Digitalizace českého zdravotnictví a kyberbezpečnost

Moderní technologie nezadržitelně pronikají do mnoha oborů lidské činnosti a ani zdravotnictví není výjimkou. Digitalizace mění tradiční způsoby poskytování zdravotnických služeb a vykonávání související administrativy. Do tohoto procesu vstupuje stát tím, že poskytování zdravotních služeb přísně reguluje, vytváří státní digitální infrastrukturu a ukládá povinnosti na ochranu zdravotnických IT systémů před kybernetickými útoky.

Česká úprava digitalizace zdravotnictví

Základním kamenem digitalizace českého zdravotnictví jsou dva zákony:

Prvním je zákon č. 372/2011 Sb., o zdravotních službách. Ten je sice primárně obecným předpisem regulujícím poskytování zdravotních služeb, ale např. v části šesté upravuje vedení zdravotnické dokumentace v elektronické podobě.
Tím druhým je zákon č. 325/2021 Sb., o elektronizaci zdravotnictví, který upravuje především postupný vznik státní digitální infrastruktury pro zdravotnictví včetně Portálu elektronického zdravotnictví.

V současné době dochází u nás i v EU k dalším legislativním změnám v této oblasti.

Jednou z nich je novela výše zmíněného zákona o zdravotních službách (sněmovní tisk 512), která stanovuje pravidla pro provozování telemedicíny, kterou definuje zjednodušeně jako zdravotnické služby poskytované na dálku za použití informačních a telekomunikačních technologií. Novela vyžaduje ověření identity pacienta a poskytovatele a zajištění kvality a bezpečnosti jejich komunikace. Záznam komunikace lze pořídit jen se souhlasem pacienta. Díky této novele přestává být telemedicína právně nejistou činností a lze očekávat její rozvoj.

Další prohloubení elektronizace zdravotnictví má přinést připravovaná novela již zmíněného zákona o elektronizaci zdravotnictví. S její účinností se počítá nejdříve v roce 2025. Plánuje například zavést sdílený zdravotní záznam či digitální služby pro pacienty, kterými jsou EZkarta a eŽádanka. Sdílený zdravotní záznam má umožnit registrujícím i ošetřujícím lékařům přístup k výsledkům vyšetření. V případě EZkarty půjde o rozšíření funkcí mobilní aplikace dříve známé jako Tečka. Systém eŽádanka by pak měl nahradit stávající papírové žádanky na vyšetření.

Evropská úprava digitalizace zdravotnictví

Některé aspekty elektronizace zdravotnictví jsou řešeny na úrovni EU. Evropský parlament nedávno přijal evropské nařízení o evropském prostoru pro zdravotní data (EHDS). Cílem EHDS je standardizovat a usnadnit výměnu zdravotnických dat mezi všemi poskytovateli zdravotních služeb v EU a vytvořit jednotný a funkční systém sdílení zdravotních dat. Součástí tohoto systému má být i možnost sekundárního využívání těchto dat pro potřeby státu a výzkumu. Předpokládá se, že nařízení bude po jeho schválení Radou účinné od roku 2025, nicméně systém celoevropského sdílení zdravotnických dat má být spuštěn až v roce 2028.

Kyberbezpečnost (nejen) ve zdravotnictví

Dalším relevantním právním předpisem v této oblasti je směrnice Evropského parlamentu a Rady (EU) 2022/2555 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v unii, zkráceně označovaná jako NIS2. Ta navazuje na předchozí směrnici NIS1 a nepřináší ani tolik příliš nových povinností, jako spíše významně rozšiřuje okruh subjektů podléhajících stávající státní kybernetické regulaci. V oblasti zdravotnictví to budou veškeří poskytovatelé zdravotní péče, zdravotnické záchranné služby, farmaceutické společnosti a výrobci zdravotnických prostředků za předpokladu, že jsou zároveň velkými nebo alespoň středními podniky. Středním podnikem je přitom každá společnost s více než 50 zaměstnanci nebo obratem či rozvahou přesahující 10 milionů eur.

Povinné subjekty budou muset plnit řadu povinností:

zaregistrovat se u Národního úřadu pro kybernetickou bezpečnost (NÚKIB);
přijmout bezpečnostní opatření pro zajištění kyberbezpečnosti nejen na úrovni technické (IT), nýbrž i na úrovni zaškolení pracovníků a vytvoření příslušných vnitřních předpisů pro kyberbezpečnost;
zavést systém hlášení kybernetických incidentů NÚKIB;
provést revizi veškerých smluv s dodavateli softwaru a dalších technologií významných pro kyberbezpečnost.

Velké podniky musí navíc obsadit výbor pro řízení kybernetické bezpečnosti složený z architekta, manažera a auditora kybernetické bezpečnosti a plnit další povinnosti například v řízení rizik. Velkým podnikem je přitom každá společnost s více než 250 zaměstnanci nebo obratem přesahujícím 50 milionů eur či rozvahou přesahující 43 milionů eur.

Za neplnění těchto povinností může NÚKIB uložit pokutu až 10 milionů eur nebo 2 % světového obratu.
Pro společnosti, které dosud nevěnovaly kybernetické bezpečnosti zvláštní pozornost, mohou nové povinnosti představovat značnou výzvu. Zavedení požadovaných postupů vyžaduje mix právního, bezpečnostního a technického know-how a může zabrat několik měsíců. Konkretizace těchto povinností bude v novém zákonu o kybernetické bezpečnosti, jehož schválení se očekává na přelomu roku 2024 a 2025. Času tedy už příliš na rozdávání není.

Mgr. et Bc. Juraj Juhás, Ph.D.
Mgr. Richard Vogel
Advokátní kancelář Glatzová & Co., s.r.o.
Foto: 123rf.com

18. 5. 2026

V Česku má s rakovinou prsu zkušenost více než sto tisíc žen

Farmacie Farmakologie Gynekologie a porodnictví Onkologie Všeobecné lékařství

Zhoubný nádor prsu zůstává nejčastějším onkologickým onemocněním českých žen. Díky lepší diagnostice, rozvoji centrové péče, a především dostupnosti inovativních léčiv se však vyhlídky pacientek zásadně mění. Z aktuálních dat projektu [...]