Medicinska informatika Autorski pregled

Medical informatics Author‘s review

GDPR u zdravstvenim ustanovama – što napraviti?

Velibor Božić
OB „Dr. Tomislav Bardek“, Koprivnica

Dana 25. svibnja 2018. godine stupa na snagu europska direktiva za zaštitu osobnih poda-
S A Ž E TA K
taka (engl. General Data Protection Regulatory), u daljnjemu tekstu GDPR. Ta je direktiva obvezna u
svim članicama EU-a pa tako i u Hrvatskoj. Njome se ujednačuje praksa zaštite osobnih podataka u
svim zemljama članicama EU-a. Riječ je o prilično opsežnom tekstu u kojemu se definira što je osobni
podatak i navode mjere njegove zaštite. Suština dokumenta je zaštita osobnih podataka te osigura-
vanje pristupačnosti, integriteta i povjerljivosti osobnih podataka. Ispunjavanje zahtjeva GDPR-a traži
uključivanje cijele organizacije, od vrhunskih menadžera do neposrednih izvršitelja, a jednaki zahtjevi
postavljaju se voditeljima i djelatnicima zdravstvenih ustanova.

KL JUČNE RIJEČI GDPR; upravljanje sigurnošću informacija

E
uropska direktiva za zaštitu osobnih podataka
(engl. General Data Protection Regulation, GDPR)
je dokument donesen na razini Europske unije
(27. travnja 2016.) koji regulira osnovna načela zašti-
te osobnih podataka.1 Na hrvatskome jeziku to bi bila
Opća uredba o zaštiti osobnih podataka. Taj je doku-
ment posljedica neujednačene prakse zaštite osobnih
podataka u zemljama Europske unije. Zbog te neujed-
načene prakse europski parlament i europska komisija
donijeli su spomenutu uredbu (GDPR). GDPR je pri-
lično glomazan dokument koji ima sedam osnovnih
načela2 i to:
• odgovornost u procesu
• ograničavanje svrhe obradbe
• zakonitost i transparentnost prikupljanja podataka
• optimizacija količine podataka
• točnost i ažurnost podataka
• ograničavanje trajanja pohrane
• povjerljivost i integritet podataka.
Kroz sva ta načela provlači se osnovna ideja, a to je:
• sprječavanje narušavanja povjerljivosti i integriteta
osobnih podataka
• sprječavanje neovlaštene dostupnosti podataka te
osiguravanje nesmetane i kontinuirane dostupnosti
podataka onima koji imaju ovlaštenja.
Z A H T J E V I G D P R- a
• Postojanje registra osobnih podataka.1,3
• Postojanje privola (pristanaka) i izjava o privatnosti.
• Postojanje programa edukacije i podizanja svijesti
o potrebi zaštite osobnih podataka.
• Postojanje upravljanja incidentima.
• Praćenje vanjskih zbivanja.
• Postojanje strukture upravljanja osobnim podat-
cima.
• Postojanje upravljanja informacijskom sigurnošću.
• Postojanje politike privatnosti.
• Upravljanje rizicima trećih strana.
• Postojanje nadzora nad provođenjem operativnih
postupaka.
• Nadzor nad postupcima rukovanja osobnim po-
datcima.
• Postojanje upravljanja zahtjevima i prigovorima.
Ispunjavanje svih tih zahtjeva osigurava integraciju
zaštite osobnih podataka u poslovanje. Nasuprot tome,
neispunjavanje tih zahtjeva znači izlaganje riziku za ne-
usklađenost s GDPR-om.
Da bi se ispunila načela te zahtjevi GDPR-a, zdrav-
stvene organizacije moraju se prilagoditi GDPR-u.
K O R A C I Z A P R I L A G O D B U G D P R- u
• Stvaranje klime u organizaciji o potrebi zaštite
osobnih podataka.
• Pregled situacije – koji se osobni podatci prikuplja-
ju, kada, gdje i zašto (u koju svrhu).
• Procjena rizika – PIA (engl. Personal Impact
Analysis).
• Identifikacija potrebnih mjera (kontrola) za sma-
njivanje rizika.
• Identifikacija ključnih partnera i njihova prava na
pristup osobnim informacijama.
• Provjera ugovora i politika koje postoje u organi-
zacijama.
• Imenovanje osobe zadužene za zaštitu osobnih

