32019D1269

Language
- My EUR-Lex
- Sign in
- Register
- My recent searches (0)

This document is an excerpt from the EUR-Lex website

Search tips

Need more search options? Use the Advanced search

EUROPA
EUR-Lex home
Gennemførelsesafgørelse - 2019/1269 - EN - EUR-Lex

Document 32019D1269

Help

Kommissionens gennemførelsesafgørelse (EU) 2019/1269 af 26. juli 2019 om ændring af gennemførelsesafgørelse 2014/287/EU om fastsættelse af kriterier for etablering og evaluering af europæiske netværk af referencecentre og deres medlemmer og for lettelse af udvekslingen af oplysninger og ekspertise om etablering og evaluering af sådanne netværk (EØS-relevant tekst.)

C/2019/5470

EUT L 200 af 29.7.2019, p. 35–43 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/dec_impl/2019/1269/oj

HTML

PDF

Official Journal

29.7.2019

Den Europæiske Unions Tidende

L 200/35

KOMMISSIONENS GENNEMFØRELSESAFGØRELSE (EU) 2019/1269

af 26. juli 2019

om ændring af gennemførelsesafgørelse 2014/287/EU om fastsættelse af kriterier for etablering og evaluering af europæiske netværk af referencecentre og deres medlemmer og for lettelse af udvekslingen af oplysninger og ekspertise om etablering og evaluering af sådanne netværk

(EØS-relevant tekst)

EUROPA-KOMMISSIONEN HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde,

under henvisning til Europa-Parlamentets og Rådets direktiv 2011/24/EU af 9. marts 2011 om patientrettigheder i forbindelse med grænseoverskridende sundhedsydelser (1), særlig artikel 12, stk. 4, litra b) og c), og

ud fra følgende betragtninger:

(1)

I Kommissionens gennemførelsesafgørelse 2014/287/EU (2) er der fastsat kriterier for etablering og evaluering af europæiske netværk af referencecentre og deres medlemmer og for lettelse af udvekslingen af oplysninger og ekspertise om etablering og evaluering af sådanne netværk. I nævnte afgørelses artikel 6 opfordres medlemsstaterne til at oprette et råd af medlemsstater, som kan godkende forslagene til netværk, om medlemskab heraf og om et netværks ophør. Medlemsstaterne oprettede et råd af medlemsstater, som efterfølgende godkendte 23 europæiske netværk af referencecentre i december 2016 og ét i februar 2017. Alle netværk påbegyndte deres aktiviteter i 2017.

(2)

For at øge effektiviteten af de europæiske netværk af referencecentre bør rådet af medlemsstater udgøre det forum for udveksling af oplysninger og ekspertise, som skal være retningsgivende for udviklingen af de europæiske netværk af referencecentre, give vejledning til netværkene og medlemsstaterne og rådgive Kommissionen om spørgsmål vedrørende etablering af netværkene. For at fremme udvekslingen af erfaringer og lette en proces, der er i tråd med anden grænseoverskridende udveksling af sundhedsoplysninger, bør rådet også planlægge et tæt samarbejde med e-sundhedsnetværket for, når det er muligt, at udvikle fælles tilgange, datastrukturer og retningslinjer, der sikrer lettere adgang til forskellige tjenester og strømliner reglerne for sundhedstjenesteydere. Rådet bør ligeledes fremme drøftelser med andre relevante EU-fora (såsom Styringsgruppen vedrørende Sundhedsfremme, Sygdomsforebyggelse og Håndtering af Ikkeoverførbare Sygdomme) på områder af fælles interesse.

(3)

Med henblik på at sikre, at det enkelte netværk fungerer effektivt viser de hidtidige erfaringer med de 24 eksisterende europæiske netværk af referencecentre, at dets medlemmer bør arbejde tæt sammen om at varetage deres opgaver, f.eks. at udveksle sundhedsoplysninger om patienters diagnoser og behandling på en effektiv og sikker måde, bidrage til videnskabelige forskningsaktiviteter og udarbejde medicinske retningslinjer. Tæt samarbejde kræver gensidig tillid blandt medlemmerne af de enkelte netværk og gensidig anerkendelse, navnlig af deres ekspertise og kompetence, af kvaliteten af deres kliniske behandling samt af deres specifikke menneskelige og strukturelle ressourcer og udstyrsressourcer, jf. bilag II, punkt 2, til Kommissionens delegerede afgørelse 2014/286/EU (3).

