije se dogoditi da prestankom ugovora o suradnji s pružateljem programske podrške ne bude moguć pristup do tada stvorenim bazama laboratorijskih podataka, npr. laboratorijskim nalazima. Pristup zdravstvenoj dokumentaciji imaju i pružatelji drugih usluga u zdravtvenoj djelatnosti. Bilo bi potrebno u članku regulirati i sigurnost udaljenih pristupa servisera i aplikacijskih stručnjaka partnerskih tvrtki mjernim laboratorijskim i drugim medicinskim uređajima, koji generiraju medicinske podatke te stoga mogu sadržavati osobne podatke pacijenata. To je napose izraženo u području laboratorijske medicine gdje se udaljenim pristupom može servisirati i unaprijeđivati rad analitičkih uređaja koji također pohranjuju na duže vrijeme rezultate laboratorijskih pretraga s osobnim podacima pacijenata. Stoga bi serviseri i aplikacijski stručnjaci, odnosno partnerske tvrtke morale biti ugovorni partneri pružatelja zdravstvenih usluga te je važno regulirati način njihovog povezivanja u mrežu i pristup medicinskim uređajima, odnosno regulirati obvezu zaštite medicinskih i osobnih podataka koji im mogu biti vidljivi prilikom intervencija na mjernim sustavima i pratećoj programskoj potpori (software pojedinih uređaja, midleware integriranih laboratorijskih sustava). | Djelomično prihvaćen | Članak 9. mijenja se i glasi: (1) U obradi podataka, odnosno zdravstvene dokumentacije, sudjeluju pružatelji programske podrške u dijelovima informacijskih sustava i druge osobe ovlaštene za pristup sustavu. (2) Pružatelji programske podrške obvezni su trajno čuvati povjerljivost osobnih podataka koje doznaju u okviru obavljanja svog posla i nakon prestanka rada u sustavima, bez vremenskog ograničenja i u skladu s propisima koji uređuju zaštitu podataka. (3) Pružatelji programske podrške obvezni su poduzeti sve potrebne tehničke i organizacijske mjere kako bi osigurali povjerljivost, integritet i dostupnost podataka te spriječili neovlaštenu obradu ili bilo kakvu zlouporabu podataka u sustavu. |
| 9 | WERXE DRUŠTVO S OGRANIČENOM ODGOVORNOŠĆU ZA INFORMACIJSKE TEHNOLOGIJE | PRAVILNIK O NAČINU OBRADE ZDRAVSTVENIH I DRUGIH OSOBNIH PODATAKA U ZDRAVSTVENIM NACIONALNIM I INSTITUCIONALNIM INFORMACIJSKIM SUSTAVIMA U ZDRAVSTVU, NAČINU ČUVANJA I ZAŠTITE ZDRAVSTVENIH PODATAKA I IZRADE ZDRAVSTVENIH POKAZATELJA, STANDARDIZIRANIM OBRASCIMA TE REGISTRIMA I EVIDENCIJAMA U ZDRAVSTVU, Članak 9. | Predlažemo usklađivanje formulacije: “trajno čuvati sve osobne podatke.”, sa formulacijom iz članka 32. Zakona o podacima i informacijama u zdravstvu: “trajno čuvati povjerljivost osobnih podataka”. | Prihvaćen | Prihvaćen. |
| 10 | TOMISLAV GRGURINA | PRAVILNIK O NAČINU OBRADE ZDRAVSTVENIH I DRUGIH OSOBNIH PODATAKA U ZDRAVSTVENIM NACIONALNIM I INSTITUCIONALNIM INFORMACIJSKIM SUSTAVIMA U ZDRAVSTVU, NAČINU ČUVANJA I ZAŠTITE ZDRAVSTVENIH PODATAKA I IZRADE ZDRAVSTVENIH POKAZATELJA, STANDARDIZIRANIM OBRASCIMA TE REGISTRIMA I EVIDENCIJAMA U ZDRAVSTVU, Članak 9. | Predložene izmjene Članka 9. dodatno preciziraju odgovornosti pružatelja programske podrške i drugih osoba s pristupom sustavu, čime se osigurava jasnija podjela uloga i obveza vezanih uz zaštitu podataka. Uneseni su zahtjevi za tehničkim i organizacijskim mjerama koje pružatelji moraju primijeniti kako bi osigurali povjerljivost, integritet i dostupnost podataka, što doprinosi usklađenosti sa standardima informacijske