Раздел I
Общи положения
Чл. 1. (1) С тази наредба се уреждат:
видът на информацията и начинът, условията и редът, по които тя се предоставя от лечебните и здравните заведения в Министерството на здравеопазването за създаването и поддържането на електронните здравни записи на гражданите в Националната здравноинформационна система (НЗИС), администрирана и поддържана от Министерството на здравеопазването;
условията и редът за водене на регистрите, информационните бази от данни и системи, включени в НЗИС;
условията и редът за предоставяне на достъп до информацията в електронния здравен запис;
информационната сигурност и защитата на личните данни в НЗИС;
обменът на информация с други регистри, информационни бази от данни и системи.
(2) За целите на ал. 1 с наредбата се уреждат и структурата на НЗИС и съдържанието на електронния здравен запис на гражданите.
Чл. 2. Националната здравноинформационна система може да бъде използвана като интеграционна платформа с ресурсите на електронното управление за събиране на информация с оглед предоставяне на административни услуги от Министерството на здравеопазването и второстепенните разпоредители с бюджет към министъра на здравеопазването, и за предоставяне на медицински услуги от разстояние, в това число телемедицина, теледиагностика и телемониторинг, съобразно уредбата им в нормативен акт.
Раздел II
Структура на НЗИС
Чл. 3. (1) В НЗИС се събира, обработва и съхранява информация за здравното състояние на населението чрез създаване и поддържане на електронен здравен запис на всеки гражданин.
(2) Информационната система по ал. 1 включва електронните здравни записи на гражданите и всички регистри, информационни бази от данни и системи, за които е предвидено в тази наредба или в друг нормативен акт, че се водят от Министерството на здравеопазването и второстепенните разпоредители с бюджет към министъра на здравеопазването, от лечебните и здравните заведения, от Националната здравноосигурителна каса (НЗОК) и от застрахователните дружества, лицензирани по т.
2 или по т. 1 и 2 от раздел II, буква „А“ на приложение № 1 към Кодекса за застраховането.
Чл. 4. (1) Националната здравноинформационна система е интегрирана информационна инфраструктура, която се състои от системни модули, подсистемни функционалности, интеграции и бази данни.
Функционалността на НЗИС като информационна платформа се осигурява чрез поддържане на:
здравноинформационен уеб портал на системата – www.his.bg;
единна среда за обмен на данни;
номенклатури;
електронни здравни записи;
публични и служебни електронни регистри, информационни бази от данни и системи;
възможност за идентификация и автентикация.
Като част от функционалността на НЗИС може да бъде осигурена и възможност за предоставяне на административни услуги.
Чл. 5. (1) Достъпът до НЗИС се осигурява чрез здравноинформационния уеб портал www.his.bg.
Здравноинформационният уеб портал по ал. 1 осигурява единна входна точка за достъп до НЗИС.
Чрез здравноинформационния уеб портал се осигурява и достъп до електронни здравни записи, приложими стандарти и спецификации за обмен на данни и осигуряване на оперативна съвместимост, и актуална информация за развитието на техническите възможности и функционалностите на системата.
Чл. 6. (1) Единната среда за обмен на данни осигурява потоците от данни и въвежда контроли, механизми и програмни интерфейси за връзка и обмен на данни чрез електронни документи, като използва номенклатурите за обмен на данни по чл. 7, ал. 1.
(2) Програмните интерфейси и номенклатурите за обмен на данни между съответните интегрирани софтуерни платформи и НЗИС се създават, поддържат и актуализират текущо за НЗИС от Министерството на здравеопазването като администратор на системата, в това число в съответствие със степените на изграждане и внедряване на функционалности на НЗИС и развитие на системата.
Чл. 7. (1) Чрез поддържането на номенклатури се управляват и съхраняват адаптирани национални номенклатури, класификатори, терминологични речници, терминологии, елементи и набори от данни, индикатори и набори от индикатори, необходими за обмена на данни и за семантичната оперативна съвместимост в НЗИС.
(2) Номенклатурите, класификаторите, речниците и другите елементи и набори по ал. 1 се въвеждат и обновяват от администратора на НЗИС и се внедряват в актуалния им вид от съответните интегрирани софтуерни платформи.
Чл. 8. Чрез поддържането на електронни здравни записи системата генерира, обработва и съхранява информацията от съдържанието на електронните здравни записи на гражданите по тази наредба.
Чл. 9. Чрез поддържането на публични и служебни електронни регистри, информационни бази от данни и системи се управляват процесите по вписване, обработване и съхраняване на данни в регистрите, информационните бази от данни и системите в НЗИС и обменът на данни с единната среда.
Чл. 10. Идентификацията и автентикацията служат за установяване на идентичност на потребителите на системата и на съответния специалист от лечебното или здравното заведение, който въвежда данни, както и за потвърждаване на произхода и целостта на данните в електронна форма.
Чл. 11. Възможностите за предоставяне на административни услуги са свързани с реализиране на процеси във връзка с предоставяне на услуги за потребителите и на вътрешноадминистративни услуги. Достъпът до електронни административни услуги се осъществява и през Единния портал за достъп до електронни административни услуги по чл. 12, ал. 1 от Закона за електронното управление с всички ресурси на електронното управление.
Чл. 12. Националната здравноинформационна система функционира въз основа на задължителни образци, формати, номенклатури, стандарти, спецификации, програмни интерфейси и други елементи и изисквания за структуриране на информацията и обмена на данни, които съобразяват изискванията на тази наредба и се публикуват в здравноинформационния уеб портал на системата www.his.bg и на интернет страницата
на Министерството на здравеопазването след одобрение от министъра на здравеопазването.
Раздел III
Електронни здравни записи
Чл. 13. (1) Електронният здравен запис представлява структура от данни за всяка една от извършените от медицинските и немедицинските специалисти в лечебните и здравните заведения дейности, с които се създава или използва здравна информация за гражданина или които са относими към неговото здравно състояние независимо от неговия здравен статус и източника на финансиране на съответната дейност.
