KOMMISSIONENS GENNEMFØRELSESAFGØRELSE (EU) 2019/1765

af 22. oktober 2019

om foranstaltninger til etablering, forvaltning og drift af netværket af nationale myndigheder, der er ansvarlige for e-sundhed, og om ophævelse af gennemførelsesafgørelse 2011/890/EU

(meddelt under nummer C(2019) 7460)

(EØS-relevant tekst)

EUROPA-KOMMISSIONEN HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde,

under henvisning til Europa-Parlamentets og Rådets direktiv 2011/24/EU af 9. marts 2011 om patientrettigheder i forbindelse med grænseoverskridende sundhedsydelser (1), særlig artikel 14, stk. 3, og

ud fra følgende betragtninger:

(1)

Ved artikel 14 i direktiv 2011/24/EU fik Unionen til opgave at støtte og lette samarbejdet og udvekslingen af oplysninger mellem medlemsstater, der arbejder inden for et frivilligt netværk mellem de nationale myndigheder, der er ansvarlige for e-sundhed (i det følgende benævnt »e-sundhedsnetværket«), og som er udpeget af medlemsstaterne.

(2)	Ved Kommissionens gennemførelsesafgørelse 2011/890/EU (2) fastsættes foranstaltninger til etablering, forvaltning og drift af e-sundhedsnetværket.

(3)

Nævnte gennemførelsesafgørelse fastsætter på nuværende tidspunkt ikke hensigtsmæssige foranstaltninger med henblik på visse aspekter, der er nødvendige for, at der kan være en tilstrækkelig gennemsigtig drift af e-sundhedsnetværket, navnlig vedrørende e-sundhedsnetværkets og Kommissionens rolle i forbindelse med digitaltjenesteinfrastrukturen for e-sundhed for grænseoverskridende informationstjenester for e-sundhed og nye krav vedrørende databeskyttelse i henhold til Europa-Parlamentets og Rådets forordning (EU) 2016/679 (i det følgende benævnt »den generelle forordning om databeskyttelse«) (3), og Europa-Parlamentets og Rådets forordning (EU) 2018/1725 (4).

(4)

Der bør sikres en gennemsigtig forvaltning af e-sundhedsnetværket ved at fastsætte bestemmelser for, hvordan man bliver medlem af e-sundhedsnetværket, og hvordan man kan udtræde af det. Da deltagelse i e-sundheds-netværket er frivillig, bør medlemsstaterne kunne blive medlemmer når som helst. Af organisatoriske hensyn bør medlemsstater, der ønsker at deltage, oplyse Kommissionen om deres hensigt på forhånd.

(5)

Elektronisk kommunikation er et passende middel til hurtig og pålidelig udveksling af data mellem de medlemsstater, der deltager i e-sundhedsnetværket. Der er sket en væsentlig udvikling på dette område. Navnlig med henblik på at fremme de europæiske e-sundhedssystemers interoperabilitet blev digitaltjenesteinfrastrukturen for e-sundhed for grænseoverskridende informationstjenester for e-sundhed udviklet af de medlemsstater, som deltager i e-sundhedsnetværket, og som besluttede at udbygge deres samarbejde på dette område med støtte fra Kommissionen som et IT-værktøj til udveksling af sundhedsdata under programmet for Connecting Europe-faciliteten (5). Denne udvikling bør afspejles i denne afgørelse. Endvidere som understreget i Kommissionens meddelelse af 25. april 2018 om at sætte gang i den digitale omstilling af sundhed og pleje i det digitale indre marked, give borgerne større indflydelse og opbygge et sundere samfund (6) bør det præciseres, hvilke roller de deltagende medlemsstater og Kommissionen spiller i forbindelse med driften af digitaltjenesteinfrastrukturen for e-sundhed for grænseoverskridende informationstjenester for e-sundhed.

(6)

Formålet med digitaltjenesteinfrastrukturen for e-sundhed for grænseoverskridende informationstjenester for e-sundhed bør være at lette den grænseoverskridende udveksling af sundhedsdata mellem de medlemsstater, der deltager i e-sundhedsnetværket, som omhandlet i Rådets konklusioner af 2017 om sundhed i det digitale samfund (7) såsom patientdata indeholdt i e-recepter og patientjournaler og på sigt mere omfattende elektroniske patientjournaler samt at udvikle andre anvendelsesområder og sundhedsoplysningsområder.