224 M E D I X • V E L J A Č A 2 0 1 8 • G O D . X X I I I • B R O J 1 2 9 • W W W. M E D I X . H R
GDPR u zdravstvenim ustanovama – što napraviti?
podataka (suradnja s regulatorom – Agencijom
za zaštitu osobnih podataka, AZOP).
• Upravljanje zaštitom osobnih podataka s jednoga
mjesta (ukoliko je organizacija dislocirana).
• Redovito informiranje i poticanje na stalno održa-
vanje zaštite osobnih podataka na zadovoljavajućoj
razini.
S P E C I F I Č N O S T I G D P R- a U Z D R AV S T V U
U GDPR-u se „osobni podatak“ definira kao: „svaki po-
datak koji se odnosi na identificiranu ili prepoznatljivu
fizičku osobu (subjekt ); prepoznatljiva fizička osoba
je ona koja se može izravno ili neizravno identificira-
ti, posebice pozivanjem na identifikator kao što je ime,
identifikacijski broj, podatci o lokaciji, on-line identi-
fikator te jedan ili više čimbenika specifičnih za fizič-
ki, fiziološki, genski, mentalni, ekonomski, kulturni ili
društveni identitet te fizičke osobe“.
U području zdravstva4, definicija osobnoga podat-
ka se, osim spomenute definicije, proširuje i navodi da
je osobni podatak i:
• onaj podatak koji se odnosi na zdravlje fizičke osobe
ӹӹ osobni podatak koji se odnosi na tjelesno ili
mentalno zdravlje fizičke osobe, uključujući
pružanje zdravstvenih usluga koje otkrivaju in-
formacije o zdravstvenom statusu fizičke osobe
• genetički podatak
ӹӹ osobni podatci koji se odnose na naslijeđena ili
stečena genska obilježja fizičke osobe, koja daju
jedinstvenu informaciju o fiziologiji ili zdravlju
te fizičke osobe i koja proizlaze iz analize biološ-
kog uzorka fizičke osobe o kojoj je riječ
• biometrijski podatak
ӹӹ osobni podatak koji proizlazi iz specifične teh-
ničke obradbe koja se odnosi na fizičke, fiziološ-
ke ili bihevioralne karakteristike fizičke osobe,
a koje dopuštaju ili potvrđuju jedinstvenu iden-
tifikaciju te fizičke osobe (npr. slika lica, otisak
prsta…).
GDPR u području zdravstva pooštrava definiciju
osobnoga podatka i zahtijeva zaštitu integriteta, povjer-
ljivost i zaštitu neovlaštene dostupnosti osobnih poda-
taka, osim u izvanrednim situacijama i to:
• onaj koji obrađuje osobne podatke mora imati „ek-
splicitni pristanak“ osobe da se koristi njegovim
podatcima
• ukoliko je obradba osobnih podataka nužna u svr-
hu preventivne ili profesionalne medicine, za pro-
cjenu radne sposobnosti zaposlenika, medicinsku
dijagnozu, pružanje zdravstvene ili socijalne skrbi
ili liječenje ili upravljanje sustavima i uslugama
zdravstvene zaštite ili socijalne skrbi
• obradba je potrebna iz razloga javnog interesa u 2. Postojanje privola (pristanaka) i izjava o privatnosti
području javnoga zdravstva, kao što je zaštita od
ozbiljnih prekograničnih prijetnji zdravlju ili osigu- o kojima se prikupljaju podatci (iz registra osobnih po-
ranje visokih standarda kvalitete i sigurnosti zdrav- dataka) za prikupljanje podataka. Ukoliko ne postoje
stvene zaštite te lijekova ili medicinskih proizvoda. pisani pristanci potrebno je:
M E D I X • V E L J A Č A 2 0 1 8 • G O D . X X I I I • B R O J 1 2 9 • W W W. M E D I X . H R
Medicinska informatika
U svim ostalim slučajevima, osobni podatak koji
zdravstvena ustanova posjeduje, ne smije se obrađivati.
GDPR govori o „pristanku“ na obradbu osobnih
podataka, a u području zdravstva govori se o „ekspli-
citnom pristanku“ što je pooštrenje zahtjeva.
GDPR naglašava da u području zdravstva treba
imenovati službenika za zaštitu osobnih podataka. Svrha
njegova postojanja jest da vodi brigu o zaštiti dostupno-
sti, integritetu i povjerljivosti osobnih podataka, da vodi
računa o informacijskoj sigurnosti, uskladivosti zaštite
osobnih podataka sa zakonima i propisima te da vodi ra-
čuna da zdravstvena ustanova poštuje GDPR. U drugim
područjima GDPR relativizira postojanje službenika za
zaštitu osobnih podataka, dok u području zdravstva to
preporučuje, ako je ikako moguće.
GDPR propisuje da se o incidentu vezanom uz
osobne podatke, fizička osoba mora obavijestiti unutar
72 sata. Zdravstvene ustanove morale bi imati propisane
procedure kako to provesti.
K A K O S E U S K L A D I T I S G D P R- o m – P R I J E D L O G
Krenuti od zahtjeva GDPR-a! Analizirati svaki od za-
htjeva i provjeriti je li zahtjev ispunjen, u kojoj je mjeri
ispunjen, što još treba napraviti. Osim toga treba raz-
misliti o odgovorima na sljedeća pitanja:
• Koje se informacije prikupljaju?
• Tko ih prikuplja?
• Kako se prikupljaju?
• Zašto se prikupljaju?
• Kako će se iskoristiti?
• S kime će se podijeliti?
• Koji je učinak na pojedince na koje se prikupljene
informacije odnose?
• Kolika je vjerojatnost da će uporaba informacija
uzrokovati prigovor ili žalbu pojedinaca?
Odgovori na ta pitanja mogu pomoći zdravstvenim
djelatnicima pri usklađivanju poslovanja s GDPR-om,
a mogu pomoći i smjernice o tome što napraviti da bi
se ispunio svaki od zahtjeva GDPR-a1,3:
1. Postojanje registra osobnih podataka
Znamo li gdje sve prikupljamo osobne podatke, tko
ih prikuplja, zašto ih prikuplja i kada? Struktura priku-
pljanja osobnih podataka u zdravstvenim ustanovama
prikazana je u tablici 1.
Takav registar pomaže organizaciji da u svakome
trenutku zna s kojim osobnim podatcima rukuje. Regi-
star treba redovito provjeravati i održavati. To je posao