(4)

Gensidig tillid og anerkendelse blandt fagfæller er lige så vigtig, når sundhedstjenesteydere ønsker at blive medlemmer af eksisterende netværker, da disse sikrer de rette forudsætninger for fremtidigt samarbejde inden for netværket. Når en ansøgning om medlemskab vurderes af et uafhængigt vurderingsorgan, der er udpeget af Kommissionen, bør en sådan ansøgning derfor ledsages af en positiv udtalelse fra bestyrelsen for det netværk, som sundhedstjenesteyderen ønsker medlemskab af, efter en fagfællevurdering, som netværket foretager på grundlag af kriterierne og betingelserne i bilag II, punkt 2, til delegeret afgørelse 2014/286/EU. For at give sundhedstjenesteyderen mulighed for at udtrykke sine holdninger til udtalelsen fra netværksbestyrelsen, bør sundhedstjenesteyderen kunne indsende bemærkninger til udkastet til udtalelse inden for en periode på én måned fra datoen fra modtagelsen af denne udtalelse.

(5)

Der bør fastsættes rimelige frister for netværksbestyrelsen for så vidt angår udkastet til endelig udtalelse og den endelige udtalelse. Fristen for den endelige udtalelse bør derfor i princippet fastsættes til fire måneder. Hvis sundhedstjenesteyderen imidlertid indsender bemærkninger om netværksbestyrelsens udkast til udtalelse, bør fristen på fire måneder til at afgive den endelige udtalelse forlænges med én måned, således at netværksbestyrelsen kan tage hensyn til de indsendte bemærkninger. Hvis netværksbestyrelsen ikke udsender et udkast til udtalelse eller afgiver den endelige udtalelse inden for de fastsatte frister, bør den endelige udtalelse af hensyn til retssikkerheden betragtes som positiv.

(6)

Hvis bestyrelsen for det netværk, som sundhedstjenesteyderen ønsker medlemskab af, afgiver en negativ udtalelse om ansøgningen om medlemskab, samtidig med at den har modtaget en godkendelse i form af en skriftlig erklæring fra den medlemsstat, hvor sundhedstjenesteyderen er etableret, bør etableringsmedlemsstaten have mulighed for at anmode rådet af medlemsstater om på grundlag af kriterierne og betingelserne i bilag II, punkt 2, til delegeret afgørelse 2014/286/EU at træffe afgørelse om, hvorvidt ansøgningen alligevel kan indgives til Kommissionen.

(7)

For at støtte sundhedspersoner på tværs af de europæiske netværk af referencecentre i at samarbejde på afstand om diagnosticering og behandling af patienter med komplekse sygdomme eller tilstande, der er sjældne eller har lav prævalens, på tværs af nationale grænser og for at fremme videnskabelig forskning i sådanne sygdomme og tilstande har Kommissionen udviklet et klinisk patientstyringssystem (»CPMS«) for europæiske netværk af referencecentre, der skal lette etableringen af europæiske netværk af referencecentre og sikre, at de fungerer, jf. artikel 12, stk. 4, litra c), i direktiv 2011/24/EU.

(8)

CPMS bør tilvejebringe en fælles infrastruktur for sundhedspersoner, således at de kan samarbejde inden for de europæiske netværk af referencecentre om diagnosticering og behandling af patienter med komplekse sygdomme eller tilstande, der er sjældne eller har lav prævalens. Det bør stille de hjælpemidler til rådighed, gennem hvilke udvekslingen af oplysninger og ekspertise om sådanne sygdomme finder sted inden for de europæiske netværk af referencecentre på den mest effektive måde.

(9)

CPMS bør derfor bestå af en sikret IT-infrastruktur, der omfatter en fælles platform, hvor sundhedstjenesteydere, der er medlemmer af de europæiske netværk af referencecentre, tilknyttede partnere (4) eller gæstebrugere (»sundhedstjenesteydere, som har adgangstilladelse til CPMS«) kan udveksle oplysninger inden for netværkene om de pågældende patienter med det formål at lette deres adgang til sikker sundhedspleje af høj kvalitet og fremme effektivt samarbejde om sundhedsydelser mellem medlemsstater ved at lette udvekslingen af relevante oplysninger.

(10)

For at sikre overensstemmelse med databeskyttelsesreglerne og sikre, at der anvendes et effektivt og sikret miljø til elektronisk udveksling af patienters personoplysninger mellem sundhedstjenesteydere inden for de europæiske netværk af referencecentre med det formål, der er omhandlet i artikel 12, stk. 2, i direktiv 2011/24/EU, bør en sådan udveksling kun finde sted efter eksplicit samtykke fra de pågældende patienter og udelukkende gennem CPMS. Sundhedstjenesteyderne har ansvaret for at garantere sikkerheden for de oplysninger, som de behandler uden for CPMS med henblik på at indlæse dem i CPMS, samt for de oplysninger, som ikke indlæses i CPMS, men som de behandler i forbindelse med CPMS (f.eks. samtykkeerklæringer), eller for de oplysninger, som de downloader fra CPMS og behandler uden for CPMS.

