Ez az oldal a magyarországi telehealth platformokat, távorvoslási szolgáltatásokat és digitális egészségügyi alkalmazásokat üzemeltető szervezeteknek szól. Megtudhatja, hogyan teljesíthetik a NIS2/Kiberbiztonsági tv. által előírt kiberbiztonsági és adatvédelmi kötelezettségeket.
Az alábbi szervezetek a NIS2-ből fontos entitásnak minősülnek: legalább 500 páciensre kiterjedő aktív telehealth platformok, országos vagy regionális szintű távorvoslási hálózatok, valamint olyan digitális egészségügyi alkalmazások, amelyek közvetlenül integrálódnak kórházi és háziorvosi rendszerekbe. Különösen a videokonsultáció, távomonitorozás és e-receptúra funkciókat nyújtó szolgáltatások tartoznak ide.
A telehealth platformoknak garantálniuk kell a végponttól végpontig terjedő titkosítást az összes videokonsultáció és orvos-beteg üzenetváltás során. Az SZTFH elvárja, hogy a páciensazonosítók, egészségügyi feljegyzések és telemedicina során továbbított diagnosztikai adatok a szállítás és tárolás során is magas szintű titkosítással (TLS 1.2 vagy újabb) legyenek védve. Az alkalmazásoknak dokumentálniuk kell az alkalmazott kriptográfiai módszereket és azok alkalmasságát az egészségügyi adatokra vonatkozó magyar és uniós szabályok szerint.
A telehealth operátoroknak összhangban kell biztosítaniuk a GDPR 32. cikk szerinti technikai és szervezeti intézkedéseket és az NIS2 szerinti biztonsági követelményeket. Ez magában foglal adatkezelési megállapodásokat (DPA) az összes alfeld dolgozóval, beleértve a cloud infrastruktúra szolgáltatókat, videokonferencia-platform operátorokat és EHR-integráció partnereket. A pácienseknek nyomon követhető hozzájárulással kell rendelkezniük, és explicit tájékoztatást kell kapniuk az adatfeldolgozás láncolatáról.
Az olyan telehealth platformok, amelyek közvetlenül csatlakoznak a kórházi vagy háziorvosi elektronikus betegnyilvántartásokhoz (EHR), kötelessége végig ellenőrizni és dokumentálni az adatok integrálásának biztonsági szintjét. Ez magában foglalja az API-hozzáférések hitelesítésének meghatározását, az adatmozgás között lévő integritásvédelmet és az API-interfészek rendszeres biztonsági auditálását. Szükséges az interfészek felhasználói jogosultságainak folyamatos felülvizsgálata és az adathozzáférési jogok szigorú korlátozása kórházi partnereknél.
A telehealth platformok öt munkanapon belül kötelessek bejelenteni az SZTFH-nak azokat az incidenseket, amelyek a páciensellátás folyamatosságát akadályozzák (például platform-leállások, adatszivárgás, telemedicina-szolgáltatások megszakadása). Az incidensbejelentéshez tartoznia kell a hatás időtartamának, az érintett páciensek számának, valamint a szervezet által megtett helyreállítási intézkedéseknek. A jelentéseknek meg kell jelölniük az adatok bizalmasságára, integritására és hozzáférhetőségére gyakorolt hatást.
A telehealth szervezeteknek évente legalább egy, külső biztonsági cég által végzett penetrációs tesztet kell végeztetniük a platform infrastruktúrájára, API-interfészeire és felhasználói autentikációs moduljaira. Az értékelésnek ki kell terjednie a páciensadatok lekérésére, manipulálására és a telemedicina-szeziók megszakítására irányuló támadások szimulálására. Az eredményeket dokumentálni kell, és a kiértékelt kockázatokat a 12 hónapon belüli korrekciós terv szerint kell elhárítani.
A végponttól végpontig terjedő titkosítás azonnal szükséges, mivel az SZTFH ezt alapkövetelménynek tekinti az egészségügyi adatok szállítása során a NIS2 32. cikke értelmében. Az implementáció a technikai lehetőségek függvényében maximum 2024 végéig, de érdemes már 2026 előtt befejezni, hogy elegendő teszt- és tanúsítási idő maradjon.
Az összes olyan szervezettel, amely a páciensadatokhoz hozzáférhet vagy feldolgozza azokat, például: cloud infrastruktúra szolgáltatók, videokonferencia platformok (Teams, Zoom stb.), EHR-integráció szállítók, támogatási és karbantartási cégek, valamint biztonsági auditálást végzők. Az SZTFH elvárja, hogy ezek írásban dokumentálva legyenek és az adatfeldolgozási kötelezettségek világosan rögzítve legyenek.
A Kiberbiztonsági törvény (NIS2) szerinti incidensbejelentés elmulasztása az SZTFH által közvetlen szankciót von maga után. Az irányelvek szerint olyan szervezetek, amelyek nem teljesítik az öt munkanapnál hosszabb határidőt az incidensbejelentésre, legalább 10.000 EUR (vagy magyar forint egyenértékese) közigazgatási bírsággal sújthatók, valamint a GDPR szerinti 72 órás bejelentési kötelezettség megsértése miatt további szankciók is alkalmazhatók.