EHDS Compliance Timeline for Slovak Healthcare
FHIR adoption in Slovakia is not optional — it is driven by specific pieces of legislation with hard deadlines. This article maps each legislative obligation to the concrete FHIR work it requires and the date by which it must be in place. It is written for CTOs, IT architects, and decision-makers at Slovak healthcare organisations, not for legal counsel.
Not legal advice. This is a technical interpretation of published EU and Slovak legislation for the purpose of planning FHIR implementation work. Consult legal counsel for compliance assessments specific to your organisation.
Overview
| Legislation | Deadline | Core requirement | Primary FHIR work |
|---|---|---|---|
| GDPR 2016/679 | In force | Health data as special category — consent, audit, erasure | Consent, AuditEvent, Provenance |
| EHDS 2025/327 — Phase 1 | 2027 | Expose Patient Summary, Lab results, ePrescription, Discharge report as FHIR | IPS Bundle, DiagnosticReport, MedicationRequest, Composition |
| EHDS 2025/327 — Phase 2 | 2029 | Medical imaging, genomics, rare disease data | ImagingStudy, DiagnosticReport (imaging), Observation (genomic) |
| Zákon č. 153/2013 Z. z. | In force | Povinné pripojenie PZS k NZIS / eZdraviu | Závisí od implementácie NCZI |
GDPR — zdravotné dáta ako osobitná kategória
GDPR (Nariadenie 2016/679) platí od mája 2018. Zdravotné dáta sú podľa článku 9 osobitnou kategóriou osobných údajov — ich spracovanie je zakázané bez explicitného právneho základu. Pre väčšinu PZS je právnym základom buď explicitný súhlas pacienta, alebo spracovanie v rámci zdravotnej starostlivosti (čl. 9 ods. 2 písm. h).
Ďalšie relevantné ustanovenia pre zdravotné IT systémy:
| Článok GDPR | Požiadavka | FHIR implementácia |
|---|---|---|
| Čl. 9 | Osobitná kategória dát — zdravotné záznamy vyžadujú právny základ | Consent resource — záznam právneho základu a rozsahu |
| Čl. 17 | Právo na výmaz — "právo byť zabudnutý" | Logické mazanie záznamov + AuditEvent pre výmaz |
| Čl. 20 | Prenosnosť dát — pacient má právo dostať dáta v štruktúrovanom formáte | FHIR Bulk Data $export — NDJSON výstup |
| Čl. 25 | Privacy by Design and by Default | Minimalizácia dát v FHIR profiloch, pseudonymizácia identifikátorov |
| Čl. 30 | Záznamy o spracovateľských činnostiach | AuditEvent + Provenance — audit trail prístupu |
FHIR poskytuje natívne zdroje pre všetky tieto požiadavky — Consent, AuditEvent a Provenance nie sú voliteľné doplnky, ale stavebné kamene GDPR-compliant architektúry. Systém ktorý zaznamenáva zdravotné dáta bez audit trail neobstojí pri GDPR kontrole.
EHDS Nariadenie 2025/327 — Phase 1 (2027)
Nariadenie bolo prijaté v marci 2025. Phase 1 deadlines sú pre členské štáty záväzné od marca 2027. Požiadavka nie je adresovaná priamo na PZS — je adresovaná na členský štát, teda na Slovensku na NCZI ako prevádzkovateľa NCPeH (National Contact Point for eHealth). Napriek tomu každý PZS, ktorý má povinnosť poskytovať dáta do eZdravia, bude nepriamo dotknutý.
| Dataset | FHIR resources | Poznámka |
|---|---|---|
| Patient Summary | Bundle (document), Composition, Patient, Condition, AllergyIntolerance, MedicationRequest | Postavené na IPS — International Patient Summary (HL7 IG) |
| Laboratórne výsledky | DiagnosticReport, Observation, ServiceRequest | Priame prepojenie na eZdravie eLab v3 — základ Phase 8 mapovania |
| ePrescription | MedicationRequest, Patient, Practitioner, Organization | eRecept modul eZdravia — samostatná oblasť mapovania |
| Prepúšťacia správa | Bundle (document), Composition, Encounter, Condition, Procedure | Vzor podobný eVyšetreniu — Phase 7–8 analýza |
Pre každý dataset platí rovnaký princíp: dáta musia byť dostupné cez FHIR REST API, autentifikovaný cez SMART on FHIR, a prístupné pre pacienta aj pre cezhraničnú výmenu cez MyHealth@EU gateway. Samotné formáty sú špecifikované v EHRxF Implementation Guides — niektoré ešte finalizujú, ale základ (IPS, FHIR R4) je stabilný.
