← EHDS and EHRxFTrack 4 · 12 min

EHDS Compliance Timeline for Slovak Healthcare

FHIR adoption in Slovakia is not optional — it is driven by specific pieces of legislation with hard deadlines. This article maps each legislative obligation to the concrete FHIR work it requires and the date by which it must be in place. It is written for CTOs, IT architects, and decision-makers at Slovak healthcare organisations, not for legal counsel.

Not legal advice. This is a technical interpretation of published EU and Slovak legislation for the purpose of planning FHIR implementation work. Consult legal counsel for compliance assessments specific to your organisation.

Overview

LegislationDeadlineCore requirementPrimary FHIR work
GDPR 2016/679In forceHealth data as special category — consent, audit, erasureConsent, AuditEvent, Provenance
EHDS 2025/327 — Phase 12027Expose Patient Summary, Lab results, ePrescription, Discharge report as FHIRIPS Bundle, DiagnosticReport, MedicationRequest, Composition
EHDS 2025/327 — Phase 22029Medical imaging, genomics, rare disease dataImagingStudy, DiagnosticReport (imaging), Observation (genomic)
Zákon č. 153/2013 Z. z.In forcePovinné pripojenie PZS k NZIS / eZdraviuZávisí od implementácie NCZI

GDPR — zdravotné dáta ako osobitná kategória

GDPR (Nariadenie 2016/679) platí od mája 2018. Zdravotné dáta sú podľa článku 9 osobitnou kategóriou osobných údajov — ich spracovanie je zakázané bez explicitného právneho základu. Pre väčšinu PZS je právnym základom buď explicitný súhlas pacienta, alebo spracovanie v rámci zdravotnej starostlivosti (čl. 9 ods. 2 písm. h).

Ďalšie relevantné ustanovenia pre zdravotné IT systémy:

Článok GDPRPožiadavkaFHIR implementácia
Čl. 9Osobitná kategória dát — zdravotné záznamy vyžadujú právny základConsent resource — záznam právneho základu a rozsahu
Čl. 17Právo na výmaz — "právo byť zabudnutý"Logické mazanie záznamov + AuditEvent pre výmaz
Čl. 20Prenosnosť dát — pacient má právo dostať dáta v štruktúrovanom formáteFHIR Bulk Data $export — NDJSON výstup
Čl. 25Privacy by Design and by DefaultMinimalizácia dát v FHIR profiloch, pseudonymizácia identifikátorov
Čl. 30Záznamy o spracovateľských činnostiachAuditEvent + Provenance — audit trail prístupu

FHIR poskytuje natívne zdroje pre všetky tieto požiadavky — Consent, AuditEvent a Provenance nie sú voliteľné doplnky, ale stavebné kamene GDPR-compliant architektúry. Systém ktorý zaznamenáva zdravotné dáta bez audit trail neobstojí pri GDPR kontrole.

EHDS Nariadenie 2025/327 — Phase 1 (2027)

Nariadenie bolo prijaté v marci 2025. Phase 1 deadlines sú pre členské štáty záväzné od marca 2027. Požiadavka nie je adresovaná priamo na PZS — je adresovaná na členský štát, teda na Slovensku na NCZI ako prevádzkovateľa NCPeH (National Contact Point for eHealth). Napriek tomu každý PZS, ktorý má povinnosť poskytovať dáta do eZdravia, bude nepriamo dotknutý.

Phase 1 — Povinné datasety od 2027
DatasetFHIR resourcesPoznámka
Patient SummaryBundle (document), Composition, Patient, Condition, AllergyIntolerance, MedicationRequestPostavené na IPS — International Patient Summary (HL7 IG)
Laboratórne výsledkyDiagnosticReport, Observation, ServiceRequestPriame prepojenie na eZdravie eLab v3 — základ Phase 8 mapovania
ePrescriptionMedicationRequest, Patient, Practitioner, OrganizationeRecept modul eZdravia — samostatná oblasť mapovania
Prepúšťacia správaBundle (document), Composition, Encounter, Condition, ProcedureVzor podobný eVyšetreniu — Phase 7–8 analýza

Pre každý dataset platí rovnaký princíp: dáta musia byť dostupné cez FHIR REST API, autentifikovaný cez SMART on FHIR, a prístupné pre pacienta aj pre cezhraničnú výmenu cez MyHealth@EU gateway. Samotné formáty sú špecifikované v EHRxF Implementation Guides — niektoré ešte finalizujú, ale základ (IPS, FHIR R4) je stabilný.

EHDS — Phase 2 (2029)

Phase 2 rozširuje povinné datasety o klinicky náročnejšie oblasti. Technické špecifikácie ešte nie sú finalizované, ale rozsah je definovaný v nariadení.