(11)

I CPMS behandles følsomme oplysninger om patienter, der lider af komplekse sygdomme, der er sjældne eller har lav prævalens. Disse oplysninger behandles udelukkende for at lette diagnosticering og behandling af patienter, for at indlæse dem i relevante registre eller andre databaser vedrørende komplekse sygdomme, der er sjældne eller har lav prævalens, som tjener et videnskabeligt forskningsformål eller et klinisk eller sundhedspolitisk formål og til at kontakte potentielle deltagere i videnskabelige forskningsinitiativer. Sundhedstjenesteydere inden for de europæiske netværk af referencecentre bør kunne behandle patientoplysningerne i CPMS, når de har indhentet specifikt, informeret og frivilligt samtykke fra patienterne til at anvende disse oplysninger til tre mulige formål (lægelig vurdering af sagen med henblik på rådgivning om diagnosticering og behandling, indlæsning af oplysningerne i registre for sjældne sygdomme eller andre databaser for komplekse sygdomme, der er sjældne eller har lav prævalens, og mulighed for, at patienterne kan kontaktes med henblik på deltagelse i videnskabelige forskningsinitiativer). Dette samtykke skal indhentes separat for hvert af disse tre formål. Afgørelsen skal fastlægge formålet med og sikkerhedsforanstaltningerne for behandlingen af sådanne oplysninger i CPMS. Navnlig bør Kommissionen fastlægge de generelle aspekter af CPMS i forhold til hvert enkelt netværk, tilvejebringe og vedligeholde den sikrede IT-infrastruktur, der kræves til dette formål, og sikre, at den fungerer rent teknisk og er sikker. I tråd med princippet om dataminimering bør Kommissionen kun behandle personoplysninger, der er strengt nødvendige for at sikre administrationen af CPMS i forhold til hvert enkelt netværk, og bør derfor ikke have adgang til patienters sundhedsoplysninger, som udveksles i de europæiske netværk af referencecentre, medmindre det er strengt nødvendigt for at opfylde dens forpligtelser som fælles dataansvarlig.

(12)	Denne gennemførelsesafgørelse bør kun finde anvendelse på behandling af personoplysninger, som foretages i CPMS, navnlig kontaktoplysninger og sundhedsoplysninger, inden for de europæiske netværk af referencecentre.

(13)

Ved artikel 26 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 (5) og artikel 28 i Europa-Parlamentets og Rådets forordning (EU) 2018/1725 (6) pålægges fælles dataansvarlige for behandlingsaktiviteter i forbindelse med personoplysninger en forpligtelse til på en gennemsigtig måde at fastlægge deres respektive ansvar for overholdelse af forpligtelserne i henhold til nævnte forordninger. Heri fastsættes også muligheden for, at disse ansvar kan fastlægges i EU-retten eller medlemsstaternes nationale ret, som de dataansvarlige er underlagt.

(14)	Gennemførelsesafgørelse 2014/287/EU bør derfor ændres.

(15)	Den Europæiske Tilsynsførende for Databeskyttelse er blevet hørt i overensstemmelse med artikel 42, stk. 1, i forordning (EU) 2018/1725 og afgav udtalelse den 13. september 2018.

(16)	Foranstaltningerne i denne afgørelse er i overensstemmelse med udtalelse fra det udvalg, der er nedsat i henhold til artikel 16 i direktiv 2011/24/EU —

VEDTAGET DENNE AFGØRELSE:

Artikel 1

I gennemførelsesafgørelse 2014/287/EU foretages følgende ændringer:

Som artikel 1a indsættes:

»Artikel 1a

Definitioner

I denne gennemførelsesafgørelse forstås ved:

a) »koordinator for et europæisk netværk af referencecentre«: den person, som det medlem af et europæisk netværk af referencecentre, der er udvalgt som koordinerende medlem, har udpeget som netværkets koordinator af, jf. betragtning 3 og artikel 4 i delegeret afgørelse 2014/286/EU

b) »netværksbestyrelse«: et organ, der har ansvaret for styringen af netværket, og som består af repræsentanter for hvert af netværkets medlemmer, jf. betragtning 3 og bilag I, punkt 1, litra b), nr. ii), til delegeret afgørelse 2014/286/EU

c) »tilknyttet partner«: (associeret nationalt center, nationalt samarbejdscenter og national koordineringscentral), jf. betragtning 14 og bilag I, punkt 7, litra c), i delegeret afgørelse 2014/286/EU og erklæringen fra rådet af medlemsstater af 10. oktober 2017

d) »gæstebruger«: en sundhedstjenesteyder, der ikke er medlem eller tilknyttet partner, som efter godkendelse fra koordinatoren for det kompetente europæiske netværk af referencecentre har ret til i en begrænset tidsperiode at indlæse patienter i CPMS og deltage i det panel, der vedrører den pågældende patient, eller deltage i et specifikt panel som ekspert«.