sigurnosti i GDPR-om. Uvođenjem obveze čuvanja povjerljivosti bez vremenskog ograničenja jača se pravna zaštita podataka, smanjuje rizik od neovlaštenih pristupa te osigurava zaštita podataka i nakon završetka radnog odnosa. Predlažem ovaj tekst Čl. 9.: „Članak 9. (1) U postupku obrade osobnih podataka i zdravstvene dokumentacije sudjeluju pružatelji programske podrške u dijelovima informacijskih sustava, kao i druge osobe koje su na temelju svojih ovlasti i odgovarajućih pristupnih prava osposobljene i autorizirane za rad u sustavu. (2) Pružatelji programske podrške, kao i sve osobe koje u okviru svojih poslova dolaze u doticaj s osobnim podacima, obvezni su trajno i povjerljivo čuvati sve osobne podatke koji su im dostupni prilikom izvršavanja svojih radnih zadaća, a obveza povjerljivosti traje i nakon prestanka rada u sustavima, bez vremenskog ograničenja i uz poštovanje svih važećih zakonskih propisa o zaštiti osobnih podataka. (3) Pružatelji programske podrške obvezni su poduzeti sve potrebne tehničke i organizacijske mjere kako bi osigurali povjerljivost, integritet i dostupnost podataka te spriječili neovlašteni pristup, promjenu, brisanje ili bilo kakvu zlouporabu podataka u sustavu.“ | Djelomično prihvaćen | Članak 9. mijenja se i glasi: (1) U obradi podataka, odnosno zdravstvene dokumentacije, sudjeluju pružatelji programske podrške u dijelovima informacijskih sustava i druge osobe ovlaštene za pristup sustavu. (2) Pružatelji programske podrške obvezni su trajno čuvati povjerljivost osobnih podataka koje doznaju u okviru obavljanja svog posla i nakon prestanka rada u sustavima, bez vremenskog ograničenja i u skladu s propisima koji uređuju zaštitu podataka. (3) Pružatelji programske podrške obvezni su poduzeti sve potrebne tehničke i organizacijske mjere kako bi osigurali povjerljivost, integritet i dostupnost podataka te spriječili neovlaštenu obradu ili bilo kakvu zlouporabu podataka u sustavu. |
| 11 | TOMISLAV GRGURINA | PRAVILNIK O NAČINU OBRADE ZDRAVSTVENIH I DRUGIH OSOBNIH PODATAKA U ZDRAVSTVENIM NACIONALNIM I INSTITUCIONALNIM INFORMACIJSKIM SUSTAVIMA U ZDRAVSTVU, NAČINU ČUVANJA I ZAŠTITE ZDRAVSTVENIH PODATAKA I IZRADE ZDRAVSTVENIH POKAZATELJA, STANDARDIZIRANIM OBRASCIMA TE REGISTRIMA I EVIDENCIJAMA U ZDRAVSTVU, Članak 10. | Predložene izmjene Članka 10. dodatno preciziraju obveze korisnika informacijskog sustava, čime se osigurava viša razina zaštite i odgovornosti u pristupu osjetljivim podacima. Uvedena je mogućnost korištenja alternativnih sigurnosnih mehanizama temeljenih na jedinstvenom elektroničkom identitetu, čime se omogućava fleksibilnost u skladu s tehničkim razvojem, dok se zadržava obveza osiguranja identiteta korisnika. Stroga zabrana prijenosa identifikacijskog certifikata i jasna odgovornost korisnika za sve aktivnosti unutar sustava pod njihovim identitetom dodatno smanjuju rizik od zlouporabe te doprinose cjelovitoj sigurnosti sustava. Predlažem ovaj tekst Čl. 10.: „Članak 10. (1) Korisnik informacijskog sustava u zdravstvu obvezan je izvršiti identifikaciju i autentifikaciju u sustavu korištenjem osobnog identifikacijskog digitalnog certifikata ili drugog sigurnosnog mehanizma temeljenog na jedinstvenom elektroničkom identitetu koji je izdalo nadležno tijelo. (2) Svaki korisnik obvezan je koristiti isključivo vlastiti identifikacijski digitalni certifikat ili pripadajući identifikacijski