Phase 2 — Rozšírené datasety od 2029
DatasetRelevantné FHIR resources
Medicínske zobrazeniaImagingStudy, DiagnosticReport (imaging)
Genomické dátaObservation (genomic profile), MolecularSequence
Vzácne ochoreniaCondition (Orphanet kódy), EpisodeOfCare

Slovenská legislatíva — eZdravie a NZIS

Na národnej úrovni upravuje zdravotné IT primárne zákon č. 153/2013 Z. z. o národnom zdravotníckom informačnom systéme (NZIS). Zákon zaväzuje PZS k povinnej elektronickej komunikácii so zdravotníckymi informačnými systémami — v praxi k pripojeniu na eZdravie. Prevádzkovateľom NZIS je NCZI.

Relevantné zákonné normy

Zákon č. 153/2013 Z. z. — NZIS

Zakladá NZIS, definuje povinnosť PZS poskytovania dát, určuje NCZI ako správcu. Základ pre povinné pripojenie na eZdravie.

Zákon č. 576/2004 Z. z. — zdravotná starostlivosť

Definuje kategórie zdravotnej dokumentácie, povinnosti zdravotníckych pracovníkov, práva pacienta vrátane prístupu k záznamom.

Zákon č. 18/2018 Z. z. — ochrana osobných údajov (implementácia GDPR)

Slovenská implementácia GDPR. Uplatňuje čl. 9 na zdravotné dáta, definuje úlohu Úradu na ochranu osobných údajov SR ako dozorného orgánu.

Vzťah medzi slovenskou legislatívou a EHDS je hierarchický: EHDS ako nariadenie EÚ má prednosť pred národným zákonom. NCZI bude musieť aktualizovať technické špecifikácie eZdravia tak, aby boli v súlade s EHRxF profilmi. PZS, ktoré dnes posielajú dáta do eZdravia, budú nepriamo vystavené EHDS požiadavkám cez zmeny NCZI integrácií.

Čo to znamená pre technickú implementáciu

Pre PZS alebo dodávateľa zdravotníckeho softvéru v SR sa legislatívny rámec premietne do konkrétnych technických rozhodnutí. Najdôležitejšie z nich sú architektonické.

1. Architektonická voľba: Facade, Hybrid, alebo FHIR-native

Organizácia ktorá už prevádzkuje legacy systém (SOAP/XML, HL7 v2, proprietárne API) si musí zvoliť prístup k splneniu EHDS 2027: postaviť FHIR Facade pred existujúci systém, postaviť hybridnú architektúru, alebo prejsť na FHIR-native systém. Toto rozhodnutie určuje celkovú cenu a riziko projektu.

2. Terminologické mapovanie

EHDS vyžaduje medzinárodné terminológie — LOINC pre laboratórne výsledky, SNOMED CT pre diagnózy, ICD-10 pre EHRxF kódovanie. Slovenské číselníky (eLab, MKCH-10-SK) musia byť namapované na medzinárodné ekvivalenty pomocou ConceptMap. Bez tohto mapovania nie je možná cezhraničná výmena.

3. SMART on FHIR autentifikácia

Všetky EHDS API musia byť chránené cez SMART on FHIR (OAuth2 + OpenID Connect). Systémy bez autentifikačnej vrstvy kompatibilnej so SMART nie sú EHDS-compliant bez ohľadu na kvalitu FHIR profilov.

4. Audit trail a súhlas

GDPR čl. 30 a EHDS spoločne vyžadujú zaznamenávanie každého prístupu k zdravotným dátam. FHIR AuditEvent a Provenance nie sú odporúčané — sú povinné pre každý systém spracúvajúci zdravotné dáta.

Kontrolný zoznam — čo mať do 2027

  • [ ]Patient Summary dostupný ako IPS-kompatibilný FHIR Document Bundle
  • [ ]Laboratórne výsledky dostupné ako FHIR DiagnosticReport + Observation (LOINC kódy)
  • [ ]Prepúšťacie správy dostupné ako FHIR Document Bundle
  • [ ]SMART on FHIR autentifikačná vrstva nasadená
  • [ ]AuditEvent pre každý prístup k zdravotným dátam
  • [ ]ConceptMap: slovenské číselníky → LOINC / SNOMED CT / ICD-10
  • [ ]GDPR Consent resource implementovaný pre spracovanie na základe súhlasu
  • [ ]NCPeH konektor (záväzok NCZI, nie PZS priamo)

Kontrolný zoznam pre orientáciu pri plánovaní. Nie je officiálnym compliance auditom.