I artikel 8 indsættes som stk. 4, 5 og 6:

»4. Hvis Kommissionen vurderer, at kravene i artikel 8, stk. 2 og 3, er opfyldt, skal bestyrelsen for det netværk, som sundhedstjenesteyderen ønsker medlemskab af, afgive udtalelse om ansøgningen om medlemskab efter en fagfællevurdering, som netværket foretager på grundlag af kriterierne og betingelserne i punkt 2 i bilag II til delegeret afgørelse 2014/286/EU.

5. Før den afgiver den i stk. 4 omhandlede udtalelse og inden for tre måneder fra det tidspunkt, hvor Kommissionen har bekræftet, at de i artikel 8, stk. 2 og 3, omhandlede krav er opfyldt, fremsender netværksbestyrelsen et udkast til udtalelse til den ansøgende sundhedstjenesteyder, som kan indsende bemærkninger til netværket inden for én måned efter modtagelsen af udkastet til udtalelse. Hvis netværksbestyrelsen ikke modtager bemærkninger til dette udkast, skal den afgive en endelig udtalelse om ansøgningen om medlemskab inden for fire måneder fra det tidspunkt, hvor Kommissionen har bekræftet, at de i artikel 8, stk. 2 og 3, fastsatte krav er opfyldt.

Hvis netværksbestyrelsen modtager bemærkninger, forlænges fristen for afgivelse af den endelige udtalelse til fem måneder fra det tidspunkt, hvor Kommissionen har bekræftet, at de i artikel 8, stk. 2 og 3, fastsatte krav er opfyldt. Når netværksbestyrelsen modtager bemærkninger, ændrer den sin udtalelse, idet den redegør for, hvorvidt bemærkningerne begrunder en ændring af dens vurdering. Hvis netværksbestyrelsen ikke fremsender et udkast til udtalelse eller afgiver sin endelige udtalelse inden for de fastsatte frister, betragtes den endelige udtalelse som positiv.

6. Hvis netværksbestyrelsen afgiver en negativ udtalelse, kan rådet af medlemsstater efter anmodning fra etableringsmedlemsstaten udsende en positiv udtalelse efter en fornyet vurdering af ansøgningen på grundlag af kriterierne og betingelserne i bilag II, punkt 2, til delegeret afgørelse 2014/286/EU. Denne positive udtalelse skal vedlægges ansøgningen.«

3)	Artikel 9, stk. 1, affattes således: »1. Hvis der udsendes en positiv udtalelse i overensstemmelse med artikel 8, stk. 5 eller 6, udpeger Kommissionen et organ, der skal vurdere den ansøgning om medlemsskab, som den ledsager.«

I kapitel IV indsættes som artikel 15a:

»Artikel 15a

Udveksling af oplysninger og ekspertise blandt medlemsstater

Medlemsstaterne opfordres til at udveksle oplysninger og ekspertise inden for rådet af medlemsstater for at udstikke retningslinjer for udviklingen af de europæiske netværk af referencecentre, give vejledning til netværkene og medlemsstaterne og rådgive Kommissionen om spørgsmål vedrørende etablering af netværkene.«

Som artikel 16a indsættes:

»Artikel 16a

Det kliniske patientstyringssystem

1. Herved oprettes et klinisk patientstyringssystem (»CPMS«) til elektronisk udveksling af patienters personoplysninger mellem sundhedstjenesteydere, som har adgangstilladelse til CPMS, inden for de europæiske netværk af referencecentre.

2. CPMS skal bestå af et sikret IT-værktøj, som Kommissionen stiller rådighed, med henblik på deling og lagring af patientoplysninger samt tidstro og rettidig kommunikation af patientsager inden for de europæiske netværk af referencecentre.

