Predlog Zakona o digitalizaciji zdravstva še vedno neustrezen: do občutljivih osebnih podatkov bo dostopala nova družba pod neposrednim vplivom vsakokratne vlade

Informacijski pooblaščenec opozarja, da je zadnji predlog Zakona o digitalizaciji zdravstva, ki je trenutno v obravnavi v Državnem zboru, kljub dopolnitvam še vedno neustrezen. Predlog zakona predvideva centralizirano obdelavo vseh zdravstvenih podatkov posameznikov v Sloveniji, kljub utemeljenim opozorilom, da tako obsežna zbirka podatkov prinaša večja tveganja za varnost in zlorabe ter glede zanesljivosti podatkov. Dobre prakse v drugih državah zato gradijo na povezljivosti različnih sistemov podatkov, kar zmanjša njihovo izpostavljenost na le enem mestu. Dostop do centralne zbirke podatkov bo imelo veliko število uporabnikov, ne le za namene zdravstvene obravnave, pač pa tudi za raziskave in celo za upravne postopke. Strateške naloge pri upravljanju s podatki v centralni zbirki bo izvajalo novo vzpostavljeno javno podjetje pod vplivom vsakokratne vlade. Razlog za to naj bi bila večja fleksibilnost pri zaposlovanju IKT kadra, saj za tak subjekt ne bi veljale omejitve plačnega sistema za javne uslužbence. Obdelave osebnih podatkov pacientov v okviru tovrstnega javnega podjetja pod neposrednim političnim vplivom niso ne nujne ne sorazmerne za dosego cilja digitalizacije zdravstva.

IP pozdravlja prizadevanja za prenovo procesov zbiranja in obdelave osebnih podatkov v zdravstvu, ki so nedvomno nujni za zagotavljanje učinkovitosti zdravstvenih obravnav z uporabo moderne tehnologije. Ministrstvo za zdravje je mnoge pomisleke IP po številnih posvetovanjih in mnenjih tudi ustrezno naslovilo, vendar pa zadnji predlog zakona ne glede na to ohranja nekatere temeljne rešitve, ki niso ustrezne in sorazmerne. Zadržki IP so zlasti povezani s tveganji za občutljive osebne podatke posameznikov zaradi nesorazmernosti pri:

• načrtovani centralizaciji obdelav vseh osebnih podatkov,
• določanju nabora osebnih podatkov, ki naj bi se obdelovali centralizirano, namenih obdelave in zunanjih dostopov do podatkov,
• vzpostavitvi in vlogi novoustanovljenega javnega podjetja pri procesih obdelave osebnih podatkov.

Predlagatelj zakona pojasnjuje, da centralna hramba podatkov obstaja že danes, saj Nacionalni inštitut za javno zdravje (NIJZ) upravlja zbirko Centralnega registra podatkov pacientov (CRPP). Zbirka podatkov na NIJZ res že obstaja, vendar pa zakon prinaša kvalitativno razliko, saj posredovanje podatkov v trenutno zbirko ni obvezno za vse ponudnike zdravstvenih storitev. Predlog zakona pa predvideva obvezno posredovanje vseh podatkov in sankcije za izvajalce storitev, ki tega ne bi izvajali. To pomeni, da bi bila centralna zbirka po predlogu zakona v praksi nedvomno veliko bolj obsežna, kot jo poznamo danes, in bi dejansko vključevala vse zdravstvene podatke prebivalcev na enem mestu.

Zelo pomemben vidik je varnost podatkov. Morebitni kibernetski napadi na centralno točko hrambe imajo škodljive posledice za veliko večjo količino podatkov in posameznikov, kot bi jo imel kibernetski napad pri npr. le določenem izvajalcu zdravstvenih storitev, pri lokalnem zdravstvenem domu. Morebitne napake v podatkih, na katere se zanaša večji krog uporabnikov, imajo lahko usodnejše posledice za posameznike. Izkušnje drugih držav (npr. Hrvaške) kažejo tudi na tveganja z vidika nedostopnosti centralnega sistema, na katerega se zanašajo izvajalci storitev, ko potrebujejo podatke, hranjene centralno - kadar jih nimajo hranjenih tudi lokalno. Centralizirana obdelava zdravstvenih podatkov v enem centralnem sistemu torej prinaša pomembna dodatna tveganja, kljub temu, da je taka obdelava lahko učinkovita in ekonomična. IP je večkrat opozoril, da je na mestu razmislek o rešitvah, kjer se ne hranijo vsi podatki centralno, pač pa se lahko deloma pridobivajo tudi na zahtevo, kadar za to obstaja utemeljena potreba oz. jih posameznik lahko sam posreduje preko sistema.