službenika za zaštitu osobnih podataka (njegovo po-
stojanje je zahtjev GDPR-a; on može biti jedna osoba
ili služba ukoliko organizacija odluči da je tako nešto
potrebno).
Potrebno je osigurati pisani pristanak svih osoba
225
 Medicinska informatika
TABLICA 1. Struktura prikupljanja osobnih podataka u zdravstvenim ustanovama
Vrsta osobnoga
Tko Kada
podatka
pri zaposlenju i
Podatci o
kadrovska služba promjeni kvalifikacija
zaposleniku
svaki mjesec radi plaće
kada bolesnik dođe
Podatci o svi djelatnici koji
na odjel, polikliniku ili
bolesnicima zaprimaju bolesnike
hitni odjel
Podatci o
pri raspisivanju tendera
poslovnim odjel nabave
o nabavi
partnerima
………
• Svim zaposlenicima dati na potpis izjavu kojom
pristaju da se njihovi osobni podatci čuvaju u ka-
drovskoj službi isključivo zbog ostvarivanja njiho-
vih prava i obveza, koji su posljedica njihova ugovo-
ra s poslodavcem (ta je izjava njihova privola). Svim
zaposlenicima dati na potpis izjavu o privatnosti
kojom se obvezuju na tajnost povezanu uz osobne
podatke – definirati odgovornost zaposlenika uko-
liko prekrše izjavu o privatnosti.
• U bolesnika je eksplicitna privola potrebna samo u
slučaju da podatke o bolesnicima želite iskoristiti
u svrhu nekih statističkih obradba, znanstvenih
istraživanja ili ispitivanja novih načina liječenja. U
slučaju pružanja medicinske skrbi, nije potrebna
privola; u slučaju nekih opasnijih dijagnostičkote-
rapijskih postupaka ili kod operacija, dovoljno je
da bolesnik potpiše pristanak na osnovi dobivenih
informacija.
3. Postojanje programa edukacije i podizanja svijesti
o potrebi zaštite osobnih podataka.
Vrlo uopćeno taj zahtjev GDPR-a podrazumijeva
stvaranje klime u organizaciji o potrebi zaštite osobnih
podataka. Kako to postići? Teško je dati recept. Me-
todom „mrkve i batine“. Treba raditi edukacije unutar
ustanove o potrebi zaštite osobnih podataka radi po-
trebe usklađivanja s GDPR-om, ali i zbog nas samih
(da se ne bi narušila reputacija ustanove). Važno je da
edukacija bude prilagođena slušateljima tj. da svakome
bude jasno što mora raditi u vezi s privatnošću (od ne-
posrednog izvršitelja do uprave). Edukacija bi trebala
obuhvatiti: osnove GDPR-a, informacijsku sigurnost,
upravljanje rizicima, definiranje mjera za smanjivanje
rizika na prihvatljivu razinu. Ovdje veliku ulogu ima
Jedinica za kvalitetu medicinske skrbi i nadzor.
4. Postojanje upravljanja incidentima
Ovdje su u prednosti organizacije koje imaju ISO
9001 standard iz prostog razloga što imaju definiran
postupak za rješavanje incidentnih situacija. Ukratko
potrebno je znati kako reagirati ako se incident dogo-
di. Treba napisati zapisnik o incidentu („Izjava o nesu-
kladnosti“) u kojemu se opiše neželjena situacija, kad
226 M E D I X • V E L J A Č A 2 0 1 8 • G O D . X X I I I • B R O J 1 2 9 • W W W. M E D I X . H R
GDPR u zdravstvenim ustanovama – što napraviti?
Gdje Zašto
• odjel ljudskih resursa evidencija zaposlenika
(poslovni inf. sustav)
radi ostvarivanja
• odjel plaća (aplikacija plaća) materijalnih prava
sva radilišta bolnice isključivo radi
(bolnički informacijski sustav) medicinske skrbi
odjel nabave (poslovni zbog sklapanja
informacijski sustav; potencijalnih poslovnih
registar ugovora) odnosa
je nastala, zašto, tko je odgovoran te koja je radnja po-
duzeta da bi se incident riješio. Također je vrlo važno
napisati koji je ishod. U kontekstu narušene privatnosti,
potrebno je razraditi postupak kojim se u roku 72 sata
informira osoba o incidentu (o nedostupnosti, neovla-
štenom pristupu, narušenom integritetu osobnih poda-
taka, gubitku povjerljivosti osobnih podataka). Dobro
je voditi registar incidenata kako bi se uočila eventualna
pravilnost incidenata.
5. Praćenje vanjskih zbivanja
Ovdje se radi o kontinuiranom praćenju promje-
na vezano uza zaštitu osobnih podataka. To je zadatak
pravne službe. Kad se veli „praćenje vanjskih zbivanja“
misli se na: važeće zakone vezane uza zaštitu osobnih
podataka, rješavanje eventualnih proturječnosti vezanih
uza zaštitu osobnih podataka, praćenje stručnih časopisa
iz toga područja i slično.
6. Postojanje strukture upravljanja osobnim podat-
cima
Ukoliko se želi uspješno uskladiti s GDPR-om,
treba shvatiti da u tome treba sudjelovati cijela orga-
nizacija. Upravo je o tome ovdje riječ. Treba definirati
odgovornost za zaštitu osobnih podataka, od uprave do
neposrednih izvršitelja. Uloge u zaštiti osobnih podata-
ka treba definirati u ugovorima o radu, u sistematizaciji
radnih mjesta … tako da svaki pojedinac zna što se od
njega očekuje …, a u osnovi se očekuje da ne narušava
privatnost osobnih podataka bolesnika ako je u kontak-
tu s tim podatcima.
Ovdje treba definirati način komunikacije s naci-
onalnim regulatorom (AZOP), kako ga izvješćivati o
zaštiti osobnih podataka u organizaciji.
7. Postojanje upravljanja informacijskom sigurnošću
Potrebno je definirati način kako osigurati povjer-
ljivost osobnih podataka, njihov integritet (zabranu
neovlaštene promjene) te dostupnost podataka onima
koji na to imaju pravo.5 U prednosti su one organizacije
koje formalno imaju standard ISO 27799 (Upravljanje
informacijskom sigurnošću u zdravstvu) ili bar ima-
ju usvojene principe iz toga standarda, u osnovi ovdje
GDPR u zdravstvenim ustanovama – što napraviti? Medicinska informatika