3. Det skal bl.a. omfatte en fremviser af billeddiagnostik, dataindberetningskapaciteter, brugerdefinerede datasæt, og det skal indeholde tilstrækkelige databeskyttelsesforanstaltninger i overensstemmelse med bilag I.«

Som artikel 16b indsættes:

»Artikel 16b

Personoplysninger, der behandles i CPMS

1. Patienters personoplysninger, dvs. navn, køn, fødselsdato og -sted samt andre personoplysninger, der er nødvendige med henblik på diagnosticering og behandling, skal udveksles og behandles inden for de europæiske netværk af referencecentre udelukkende gennem CPMS. Denne behandling begrænses til formål, der vedrører lettelse af samarbejdet om den lægelige vurdering af en patientsag med henblik på diagnosticering og behandling, indlæsning af oplysninger i registre eller andre databaser vedrørende komplekse sygdomme, der er sjældne eller har lav prævalens, som tjener videnskabelige forskningsmæssige, kliniske eller sundhedspolitiske formål, og kontakt med potentielle deltagere i videnskabelige forskningsinitiativer. Den skal baseres på et samtykke, der er indhentet i overensstemmelse med bilag IV.

2. Kommissionen betragtes som dataansvarlig ved behandlingen af personoplysninger, der vedrører forvaltningen af adgangsrettigheder, og behandler disse oplysninger på grundlag af et eksplicit samtykke fra de enkeltpersoner, som sundhedstjenesteyderne har identificeret som brugere, og som det relevante europæiske netværk for referencecentre har godkendt, i det omfang det er nødvendigt at sikre:

a)	at der er givet adgangsrettigheder til disse enkeltpersoner

b)	at disse enkeltpersoner kan udøve deres rettigheder og opfylde deres forpligtelser, og

c)	at den kan opfylde sine forpligtelser som dataansvarlig.

3. Kommissionen har ikke adgang til patienters personlysninger, medmindre det er strengt nødvendigt for, at den kan opfylde sine forpligtelser som fælles dataansvarlig.

4. Kun personer, der er godkendt af de europæiske netværk for referencecentre, og som hører ind under de kategorier af personale og andre enkeltpersoner, der er tilknyttet de sundhedstjenesteydere, som har adgangstilladelse til CPMS, kan få adgang til patienters personoplysninger i CPMS.

5. Den pågældende patients navn samt dennes fødselssted og præcise fødselsdato skal krypteres og pseudonymiseres i CPMS. Andre personoplysninger, der er nødvendige med henblik på diagnosticering og behandling, skal pseudonymiseres. Brugere af CPMS fra andre sundhedstjenesteydere må kun have adgang til pseudonymiserede oplysninger med henblik på paneldebatter og vurdering af patientsager.

6. Kommissionen sørger for sikkerheden i forbindelse med overførsel og lagring af personoplysninger.

7. Sundhedstjenesteydere, som har adgangstilladelse til CPMS, skal slette oplysninger, der ikke længere er nødvendige. Patienters personoplysninger må kun gemmes så længe det er nødvendigt af hensyn til sundhedsydelser for patienter, diagnosticering af sygdomme eller med henblik på at sikre sundhedsydelser inden for et europæisk netværk af referencecentre for patientens familiemedlemmer. Mindst hvert 15. år skal hver af de sundhedstjenesteydere, som har adgangstilladelse til CPMS, vurdere behovet for at opbevare de patientoplysninger, som de er dataansvarlige for.

8. Kommissionen og de sundhedstjenesteydere, som har adgangstilladelse til CPMS, afprøver, vurderer og evaluerer regelmæssigt effektiviteten af de tekniske og organisatoriske foranstaltninger, der skal garantere sikkerheden i forbindelse med behandling af personoplysninger i CPMS.«

Som artikel 16c indsættes:

»Artikel 16c

Fælles dataansvar for patienters personlysninger, som behandles i CPMS

1. Hver af de sundhedstjenesteydere, som behandler patientoplysninger i CPMS, og Kommissionen er fælles dataansvarlige i forbindelse med behandlingen af disse oplysninger i CPMS.

2. Med henblik på stk. 1 fordeles ansvar blandt de fælles dataansvarlige i overensstemmelse med bilag III.

3. Hver af de fælles dataansvarlige overholder den relevante EU-ret og nationale lovgivning, som den respektive dataansvarlige er omfattet af.«

8)	Som bilag III indsættes teksten som angivet i bilag I til denne afgørelse.

9)	Som bilag IV indsættes teksten som angivet i bilag II til denne afgørelse.

Artikel 2

Denne afgørelse træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Udfærdiget i Bruxelles, den 26. juli 2019.

På Kommissionens vegne

Jean-Claude JUNCKER

Formand

(1) EUT L 88 af 4.4.2011, s. 45.

(2) Kommissionens gennemførelsesafgørelse 2014/287/EU af 10. marts 2014 om fastsættelse af kriterier for etablering og evaluering af europæiske netværk af referencecentre og deres medlemmer og for lettelse af udvekslingen af oplysninger og ekspertise om etablering og evaluering af sådanne netværk (EUT L 147 af 17.5.2014, s. 79).

