(1)

Formålet med denne forordning er at oprette det europæiske sundhedsdataområde for at forbedre fysiske personers adgang til og kontrol med deres personlige elektroniske sundhedsdata i forbindelse med sundhedsydelser samt for bedre at opfylde andre formål, der omfatter anvendelse af elektroniske sundhedsdata, på sundhedsområdet og i plejesektoren, der vil være til gavn for samfundet, såsom forskning, innovation, politikudformning, beredskab og indsats over for sundhedstrusler, herunder forebyggelse og håndtering af fremtidige pandemier, patientsikkerhed, personlig medicin, officielle statistikker eller reguleringsmæssige aktiviteter. Formålet med denne forordning er endvidere at forbedre det indre markeds funktion ved at fastlægge ensartede retlige og tekniske rammer, navnlig for udvikling, markedsføring og anvendelse af elektroniske patientjournaler (»EPJ-systemer«) i overensstemmelse med Unionens værdier. Det europæiske sundhedsdataområde vil være et centralt element i skabelsen af en stærk og modstandsdygtig europæisk sundhedsunion.

(2)

Covid-19-pandemien understregede, at det er bydende nødvendigt at have rettidig adgang til elektroniske sundhedsdata af høj kvalitet til beredskab og indsats over for sundhedstrusler samt til forebyggelse, diagnosticering og behandling og til sekundær anvendelse af sådanne elektroniske sundhedsdata. En sådan rettidig adgang kan potentielt gennem effektiv overvågning af folkesundheden bidrage til en mere effektiv håndtering af fremtidige pandemier, til en reduktion af omkostninger og til at forbedre indsatsen over for sundhedstrusler og kan i sidste ende bidrage til at redde flere liv i fremtiden. I 2020 tilpassede Kommissionen hurtigt sit kliniske patientstyringssystem, der blev oprettet ved Kommissionens gennemførelsesafgørelse (EU) 2019/1269 (4), for at give medlemsstaterne mulighed for at dele elektroniske sundhedsdata om covid-19-patienter, der flyttede mellem sundhedstjenesteydere og medlemsstater, da denne pandemi var på sit højeste. Denne tilpasning var imidlertid kun en nødløsning, der viste, at der var behov for en strukturel og ensartet tilgang på medlemsstats- og EU-plan for såvel at forbedre tilgængeligheden af elektroniske sundhedsdata i forbindelse med sundhedsydelser og lette adgangen til elektroniske sundhedsdata med henblik på at målrette effektive politiske svar og bidrage til høje standarder for menneskers sundhed.

(3)

Covid-19-krisen cementerede i høj grad arbejdet i e-sundhedsnetværket, som er et frivilligt netværk af myndigheder med ansvar for digital sundhed, som den vigtigste søjle i udviklingen af kontaktopsporings- og kontaktvarslingsapplikationer til mobilenheder og de tekniske aspekter af EU's digitale covidcertifikater. Den fremhævede også behovet for at dele elektroniske sundhedsdata, der er søgbare, tilgængelige, interoperable og genanvendelige (»FAIR-principperne«), og sikre, at elektroniske sundhedsdata er så åbne som muligt, samtidig med at princippet om dataminimering som fastsat i Europa-Parlamentets og Rådets forordning (EU) 2016/679 (5) respekteres. Der bør sikres synergier mellem det europæiske sundhedsdataområde, den europæiske åbne videnskabscloud og de europæiske forskningsinfrastrukturer, og der bør tages ved lære af de datadelingsløsninger, der er udviklet under den europæiske covid-19-dataplatform.

(4)

I betragtning af personlige elektroniske sundhedsdatas følsomhed sigter denne forordning mod at stille tilstrækkelige garantier til rådighed på både EU-plan og nationalt plan for at sikre et højt niveau for databeskyttelsen, -sikkerheden og -fortroligheden samt den etiske brug af data. Sådanne garantier er nødvendige med henblik på at fremme tilliden til sikker håndtering af fysiske personers elektroniske sundhedsdata til primær anvendelse og sekundær anvendelse som defineret i denne forordning.

(5)

Behandlingen af elektroniske sundhedsdata er underlagt bestemmelserne i forordning (EU) 2016/679 og for Unionens institutioners, organers, kontorers og agenturers vedkommende i Europa-Parlamentets og Rådets forordning (EU) 2018/1725 (6). Henvisninger til bestemmelserne i forordning (EU) 2016/679 bør også forstås som henvisninger til de tilsvarende bestemmelser i forordning (EU) 2018/1725 for Unionens institutioner, organer, kontorer og agenturer, hvor det er relevant.

(6)

Flere og flere personer, der bor i Unionen, krydser landegrænser for at arbejde, studere, besøge slægtninge eller af andre årsager. For at lette udvekslingen af sundhedsdata og i overensstemmelse med behovet for at styrke borgernes indflydelse bør de kunne få adgang til deres sundhedsdata i et elektronisk format, der kan anerkendes og accepteres i hele Unionen. Sådanne personlige elektroniske sundhedsdata kan omfatte personoplysninger vedrørende en fysisk persons fysiske eller mentale sundhed, herunder vedrørende brug af sundhedsydelser, og som afslører oplysninger om denne fysiske persons helbredstilstand, personoplysninger vedrørende en fysisk persons arvede eller erhvervede genetiske karakteristika, som giver entydig information om den pågældende fysiske persons fysiologi eller helbred, og som navnlig foreligger efter en analyse af en biologisk prøve fra den pågældende fysiske person, samt datadeterminanter for sundhed såsom adfærd, miljø, fysiske påvirkninger, lægebehandling, sociale eller uddannelsesmæssige faktorer. Elektroniske sundhedsdata omfatter også data, der oprindeligt er indsamlet med henblik på forskning, statistik, vurdering af sundhedstrusler, politikudformning eller reguleringsmæssige formål, og det bør være muligt at stille dem til rådighed i overensstemmelse med reglerne i denne forordning. Elektroniske sundhedsdata består af alle kategorier af disse data, uanset om sådanne oplysninger leveres af den registrerede eller andre fysiske eller juridiske personer såsom sundhedsprofessionelle eller behandles i forbindelse med en fysisk persons sundhed eller velbefindende, og bør også omfatte afledte og udledte data såsom diagnostik, test og medicinske undersøgelser samt data, der observeres og registreres automatisk.

(7)

I sundhedssystemerne indsamles personlige elektroniske sundhedsdata normalt i elektroniske patientjournaler, som typisk indeholder en fysisk persons sygehistorik, diagnoser og behandling, medicin, allergier og vaccinationer samt radiologiske billeder, laboratorieresultater og andre helbredsoplysninger, som spredes mellem forskellige aktører i sundhedssystemet, såsom praktiserende læger, hospitaler, apoteker eller plejetjenester. For at gøre det muligt for fysiske personer eller sundhedsprofessionelle at få adgang til, dele og ændre disse elektroniske sundhedsdata har nogle medlemsstater truffet de nødvendige retlige og tekniske foranstaltninger og etableret centraliserede infrastrukturer, der forbinder EPJ-systemer, der anvendes af sundhedstjenesteydere og fysiske personer. Desuden yder nogle medlemsstater støtte til offentlige og private sundhedstjenesteydere i at oprette personlige elektroniske sundhedsdataområder for at muliggøre interoperabilitet mellem forskellige sundhedstjenesteydere. Flere medlemsstater støtter eller leverer også tjenester for adgang til elektroniske sundhedsdata for patienter og sundhedsprofessionelle, f.eks. gennem portaler for patienter eller sundhedsprofessionelle. Disse medlemsstater har også truffet foranstaltninger til at sikre, at EPJ-systemer eller wellnessapplikationer er i stand til at overføre elektroniske sundhedsdata til det centrale EPJ-system, f.eks. ved at indføre et certificeringssystem. Det er imidlertid ikke alle medlemsstater, der har indført sådanne systemer, og de medlemsstater, der har, har gjort det på en fragmenteret måde. For at lette den frie udveksling af personlige elektroniske sundhedsdata i hele Unionen og undgå negative konsekvenser for patienter, når de modtager sundhedsydelser i en grænseoverskridende sammenhæng, er der behov for en indsats på EU-plan for at fysiske personer har bedre adgang til deres egne personlige elektroniske sundhedsdata og sætte dem i stand til at dele disse data. I denne henseende bør der på EU-plan og nationalt plan iværksættes passende tiltag som et middel til at reducere fragmentering, uensartethed og splittelse og til at skabe et system, der er brugervenligt og intuitivt i alle medlemsstater. Enhver digital omstilling i sundhedssektoren bør sigte mod at være inklusiv og også tage hensyn til fysiske personer med begrænset adgang til og brug af digitale tjenester, inklusive personer med handicap.

(8)

Forordning (EU) 2016/679 indeholder specifikke bestemmelser om fysiske personers rettigheder i forbindelse med behandling af deres personoplysninger. Det europæiske sundhedsdataområde bygger på disse rettigheder og supplerer nogle af dem, der vedrører personlige elektroniske sundhedsdata. Disse rettigheder gælder uanset i hvilken medlemsstat de personlige elektroniske sundhedsdata behandles, hvilken type sundhedstjenesteyder der er tale om, kilder til disse data eller den fysiske persons forsikringsmedlemsstat. Rettighederne og reglerne vedrørende den primære anvendelse af personlige elektroniske sundhedsdata i henhold til nærværende forordning vedrører alle kategorier af disse data, uanset hvordan de er blevet indsamlet, eller hvem der har leveret dem, retsgrundlaget for behandlingen i henhold til forordning (EU) 2016/679 eller den dataansvarliges status som en offentlig eller privat organisation. De yderligere rettigheder til adgang til og portabilitet af personlige elektroniske sundhedsdata, der er fastsat i nærværende forordning, bør ikke berøre retten til adgang og portabilitet som fastsat ved forordning (EU) 2016/679. Fysiske personer har fortsat disse rettigheder på de betingelser, der er fastsat i nævnte forordning.

(9)

Selv om de rettigheder, der følger af forordning (EU) 2016/679, fortsat bør finde anvendelse, bør retten til adgang til data for en fysisk person, der er fastsat i forordning (EU) 2016/679, suppleres yderligere i sundhedssektoren. I henhold til nævnte forordning behøver dataansvarlige ikke straks at give adgang. Retten til adgang til sundhedsdata sikres stadig ofte mange steder gennem levering af de ønskede sundhedsdata i papirformat eller som scannede dokumenter, hvilket er tidskrævende for den dataansvarlige, såsom et hospital eller en anden sundhedstjenesteyder, der giver adgang. Denne situation forsinker fysiske personers rettidige adgang til sundhedsdata og kan have en negativ indvirkning på dem, hvis de har brug for en sådan adgang straks på grund af en akut helbredsmæssig situation. Det er derfor nødvendigt at give fysiske personer en mere effektiv måde at få adgang til deres egne personlige elektroniske sundhedsdata på. De bør have ret til gratis og øjeblikkelig adgang til specifikke prioriterede kategorier af personlige elektroniske sundhedsdata, såsom patientresuméet, gennem en tjeneste for adgang til elektroniske sundhedsdata, samtidig med at behovet for teknologisk gennemførlighed respekteres. Denne rettighed bør gælde uanset i hvilken medlemsstat de personlige elektroniske sundhedsdata behandles, hvilken type sundhedstjenesteyder der er tale om, kilderne til disse data eller den fysiske persons forsikringsmedlemsstat. Anvendelsesområdet for denne supplerende rettighed, der er fastsat ved nærværende forordning, og betingelserne for at udøve den adskiller sig på visse måder fra retten til adgang til personoplysninger i henhold til forordning (EU) 2016/679, som omfatter alle personoplysninger, som en dataansvarlig er i besiddelse af, og udøves over for en enkelt dataansvarlig, som har op til en måned til at besvare en anmodning. Retten til adgang til personlige elektroniske sundhedsdata i henhold til nærværende forordning bør begrænses til de kategorier af data, der er omfattet af dens anvendelsesområde, og den bør udøves via en tjeneste for adgang til elektroniske sundhedsdata og medføre et øjeblikkeligt svar. Rettighederne i henhold til forordning (EU) 2016/679 bør fortsat finde anvendelse, således at fysiske personer kan drage fordel af deres rettigheder i henhold til begge retlige rammer, navnlig retten til at få en papirkopi af de elektroniske sundhedsdata.

(10)

Det bør tages i betragtning, at øjeblikkelig adgang for fysiske personer til visse kategorier af deres personlige elektroniske sundhedsdata kan være skadelig for disse fysiske personers sikkerhed eller være uetisk. Det kan f.eks. være uetisk at informere en patient via en elektronisk kanal om, at vedkommende er blevet diagnosticeret med en uhelbredelig sygdom, som sandsynligvis er terminal inden for meget kort tid, i stedet for først at give disse oplysninger i en konsultation med patienten. Det bør derfor være muligt at udsætte adgangen til personlige elektroniske sundhedsdata i sådanne situationer i en begrænset periode, f.eks. indtil det tidspunkt, hvor den sundhedsprofessionelle kan forklare situationen for patienten. Medlemsstaterne bør kunne indføre en sådan undtagelse, hvis den udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund i overensstemmelse med begrænsninger som fastsat i artikel 23 i forordning (EU) 2016/679.

(11)

Denne forordning berører ikke medlemsstaternes beføjelser vedrørende den første registrering af personlige elektroniske sundhedsdata, såsom at gøre registreringen af genetiske data betinget af den fysiske persons samtykke eller andre garantier. Medlemsstaterne kan kræve, at data stilles til rådighed i et elektronisk format forud for anvendelsen af denne forordning. Dette bør ikke berøre forpligtelsen til at stille personlige elektroniske sundhedsdata, der er registreret efter denne forordnings anvendelsesdato, til rådighed i et elektronisk format.

(12)

For at supplere de oplysninger, der er tilgængelige for dem, bør fysiske personer kunne tilføje elektroniske sundhedsdata til deres EPJ'er eller lagre yderligere oplysninger i deres særskilte personlige helbredsjournaler, som sundhedsprofessionelle kan få adgang til. Oplysninger, der indlæses af fysiske personer, er muligvis ikke så pålidelige som elektroniske sundhedsdata, der indlæses og verificeres af sundhedsprofessionelle, og har ikke den samme kliniske eller juridiske værdi som oplysninger, der stilles til rådighed af sundhedsprofessionelle. Data, der tilføjes af fysiske personer i deres EPJ, bør derfor tydeligt kunne skelnes fra data fra sundhedsprofessionelle. Denne mulighed for fysiske personer for at tilføje og supplere personlige elektroniske sundhedsdata bør ikke give dem ret til at ændre personlige elektroniske sundhedsdata, der er stillet til rådighed af sundhedsprofessionelle.

(13)

Ved at give fysiske personer lettere og hurtigere adgang til deres personlige elektroniske sundhedsdata får de mulighed for at gøre opmærksom på eventuelle fejl såsom forkerte oplysninger eller fejlagtigt tildelte patientjournaler. I sådanne tilfælde bør fysiske personer have mulighed for straks og gratis at anmode online om berigtigelse af ukorrekte personlige elektroniske sundhedsdata online via en tjeneste for adgang til personlige sundhedsdata. Sådanne anmodninger om berigtigelse af oplysninger bør derefter vurderes og behandles af de relevante dataansvarlige i henhold til forordning (EU) 2016/679, om nødvendigt med inddragelse af sundhedsprofessionelle med et relevant speciale og med ansvar for de fysiske personers behandling.

(14)

I henhold til forordning (EU) 2016/679 er retten til dataportabilitet begrænset til data, der behandles på grundlag af samtykke eller kontrakt, og som den registrerede har stillet til rådighed for en dataansvarlig. Derudover har fysiske personer i henhold til nævnte forordning kun ret til at få personoplysningerne videregivet direkte fra en dataansvarlig til en anden, hvis det er teknisk muligt. Forordning (EU) 2016/679 pålægger imidlertid ikke en forpligtelse til at gøre denne direkte transmission teknisk mulig. Retten til dataportabilitet bør suppleres i henhold til nærværende forordning og derved som minimum give fysiske personer mulighed for at give adgang til som minimum prioriterede kategorier af deres personlige elektroniske sundhedsdata til sundhedsprofessionelle efter eget valg, til at udveksle sådanne sundhedsdata med sådanne sundhedsprofessionelle og til at downloade sådanne sundhedsdata. Desuden bør fysiske personer have ret til at anmode en sundhedstjenesteyder om at overføre en del af deres elektroniske sundhedsdata til en klart identificeret modtager i sektoren for socialsikringstjenester eller refusionstjenester. En sådan overførsel bør udelukkende være en envejsoverførsel.

(15)

Den ramme, der fastsættes ved denne forordning, bør bygge på retten til dataportabilitet, der er fastsat i forordning (EU) 2016/679, ved at sikre, at fysiske personer som registrerede kan overføre deres personlige elektroniske sundhedsdata, herunder afledte data i det europæiske format for udveksling af elektroniske patientjournaler, uanset retsgrundlaget for behandling af de elektroniske sundhedsdata. Sundhedsprofessionelle bør ikke hindre anvendelsen af fysiske personers rettigheder, f.eks. ved at nægte at tage hensyn til personlige elektroniske sundhedsdata, der stammer fra en anden medlemsstat og som leveres gennem det interoperable og pålidelige europæiske format for udveksling af elektroniske patientjournaler.

(16)

Sundhedstjenesteydernes eller andre enkeltpersoners adgang til de elektroniske patientjournaler bør være gennemsigtig for de berørte fysiske personer. Tjenester for adgang til elektroniske sundhedsdata bør stille detaljerede oplysninger om adgang til data til rådighed, f.eks. hvornår og hvilken enhed eller fysisk person, der har fået adgang til data og hvilke data der blev tilgået. Fysiske personer bør også kunne slå automatiske meddelelser om adgang til personlige elektroniske sundhedsdata, der vedrører dem, gennem adgangstjenester for sundhedsprofessionelle til eller fra.

(17)

Fysiske personer ønsker muligvis ikke at give adgang til visse dele af deres personlige elektroniske sundhedsdata, men vil samtidig gerne give adgang til andre dele. Dette kan navnlig være relevant i tilfælde af følsomme sundhedsproblemer såsom i forhold til mental eller seksuel sundhed, følsomme behandlinger såsom abort eller oplysninger om specifikke lægemidler, der kan afsløre andre følsomme problemer. En sådan selektiv deling af personlige elektroniske sundhedsdata bør derfor støttes og gennemføres gennem begrænsninger, der fastsættes af den berørte fysiske person på samme måde inden for en given medlemsstats område og ved grænseoverskridende datadeling. Disse begrænsninger bør give mulighed for en tilstrækkelig detaljeringsgrad i forhold til at begrænse dele af datasæt, f.eks. elementer af patientresuméer. Forud for fastsættelsen af begrænsningerne bør fysiske personer informeres om de risici for patientsikkerheden, der er forbundet med begrænsning af adgangen til sundhedsdata. Da manglende adgang til begrænsede personlige elektroniske sundhedsdata kan påvirke leveringen eller kvaliteten af de sundhedsydelser, der leveres til den fysiske person, bør fysiske personer, der gør brug af sådanne adgangsbegrænsninger, påtage sig ansvaret for, at sundhedstjenesteyderen ikke kan tage dataene i betragtning, når vedkommende leverer sundhedsydelser. Begrænsningerne af adgangen til personlige elektroniske sundhedsdata kan have livstruende konsekvenser, og det bør derfor ikke desto mindre være muligt at tilgå disse data i nødsituationer for at beskytte vitale interesser. Mere specifikke retlige bestemmelser om mekanismerne for begrænsninger, som fysiske personer pålægger dele af deres personlige elektroniske sundhedsdata, kan fastsættes af medlemsstaterne i deres nationale ret, navnlig vedrørende lægeansvaret i tilfælde af, at den pågældende fysiske person har pålagt begrænsninger.