kvalitetnom upravljanju rizicima (što je bit upravljanja
informacijskom sigurnošću). Cilj toga zahtjeva GDPR-a
jest tzv. PIA (engl. Personal Impact Analysis) tj. uprav-
ljanje rizicima (više o tome na poveznici: https://www.
researchgate.net/publication/312213784_Upravljanje_
informacijskom_sigurnoscu_u_zdravstvu).5
Naglasak pri upravljanju rizicima jest na ranjivo-
sti sustava vezano uz osobne podatke, vjerojatnosti da
sigurnosne prijetnje iskoriste postojeću ranjivost te da
nastane rizik kao funkcija ranjivosti sustava i vjerojatno-
sti pojave prijetnje. Bitno je svaki rizik opisati. Jedan od
prijedloga za opis rizika prikazan je u tablici 2. Prijedlog
registra rizika vezanih uz osobne podatke prikazan je
u tablici 3.
Prilikom vođenja registra rizika potrebno je de-
finirati organizacijske, fizičke i logičke kontrole koje
bi rizike vezane uz osobne podatke trebale smanjiti na
prihvatljivu razinu.
Primjer: organizacijska kontrola je npr. politika
privatnosti ili izjave zaposlenika da će štititi privatnost
podataka; fizička kontrola može biti čuvanje papirnate
arhive u posebnoj prostoriji pod ključem ili zaključava-
nje sistemske sobe sa serverima; logička kontrola je ko-
risničko ime i zaporka korisnika informacijskih sustava.
8. Postojanje politike privatnosti
To je posao uprave. Potrebno je usvojiti politiku pri-
vatnosti. U njoj treba definirati potrebu zaštite osobnih
podataka zaposlenika i bolesnika. Potrebno je naglasiti
potrebu za dostupnošću osobnih podataka samo za odre-
đenu svrhu, potrebno je naglasiti potrebu da osobni po-
datci budu povjerljivi i da imaju integritet. Politika mora
biti u skladu sa zakonskim osnovama (GDPR-om u ovom
slučaju). Treba naglasiti da bolesnici trebaju imati pravo
na promjenu podataka, pravo na zaborav. Također, poli-
tika treba naglasiti etičnost u obradbi osobnih podataka.