Медицинските и немедицинските специалисти в лечебните и здравните заведения са длъжни да оформят електронния здравен запис по ал. 1 като стандартизиран електронен документ със структурирана информация в НЗИС чрез интегрираните софтуерни платформи/специализирани медицински софтуери на лечебните и здравните заведения и съобразно индивидуална автоматизирана оторизация в НЗИС.
Съдържанието на електронния здравен запис като структурирана информация произтича от вида извършвана дейност по ал. 1 и от вида медицинска документация, приложима съобразно тази наредба или друг нормативен акт.
Към електронния здравен запис се прилагат и електронни образи на резултати от образни изследвания, които се съхраняват отделно и се достъпват по заявка. В срок до 24 часа от постъпването на заявката на заявителя се изпраща линк за ръчно изтегляне на електронните образи.
В НЗИС се събира и съхранява и неструктурирана информация от електронни образи на резултати по ал. 4 и от съгласия и удостоверявания на гражданина, както и друга неструктурирана информация по изключение, при осигурена защита на личните данни съобразно тази наредба. Допустимите формати за събираната и съхранявана неструктурирана информация се одобряват и публикуват по реда на чл. 12.
Чл. 14. (1) При постъпване в НЗИС на документ по чл. 13, ал. 2 от лечебно или здравно заведение системата автоматизирано генерира електронен здравен запис и уникален Национален референтен номер (НРН) на издадения документ, както и референтен номер на операцията/услугата.
Лечебните и здравните заведения предоставят изготвената от тях здравна документация към НЗИС във формата на електронен документ, подписан с квалифициран електронен подпис (КЕП), съгласно изискванията на Регламент (ЕС) № 910/2014 на Европейския парламент и на Съвета от 23 юли 2014 г. относно електронната идентификация и удостоверителните услуги при електронни трансакции на вътрешния пазар и за отмяна на Директива 1999/93/ЕО и на Закона за електронния документ и електронните удостоверителни услуги (ОВ, L 257/73 от 28 август 2014 г.) и на Закона за електронния документ и електронните удостоверителни услуги, както и с поставен електронен печат, когато е приложимо.
Документацията се предоставя с изготвянето й при съобразяване на образците, форматите, номенклатурите, интерфейсите и другите елементи и изисквания по чл. 12.
Когато нормативен акт изисква гражданинът да удостовери свое изявление или да изрази свое съгласие с подписа си върху медицински документ, при издаването му като електронен документ за нуждите на НЗИС за полагането на подписа от лицето се прилага съответно чл. 25, ал. 2. Прегледът на пациент задължително се удостоверява от него в НЗИС по един от посочените в чл. 25, ал. 2 начини.
За целите на тази наредба медицински документ, издаден като електронен документ и изпратен към НЗИС чрез специализирания медицински софтуер на лечебно или здравно заведение, не се:
предоставя на хартиен носител при възможност за електронен обмен между страните или осигурен техен достъп до него в НЗИС; екземпляр от документа се предоставя на пациента на хартиен носител само ако той поиска такъв;
съхранява на хартиен носител в лечебните и здравните заведения и не се архивира; в този случай е достатъчно наличието на екземпляр от документа в НЗИС и/или в специализирания медицински софтуер на лечебното или здравното заведение.
Чл. 15. (1) Всички здравни записи в НЗИС за гражданина образуват електронно здравно досие на лицето. Електронното здравно досие се генерира автоматично с генерирането на първия електронен здравен запис за гражданина. За всяко живо новородено дете първият електронен здравен запис е информацията за раждането.
Едновременно с образуването на електронно здравно досие системата генерира и уникален системен идентификационен код за гражданина. Уникалният системен идентификационен код се генерира за нуждите на функционирането на НЗИС, той не служи за достъп на гражданина до системата и от него не могат да бъдат извличани лични данни на гражданина.
Електронното здравно досие има следната структура:
идентификационни данни на лицето: имена; ЕГН/ЛНЧ, а за чуждите граждани без ЛНЧ – дата на раждане във формáта, приложим за ЕГН, или социално-осигурителен номер, или номер на документ за самоличност; гражданство;
информация за новороденото;
медицински прегледи, в това число информация за контакт на лицето със заразно болни лица;
направления;
резултати от медико-диагностични дейности;
хоспитализации;
имунизации;
рецепти (електронни предписания);
диспансеризация;
медицинска експертиза на временната неработоспособност, експертиза на трайно намалената работоспособност/вид и степен на увреждане;
информация за изразено несъгласие за донорство съгласно Закона за трансплантация на органи, тъкани и клетки и Наредба № 21 от 3.05.2007 г. за обстоятелствата и данните, които се вписват в регистрите на Изпълнителната агенция
„Медицински надзор“, редът за вписване и ползване на информацията (ДВ, бр. 39 от 2007 г.);
други данни за лицето: постоянен и настоящ адрес, статут на пребиваване, телефон и други средства за контакт;
данни за контакт с близки (имена, телефон и др.);
дата на смъртта.
Електронното здравно досие осигурява бърз достъп до здравна информация за лицето, необходима при спешни състояния, в следния обхват:
имена и ЕГН;
кръвна група;
алергии;
задължителни и други проведени имунизации;
прекарани остри инфекциозни заболявания;
установени хронични заболявания или увреждания;
провеждано или провеждащо се медикаментозно или друго лечение;
вложени медицински изделия;
данни за контакти с близки (имена, телефон и др.).
Данните за контакти с близки могат да бъдат задавани в системата и от лицето и да бъдат изменяни от него по всяко време.
Съдържанието на отделните елементи на структурата на електронното здравно досие и техният дизайн се одобряват и публикуват по реда на чл. 12.
Електронният здравен запис и електронното здравно досие се вписват като информационни обекти в съответния регистър за оперативна съвместимост по Закона за електронното управление.
