LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRAS

 

ĮSAKYMAS

DĖL SVEIKATOS PRIEŽIŪROS ĮSTAIGŲ INFORMACINIŲ SISTEMŲ ĮTEISINIMO DOKUMENTACIJOS

 

2017 m. liepos 28 d. V-921

Vilnius

 

 

Vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 30 ir 31 straipsniais ir vykdydamas Valstybinio audito „Elektroninės sveikatos sistemos kūrimas“ rekomendacijų įgyvendinimo priemonių plano, patvirtinto Lietuvos Respublikos sveikatos apsaugos ministro 2017 m. gegužės 29 d. įsakymu Nr. V-618 „Dėl Valstybinio audito „Elektroninės sveikatos sistemos kūrimas“ rekomendacijų įgyvendinimo priemonių plano patvirtinimo“, 2.1 priemonę:

1. T v i r t i n u pridedamas:

1.1. Sveikatos priežiūros įstaigos (viešosios įstaigos ir biudžetinės įstaigos) informacinės sistemos įteisinimo dokumentacijos parengimo rekomendacijas;

1.2. Privačios sveikatos priežiūros įstaigos informacinės sistemos, gaunančios duomenis iš valstybės informacinių sistemų ar registrų, dokumentacijos parengimo rekomendacijas.

2. P a v e d u įsakymo vykdymą kontroliuoti viceministrui pagal veiklos sritį.

 

 

 

Sveikatos apsaugos ministras                                                                                   Aurelijus Veryga

 

PATVIRTINTA

Lietuvos Respublikos sveikatos apsaugos ministro

2017 m. liepos 28 d. įsakymu Nr. V-921

 

 

sveikatos priežiūros įstaigOS (viešOSIOS įstaigOS ir biudžetinės įstaigos) informacinĖS sistemOS ĮTEISINIMO dokumentacijos PArengimO rekomendacijos

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1. Sveikatos priežiūros įstaigos (viešosios įstaigos ir biudžetinės įstaigos) informacinės sistemos įteisinimo dokumentacijos parengimo rekomendacijos (toliau – Rekomendacijos) nustato  sveikatos priežiūros įstaigos (viešosios įstaigos ir biudžetinės įstaigos) informacinės sistemos įteisinimo dokumentacijos sąrašą, informacinės sistemos įteisinimo dokumentams parengti reikalingų teisės aktų, kuriais sveikatos priežiūros įstaigos (viešosios įstaigos ir biudžetinės įstaigos) turi vadovautis rengdamos informacinės sistemos įteisinimo dokumentaciją, sąrašą ir sveikatos priežiūros įstaigos (viešosios įstaigos ir biudžetinės įstaigos) informacinės sistemos įteisinimo principus.

2. Rekomendacijose vartojamo sąvokos suprantamos taip, kaip jos apibrėžtos Rekomendacijose minimuose teisės aktuose.

 

II SKYRIUS

SVEIKATOS PRIEŽIŪROS ĮSTAIGOS (VIEŠOSIOS ĮSTAIGOS IR BIUDŽETINĖS ĮSTAIGOS) INFORMACINĖS SISTEMOS STEIGIMO IR ĮTEISINIMO DOKUMENTACIJA

 

3. Sveikatos priežiūros įstaiga (viešoji įstaiga ir biudžetinė įstaiga) (toliau – SPĮ) informacinei sistemai (toliau – IS) steigti ir įteisinti Registrų ir valstybės informacinių sistemų registre turi parengti šiuos dokumentus:

3.1. IS nuostatus;

3.2. IS duomenų saugos nuostatus;

3.3. IS techninį aprašymą (specifikaciją).

4. SPĮ, rengdama IS nuostatus, vadovaujasi šiais teisės aktais:

4.1. Lietuvos Respublikos civiliniu kodeksu;

4.2. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu;

4.3. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

4.4. Lietuvos Respublikos kibernetinio saugumo įstatymu;

4.5. Lietuvos Respublikos sveikatos sistemos įstatymu;

4.6. Lietuvos Respublikos sveikatos priežiūros įstaigų įstatymu;

4.7. Lietuvos Respublikos pacientų teisių ir žalos sveikatai atlyginimo įstatymu;

4.8. Lietuvos Respublikos sveikatos draudimo įstatymu;

4.9. Lietuvos Respublikos farmacijos įstatymu;

4.10. Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“ (toliau – Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašas);

4.11. kitais teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą, saugojimą ir sunaikinimą.

