Certifikační autorita pro elektronické zdravotnictví podle Zákona č. 325/2021 Sb. (Zákon o elektronizaci zdravotnictví) má klíčovou roli v oblasti ověřování bezpečnosti a shody s právními normami v rámci elektronických systémů používaných ve zdravotnictví. 

Účel certifikační autority 

Certifikační autorita je instituce, která vydává certifikáty a zajišťuje důvěryhodnost elektronických systémů, které se používají pro výměnu zdravotních informací, jako jsou elektronické zdravotní záznamy, eRecepty, elektronické žádanky, a další nástroje elektronizace. 

Cílem certifikace je zajistit, aby všechny systémy používané ve zdravotnictví byly bezpečné, kompatibilní s právními normami a standardy, a chránily osobní údaje pacientů. Certifikace se týká jak softwarových nástrojů, tak i technologických platforem a komunikačních kanálů, které jsou součástí elektronického zdravotnictví. 

Role certifikační autority  

Certifikační autorita v elektronickém zdravotnictví provádí:

 

  • Certifikaci systémů a aplikací: Ověřuje, že elektronické systémy, které jsou nasazeny v rámci zdravotní péče (např. software pro elektronické zdravotní záznamy, eRecepty), splňují specifikované technické a bezpečnostní požadavky. 

  • Ověření souladu s předpisy: Zajišťuje, že tyto systémy jsou v souladu s platnými právními normami (např. zákony o ochraně osobních údajů, specifikace pro interoperabilitu a bezpečnostní standardy). 

  • Vydávání certifikátů: Po provedení auditů a testování vydává certifikáty, které potvrzují, že systém splňuje všechny požadavky a je vhodný pro použití v elektronickém zdravotnictví. 

 

Certifikace v souladu se Zákonem č. 325/2021 Sb.  

Zákon o elektronizaci zdravotnictví stanoví podmínky pro certifikaci zdravotnických informačních systémů, které budou součástí národního eHealth systému. Tento systém by měl umožnit bezpečnou výměnu zdravotních informací mezi jednotlivými zařízeními, což zahrnuje:

 

  • Vydávání elektronických receptů (eRecept). 

  • Výměna zdravotních záznamů mezi zdravotnickými zařízeními. 

  • Zajištění interoperability mezi různými zdravotnickými systémy. 

 

Zákon vyžaduje, aby všechny aplikace a systémy používané v těchto procesech byly certifikovány, což je zajištěno právě certifikačními autoritami. Certifikace má za úkol potvrdit, že systémy jsou bezpečné, funkční a splňují požadavky zákona i evropských standardů. 

Kdo vykonává certifikaci?  

V České republice je Certifikační autorita ve zdravotnictví pověřena specifickými orgány nebo institucemi, které mají odborné zázemí a technické kapacity pro provádění certifikací elektronických systémů. Nejčastěji jde o: 

 

  • Ministerstvo zdravotnictví ČR: Může mít roli při stanovení rámce pro certifikaci a dohledu nad certifikačními procesy. 

  • Národní centrum pro kybernetickou bezpečnost (NCKB): Tento orgán se zaměřuje na bezpečnostní aspekty elektronických systémů a může spolupracovat při certifikaci. 

  • Akreditované certifikační orgány: Tyto orgány jsou specializované na poskytování certifikace v oblasti IT systémů a kybernetické bezpečnosti. Mnohé z nich jsou pověřeny certifikací systémů v oblasti elektronického zdravotnictví. 

  • Technologické společnosti: V některých případech mohou certifikační orgány spadat do specializovaných institucí zaměřených na zdravotnické informační technologie nebo certifikace IT systémů.

 

Specifické požadavky pro certifikaci  

Systémy, které jsou certifikovány pro použití ve zdravotnictví, musí splňovat přísné požadavky, jako jsou: 

  • Bezpečnostní normy: Zajištění bezpečné komunikace, šifrování dat, ochrana před kybernetickými hrozbami. 