(3) Kommissionens delegerede afgørelse 2014/286/EU af 10. marts 2014 om fastsættelse af kriterier og betingelser, som europæiske netværk af referencecentre og de sundhedstjenesteydere, der ønsker at blive medlemmer af et europæisk netværk af referencecentre, skal opfylde (EUT L 147 af 17.5.2014, s. 71).

(4) Jf. betragtning 14 og bilag I, punkt 7, litra c), i delegeret afgørelse 2014/286/EU og erklæringen fra rådet af medlemsstater af 10. oktober 2017, som findes her: https://ec.europa.eu/health/sites/health/files/ern/docs/boms_affiliated_partners_en.pdf

(5) Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1).

(6) Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39).

BILAG I

»BILAG III

ANSVARSFORDELING BLANDT FÆLLES DATAANSVARLIGE

Kommissionen har ansvaret for:

i)	oprettelse, drift og administration af CPMS

ii)

når det er nødvendigt, at stille tekniske hjælpemidler til rådighed for sundhedstjenesteydere, således at patienter kan udøve deres rettigheder gennem CPMS i overensstemmelse med forordning (EU) 2018/1725, og at besvare og behandle henvendelser fra registrerede, når det er påkrævet i henhold til den gældende lovgivning

iii)	at sikre, at CPMS opfylder de krav, der finder anvendelse på Kommissionens kommunikations- og informationssystemer (1)

iv)	at definere og gennemføre de tekniske hjælpemidler, som skal gøre det muligt for patienter at udøve deres rettigheder i overensstemmelse med forordning (EU) 2018/1725

v)	at meddele sundhedstjenesteyderne ethvert brud på sikkerheden i forbindelse med personoplysninger

vi)	at eksportere personoplysninger fra CPMS, hvis behandlingsudstyret for personoplysninger ændres

vii)	at identificere de kategorier af personale og andre enkeltpersoner, som kan tildeles adgang til CPMS, og som er tilknyttet de sundhedstjenesteydere, der har adgangstilladelse til CPMS

viii)

at sikre, at patienternes respektive navne og fødselssteder (medmindre det er nødvendigt med henblik på diagnosticering og behandling) og præcise fødselsdatoer krypteres og pseudonymiseres, og at andre personoplysninger, der er nødvendige med henblik på diagnosticering og behandling, pseudonymiseres i CPMS

ix)	at der indføres tilstrækkelige sikkerhedsforanstaltninger til at garantere sikkerheden og fortroligheden i forbindelse med personoplysninger, der behandles gennem CPMS.

Hver af de sundhedstjenesteydere, som har adgangstilladelse til CPMS, har ansvar for:

i)	at udpege de patienter, hvis personoplysninger behandles gennem CPMS

ii)	at indsamle og sikre, at der altid foreligger eksplicitte, informerede, frivillige og specifikke samtykker fra de patienter, hvis personoplysninger behandles gennem CPMS, i overensstemmelse med de obligatoriske mindstekrav til den samtykkeformular, der er præciseret i bilag IV

iii)

at fungere som kontaktpunkt for deres patienter, herunder når de udøver deres rettigheder, at besvare henvendelser fra patienter eller repræsentanter og sikre, at patienter, hvis oplysninger behandles gennem CPMS, har mulighed for at udøve deres rettigheder i overensstemmelse med lovgivningen om beskyttelse af personoplysninger, idet de i nødvendigt omfang anvender de tekniske hjælpemidler, som Kommissionen stiller til rådighed i overensstemmelse med punkt 1, litra ii)

iv)	mindst hvert 15. år at vurdere, hvorvidt det er nødvendigt at behandle specifikke patienters personoplysninger i CPMS

at garantere sikkerheden og fortroligheden i forbindelse med behandling af patienters personoplysninger uden for CPMS, som foretages af den pågældende sundhedstjenesteyder, når sådanne oplysninger behandles med henblik på eller i forbindelse med behandling af patienters personoplysninger gennem CPMS

vi)

at meddele ethvert brud på sikkerheden i forbindelse med personoplysninger med hensyn til patientoplysninger, der behandles gennem CPMS, til Kommissionen, de kompetente tilsynsmyndigheder og, når det er påkrævet, til patienterne, jf. artikel 33 og 34 i forordning (EU) 2016/679, eller hvis Kommissionen anmoder herom

vii)	i overensstemmelse med adgangskriterierne i punkt 1, litra vii), i dette bilag at identificere det personale og andre enkeltpersoner, der er tilknyttet disse, og som skal tildeles adgang til patienters personoplysninger i CPMS og meddele Kommissionen dette

viii)

at sikre, at deres personale og andre enkeltpersoner, der er tilknyttet disse, og som har adgang til patienters personoplysninger i CPMS, i tilstrækkelig grad er uddannet til at sikre, at de varetager deres opgaver i overensstemmelse med de regler, der gælder for beskyttelse af personoplysninger, og at de er bundet af tavshedspligt som omhandlet i artikel 9, stk. 3, i forordning (EU) 2016/679.