(18)

På grund af de forskellige opfattelser i medlemsstaterne med hensyn til graden af patienternes kontrol med deres sundhedsdata bør medlemsstaterne desuden kunne fastsætte en absolut ret til at fravælge adgang til deres personlige elektroniske sundhedsdata for alle, bortset fra den oprindelige dataansvarlige, uden nogen mulighed for at tilsidesætte denne fravalgsret i nødsituationer. I sådanne tilfælde bør medlemsstaterne fastsætte regler og specifikke garantier for sådanne fravalgsmekanismer. Disse regler og specifikke garantier kan også vedrøre specifikke kategorier af personlige elektroniske sundhedsdata, f.eks. genetiske data. Retten til fravalg betyder, at personlige elektroniske sundhedsdata vedrørende den fysiske person, der udøver nævnte ret, ikke stilles til rådighed gennem de tjenester, der er oprettet under det europæiske sundhedsdataområde, bortset fra den sundhedstjenesteyder, der leverede behandlingen. Medlemsstaterne bør kunne kræve registrering og lagring af personlige elektroniske sundhedsdata i et EPJ-system, der anvendes af den sundhedstjenesteyder, der leverede sundhedsydelserne, og som kun er tilgængelig for den pågældende sundhedstjenesteyder. Hvis en fysisk person har udøvet sin ret til fravalg, vil sundhedstjenesteyderne stadig dokumentere behandlingen i overensstemmelse med de gældende regler og kunne få adgang til de data, som de har registreret. Fysiske personer, der udøver retten til fravalg, bør kunne omgøre deres beslutning. I sådanne tilfælde, er personlige elektroniske sundhedsdata, der er blevet genereret i fravalgsperioden, muligvis ikke tilgængelige via adgangstjenesterne og MyHealth@EU.

(19)

Rettidig og fuld adgang for sundhedsprofessionelle til patientjournaler er afgørende for at sikre kontinuitet i behandlingen, undgå dobbeltarbejde og fejl samt reducere omkostninger. På grund af manglende interoperabilitet kan sundhedsprofessionelle imidlertid i mange tilfælde ikke få adgang til deres patienters fuldstændige patientjournaler og kan ikke træffe optimale medicinske beslutninger vedrørende deres diagnose og behandling, hvilket medfører betydelige omkostninger for både sundhedssystemerne og fysiske personer og kan føre til ringere sundhedsresultater for fysiske personer. Elektroniske sundhedsdata, der stilles til rådighed i et interoperabelt format, og som kan overføres mellem sundhedstjenesteydere, kan også mindske den administrative byrde for sundhedsprofessionelle for så vidt angår manuel indlæsning eller kopiering af sundhedsdata mellem elektroniske systemer. Sundhedsprofessionelle bør derfor udstyres med passende elektroniske midler, såsom elektroniske enheder og portaler for sundhedsprofessionelle eller andre adgangstjenester for sundhedsprofessionelle, så de kan bruge personlige elektroniske sundhedsdata i udførelsen af deres opgaver. Da det er vanskeligt på forhånd på udtømmende vis at fastslå, hvilke data fra de eksisterende data i prioriterede kategorier, der er lægeligt relevante i et specifikt tilfælde af pleje, bør sundhedsprofessionelle have bred adgang til data. Når sundhedsprofessionelle tilgår data vedrørende deres patienter, bør de overholde gældende ret, adfærdskodekser, deontologiske retningslinjer eller andre bestemmelser om etisk adfærd med hensyn til deling af eller adgang til oplysninger, navnlig i livstruende eller ekstreme situationer. I overensstemmelse med forordning (EU) 2016/679, for at begrænse deres adgang til det, der er relevant i et specifikt tilfælde af pleje, bør sundhedstjenesteydere følge princippet om dataminimering, når de tilgår personlige elektroniske sundhedsdata, og begrænse de data, der tilgås, til data, der er strengt nødvendige og berettigede for den pågældende ydelse. Levering af tjenester til sundhedsprofessionelles adgang er en opgave i samfundets interesse i henhold til nærværende forordning, hvis udførelse kræver behandling af personoplysninger som omhandlet i artikel 6, stk. 1, litra e), i forordning (EU) 2016/679. Nærværende forordning fastsætter betingelser og garantier for behandling af elektroniske sundhedsdata foretaget af adgangstjenesten for sundhedsprofessionelle i overensstemmelse med artikel 9, stk. 2, litra h), i forordning (EU) 2016/679, f.eks. detaljerede bestemmelser for logning af adgang til personlige elektroniske sundhedsdata, og som har til formål at skabe gennemsigtighed for de registrerede. Nærværende forordning bør dog ikke berøre nationale ret om behandling af sundhedsdata med henblik på at levere sundhedsydelser, herunder national ret, der fastsætter, hvilke kategorier af sundhedsprofessionelle der må behandle forskellige kategorier af elektroniske sundhedsdata.

(20)

For at lette udøvelsen af de supplerende adgangs- og portabilitetsrettigheder, der er fastsat i denne forordning, bør medlemsstaterne oprette en eller flere tjenester for adgang til elektroniske sundhedsdata. Disse tjenester kan leveres på nationalt, regionalt eller lokalt plan eller af sundhedstjenesteydere i form af en online patientportal, en applikation til mobilenheder eller på anden måde. De bør udformes på en tilgængelig måde, navnlig for personer med handicap. Det er i væsentlig samfundsinteresse, at en sådan tjeneste giver fysiske personer let adgang til deres personlige elektroniske sundhedsdata. Behandlingen af personlige elektroniske sundhedsdata gennem disse tjenester er nødvendig for udførelsen af den opgave, der er pålagt ved nærværende forordning, jf. artikel 6, stk. 1, litra e), og artikel 9, stk. 2, litra g), i forordning (EU) 2016/679. Nærværende forordning fastsætter de nødvendige betingelser og garantier for behandling af elektroniske sundhedsdata i tjenester for adgang til elektroniske sundhedsdata såsom elektronisk identifikation af fysiske personer, der har adgang til sådanne tjenester.

(21)

Fysiske personer bør kunne give tilladelse til andre fysiske personer efter eget valg, såsom deres pårørende eller andre nærtstående, således at sådanne personer efter eget valg kan få adgang til eller kontrollere adgangen til de personlige elektroniske sundhedsdata for de fysiske personer, der giver tilladelsen, eller anvende digitale sundhedstjenester på deres vegne. Sådanne tilladelser kan også være belejlige for anden brug af fysiske personer, der er givet en sådan tilladelse. Medlemsstaterne bør oprette og gennemføre fuldmagtstjenester for at muliggøre sådanne tilladelser og være knyttet til tjenester for adgang til personlige elektroniske sundhedsdata såsom patientportaler eller patientorienterede applikationer til mobilenheder. Disse fuldmagtstjenester bør også gøre det muligt for værger at handle på vegne af deres forsørgelsesberettigede, herunder mindreårige; i sådanne situationer kan tilladelserne være automatiske. Ud over disse fuldmagtstjenester bør medlemsstaterne også oprette let tilgængelige supporttjenester, der leveres af tilstrækkeligt uddannet personale til at hjælpe de fysiske personer når de udøver deres rettigheder. For at tage hensyn til tilfælde, hvor visningen af visse personlige elektroniske sundhedsdata om afhængige personer for deres værger kan være i strid deres afhængige personers, herunder mindreåriges, interesser eller vilje, bør medlemsstaterne i national ret kunne fastsætte begrænsninger og garantier samt mekanismer for deres tekniske gennemførelse. Tjenester for adgang til personlige elektroniske sundhedsdata, såsom patientportaler eller patientorienterede applikationer til mobilenheder, bør gøre brug af sådanne tilladelser og dermed gøre det muligt for autoriserede fysiske personer at få adgang til personlige elektroniske sundhedsdata, der er omfattet af tilladelsen. For at sikre en horisontal løsning med øget brugervenlighed, bør digitale fuldmagtsløsninger bringes i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 (7) og de tekniske specifikationer for den europæiske digitale identitetstegnebog. Denne tilpasning vil bidrage til at mindske både den administrative og finansielle byrde for medlemsstaterne ved at mindske risikoen for at udvikle parallelle systemer, der ikke er interoperable i hele Unionen.

(22)

I nogle medlemsstater leveres sundhedsydelser af sundhedsforvaltningsgrupper, som er grupper af sundhedsprofessionelle med fokus på primær sundhedspleje, såsom alment praktiserende læger, som udfører deres primære plejeaktiviteter på grundlag af en sundhedsplan, som de udarbejder. I flere medlemsstater findes der også andre typer sundhedsteams til andre behandlingsformål. I forhold til den primære anvendelse i det europæiske sundhedsdataområde bør adgangen gives til sundhedsprofessionelle i sådanne teams.

(23)

De tilsynsmyndigheder, der er oprettet i henhold til forordning (EU) 2016/679, er kompetente med hensyn til overvågning af og håndhævelse af anvendelsen af nævnte forordning, navnlig med hensyn til at overvåge behandlingen af personlige elektroniske sundhedsdata og behandle klager fra de pågældende fysiske personer. Nærværende forordning fastsætter yderligere rettigheder for fysiske personer med hensyn til den primære anvendelse, der er mere vidtgående end og supplerer de adgangs- og overførselsrettigheder, der er fastsat i forordning (EU) 2016/679. Da disse yderligere rettigheder også bør håndhæves af de tilsynsmyndigheder, der er oprettet i henhold til forordning (EU) 2016/679, bør medlemsstaterne sikre, at disse tilsynsmyndigheder råder over de nødvendige finansielle og menneskelige ressourcer samt de lokaler og den infrastruktur, der er nødvendige for effektivt at kunne udføre disse yderligere opgaver. Den tilsynsmyndighed eller de myndigheder, der er ansvarlige for overvågningen og håndhævelsen af behandlingen af personlige elektroniske sundhedsdata til primær anvendelse i overensstemmelse med nærværende forordning, bør have kompetence til at pålægge administrative bøder. Retssystemet i Danmark giver ikke mulighed for administrative bøder som fastsat i nærværende forordning. Reglerne om administrative bøder kan i Danmark anvendes ved, at bøder pålægges af de kompetente nationale domstole som en strafferetlig sanktion, forudsat at en sådan anvendelse af reglerne har tilsvarende virkning som administrative bøder pålagt af tilsynsmyndighederne. De pålagte bøder bør under alle omstændigheder være effektive, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning.

(24)

Medlemsstaterne bør bestræbe sig på at overholde etiske principper såsom de europæiske etiske principper for digital sundhed, der blev vedtaget af e-sundhedsnetværket den 26. januar 2022, og princippet om fortrolighed mellem sundhedsprofessionelle og patienter i forbindelse med anvendelsen af denne forordning. I anerkendelse af betydningen af etiske principper giver de europæiske etiske principper for digital sundhed vejledning til fagfolk, forskere, innovatorer, politiske beslutningstagere og lovgivere.

(25)

Relevansen af forskellige kategorier af elektroniske sundhedsdata for forskellige sundhedsscenarier varierer. Forskellige kategorier har også opnået forskellige grader af modenhed med hensyn til standardisering, og derfor kan gennemførelsen af mekanismer til deres udveksling være mere eller mindre kompleks afhængigt af kategorien. Derfor bør forbedringen af interoperabiliteten og dataudvekslingen ske gradvist, og der er behov for prioritering af visse kategorier af elektroniske sundhedsdata. Kategorier af elektroniske sundhedsdata såsom patientresuméer, elektroniske recepter og elektroniske lægemiddeludleveringer, medicinske billeddiagnostik og tilhørende billedrapporter, resultater af medicinske undersøgelser, såsom laboratorieresultater og tilhørende rapporter samt udskrivningsrapporter er blevet udvalgt af e-sundhedsnetværket som de mest relevante for de fleste sundhedssituationer og bør betragtes som prioriterede kategorier for medlemsstaterne med henblik på at sikre adgangen til dem og overførslen heraf. Hvis sådanne prioriterede kategorier af data repræsenterer grupper af elektroniske sundhedsdata, bør denne forordning finde anvendelse på både grupperne som helhed og på de individuelle dataposter, der indgår i disse grupper. Da vaccinationsstatus f.eks. er en del af et patientresumé, bør de rettigheder og krav, der er knyttet til patientresuméet, også gælde for en sådan vaccinationsstatus, selv om den behandles adskilt fra patientresuméet som helhed. Når der identificeres yderligere behov for udveksling af yderligere kategorier af elektroniske sundhedsdata med henblik på sundhedsydelser, bør adgang til og udveksling af disse yderligere kategorier muliggøres i henhold til denne forordning. De yderligere kategorier bør først gennemføres på medlemsstatsniveau, og udvekslingen på frivillig basis af sådanne kategorier af data i grænseoverskridende situationer mellem de samarbejdende medlemsstater bør fastsættes i denne forordning. Der bør lægges særlig vægt på dataudveksling i grænseregioner i nabomedlemsstater, hvor leveringen af grænseoverskridende sundhedsydelser er hyppigere og kræver endnu hurtigere procedurer end i hele Unionen generelt.

(26)

Graden af tilgængelighed af personlige sundhedsdata og genetiske data i elektronisk format varierer fra medlemsstat til medlemsstat. Det europæiske sundhedsdataområde bør gøre det lettere for fysiske personer at få adgang til disse data i elektronisk format og bedre kontrollere adgangen til og delingen af deres personlige elektroniske sundhedsdata. Dette vil også bidrage til at nå målet om, at 100 % af unionsborgerne skal have adgang til deres elektroniske patientjournaler senest i 2030, jf. Europa-Parlamentets og Rådets afgørelse (EU) 2022/2481 (8). For at gøre elektroniske sundhedsdata tilgængelige og overførbare bør sådanne data tilgås og overføres i et interoperabelt fælles europæisk format for udveksling af elektroniske patientjournaler, i det mindste for visse kategorier af elektroniske sundhedsdata, såsom patientresuméer, elektroniske recepter og elektroniske medicinudleveringer, medicinske billeddiagnostik og tilhørende billedrapporter, resultater af medicinske undersøgelser og udskrivningsrapporter, med forbehold af overgangsperioder. Når personlige elektroniske sundhedsdata stilles til rådighed for en sundhedstjenesteyder eller et apotek af en fysisk person eller overføres af en anden dataansvarlig i det europæiske format for udveksling af elektroniske patientjournaler, bør dette format accepteres og modtageren bør kunne læse de pågældende data og anvende dem med henblik på levering af sundhedsydelser eller udlevering af et lægemiddel, hvilket dermed understøtter leveringen af sundhedsydelser eller udleveringen af den elektroniske recept. Det europæiske format for udveksling af elektroniske patientjournaler bør udformes på en måde, der letter oversættelse af elektroniske sundhedsdata, der kommunikeres ved hjælp af dette format, til Unionens officielle sprog i det omfang, det er muligt. Kommissionens henstilling (EU) 2019/243 (9) danner grundlag for et sådant fælles europæisk format for udveksling af elektroniske patientjournaler. Det europæiske sundhedsdataområdes interoperabilitet bør bidrage til at have europæiske sundhedsdatasæt af høj kvalitet. Anvendelsen af et europæisk format for udveksling af elektroniske patientjournaler bør gøres mere udbredt på EU-plan og nationalt plan. Det europæiske format for udveksling af elektroniske patientjournaler kan give mulighed for forskellige profiler til brug i EPJ-systemerne og hos de nationale kontaktpunkter for digital sundhed i MyHealth@EU til grænseoverskridende dataudveksling.

(27)

Selv om EPJ-systemerne er vidt udbredte, varierer digitaliseringsniveauet for sundhedsdata i medlemsstaterne afhængigt af datakategorier og dækning af sundhedstjenesteydere, der registrerer sundhedsdata i elektronisk format. For at støtte anvendelsen af de registreredes ret til adgang til og udveksling af elektroniske sundhedsdata er der behov for en EU-indsats for at undgå yderligere fragmentering. For at bidrage til sundhedsydelsernes høje kvalitet og kontinuitet bør visse kategorier af sundhedsdata registreres systematisk i elektronisk format og i overensstemmelse med specifikke datakvalitetskrav. Det europæiske format for udveksling af elektroniske patientjournaler bør danne grundlag for specifikationer vedrørende registrering og udveksling af elektroniske sundhedsdata.

(28)

Telemedicin er et stadig vigtigere redskab, der kan give patienterne adgang til pleje og tackle uligheder. Det har potentiale til at reducere ulighederne inden for sundhed og styrke unionsborgernes frie bevægelighed på tværs af grænserne. Digitale og andre teknologiske værktøjer kan lette levering af pleje i afsidesliggende regioner. Når digitale tjenester ledsager den fysiske levering af en sundhedsydelse, bør den digitale tjeneste medtages i den samlede plejeydelse. I henhold til artikel 168 i traktaten om Den Europæiske Unions funktionsmåde (TEUF) er medlemsstaterne ansvarlige for deres sundhedspolitik, navnlig for organisation og levering af sundhedstjenesteydelser og behandling på sundhedsområdet, herunder regulering af aktiviteter såsom onlineapoteker, telemedicin og andre tjenester, som de leverer og yder refusion for i overensstemmelse med deres nationale lovgivning. Forskellige sundhedspolitikker bør dog ikke udgøre hindringer for den frie bevægelighed for elektroniske sundhedsdata i forbindelse med grænseoverskridende sundhedstjenester, f.eks. telemedicin og onlineapotekertjenester.

(29)

Forordning (EU) nr. 910/2014 fastsætter de betingelser, hvorunder medlemsstaterne foretager identifikation af fysiske personer i grænseoverskridende situationer ved hjælp af identifikationsmidler udstedt af en anden medlemsstat, og fastsætter regler for gensidig anerkendelse af sådanne elektroniske identifikationsmidler. Det europæiske sundhedsdataområde kræver sikker adgang til elektroniske sundhedsdata, herunder i grænseoverskridende situationer. Tjenester for adgang til elektroniske sundhedsdata og telemedicintjenester bør gøre det muligt for fysiske personer at udøve deres rettigheder uanset deres forsikringsmedlemsstat og bør derfor støtte identifikationen af fysiske personer ved hjælp af ethvert elektronisk identifikationsmiddel, der er anerkendt i henhold til forordning (EU) nr. 910/2014. I betragtning af muligheden for udfordringer med hensyn til identitetssammenkobling i grænseoverskridende situationer kan det være nødvendigt, at behandlingsmedlemsstaterne udsteder supplerende adgangsmekanismer, såsom tokens eller koder til fysiske personer, der ankommer fra andre medlemsstater og modtager sundhedsydelser. Kommissionen bør tillægges beføjelser til at vedtage gennemførelsesretsakter for at fastsætte kravene til interoperabel og grænseoverskridende identifikation og autentificering af fysiske personer og sundhedsprofessionelle, herunder eventuelle supplerende mekanismer, der er nødvendige for at sikre at fysiske personers kan udøve deres rettigheder med hensyn til personlige elektroniske sundhedsdata i grænseoverskridende situationer.