  • Ochrana osobních údajů: Shoda s nařízením GDPR a zákony o ochraně osobních údajů. 

  • Interoperabilita: Systémy musí být schopny bez problémů komunikovat a vyměňovat data mezi různými zařízeními a institucemi. 

  • Přístupnost a uživatelská přívětivost: Systémy musí být přístupné pro uživatele (lékaře, pacienty) a snadno použitelné.

 

Význam certifikace pro pacienty a zdravotníky  

  • Pro pacienty: Certifikace zajišťuje, že jejich zdravotní informace budou zpracovávány bezpečně a důvěrně, což minimalizuje riziko úniku dat nebo jejich zneužití. 

  • Pro zdravotníky: Certifikované systémy umožňují efektivní, bezpečnou a přesnou výměnu informací, což přispívá k lepší péči a rozhodování. 

  • Závěr 

     

Certifikační autorita v rámci elektronického zdravotnictví hraje klíčovou roli v zajištění důvěryhodnosti a bezpečnosti systémů, které se používají k výměně zdravotních informací. Tento proces je nezbytný pro vytvoření moderního, efektivního a bezpečného zdravotního systému, který chrání pacienty a zajišťuje kvalitu péče. Certifikace těchto systémů podle Zákona č. 325/2021 Sb. je krokem k rozvoji efektivního a transparentního elektronického zdravotnictví v České republice. 

 

Zákonné ukotvení: 

Zákon č. 325/2021 Sb. Zákon o elektronizaci zdravotnictví 

§ 10 

d) proces vydávání resortních certifikátů pro zaručené elektronické podpisy a resortních systémových a osobních certifikátů pro přístup k Integrovanému datovému rozhraní pro poskytovatele zdravotních služeb, 

e) popis služby zajišťující a poskytující resortní elektronická časová razítka a služby vzdáleného pečetění, 

Díl 2 

Služby vytvářející důvěru 

§ 26 

(1) Službami vytvářejícími důvěru v oblasti elektronického zdravotnictví jsou tyto služby: 

Pozn: Vytvářející důvěru dle eIDAS  

a) systém zajišťující a poskytující resortní zaručená elektronická časová razítka, 

b) systém zajišťující a poskytující služby vzdáleného použití resortní zaručené elektronické pečetě, 

c) služby vydávání resortních podpisových certifikátů pro zaručený elektronický podpis, 

Pozn: Autentifikační služby 

d) služby vydávání resortních systémových certifikátů pro přístup k Integrovanému datovému rozhraní a 

e) služby vydávání resortních osobních přístupových certifikátů pro zajištění autentizace zdravotnických pracovníků ke službám elektronického zdravotnictví. 

(2) Poskytovatel zdravotních služeb nebo sociálních služeb je 

a) oprávněn využívat služby vytvářející důvěru podle odstavce 1 písm. a) a b), a to pro vedení zdravotnické dokumentace v elektronické podobě, předávání zdravotnické dokumentace vedené v elektronické podobě, jejích částí nebo informace z ní podle zákona o zdravotních službách, a 

b) povinen využívat služby vytvářející důvěru podle odstavce 1 písm. d) pro přístup k Integrovanému datovému rozhraní. 

(3) Pověřený pracovník poskytovatele zdravotních služeb nebo sociálních služeb je oprávněn využívat služby vytvářející důvěru podle 

a) odstavce 1 písm. c), a to pro vedení zdravotnické dokumentace v elektronické podobě, 

b) odstavce 1 písm. c), a to pro předávání zdravotnické dokumentace vedené v elektronické podobě, jejích částí nebo informace z ní podle zákona o zdravotních službách, a 

c) odstavce 1 písm. e) pro přístup k informačnímu systému poskytovatele zdravotních služeb nebo sociálních služeb, který mu přidělil přístupová práva a kterému byl vydán resortní přístupový certifikát pro přístup k Integrovanému datovému rozhraní. 

