Ez az oldal az 50 fős vagy nagyobb fogorvosi és szakorvosi klinikák számára készült, amelyeknek digitális beteggazdálkodási rendszereket használnak. Megtanulhatja, mely konkrét biztonsági intézkedéseket kell 2026-ig megvalósítania, hogyan kell megfelelnie a GDPR-nak és a NIS2-nek egyidejűleg, valamint milyen tipikus hiányosságokat kell kiküszöbölnie.
Magyarországon azok a fogorvosi és szakorvosi klinikák tartoznak a NIS2 hatálya alá, amelyeknek legalább 50 alkalmazottja van vagy digitális beteggazdálkodási rendszert (betegnyilvántartás, képalkotás, időpontfoglalás) üzemeltetnek. A 2026. október 18-ig minden ilyen szervezetnek teljes biztonsági megfelelőséget kell bemutatnia, függetlenül attól, hogy Magyarország területén vagy máshol működik-e a szervezet.
A fogorvosi és szakorvosi klinikáknak azonnal gondoskodniuk kell arról, hogy a betegrekordok (DICOM-képek, CT, röntgen) fizikailag és logikailag szegmentált hálózaton működjenek, nem pedig közös klinikai Wi-Fi-n. Szükséges egy dedikált kiberbiztonsági biztonsági politika, amely definiálja az adathozzáférés jogosultságait és titkosítja az adatokat tranzit közben és nyugalomban.
A betegadatok kezelésénél a klinikáknak egyidejűleg be kell tartaniuk a GDPR és a NIS2 előírásait. Ez azt jelenti, hogy egy egyetlen adatvédelmi hatásbecslést (DPIA) kell készíteniük, amely mindkét szabályozás követelményeit figyelembe veszi, továbbá egy dedikált adatmegőrzési és törlési szabályzatot kell kidolgozniuk, amely összehangolja a két rendelet eltérő követelményeit.
Ha a betegnyilvántartás, időpontfoglalás vagy képalkotó rendszer 72 órán túli üzemszünetet szenved vagy betegadatok jogosulatlan hozzáféréséről szerez tudomást a klinika, azt haladéktalanul (de legkésőbb 72 órán belül) az SZTFH-nak be kell jelentenie. A jelentésnek tartalmaznia kell az érintett betegek számát, az adatok típusát és az intézett első védelmi intézkedéseket.
A klinikáknak olyan egyedi szerződési feltételeket kell biztosítaniuk szállítóikkal (betegnyilvántartás-szoftver, időpontfoglalás, DICOM-szerver), amelyek garantálják, hogy a szállítók is megfelelnek a NIS2-nek. Ezekben a szerződésekben külön pontban rögzíteni kell az incidensi bejelentési kötelezettséget, a szállító által végzendő biztonsági auditokat és az adatok biztonsági szigetelésének követelményeit.
A klinikáknak dokumentálniuk kell, hogy betegrekordjaik biztonsági másolatait legalább havonta tesztelik, azaz bizonyíthatóan vissza tudják állítani őket egy valós rendszerzavarok helyzetében. Ez nem csak az adatvédelem, hanem a NIS2 szerinti üzletmenet-folytonossági követelmények teljesítésének alapvető eleme.
Igen. Az NIS2 II. melléklete nem csak az alkalmazottak száma alapján határozza meg a fontos entitásokat, hanem azok is, akik digitális beteggazdálkodási rendszert üzemeltetnek, függetlenül a mérettől. Ha az Ön klinikája betegrekord-szoftvert, időpontfoglalást vagy képalkotást kezel digitálisan, akkor az SZTFH 2026. október 18-ig teljes NIS2-megfelelőséget fog elvárni.
Az SZTFH-nak haladéktalanul, de legkésőbb 72 órán belül be kell jelenteniük az incidenseket. A jelentésnek tartalmaznia kell az érintett betegek számát, az adattípusokat, az észlelés időpontját és az elvégzett első biztonsági intézkedéseket. A klinikának a pácienséket is tájékoztatnia kell az adatvédelmi jogszabályok szerint.
Az SZTFH akár 50 millió forintig terjedő bírságot vagy az éves bevétel 10%-áig terjedő szankciókat szabhat ki a NIS2 előírásainak nem teljesítéséért. Az ismételt vagy súlyos mulasztások esetén jogi eljárás és üzemeltetési engedély felfüggesztése is lehetséges.