(30)

Medlemsstaterne bør udpege relevante digitale sundhedsmyndigheder til planlægning og gennemførelse af standarder for adgang til og overførsel af elektroniske sundhedsdata og håndhævelse af fysiske personers og sundhedsprofessionelles rettigheder som separate organisationer eller som en del af allerede eksisterende myndigheder. Personalet hos de digitale sundhedsmyndigheder bør ikke have nogen finansielle eller andre interesser i brancher eller økonomiske aktiviteter, som kan påvirke deres uvildighed. Der findes allerede digitale sundhedsmyndigheder i de fleste medlemsstater, og de beskæftiger sig med EPJ'er, interoperabilitet, sikkerhed eller standardisering. Under udførelsen af deres opgaver bør digitale sundhedsmyndigheder navnlig samarbejde med de tilsynsmyndigheder, der er oprettet i henhold til forordning (EU) 2016/679, og de tilsynsorganer, der er oprettet i henhold til forordning (EU) nr. 910/2014. Digitale sundhedsmyndigheder kan også samarbejde med Det Europæiske Udvalg for Kunstig Intelligens oprettet ved Europa-Parlamentets og Rådets forordning (EU) 2024/1689 (10), Koordinationsgruppen for Medicinsk Udstyr oprettet ved Europa-Parlamentets og Rådets forordning (EU) 2017/745 (11), Det Europæiske Datainnovationsråd oprettet i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/868 (12) og de kompetente myndigheder i henhold til Europa-Parlamentets og Rådets forordning (EU) 2023/2854 (13). Medlemsstaterne bør lette de nationale aktørers deltagelse i samarbejdet på EU-plan, formidling af ekspertise og rådgivning om udformningen af de løsninger, der er nødvendige for at nå målene for det europæiske sundhedsdataområde.

(31)

Uden at det berører andre administrative eller udenretslige klageadgange, bør enhver fysisk eller juridisk person have ret til effektive retsmidler over for en juridisk bindende afgørelse truffet af en digital sundhedsmyndighed vedrørende vedkommende, hvis en digital sundhedsmyndighed ikke behandler en klage eller undlader at underrette den fysiske eller juridiske person om forløbet eller resultatet af en klage inden for tre måneder. En sag mod en digital sundhedsmyndighed bør anlægges ved domstolene i de medlemsstater, hvor den digitale sundhedsmyndighed er etableret.

(32)

Digitale sundhedsmyndigheder bør have tilstrækkelige tekniske færdigheder, eventuelt ved at samle eksperter fra forskellige organisationer. De digitale sundhedsmyndigheders aktiviteter bør planlægges og overvåges grundigt for at sikre, at de er effektive. Digitale sundhedsmyndigheder bør træffe de nødvendige foranstaltninger til at beskytte fysiske personers rettigheder ved at indføre nationale, regionale og lokale tekniske løsninger såsom nationale EPJ'er, formidlingsløsninger og patientportaler. Når de digitale sundhedsmyndigheder træffer sådanne nødvendige beskyttelsesforanstaltninger, bør de anvende fælles standarder og specifikationer i sådanne løsninger, fremme anvendelsen af standarder og specifikationer i forbindelse med indkøbsprocedurer og anvende andre innovative midler, herunder refusion for løsninger, der opfylder interoperabilitets- og sikkerhedskravene i det europæiske sundhedsdataområde. Medlemsstaterne bør sikre, at der sørges for passende uddannelsesinitiativer. Navnlig bør sundhedsprofessionelle informeres om og uddannes med hensyn til deres rettigheder og forpligtelser i henhold til denne forordning. De digitale sundhedsmyndigheder bør for at udføre deres opgaver samarbejde på EU-plan og nationalt plan med andre enheder, herunder med forsikringsorganer, sundhedstjenesteydere, sundhedsprofessionelle, fabrikanter af EPJ-systemer og af wellnessapplikationer samt andre interessenter fra sundheds- eller informationsteknologisektoren, enheder, der håndterer refusionsordninger, organer til vurdering af medicinsk teknologi, myndigheder og agenturer for lægemiddelregulering, myndigheder med ansvar for medicinsk udstyr, indkøbere og cybersikkerheds- eller e-ID-myndigheder.

(33)

Adgang til og overførsel af elektroniske sundhedsdata er relevant i grænseoverskridende sundhedssituationer, da det kan understøtte kontinuiteten i sundhedsydelser, når fysiske personer rejser til andre medlemsstater eller skifter bopæl. Kontinuitet i behandlingen og hurtig adgang til personlige elektroniske sundhedsdata er endnu vigtigere for indbyggere i grænseregioner, som ofte krydser grænsen for at få sundhedsydelser. I mange grænseregioner kan visse specialiserede sundhedsydelser eventuelt være tilgængelige tættere på ovre på den anden side af grænsen end i samme medlemsstat. Der er behov for infrastruktur til overførsel af personlige elektroniske sundhedsdata på tværs af grænserne i situationer, hvor en fysisk person benytter tjenester fra en sundhedstjenesteyder, der er etableret i en anden medlemsstat. Den gradvise udvidelse af en sådan infrastruktur og finansieringen heraf bør overvejes. Der blev oprettet en frivillig infrastruktur til dette formål, MyHealth@EU, som led i de tiltag til at nå målene, der er fastsat i Europa-Parlamentets og Rådets direktiv 2011/24/EU (14). Via MyHealth@EU begyndte medlemsstaterne at give fysiske personer mulighed for at dele deres personlige elektroniske sundhedsdata med sundhedstjenesteydere, når de rejser til udlandet. Baseret på denne erfaring bør medlemsstaternes deltagelse i MyHealth@EU som fastsat ved denne forordning være obligatorisk. Tekniske specifikationer for MyHealth@EU bør muliggøre udveksling af prioriterede kategorier af elektroniske sundhedsdata samt yderligere kategorier, der understøttes af det europæiske format for udveksling af elektroniske patientjournaler. Disse specifikationer bør defineres ved hjælp af gennemførelsesretsakter og bør baseres på de grænseoverskridende specifikationer i det europæiske format for udveksling af elektroniske patientjournaler suppleret med yderligere specifikationer om cybersikkerhed, teknisk og semantisk interoperabilitet, drift og forvaltning af tjenester. Medlemsstaterne bør forpligtes til at tilslutte sig MyHealth@EU, overholde de tekniske specifikationer og koble sundhedstjenesteydere, herunder apoteker, til den, da dette er nødvendigt for at gøre det muligt for fysiske personer at udøve deres rettigheder i henhold til denne forordning til at få adgang til og gøre brug af deres personlige elektroniske sundhedsdata, uanset i hvilken medlemsstat de fysiske personer befinder sig.

(34)

MyHealth@EU stiller en fælles infrastruktur til rådighed for medlemsstaterne for at sikre konnektivitet og interoperabilitet på en effektiv og sikker måde til støtte for grænseoverskridende sundhedsydelser, uden at det berører medlemsstaternes ansvar før og efter overførslen af personlige elektroniske sundhedsdata gennem den. Medlemsstaterne er ansvarlige for organiseringen af deres nationale kontaktpunkter for digital sundhed og for behandlingen af personoplysninger med henblik på levering af sundhedsydelser før og efter overførslen af disse data gennem MyHealth@EU. Kommissionen bør ved hjælp af overensstemmelseskontroller overvåge de nationale kontaktpunkter for digital sundheds overholdelse af de nødvendige krav vedrørende den tekniske udvikling af MyHealth@EU samt af detaljerede regler om sikkerhed, fortrolighed og beskyttelse af personlige elektroniske sundhedsdata. I tilfælde af alvorlig manglende overholdelse fra et nationalt kontaktpunkt for digital sundheds side bør Kommissionen have mulighed for at suspendere de tjenester, der er berørt af den manglende overholdelse, og som leveres af det pågældende nationale kontaktpunkt for digital sundhed. Kommissionen bør fungere som databehandler på vegne af medlemsstaterne inden for MyHealth@EU og levere centrale tjenester til den. For at sikre overholdelse af databeskyttelsesreglerne og skabe en ramme for risikostyring i forbindelse med overførsel af personlige elektroniske sundhedsdata bør medlemsstaternes specifikke ansvar som fælles dataansvarlige og Kommissionens forpligtelser som databehandler på deres vegne præciseres ved hjælp af gennemførelsesretsakter. Hver medlemsstat er eneansvarlig for data og tjenester i den pågældende medlemsstat. Denne forordning udgør retsgrundlaget for behandlingen af personlige elektroniske sundhedsdata i MyHealth@EU som en opgave, der udføres i samfundets interesse i henhold til EU-retten, jf. artikel 6, stk. 1, litra e), i forordning (EU) 2016/679. Denne behandling er nødvendig for levering af sundhedsydelser i grænseoverskridende situationer, jf. nævnte forordnings artikel 9, stk. 2, litra h).

(35)

Ud over tjenester i MyHealth@EU til udveksling af personlige elektroniske sundhedsdata baseret på det europæiske format for udveksling af elektroniske patientjournaler kan der være behov for andre tjenester eller supplerende infrastrukturer, f.eks. i tilfælde af folkesundhedskriser eller hvor arkitekturen i MyHealth@EU ikke er egnet til gennemførelse af visse brugsscenarier. Eksempler på sådanne brugsscenarier omfatter støtte til vaccinationskortfunktioner, herunder udveksling af oplysninger om vaccinationsplaner eller kontrol af vaccinationscertifikater eller andre sundhedsrelaterede certifikater. Sådanne supplerende brugsscenarier vil også være vigtige for at indføre yderligere funktioner til håndtering af folkesundhedskriser, f.eks. støtte til kontaktopsporing med henblik på at inddæmme smitsomme sygdomme. MyHealth@EU bør støtte udveksling af personlige elektroniske sundhedsdata med nationale kontaktpunkter for digital sundhed i relevante tredjelande og med systemer, der er etableret på internationalt plan af internationale organisationer, for at bidrage til kontinuiteten i sundhedsydelser. Dette er særlig relevant for personer, der rejser til og fra tilgrænsende tredjelande, kandidatlande og de associerede oversøiske lande og territorier. Tilslutningen af sådanne nationale kontaktpunkter for digital sundhed i tredjelande til MyHealth@EU og interoperabiliteten med digitale systemer, der er etableret på internationalt plan af internationale organisationer, bør være underlagt en kontrol, der sikrer, at disse kontaktpunkter og digitale systemer overholder de tekniske specifikationer, databeskyttelsesreglerne og andre krav i MyHealth@EU. Da forbindelsen til MyHealth@EU vil indebære overførsler af personlige elektroniske sundhedsdata til tredjelande, f.eks. udveksling af et patientresumé, når patienten søger behandling i det pågældende tredjeland, skal der desuden være indført relevante overførselsinstrumenter i henhold til kapitel V i forordning (EU) 2016/679. Kommissionen bør tillægges beføjelser til at vedtage gennemførelsesretsakter for at lette tilslutningen af sådanne nationale kontaktpunkter for digital sundhed i tredjelande og systemer, der er etableret på internationalt plan af internationale organisationer, til MyHealth@EU. Ved udarbejdelsen af disse gennemførelsesretsakter bør Kommissionen tage hensyn til medlemsstaternes nationale sikkerhedsinteresser.

(36)

For at muliggøre gnidningsløs udveksling af elektroniske sundhedsdata og sikre respekt for fysiske personers og sundhedsprofessionelles rettigheder bør EPJ-systemer, der markedsføres på det indre marked, på en sikker måde kunne lagre og overføre elektroniske sundhedsdata af høj kvalitet. Det er et centralt mål i det europæiske sundhedsdataområde at sikre sikker og fri bevægelighed for elektroniske sundhedsdata i hele Unionen. Med henblik herpå bør der indføres en obligatorisk ordning for selvvurdering af overholdelse for EPJ-systemer, der behandler en eller flere prioriterede kategorier af elektroniske sundhedsdata, for at afhjælpe markedsfragmenteringen og samtidig sikre en forholdsmæssig tilgang. Gennem selvvurderingen vil EPJ-systemer dokumentere overensstemmelse med kravene til interoperabilitet, sikkerhed og logning af kommunikation af personlige elektroniske sundhedsdata, der er fastsat ved de to obligatoriske EPJ-softwarekomponenter, der harmoniseres ved denne forordning, nemlig den europæiske interoperabilitetssoftwarekomponent for EPJ-systemer og den europæiske logningssoftwarekomponent for EPJ-systemer (»de harmoniserede softwarekomponenter i EPJ-systemer«). De harmoniserede softwarekomponenter i EPJ-systemer vedrører hovedsagelig datatransformation, selv om de kan indebære behov for indirekte krav til dataregistrering og datapræsentation i EPJ-systemer. De tekniske specifikationer for de harmoniserede softwarekomponenter i EPJ-systemer bør defineres ved hjælp af gennemførelsesretsakter og bør baseres på anvendelsen af det europæiske format for udveksling af elektroniske patientjournaler. De harmoniserede softwarekomponenter i EPJ-systemer bør udformes, så de kan genbruges og integreres problemfrit med andre komponenter i et større softwaresystem. Sikkerhedskravene til de harmoniserede softwarekomponenter i EPJ-systemer bør omfatte elementer, der er specifikke for EPJ-systemer, da mere generelle sikkerhedsegenskaber bør understøttes af andre mekanismer, såsom mekanismerne i henhold til Europa-Parlamentets og Rådets forordning (EU) 2024/2847 (15). For at støtte denne proces bør der oprettes europæiske digitale testmiljøer, som tilbyder automatiserede metoder til at teste, om funktionen af de harmoniserede softwarekomponenter i et EPJ-system er i overensstemmelse med kravene fastlagt i nærværende forordning. Med henblik herpå bør Kommissionen tillægges gennemførelsesbeføjelser til at fastlægge de fælles specifikationer for disse miljøer. Kommissionen bør udvikle den nødvendige software til testmiljøerne og stille den til rådighed som open source. Medlemsstaterne bør være ansvarlige for driften af de digitale testmiljøer, da de er tættere på fabrikanterne og bedre er i stand til at støtte dem. Fabrikanterne bør bruge disse digitale testmiljøer til at teste deres produkter, inden de bringes i omsætning, samtidig med at de fortsat bærer det fulde ansvar for deres produkters overensstemmelse. Testresultaterne bør indgå i produktets tekniske dokumentation. Hvis EPJ-systemet eller en del af det er i overensstemmelse med europæiske standarder eller fælles specifikationer, bør listen over de relevante europæiske standarder og fælles specifikationer også angives i den tekniske dokumentation. For at understøtte sammenligneligheden af EPJ-systemer bør Kommissionen udarbejde en ensartet model for den tekniske dokumentation, der ledsager sådanne systemer.

(37)

EPJ-systemer bør ledsages af et oplysningsskema, der indeholder oplysninger til professionelle brugere og af en klar og fuldstændig brugsanvisning i et format, der er tilgængeligt for personer med handicap. Hvis et EPJ-system ikke er ledsaget af sådanne oplysninger, skal fabrikanten af det pågældende EPJ-system, dennes bemyndigede repræsentant og alle andre relevante erhvervsdrivende tilføje dette oplysningsskema og denne brugsanvisning til EPJ-systemet.

(38)

Selv om EPJ-systemer, som fabrikanten specifikt har udviklet til at blive anvendt til behandling af en eller flere specifikke kategorier af elektroniske sundhedsdata, bør være underlagt obligatorisk selvcertificering, bør software til generelle formål ikke betragtes som et EPJ-system, heller ikke når den anvendes i forbindelse med sundhedsydelser, og bør derfor ikke være forpligtet til at overholde denne forordning. Dette omfatter f.eks. tekstbehandlingssoftware, der anvendes til at skrive rapporter, og som derefter vil blive en del af skriftlige elektroniske patientjournaler, middleware til generelle formål eller databasestyringssoftware, der anvendes som en del af datalagringsløsninger.

(39)

Ved denne forordning indføres en obligatorisk selvvurderingsordning for de harmoniserede softwarekomponenter i EPJ-systemer for at sikre, at EPJ-systemer, der bringes i omsætning på EU-markedet, er i stand til at udveksle data i det europæiske format for udveksling af elektroniske patientjournaler, og at de har den nødvendige logningskapacitet. Denne obligatoriske selvvurderingsordning, der vil være i form af en overensstemmelseserklæring fra fabrikanten, bør sikre, at disse krav garanteres på en forholdsmæssig måde, samtidig med at det undgås, at medlemsstaterne og fabrikanterne pålægges en urimelig byrde.

(40)

Fabrikanterne bør i EPJ-systemets ledsagedokumenter og, hvis det er relevant, på emballagen anbringe en CE-overensstemmelsesmærkning, der angiver, at EPJ-systemet er i overensstemmelse med denne forordning og, for så vidt angår aspekter, der ikke er dækket af denne forordning, med anden gældende EU-ret, som ligeledes kræver anbringelse af en sådan mærkning. Medlemsstaterne bør benytte eksisterende mekanismer til at sikre, at bestemmelserne om CE-overensstemmelsesmærkning anvendes korrekt i henhold til relevant EU-ret, og bør iværksætte passende tiltag i tilfælde af uretmæssig anvendelse af denne mærkning.

(41)

Medlemsstaterne bør fortsat have kompetence til at fastlægge krav vedrørende alle andre softwarekomponenter i EPJ-systemer og vilkår og betingelser for tilslutning af sundhedstjenesteydere til deres respektive nationale infrastrukturer, som kan gøres til genstand for tredjepartsvurdering på nationalt plan. For at fremme et velfungerende indre marked for EPJ-systemer, digitale sundhedsprodukter og tilknyttede tjenester er det nødvendigt at sikres størst mulig gennemsigtighed for så vidt angår nationale ret om krav til EPJ-systemer og bestemmelser om deres overensstemmelsesvurdering i forbindelse med andre aspekter end de harmoniserede softwarekomponenter i EPJ-systemer. Medlemsstaterne bør derfor underrette Kommissionen om disse nationale krav, så den har de nødvendige oplysninger til at sikre, at de ikke påvirker de harmoniserede softwarekomponenter i EPJ-systemer negativt.

(42)

Visse EPJ-systemers softwarekomponenter kan betragtes som medicinsk udstyr i henhold til forordning (EU) 2017/745 eller medicinsk udstyr til in vitro-diagnostik i henhold til Europa-Parlamentets og Rådets forordning (EU) 2017/746 (16). Software eller softwaremoduler, der falder ind under definitionen af medicinsk udstyr, medicinsk udstyr til in vitro-diagnostik eller et system for kunstig intelligens (AI), der betragtes som højrisiko (»højrisiko-AI-system«), bør certificeres i overensstemmelse med forordning (EU) 2017/745, (EU) 2017/746 og (EU) 2024/1689, alt efter hvad der er relevant. Selv om sådanne produkter skal opfylde kravene i den respektive forordning om disse produkter, bør medlemsstaterne træffe passende foranstaltninger til at sikre, at den respektive overensstemmelsesvurdering gennemføres som en fælles eller koordineret procedure for at begrænse den administrative byrde for fabrikanter og andre erhvervsdrivende. De væsentlige krav til interoperabilitet i nærværende forordning bør kun finde anvendelse i det omfang, fabrikanten af medicinsk udstyr, medicinsk udstyr til in vitro-diagnostik eller et højrisiko-AI-system, som leverer elektroniske sundhedsdata, der skal behandles som en del af EPJ-systemet, hævder, at det er interoperabelt med et sådant EPJ-system. I så fald bør bestemmelserne om fælles specifikationer for EPJ-systemer finde anvendelse på dette medicinske udstyr, dette medicinske udstyr til in vitro-diagnostik og disse højrisiko-AI-systemer.