(7)

Digitaltjenesteinfrastrukturen for e-sundhed for grænseoverskridende informationstjenester for e-sundhed består af centrale tjenester og generiske tjenester, jf. Europa-Parlamentets og Rådets forordning (EU) nr. 283/2014 (8). De centrale tjenester udvikles, udbredes og vedligeholdes af Europa-Kommissionen. Kerneydelserne bør sammen med de generiske tjenester muliggøre og støtte konnektivitet på tværs af Europa. De generiske tjenester udvikles, udbredes og vedligeholdes af de nationale kontaktpunkter for e-sundhed, som er udpeget af hver enkelt medlemsstat. De nationale kontaktpunkter for e-sundhed, som anvender de generiske tjenester, forbinder gennem centrale tjenesteplatforme den nationale infrastruktur med de nationale kontaktpunkter for e-sundhed fra en anden medlemsstat.

(8)

For at forbedre grænseoverskridende udveksling af sundhedsdata og opnå teknisk, semantisk og organisatorisk interoperabilitet mellem nationale e-sundhedssystemer bør e-sundhedsnetværket i tilknytning til digitaltjenesteinfrastrukturen for e-sundhed for grænseoverskridende informationstjenester for e-sundhed spille en afgørende rolle med henblik på udarbejdelse og koordination af de nødvendige fælles krav og specifikationer.

(9)

E-sundhedsnetværket udfører allerede en række aktiviteter på e-sundhedsområdet, der beskrives nærmere i dets flerårige arbejdsprogram, og har hovedsageligt til formål at yde vejledning, dele god praksis eller finde fælles måder at samarbejde på. Blandt disse aktiviteter er f.eks.: arbejde for at gøre det muligt for borgerne at deltage aktivt i forvaltningen af deres egne sundhedsdata, herunder inden for e-sundhed, m-sundhed og telemedicin, samt patienternes adgang, anvendelse og deling af deres egne sundhedsdata og patienternes digitale færdigheder på sundhedsområdet. Andre aktiviteter i netværket vedrører innovativ anvendelse af sundhedsdata, herunder big data, kunstig intelligens, udvikling af viden om sundhedspolitik, herunder i samarbejde med de berørte parter på nationalt plan og EU-plan, ydelse af vejledning om sundhedsfremme, sygdomsforebyggelse og forbedret levering af sundhedsydelser gennem bedre anvendelse af sundhedsdata. Netværket understøtter medlemsstaterne for at gøre det muligt at dele og anvende sundhedsdata og medicinske data til formål i relation til folkesundhed og forskning. I henhold til artikel 14, stk. 2, litra c), direktiv 2011/24/EU støtter netværket også medlemsstaterne i udviklingen af elektroniske identifikations- og autentifikationsforanstaltninger for at gøre det lettere at overføre data ved grænseoverskridende sundhedsydelser, navnlig med hensyn til digitaltjenesteinfrastruktur for e-sundhed for grænseoverskridende informationstjenester for e-sundhed under hensyntagen til eIDAS-rammen og andre igangværende foranstaltninger på EU-plan.

(10)

E-sundhedsnetværket arbejder også på at forbedre kontinuiteten i plejen ved at øge anvendelsen af grænseoverskridende e-sundhedstjenester, udvikle nye anvendelsesområder og sundhedsoplysningsområder ud over patientjournaler og e-recepter samt overvinde gennemførelsesudfordringer i forbindelse med interoperabilitet, databeskyttelse, datasikkerhed eller e-færdigheder for sundhedspersonale. E-sundhedsnetværket muliggør også større interoperabilitet mellem nationale informations- og kommunikationsteknologisystemer og grænseoverskridende overførsel af elektroniske sundhedsdata i grænseoverskridende sundhedsydelser ved at yde vejledning om, hvilke krav og specifikationer der bør anvendes for at opnå teknisk, semantisk og organisatorisk interoperabilitet mellem nationale digitale sundhedssystemer. Netværket arbejder på at fremme et stærkere samarbejde med hensyn til udvikling og udveksling af god praksis vedrørende nationale digitale sundhedsstrategier med henblik på at skabe konvergens for et interoperabelt e-sundhedssystem.