mehanizam za pristup informacijskom sustavu te ni pod kojim uvjetima ne smije omogućiti njegovo korištenje drugoj osobi. Strogo je zabranjeno prisvajanje, korištenje ili zloupotreba identifikacijskog digitalnog certifikata ili pripadajućeg identifikacijskog mehanizma izdane na ime drugog korisnika. (3) Korisnik je odgovoran za sigurnost i čuvanje svog identifikacijskog digitalnog certifikata ili identifikacijskog mehanizma te za sve radnje u informacijskom sustavu koje su provedene pod njegovim jedinstvenim elektroničkim identitetom.“ | Djelomično prihvaćen | Članak 10. mijenja se i glasi: (1) Korisnik informacijskog sustava u zdravstvu obvezan je identificirati se i autentificirati u sustav korištenjem identifikacijskog digitalnog certifikata ili druge vjerodajnice značajne razine sigurnosti, u skladu s propisima koji uređuju europski okvir za digitalni identitet. (2) Korisnik informacijskog sustava u zdravstvu korištenjem identifikacijskog digitalnog certifikata ili druge vjerodajnice značajne razine sigurnosti potvrđuje personalizirani pristup te ga ne smije dati na korištenje drugoj osobi, odnosno zabranjeno je uzeti ili upotrijebiti tuđi identifikacijskog digitalni certifikat kao svoj. (3) Korisnik je odgovoran za sigurnost i čuvanje svog identifikacijskog digitalnog certifikata ili druge vjerodajnice značajne razine sigurnosti te za sve radnje u informacijskom sustavu koje su provedene pod njegovim digitalnim identitetom. |
| 12 | VEGASOFT INFORMATIKA I USLUGE, DRUŠTVO S OGRANIČENOM ODGOVORNOŠĆU | PRAVILNIK O NAČINU OBRADE ZDRAVSTVENIH I DRUGIH OSOBNIH PODATAKA U ZDRAVSTVENIM NACIONALNIM I INSTITUCIONALNIM INFORMACIJSKIM SUSTAVIMA U ZDRAVSTVU, NAČINU ČUVANJA I ZAŠTITE ZDRAVSTVENIH PODATAKA I IZRADE ZDRAVSTVENIH POKAZATELJA, STANDARDIZIRANIM OBRASCIMA TE REGISTRIMA I EVIDENCIJAMA U ZDRAVSTVU, Članak 12. | U stavku c, točki 4 traži se kvalificirani potpisni certifikat. Isti podrazumijeva ukucavanje PIN-a za svaku pojedinu potpisanu poruku (u protivnom nije kvalificirani). U slučaju PZZ korisnika (primjer liječnik obiteljske medicine) takvih poruka može biti nekoliko stotina dnevno. U praksi je neizvedivo da liječnik ukucava PIN za nekoliko stotina poruka koje u jednom danu tijekom radnog vremena razmijeni sa CEZIH sustavom. Ne znam da li se za potpisivanje planira koristiti identifikacijski ili neki drugi certifikat -> ukoliko se planira koristiti kvalificirani potpisni ovo će stvoriti ogromne probleme na terenu. Predlažem da se jasnije definira što je nužni minimum, te da se vodi računa i o mogućim problemima implementacije zahtjeva koji proizlaze iz ovog pravilnika na terenu. | Prihvaćen | Prihvaćen. |
| 13 | FEODORA STIPOLJEV | PRAVILNIK O NAČINU OBRADE ZDRAVSTVENIH I DRUGIH OSOBNIH PODATAKA U ZDRAVSTVENIM NACIONALNIM I INSTITUCIONALNIM INFORMACIJSKIM SUSTAVIMA U ZDRAVSTVU, NAČINU ČUVANJA I ZAŠTITE ZDRAVSTVENIH PODATAKA I IZRADE ZDRAVSTVENIH POKAZATELJA, STANDARDIZIRANIM OBRASCIMA TE REGISTRIMA I EVIDENCIJAMA U ZDRAVSTVU, Članak 16. | Predlaže se osnivanje nacionalnog registra genomskih podataka pacijenata. U registru bi se pohranjivali FASTQ i VCF podatci koji su dobiveni nakon sekvenciranja genskih panela, kliničkog i cijelog egzoma te cijelog genoma pacijenata. Takav registar uključuje centraliziranu platformu za sigurno pohranjivanje genetskih podataka. Cilj je omogućiti standardizirani pristup i