(43)

For yderligere at støtte interoperabilitet og sikkerhed bør medlemsstaterne kunne opretholde eller fastlægge specifikke regler for indkøb, refusion eller finansiering af EPJ-systemer på nationalt plan i forbindelse med organisation, levering eller finansiering af sundhedstjenester. Sådanne specifikke regler bør ikke hindre den frie bevægelighed for EPJ-systemer i Unionen. Nogle medlemsstater har indført obligatorisk certificering af EPJ-systemer eller obligatorisk interoperabilitetstest for deres forbindelse til nationale digitale sundhedstjenester. Sådanne krav afspejles almindeligvis i udbudsprocedurer, der organiseres af sundhedstjenesteydere og nationale eller regionale myndigheder. Den obligatoriske certificering af EPJ-systemer på EU-plan bør skabe en reference, der kan anvendes i forbindelse med udbudsprocedurer på nationalt plan.

(44)

For at sikre, at patienter effektivt kan udøve deres rettigheder i henhold til denne forordning, bør sundhedstjenesteydere, der udvikler og anvender et EPJ-system »internt« til at udføre interne aktiviteter uden at bringe det i omsætning mod betaling eller vederlag, også overholde denne forordning. I den forbindelse bør sådanne sundhedstjenesteydere opfylde alle de krav, der gælder for fabrikanter for så vidt angår sådanne EPJ-systemer, der er udviklet »internt«, og som sådanne sundhedstjenesteydere tager i brug. Da sundhedstjenesteyderne imidlertid kan have brug for mere tid til at forberede sig på overholdelsen af denne forordning, bør disse krav først finde anvendelse på sådanne systemer efter en forlænget overgangsperiode.

(45)

Det er nødvendigt at fastlægge en klar og forholdsmæssig fordeling af forpligtelserne svarende til hver enkelt erhvervsdrivendes rolle i leverings- og distributionsprocessen for EPJ-systemer. De erhvervsdrivende bør være ansvarlige for overholdelse i forhold til deres respektive roller i en sådan proces og bør sikre, at de kun markedsfører EPJ-systemer, som opfylder de relevante krav.

(46)

Fabrikanter af EPJ-systemer bør påvise overensstemmelse med de væsentlige krav til interoperabilitet og sikkerhed ved at gennemføre fælles specifikationer. Med henblik herpå bør Kommissionen tillægges gennemførelsesbeføjelser til at fastlægge sådanne fælles specifikationer vedrørende datasæt, kodningssystemer, tekniske specifikationer, standarder, specifikationer og profiler for dataudveksling, samt krav og principper vedrørende patientsikkerhed og sikkerhed, fortrolighed, integritet og beskyttelse af personoplysninger og specifikationer og krav vedrørende identifikationsstyring og anvendelse af elektronisk identifikation. Digitale sundhedsmyndigheder bør bidrage til udviklingen af sådanne fælles specifikationer. Hvor det er relevant, bør disse fælles specifikationer baseres på eksisterende harmoniserede standarder for de harmoniserede softwarekomponenter i EPJ-systemer og være forenelige med sektorspecifik ret. Hvis fælles specifikationer er særligt vigtige i forhold til databeskyttelseskravene vedrørende EPJ-systemer, bør de være genstand for høring af Det Europæiske Databeskyttelsesråd (Databeskyttelsesrådet) og Den Europæiske Tilsynsførende for Databeskyttelse (EDPS), inden de vedtages, i henhold til artikel 42, stk. 2, i forordning (EU) 2018/1725.

(47)

For at sikre en hensigtsmæssig og effektiv håndhævelse af de krav og forpligtelser, der er fastsat i denne forordning, bør det system til markedsovervågning og produktoverensstemmelse, der er indført ved Europa-Parlamentets og Rådets forordning (EU) 2019/1020 (17), finde anvendelse. Afhængigt af den organisation, der er fastlagt på nationalt plan, kan sådanne markedsovervågningsaktiviteter udføres af de digitale sundhedsmyndigheder, der sikrer en korrekt gennemførelse af nærværende forordnings kapitel II, eller af en særskilt markedsovervågningsmyndighed med ansvar for EPJ-systemer. Udpegelsen af digitale sundhedsmyndigheder som markedsovervågningsmyndigheder kan have betydelige praktiske fordele for gennemførelsen af sundhed og pleje, men enhver interessekonflikt bør undgås, f.eks. ved at adskille forskellige opgaver.

(48)

Markedsovervågningsmyndighedernes personale bør ikke befinde sig i nogen direkte eller indirekte økonomiske, finansielle eller personlige interessekonflikter, der kan anses for at være til skade for deres uafhængighed, og navnlig bør de ikke være i en situation, der direkte eller indirekte kan påvirke deres upartiske adfærd i forbindelse med udøvelsen af deres hverv. Medlemsstaterne bør fastlægge og offentliggøre udvælgelsesproceduren for markedsovervågningsmyndigheder. De bør sikre, at proceduren er gennemsigtig og ikke giver mulighed for interessekonflikter.

(49)

Brugere af wellnessapplikationer, herunder applikationer til mobilenheder, bør informeres om, at sådanne applikationer kan forbindes med og levere data til EPJ-systemer eller til nationale elektroniske sundhedsløsninger i tilfælde, hvor data produceret af wellnessapplikationer er nyttige i forbindelse med sundhedsydelser. Hvorvidt disse applikationer kan eksportere data i et interoperabelt format er også relevant for dataportabilitet. Hvor det er relevant, bør brugerne også informeres om sådanne wellnessapplikationers overensstemmelse med interoperabilitets- og sikkerhedskrav. I betragtning af det store antal wellnessapplikationer og den begrænsede relevans for sundhedsydelser af de data, der produceres af mange af dem, vil en certificeringsordning for disse applikationer imidlertid ikke være forholdsmæssig. Der bør derfor indføres en obligatorisk mærkningsordning for wellnessapplikationer, for hvilke der påberåbes interoperabilitet med EPJ-systemer, som en passende mekanisme til at skabe gennemsigtighed for brugerne af wellnessapplikationer med hensyn til overholdelse af kravene i henhold til denne forordning og dermed støtte brugerne i deres valg af passende wellnessapplikationer med høje standarder for interoperabilitet og sikkerhed. Kommissionen bør ved hjælp af gennemførelsesretsakter fastsætte nærmere bestemmelser om et sådant mærkes format og indhold.

(50)

Medlemsstaterne bør fortsat frit kunne regulere andre aspekter af anvendelsen af wellnessapplikationer, forudsat at de tilsvarende regler er i overensstemmelse med EU-retten.

(51)

Det er nødvendigt at formidle oplysninger om certificerede EPJ-systemer og mærkede wellnessapplikationer for at sætte indkøbere og brugere af sådanne produkter i stand til at finde interoperable løsninger til deres specifikke behov. Der bør derfor oprettes en database over interoperable EPJ-systemer og wellnessapplikationer, som ikke er omfattet af anvendelsesområdet for forordning (EU) 2017/745 og (EU) 2024/1689, på EU-plan svarende til den europæiske database for medicinsk udstyr (Eudamed), der er oprettet ved forordning (EU) 2017/745. Formålet med EU-databasen for registrering af EPJ-systemer og wellnessapplikationer bør være at øge den overordnede gennemsigtighed, undgå krav om flere indberetninger og strømline og lette informationsstrømmen. For medicinsk udstyr og AI-systemer bør registreringen opretholdes i de eksisterende databaser, der er oprettet i henhold til henholdsvis forordning (EU) 2017/745 og (EU) 2024/1689, men overensstemmelsen med interoperabilitetskravene bør angives af fabrikanterne, når de hævder en sådan overensstemmelse, med henblik på at informere indkøbere.

(52)

Uden at hindre eller erstatte eksisterende kontraktlige ordninger eller andre mekanismer har denne forordning til formål at oprette en fælles mekanisme for adgang til elektroniske sundhedsdata til sekundær anvendelse i hele Unionen. I henhold til denne mekanisme bør sundhedsdataindehavere stille de data, de er i besiddelse af, til rådighed på grundlag af en datatilladelse eller en sundhedsdataanmodning. Med henblik på behandling af elektroniske sundhedsdata til sekundær anvendelse er et af retsgrundlagene, der er omhandlet i artikel 6, stk. 1, litra a), c), e) eller f), i forordning (EU) 2016/679 sammenholdt med samme forordnings artikel 9, stk. 2, påkrævet. Nærværende forordning udgør derfor et retsgrundlag for den sekundære anvendelse af personlige elektroniske sundhedsdata, herunder garantierne der kræves i henhold til artikel 9, stk. 2, litra g)-j), i forordning (EU) 2016/679 for at tillade behandling af specielle kategorier af data for så vidt angår lovlige formål, pålidelig styring med henblik på at give adgang til sundhedsdata gennem involvering af organer med ansvar for adgang til sundhedsdata og behandling i et sikkert databehandlingsmiljø samt de nærmere bestemmelser for databehandling, der er fastsat i datatilladelsen I henhold til artikel 9, stk. 4, i forordning (EU) 2016/679 bør medlemsstaterne derfor ikke længere kunne opretholde eller indføre yderligere betingelser, herunder begrænsninger og specifikke bestemmelser om fysiske personers samtykke, med hensyn til behandling med henblik på sekundær anvendelse af personlige elektroniske sundhedsdata i henhold til nærværende forordning, med undtagelse af indførelsen af strengere foranstaltninger og yderligere garantier på nationalt plan med henblik på at beskytte følsomheden og værdien af visse data som fastsat i nærværende forordning. Sundhedsdataansøgere bør også dokumentere et retsgrundlag som omhandlet i artikel 6 i forordning (EU) 2016/679, der giver dem mulighed for at anmode om adgang til elektroniske sundhedsdata i henhold til nærværende forordning, og bør opfylde betingelserne i kapitel IV. Derudover bør organet med ansvar for adgang til sundhedsdata vurdere de oplysninger, som sundhedsdataansøgeren stiller til rådighed, på grundlag af hvilket det bør kunne udstede en datatilladelse til behandling af personlige elektroniske sundhedsdata i henhold til nærværende forordning, som bør opfylde kravene og betingelserne i kapitel IV i nærværende forordning. I forbindelse med behandling af elektroniske sundhedsdata, som sundhedsdataindehaverne er i besiddelse af skaber nærværende forordning en retlig forpligtelse som omhandlet i artikel 6, stk. 1, litra c), i forordning (EU) 2016/679, i overensstemmelse med nævnte forordnings artikel 9, stk. 2, litra i) og j), for sundhedsdataindehaveren til at gøre de personlige elektroniske sundhedsdata tilgængelige for organer med ansvar for adgang til sundhedsdata, mens retsgrundlaget for den indledende behandling, f.eks. levering af sundhedsydelser ikke berøres. Ved nærværende forordning overdrages også opgaver i offentlighedens interesse som omhandlet i artikel 6, stk. 1, litra e), i forordning (EU) 2016/679 til organer med ansvar for adgang til sundhedsdata og opfylder kravene i artikel 9, stk. 2, litra g)-j), alt efter hvad der er relevant, i nævnte forordning. Hvis sundhedsdatabrugeren baserer sig på et retsgrundlag, der er fastsat i artikel 6, stk. 1, litra e), eller f), i forordning (EU) 2016/679 bør nærværende forordning give de garantier, der kræves i henhold til artikel 9, stk. 2, i forordning (EU) 2016/679.

(53)

Elektroniske sundhedsdata, der anvendes til sekundær anvendelse, kan medføre store samfundsmæssige fordele. Der bør opfordres til anvendelse af data og evidens fra den virkelige verden, herunder resultater indberettet af patienten, til evidensbaseret lovgivning og politik samt til forskning, vurdering af medicinsk teknologi og kliniske mål. Data og evidens fra den virkelige verden har potentiale til at supplere de sundhedsdata, der stilles til rådighed i dag. For at nå dette mål er det vigtigt, at de datasæt, der stilles til rådighed for sekundær anvendelse i henhold til denne forordning, er så fuldstændige som muligt. Denne forordning indeholder de nødvendige garantier for at afbøde visse risici i forbindelse med opnåelsen af disse fordele. Den sekundære anvendelse af elektroniske sundhedsdata er baseret på pseudonymiserede eller anonymiserede data for at forhindre identifikation af de registrerede.

(54)

For at afveje sundhedsdatabrugernes behov for at have udtømmende og repræsentative datasæt med fysiske personers behov for autonomi over deres personlige elektroniske sundhedsdata, der anses for at være særligt følsomme, bør fysiske personer have mulighed for at træffe beslutning om, hvorvidt deres personlige elektroniske sundhedsdata kan behandles til sekundær anvendelse i henhold til denne forordning i form af en ret til at fravælge, at disse data stilles til rådighed til sekundær anvendelse. Der bør indføres en letforståelig, tilgængelig og brugervenlig mekanisme til at udøve denne ret til fravalg. Det er desuden bydende nødvendigt at give fysiske personer tilstrækkelige og fuldstændige oplysninger om deres ret til fravalg, herunder om fordele og ulemper ved udøvelsen af denne ret. Fysiske personer bør ikke være forpligtet til at begrunde deres fravalg og bør til enhver tid have mulighed for at genoverveje deres valg. Med henblik på visse formål med en stærk forbindelse til offentlighedens interesser, såsom aktiviteter til beskyttelse mod alvorlige grænseoverskridende sundhedstrusler eller videnskabelig forskning af hensyn til vigtige samfundsinteresser, er det imidlertid hensigtsmæssigt at give medlemsstaterne mulighed for under hensyntagen til deres nationale kontekst at indføre mekanismer til at give adgang til personlige elektroniske sundhedsdata for fysiske personer, der har udøvet deres ret til fravalg, for at sikre, at fuldstændige datasæt kan stilles til rådighed i disse situationer. Sådanne mekanismer bør opfylde de krav, der er fastsat for sekundær anvendelse i henhold til denne forordning. Videnskabelig forskning af hensyn til vigtige samfundsinteresser kan f.eks. omfatte forskning i uopfyldte medicinske behov, herunder sjældne sygdomme eller nye sundhedstrusler. Reglerne om sådanne tilsidesættelser bør respektere det væsentligste indhold af de grundlæggende rettigheder og frihedsrettigheder og være en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund for at opfylde offentlighedens interesse i forbindelse med legitime videnskabelige og samfundsmæssige mål. Sådanne tilsidesættelser bør kun være tilgængelige for sundhedsdatabrugere, som er offentlige myndigheder eller relevante EU-institutioner, -organer, -kontorer eller -agenturer, der er blevet betroet at udføre opgaver på folkesundhedsområdet, eller for en anden enhed, der er blevet betroet at udføre offentlige opgaver på folkesundhedsområdet, eller som handler på vegne af eller er bestilt af en offentlig myndighed, og kun hvis dataene ikke kan opnås ved hjælp af alternative midler på en rettidig og effektiv måde, er opfyldt. Disse sundhedsdatabrugere bør begrunde, at anvendelsen af tilsidesættelsen er nødvendig for en individuel ansøgning om adgang til sundhedsdata eller sundhedsdataanmodning. Når en sådan tilsidesættelse anvendes, bør garantierne i kapitel IV fortsat anvendes af sundhedsdatabrugere, navnlig forbuddet mod, reidentifikation eller forsøg på at reidentificere de pågældende fysiske personer.

(55)

I forbindelse med det europæiske sundhedsdataområde findes der allerede elektroniske sundhedsdata, som indsamles af bl.a. sundhedstjenesteydere, faglige sammenslutninger, offentlige institutioner, lovgivere, forskere og forsikringsselskaber i forbindelse med deres aktiviteter. Disse data bør også stilles til rådighed til sekundær anvendelse, dvs. til behandling af data til andre formål end dem, hvortil de blev indsamlet eller frembragt; mange af sådanne data stilles imidlertid ikke til rådighed til behandling til sådanne formål. Dette begrænser forskeres, innovatorers, politiske beslutningstageres, lovgiveres og lægers mulighed for at anvende disse data til forskellige formål, herunder forskning, innovation, politikudformning, reguleringsmæssige formål, patientsikkerhed eller personlig medicin. For fuldt ud at udnytte fordelene ved sekundær anvendelse bør alle sundhedsdataindehavere bidrage til denne indsats ved at stille forskellige kategorier af elektroniske sundhedsdata, som de ligger inde med, til rådighed til sekundær anvendelse, forudsat at den pågældende indsats altid gøres via effektive og sikre processer med behørig respekt for professionelle forpligtelser såsom fortrolighedsforpligtelser.

(56)

De kategorier af elektroniske sundhedsdata, der kan behandles til sekundær anvendelse, bør være brede og fleksible nok til at imødekomme sundhedsdatabrugernes skiftende behov, samtidig med at de forbliver begrænset til data vedrørende sundhed eller data, der vides at påvirke sundheden. De kan også omfatte relevante data fra sundhedssystemet, f.eks. elektroniske patientjournaler, krav, ordinationsdata, data fra sygdomsregistre eller genomdata samt data med indvirkning på sundheden, f.eks. data om brug af forskellige stoffer, socioøkonomisk status eller adfærd og data om miljøfaktorer såsom forurening, stråling eller anvendelsen af visse kemiske stoffer. Kategorierne af elektroniske sundhedsdata til sekundær anvendelse omfatter nogle kategorier af data, der oprindeligt blev indsamlet med henblik på andre formål såsom forskning, statistikker, patientsikkerhed, reguleringsmæssige aktiviteter eller politikudformning, f.eks. sygdomsregistre, registre over politikudformning eller registre over bivirkninger ved lægemidler eller medicinsk udstyr. Der findes europæiske databaser, der fremmer anvendelse eller genanvendelse af data på visse områder, såsom kræft (det europæiske informationssystem på kræftområdet) eller sjældne sygdomme (f.eks. den europæiske platform for registrering af sjældne sygdomme og de europæiske netværk af referencecentres (ERN's) registre). Kategorierne af elektroniske sundhedsdata, der kan behandles til sekundær anvendelse, bør også omfatte automatisk genererede data fra medicinsk udstyr og persongenererede data såsom data fra wellnessapplikationer. Data om kliniske forsøg og kliniske afprøvninger bør også medtages i kategorierne af elektroniske sundhedsdata til sekundær anvendelse, når det kliniske forsøg eller den kliniske afprøvning er afsluttet, uden at dette berører sponsorernes frivillige datadeling af igangværende forsøg og afprøvninger. Elektroniske sundhedsdata til sekundær anvendelse bør helst stilles til rådighed i et struktureret elektronisk format, der gør det lettere for computersystemer at behandle dem. Eksempler på strukturerede elektroniske formater omfatter registreringer i en relationsdatabase, XML-dokumenter eller CSV-filer samt fritekst, lyd, videoer og billeder, der leveres som computerlæsbare filer.