(1) Kommissionens afgørelse (EU, Euratom) 2017/46 af 10. januar 2017 om kommunikations- og informationssystemernes sikkerhed i Europa-Kommissionen (EUT L 6 af 11.1.2017, s. 40) og Kommissionens afgørelse af 13. december 2017 om gennemførelsesbestemmelser til artikel 3, 5, 7, 8, 9, 10, 11, 12, 14 og 15 i afgørelse (EU, Euratom) 2017/46 om kommunikations- og informationssystemernes sikkerhed i Europa-Kommissionen (C(2017) 8841 final).

BILAG II

»BILAG IV

Obligatoriske mindstekrav til den samtykkeformular, som sundhedstjenesteydere med adgangstilladelse til CPMS, skal forelægge

I samtykkeformularen skal der redegøres for retsgrundlaget for og de retlige forhold omkring behandlingen, konceptet for og formålet med de europæiske netværk af referencecentre, der er etableret ved direktiv 2011/24/EU om patientrettigheder i forbindelse med grænseoverskridende sundhedsydelser. Den skal orientere om de specifikke behandlingsaktiviteter og den registreredes rettigheder i overensstemmelse med den gældende lovgivning om beskyttelse af personoplysninger. Den skal præcisere, at netværk består af medlemmer, der er højt specialiserede sundhedstjenesteydere, og at de skal gøre det muligt for sundhedspersoner at samarbejde om at støtte patienter med komplekse sygdomme eller tilstande, der er sjældne eller har lav prævalens, som har brug for højt specialiserede sundhedsydelser.

I samtykkeformularen skal der anmodes om patientens eksplicitte samtykke til at dele dennes personoplysninger med ét eller flere europæiske netværk af referencecentre udelukkende med det formål at forbedre vedkommendes adgang til diagnosticering og behandling og levering af sundhedsydelser af høj kvalitet. Med henblik herpå skal følgende fremgå:

Hvis der gives samtykke hertil, vil patienternes personoplysninger blive behandlet af sundhedstjenesteydere, som har adgangstilladelse til CPMS, idet de overholder følgende betingelser:

i)	Den pågældende patients navn samt dennes fødselssted og præcise fødselsdato indgår ikke i de delte oplysninger. Patientens identifikationsoplysninger erstattes af en unik identifikator, der hindrer, at patienten kan identificeres af andre end sundhedstjenesteyderen (pseudonymisering).

ii)

Kun oplysninger, der er relevante med henblik på diagnosticering og behandling, deles. Dette kan omfatte fødselsregion og bopælsområde, køn, fødselsår og -måned, billeddiagnostik, laboratorierapporter samt biologiske stikprøvedata. Det kan også omfatte breve og rapporter fra andre sundhedspersoner, som tidligere har leveret sundhedsydelser til patienten.

iii)	Patientens oplysninger deles gennem det kliniske patientstyringssystem (CPMS), som er et sikret elektronisk informationssystem.

iv)	Kun sundhedspersoner og andre enkeltpersoner med tilknytning til sådanne sundhedstjenesteydere, som er bundet af tavshedspligt, og som har adgangstilladelse til patienters oplysninger i netværkene, har adgang til patientens oplysninger.

v)	Sundhedspersoner og andre enkeltpersoner med tilknytning til sådanne sundhedstjenesteydere, som har adgangstilladelse til patienters oplysninger, kan foretage søgninger i CPMS og generere rapporter for at identificere lignende patientsager.

b)	Hvis der ikke gives samtykke hertil, får det på ingen måde betydning for sundhedstjenesteyderens levering af sundhedsydelser til den pågældende patient.