Informacijska pooblaščenka dr. Jelena Virant Burnik poudarja, da bo centralna zbirka ena največjih zbirk občutljivih osebnih podatkov v državi in bo zadevala prav vsakega posameznika. Varstvo osebnih podatkov ni birokratska ovira za digitalizacijo, pač pa zagotovilo, da bo kljub digitalizaciji eden največjih podatkovnih sistemov v državi deloval varno in stabilno, da bodo do podatkov lahko dostopali le tisti, ki bodo za to imeli upravičen razlog in da ne bo prihajalo do nezakonitih vpogledov, do političnih ali drugih vplivov. Je zagotovilo, da bodo posamezniki imeli na voljo enostavne možnosti za popravke podatkov, izbrise in da se bodo lahko ustrezno seznanili s podatki, ki se nanašajo nanje. Je tudi zagotovilo, da bodo podatki točni, celoviti in ažurni - napačni podatki, na katere se zanaša izvajalec zdravstvene storitve, imajo namreč lahko usodne posledice za pacienta.

Zato je zelo pomembno, da zakon skladno z Ustavo RS določa, katere institucije imajo dolžnosti, da podatke varujejo in kateri dodatni subjekti bodo imeli do podatkov dostop oziroma bodo o njihovih obdelavah odločali. Novo javno podjetje naj bi imelo le status pogodbenega obdelovalca podatkov, vendar pa obseg nalog in tudi predvidena finančna sredstva kažejo na to, da bo s podatki nova družba dejansko upravljala. Države so iz utemeljenih razlogov previdne pri tem, da bi velike in občutljive zbirke osebnih podatkov v upravljanje zaupale gospodarskim družbam izven strogo reguliranih institucij javnega sektorja. Primeri drugih držav, ki jih navaja predlagatelj (Estonija, Finska, Portugalska), centralizirano hrambo in obdelavo zdravstvenih podatkov ohranjajo znotraj javnega sektorja oziroma ta skrbi za interoperabilno povezavo lokalno hranjenih zbirk (Avstrija).

Strateškega upravljanja s podatki z ustanovitvijo gospodarske družbe tudi ne poznamo v drugih sektorjih - Centralni register prebivalstva, evidence policije, sodstva, finančne uprave in podobne velike državne zbirke z razlogom ohranjamo v upravljanju javnega sektorja, saj je le na tak način ohranjena neodvisnost in stabilnost njihovega upravljanja, ki ga javno podjetje pod političnim vplivom vsakokratne vlade ne more nuditi. Predlagatelj razen skrbi za ustrezna plačila IKT strokovnjakov ne navaja drugih razlogov za ustanavljanje in prenos podatkov gospodarski družbi.

IP tako poziva k izjemni previdnosti in ponovnemu premisleku glede temeljnih usmeritev in rešitev predlagane digitalizacije zdravstva.

Mnenja IP so dostopna na:

• https://www.ip-rs.si/fileadmin/user_upload/Pdf/pripombe/2025/ZDigZ_usklajeno%20mnenje%2025.%208.%202025_kon%C4%8Dno.pdf.
• https://www.ip-rs.si/fileadmin/user_upload/Pdf/pripombe/2025/DZ_ZDigZ_okt2025_P.pdf

Na številne pomanjkljivosti predloga zakona sta v zakonodajnem postopku opozorila tudi Zakonodajno pravna služba Državnega zbora in NIJZ. Dostopno na:

• https://imss.dz-rs.si/IMiS/ImisAdmin.nsf/ImisnetAgent?OpenAgent&2&DZ-MSS-01/cca23fd0ab396c3e6d265b0c5bbdeb2e0ade0c2d95d0421ac5ff7a4a13f89a4d,
• https://imss.dz-rs.si/IMiS/ImisAdmin.nsf/ImisnetAgent?OpenAgent&2&DZ-MSS-01/f58cf6d395f7b411d5e2cf2b9327405b430bb0fbef8d31c996076eeb5a48fd9a