(57)

Databrugere, der har adgang til datasæt i henhold til denne forordning, kan berige dataene i disse datasæt med forskellige rettelser, anmærkninger og andre forbedringer, f.eks. ved at supplere manglende eller ufuldstændige data og dermed forbedre nøjagtigheden, fuldstændigheden eller kvaliteten af dataene i datasættene. Sundhedsdatabrugere bør tilskyndes til at indberette kritiske fejl i datasættene til organerne med ansvar for adgang til sundhedsdata. For at støtte forbedringen af den oprindelige database og den videre anvendelse af det berigede datasæt bør medlemsstaterne kunne fastsætte regler om behandling og anvendelse af elektroniske sundhedsdata, der indeholder forbedringer vedrørende behandlingen af disse data. Det forbedrede datasæt bør stilles gratis til rådighed for den oprindelige sundhedsdataindehaver sammen med en beskrivelse af forbedringerne. Sundhedsdataindehaveren bør stille det nye datasæt til rådighed, medmindre den begrunder over for organet med ansvar for adgang til sundhedsdata, hvorfor dette ikke bør ske, f.eks. hvis sundhedsdatabrugerens berigelse er af ringe kvalitet. Det bør sikres, at elektroniske sundhedsdata, der ikke er personoplysninger, er tilgængelige til sekundær anvendelse. Navnlig patogene genomdata har en betydelig værdi for menneskers sundhed, hvilket har vist sig under covid-19-pandemien, hvor rettidig adgang til og udveksling af sådanne data viste sig at være afgørende for en hurtig udvikling af detektionsværktøjer, medicinske modforanstaltninger og reaktioner på trusler mod folkesundheden. Det største udbytte af indsatsen inden for genomiske analyser af patogener vil blive opnået, når folkesundhedsområdet og forskningsprocesser udveksler datasæt og samarbejder for at informere og forbedre hinanden.

(58)

For at øge effektiviteten af sekundær anvendelse af personlige elektroniske sundhedsdata og for fuldt ud at udnytte de muligheder, som denne forordning giver, bør tilgængeligheden i det europæiske sundhedsdataområde af elektroniske sundhedsdata som beskrevet i kapitel IV være på en sådan måde, at dataene er så tilgængelige, af høj kvalitet, klare og egnede til at skabe videnskabelig, innovativ og samfundsmæssig værdi og kvalitet som muligt. Arbejdet med gennemførelsen af det europæiske sundhedsdataområde og yderligere forbedringer af datasættene bør gennemføres på en måde, der prioriterer de datasæt, der er bedst egnede til at skabe en sådan værdi og kvalitet.

(59)

Offentlige eller private enheder modtager ofte offentlig finansiering fra nationale fonde eller EU-fonde til at indsamle og behandle elektroniske sundhedsdata til forskning, officielle eller uofficielle statistikker eller andre lignende formål, herunder på områder, hvor indsamlingen af sådanne data er fragmenteret eller vanskelig, f.eks. i forbindelse med sjældne sygdomme eller kræft. Sådanne data, der indsamles og behandles af sundhedsdataindehavere med støtte fra Unionens eller nationale offentlige midler, bør stilles til rådighed for organer med ansvar for adgang til sundhedsdata, for at maksimere virkningen af de offentlige investeringer og støtte forskning, innovation, patientsikkerhed eller politikudformning til gavn for samfundet. I nogle medlemsstater spiller private enheder, herunder private sundhedstjenesteydere og faglige sammenslutninger, en central rolle i sundhedssektoren. De sundhedsdata, som sådanne udbydere er i besiddelse af, bør også stilles til rådighed til sekundær anvendelse. Sundhedsdataindehavere i forbindelse med sekundær anvendelse bør derfor være enheder, der er sundhedstjenesteydere eller plejeudbydere eller udfører forskning med hensyn til sundheds- eller plejesektorerne eller udvikler produkter eller tjenester, der er beregnet til sundheds- eller plejesektorerne. Sådanne enheder kan være offentlige, almennyttige eller private. I overensstemmelse med denne definition bør plejehjem, dagcentre, enheder, der leverer tjenester til personer med handicap, enheder, der udfører forretnings- og teknologiaktiviteter i forbindelse med pleje, såsom ortopædi, og virksomheder, der leverer plejetjenester, betragtes som sundhedsdataindehavere. Juridiske personer, der udvikler wellnessapplikationer, bør også betragtes som sundhedsdataindehavere. EU-institutioner, -organer, -kontorer eller -agenturer, der behandler disse kategorier af sundheds- og sundhedsydelsesdata samt registre over dødelighed, bør også betragtes som sundhedsdataindehavere. For at undgå en uforholdsmæssig stor byrde for fysiske personer og mikrovirksomheder, bør de som hovedregel undtages fra de forpligtelser, der påhviler sundhedsdataindehavere. Medlemsstaterne bør dog kunne udvide sundhedsdataindehavernes forpligtelser til at omfatte fysiske personer og mikrovirksomheder i deres nationale ret. For at mindske den administrative byrde og i lyset af effektiviteten og principperne om effektivitet bør medlemsstaterne ved national ret kunne kræve, at sundhedsdataformidlingsenheder udfører de opgaver, der påhviler visse kategorier af sundhedsdataindehavere. Sådanne sundhedsdataformidlingsenheder bør være juridiske personer, der er i stand til at behandle, stille til rådighed, registrere, give, begrænse adgang til og udveksle elektroniske sundhedsdata til sekundær anvendelse, der stilles til rådighed af dataindehavere. Sådanne sundhedsdataformidlingsenheder udfører opgaver, der adskiller sig fra dem, der udføres af dataformidlingstjenester i henhold til forordning (EU) 2022/868.

(60)

Elektroniske sundhedsdata, der er beskyttet af intellektuelle ejendomsrettigheder eller forretningshemmeligheder, herunder data om kliniske forsøg, afprøvninger og undersøgelser, kan være meget nyttige til sekundær anvendelse og kan fremme innovation i Unionen til gavn for patienter i Unionen. For at tilskynde til fortsat EU-lederskab på dette område er det vigtigt at tilskynde til deling af data om kliniske forsøg og kliniske afprøvninger gennem det europæiske sundhedsdataområde til sekundær anvendelse. Data om kliniske forsøg og kliniske afprøvninger bør så vidt muligt stilles til rådighed, samtidig med at der træffes alle nødvendige foranstaltninger for at beskytte intellektuelle ejendomsrettigheder og forretningshemmeligheder. Denne forordning bør ikke anvendes til at reducere eller omgå en sådan beskyttelse og bør være i overensstemmelse med de relevante gennemsigtighedsbestemmelser, der er fastsat i EU-retten, herunder for data om kliniske forsøg og kliniske afprøvninger. Organer med ansvar for adgang til sundhedsdata bør vurdere, hvordan en sådan beskyttelse kan opretholdes, og samtidig give sundhedsdatabrugere adgang til sådanne data i det omfang, det er muligt. Hvis et organ med ansvar for adgang til sundhedsdata ikke er er i stand til at give adgang til sådanne data, bør det underrette sundhedsdatabrugeren og forklare, hvorfor det ikke er muligt at give sådan adgang. Retlige, organisatoriske og tekniske foranstaltninger til beskyttelse af intellektuelle ejendomsrettigheder eller forretningshemmeligheder kan omfatte fælles kontraktlige ordninger for adgang til elektroniske sundhedsdata, specifikke forpligtelser i datatilladelsen i forbindelse med sådanne rettigheder, forbehandling af data til generering af afledte data, der beskytter en forretningshemmelighed, men som ikke desto mindre har nytteværdi for sundhedsdatabrugeren eller konfigurationen af det sikre databehandlingsmiljø, således at sådanne data ikke er tilgængelige for sundhedsdatabrugeren.

(61)

Sekundær anvendelse af sundhedsdata under det europæiske sundhedsdataområde bør gøre det muligt for offentlige, private og almennyttige enheder samt individuelle forskere at få adgang til sundhedsdata med henblik på forskning, innovation, politikudformning, uddannelsesaktiviteter, patientsikkerhed, reguleringsmæssige aktiviteter eller personlig medicin i overensstemmelse med de formål, der er fastsat i denne forordning. Adgang til data til sekundær anvendelse bør bidrage til samfundets almene interesse. Navnlig bør sekundær anvendelse af sundhedsdata til forsknings- og udviklingsformål bidrage til at give samfundet en fordel i form af nye lægemidler, medicinsk udstyr og sundhedsydelsesprodukter og -tjenester til overkommelige og retfærdige priser for unionsborgerne samt øge adgangen til og tilgængeligheden af sådanne produkter og ydelser i alle medlemsstater. Aktiviteter, for hvilke adgang i henhold til denne forordning er lovlig, kan omfatte anvendelse af elektroniske sundhedsdata til opgaver, der udføres af offentlige myndigheder, såsom udførelse af offentlig tjeneste, herunder folkesundhedsovervågning, planlægnings- og rapporteringsforpligtelser, udformning af sundhedspolitikker og sikring af patientsikkerhed, behandlingskvalitet og sundhedssystemernes bæredygtighed. Offentlige myndigheder og Unionens institutioner, organer, kontorer og agenturer kan have behov for regelmæssig adgang til elektroniske sundhedsdata i en længere periode, herunder for at opfylde deres mandat, som er fastsat i denne forordning. Offentlige myndigheder kan udføre sådanne forskningsaktiviteter ved hjælp af tredjeparter, herunder underleverandører, så længe den offentlige myndighed til enhver tid fører tilsyn med disse aktiviteter. Leveringen af data bør også støtte aktiviteter i forbindelse med videnskabelig forskning. Begrebet forskningsformål bør fortolkes bredt, herunder teknologisk udvikling og demonstration, grundforskning, anvendt forskning og privatfinansieret forskning. Aktiviteter i forbindelse med videnskabelig forskning omfatter innovationsaktiviteter, såsom træning af AI-algoritmer, der kan anvendes inden for sundhedsydelser eller til pleje af fysiske personer, samt evaluering og videreudvikling af eksisterende algoritmer og produkter til sådanne formål. Det er nødvendigt, at det europæiske sundhedsdataområde også bidrager til grundforskning, og selv om fordelene for slutbrugere og patienter kan være mindre direkte, er en sådan grundforskning afgørende for samfundsmæssige fordele på længere sigt. I nogle tilfælde kan oplysninger om visse fysiske personer, såsom genominformation om fysiske personer med en bestemt sygdom, bidrage til diagnosticering eller behandling af andre fysiske personer. Der er behov for, at offentlige myndigheder går ud over anvendelsesområdet »ekstraordinære behov« i kapitel V i forordning (EU) 2023/2854. Organer med ansvar for adgang til sundhedsdata bør dog have mulighed for at yde støtte til offentlige myndigheder, når data behandles eller sammenkædes. Nærværende forordning giver offentlige myndigheder mulighed for at få adgang til oplysninger, som de har brug for til at udføre de opgaver, de er pålagt ved lov, men udvider ikke sådanne offentlige myndigheders mandat.

(62)

Ethvert forsøg på at anvende elektroniske sundhedsdata til foranstaltninger, der er skadelige for fysiske personer, såsom til at forhøje forsikringspræmier, til at deltage i aktiviteter, der muligvis er skadelige for fysiske personer i forhold til beskæftigelse, pensioner eller bankforhold, herunder pantsætning af ejendomme, til at reklamere for produkter eller behandlinger, til at automatisere individuel beslutningstagning, til at reidentificere fysiske personer eller til at udvikle skadelige produkter, bør forbydes. Dette forbud bør også finde anvendelse på aktiviteter, der er i strid med etiske bestemmelser i henhold til national ret, med undtagelse af etiske bestemmelser vedrørende samtykke til behandling af personoplysninger og etiske bestemmelser vedrørende retten til fravalg, da denne forordning har forrang for national ret, i overensstemmelse med det generelle princip om EU-rettens forrang. Det bør også forbydes at give adgang til eller på anden stille elektroniske sundhedsdata til rådighed for tredjeparter, der ikke er nævnt i datatilladelsen. Identiteten på de autoriserede personer, navnlig identiteten på den hovedinvestigator, som i henhold til denne forordning har ret til at få adgang til elektroniske sundhedsdata i det sikre databehandlingsmiljø, bør angives i datatilladelsen. Hovedinvestigatorerne er de hovedansvarlige for at anmode om adgang til de elektroniske sundhedsdata og for at behandle de ønskede data i det sikre databehandlingsmiljø på vegne af sundhedsdatabrugeren.

(63)

Denne forordning giver ikke beføjelse til sekundær anvendelse af sundhedsdata med henblik på retshåndhævelse. Forebyggelsen, efterforskningen, opdagelsen eller retsforfølgningen af straffelovsovertrædelser eller fuldbyrdelse af strafferetlige sanktioner ved de kompetente myndigheder bør ikke være omfattet af de sekundære anvendelser i henhold til denne forordning. Derfor bør domstole og andre enheder i retssystemet ikke betragtes som sundhedsdatabrugere i forbindelse med sekundær anvendelse af sundhedsdata i henhold til denne forordning. Desuden bør domstole og andre enheder i retssystemet ikke være omfattet af definitionen af sundhedsdataindehavere og bør derfor ikke være adressater for forpligtelser for sundhedsdataindehavere i henhold til denne forordning. Desuden de beføjelser, der tillægges de kompetente myndigheder med hensyn til forebyggelse, efterforskning, opdagelse og retsforfølgning af strafbare handlinger, der er fastsat ved lov, for så vidt angår indhentning af elektroniske sundhedsdata, berøres ikke af denne forordning. Elektroniske sundhedsdata, som domstolene er i besiddelse af med henblik på retssager, er heller ikke omfattet af denne forordnings anvendelsesområde.

(64)

Oprettelsen af et eller flere organer med ansvar for adgang til sundhedsdata, der støtter adgangen til elektroniske sundhedsdata i medlemsstaterne, er væsentlig for at fremme sekundær anvendelse af sundhedsrelaterede data. Medlemsstaterne bør derfor oprette et eller flere organer med ansvar for adgang til sundhedsdata, for bl.a. at afspejle deres forfatningsmæssige, organisatoriske og administrative struktur. Et af disse organer med ansvar for adgang til sundhedsdata bør dog udpeges som koordinator, hvis der er mere end ét organ med ansvar for adgang til sundhedsdata. Hvis en medlemsstat opretter flere organer med ansvar for adgang til sundhedsdata, bør den fastsætte regler på nationalt plan for at sikre disse organers koordinerede deltagelse i udvalget for det europæiske sundhedsdataområde. Den pågældende medlemsstat bør navnlig udpege ét organ med ansvar for adgang til sundhedsdata som skal fungere som fælles kontaktpunkt for disse organers effektive deltagelse med henblik på at sikre et hurtigt og smidigt samarbejde med andre organer med ansvar for adgang til sundhedsdata, udvalget for det europæiske sundhedsdataområde og Kommissionen. Organer med ansvar for adgang til sundhedsdata kan variere med hensyn til organisation og størrelse, der spænder over en særlig organisation til en enhed eller afdeling i en eksisterende organisation. Organer med ansvar for adgang til sundhedsdata bør ikke påvirkes i deres beslutninger om adgang til elektroniske data til sekundær anvendelse og bør undgå interessekonflikter. Medlemmer af forvaltningen og besluttende organer i hvert organ med ansvar for adgang til sundhedsdata og dets personale bør derfor afholde sig fra enhver handling, der er uforenelig med deres opgaver, og bør ikke udøve nogen form for uforenelig beskæftigelse. Organerne med ansvar for adgang til sundhedsdatas uafhængighed bør dog ikke betyde, at de ikke kan gøres til genstand for kontrol- eller overvågningsmekanismer for så vidt angår deres finansielle udgifter eller for domstolsprøvelse. Hvert organ med ansvar for adgang til sundhedsdata bør have de nødvendige finansielle, tekniske og menneskelige ressourcer samt lokaler og infrastruktur til effektivt at kunne udføre sine opgaver, herunder opgaver vedrørende samarbejde med andre organer med ansvar for adgang til sundhedsdata i hele Unionen. Medlemmerne af forvaltningen og besluttende organer hos organerne med ansvar for adgang til sundhedsdata og deres personale bør have de nødvendige kvalifikationer, erfaring og færdigheder. Hvert organ med ansvar for adgang til sundhedsdata bør have et separat offentligt årligt budget, der kan indgå i det samlede statsbudget eller nationale budget. For at muliggøre bedre adgang til sundhedsdata og supplere artikel 7, stk. 2, i forordning (EU) 2022/868 bør medlemsstaterne give organer med ansvar for adgang til sundhedsdata beføjelser til at træffe afgørelser om adgang til og sekundær anvendelse af sundhedsdata. Dette kunne bestå i at tildele nye opgaver til de kompetente organer, der er udpeget af medlemsstaterne i henhold til artikel 7, stk. 1, i forordning (EU) 2022/868, eller at udpege eksisterende eller nye sektorspecifikke organer, der er ansvarlige for sådanne opgaver i forbindelse med adgang til sundhedsdata.

(65)

Organer med ansvar for adgang til sundhedsdata bør overvåge anvendelsen af kapitel IV i denne forordning og bidrage til en ensartet anvendelse heraf i hele Unionen. Med henblik herpå bør organer med ansvar for adgang til sundhedsdata samarbejde med hinanden og med Kommissionen. Organer med ansvar for adgang til sundhedsdata bør også samarbejde med interessenter, herunder patientorganisationer. Organer med ansvar for adgang til sundhedsdata bør støtte sundhedsdataindehavere, der er små virksomheder, i overensstemmelse med Kommissionens henstilling 2003/361/EF (18), navnlig læger og apoteker. Da den sekundære anvendelse af sundhedsdata indebærer behandling af personlige helbredsoplysninger, finder de relevante bestemmelser i forordning (EU) 2016/679 og (EU) 2018/1725 anvendelse, og tilsynsmyndighederne i henhold til nævnte forordninger bør fortsat være de eneste kompetente myndigheder til at håndhæve disse bestemmelser. Organer med ansvar for adgang til sundhedsdata bør underrette databeskyttelsesmyndighederne om eventuelle pålagte sanktioner og eventuelle problemer i forbindelse med databehandling til sekundær anvendelse og udveksle alle relevante oplysninger, som de råder over, for at sikre håndhævelsen af de relevante regler. Ud over de opgaver, der er nødvendige for at sikre en effektiv sekundær anvendelse af sundhedsdata, bør organet med ansvar for adgang til sundhedsdata bestræbe sig på at udvide tilgængeligheden af yderligere sundhedsdatasæt og fremme udviklingen af fælles standarder. De bør anvende testede og de nyeste teknikker, der sikrer, at elektroniske sundhedsdata behandles på en måde, der beskytter privatlivets fred for så vidt angår de oplysninger, der er indeholdt i de data, for hvilke sekundær anvendelse er tilladt, herunder teknikker til pseudonymisering, anonymisering, generalisering, fjernelse og randomisering af personoplysninger. Organer med ansvar for adgang til sundhedsdata kan udarbejde datasæt til sundhedsdatabrugeren som krævet i den udstedte datatilladelse. I den forbindelse bør organer med ansvar for adgang til sundhedsdata samarbejde på tværs af grænserne for at udvikle og udveksle bedste praksis og teknikker. Dette omfatter regler for pseudonymisering og anonymisering af mikrodatasæt. Kommissionen bør fastsætte procedurerne og kravene og stille tekniske værktøjer til rådighed med henblik på at opnå en ensartet procedure for pseudonymisering og anonymisering af elektroniske sundhedsdata, hvor det er relevant.