Чл. 16. (1) След създаването им поддържането на електронните здравни досиета на гражданите в актуален вид се извършва чрез:
генериране на нови електронни здравни записи при изпълнение на дейности от лечебни и здравни заведения;
коригиране на здравни записи;
отнасяне на електронни здравни досиета като неактивни (архивиране).
Поддържането по ал. 1, т. 1 се извършва по реда за първично въвеждане на данни от медицинските и немедицинските специалисти в лечебните и здравните заведения съобразно тяхната оторизация.
Коригирането на здравни записи по ал. 1, т. 2 представлява промяна на един или повече здравни записи в електронното здравно досие на гражданина поради неточност или непълнота на съдържащите се в тях данни.
В зависимост от характера на електронния здравен запис и от това дали той е функционално свързан с други електронни здравни записи, коригирането се извършва по един от следните начини: чрез промяна на данни в здравните записи, анулиране на цели здравни записи или анулиране на записи и създаване на нови записи.
В срок до 7 дни от генерирането на здравния запис лечебното или здравното заведение, което го е извършило, по своя инициатива или по искане на гражданина, субект на данните, има право самостоятелно да коригира записа, без да е необходимо уведомяване или намеса от страна на администратора на НЗИС.
Извън срока по ал. 5 коригирането се извършва по процедура за коригиране, утвърдена със заповед на министъра на здравеопазването. Заповедта се публикува в здравноинформационния уеб портал на системата www.his.bg и на интернет страницата на Министерството на здравеопазването.
Процедурата за коригиране по ал. 6 се инициира по искане на лечебното или здравното заведение, извършило записа, или по искане на гражданина, за който се отнася записът. Процедурата се провежда при спазване на следните правила:
неточности и непълноти в електронен здравен запис, допуснати при въвеждане на данни от лечебните и здравните заведения, се отстраняват чрез замяна на създадения здравен запис с нов генериран от същото лечебно или здравно заведение запис, от който да е ясен и начинът на корекция;
заявките за корекции се внасят по начин, който позволява идентификация на неточността или необходимото допълнение за отстраняване на допуснатата непълнота;
неточности и непълноти в електронното здравно досие извън съдържанието на електронните здравни записи се отстраняват от администратора на НЗИС или определено от него лице служебно, по искане на гражданина – титуляр на здравното досие, или по искане на лечебно или здравно заведение;
системата осигурява възможност за създаване и внасяне на искания за корекции на неточности и отстраняване на непълноти по електронен път чрез онлайн формуляри;
системата осигурява обратно предаване на информация в случаите, в които са извършени действия по отстраняване на неточности и непълноти, чрез върнат статус, съобщения за отстраняване и замяна на невалидните електронни здравни записи с генерираните корективни такива;
неточности и непълноти в самите компоненти на системата и съдържащите се в тях данни се отстраняват по реда за нейната поддръжка.
При поддържането на електронните здравни записи се води хронологичен регистър на всички извършени корекции в електронното здравно досие (подсистема за тяхното наблюдение, отчитане и контрол), който е достъпен за пациента. Всяко отстраняване на неточност или непълнота се регистрира в подсистемата.
Чл. 17. (1) Електронното здравно досие на гражданина се отнася като неактивно след неговата смърт, удостоверена по надлежния ред в Регистъра на населението – Национална база данни „Население“.
Електронното здравно досие се съхранява за срок петдесет години от датата на смъртта на лицето.
Информация от електронните здравни досиета на починали лица може да се ползва за статистически и научни цели, както и за други цели във връзка с управлението на услугите в системата на здравеопазването, включително след срока по ал. 2, след като бъде анонимизирана.
Раздел IV
Условия и ред за водене на регистрите, информационните бази от данни и системи в Националната здравноинформационна система и правила за водене на системата
Чл. 18. (1) Регистрите, информационните бази от данни и системи, водени от Министерството на здравеопазването и от второстепенните разпоредители с бюджет към министъра на здравеопазването, се организират като функционална част (подсистеми) на НЗИС или чрез създаване на възможности за интеграция и обмен на данни в реално време (автоматизирано).
Регистрите, извън тези по ал. 1, се включват в НЗИС чрез създаване на възможности за интеграция за обмен на данни в реално време (автоматизирано).
Регистрите, информационните бази от данни и системи по ал. 1 и 2 се водят от органите и лицата и съобразно условията и реда, определени с нормативен акт и при съобразяване на относимите образци, формати, номенклатури, интерфейси и други елементи и изисквания по чл. 12.
В здравноинформационния уеб портал на системата www.his.bg се публикува актуална информация за начина на включване на регистрите, информационните бази от данни и системи в НЗИС.
Органите и лицата по ал. 3, както и държавните органи, за които е предвиден в закон достъп до регистри с национално значение, разполагат с достъп за служебни цели до НЗИС, пропорционален на осъществяваните от тях функции.
Чл. 19. Когато за воденето на регистрите, информационните бази от данни и системи по чл. 18, ал. 1 е необходима здравна информация за гражданина, която е налична в неговото електронно здравно досие, същата се въвежда от НЗИС в съответния регистър, информационна база от данни или система автоматизирано.
Чл. 20. (1) В НЗИС се поддържат актуални данни.
Поддържането на актуалността (в това число достоверност и качество) на данните в системата се извършва от съответните лечебни и здравни заведения и съответните медицински и немедицински специалисти, изготвящи електронните документи, съобразно тяхната оторизация, както и от субектите, които водят регистрите, информационните бази от данни и системи съобразно нормативен акт, като първични администратори, в това число при съобразяване по отношение на личните данни на принципите по чл. 5 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на
Директива 95/468ЕО (Общ регламент относно защитата на данните) (ОВ, L 119/1 от 4 май 2016 г.).