(4) Oprávněná nebo zapisující osoba, s výjimkou pacienta a třetí osoby, je povinna využívat služby vytvářející důvěru podle odstavce 1 písm. d) pro přístup k Integrovanému datovému rozhraní. 

(5) Ministerstvo vede evidenci 

a) resortních podpisových certifikátů pro zaručený elektronický podpis, 

b) resortních systémových certifikátů pro přístup k Integrovanému datovému rozhraní a resortních osobních přístupových certifikátů pro zajištění autentizace zdravotnických pracovníků ke službám elektronického zdravotnictví a 

c) oprávněných a zapisujících osob, kterým byl vydán resortní podpisový certifikát pro zaručený elektronický podpis nebo resortní systémový certifikát pro přístup k Integrovanému datovému rozhraní. 

(6) Využíváním služeb podle odstavce 1 není dotčena možnost využívat služby vytvářející důvěru podle jiného právního předpisu14). 

(7) Služby vytvářející důvěru podle odstavce 1 jsou poskytovány bezúplatně. 

§ 38 

Ministerstvo 

d) vydává resortní podpisové certifikáty pro zaručené elektronické podpisy a resortní systémové certifikáty pro přístup k Integrovanému datovému rozhraní a osobní certifikáty pro zajištění autentizace zdravotnických pracovníků ke službám elektronického zdravotnictví a 

Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 

Regulace služeb elektronických podpisů, elektronických pečetí a časových razítek vč. vzájemného uznávání autorit v rámci EU.

Od toku 2024 je schválené rozšíření eIDAS označované jako (eIDAS 2.0), které zavádí mimo jiné Evropskou digitální peněženku. Ta má umožnit bezpečné uchovávání a sdílení osobních údajů, dokladů, certifikátů a také i zdravotních údajů napříč EU.

 

Zákon 372/2011 - Zákon o zdravotních službách a podmínkách jejich poskytování (zákon o zdravotních službách) 

§ 55a 

(4) Poskytovatel záznamy ve zdravotnické dokumentaci vedené v elektronické podobě nebo její části vedené v elektronické podobě, které předává jiné osobě, autorizuje tak, že je opatří 

a) resortním elektronickým časovým razítkem nebo kvalifikovaným časovým elektronickým razítkem a zaručenou elektronickou pečetí založenou na certifikátu pro elektronickou pečeť vydaném ministerstvem nebo uznávanou elektronickou pečetí poskytovatele, nebo 

b) resortním elektronickým časovým razítkem nebo kvalifikovaným elektronickým časovým razítkem a 

1. zaručeným elektronickým podpisem zdravotnického pracovníka, který je vyhotovil, založeným na certifikátu pro elektronický podpis vydaném ministerstvem obsahujícím identifikaci poskytovatele, nebo 

2. uznávaným elektronickým podpisem zdravotnického pracovníka, který je vyhotovil, pokud je podpis založen na kvalifikovaném certifikátu pro elektronický podpis obsahujícím identifikaci poskytovatele. 

 

Základní funkce a přínos pro:   

Občana  

Občan (pacient) bude mít k dispozici centralizované místo, odkud si bude moci pomocí portálu NPEZ nebo mobilní aplikace EZkarta vyžádat evidenci (přehled) činností provedených v Integrovaném datovém rozhraní a vztahujících se k jeho osobě coby pacientovi, a to zejména co se týče údaje o času a typu provedené činnosti, stejně tak i jejím účelu a identifikaci původce dané činnosti. 

Zdravotnický pracovník 

Zdravotní pracovník bude mít k dispozici centralizované místo, odkud si bude moci pomocí portálu NPEZ nebo mobilní aplikace EZkarta vyžádat evidenci (přehled) činností provedených v Integrovaném datovém rozhraní a vztahujících se k jeho osobě coby zdravotnickému pracovníkovi, a to zejména co se týče údaje o času a typu provedené činnosti, stejně tak i jejím účelu a identifikaci původce dané činnosti.