(66)

Organer med ansvar for adgang til sundhedsdata bør sikre at sekundær anvendelse er gennemsigtig, offentlige oplysninger om de udstedte datatilladelser og begrundelserne herfor, de foranstaltninger, der er blevet truffet for at beskytte fysiske personers rettigheder, midlerne for fysiske personer til at udøve deres rettigheder i forbindelse med sekundær anvendelse, og resultaterne af sekundær anvendelse, herunder gennem links til videnskabelige publikationer. Hvor det er relevant, bør disse oplysninger om resultaterne af sekundær anvendelse også omfatte et foreløbigt resumé, som skal fremlægges af sundhedsdatabrugeren. Disse gennemsigtighedsforpligtelser supplerer de forpligtelser, der er fastsat ved artikel 14 i forordning (EU) 2016/679. Undtagelserne i nævnte forordnings artikel 14, stk. 5, kan finde anvendelse. Hvis sådanne undtagelser finder anvendelse, bør gennemsigtighedsforpligtelserne, som fastsat i nærværende forordning, bidrage til at sikre en retfærdig og gennemsigtig behandling som omhandlet i artikel 14, stk. 2, i forordning (EU) 2016/679, f.eks. ved at give oplysninger om formålet med behandlingen og de behandlede datakategorier, der derved gør det muligt for fysiske personer at forstå, om deres data stilles til rådighed til sekundær anvendelse i henhold til datatilladelser.

(67)

Fysiske personer bør af sundhedsdataindehaverne underrettes om væsentlige fund, som sundhedsdatabrugere har opdaget vedrørende deres helbred. Fysiske personer bør have ret til at anmode om ikke at blive underrettet om sådanne fund. Medlemsstaterne kan fastsætte betingelser for, hvordan sundhedsdataindehavere skal give sådanne oplysninger til de berørte fysiske personer, og for udøvelsen af retten til ikke at blive underrettet. I overensstemmelse med artikel 23, stk. 1, litra i), i forordning (EU) 2016/679 bør medlemsstaterne have mulighed for at begrænse rækkevidden af forpligtelsen om at underrette de fysiske personer, når det er nødvendigt for deres beskyttelse på grundlag af patientsikkerhed og etik, ved at udsætte meddelelsen af deres oplysninger, indtil en sundhedsprofessionel kan videregive og forklare de pågældende fysiske personer de oplysninger, der potentielt kan have en indvirkning på deres sundhed.

(68)

For at fremme gennemsigtigheden bør organerne med ansvar for adgang til sundhedsdata også hvert andet år offentliggøre aktivitetsrapporter, der giver et overblik over deres aktiviteter. Hvis en medlemsstat har udpeget mere end ét organ med ansvar for adgang til sundhedsdata, bør koordineringsorganet hvert andet år udarbejde og offentliggøre en fælles rapport. Aktivitetsrapporterne bør følge en struktur, der er aftalt i udvalget for det europæiske sundhedsdataområde, og give et overblik over aktiviteter, herunder oplysninger vedrørende afgørelser om ansøgninger, revisioner og samarbejde med relevante interessenter. Sådanne interessenter kan omfatte repræsentanter for fysiske personer, patientorganisationer, sundhedsprofessionelle, forskere og etiske udvalg.

(69)

For at støtte sekundær anvendelse bør sundhedsdataindehaverne afholde sig fra at tilbageholde data, opkræve uberettigede gebyrer, som ikke er gennemsigtige eller ikke står i et rimeligt forhold til omkostningerne ved at stille data til rådighed eller, hvor det er relevant, til marginale omkostninger til dataindsamling, og anmode sundhedsdatabrugerne om at offentliggøre forskning eller anden praksis, der kunne afholde sundhedsdatabrugerne fra at anmode om dataene. Hvis en sundhedsdataindehaver er en offentlig myndighed, bør den del af gebyrerne, der er knyttet til dens omkostninger, ikke dække omkostningerne ved den indledende indsamling af dataene. Hvis etisk godkendelse er nødvendig for at give en datatilladelse, bør vurderingen vedrørende etisk godkendelse baseres på de specifikke omstændigheder.

(70)

Organer med ansvar for adgang til sundhedsdata bør have mulighed for at opkræve gebyrer under hensyntagen til de horisontale regler, der følger af forordning (EU) 2022/868, i forbindelse med deres opgaver. Sådanne gebyrer kan tage hensyn til små og mellemstore virksomheders (SMV'ers), individuelle forskeres eller offentlige myndigheders situation og interesser. Medlemsstaterne bør navnlig have mulighed for at træffe foranstaltninger for organer med ansvar for adgang til sundhedsdata inden for deres jurisdiktion, som gør det muligt at opkræve nedsatte gebyrer for visse kategorier af sundhedsdatabrugere. Organer med ansvar for adgang til sundhedsdata bør kunne dække omkostningerne ved deres drift med gebyrer, der fastsættes på en forholdsmæssig, begrundet og gennemsigtig måde. Dette kan føre til højere gebyrer for nogle sundhedsdatabrugere, hvis behandlingen af deres ansøgninger om adgang til sundhedsdata og sundhedsdataanmodninger kræver mere arbejde. Sundhedsdataindehavere bør også have mulighed for at anmode om gebyrer, der afspejler deres omkostninger ved at stille data til rådighed. Organer med ansvar for adgang til sundhedsdata bør træffe afgørelse om størrelsen af sådanne gebyrer, som også kan omfatte de gebyrer, som sundhedsdataindehaverne anmoder om. Sundhedsdatabrugeren bør opkræves sådanne gebyrer af organet med ansvar for adgang til sundhedsdata i én enkelt faktura. Organet med ansvar for adgang til sundhedsdata bør derefter overføre den relevante del af de betalte gebyrer til sundhedsdataindehaveren. For at sikre en harmoniseret tilgang til gebyrpolitik og -struktur bør Kommissionen tillægges gennemførelsesbeføjelser. Artikel 10 i forordning (EU) 2023/2854 bør finde anvendelse på gebyrer, der opkræves i henhold til nærværende forordning.

(71)

For at styrke håndhævelsen af reglerne om sekundær anvendelse bør der overvejes passende foranstaltninger, der kan føre til administrative bøder eller håndhævelsesforanstaltninger fra organer med ansvar for adgang til sundhedsdata eller midlertidige eller permanente udelukkelser fra det europæiske sundhedsdataområde af sundhedsdatabrugere eller sundhedsdataindehavere, der ikke opfylder deres forpligtelser. Organer med ansvar for adgang til sundhedsdata bør have beføjelse til at kontrollere overholdelsen af sundhedsdatabrugere og -indehavere og give dem mulighed for at svare på eventuelle anmærkninger og afhjælpe eventuelle overtrædelser. Organer med ansvar for adgang til sundhedsdata bør i forbindelse med fastsættelsen af den administrative bødes beløb eller en håndhævelsesforanstaltning i den enkelte sag tage højde for de omkostningsmargener og kriterier, der er fastsat i denne forordning, idet det sikres, at disse bøder eller foranstaltninger er forholdsmæssige.

(72)

I betragtning af de elektroniske sundhedsdatas følsomhed er det nødvendigt at reducere risiciene for fysiske personers privatliv ved at anvende princippet om dataminimering. Derfor bør andre elektroniske sundhedsdata end personoplysninger gøres tilgængelige i alle tilfælde, hvor leveringen af sådanne data er tilstrækkelige. Hvis sundhedsdatabrugeren har brug for at anvende personlige elektroniske sundhedsdata, bør denne i sin anmodning klart angive begrundelsen for anvendelsen af denne type data, og organet med ansvar for adgang til sundhedsdata bør vurdere, om denne begrundelse er gyldig. Personlige elektroniske sundhedsdata bør kun stilles til rådighed i pseudonymiseret format. Under hensyntagen til de specifikke formål med behandlingen bør personlige elektroniske sundhedsdata pseudonymiseres eller anonymiseres så tidligt som muligt i processen, hvor data stilles til rådighed til sekundær anvendelse. Det bør være muligt at pseudonymisering og anonymisering foretages af organer med ansvar for adgang til sundhedsdata eller af sundhedsdataindehavere. Som dataansvarlige bør organer med ansvar for adgang til sundhedsdata og sundhedsdataindehavere have mulighed for at uddelegere disse opgaver til databehandlere. Når et organ med ansvar for adgang til sundhedsdata giver adgang til et pseudonymiseret eller anonymiseret datasæt, bør det anvende de nyeste teknologier og standarder inden for pseudonymisering eller anonymisering og i videst muligt omfang sikre, at fysiske personer ikke kan reidentificeres af sundhedsdatabrugere. Sådanne teknologier og standarder for datapseudonymisering eller -anonymisering bør udvikles yderligere. Sundhedsdatabrugere bør ikke forsøge at reidentificere fysiske personer fra det datasæt, der leveres i henhold til denne forordning, og hvis de gør det, bør de være genstand for administrative bøder og håndhævelsesforanstaltninger som fastsat i denne forordning eller mulige strafferetlige sanktioner, hvis dette er fastsat i national ret. En sundhedsdataansøger bør desuden kunne anmode om et svar på en sundhedsdataanmodning i et anonymiseret, statistisk format. I sådanne tilfælde vil sundhedsdatabrugeren kun behandle andre sundhedsdata end personoplysninger, og organet med ansvar for adgang til sundhedsdata vil fortsat være enedataansvarlig for samtlige de personoplysninger, der er nødvendige for at besvare sundhedsdataanmodningen.

(73)

For at sikre, at alle organer med ansvar for adgang til sundhedsdata udsteder datatilladelser på samme måde, er det nødvendigt at fastlægge en fælles standardprocedure for udstedelse af datatilladelser med lignende anmodninger i forskellige medlemsstater. Sundhedsdataansøgeren bør give organer med ansvar for adgang til sundhedsdata flere oplysninger, som kan hjælpe organet med at vurdere ansøgningen om adgang til sundhedsdata og afgøre, om sundhedsdataansøgeren kan få en datatilladelse, og der bør sikres konsekvens mellem de forskellige organer med ansvar for adgang til sundhedsdata. De oplysninger, der stilles til rådighed som en del af ansøgningen om adgang til sundhedsdata bør være i overensstemmelse med de fastsatte betingelser i henhold til denne forordning for at muliggøre en grundig vurdering heraf, idet en datatilladelse kun bør udstedes, hvis samtlige nødvendige betingelser i denne forordning er opfyldt. Desuden bør disse oplysninger, hvis det er relevant, indeholde en erklæring fra sundhedsdataansøgeren om, at den tilsigtede anvendelse af de anmodede sundhedsdata ikke udgør en risiko for at stigmatisere eller for at forårsage skade på værdigheden for de fysiske personer eller grupper, som det anmodede datasættet omhandler. Der kan anmodes om en etisk vurdering på grundlag af national ret. I så fald, bør det være muligt for eksisterende etiske organer at foretage sådanne vurderinger for organet med ansvar for adgang til sundhedsdata. Medlemsstaternes eksisterende etiske organer bør stille deres ekspertise til rådighed for organet med ansvar for adgang til sundhedsdata til dette formål. Alternativt bør medlemsstaterne kunne beslutte at gøre etiske organer til en del af organet med ansvar for adgang til sundhedsdata. Organet med ansvar for adgang til sundhedsdata og, hvor det er relevant, sundhedsdataindehavere bør bistå sundhedsdatabrugere med at udvælge passende datasæt eller datakilder til det erklærede formål med den sekundære anvendelse. Hvis sundhedsdataansøgeren har brug for data i et anonymiseret statistisk format, bør vedkommende indgive en sundhedsdataanmodning med krav om, at organet med ansvar for adgang til sundhedsdata leverer resultatet direkte. Et afslag på en datatilladelse fra organet med ansvar for adgang til sundhedsdata bør ikke hindre sundhedsdataansøgeren i at indgive en ny ansøgning om adgang til sundhedsdata. For at sikre en harmoniseret tilgang mellem organer med ansvar for adgang til sundhedsdata og for at begrænse den unødvendige administrative byrde for sundhedsdataansøgere bør Kommissionen støtte harmoniseringen af ansøgninger om adgang til sundhedsdata samt sundhedsdataanmodninger, herunder ved at fastlægge de relevante skabeloner. I begrundede tilfælde, f.eks. i tilfælde af en kompleks og byrdefuld anmodning, bør organet med ansvar for adgang til sundhedsdata kunne forlænge fristen for sundhedsdataindehavere med hensyn til at stille de elektroniske sundhedsdata, der anmodes om, til rådighed for det.

(74)

Da deres ressourcer er begrænsede, bør organer med ansvar for adgang til sundhedsdata kunne anvende prioriteringsregler, f.eks. prioritere offentlige institutioner over private enheder, men de bør ikke forskelsbehandle de nationale organisationer og organisationer fra andre medlemsstater inden for samme kategori af prioriteter. En sundhedsdatabruger bør kunne forlænge datatilladelsens varighed for f.eks. at give evaluatorer af videnskabelige publikationer adgang til datasættene eller give mulighed for yderligere analyse af datasættet på grundlag af de første resultater. Dette bør kræve en ændring af datatilladelsen og kan blive pålagt et yderligere gebyr. I alle tilfælde bør datatilladelsen dog afspejle sådanne supplerende anvendelser af datasættet. Sundhedsdatabrugeren bør helst nævne dem i sin oprindelige ansøgning om adgang til sundhedsdata. For at sikre en harmoniseret tilgang mellem organer med ansvar for adgang til sundhedsdata bør Kommissionen støtte harmoniseringen af datatilladelser.

(75)

Som covid-19-krisen har vist, har Unionens institutioner, organer, kontorer og agenturer med et retligt mandat på folkesundhedsområdet, navnlig Kommissionen, brug for adgang til sundhedsdata i en længere periode og med jævne mellemrum. Dette kan være tilfældet under særlige omstændigheder i krisetider som fastsat i EU-retten eller national ret, men også for løbende at tilvejebringe videnskabelig dokumentation og teknisk støtte til Unionens politikker. Der kan kræves adgang til sådanne data i bestemte medlemsstater eller på hele Unionens område. Sådanne EU-institutioner, organer, kontorer og agenturer bør kunne drage fordel af en fremskyndet procedure for at få data stillet til rådighed normalt på mindre end to måneder med mulighed for at forlænge tidsfristen med én måned i mere komplekse tilfælde.

(76)

Medlemsstaterne bør have mulighed for at udpege betroede sundhedsdataindehavere, for hvilke proceduren for udstedelse af datatilladelser kan blive gennemført på en forenklet måde, for at lette den administrative byrde for organer med ansvar for adgang til sundhedsdata i forbindelse med forvaltningen af anmodninger om de data, de behandler. Betroede sundhedsdataindehavere bør have mulighed for at vurdere de ansøgninger om adgang til sundhedsdata, der indgives efter denne forenklede procedure, på grundlag af deres ekspertise med hensyn til at håndtere den type sundhedsdata, de behandler, og udstede en anbefaling vedrørende en datatilladelse. Organet med ansvar for adgang til sundhedsdata bør fortsat være ansvarligt for udstedelsen af den endelige datatilladelse og bør ikke være bundet af anbefalingen fra den betroede sundhedsdataindehaver. Enheder, der formidler sundhedsdata, bør ikke udpeges som pålidelige sundhedsdataindehavere.

(77)

I betragtning af de elektroniske sundhedsdatas følsomhed bør sundhedsdatabrugerne ikke have ubegrænset adgang til sådanne data. Al adgang til de elektroniske sundhedsdata, der anmodes om, med henblik på sekundær anvendelse bør ske gennem et sikkert databehandlingsmiljø. For at sikre at der er indført stærke tekniske og sikkerhedsmæssige garantier for de elektroniske sundhedsdata bør organer med ansvar for adgang til sundhedsdata eller, hvor det er relevant, den betroede dataindehaver give adgang til sådanne data i et sikkert databehandlingsmiljø i overensstemmelse med de høje tekniske og sikkerhedsmæssige standarder, der er fastsat i henhold til denne forordning. Behandlingen af personoplysninger i et sådant sikkert databehandlingsmiljø bør være i overensstemmelse med forordning (EU) 2016/679, herunder, hvis det sikre databehandlingsmiljø forvaltes af en tredjepart, kravene i nævnte forordnings artikel 28 og, hvor det er relevant, kapitel V heri. Et sådant sikkert databehandlingsmiljø bør mindske de risici for privatlivets fred, der er forbundet med sådanne behandlingsaktiviteter, og forhindre, at de elektroniske sundhedsdata overføres direkte til sundhedsdatabrugerne. Organet med ansvar for adgang til sundhedsdata eller den sundhedsdataindehaver, der leverer denne tjeneste, bør til enhver tid have kontrol over adgangen til de elektroniske sundhedsdata, og den adgang, der gives til databrugerne bør fastsættes i henhold til betingelserne i den udstedte datatilladelse. Sundhedsdatabrugere bør kun downloade andre elektroniske sundhedsdata end personoplysninger, der ikke indeholder personlige elektroniske sundhedsdata, fra et sådant sikkert databehandlingsmiljø. Et sådant sikkert databehandlingsmiljø er således en væsentlig garanti for at bevare fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling af deres elektroniske sundhedsdata til sekundær anvendelse. Kommissionen bør bistå medlemsstaterne med at udvikle fælles sikkerhedsstandarder for at fremme sikkerheden og interoperabiliteten i de forskellige sikre databehandlingsmiljøer.

(78)

Ved forordning (EU) 2022/868 fastsættes de generelle regler for forvaltning af dataaltruisme. Idet sundhedssektoren forvalter følsomme data, bør der samtidig fastsættes yderligere kriterier gennem det regelsæt, der er omhandlet i nævnte forordning. Hvis sådanne regler indeholder bestemmelser om anvendelse af et sikkert databehandlingsmiljø for denne sektor, bør et sådant sikkert databehandlingsmiljø være i overensstemmelse med de kriterier, der er fastsat i nærværende forordning. Organerne med ansvar for adgang til sundhedsdata bør samarbejde med de kompetente myndigheder, der er udpeget i henhold til forordning (EU) 2022/868 med henblik på at føre tilsyn med dataaltruistiske organisationers aktiviteter i sundheds- eller plejesektoren.