(11)

I udarbejdelsen af vejledning om sikkerhedsaspekter i dataudveksling bør e-sundhedsnetværket drage fordel af ekspertisen i NIS-samarbejdsgruppen, som blev nedsat ved artikel 11 i Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 (9) og Den Europæiske Unions Agentur for Net- og Informationssikkerhed (ENISA).

(12)

E-sundhedsnetværket fremmer også udvekslingen af synspunkter blandt sine medlemmer om nationale strategiske udfordringer med hensyn til nye teknologier og dataanvendelse, og det bør fremme drøftelser med andre relevante EU-fora (såsom styringsgruppen vedrørende sundhedsfremme, sygdomsforebyggelse og håndtering af ikkeoverførbare sygdomme eller rådet af medlemsstater for europæiske referencenetværk) om prioriteter, strategiske retningslinjer og deres gennemførelse.

(13)

Den 6. februar 2019 vedtog Kommissionen en henstilling om et europæisk format for udveksling af elektroniske patientjournaler (10) (i det følgende benævnt »Kommissionens henstilling«). For at fremme brugen, yderligere udvikling og anvendelsen af det europæiske format for udveksling af elektroniske patientjournaler forventes det, at e-sundhedsnetværket sammen med Kommissionen, interessenter, klinikere, patientrepræsentanter og de relevante myndigheder udvikler vejledninger, i højere grad støtter udviklingen og overvågningen af udveksling af elektroniske patientjournaler og støtter medlemsstaterne i sikring af privatlivets fred og sikkerhed ved dataudveksling. For at styrke interoperabiliteten har netværket udviklet investeringsretningslinjer (11), i hvilke det anbefales at tage højde for de standarder og specifikationer, der er omhandlet i Kommissionens henstilling, navnlig med henblik på udbudsprocedurer.

(14)

Da digitaltjenesteinfrastrukturen for e-sundhed for grænseoverskridende informationstjenester for e-sundhed er en vigtig del af netværket, bør e-sundhedsnetværkets rolle i digitaltjenesteinfrastrukturen for e-sundhed for grænseoverskridende informationstjenester for e-sundhed og i andre delte europæiske e-sundhedstjenester præciseres for at sikre gennemsigtig drift af netværket.

(15)

For at sikre en effektiv udveksling af sundhedsdata blandt medlemsstaterne bør e-sundhedsnetværket kunne arbejde hen imod at give medlemsstaterne mulighed for sådan en udveksling. Navnlig, på baggrund af opfyldelse af forudfastlagte krav og test fra og audit gennemført af Kommissionen og, hvis muligt, andre eksperter, bør e-sundhedsnetværket have mulighed for at aftale medlemsstaternes organisatoriske, semantiske og tekniske beredskab til at udveksle validerede elektroniske sundhedsdata til de vedtagne anvendelsesområder gennem deres respektive nationale kontaktpunkter for e-sundhed og deres fortsatte opfyldelse af kravene i den forbindelse.

(16)

Med henblik på en effektiv og gennemsigtig drift af netværket bør der fastsættes bestemmelser med henblik på vedtagelsen af forretningsordenen og det flerårige arbejdsprogram samt oprettelsen af undergrupper for at sikre effektiv drift af e-sundhedsnetværket. Forretningsordenen bør præcisere proceduren for beslutninger vedrørende udvekslingen af personoplysninger via digitaltjenesteinfrastrukturen for e-sundhed for grænseoverskridende informationstjenester for e-sundhed som beskrevet ovenfor.

(17)

Interesserede medlemmer af e-sundhedsnetværket kan udbygge deres samarbejde på områder, der er omfattet af netværkets opgaver. Dette samarbejde foregår på medlemsstaternes initiativ og er frivilligt. Dette er tilfældet for digitaltjenesteinfrastrukturen for e-sundhed for grænseoverskridende informationstjenester for e-sundhed og kan også være tilfældet for andre delte europæiske e-sundhedstjenester, der er udviklet inden for rammerne af e-sundhedsnetværket. Hvis medlemsstaterne vælger at udbygge deres samarbejde, bør de nå til enighed om og overholde reglerne for samarbejdet.