5. SPĮ, rengdama IS duomenų saugos nuostatus, vadovaujasi šiais teisės aktais:

5.1. Lietuvos Respublikos sveikatos sistemos įstatymu;

5.2. Lietuvos Respublikos sveikatos priežiūros įstaigų įstatymu;

5.3. Lietuvos Respublikos pacientų teisių ir žalos sveikatai atlyginimo įstatymu;

5.4. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu;

5.5. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

5.6. Lietuvos Respublikos kibernetinio saugumo įstatymu;

5.7. Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinimo“;

5.8. Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

5.9. Bendraisiais reikalavimais organizacinėms ir techninėms asmens duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms patvirtinimo“;

5.10. Lietuvos standartais LST ISO/IEC 27001 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“, LST ISO/IEC 27002 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“;

5.11. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

5.12. kitais teisės aktais, reglamentuojančiais elektroninės informacijos tvarkymo teisėtumą, informacinės sistemos valdytojo ir tvarkytojų veiklą ir elektroninės informacijos saugos valdymą.

6. SPĮ, rengdama IS specifikaciją, vadovaujasi šiais teisės aktais:

6.1. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu;

6.2. Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos direktoriaus 2014 m. vasario 25 d. įsakymu Nr. T-29 „Dėl Valstybės informacinių sistemų gyvavimo ciklo valdymo metodikos patvirtinimo“;

6.3. SPĮ IS nuostatais;

6.4. SPĮ IS duomenų saugos nuostatais;

6.5. Sveikatos priežiūros įstaigų informacinių sistemų susiejimo su e. sveikatos paslaugų ir bendradarbiavimo infrastruktūra reikalavimais ir techninėmis sąlygomis, patvirtintais Lietuvos Respublikos sveikatos apsaugos ministro 2010 m. gruodžio 17 d. įsakymu Nr. V-1079 „Dėl Sveikatos priežiūros įstaigų informacinių sistemų susiejimo su E. sveikatos paslaugų ir bendradarbiavimo infrastruktūra reikalavimai ir techninės sąlygos“;

6.6. Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais.

7. SPĮ IS įteisinti reikalingus dokumentus rengia, derina ir tvirtina vadovaudamosi Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašu. SPĮ, teikdamos derinti IS įteisinimo dokumentus Informacinės visuomenės plėtros komitetui ir suinteresuotoms institucijoms, kartu su derinti teikiamais dokumentų projektais teikia ir suderinimo su Lietuvos Respublikos sveikatos apsaugos ministerija rašto kopiją.

8. SPĮ rengia ir organizuoja IS priėmimo ir tinkamumo eksploatuoti aktą, vadovaudamosi Valstybės informacinės sistemos gyvavimo ciklo valdymo metodikos, patvirtintos Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos direktoriaus 2014 m. vasario 25 d. įsakymu Nr. T-29 „Dėl Valstybės informacinių sistemų gyvavimo ciklo valdymo metodikos patvirtinimo“, 5 priedu.

9. Atsižvelgiant į tai, kad SPĮ IS yra registruojama Registrų ir valstybės informacinių sistemų registre, SPĮ turi Informacinės visuomenės plėtros komitetui pranešti apie SPĮ IS įsteigimą ir pateikti įteisinimo dokumentus.

10. Rengiant SPĮ IS įteisinimo dokumentaciją, rekomenduojama susipažinti su patvirtintų informacinių sistemų įteisinimo dokumentų pavyzdžiais, kuriuos galima rasti Registrų ir valstybės informacinių sistemų registre adresu: http://registrai.lt/login.