(79)

I forbindelse med behandling af elektroniske sundhedsdata inden for rammerne af en datatilladelse eller en sundhedsdataanmodning bør sundhedsdataindehavere, herunder betroede sundhedsdataindehavere, organer med ansvar for adgang til sundhedsdata og sundhedsdatabrugere hver især betragtes som dataansvarlige for en specifik del af processen og i overensstemmelse med deres respektive roller heri. Sundhedsdataindehavere bør betragtes som dataansvarlige for videregivelsen af de ønskede personlige elektroniske sundhedsdata til organerne med ansvar for adgang til sundhedsdata, mens organerne med ansvar for adgang til sundhedsdata omvendt bør betragtes som dataansvarlige for behandlingen af de personlige elektroniske sundhedsdata, når de udarbejder dataene og stiller dem til rådighed for sundhedsdatabrugerne. Sundhedsdatabrugere bør betragtes som dataansvarlige ved behandling af personlige elektroniske sundhedsdata i pseudonymiseret form i det sikre databehandlingsmiljø i henhold til deres datatilladelser. Organerne med ansvar for adgang til sundhedsdata bør betragtes som databehandlere på vegne af sundhedsdatabrugeren for behandling udført af sundhedsdatabrugeren i henhold til en datatilladelse i det sikre databehandlingsmiljø samt for behandlingen for at generere et svar på sundhedsdataanmodningen. De betroede sundhedsdataindehavere bør på tilsvarende måde betragtes som dataansvarlige for deres behandling af personlige elektroniske sundhedsdata i forbindelse med bestemmelsen af elektroniske sundhedsdata til sundhedsdatabrugeren i henhold til en datatilladelse eller en sundhedsdataanmodning. De betroede sundhedsdataindehavere bør betragtes som databehandlere for sundhedsdatabrugeren, når de leverer data gennem et sikkert databehandlingsmiljø.

(80)

For at opnå en inklusiv og bæredygtig ramme for sekundær anvendelse i flere lande, bør der etableres en grænseoverskridende infrastruktur (»HealthData@EU«). HealthData@EU bør fremskynde sekundær anvendelse og samtidig øge retssikkerheden, respektere fysiske personers privatliv og være interoperabel. På grund af sundhedsdataenes følsomhed bør principper som »indbygget databeskyttelse« og »databeskyttelse gennem standardindstillinger« og begrebet »at stille spørgsmål til data i stedet for at flytte disse data« respekteres, når det er muligt. Medlemsstaterne bør udpege nationale kontaktpunkter for sekundær anvendelse som organisatoriske og tekniske portaler for organer med ansvar for adgang til sundhedsdata og forbinde disse kontaktpunkter til HealthData@EU. Unionens tjeneste for adgang til sundhedsdata bør også kobles til HealthData@EU. Derudover kan autoriserede deltagere i HealthData@EU være forskningsinfrastrukturer oprettet som et konsortium for en europæisk forskningsinfrastruktur (ERIC) i henhold til Rådets forordning (EF) nr. 723/2009 (19) som et konsortium for en europæisk digital infrastruktur (EDIC) i henhold til afgørelse (EU) 2022/2481 eller lignende infrastrukturer, der er etableret i henhold til andre EU-retsakter, samt andre typer enheder, herunder infrastrukturer under Det Europæiske Strategiforum for Forskningsinfrastrukturer (ESFRI), eller infrastrukturer, der er organiseret under den europæiske åbne videnskabscloud (EOSC). Tredjelande og internationale organisationer kan også blive autoriserede deltagere i HealthData@EU, forudsat at de opfylder kravene i nærværende forordning. Kommissionens meddelelse af 19. februar 2020 med titlen »En europæisk strategi for data« fremmede sammenkædningen af de forskellige fælles europæiske dataområder. HealthData@EU bør derfor muliggøre sekundær anvendelse af forskellige kategorier af elektroniske sundhedsdata, herunder sammenkædning af sundhedsdata med data fra andre dataområder såsom dem, der vedrører miljø, landbrug og den sociale sektor. En sådan interoperabilitet mellem sundhedssektoren og andre sektorer såsom den miljømæssige, landbrugsmæssige eller sociale sektor kan være relevant for at opnå yderligere indsigt i sundhedsdeterminanter. Kommissionen kan levere en række tjenester inden for HealthData@EU, herunder støtte til udveksling af oplysninger mellem organer med ansvar for adgang til sundhedsdata og autoriserede deltagere i HealthData@EU med henblik på behandling af anmodninger om adgang på tværs af grænserne, forvaltning af kataloger over elektroniske sundhedsdata, der er tilgængelige via infrastrukturen, netværkssøgningsmulighederne og metadatasøgninger, konnektivitets- og overholdelsestjenester. Kommissionen kan også etablere et sikkert databehandlingsmiljø, der gør det muligt at overføre og analysere data fra forskellige nationale infrastrukturer efter anmodning fra de dataansvarlige. Af hensyn til IT-effektiviteten, rationaliseringen og interoperabiliteten af dataudvekslinger bør de eksisterende systemer til dataudveksling så vidt muligt genanvendes, såsom dem, der udvikles til udveksling af dokumentation under det tekniske system baseret på engangsprincippet i Europa-Parlamentets og Rådets forordning (EU) 2018/1724 (20).

(81)

Da forbindelsen til HealthData@EU kan indebære overførsler til tredjelande af personoplysninger vedrørende ansøgeren eller sundhedsdatabrugeren, skal der desuden være indført relevante overførselsinstrumenter i henhold til kapitel V i forordning (EU) 2016/679 for sådanne overførsler.

(82)

I tilfælde af grænseoverskridende registre eller databaser, såsom registrene over europæiske referencenetværk for sjældne sygdomme, som modtager data fra forskellige sundhedstjenesteydere i flere medlemsstater, bør det organ med ansvar for adgang til sundhedsdata i den medlemsstat, hvor registerets koordinator er beliggende, være ansvarligt for at give adgang til data.

(83)

Godkendelsesproceduren for at få adgang til personlige elektroniske sundhedsdata i forskellige medlemsstater kan være repetitiv og besværlig for sundhedsdatabrugerne. Når det er muligt, bør der skabes synergier for at mindske byrden og hindringerne for sundhedsdatabrugerne. En måde at nå dette mål på er at overholde princippet om »én ansøgning«, ifølge hvilket sundhedsdatabrugeren med én ansøgning kan få tilladelse fra flere organer med ansvar for adgang til sundhedsdata i forskellige medlemsstater eller autoriserede deltagere i HealthData@EU.

(84)

Organerne med ansvar for adgang til sundhedsdata bør give oplysninger om de tilgængelige datasæt og deres karakteristika, således at sundhedsdatabrugere kan gives grundlæggende oplysninger om datasættet og vurdere den mulige relevans af disse oplysninger for disse brugere. Derfor bør hvert datasæt som minimum indeholde oplysninger om kilden og arten af dataene og betingelserne for at stille dataene til rådighed. Sundhedsdataindehaveren bør mindst hvert år kontrollere, at beskrivelsen af datasættet i det nationale katalog over datasæt er nøjagtigt og ajourført. Der bør derfor oprettes et EU-datasætkatalog for at: gøre det lettere at finde de datasæt, der er tilgængelige i det europæiske sundhedsdataområde; hjælpe sundhedsdataindehavere med at offentliggøre deres datasæt; give alle interessenter, herunder offentligheden, under hensyntagen til de særlige behov hos personer med handicap, oplysninger om datasæt, der er i det europæiske sundhedsdataområde, såsom datakvalitets- og dataudnyttelsesmærker, og oplysningsskemaer for datasæt, samt give sundhedsdatabruger ajourførte datakvalitets- og dataudnyttelsesoplysninger om datasæt.

(85)

Oplysninger om kvaliteten og udnyttelsen af datasæt øger værdien af resultaterne af dataintensiv forskning og innovation betydeligt, samtidig med at evidensbaseret reguleringsmæssige og politisk beslutningstagning fremmes. Forbedring af kvaliteten og udnyttelsen af datasæt gennem informerede kundevalg og harmonisering af relaterede krav på EU-plan under hensyntagen til eksisterende EU-standarder og internationale standarder, retningslinjer og anbefalinger vedrørende dataindsamling og dataudveksling, såsom FAIR-principperne er også til gavn for sundhedsdataindehavere, sundhedsprofessionelle, fysiske personer og Unionens økonomi som helhed. Et datakvalitets- og dataudnyttelsesmærke for datasæt vil informere sundhedsdatabrugerne om et datasæts kvalitets- og udnyttelsesegenskaber og sætte dem i stand til at vælge de datasæt, der passer bedst til deres behov. Datakvalitets- og dataudnyttelsesmærket bør ikke forhindre, at datasæt stilles til rådighed gennem det europæiske sundhedsdataområde, men skabe en gennemsigtighedsmekanisme mellem sundhedsdataindehavere og sundhedsdatabrugere. Et datasæt, der ikke opfylder noget krav om datakvalitet og -nytte, bør f.eks. mærkes med den klasse, der repræsenterer den dårligste kvalitet og udnyttelse, men bør stadig stilles til rådighed. Forventninger, der er fastsat ved de rammer, der er skabt i henhold til artikel 10 i forordning (EU) 2024/1689, og den relevante tekniske dokumentation, der er anført i nævnte forordnings bilag IV, bør tages i betragtning, når rammen for datakvalitet og -udnyttelse udvikles. Medlemsstaterne bør øge bevidstheden om datakvalitets- og dataudnyttelsesmærket gennem kommunikationsaktiviteter. Kommissionen kunne støtte disse aktiviteter. Brugen af datasæt kan prioriteres af brugerne i henhold til deres anvendelighed og kvalitet.

(86)

EU-datasætkataloget bør minimere den administrative byrde for sundhedsdataindehaverne og andre databasebrugere, være brugervenligt, tilgængeligt og omkostningseffektivt, forbinde nationale datasætkataloger og undgå overflødig registrering af datasæt. Uanset kravene i forordning (EU) 2022/868 kan EU-datasætkataloget bringes i overensstemmelse med data.europa.eu-initiativet. Der bør sikres interoperabilitet mellem EU-datasætkataloget, de nationale datasætkataloger og datasætkatalogerne fra europæiske forskningsinfrastrukturer og andre relevante datadelingsinfrastrukturer.

(87)

Der er samarbejde og arbejde i gang mellem forskellige faglige organisationer, Kommissionen og andre institutioner for at oprette minimumsdatafelter og andre karakteristika for forskellige datasæt, f.eks. registre. Dette arbejde er mere fremskredent på områder som kræft, sjældne sygdomme, kredsløbssygdomme og stofskiftesygdomme, vurdering af risikofaktorer og statistik og bør tages i betragtning ved fastlæggelsen af nye standarder og sygdomsspecifikke harmoniserede skabeloner for strukturerede dataelementer. Mange datasæt er imidlertid ikke harmoniserede, hvilket skaber problemer med sammenligneligheden og vanskeliggør grænseoverskridende forskning. Der bør derfor fastsættes mere detaljerede regler i gennemførelsesretsakter for at sikre en harmoniseret kodning og registrering af elektroniske sundhedsdata, for at muliggøre levering af sådanne date til sekundær anvendelse på en ensartet måde. Sådanne datasæt kan omfatte data fra registre over sjældne sygdomme, databaser over lægemidler til sjældne sygdomme, kræftregistre og registre over meget relevante smitsomme sygdomme. Medlemsstaterne bør arbejde for at sikre, at europæiske elektroniske sundhedssystemer og -tjenester samt interoperable applikationer leverer holdbare økonomiske og sociale fordele, med henblik på at opnå en høj grad af tillid og sikkerhed, styrke kontinuiteten i behandlingen og sikre adgang til sikre sundhedsydelser af høj kvalitet. Eksisterende sundhedsdatainfrastrukturer og -registre kan tilvejebringe modeller, der er nyttige med henblik på at definere og gennemføre datastandarder og interoperabilitet, og som bør udnyttes for at sikre kontinuitet og bygge videre på eksisterende ekspertise.

(88)

Kommissionen bør støtte medlemsstaterne i at opbygge kapacitet og fremme effektivitet inden for digitale sundhedssystemer til primær anvendelse og sekundær anvendelse. Medlemsstaterne bør støttes for at styrke deres kapacitet. Aktiviteter på EU-plan såsom benchmarking og udveksling af bedste praksis er relevante foranstaltninger i denne henseende. Disse aktiviteter bør tage hensyn til de særlige omstændigheder, der gør sig gældende for forskellige kategorier af interessenter, såsom repræsentanter for civilsamfundet, forskere, lægesamfund og SMV'er.

(89)

Forbedring af viden om digital sundhed for både fysiske personer og sundhedsprofessionelle er af afgørende betydning for tillid og sikkerhed, og passende anvendelse af sundhedsdata er således af afgørende betydning for at opnå en vellykket gennemførelse af denne forordning. Sundhedsprofessionelle står overfor gennembrigende ændringer i forbindelse med digitalisering og vil blive tilbudt yderligere digitale værktøjer som en del af gennemførelsen af det europæiske sundhedsdataområde. Sundhedsprofessionelle skal derfor udvikle deres viden om digital sundhed og digitale færdigheder, og medlemsstaterne bør give sundhedsprofessionelle adgang til kurser i digitale færdigheder så de kan forberede sig på at arbejde med EPJ-systemer. Sådanne kurser bør gøre det muligt for sundhedsprofessionelle og IT-operatører at få tilstrækkelig uddannelse i arbejdet med nye digitale infrastrukturer for at sikre cybersikkerhed og etisk forvaltning af sundhedsdata. Uddannelseskurserne bør udvikles og revideres og ajourføres regelmæssigt i samråd og samarbejde med relevante eksperter. Forbedring af viden om digital sundhed er af afgørende betydning for at give fysiske personer mulighed for reel kontrol med deres sundhedsdata, aktivt at styre deres sundhed og pleje og forstå konsekvenserne af forvaltning af sådanne data til både primær anvendelse og sekundær anvendelse. Forskellige demografiske grupper har varierende grader af digitale færdigheder, hvilket kan påvirke fysiske personers evne til at udøve deres ret til at kontrollere deres elektroniske sundhedsdata. Medlemsstater, herunder regionale og lokale myndigheder, bør derfor støtte viden om digital sundhed og offentlighedens kendskab og samtidig sikre, at gennemførelsen af denne forordning bidrager til at reducere uligheder og ikke forskelsbehandler personer, der mangler digitale kompetencer. Der bør lægges særlig vægt på personer med handicap og sårbare grupper, herunder migranter og ældre. Medlemsstaterne bør oprette målrettede nationale programmer for digitale færdigheder, herunder programmer for at maksimere social inklusion, og sikre, at alle fysiske personer effektivt kan udøve deres rettigheder i henhold til denne forordning. Medlemsstaterne bør også yde patientcentreret vejledning til fysiske personer i forbindelse med anvendelsen af elektroniske patientjournaler og primær anvendelse af deres personlige elektroniske sundhedsdata. Vejledningen bør tilpasses patientens niveau af viden om digital sundhed, idet der lægges særlig vægt på sårbare gruppers behov.

(90)

Anvendelsen af midler bør også bidrage til at nå målene for det europæiske sundhedsdataområde. Offentlige indkøbere, nationale kompetente myndigheder i medlemsstaterne, herunder digitale sundhedsmyndigheder og organer med ansvar for adgang til sundhedsdata, samt Kommissionen bør tage hensyn til gældende tekniske specifikationer, standarder og profiler vedrørende interoperabilitet, sikkerhed og datakvalitet samt andre krav, der er udviklet i henhold til denne forordning, når de fastlægger betingelserne for offentlige udbud, indkaldelser af forslag og tildeling af EU-midler, herunder struktur- og samhørighedsfondene. EU-midlerne skal fordeles på en gennemsigtig måde mellem medlemsstaterne under hensyntagen til de forskellige niveauer af digitalisering af sundhedssystemerne. Tilrådighedsstillelse af data til sekundær anvendelse kræver yderligere ressourcer til sundhedssystemerne, navnlig offentlige sundhedssystemer. Denne yderligere byrde bør imødegås og minimeres i forbindelse med gennemførelsen af det europæiske sundhedsdataområde.

(91)

Gennemførelsen af det europæiske sundhedsdataområde kræver passende investering i kapacitetsopbygning og undervisning samt en velfinansieret forpligtelse til offentlige høringer og inddragelse både på EU-plan og nationalt plan. De økonomiske omkostninger ved gennemførelsen af denne forordning skal bæres på både EU-plan og nationalt plan, og der skal findes en rimelig fordeling af denne byrde mellem EU-midler og nationale midler.

(92)

Visse kategorier af elektroniske sundhedsdata kan fortsat være særligt følsomme, selv når de er i anonymiseret format og dermed ikke personlige, som det allerede specifikt er fastsat i forordning (EU) 2022/868. Selv hvor der anvendes avancerede anonymiseringsteknikker, er der fortsat en tilbageværende risiko for, at kapaciteten til at reidentificere den pågældende kan være eller blive tilgængelig ud over de midler, der med rimelighed kan forventes anvendt. En sådan tilbageværende risiko er til stede i forbindelse med sjældne sygdomme, dvs. en livstruende eller kronisk invaliderende lidelse, der berører højst fem ud af 10 000 personer i Unionen, hvor det begrænsede antal tilfælde mindsker muligheden for fuldt ud at aggregere de offentliggjorte data for at beskytte fysiske personers privatliv, samtidig med at der sikres en passende detaljeringsgrad, så dataene forbliver meningsfulde. En sådan tilbageværende risiko kan påvirke forskellige kategorier af sundhedsdata og kan føre til reidentifikation af de registrerede ved hjælp af andre midler end dem, der med rimelighed kan forventes at blive anvendt. En sådan risiko afhænger af detaljeringsgraden, af beskrivelsen af de registreredes karakteristika, af antallet af berørte personer, f.eks. i tilfælde af data, der indgår i elektroniske patientjournaler, sygdomsregistre, biobanker, og persongenererede data, hvor viften af identifikationskarakteristika er bredere, og af en eventuel kombination med andre oplysninger, f.eks. i meget små geografiske områder eller gennem den teknologiske udvikling af metoder, der ikke var tilgængelige på tidspunktet for anonymiseringen. En sådan reidentifikation af fysiske personer vil give anledning til stor bekymring og vil muligvis betyde, at de regler for sekundær anvendelse, der er fastsat i nærværende forordning, ikke vil blive accepteret. Desuden er aggregeringsteknikker i mindre grad afprøvet for andre oplysninger end personoplysninger, der f.eks. indeholder forretningshemmeligheder, som det er tilfældet i forbindelse med indberetning af kliniske forsøg og kliniske afprøvninger, og håndhævelse af brud på forretningshemmeligheder uden for Unionen er vanskeligere i mangel af en tilstrækkelig international beskyttelsesstandard. For disse kategorier af sundhedsdata er der derfor fortsat en risiko for reidentifikation efter anonymiseringen eller aggregeringen, som ikke med rimelighed kunne afbødes i første omgang. Dette falder ind under kriterierne i artikel 5, stk. 13, i forordning (EU) 2022/868. Disse typer sundhedsdata vil således falde ind under den beføjelse til overførsel til tredjelande, der er fastsat i nævnte forordnings artikel 5, stk. 13. De særlige betingelser, der er fastsat i den beføjelse, der er fastsat i artikel 5, stk. 13, i forordning (EU) 2022/868, vil blive præciseret i forbindelse med den delegerede retsakt, der vedtages i henhold til denne beføjelse, og skal stå i et rimeligt forhold til risikoen for reidentifikation og tage hensyn til de særlige forhold, der gør sig gældende for forskellige datakategorier eller forskellige anonymiserings- eller aggregeringsteknikker.