9. Postojanje upravljanja zahtjevima i prigovorima

TABLICA 2.Prijedloga opisa rizika za upravljanje
informacijskom sigurnošću u zdravstvu
GDPR zahtijeva vođenje evidencije prigovora osoba
za koje postoje osobni podatci (zaposlenici, bolesnici,
Naziv rizika partneri). Potrebno je definirati proceduru podnošenja
Kvalitativan opis događaja, veličine, pritužbi vezanih uz narušavanje dostupnosti, povjerljivo-
Područje rizika sti i integriteta osobnih podataka. Mora biti jasno kako,
tipa, broja i ovisnosti
kome se žaliti. Potrebno je pratiti razloge pritužbi. Isto
Npr. strateški, operativni, financijski,
Narav rizika
znanje ili rizik uskladivosti
tako, osim pritužbi mora se uspostaviti mehanizam kako
se zahtijeva pristup osobnim podatcima, kako se osobni
Zainteresirani
Tko je zainteresiran za upravljanje i podatci ažuriraju, brišu, kako se podatci izvoze i daju
njihova očekivanja
korisniku. Bilo bi dobro pripremiti odgovore na često
Kvantifikacija rizika Važnost i vjerojatnost postavljana pitanja u vezi s osobnim podatcima. To bi
trebao biti posao službenika za zaštitu osobnih podataka.
Potencijalni gubitak i financijska
šteta; vrijednost rizika; vjerojatnost
Tolerancija rizika 10. Upravljanje rizicima trećih strana
gubitka i potencijalna šteta; željene
kontrole i razina izvedbe Potrebno je definirati odnos s partnerima (npr.
Čime se rizik kontrolira; razina
HZZO, HZJZ, dobavljači). Imaju li podatci koji se raz-
Odnos prema riziku
pouzdanosti postojećih kontrola; mjenjuju narav osobnih podataka?. Može li do tih poda-
i kontrolni
identifikacija protokola za nadzor taka neovlašteno doći netko nepoželjan? Razmjenjuju li
mehanizmi
i izvješćivanje se podatci u kriptiranom obliku ili ne? Od dobavljača
Moguće akcije za programa i informacijskih sustava potrebno je zatražiti
Preporuke za smanjivanje rizika
unaprjeđenje da implementiraju u svoja rješenja zaštitu osobnih poda-
taka te prilikom potpisivanja ugovora ugraditi klauzulu
Strategija i razvoj Identifikacija funkcija odgovornih
politike za razvoj strategije i politike
kojom se obvezuju da štite osobne podatke bolesnika i
zaposlenika.