(18)

For at sikre gennemsigtig drift af e-sundhedsnetværket bør dets forhold til Kommissionen fastlægges navnlig i forhold til e-sundhedsnetværkets opgaver og Kommissionens rolle i den grænseoverskridende udveksling af sundhedsdata gennem digitaltjenesteinfrastrukturen for e-sundhed for grænseoverskridende informationstjenester for e-sundhed.

(19)

Behandling af personoplysninger for patienter, repræsentanter for medlemsstaterne, eksperter og observatører, som deltager i e-sundhedsnetværket, som sker under ansvar af medlemsstaterne eller andre offentlige organisationer eller organer i medlemsstaterne, bør fortages i overensstemmelse med den generelle databeskyttelsesforordning og Europa-Parlamentets og Rådets direktiv 2002/58/EF (12). Personoplysninger om repræsentanter for nationale myndigheder, der er ansvarlige for e-sundhed, andre repræsentanter for medlemsstaterne, eksperter og observatører, som deltager e-sundhedsnetværket, behandles af Kommissionen, jf. forordning (EU) 2018/1725. Behandling af personoplysninger med henblik på forvaltning og sikring af sikkerhed i de centrale tjenester i digitaltjenesteinfrastrukturen for e-sundhed for grænseoverskridende informationstjenester for e-sundhed foretaget under Kommissionens ansvar bør foretages i overensstemmelse med forordning (EU) 2018/1725.

(20)

Medlemsstaterne, som er repræsenteret af de relevante nationale myndigheder eller andre udpegede organer, fastsætter sammen formålet og måden til behandling af personoplysninger via digitaltjenesteinfrastrukturen for e-sundhed for grænseoverskridende informationstjenester for e-sundhed og er derfor dataansvarlige. De dataansvarliges respektive ansvarsområder bør defineres i en særskilt aftale. Kommissionen behandler som leverandør af tekniske og organisatoriske løsninger til digitaltjenesteinfrastrukturen for e-sundhed for grænseoverskridende informationstjenester for e-sundhed patienternes krypterede personoplysninger på vegne af medlemsstaterne mellem de nationale kontaktpunkter for e-sundhed og er derfor databehandler. I henhold til artikel 28 i den generelle forordning om databeskyttelse og artikel 29 i forordning (EU) 2018/1725 skal en databehandlers behandling være reguleret af en kontrakt eller et andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, der er bindende for databehandleren med hensyn til den dataansvarlige og som præciserer behandlingen. Denne afgørelse indeholder bestemmelser om behandlingen udført af Kommissionen som databehandler.

(21)

For at sikre lige adgang på baggrund af den generelle forordning om databeskyttelse og forordning (EU) 2018/1725 bør Kommissionen opfattes som behandler af personoplysninger i forbindelse med forvaltningen af adgang til centrale tjenester i digitaltjenesteinfrastrukturen for e-sundhed for grænseoverskridende informationstjenester for e-sundhed.

(22)	For at gøre godtgørelsesprocedurerne gennemsigtige bør der fastsættes bestemmelser for udgifterne til deltagerne i aktiviteterne i e-sundhedsnetværket.

(23)	Gennemførelsesafgørelse 2011/890/EU bør derfor ophæves og erstattes af nærværende afgørelse af hensyn til retssikkerheden og klarheden.

(24)	Foranstaltningerne i denne afgørelse er i overensstemmelse med udtalelse fra det udvalg, der er nedsat i henhold til artikel 16 i direktiv 2011/24/EU —

VEDTAGET DENNE AFGØRELSE:

Artikel 1

Genstand

Ved denne afgørelse fastsættes de nødvendige foranstaltninger til etablering, forvaltning og drift af e-sundhedsnetværket af nationale myndigheder, der er ansvarlige for e-sundhed, jf. artikel 14 i direktiv 2011/24/EU.