Администраторът, въвел данните, и администраторът на НЗИС са задължени да съхраняват надлежно въведените данни и да ги опазват. Такова задължение има и всеки друг администратор или обработващ, който има достъп до тези данни.
Чл. 21. (1) Всяко въвеждане на данни в НЗИС се изпълнява въз основа на автоматизирана регистрация и обратна нотификация за приемането им.
За целите на въвеждането на данните в регистрите, информационните бази от данни и системи по чл. 18, ал. 1 се осигуряват подходящи, ефективни и достъпни технически средства за установяване и поправяне на грешки в процеса на въвеждането и регистрацията по правила на администратора, въвел данните. Правилата се основават на принципа на връзка между системите и на изпращане на съобщение за грешка до въвеждащото данните лице до нейното отстраняване.
Управлението и съхранението на здравната информация, съдържаща се в отделните елементи на системата, е централизирано в НЗИС.
За нуждите на НЗИС изпращането и получаването на съобщения може да бъде извършвано и през Информационната система за сигурно електронно връчване по чл. 20, т. 1, буква „а“ от Закона за електронното управление.
Раздел V
Условия и ред за предоставяне на достъп до информацията в електронния здравен запис на гражданите
Чл. 22. (1) Националната здравноинформационна система осигурява достъп на гражданина до информацията в електронните здравни записи в неговото електронно здравно досие и достъп до тази информация за служебни цели. Достъпът се извършва автоматизирано и посредством генерирани от НЗИС справки.
Достъпът на гражданина се осигурява през здравноинформационния уеб портал на системата www.his.bg.
Достъпът за служебни цели се осигурява през здравноинформационния уеб портал на системата www.his.bg чрез ресурсите на системната интеграция (автоматизирано):
посредством защитена комуникационна връзка/канал за обмен на данни – за интегрираните софтуерни платформи/специализирани медицински софтуери на лечебните и здравните заведения;
за застрахователните дружества, лицензирани по т. 2 или по т. 1 и 2 от раздел II, буква „А“ на приложение № 1 към Кодекса за застраховането;
за държавни органи, за които е предвиден в закон достъп до регистри с национално значение.
Извън случаите по ал. 3 достъпът за служебни цели на други информационни системи, в това число на Министерството на здравеопазването и НЗОК, се осъществява чрез системната интеграция, като се предоставя само до анонимизирани данни, освен ако с нормативен акт е определено друго.
Достъпът до електронното здравно досие и здравните записи в него се осъществява през програмните интерфейси по чл. 6.
В процеса по осигуряването на достъп се използва и системата за електронна автентикация, поддържана от Министерството на електронното управление.
При техническа възможност в НЗИС се поддържат механизми против копиране на данни.
Чл. 23. (1) Всеки гражданин има право на личен безвъзмезден достъп до електронните здравни записи в неговото електронно здравно досие и да се запознае с цялата здравна информация в тях. Лицето може да упълномощи писмено друго лице за това.
Достъпът на лицето се предоставя въз основа на идентификация посредством КЕП или на електронна идентификация по смисъла на Закона за електронната идентификация.
При спазване на ал. 2 за предоставяне на мобилен достъп до системата на гражданите се осигурява достъп чрез мобилно приложение „Мобилно здравно досие“. Приложението дава възможност единствено за преглед на данните от лицето, за което се отнасят.
Родители, попечители и настойници имат право на достъп до електронните здравни записи от електронното здравно досие на техните ненавършили пълнолетие низходящи от първа степен, съответно подопечни лица. При навършване на 18 години от детето/подопечното лице достъпът до неговото електронно здравно досие на родителите, попечителите и настойниците се прекратява автоматично освен при наличието на документ за попечителство или настойничество.
Непълнолетните лица имат право на самостоятелен достъп до електронното си здравно досие, паралелно с този на техен родител или попечител.
Чл. 24. (1) Достъп до електронните здравни записи на починало лице имат неговите наследници и роднини по права и по съребрена линия до четвърта степен включително.
(2) Достъпът по ал. 1 се осъществява въз основа на заявление, подадено онлайн до администратора на НЗИС и подписано с КЕП. Въз основа на заявлението администраторът генерира парола за достъп и я изпраща на посочена от заявителя електронна поща след служебна проверка на родствените връзки на лицата в регистъра на населението по чл. 29, ал. 4 в съответните случаи.
Чл. 25. (1) Достъпът за служебни цели се осигурява въз основа на съгласие на гражданина, съответно на неговия родител, настойник или попечител.
Съгласието по ал. 1 се дава по един от следните начини:
чрез заявяването и подписването му от лицето онлайн чрез КЕП в здравноинформационния уеб портал на системата www.his.bg; съгласието се прилага в системата като електронен здравен запис;
чрез заявяването и подписването му от лицето във формата на електронен документ с КЕП, генериран от информационната система на лечебното или здравното заведение, което изпълнява дейност по отношение на лицето; електронният документ се изпраща до системата като електронен здравен запис;
чрез заявяването и подписването му от лицето чрез техническо средство за полагане на електронен подпис (електронна писалка, таблет, който пренася подписа в цифров вид върху електронен документ и подписът може да се приравни на саморъчно положен такъв, и др.); електронният документ се изпраща до системата като електронен здравен запис; в тези случаи е необходимо лицето да подпише в лечебното или здравното заведение изричното си съгласие за ползването на този електронен подпис в отношенията между страните и за равностойността му на саморъчния подпис;
посредством генериран от НЗИС и изпратен на посочен от лицето телефонен номер еднократен код, който се посочва от лечебното или здравното заведение в съгласието, създадено като електронен документ, и има силата на положен електронен подпис от лицето; електронният документ се изпраща до системата като електронен здравен запис; в тези случаи е необходимо лицето да подпише в лечебното или здравното заведение изричното си съгласие за ползването на този електронен подпис в отношенията между страните и за равностойността му на саморъчния подпис;
чрез заявяването и подписването му от лицето на хартиен носител пред медицински или немедицински специалист, който изпълнява дейност по отношение на лицето в лечебно или здравно заведение; при техническа възможност подписаното съгласие се сканира и се изпраща до системата като електронен здравен запис, а в останалите случаи
наличието му в лечебното или здравното заведение и съдържанието му се отбелязват в електронното здравно досие на гражданина.