dugoročnu očuvanost podataka. Registar mora biti usklađen s međunarodnim zakonima o zaštiti podataka te osigurati pristup podacima medicinskim stručnjacima i pacijentima uz zaštitu privatnosti. Ovaj registar doprinosi napretku u genomici, biomedicinskim istraživanjima i personaliziranoj medicini. Ministarstvo zdravstva bi trebalo biti nositelj ovog registra. | Nije prihvaćen | Uvođenje novih registara i evidencija nije predmet ovoga Pravilnika. Predmet ovoga Pravilnika je način obrade zdravstvenih i drugih osobnih podataka, između ostalog, u registrima i evidencijama u zdravstvu. Dakle, u Pravilniku se popisuju postojeći registri i evidencije u zdravstvu za koje postoji pravna osnova. |
| 14 | ANA LIVUN | PRAVILNIK O NAČINU OBRADE ZDRAVSTVENIH I DRUGIH OSOBNIH PODATAKA U ZDRAVSTVENIM NACIONALNIM I INSTITUCIONALNIM INFORMACIJSKIM SUSTAVIMA U ZDRAVSTVU, NAČINU ČUVANJA I ZAŠTITE ZDRAVSTVENIH PODATAKA I IZRADE ZDRAVSTVENIH POKAZATELJA, STANDARDIZIRANIM OBRASCIMA TE REGISTRIMA I EVIDENCIJAMA U ZDRAVSTVU, Članak 16. | Trebalo bi uvesti Registar čuvan od strane Ministarstva zdravstva koji bi sadržavao file-ove tj fastq datoteke sekvenciranih egzoma i genoma pacijenata. | Nije prihvaćen | Uvođenje novih registara i evidencija nije predmet ovoga Pravilnika. Predmet ovoga Pravilnika je način obrade zdravstvenih i drugih osobnih podataka, između ostalog, u registrima i evidencijama u zdravstvu. Dakle, u Pravilniku se popisuju postojeći registri i evidencije u zdravstvu za koje postoji pravna osnova. |
| 15 | HRVATSKA KOMORA FIZIOTERAPEUTA | PRAVILNIK O NAČINU OBRADE ZDRAVSTVENIH I DRUGIH OSOBNIH PODATAKA U ZDRAVSTVENIM NACIONALNIM I INSTITUCIONALNIM INFORMACIJSKIM SUSTAVIMA U ZDRAVSTVU, NAČINU ČUVANJA I ZAŠTITE ZDRAVSTVENIH PODATAKA I IZRADE ZDRAVSTVENIH POKAZATELJA, STANDARDIZIRANIM OBRASCIMA TE REGISTRIMA I EVIDENCIJAMA U ZDRAVSTVU, Članak 17. | U članak 17 stavak 2. treba dodati točku 19. koja glasi: Evidencija javnozdravstvenih podataka iz djelatnosti fizioterapije/fizikalne terapije. OBRAZLOŽENJE: Fizioterapija je znanstvena disciplina uvrštena u PODRUČJE BIOMEDICINE I ZDRAVSTVA u Polje 3.02. Kliničke medicinske znanosti i dodijeljena joj je Grana 3.02.32 fizioterapija. Fizioterapeuti rade u direktnom kontaktu s pacijentom te su obvezni voditi iscrpnu dokumentaciju o statusu pacijenta od početka ulaska u tretman fizikalne terapije pa sve do otpuštanja pacijenta i to od početne procjene stanja pacijenta do izrade cilja, plana i programa fizikalne terapije, evalucije sve do dokumentiranog otpuštanje pacijenata koji uključuje odgovor prema fizioterapeutskom postupku u vrijeme otpuštanja a što je propisano člankom 17. Zakona o fizioterapeutskoj djelatnosti NN 120/08 | Nije prihvaćen | Uvođenje novih registara i evidencija nije predmet ovoga Pravilnika. Predmet ovoga Pravilnika je način obrade zdravstvenih i drugih osobnih podataka, između ostalog, u registrima i evidencijama u zdravstvu. Dakle, u Pravilniku se popisuju postojeći registri i evidencije u zdravstvu za koje postoji pravna osnova. |