Artikel 2

Definitioner

1. I denne afgørelse forstås ved:

a)	»e-sundhedsnetværk«: det frivillige netværk, der forbinder nationale myndigheder, som er ansvarlige for e-sundhed, og som er udpeget af medlemsstaterne med det formål at forfølge målene i artikel 14 i direktiv 2011/24/EU

b)	»nationale kontaktpunkter for e-sundhed«: organisatoriske og tekniske gateways til grænseoverskridende informationstjenester for e-sundhed under medlemsstaternes ansvar

c)	»grænseoverskridende informationstjenester for e-sundhed«: eksisterende tjenester, der drives via nationale kontaktpunkter for e-sundhed og gennem en central tjenesteplatform, der er udviklet af Kommissionen med henblik på grænseoverskridende sundhedsydelser

»digitaltjenesteinfrastruktur for e-sundhed for grænseoverskridende informationstjenester for e-sundhed«: infrastrukturen, der muliggør driften af grænseoverskridende informationstjenester for e-sundhed via nationale kontaktpunkter for e-sundhed og den europæiske centrale tjenesteplatform. Denne infrastruktur omfatter både generiske tjenester, jf. definitionen i artikel 2, stk. 2, litra e), i forordning (EU) nr. 283/2014, som er udviklet af medlemsstaterne, og en central tjenesteplatform, jf. definitionen i samme forordnings artikel 2, stk. 2, litra d), som er udviklet af Kommissionen

e)	»andre delte europæiske e-sundhedstjenester«: digitale tjenester, der kan udvikles inden for rammerne af e-sundhedsnetværket og deles mellem medlemsstaterne

»forvaltningsmodel«: bestemmelser om udpegelse af organer, der skal deltage i beslutningstagningsprocessen vedrørende digitaltjenesteinfrastrukturen for e-sundhed for grænseoverskridende informationstjenester for e-sundhed eller andre delte europæiske e-sundhedstjenester inden for rammerne af e-sundhedsnetværket samt beskrivelse af disse processer.

2. Definitionerne i artikel 4, nr. 1), 2), 7) og 8) i forordning (EU) 2016/679 finder tilsvarende anvendelse.

Artikel 3

Medlemskab af e-sundhedsnetværket

1. Medlemmer af e-sundhedsnetværket er myndigheder i medlemsstaterne med ansvar for e-sundhed og udpeget af de medlemsstater, som deltager i e-sundhedsnetværket.

2. Medlemsstater, som ønsker at deltage i e-sundhedsnetværket, underretter skriftligt Kommissionen om:

a)	deres beslutning om at deltage i e-sundhedsnetværket

b)	den nationale myndighed med ansvar for e-sundhed, som bliver medlem af e-sundhedsnetværket, samt navnet på repræsentanten og hans/hendes suppleant.

3. Medlemsstaterne underretter skriftligt Kommissionen om følgende:

a)	deres beslutning om at udtræde af e-sundhedsnetværket

b)	ændringer i de i stk. 2, litra b) nævnte oplysninger

4. Kommissionen gør listen over medlemmer, der deltager i e-sundhedsnetværket, offentligt tilgængelig.

Artikel 4

Aktiviteter i e-sundhedsnetværket

1. I forfølgelsen af målet omhandlet i artikel 14, stk. 2, litra a), i direktiv 2011/24/EU kan e-sundhedsnetværket navnlig:

a)	lette større interoperabilitet mellem de nationale informations- og kommunikationsteknologisystemer og grænseoverskridende overførsel af elektroniske sundhedsdata i grænseoverskridende sundhedsydelser

b)	yde vejledning til medlemsstaterne, i samarbejde med andre kompetente tilsynsmyndigheder, i forbindelse med udveksling af sundhedsdata mellem medlemsstaterne og give borgerne adgang og mulighed for selv at udveksle oplysninger

c)	yde vejledning til medlemsstaterne og fremme udvekslingen af god praksis vedrørende udviklingen af forskellige digitale sundhedstjenester, såsom telemedicin, m-sundhed eller nye teknologier inden for big data og kunstig intelligens under hensyntagen til igangværende foranstaltninger på EU-plan

d)	yde vejledning til medlemsstaterne med hensyn til støtte til sundhedsfremme, sygdomsforebyggelse og bedre levering af sundhedsydelser via bedre anvendelse af sundhedsoplysninger og ved forbedring af patienternes og sundhedspersonalets digitale færdigheder

e)	yde vejledning til medlemsstaterne og fremme frivillig udveksling af bedste praksis om investeringer i digital infrastruktur