Съгласието по ал. 2 за достъп до електронното здравно досие за служебни цели може да се дава еднократно, да се отнася за един или няколко субекта по чл. 22, ал. 3, освен ако достъпът на някой от тях не е разрешен изрично със закон, както и да определя за кои от здравните записи в него не е приложимо.
При първичното генериране на електронното здравно досие или след това лицето може да посочи телефон и/или електронна поща за връзка, на който/която да получава съобщения от НЗИС относно обработването на данни в неговото електронно здравно досие, като по всяко време може да се откаже от получаване на съобщенията.
Съгласието по ал. 2 е част от електронното здравно досие на гражданина и е видимо за всички субекти по чл. 22, ал. 3. Националната здравноинформационна система генерира и справки за наличието на съгласие на гражданите без предоставяне на техни лични данни.
Чл. 26. (1) Даването и оттеглянето на даденото съгласие може да стане по всяко време и се извършва съответно по реда на чл. 25, ал. 2, 3 и 5.
(2) След регистрирането на даденото или оттегленото съгласие в НЗИС субектите, които са достъпвали електронното здравно досие въз основа на него, а вече не могат, автоматично губят правото си на достъп. В случай че тези субекти са направили и съхраняват копие от здравните записи на лицето в НЗИС, те са длъжни незабавно да ги изтрият.
Чл. 27. (1) При необходимост от оказване на медицинска помощ при пациент в спешно състояние медицинските специалисти от лечебните заведения имат право на достъп до информацията по чл. 15, ал. 4 от електронното здравно досие на пациента и без наличието на съгласие по чл. 25, ал. 1, когато такова липсва в електронното здравно досие и не е възможно своевременното му получаване. Необходимостта от достъп до информацията се декларира от съответния лекар по електронен път в НЗИС посредством КЕП. Пациентът се уведомява за извършения достъп.
При и по повод осъществяване на функциите си медицинските специалисти от лечебните заведения за първична извънболнична медицинска помощ имат право на неограничен достъп до всички здравни записи в електронното здравно досие на пациентите от техните регистри, както и на обърналите се към тях пациенти извън техните регистри. Необходимостта от достъп до здравните записи на пациентите извън регистъра на лечебното заведение се декларира от съответния лекар по електронен път в НЗИС посредством КЕП.
При и по повод осъществяване на функциите си медицинските специалисти от лечебните заведения за специализирана извънболнична медицинска помощ имат право на достъп до всички здравни записи в електронното здравно досие на пациента за срок не по-дълъг от тридесет календарни дни от извършения от тях първичен преглед.
При и по повод осъществяване на функциите си медицинските специалисти от болничната медицинска помощ имат право на достъп до всички здравни записи в електронното здравно досие на пациента във връзка с неговата хоспитализация и за срок не по-дълъг от тридесет календарни дни от изписването на пациента, както и в периода на осъществяване на медицинска дейност при пациента, която не изисква неговата хоспитализация.
Медицинските специалисти от здравните заведения имат право на достъп до здравните записи на пациента, които се отнасят до изпълнението на конкретна тяхна дейност по отношение на същия, при и по повод осъществяване на функциите си.
Застрахователните дружества по чл. 22, ал. 3, т. 2 имат право на достъп до относимите здравни записи на пациента при и по повод осъществяване на функциите си
във връзка с настъпило конкретно застрахователно събитие по негово доброволно здравно осигуряване въз основа на договор за медицинска застраховка по смисъла на глава четиридесета, раздел IV от Кодекса за застраховането.
Държавните органи по чл. 22, ал. 3, т. 3 имат право на достъп до необходимата им информация от съответните регистри с национално значение, посочени в закона.
Достъпът по ал. 2 – 7 се осигурява съобразно чл. 25, ал. 1. Достъпваната информация се ограничава до необходимата.
Органите на досъдебното производство, съда и определените от тях вещи лица имат право на достъп до здравните записи от електронното здравно досие на гражданина във връзка с висящи досъдебни или съдебни производства чрез съответното лечебно или здравно заведение, извършило записите, въз основа на определение на съда или постановление на наблюдаващия прокурор.
Достъпът до информацията по чл. 15, ал. 3, т. 11 се извършва съгласно Закона за трансплантация на органи, тъкани и клетки и Наредба № 21 от 3.05.2007 г. за обстоятелствата и данните, които се вписват в регистрите на Изпълнителната агенция
„Медицински надзор“, редът за вписване и ползване на информацията.
В случаите на достъп до данни в електронното здравно досие на гражданин НЗИС осигурява проследимост (одитен дневник) на действията на всеки потребител. Атрибутите, които се запазват при достъп в тези случаи, включват като минимум следните данни: дата/час на действието; модул на системата, в който се извършва действието; действие; обект, над който е извършено действието; IP адрес. При необходимост гражданите се уведомяват за извършения достъп.
Одитните записи по ал. 11 се съхраняват в рамките на срока на съхранение на електронното здравно досие по чл. 17, ал. 2.
Раздел VI
Обмен на информация
Чл. 28. (1) Националната здравноинформационна система се изгражда по начин, който позволява обмен на информация за целите на управлението на системата на здравеопазването, медицинската наука, финансирането и статистиката.
При всеки обмен по ал. 1 информацията от електронните здравни записи на гражданите се анонимизира. Предоставяната информация се ограничава до необходимата.
Националната здравноинформационна система генерира справки за наличието/липсата и съответствието/несъответствието на конкретни изисквания или обстоятелства по отношение на лицата, съдържащи се в електронното здравно досие.