| 16 | HRVATSKO DRUŠTVO MEDICINSKIH SESTARA U PALIJATIVNOJ SKRBI | PRAVILNIK O NAČINU OBRADE ZDRAVSTVENIH I DRUGIH OSOBNIH PODATAKA U ZDRAVSTVENIM NACIONALNIM I INSTITUCIONALNIM INFORMACIJSKIM SUSTAVIMA U ZDRAVSTVU, NAČINU ČUVANJA I ZAŠTITE ZDRAVSTVENIH PODATAKA I IZRADE ZDRAVSTVENIH POKAZATELJA, STANDARDIZIRANIM OBRASCIMA TE REGISTRIMA I EVIDENCIJAMA U ZDRAVSTVU, Članak 17. | Vezano uz Evidencije javnozdravstvenih podataka svih djelatnosti na području primarne zdravstvene zaštite molimo vas da ubacite i Djelatnost za palijativnu skrb. Kao što je poznato Djelatnost za palijativnu skrb ( koordinator za palijativnu skrb i mobilan palijativan tim) ugovorena je sa HZZO-om od 01.10.2016.godine na primarnoj razini zdravstvene zaštite. Da bi i ta djelatnost bila ravnopravno zastupljena i prepoznat njezin rad molimo da se doda i ova evidencija. Dodati: Evidencija javnozdravstvenih podataka iz djelatnosti za palijativnu skrb | Nije prihvaćen | Uvođenje novih registara i evidencija nije predmet ovoga Pravilnika. Predmet ovoga Pravilnika je način obrade zdravstvenih i drugih osobnih podataka, između ostalog, u registrima i evidencijama u zdravstvu. Dakle, u Pravilniku se popisuju postojeći registri i evidencije u zdravstvu za koje postoji pravna osnova. |
| 17 | KARMEN LONČAREK | PRAVILNIK O NAČINU OBRADE ZDRAVSTVENIH I DRUGIH OSOBNIH PODATAKA U ZDRAVSTVENIM NACIONALNIM I INSTITUCIONALNIM INFORMACIJSKIM SUSTAVIMA U ZDRAVSTVU, NAČINU ČUVANJA I ZAŠTITE ZDRAVSTVENIH PODATAKA I IZRADE ZDRAVSTVENIH POKAZATELJA, STANDARDIZIRANIM OBRASCIMA TE REGISTRIMA I EVIDENCIJAMA U ZDRAVSTVU, Članak 17. | U stavak 2. dodati: "Evidencija javnozdravstvenih podataka iz područja palijativne skrbi." Obrazloženje: pojedini županijski zavodi za javno zdravstvo vode evidencije o palijativi, dok neki ne vode. Potrebno je ujednačiti praksu budući da palijativna skrb uspješno djeluje i sustavno se razvija već dulje od 10 godina. | Nije prihvaćen | Uvođenje novih registara i evidencija nije predmet ovoga Pravilnika. Predmet ovoga Pravilnika je način obrade zdravstvenih i drugih osobnih podataka, između ostalog, u registrima i evidencijama u zdravstvu. Dakle, u Pravilniku se popisuju postojeći registri i evidencije u zdravstvu za koje postoji pravna osnova. |
| 18 | IVICA ŽUPAN | PRAVILNIK O NAČINU OBRADE ZDRAVSTVENIH I DRUGIH OSOBNIH PODATAKA U ZDRAVSTVENIM NACIONALNIM I INSTITUCIONALNIM INFORMACIJSKIM SUSTAVIMA U ZDRAVSTVU, NAČINU ČUVANJA I ZAŠTITE ZDRAVSTVENIH PODATAKA I IZRADE ZDRAVSTVENIH POKAZATELJA, STANDARDIZIRANIM OBRASCIMA TE REGISTRIMA I EVIDENCIJAMA U ZDRAVSTVU, Članak 21. | HRVATSKA KOMORA MEDICINSKIH BIOKEMIČARA: Članak 21. Stavak 1. Zbog osiguranja kvalitete medicinske opreme predlaže se da Hrvatska agencija za lijekove i medicinske proizvode vodi u elektroničkom obliku i registar distributera medicinske opreme i reagensa. | Nije prihvaćen | Uvođenje novih registara i evidencija nije predmet ovoga Pravilnika. Predmet ovoga Pravilnika je način obrade zdravstvenih i drugih osobnih podataka, između ostalog, u registrima i evidencijama u zdravstvu. Dakle, u Pravilniku se popisuju postojeći registri i evidencije u zdravstvu za koje postoji pravna osnova. |
| 19 | WERXE DRUŠTVO S OGRANIČENOM ODGOVORNOŠĆU ZA INFORMACIJSKE TEHNOLOGIJE | PRAVILNIK O NAČINU OBRADE ZDRAVSTVENIH I DRUGIH OSOBNIH PODATAKA U ZDRAVSTVENIM NACIONALNIM I INSTITUCIONALNIM INFORMACIJSKIM SUSTAVIMA U ZDRAVSTVU, NAČINU ČUVANJA I ZAŠTITE ZDRAVSTVENIH PODATAKA I IZRADE ZDRAVSTVENIH POKAZATELJA, STANDARDIZIRANIM OBRASCIMA TE REGISTRIMA I EVIDENCIJAMA U ZDRAVSTVU, Članak 22. | Predlaže se razmotriti definiranje prijelaznog roka za usklađivanje sa određenim organizacijskim i tehničkim mjerama. | Prihvaćen | Prihvaćen. |