 

 

____________________

 

PATVIRTINTA

Lietuvos Respublikos sveikatos apsaugos ministro

2017 m. liepos 28 d. įsakymu Nr. V-921

 

 

PRIVAČIos sveikatos priežiūros įstaigos informacinĖS sistemOS, gaunaNČIOS duomenis iš valstybės informacinių sistemų ar registrų, S dokumentacijos PArengimO rekomendacijos

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1. Privačios sveikatos priežiūros įstaigos informacinės sistemos, gaunančios duomenis iš valstybės informacinių sistemų ar registrų, dokumentacijos parengimo rekomendacijos (toliau – Rekomendacijos) nustato, kokią ir kaip informacinės sistemos dokumentaciją turi pasirengti privati sveikatos priežiūros įstaiga.

2. Rekomendacijose vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Rekomendacijose minimuose teisės aktuose.

 

II SKYRIUS

PRIVAČIOS SVEIKATOS PRIEŽIŪROS ĮSTAIGOS INFORMACINĖS SISTEMOS, GAUNANČIOS DUOMENIS IŠ VALSTYBĖS INFORMACINIŲ SISTEMŲ AR REGISTRŲ, DOKUMENTACIJA

 

3. Valstybės informacinės sistemos (toliau – IS) valdytojas ar tvarkytojas, turintis tikslą realizuoti valstybės IS informacinę sąsają su privataus subjekto tvarkoma IS, kuriai netaikomos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo nuostatos, privačiam subjektui turi nustatyti būtinus techninius ir (ar) organizacinius reikalavimus, kad būtų realizuotos valstybės IS valdytojo ir tvarkytojo pareigos bei atsakomybė. Privati sveikatos priežiūros įstaigos (toliau – SPĮ) , jei jos IS gauna duomenis iš valstybės informacinės sistemos ar registro, pasirengia privačios SPĮ IS naudojimo tvarkos aprašą, kuriame išdėstomi įsipareigojimai užtikrinti valstybės IS valdytojo ir tvarkytojo nustatytus techninius ir organizacinius reikalavimus, ir aprašą derina su Lietuvos Respublikos sveikatos apsaugos ministerija ir kitais valstybės IS valdytojais, iš kurių valdomų valstybės IS numatoma gauti duomenis.

4. Privati SPĮ, tvarkanti pacientų duomenis ir ypatingus asmens duomenis, turi pasirengti ir pasitvirtinti SPĮ asmens duomenų tvarkymo taisykles. Kelios privačios SPĮ ar Lietuvos privačių sveikatos priežiūros įstaigų asociacija gali pasirengti privačios SPĮ asmens duomenų tvarkymo pavyzdinių taisyklių šabloną, kuriuo galėtų vadovautis privati SPĮ, rengdama įstaigos asmens duomenų tvarkymo taisykles.

5. Privati SPĮ, tvarkanti pacientų duomenis ir ypatingus asmens duomenis, turi teikti pranešimą Valstybinei duomenų apsaugos inspekcijai (toliau – VDAI) dėl išankstinės patikros atlikimo. Lietuvos privačių sveikatos priežiūros įstaigų asociacija ar bet kuri sveikatos priežiūros įstaiga, kai viena ar kelios privačios SPĮ suteikia joms įgaliojimus, gali teikti VDAI bendrus pranešimus dėl išankstinės patikros atlikimo. VDAI, išnagrinėjusi pranešimą, priima sprendimą dėl leidimo tvarkyti asmens duomenis išdavimo ir SPĮ įregistravimo į Asmens duomenų valdytojų valstybės registrą. Šis reikalavimas galioja iki 2018 m. gegužės 25 d., kol bus pradėtas taikyti 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 „Dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo“.

6. Rengiant privačios SPĮ IS asmens duomenų tvarkymo taisykles ir pranešimą VDAI, rekomenduojama susipažinti su informacija, pateikiama Valstybinės duomenų apsaugos inspekcijos interneto puslapyje adresu: https://www.ada.lt/.

 

____________