I samtykkeformularen skal der også anmodes om yderligere samtykke fra patienten til, at dennes oplysninger kan indlæses i registre eller andre databaser vedrørende komplekse sygdomme, der er sjældne eller har lav prævalens, som tjener videnskabelige forskningsmæssige, kliniske eller politiske formål. Hvis der anmodes om samtykke hertil, skal konceptet for og formålet med registre eller databaser vedrørende sjældne sygdomme beskrives i samtykkeformularen, og følgende skal præciseres:

Hvis der gives samtykke hertil, vil patientens personoplysninger blive behandlet af sundhedstjenesteydere, som har adgangstilladelse til CPMS, idet de overholder følgende betingelser:

i)	Kun oplysninger vedrørende patientens helbredstilstand deles.

ii)	Sundhedspersoner og andre enkeltpersoner med tilknytning til sådanne sundhedstjenesteydere, som har adgangstilladelse til patienters oplysninger, kan foretage søgninger i CPMS og generere rapporter for at identificere lignende patientsager.

b)	Hvis der ikke gives samtykke hertil, får det på ingen måde betydning for sundhedstjenesteyderens levering af sundhedsydelser til den pågældende patient eller for det faktum, at netværket giver rådgivning om diagnosticering og behandling efter anmodning fra patienten.

I samtykkeformularen kan der også anmodes om patientens samtykke til, at denne kan kontaktes af et medlem af netværket, som mener, at patienten kan være egnet til et videnskabeligt forskningsinitiativ, et specifikt videnskabeligt forskningsprojekt eller dele af et videnskabeligt forskningsprojekt. Hvis der anmodes om samtykke hertil, skal det i samtykkeformularen præciseres, at det samtykke, der på dette trin gives til at blive kontaktet til videnskabelige formål, ikke er ensbetydende med et samtykke til, at patientens oplysninger kan anvendes i et specifikt videnskabeligt forskningsinitiativ. Det betyder heller ikke, at patienten i alle tilfælde vil blive kontaktet i forbindelse med et specifikt videnskabeligt forskningsprojekt, eller at patienten vil indgå i dette, og det præciseres, at

Hvis der gives samtykke hertil, vil patientens personoplysninger blive behandlet af sundhedstjenesteydere, som har adgangstilladelse til CPMS, idet de overholder følgende betingelser:

i)	Sundhedspersoner og andre enkeltpersoner med tilknytning til sådanne sundhedstjenesteydere, som har adgangstilladelse til patienters oplysninger, kan foretage søgninger i CPMS og generere rapporter for at identificere patienter, der er egnede til videnskabelige forskning

ii)

Hvis det vurderes, at patientens sygdom eller tilstand har relevans for et specifikt videnskabeligt forskningsprojekt, kan patienten kontaktes med henblik på dette specifikke videnskabelige forskningsprojekt for at indhente patientens samtykke til, at dennes oplysninger kan anvendes i dette videnskabelige forskningsprojekt

b)	Hvis der ikke gives samtykke hertil, får det på ingen måde betydning for sundhedstjenesteyderens levering af sundhedsydelser til den pågældende patient eller for det faktum, at netværket giver rådgivning om diagnosticering og behandling efter anmodning fra patienten.

I samtykkeformularen skal der også redegøres for patientens rettigheder for så vidt angår dennes respektive samtykker til deling af personoplysninger, og navnlig skal det oplyses, at patienten

a)	har ret til at give eller tilbageholde samtykke, og at dette ikke får betydning for de sundhedsydelser, som denne modtager

b)	når som helst kan tilbagekalde et samtykke, der er givet tidligere

c)	har ret til at få kendskab til, hvilke oplysninger der deles i et netværk, til at få adgang til oplysninger, der opbevares om vedkommende, og at anmode om rettelse af eventuelle fejl

d)	kan anmode om blokering eller sletning af dennes personoplysninger og har ret til dataportabilitet.

I samtykkeformularen skal patienten orienteres om, at sundhedstjenesteyderen kun opbevarer personoplysningerne, så længe det er nødvendigt til de formål, som patienten har givet samtykke til, og at det mindst hvert 15. år vurderes, hvorvidt det er nødvendigt at lagre en specifik patients personoplysninger i CPMS.

I samtykkeformularen skal patienten orienteres om de dataansvarliges identitet og kontaktoplysninger, idet det klart præciseres, at det kontaktpunkt, som skal varetage patientens rettigheder, er den enkelte sundhedstjenesteyder, som har adgangstilladelse til CPMS, om databeskyttelsesrådgiverens kontaktoplysninger og i givet fald om tilgængelige klagemuligheder vedrørende databeskyttelse. Kontaktoplysningerne for den nationale databeskyttelsesmyndighed skal anføres i samtykkeformularen.

I samtykkeformularen skal det enkelte samtykke for hver af de tre forskellige former for deling af oplysninger fremgå særskilt på en specifik, eksplicit og utvetydig måde:

a)	samtykket skal fremgå ved hjælp af en klar bekræftelse, f.eks. ved anvendelse af et afkrydsningsfelt og en underskrift på formularen

b)	begge muligheder (at give eller at afslå at give samtykke) skal inkluderes.

Top