Zakon o digitalizaciji zdravstva (ZDigZ)

Upravljavci zbirk podatkov iz tega zakona in družba zagotovijo uporabo določb o ukrepih za obvladovanje tveganj in priglasitvi incidentov iz zakona, ki ureja informacijsko varnost, saj bi motnja pri opravljanju njenih storitev lahko pomembno vplivala na javno zdravje, centralna informacijsko-komunikacijska infrastruktura pa šteje zaradi njenega posebnega pomena na državni ravni za kritično infrastrukturo za sektor zdravja v skladu z zakonom, ki ureja kritično infrastrukturo.

Izvajalci zdravstvene dejavnosti, ki niso zavezanci v skladu z zakonom, ki ureja informacijsko varnost, morajo izpolnjevati minimalne varnostne zahteve glede informacijske varnosti.

Za informacijsko varnost osebnih podatkov v zbirkah podatkov v skladu s tem zakonom so odgovorni upravljavci zbirk podatkov.

Družba kot pogodbeni obdelovalec zbirk podatkov določi ukrepe za varnost podatkov v zbirki CeZZ, zbirki VVZ, zbirki DSZ, zbirki DOS in zbirkah na področju javnega zdravja, tako da zagotavljajo njihovo zaupnost, celovitost in razpoložljivost v skladu z naravo podatkov in tveganji, ki spremljajo njihovo obdelavo, ter način izpolnjevanja drugih obveznosti, povezanih z varnostjo osebnih podatkov, kot jih določajo predpisi s področja varstva osebnih podatkov.

Pooblaščena oseba za varstvo osebnih podatkov na NIJZ izvaja redni letni notranji nadzor nad obdelavami osebnih podatkov v zbirki CeZZ, zbirki VVZ in zbirki DOS in o tem poroča Informacijskemu pooblaščencu do 31. januarja tekočega leta za preteklo leto.

Za namen pravočasnega odzivanja na kibernetske grožnje in preprečevanja škodljivih posledic morebitnega hujšega ali kritičnega incidenta ter zaradi izvajanja kibernetske obrambe lahko NIJZ družbi naloži izvedbo ustreznih, nujnih in sorazmernih ukrepov za zaščito centralne informacijsko-komunikacijske infrastrukture. Ukrepi vključujejo tudi začasni odklop posameznega subjekta iz drugega odstavka 3. člena tega zakona iz centralne informacijsko-komunikacijske infrastrukture, dokler zaznana tveganja niso odpravljena.

Revizijske sledi o obdelavi podatkov v zbirki CeZZ, zbirki VVZ, zbirki DOS in zbirkah na področju javnega zdravja zagotavlja družba. V drugih zbirkah podatkov iz tega zakona revizijske sledi zagotovijo upravljavci sami.

Revizijske sledi o obdelavi podatkov v zbirkah iz tega zakona se hranijo pet let po izteku koledarskega leta vnosa, spremembe, dostopa ali izbrisa podatkov.