EHDS — Phase 2 (2029)
Phase 2 rozširuje povinné datasety o klinicky náročnejšie oblasti. Technické špecifikácie ešte nie sú finalizované, ale rozsah je definovaný v nariadení.
| Dataset | Relevantné FHIR resources |
|---|---|
| Medicínske zobrazenia | ImagingStudy, DiagnosticReport (imaging) |
| Genomické dáta | Observation (genomic profile), MolecularSequence |
| Vzácne ochorenia | Condition (Orphanet kódy), EpisodeOfCare |
Slovenská legislatíva — eZdravie a NZIS
Na národnej úrovni upravuje zdravotné IT primárne zákon č. 153/2013 Z. z. o národnom zdravotníckom informačnom systéme (NZIS). Zákon zaväzuje PZS k povinnej elektronickej komunikácii so zdravotníckymi informačnými systémami — v praxi k pripojeniu na eZdravie. Prevádzkovateľom NZIS je NCZI.
Relevantné zákonné normy
Zakladá NZIS, definuje povinnosť PZS poskytovania dát, určuje NCZI ako správcu. Základ pre povinné pripojenie na eZdravie.
Definuje kategórie zdravotnej dokumentácie, povinnosti zdravotníckych pracovníkov, práva pacienta vrátane prístupu k záznamom.
Slovenská implementácia GDPR. Uplatňuje čl. 9 na zdravotné dáta, definuje úlohu Úradu na ochranu osobných údajov SR ako dozorného orgánu.
Vzťah medzi slovenskou legislatívou a EHDS je hierarchický: EHDS ako nariadenie EÚ má prednosť pred národným zákonom. NCZI bude musieť aktualizovať technické špecifikácie eZdravia tak, aby boli v súlade s EHRxF profilmi. PZS, ktoré dnes posielajú dáta do eZdravia, budú nepriamo vystavené EHDS požiadavkám cez zmeny NCZI integrácií.
Čo to znamená pre technickú implementáciu
Pre PZS alebo dodávateľa zdravotníckeho softvéru v SR sa legislatívny rámec premietne do konkrétnych technických rozhodnutí. Najdôležitejšie z nich sú architektonické.
1. Architektonická voľba: Facade, Hybrid, alebo FHIR-native
Organizácia ktorá už prevádzkuje legacy systém (SOAP/XML, HL7 v2, proprietárne API) si musí zvoliť prístup k splneniu EHDS 2027: postaviť FHIR Facade pred existujúci systém, postaviť hybridnú architektúru, alebo prejsť na FHIR-native systém. Toto rozhodnutie určuje celkovú cenu a riziko projektu.
2. Terminologické mapovanie
EHDS vyžaduje medzinárodné terminológie — LOINC pre laboratórne výsledky, SNOMED CT pre diagnózy, ICD-10 pre EHRxF kódovanie. Slovenské číselníky (eLab, MKCH-10-SK) musia byť namapované na medzinárodné ekvivalenty pomocou ConceptMap. Bez tohto mapovania nie je možná cezhraničná výmena.
3. SMART on FHIR autentifikácia
Všetky EHDS API musia byť chránené cez SMART on FHIR (OAuth2 + OpenID Connect). Systémy bez autentifikačnej vrstvy kompatibilnej so SMART nie sú EHDS-compliant bez ohľadu na kvalitu FHIR profilov.
4. Audit trail a súhlas
GDPR čl. 30 a EHDS spoločne vyžadujú zaznamenávanie každého prístupu k zdravotným dátam. FHIR AuditEvent a Provenance nie sú odporúčané — sú povinné pre každý systém spracúvajúci zdravotné dáta.
Kontrolný zoznam — čo mať do 2027
- [ ]Patient Summary dostupný ako IPS-kompatibilný FHIR Document Bundle
- [ ]Laboratórne výsledky dostupné ako FHIR DiagnosticReport + Observation (LOINC kódy)
- [ ]Prepúšťacie správy dostupné ako FHIR Document Bundle
- [ ]SMART on FHIR autentifikačná vrstva nasadená
- [ ]AuditEvent pre každý prístup k zdravotným dátam
- [ ]ConceptMap: slovenské číselníky → LOINC / SNOMED CT / ICD-10
- [ ]GDPR Consent resource implementovaný pre spracovanie na základe súhlasu
- [ ]NCPeH konektor (záväzok NCZI, nie PZS priamo)
Kontrolný zoznam pre orientáciu pri plánovaní. Nie je officiálnym compliance auditom.