Otázky a odpovede

Otázky NIS 2025, ktoré neboli na kongrese priamo zodpovedané sme poslali adresátom. Odpovede postupne zverejňujeme:

Michal Ďorďa, enigmma

  1. Mam riesit aj s upratovacou firmou nahlasovanie bezpecnostnych incidentov?,oni predsa nemusia oslovit NBu, ak maju ransom a rozosielaju napadnute faktury 

 Ak má upratovacia služba fyzický dosah ku informačným dosahom (napr. možnosť použiť USB so škodlivým kódom), určite treba riešiť bezpečnostné opatrenia v zmluve o plnení bezpečnostných opatrení. Ak by upratovacia služba mala prístupy napr. do dochádzkového systému alebo prístupového systému pre riadenie fyzických vstupov, kvôli svojim činnosťiam, ich evidencií, potom pristupujú ako externý zamestnanci dodávateľa do našich informačných systémov a musia hlásiť aj bezpečnostné incidenty súvisiace s používaním IS. Nemusia hlásiť incidenty, ktoré nastanú v ich systémoch, ktoré s nemocnicou nič nemajú.

  1. odkial sa dozviem, ci mala firma bezpecnostny incident?, oni mi to nepovedia, mozem oslovit NBU, ci nieco nahlasovali?

Pokiaľ to nie je medializovaná informácia v novinách, či inom médiu, ak nám to dodávateľ neoznámi, nemáme sa to ako interný manažér kybernetickej bezpečnosti odkiaľ dozvedieť. Preto sa nastavuje aj zmluvná povinnosť hlásiť bezpečnostné incidenty odberateľovi služby, ak nastali alebo súvisia s nemocničným informačným systémom. Ideálny scenár by však bol, ak mám vzťah s dodávateľom a ten je tiež regulovaný, ak by existoval mechanizmus dopytu voči úradu. Ak preukážem ako nemocnica zmluvný vzťah s dodávateľom, mohol by mi NBÚ na dotaz o možnom incidente reagovať a prezradiť, či incident nastal, alebo nie u nášho dodávateľa. 

  1. ako my v nemocnici vieme ovplyvnit verejne vyberko ak konkretny dodavatel je pre mna rizikom? Vsak dostanem uz len meno dodavatela

Ide o dobré nastavenie bezpečnostných požiadaviek na dodávanú služby alebo dodávané dielo, ktoré idem obstarať. Ak sú tieto požiadavky dobre nastavene a počítam už pri príprave súťažných podkladov s rizikami, ktoré služba alebo dielo môže priniesť, viem sa na ne pripraviť a eliminovať samotné riziká. No tie sa môžu počas vzťahu/zmluvy meniť, a preto je nevyhnutné monitorovanie vzťahu a nastavenie exit stratégie/ukončenie zmluvy aj pred jej štandardným uplynutím. 

Zuzana Valková, Úrad pre ochranu osobných údajov

Je odhalenie prvých 4 čisiel RČ (napr. pri vyvolávaní pacienta v čakárni, kde nie je možnosť využiť lístky) porušením ochrany o.u.?

Rodné číslo je potrebné vnímať ako citlivejší údaj, ktorého podstata je daná zákonom. Zároveň v sebe zahŕňa pár ďalších (osobných) údajov. Vyvolávanie pacientov je potrebné realizovať iným spôsobom ako cez rodné čislo alebo jeho časti či kombinácie. To platí nielen pre lekárov, ale celkovo prevádzkovateľov.

TATRAMED

  1. Je potrebné mať vlastnú sms bránu alebo je to v rámci ceny produktu poslané esemesky ?

Nie je potrebné mať vlastnú SMS bránu. TomoCon GO má implementovanú integráciu so službami spoločnosti Telekom a na odosielanie SMS využíva ich API. 

  1. Čo v prípade zaslania sms opakovane na zlé číslo (povedzme chyba v evidencii)?

Ak je SMS odoslaná na neexistujúce číslo, samozrejme, nebude doručená. V prípade, že je zdieľanie vytvorené na existujúce číslo, ktoré však nezodpovedá číslu samotného pacienta, operátor (rádiologický technik, recepčný, …) má možnosť kedykoľvek urobiť nápravu.

  1. Je možné zdieľať na určitý čas iba ? Po jeho vypršaní stratí sa zdieľani.

Nie je možné vytvárať zdieľania na určitý čas. Avšak, PZS ako aj pacient majú možnosť kedykoľvek zrušiť existujúce zdieľanie.

  1. Tomocon Go vie aj po anglicky? Keď už sa snímky môžu posielať aj zahraničným pacientom. Ak sa údaje budú zdieľať bezhlavo hocikde, čo na to GDPR a výkonHW a NET.
  • Akúkoľvek TomoCon GO inštaláciu je už dnes možné prepnúť do režimu, kedy bude so svojimi používateľmi komunikovať v anglickom jazyku. V blízkej budúcnosti plánujeme uvoľniť do produkcie verziu, v ktorej si bude môcť každý používateľ prepínať jazyk podľa vlastnej potreby.
  • Čo sa týka spracovania osobných údajov, je samozrejme potrebné dodržiavať zákon 18/2018 Z.z. a v žiadnom prípade nezdieľať vyšetrenia “bezhlavo hocikde”. Rovnako by sa nemali bezhlavo napaľovať a rozdávať CD a DVD médiá obsahujúce zdravotnú dokumentáciu. Konkrétny postup ako zdieľať vyšetrenia je vždy na PZS. Najčastejší model s ktorým sa stretávame je taký, že PZS zdieľa vyšetrenie na základe žiadanky o obrazové vyšetrenie tomu lekárovi, ktorý o to vyšetrenie žiada.
  • Otázka HW a sieťovej náročnosti bola otvorená už počas samotnej prednášky – z pohľadu internetového pripojenia nepredstavujú prístupy pacientov signifikantné zaťaženie. Ak internetové pripojenie stačí pre spolupracujúcich lekárov, s najväčšou pravdepodobnosťou bude stačiť aj pre prístupy pacientov. TomoCon GO HW servery v produkcii nie sú rovnaké. V niektorých prípadoch bude existujúci HW server stačiť aj na pokrytie pacientskych prístupov, v niektorých prípadoch bude potrebné vykonať ľahký upgrade servera a v niektorých prípadoch bude potrebné zabezpečiť nový HW server.

NCZI – čakáme na odpovede.

  1. Povedali ste, že RISEZ sa má testovať koncom roka (2025?) a informácie budú odprezentované na connectathone. Kedy bude connectathon? O ktorom roku hovoríme? 
  2. Výpadok 2 dni späť bol už v čase 19 niečo deň vpred ako dokazalo informovat NCZI. Teda semafor nemáte asi ani poriadny monitoring čo nefunguje? Dajte len čo ide. 
  3. Keď mi poisť zamietne riadok dávky tak vymazete záznam v NCZI? Keď nemám úhradu tak spätne zaplati pacient? 
  4. Nahrádza uvedená notifikácia tlačivo o odoslaní zdravotnej dokumentácie nasledujúce lekárovi? 
  5. Kedy sa zmodernizuje sposob aktuvacie karty (aktualne to je nutne cez IE)? 
  6. Existuje nejake testovacie prostredie pre PZS? Napriklad ked chceme demostrovat/vyskusat pracu s eDOH? Aktualne musime cakat na nejakeho realneho pacienta…

NEZARADENÉ – zisťujeme, zverejníme odpoveď aj autora.

  1. Ako v ČR realizujete preklad číselníkov, aká je metodológia, určite sa využíva aj automatický preklad. 
  2. Máte v ČR archetypové datové štruktúry?