TABLICA 3. Prijedlog registra rizika vezanih uz osobne podatke u zdravstvu

M E D I X • V E L J A Č A 2 0 1 8 • G O D . X X I I I • B R O J 1 2 9 • W W W. M E D I X . H R 227
 Medicinska informatika GDPR u zdravstvenim ustanovama – što napraviti?

11. Postojanje nadzora nad provođenjem operativnih
postupaka
Riječ je o zahtjevu GDPR-a da se prilikom uvođe-
nja novih informacijskih sustava vodi računa o zaštiti
osobnih podataka. Pri uvođenju novih funkcionalnosti,
procijenite štite li se u dovoljnoj mjeri osobni podatci.
Kod novih verzija programa treba identificirati rizike
vezane uz osobne podatke, treba definirati zaštitne me-
hanizme i tražiti dobavljače softvera da te mehanizme
implementiraju.
12. Nadzor nad postupkom rukovanja osobnim
podatcima
Potrebno je stalno provjeravati primjenu proce-
dure zaštite osobnih podataka putem internih audita.
Procedure je potrebno ažurirati u slučaju incidenata
(nedostupnosti, narušavanja povjerljivosti i integriteta
– „curenje“ podataka ili neovlaštena promjena podata-
ka). Potrebno je imati zapise o provjeri sustava zaštite
privatnosti podataka. Spomenuto je potrebno osigurati
kako bi se mogla dokazati sukladnost s GDPR-om u
slučaju kontrole nadležnih institucija.
Z AKLJU Č AK
Ispunjavanje zahtjeva GDPR-a traži uključenost cijele
organizacije, od vrhunskoga menadžera do neposrednih
izvršitelja. Usklađivanje sa zahtjevima GDPR-a složen je
i dugotrajan proces koji se mora projektno voditi. Znači
mora postojati cilj, vremenski ograničen rok i tim ljudi
koji će provesti zadatak. Tim bi morao biti sastavljen od
predstavnika uprave, predstavnika jedinice za kvalitetu,
voditelja informatike i pravnika. Oni bi trebali analizira-
ti situaciju prema zahtjevima GDPR-a koji su opisani u
tekstu te na osnovi utvrđenoga stanja (polazna pozicija)
predložiti mjere potrebne da se zdravstvena ustanova
uskladi s GDPR-om. Za daljnje izučavanje teme vrlo je
dobar izvor: https://gdpr-info.eu/

GDPR in healthcare institutions – what is to be done?

Velibor Božić
General Hospital “Dr. Tomislav Bardek”, Koprivnica, Croatia

S U M M A RY On 25 May 2018, the General Dana Protection Regulatory (hereinafter the GDPR) will come into force. This
directive is mandatory in all EU Member States, including Croatia. It equates the practice of protecting personal data in
all EU member states. The fairy extensive text defines the personal data and the measures of protection. The core of
the document is the personal data protection and ensuring the accessibility, integrity and confidentiality of the personal
data. Fulfillment of the GDPR requirement requires the involvement of the entire organization, from top managers to
executives, with equal demands being for both the managers and the employees of healthcare institutions.

KEY WORDS GDPR; information security management

L I T E R AT U R A
1. UREDBA (EU) 2016/679 EUROPSKOG PAR-
LAMENTA I VIJEĆA od 27. travnja 2016. o zaštiti
pojedinaca u vezi s obradom osobnih podataka i o
slobodnom kretanju takvih podataka te o stavljanju
izvan snage Direktive 95/46/EZ (Opća uredba o za-
štiti podataka) (Tekst značajan za EGP). Preuzeto: 27.
4.2017.
2. Markovinović N. GDPR-izazovi za menadžere i
poslovne analitičare. Kontroling, financije, menad-
žment. 2017;4.
3. Tomić D, Cerin S. Velika škola GDPR-a. ICTbusi-
ness portal. Preuzeto: 27.10.2017.
4. Armstrong JP, Bywater A. What healthcare orga-
nizations should know about GDPR. Absolute Software
Corporation. 2017.
5. Božić V. Upravljanje informacijskom sigurnošću u
zdravstvu. Medix 2013;19(107/108):219-28.

A D R E S A Z A D O P I S I VA N J E
Velibor Božić
OB „Dr. Tomislav Bardek“
Željka Selingera 1, 48000 Koprivnica 
E-mail: informatika@obkoprivnica.hr
Telefon: +385 99 7312 142

228 M E D I X • V E L J A Č A 2 0 1 8 • G O D . X X I I I • B R O J 1 2 9 • W W W. M E D I X . H R