Acest ghid este destinat operatorilor de platforme telehealth, serviciilor de monitorizare la distanță și aplicațiilor de sănătate digitală clasificate ca entități importante în România. Veți înțelege obligațiile specifice de securitate a datelor pacienților, alinierea GDPR+NIS2 și cerințele de raportare a incidentelor care afectează continuitatea îngrijirii.
Platformele de teleconsultație, serviciile de monitorizare la distanță a pacienților și aplicațiile de sănătate digitală care procesează date de sănătate sensibile și au minim 50 de angajați sau încasări anuale de cel puțin 10 milioane EUR sunt clasificate ca entități importante în baza NIS2. Această clasificare include și operatorii care furnizează servicii esențiale pentru sisteme spitalicești și centre medicale, indiferent de dimensiunea lor, dacă întreruperea serviciului ar afecta furnizarea de îngrijiri medicale.
Platformele telehealth trebuie să implementeze criptare end-to-end obligatorie pentru toate consultațiile video și mesajele dintre pacienți și profesioniști medicali. Aceasta înseamnă că nici operatorul platformei, nici furnizorii terți de hosting nu pot accesa conținutul comunicării. Certificatele TLS 1.2 sau superior sunt insuficiente; trebuie implementată criptare de nivel aplicație cu chei gestionate separat de platforma de transmisie.
Fiecare operator de platformă trebuie să semneze acorduri formale de prelucrare a datelor (DPA) cu toți sub-procesatorii, inclusiv furnizorii de stocare cloud, furnizori de analytics, și sistemele de integrare cu EHR-urile spitalicești. Acordurile trebuie să detalieze locurile de procesare, durata retenției datelor și garanțiile de securitate. Omiterea unui singur sub-processor expune platforma la incalcări de GDPR și NIS2.
Aplicațiile mobile de sănătate și interfețele web ale platformelor telehealth trebuie supuse testărilor de penetrare efectuate de terți independenți cel puțin o dată pe an. Rapoartele trebuie să acopere vulnerabilități de autentificare, valori ale sesiunilor, injecție SQL, și gestionarea certificatelor. Defectele descoperite trebuie corectate în termen de 30 de zile, cu dovezi documentate.
Orice incident de securitate (atac cibernetic, pană de sistem, scurgere de date) care întrerupe accesul pacienților la serviciile de teleconsultație sau monitorizare la distanță trebuie raportat DNSC în termen de maximum 24 de ore. Raportul trebuie să includă descrierea incidentului, numărul de pacienți afectați, măsurile de remediere și durata timpului de inactivitate a serviciului.
Platformele telehealth trebuie să menține planuri formale de continuitate a activității (BCP) și recuperare în caz de dezastru (DRP) care garantează reactivarea serviciilor în maxim 4 ore după o întrerupere majore. Planurile trebuie testate prin simulări cel puțin o dată la 12 luni, cu inregistrări și rezultate documentate. Trebuie identificate sisteme de backup și centre alternative de operare.
GDPR reglementează protecția datelor personale și drepturile pacienților (consimțământ, drept la ștergere), iar NIS2 impune măsuri tehnice și organizatorice de securitate cibernetică pentru entitățile importante. Pentru platformele telehealth, aceasta înseamnă că GDPR cere criptare și DPA-uri, iar NIS2 cere criptare end-to-end obligatorie, raportare incidentelor în 24 de ore și planuri de continuitate a activității testate anual.
Nu există aprobare prealabilă de DNSC necesară, dar platformele trebuie să semneze DPA-uri cu furnizorii cloud care să detalieze locurile de procesare și garanțiile de securitate. Datele pacienților trebuie criptate înainte de încărcare, iar furnizorul cloud trebuie clasificat ca sub-processor. DNSC poate inspecta conformitatea în cadrul auditurilor.
Neraportarea sau raportarea târzie a incidentelor care afectează continuitatea îngrijirii pacienților este sancționată cu amenzi de până la 10 milioane EUR sau 2% din cifra de afaceri globală anuală, oricare este mai mare. Suplimentar, DNSC poate impune măsuri corective obligatorii și suspenderea parțială a serviciilor digitale până la remedierea incidentului.