(93)

Behandling af store mængder personlige elektroniske sundhedsdata til de formål, der er fastsat i det europæiske sundhedsdataområde, som led i databehandlingsaktiviteter i forbindelse med behandling af ansøgninger om adgang til sundhedsdata, datatilladelser og sundhedsdataanmodninger indebærer større risiko for uautoriseret adgang til sådanne personoplysninger samt mulighed for cybersikkerhedshændelser. Personlige elektroniske sundhedsdata er særligt følsomme, da de ofte indeholder oplysninger, der er omfattet af lægelig tavshedspligt, og hvis videregivelse til uautoriserede tredjeparter kan forårsage alvorlige problemer. Under fuld hensyntagen til de principper, der er skitseret i Den Europæiske Unions Domstols retspraksis, sikrer denne forordning fuld overholdelse af de grundlæggende rettigheder, retten til privatlivets fred og proportionalitetsprincippet. For at sikre den fulde integritet og fortrolighed af personlige elektroniske sundhedsdata i henhold til denne forordning, garantere et særligt højt beskyttelsesniveau og sikkerhed og mindske risikoen for ulovlig adgang til disse personlige elektroniske sundhedsdata giver denne forordning medlemsstaterne mulighed for at kræve, at personlige elektroniske sundhedsdata udelukkende lagres og behandles i Unionen med henblik på at udføre de opgaver, der er fastsat i denne forordning, medmindre en afgørelse om tilstrækkeligheden af beskyttelsesniveauet vedtaget i henhold til artikel 45 i forordning (EU) 2016/679 finder anvendelse.

(94)

Adgang til elektroniske sundhedsdata for sundhedsdatabrugere, der er etableret i tredjelande eller for internationale organisationer bør udelukkende finde sted på grundlag af gensidighedsprincippet. Det bør kun være muligt at stille elektroniske sundhedsdata til rådighed for et tredjeland, når Kommissionen ved hjælp af en gennemførelsesretsakt har fastslået, at det pågældende tredjeland giver EU-enheder adgang til elektroniske sundhedsdata, der stammer fra det pågældende tredjeland, på de samme betingelser og med de samme garantier som ville være tilfældet, hvis de havde adgang til elektroniske sundhedsdata i Unionen. Kommissionen bør overvåge og foretage regelmæssig revision af situationen i disse tredjelande og for internationale organisationer og føre en liste over disse gennemførelsesretsakter. Hvis Kommissionen finder, at et tredjeland ikke længere sikrer adgang på de samme vilkår, bør den tilbagekalde den tilsvarende gennemførelsesretsakt.

(95)

For at fremme en ensartet anvendelse af denne forordning, herunder vedrørende grænseoverskridende interoperabilitet af elektroniske sundhedsdata, bør der oprettes et udvalg for det europæiske sundhedsdataområde. Kommissionen bør deltage i dets aktiviteter og være medformand for det. Udvalget for det europæiske sundhedsdataområde bør være i stand til at udarbejde skriftlige bidrag vedrørende en ensartet anvendelse af denne forordning i hele Unionen, herunder ved at hjælpe medlemsstaterne med at koordinere anvendelsen af elektroniske sundhedsdata i forbindelse med sundhedsydelser og certificering, men også med hensyn til sekundær anvendelse, og finansieringen til disse aktiviteter. Dette kan også omfatte udveksling af oplysninger om risici og hændelser i de sikre databehandlingsmiljøer. Udvekslingen af denne form for oplysninger berører ikke forpligtelser i henhold til andre retsakter såsom anmeldelser af brud på datasikkerheden i henhold til forordning (EU) 2016/679. Mere generelt berører aktiviteterne i udvalget for det europæiske sundhedsdataområde ikke tilsynsmyndighedernes beføjelser i henhold til forordning (EU) 2016/679. Eftersom digitale sundhedsmyndigheder på nationalt plan, der beskæftiger sig med primær anvendelse, kan være forskellige fra de organer med ansvar for adgang til sundhedsdata, som beskæftiger sig med sekundær anvendelse, er funktionerne forskellige, og der er behov for forskellige former for samarbejde på hvert af disse områder, bør udvalget for det europæiske sundhedsdataområde kunne nedsætte undergrupper, der beskæftiger sig med disse to funktioner, samt andre undergrupper efter behov. For at sikre en effektiv arbejdsmetode bør de digitale sundhedsmyndigheder og organer med ansvar for adgang til sundhedsdata oprette netværk og forbindelser på nationalt plan med andre organer og myndigheder, men også på EU-plan. Sådanne organer kan omfatte databeskyttelsesmyndigheder, cybersikkerheds-, eID- og standardiseringsorganer samt organer og ekspertgrupper i henhold til forordning (EU) 2022/868, (EU) 2023/2854 og (EU) 2024/1689 og Europa-Parlamentets og Rådets forordning (EU) 2019/881 (21). Udvalget for det europæiske sundhedsdataområde bør fungere uafhængigt, i offentlighedens interesse og i overensstemmelse med sin adfærdskodeks.

(96)

Når der drøftes spørgsmål, som ifølge udvalget for det europæiske sundhedsdataområde er af specifik relevans, bør det kunne indbyde observatører, f.eks. Den Europæiske Tilsynsførende for Databeskyttelse, repræsentanter for EU-institutionerne, herunder for Europa-Parlamentet og andre interessenter.

(97)

Der bør oprettes et interessentforum, som skal rådgive udvalget for det europæiske sundhedsdataområde i forbindelse med varetagelsen af dets opgaver ved at bidrage med input fra interessenter i anliggender, der vedrører denne forordning. Interessentforummet bør bestå af bl.a. repræsentanter for patient- og forbrugerorganisationer, sundhedsprofessionelle, industri, videnskabelige forskere og akademikere. Det bør have en balanceret sammensætning og repræsentere forskellige relevante interessenters holdninger. Både kommercielle og ikkekommercielle interesser bør være repræsenteret.

(98)

For at sikre en korrekt daglig forvaltning af de grænseoverskridende infrastrukturer til primær anvendelse og sekundær anvendelse det nødvendigt at oprette styringsgrupper bestående af repræsentanter for medlemsstaterne. Disse styringsgrupper bør træffe operationelle beslutninger om den tekniske daglige forvaltning af de grænseoverskridende infrastrukturer og deres tekniske udvikling, herunder om tekniske ændringer af infrastrukturerne, forbedring af funktioner eller tjenester eller sikring af interoperabilitet med andre infrastrukturer, digitale systemer eller dataområder. Deres aktiviteter bør ikke omfatte bidrag til udviklingen af gennemførelsesretsakter, der påvirker disse infrastrukturer. Styringsgrupperne bør også have mulighed for at indbyde repræsentanter for andre autoriserede deltagere i HealthData@EU som observatører til deres møder og bør høre relevante eksperter, når de udfører deres opgaver.

(99)

Uden at det berører andre administrative, juridiske eller udenretslige klageadgange, bør enhver fysisk eller juridisk person have ret til at indgive klage til en digital sundhedsmyndighed eller til et organ med ansvar for adgang til sundhedsdata, hvis den fysiske eller juridiske person mener, at dennes rettigheder eller interesser i henhold til nærværende forordning er blevet berørt. Med forbehold af domstolsprøvelse bør undersøgelsen af en klage i det specifikke tilfælde foretages i det omfang, det er passende. Den digitale sundhedsmyndighed eller organet med ansvar for adgang til sundhedsdata bør underrette den fysiske eller juridiske person om forløbet og resultatet af klagen inden for en rimelig frist. Hvis sagen kræver yderligere undersøgelse eller koordinering med en anden digital sundhedsmyndighed eller et organ med ansvar for adgang til sundhedsdata, bør den fysiske eller juridiske person modtage oplysninger om, hvordan klagesagsbehandlingen skrider fremad. For at lette indgivelsen af klager bør hver digital sundhedsmyndighed og hvert organ med ansvar for adgang til sundhedsdata træffe foranstaltninger såsom at stille en klageformular til rådighed, som også kan udfyldes elektronisk, uden at den udelukker muligheden for at anvende andre kommunikationsmidler. Hvis klagen vedrører fysiske personers rettigheder i forbindelse med beskyttelsen af deres personoplysninger, videresender den digitale sundhedsmyndighed eller organet med ansvar for adgang til sundhedsdata klagen til tilsynsmyndighederne i henhold til forordning (EU) 2016/679. Digitale sundhedsmyndigheder eller organer med ansvar for adgang til sundhedsdata bør samarbejde om at behandle og løse klager, herunder ved at udveksle alle relevante oplysninger ad elektronisk vej, uden unødigt ophold.

(100)

Hvis en fysisk person finder, at vedkommendes rettigheder i henhold til denne forordning er blevet krænket, bør den pågældende have ret til at give et organ, en organisation eller en sammenslutning, der ikke arbejder med gevinst for øje, som er etableret i overensstemmelse med national ret, og som har vedtægtsmæssige mål af samfundsmæssig interesse, og beskæftiger sig med beskyttelse af personoplysninger, bemyndigelse til på vedkommendes vegne at indgive en klage.

(101)

Den digitale sundhedsmyndighed, organet med ansvar for adgang til sundhedsdata, sundhedsdataindehaveren eller sundhedsdatabrugeren bør kompensere for enhver skade, som en fysisk eller juridisk person lider som følge af en overtrædelse af denne forordning. Begrebet »skade« bør fortolkes bredt i lyset af Den Europæiske Unions Domstolsretspraksis, således at det fuldt ud afspejler formålene for denne forordning. Dette berører ikke eventuelle erstatningskrav for skade som følge af overtrædelse af andre bestemmelser i EU-retten eller national ret. Fysiske personer bør modtage fuld og effektiv erstatning for den skade, de har lidt.

(102)

For at styrke håndhævelsen af reglerne i denne forordning bør der pålægges sanktioner, herunder administrative bøder, for overtrædelse af denne forordning i tillæg til eller i stedet for passende foranstaltninger, som organer med ansvar for adgang til sundhedsdata har pålagt i henhold til denne forordning. Pålæggelse af sanktioner, herunder administrative bøder, bør være omfattet af fornødne proceduremæssige garantier i overensstemmelse med de generelle principper i EU-retten og Den Europæiske Unions charter om grundlæggende rettigheder, herunder effektiv retsbeskyttelse og en retfærdig rettergang.

(103)

Der bør fastsættes bestemmelser, der gør det muligt for organer med ansvar for adgang til sundhedsdata at pålægge administrative bøder for visse overtrædelser af denne forordning, som i henhold til denne forordning bør betragtes som alvorlige overtrædelser, såsom reidentifikation af fysiske personer, download af personlige elektroniske sundhedsdata uden for det sikre databehandlingsmiljø eller behandling af data til forbudte anvendelser eller anvendelser, som ikke er omfattet af en datatilladelse. Denne forordning bør præcisere disse overtrædelser og maksimumsbeløb samt kriterier for fastsættelse af de tilknyttede administrative bøder, der bør bestemmes af det kompetente organ med ansvar for adgang til sundhedsdata i hvert enkelt tilfælde under hensyntagen til alle relevante omstændigheder i den specifikke situation navnlig under behørig hensyntagen til karakteren, alvoren og varigheden af overtrædelsen og dens konsekvenser og de foranstaltninger, der er truffet for at sikre overholdelse af forpligtelserne i henhold til denne forordning og for at forebygge eller begrænse følgerne af overtrædelsen. Med henblik på pålæggelsen af administrative bøder i henhold til denne forordning, bør begrebet virksomhed forstås i overensstemmelse med artikel 101 og 102 i TEUF. Det bør derfor være op til medlemsstaterne at bestemme, om og i hvilket omfang de offentlige myndigheder bør kunne pålægges administrative bøder. Pålæggelse af en administrativ bøde eller udstedelse af en advarsel bør ikke berørehåndhævelsen af øvrige beføjelser eller andre sanktioner hos organet med ansvar for adgang til sundhedsdata i henhold til denne forordning.

(104)

For at sikre at det europæiske sundhedsdataområde opfylder sine mål, bør beføjelsen til at vedtage retsakter delegeres til Kommissionen i overensstemmelse med artikel 290 i TEUF for så vidt angår ændringen, tilføjelsen eller fjernelsen i bilag I af de vigtigste karakteristika for de prioriterede kategorier af personlige elektroniske sundhedsdata, listen over de data, der kræves registreret af fabrikanterne af EPJ-systemer og wellnessapplikationer i EU-databasen for registrering af EPJ-systemer og wellnessapplikationer samt den ændring, tilføjelse eller fjernelse af elementer, som skal være omfattet af datakvalitets- og dataudnyttelsesmærket. Det er navnlig vigtigt, at Kommissionen gennemfører relevante høringer under sit forberedende arbejde, herunder på ekspertniveau, og at disse høringer gennemføres i overensstemmelse med principperne i den interinstitutionelle aftale af 13. april 2016 om bedre lovgivning (22). For at sikre lige deltagelse i forberedelsen af delegerede retsakter modtager Europa-Parlamentet og Rådet navnlig alle dokumenter på samme tid som medlemsstaternes eksperter, og deres eksperter har systematisk adgang til møder i Kommissionens ekspertgrupper, der beskæftiger sig med forberedelse af delegerede retsakter.

(105)

For at sikre ensartede betingelser for gennemførelsen af denne forordning bør Kommissionen tillægges gennemførelsesbeføjelser for så vidt angår:

Disse beføjelser bør udøves i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 (23).

(106)

Medlemsstaterne bør træffe alle nødvendige foranstaltninger for at sikre, at bestemmelserne i denne forordning gennemføres, herunder ved at fastsætte sanktioner for overtrædelse heraf, som er effektive, står i rimeligt forhold til overtrædelsen og har afskrækkende virkning. Medlemsstaterne bør i forbindelse med fastsættelsen af sanktionens beløb i den enkelte sag tage højde for de i denne forordning fastsatte grænser og kriterier. Reidentifikation af fysiske personer bør anses for at være en alvorlig overtrædelse af denne forordning.

(107)

Gennemførelsen af det europæiske sundhedsdataområde vil kræve et betydeligt udviklingsarbejde på tværs af medlemsstaterne og centrale tjenester. For at følge fremskridtene, der gøres i denne henseende, bør Kommissionen, indtil denne forordning anvendes fuldt ud, årligt aflægge rapport om disse fremskridt under hensyntagen til oplysninger fra medlemsstaterne. Disse rapporter kan indeholde anbefalinger om afhjælpende foranstaltninger samt en vurdering af de fremskridt, der er gjort.

(108)

Kommissionen bør foretage en evaluering af denne forordning med det formål at vurdere, om forordningens mål nås på effektiv vis, og om forordningen er sammenhængende, fortsat er relevant og skaber merværdi på EU-plan. Kommissionen bør foretage en målrettet evaluering af denne forordning senest otte år efter dens ikrafttræden og en samlet evaluering senest ti år efter dens ikrafttræden. Kommissionen bør forelægge en rapport om de vigtigste resultater efter hver evaluering for Europa-Parlamentet, Rådet, Det Europæiske Økonomiske og Sociale Udvalg og Regionsudvalget.

(109)

Med henblik på en vellykket gennemførelse af det europæiske sundhedsdataområde på tværs af grænserne bør den europæiske interoperabilitetsramme, hvis anvendelsesområde blev ajourført og udvidet ved Kommissionens meddelelse af 23. marts 2017 med titlen »Den europæiske interoperabilitetsramme — strategi for gennemførelse« for at medtage nye eller reviderede interoperabilitetskrav, betragtes som en fælles reference for at sikre juridisk, organisatorisk, semantisk og teknisk interoperabilitet.

(110)

Målene for denne forordning nemlig at styrke fysiske personer ved at give dem øget kontrol med deres personlige elektroniske sundhedsdata og støtte deres frie bevægelighed ved at sikre, at deres sundhedsdata følger dem, at fremme et ægte indre marked for digitale sundhedstjenester og -produkter og at sikre en konsekvent og effektiv ramme for videreanvendelse af fysiske personers sundhedsdata til forskning, innovation, politikudformning og reguleringsmæssige aktiviteter, kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne alene gennem koordineringsforanstaltninger, som det fremgår af evalueringen af de digitale aspekter af direktiv 2011/24/EU, men kan på grund af harmonisering af foranstaltninger vedrørende fysiske personers rettigheder i forbindelse med deres elektroniske sundhedsdata, interoperabilitet mellem elektroniske sundhedsdata og en fælles ramme for og garantier for primær anvendelse og sekundær anvendelse bedre nås på EU-plan; Unionen kan derfor vedtage foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i traktaten om Den Europæiske Union. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, går denne forordning ikke videre, end hvad der er nødvendigt for at nå disse mål.

(111)

Evalueringen af de digitale aspekter af direktiv 2011/24/EU viser at e-sundhedsnetværkets effektivitet er begrænset, men også at der er et stort potentiale for arbejde på EU-plan på området digital sundhed, som det arbejde, der blev gjort under Covid-19-pandemien, har vist. Direktiv 2011/24/EU bør derfor ændres i overensstemmelse hermed.

(112)

Denne forordning supplerer de væsentlige cybersikkerhedskrav, der er fastsat i forordning (EU) 2024/2847. EPJ-systemer, som er produkter med digitale elementer som omhandlet i forordning (EU) 2024/2847, bør derfor også opfylde de væsentlige cybersikkerhedskrav i nævnte forordning. Fabrikanterne af disse EPJ-systemer bør påvise overensstemmelse som krævet i nærværende forordning. For at lette denne overensstemmelse bør fabrikanterne have mulighed for at udarbejde et samlet sæt teknisk dokumentation, som indeholder de elementer, der kræves i begge retsakter. Det bør være muligt at påvise EPJ-systemers overensstemmelse med de væsentlige cybersikkerhedskrav, der er fastsat i forordning (EU) 2024/2847 gennem vurderingsrammen i henhold til nærværende forordning. De dele af overensstemmelsesvurderingsproceduren i henhold til nærværende forordning, der vedrører anvendelsen af testmiljøet, bør dog ikke anvendes, da disse testmiljøer ikke giver mulighed for en overensstemmelsesvurdering med de væsentlige cybersikkerhedskrav. Da forordning (EU) 2024/2847 ikke omfatter software-as-a-Service (SaaS) direkte som sådan, er EPJ-systemer, der tilbydes gennem SaaS-licens- og leveringsmodellen, ikke omfattet af nærværende forordnings anvendelsesområde. Tilsvarende er EPJ-systemer, der er udviklet og anvendes internt, ikke omfattet af nævnte forordnings anvendelsesområde, da de ikke bringes i omsætning.

(113)

EDPS og Databeskyttelsesrådet er blevet hørt i overensstemmelse med artikel 42, stk. 1 og 2 i forordning (EU) 2018/1725 og afgav deres fælles udtalelse den 12. juli 2022.

(114)

Denne forordning bør ikke berøre anvendelsen af konkurrencereglerne, særlig artikel 101 og 102 i TEUF. Foranstaltningerne i denne forordning bør ikke anvendes til at begrænse konkurrencen på en måde, der er i strid med TEUF.

(115)

Da der er behov for teknisk forberedelse, bør denne forordning anvendes fra den 26. marts 2027. For at støtte en vellykket gennemførelse af det europæiske sundhedsdataområde og skabelsen af effektive betingelser for det europæiske samarbejde om sundhedsdata bør gennemførelsen heraf finde sted trinvist —