Чл. 29. (1) Системата осигурява обмен на информация с други регистри и бази данни чрез средствата на системната интеграция (автоматизирано), включително с регистри по чл. 18.
Интеграцията и обменът на информация с информационни системи, бази от данни и регистри на НЗОК се реализират по начин, който позволява автоматизирано извличане на актуална информация от системите на НЗОК за здравните записи на гражданите при необходимост, съобразно Закона за здравното осигуряване, както и уведомяване на НЗОК за свързани с осъществяваните от нея функции събития във връзка с пациентите, регистрирани със съответни здравни записи в техните електронни здравни досиета.
Интеграцията и обменът на информация с регистрите на Българския лекарски съюз, Българския зъболекарски съюз, Българския фармацевтичен съюз, Българската асоциация на специалистите по здравни грижи, Българската асоциация на зъботехниците и Българската асоциация на помощник-фармацевтите се реализират по начин, който позволява автоматизираното извличане на актуална информация за правоспособността на съответните специалисти, имащи право да упражняват професията си на територията
на Република България. Интеграцията се осъществява на база предоставена услуга за проверка на УИН.
Интеграцията и обменът на данни с Регистъра на населението – Национална база данни „Население“, поддържана от Министерството на регионалното развитие и благоустройството чрез Главна дирекция „Гражданска регистрация и административно обслужване“ се осъществяват по начин, който позволява автоматизирано извличане на данни относно гражданската регистрация на лицата, които са относими и трябва да бъдат използвани при издаването на електронни рецепти, направления и други документи, за служебна проверка на правните ограничения по чл. 23, ал. 4 и родствените връзки по чл. 24, ал. 1, както и за реализацията на предаването на съобщения по чл. 25, ал. 4.
Интеграцията с информационните системи и бази от данни на Националната агенция за приходите се осъществява с цел осигуряването на възможност за проверка на здравноосигурителния статус на гражданите. Обменът на информация се осъществява по начин, позволяващ достъп до актуална информация в реално време при издаване и изпълнение на електронни рецепти и направления в системата на НЗИС.
Националната здравноинформационна система може да осигурява и интеграция с други информационни системи, поддържани от Министерството на електронното управление, както и с информационни системи на Министерството на вътрешните работи (МВР), Министерството на образованието и науката, Националния осигурителен институт и други органи, когато закон предвижда това.
Националната здравноинформационна система поддържа интеграция с регистрите, информационните бази от данни и системи на всички второстепенни разпоредители с бюджет към министъра на здравеопазването.
Интеграцията с информационните системи на Националния съвет по цени и реимбурсиране на лекарствените продукти се осъществява с цел осигуряване на стандартизиран начин на предписване, изпълнение и отчет на лекарствени продукти чрез достъп до информация за включените в Позитивния лекарствен списък лекарствени продукти и утвърдените цени на лекарствените продукти.
Системата осигурява достъп до регистъра на овластяванията на МВР по Закона за електронната идентификация и правилника за прилагането му.
Чл. 30. В системата може да бъде изградена функционалност за събиране на информация от лечебни заведения за болнична помощ, чрез която се подава информация от тях, както и от други лечебни заведения със стационар, за събития по хоспитализация и дехоспитализация, извършени дейности и разходи за лечение по видове, изисквана съгласно нормативен акт.
Раздел VII
Защита на личните данни
Чл. 31. (1) Личните данни на физическите лица в системата, включително здравните им данни, се обработват чрез НЗИС единствено за целите на НЗИС съгласно посоченото в тази наредба при условията на Общия регламент относно защитата на данните и на Закона за защита на личните данни и актовете по прилагането му и при спазване на реда и условията на тази наредба.
Администратор на личните данни в системата е Министерството на здравеопазването.
Лечебните и здравните заведения, които въвеждат, достъпват или по друг начин обработват лични данни в НЗИС, са самостоятелни администратори на лични данни. Администратори на лични данни са и органите, които водят регистри, информационни бази от данни и системи, включени в НЗИС.
Администраторите могат да извършват обработването на личните данни чрез системата и чрез възлагането му на обработващ личните данни от името на администратора.
Обменът и предоставянето на личните данни чрез системата се извършва по отношение на получатели на данните съобразно тази наредба.
При събирането и съхраняването на данни в НЗИС се съобразява и политика за поверителност при обработване на лични данни чрез НЗИС, която се одобрява и публикува по реда на чл. 12 и е съобразена с политиката за поверителност при обработване на лични данни на Министерството на здравеопазването.
Чл. 32. (1) Извън случаите по чл. 16, ал. 3 и 4 гражданите могат да упражнят правата си по Общия регламент относно защитата на данните със заявление до администратора, въвел данните, съответно до Министерството на здравеопазването. Заявлението се разглежда от администратора, до който е подадено.
Изтриване на здравни данни и записи в НЗИС е допустимо само ако се установи, че същите са събрани и обработвани незаконосъобразно или не са повече необходими за целите, за които са събрани и обработвани.
Администраторите предоставят на гражданите по ясен и прозрачен начин с всички допустими средства необходимата информация по чл. 12 – 15 от Общия регламент относно защитата на данните и за възможностите за последващо упражняване на техните права във връзка с данните.
Заявленията на гражданите за упражняване на права по Общия регламент относно защитата на данните са писмени, като могат да се подават и по електронен път, а при техническа възможност на администратора – и чрез действия в потребителския интерфейс, съгласно чл. 37б от Закона за защита на личните данни.
Раздел VIII
Киберсигурност
Чл. 33. (1) Административните органи, генериращи и достъпващи данни в НЗИС, и лечебните и здравните заведения, извършващи дейности по тази наредба, които са определени за оператори на съществени услуги и са вписани в регистъра по чл. 6, ал. 1 от Закона за киберсигурност, прилагат минималните и препоръчителни мерки за мрежова и информационна сигурност по Закона за киберсигурност и Наредбата за минималните изисквания за мрежова и информационна сигурност, приета с Постановление № 186 от 2019 г. (ДВ, бр. 59 от 2019 г.), и включват във вътрешните си правила относно дейностите във връзка с НЗИС изискванията по чл. 34 – 40.
