Zdravotnictví

Compliance požadavky pro zdravotnický sektor.

---

Profil sektoru

Atribut	Hodnota
AI Act dopad	🔴 CRITICAL (High-Risk)
NIS2 kategorie	Essential (Annex I – Health)
GDPR dopad	🔴 CRITICAL (Special category data)
Další regulace	Zákon o zdravotních službách, MDR

---

AI Act pro zdravotnictví

High-Risk AI systémy (Annex III)

Systém	Klasifikace	Povinnosti
Diagnostické AI	🔴 HIGH-RISK	Plné povinnosti, CE marking
AI pro triáž pacientů	🔴 HIGH-RISK	DPIA, human oversight
Prediktivní analytics (prognóza)	🔴 HIGH-RISK	Testing, documentation
AI asistent pro lékaře	🟡 MEDIUM	Transparentnost
Administrativní AI	🟢 LOW	Minimální

Povinnosti pro High-Risk AI ve zdravotnictví

High-Risk AI ve zdravotnictví — požadavky

PŘED NASAZENÍM (Pre-deployment)

• CE marking (Medical Device Regulation)
• Clinical validation study
• DPIA + AI Impact Assessment
• Technical documentation
• Human oversight design

PO NASAZENÍ (Post-deployment)

• Continuous monitoring
• Adverse event reporting
• Performance tracking
• Bias monitoring (demographic groups)
• Regular re-validation

TRANSPARENTNOST

• Pacient musí vědět o použití AI
• Lékař má právo přezkoumat AI doporučení
• Dokumentace rozhodnutí

---

NIS2 pro zdravotnictví

Scope

• Essential entity (Annex I, sektor 5 - Health)
• Nemocnice, laboratoře, zdravotní pojišťovny
• Výrobci zdravotnických prostředků (pokud >250 zaměstnanců)

Specifické požadavky

Oblast	Požadavek	Priorita
Dostupnost systémů	RTO <4h pro kritické systémy	🔴 Critical
Ochrana pacientských dat	Encryption + access control	🔴 Critical
Segmentace sítě	Medical devices isolated	🔴 Critical
Incident response	24h notification NÚKIB	🔴 Critical
Supply chain	Audit medical device vendors	🟡 High
Business continuity	Paper backup procedures	🟡 High

Medical Device Cybersecurity

Zdravotnické prostředky připojené k síti

• Inventura všech connected devices
• Network segmentation (VLAN pro medical)
• Patch management (koordinace s vendor)
• Monitoring anomálií
• Incident response pro device compromise

---

GDPR pro zdravotnictví

Special Category Data (Art. 9)

Zdravotní data = zvláštní kategorie → přísnější pravidla

Právní základ	Kdy použít
Explicitní souhlas	Výzkum, sekundární použití
Nezbytné pro zdravotní péči	Primární péče, diagnostika
Veřejný zájem ve zdraví	Epidemiologie, public health
Zákonná povinnost	Hlášení infekčních chorob

Specifické GDPR požadavky

Oblast	Požadavek	Status
Retention	Zdravotní dokumentace min. 10 let	Zákonná povinnost
Access control	Role-based, need-to-know	Required
Audit trail	Kdo přistoupil k záznamu pacienta	Required
Patient portal	DSAR self-service doporučeno	Recommended
Cross-border	SCCs pro transfer mimo EU	If applicable

DSAR ve zdravotnictví

DSAR ve zdravotnictví — práva pacienta

Pacient má právo na:

• Kopii zdravotní dokumentace (30 dní)
• Informaci kdo přistupoval k datům
• Opravu nepřesných údajů
• Omezení zpracování (ne vždy možné)
• Přenositelnost (export ve standardním formátu)

Výjimky:

• Ochrana práv třetích osob
• Veřejné zdraví
• Výzkumné účely (s omezeními)

---

Checklist pro zdravotnictví

Immediate (Týden 1-2)

• Inventura AI systémů v klinickém použití
• Audit connected medical devices
• GDPR data mapping pro pacientská data

Short-term (Měsíc 1-3)

• High-risk AI classification
• NIS2 scope confirmation
• Incident response plan pro health data breach

Medium-term (Měsíc 3-6)

• DPIA pro diagnostické AI
• Medical device network segmentation
• Staff training (GDPR + AI)

Long-term (Měsíc 6-12)

• ISO 27001 certification
• AI Act full compliance
• NIS2 full implementation

---

Typické náklady

Položka	Odhad
ISMS + ISO 27001	€50-80k
Medical device security audit	€20-40k
AI compliance (per system)	€15-30k
GDPR health data audit	€15-25k
Staff training	€10-20k
Celkem Y1	€110-195k

---

Regulační kontakty

Autorita	Oblast
SÚKL	Zdravotnické prostředky
ÚOOÚ	GDPR, pacientská data
NÚKIB	NIS2, kybernetická bezpečnost
MZ ČR	Zdravotní legislativa

---

Zdroje

• MDR (Medical Device Regulation)
• ENISA Healthcare Cybersecurity
• WHO AI Ethics Guidelines