(2) В случаите извън ал. 1 административните органи и лицата прилагат изискванията по чл. 34 – 40 по отношение на информационните и мрежовите си системи, чрез които генерират и достъпват данни в НЗИС.
Чл. 34. Всички потребители на системата с право на достъп за служебни цели, опериращи със свои информационни системи и бази данни, са длъжни да поддържат нивата на сигурност по стандартите, приложими за административните органи.
Чл. 35. (1) Лицата, които работят със системата или под чието ръководство се работи със системата, следва да притежават необходимите професионални качества за това, определени в длъжностни характеристики, заповеди или други вътрешни документи на органа/лицето по назначаване, и са обвързани със задължението за професионална тайна.
(2) Лицата и органите по чл. 13, ал. 1 и чл. 18 нямат право да достъпват и да използват здравна информация за гражданите от електронните здравни записи и от регистрите, информационните бази от данни и системи, включени в НЗИС, за цели извън посоченото в тази наредба.
Чл. 36. (1) Сигурността на системата се обезпечава и чрез:
ограниченията на достъпа до нея и неговото времетраене;
подходящи софтуерни и хардуерни решения относно системната архитектура и конфигурацията на компонентите;
високи нива на осигуреност на прилаганите схеми за електронна идентификация;
разработването и прилагането на собствен стандарт за сигурност на НЗИС;
други подходящи мерки съобразно актуалното ниво на технологиите.
(2) Достъп до базите данни е разрешен само на обслужващите ги модули.
Чл. 37. (1) Компонентите на системата оперират в дата център с високо ниво на сигурност и с осигурен резервен център.
Виртуалните машини оперират в конфигурация, при която се поддържат поне две инстанции на всеки компонент, разположени върху различни хардуерни сървъри, по начин, който осигурява нормално функциониране на системата при временно прекъсване на операциите или на връзката с един от тях.
Системата е защитена от мрежова система за сигурност (Firewall) срещу стандартни атаки по начин, който не възпрепятства отдалечения достъп – за служебни цели и потребителски.
Информацията се структурира и съхранява в релационни бази данни. Всеки модул разполага с отделна база с цел разделение на данните по тяхното предназначение.
Данните са разположени в един общ сървър база данни, който оперира в режим на асиметрична комуникация и контрол, при който едно устройство или процес контролира едно или повече други устройства или процеси и служи като техен комуникационен център в минимум две инстанции (master-slave режим).
Сървърът осигурява възможност за възстановяване на необходимия набор от данни и/или настройки от минало време (point-in-time-recovery).
Всички лични данни, както и всички други защитени от закона данни, се поддържат, обменят и съхраняват криптирани.
Системата осигурява два типа одитни архиви – един за комуникацията през публичния приложно-програмен интерфейс (публичния API) и един за достъпа до медицинска информация от потребители.
Чл. 38. Системата осигурява функционалност за непрекъсната поддръжка на актуалните стандарти за информационна сигурност и препоръките на компетентните органи в областта на киберсигурността.
Чл. 39. Всяко извършено действие се записва в системен журнал, в който като минимум се съхранява информация за дата и час на извършеното действие, включително достъпа, модула и обекта, над който е извършено действието, и потребителя, извършил действието. Записите в системния журнал се съхраняват за срока по чл. 27, ал. 12.
Чл. 40. (1) Администраторът, в това число и чрез обработващи, поддържа регистрите по чл. 30, § 1 и 2 от Общия регламент относно защитата на данните, в които се отразява всяко извършено действие, което съставлява обработване на лични данни.
(2) Регистрите по ал. 1 се водят в цифров вид и на традиционен носител. Актуализацията им на традиционен носител се извършва при всяка промяна в тях и се удостоверява с подписа на ръководителя на администратора/обработващия личните данни.
Допълнителна разпоредба
§ 1. По смисъла на тази наредба:
„Анонимизирани“ означава технически обработени данни с цел окончателно и необратимо елиминиране на възможността за идентифициране на субекта, за който се отнасят.
„Гражданин“ е всяко физическо лице независимо от неговото гражданство и статут на пребиваване.
„Приложно-програмен интерфейс“ или „API“ е набор от рутинни процедури, протоколи и инструменти, използвани при изграждането на софтуерни приложения, които позволяват на две приложения да комуникират помежду си.
Преходни и заключителни разпоредби
§ 2. Създадените преди влизане в сила на наредбата електронни здравни записи и образуваните от тях електронни здравни досиета се считат за генерирани по тази наредба електронни здравни записи и електронни здравни досиета.
§ 3. Лечебните и здравните заведения могат да предоставят изготвената от тях здравна документация към НЗИС и във формата на електронен документ, подписан с усъвършенстван електронен подпис, съгласно изискванията на Регламент (ЕС) № 910/2014 на Европейския парламент и на Съвета от 23 юли 2014 г. относно електронната идентификация и удостоверителните услуги при електронни трансакции на вътрешния пазар и за отмяна на Директива 1999/93/ЕО (ОВ, L 257/73 от 28 август 2014 г.) и на Закона за електронния документ и електронните удостоверителни услуги. Усъвършенстван електронен подпис се използва в сигурна мрежова среда чрез защитен канал при наличие на уговорка по чл. 13, ал. 4 от Закона за електронния документ и електронните удостоверителни услуги между съответните страни.
§ 4. (1) Включването в НЗИС на регистрите, информационните бази от данни и системи по чл. 18, ал. 1 и 2, в това число миграцията на данни при необходимост, въвеждането на системните модули и функционалностите на системата, генерирането в нея на електронни здравни записи от всички дейности по отношение на пациентите и на всички данни от структурата на електронното здравно досие се изпълняват поетапно според степента на техническа готовност и възможностите за осигуряване на предвиденото ниво на киберсигурност на съответните системи от задължените лица, но не по-късно от 1 януари 2024 г., а за електронните образи по чл. 13, ал. 4 – не по-късно от 1 януари 2025 г.
Графикът за включване в НЗИС на регистрите, информационните бази от данни и системи, на въвеждането на системните модули и функционалностите и генерирането на електронни здравни записи от различните видове дейности и на всички данни от структурата на електронното здравно досие по ал. 1, както и на административните услуги, за предоставянето на които се събира информация чрез НЗИС, се оповестява на интернет сайта на Министерството на здравеопазването и на здравноинформационния уеб портал на системата www.his.bg.
Достъпът до НЗИС през Единния портал за достъп до електронни административни услуги, изпращането и получаването на съобщения за нуждите на НЗИС през Информационната система за сигурно електронно връчване по чл. 20, т. 1, буква „а“ от Закона за електронното управление и използването на системата за електронна автентикация, поддържана от Министерството на електронното управление, се осигуряват от 1 януари 2025 г. при техническа възможност, в това число за гарантиране на високо ниво на защита на НЗИС.
§ 5. В Наредба № 8 от 2016 г. за профилактичните прегледи и диспансеризацията (обн., ДВ, бр. 92 от 2016 г.; изм. и доп., бр. 27 от 2018 г.; изм. с Решение № 3549 на ВАС на РБ от 2018 г. – бр. 29 от 2018 г.; изм. и доп., бр. 2 от 2019 г., бр. 39 от 2021 г. и бр. 48 от 2022 г.) се правят следните допълнения:
Създава се чл. 3а:
„Чл. 3а. (1) При техническа възможност медицинското направление, амбулаторният лист и друга медицинска документация по тази наредба може да бъдат издадени под формата на електронен документ, подписан с квалифициран електронен подпис съгласно изискванията на Регламент (ЕС) № 910/2014 на Европейския парламент и на Съвета от 23 юли 2014 г. относно електронната идентификация и удостоверителните услуги при
електронни трансакции на вътрешния пазар и за отмяна на Директива 1999/93/ЕО (OB, L 257/73 от 28 август 2014 г.) и на Закона за електронния документ и електронните удостоверителни услуги.
(2) В случаите по ал. 1 документът се издава, въвежда, обработва и съхранява чрез специализиран медицински софтуер при спазване на изискванията, въведени с нормативен акт. Документът е достъпен в специализирания медицински софтуер на изпълнителите на медицинска помощ, сключили договор с Националната здравноосигурителна каса (НЗОК), и не се изисква предоставянето му от здравноосигуреното лице при избор на лечебно заведение.“
В чл. 4, ал. 7 накрая се поставя запетая и се добавя „в това число в Националната здравноинформационна система (НЗИС)“.
В чл. 25, ал. 2, изречение първо накрая се поставя запетая и се добавя „а в случай че за пациента е създадено електронно здравно досие в НЗИС, съдържащо тези данни, пациентът се запознава с тях в НЗИС по определения за това ред“.
В чл. 26, ал. 2 накрая се поставя запетая и се добавя „освен когато е издадена като електронен документ и бъде предоставена по електронен път, в това число в НЗИС“.
В чл. 27, изречение второ накрая се поставя запетая и се добавя „освен когато е издадена като електронен документ и бъде предоставена по електронен път, в това число в НЗИС“.
В чл. 29:
а) в ал. 2, т. 1 накрая се добавя „на съответния носител“; б) създава се ал. 5:
„(5) За документите, издадени като електронни документи и изпратени към НЗИС чрез специализирания медицински софтуер на лечебното заведение, се прилагат правилата на наредбата по чл. 28г, ал. 6 от Закона за здравето.“
§ 6. В Наредба № 49 от 2010 г. за основните изисквания, на които трябва да отговарят устройството, дейността и вътрешният ред на лечебните заведения за болнична помощ и домовете за медико-социални грижи (обн., ДВ, бр. 83 от 2010 г.; изм. и доп., бр. 92 от 2010 г., бр. 53 от 2011 г.; изм. с Решение № 15323 от 2011 г. на ВАС на РБ – бр. 15 от 2012 г.; изм. и доп., бр. 32 от 2013 г.; изм. с Решение № 16747 от 2013 г. на ВАС на РБ – бр. 37 от 2014 г.; изм. и доп., бр. 22, 86 и 103 от 2016 г. и бр. 63 от 2021 г.) се правят следните допълнения:
В чл. 20 се създават ал. 7 и 8:
„(7) При техническа възможност листът за преглед на пациента и отказът на пациента по ал. 3 могат да бъдат издадени под формата на електронен документ, подписан с квалифициран електронен подпис съгласно изискванията на Регламент (ЕС) № 910/2014 на Европейския парламент и на Съвета от 23 юли 2014 г. относно електронната идентификация и удостоверителните услуги при електронни трансакции на вътрешния пазар и за отмяна на Директива 1999/93/ЕО (OB, L 257/73 от 28 август 2014 г.) и на Закона за електронния документ и електронните удостоверителни услуги.
(8) В случаите по ал. 7 документът се издава, въвежда, обработва и съхранява чрез специализиран медицински софтуер при спазване на изискванията, въведени с нормативен акт. Документът е достъпен в специализирания медицински софтуер на изпълнителите на медицинска помощ, сключили договор с Националната здравноосигурителна каса.“
В чл. 24 се създава ал. 4:
„(4) По отношение на епикризата по ал. 1 се прилагат съответно правилата на чл. 20, ал. 7 и 8.“
§ 7. Наредбата се издава на основание чл. 28г, ал. 6 и 7 и чл. 28д, ал. 2 от Закона за здравето и влиза в сила от 1 януари 2023 г.
Министър: Асен Меджидиев
Оставете коментар