f)	yde vejledning, i samarbejde med andre relevante organer og interessenter, til medlemsstaterne om de nødvendige anvendelsesområder for klinisk interoperabilitet og værktøjer til at opnå dette

yde vejledning til medlemmerne om sikkerhed ved digitaltjenesteinfrastrukturen for e-sundhed for grænseoverskridende informationstjenester for e-sundhed eller andre delte europæiske e-sundhedstjenester, der er udviklet inden for rammerne af e-sundhedsnetværket, under hensyntagen til lovgivningen og dokumenter, der er udarbejdet på EU-plan, navnlig på sikkerhedsområdet, samt anbefalinger inden for cybersikkerhed, arbejde i tæt samarbejde med netværket og informationsgruppen om sikkerhedssamarbejde og med Den Europæiske Unions Agentur for Net- og Informationssikkerhed og eventuelt med nationale myndigheder.

2. Ved udarbejdelsen af retningslinjer vedrørende effektive metoder, der gør det muligt at anvende lægelige oplysninger med henblik på folkesundheden og forskning, jf. artikel 14, stk. 2, litra b), nr. ii), i direktiv 2011/24/EU, skal e-sundhedsnetværket tage hensyn til de vedtagne retningslinjer og evt. rådføre sig med Det Europæiske Databeskyttelsesråd. Disse retningslinjer kan også omhandle oplysninger, der er udvekslet via digitaltjenesteinfrastrukturen for e-sundhed for grænseoverskridende informationstjenester for e-sundhed eller andre delte europæiske e-sundhedstjenester.

Artikel 5

Drift af e-sundhedsnetværket

1. E-sundhedsnetværket fastsætter selv sin forretningsorden ved simpelt flertal blandt dets medlemmer.

2. E-sundheds-netværket vedtager et flerårigt arbejdsprogram og et instrument til evaluering af gennemførelsen af dette program.

3. For at udføre sine opgaver kan e-sundhedsnetværket oprette permanente undergrupper i forbindelse med specifikke opgaver, navnlig i forbindelse med digitaltjenesteinfrastrukturen for e-sundhed for grænseoverskridende informationstjenester for e-sundhed eller andre delte europæiske e-sundhedstjenester, der er udviklet inden for rammerne af e-sundhedsnetværket.

4. E-sundhedsnetværket kan også oprette midlertidige undergrupper, herunder med eksperter, for at undersøge specifikke spørgsmål på baggrund af den referenceramme, som e-sundhedsnetværket selv har defineret. Disse undergrupper opløses, når deres mandat er opfyldt.

5. Når medlemmer af e-sundhedsnetværket beslutter at styrke deres samarbejde inden for visse områder, der er omfattet af e-sundhedsnetværkets opgaver, bør de enes om og forpligte sig for så vidt angår reglerne for det styrkede samarbejde.

6. For at opfylde sine mål skal e-sundhedsnetværket arbejde tæt sammen med de fælles aktioner, som støtter e-sundhedsnetværkets aktiviteter, hvor sådanne fælles aktioner findes, med interessenter eller andre berørte organer eller støttemekanismer og skal tage højde for de resultater, der er opnået inden for rammerne af disse aktiviteter.

7. E-sundhedsnetværket skal sammen med Kommissionen udarbejde forvaltningsmodeller for digitaltjenesteinfrastrukturen for e-sundhed for grænseoverskridende informationstjenester for e-sundhed og deltage i forvaltningen ved at:

i)	aftale fælles prioriteter for digitaltjenesteinfrastrukturen for e-sundhed og overvågning af driften heraf

ii)	opstille retningslinjer og krav til driften, herunder udvælge standarder til digitaltjenesteinfrastrukturen for e-sundhed for de grænseoverskridende informationstjenester for e-sundhed

iii)

aftale, hvorvidt det bør være muligt for medlemmerne af e-sundhedsnetværket at udveksle elektroniske sundhedsdata via digitaltjenesteinfrastrukturen for e-sundhed for grænseoverskridende informationstjenester for e-sundhed via deres nationale kontaktpunkter for e-sundhed på baggrund af deres overholdelse af de krav, der er fastsat af e-netværket, som evalueret i test og kontroller foretaget af Kommissionen

iv)	godkende den årlige arbejdsplan for digitaltjenesteinfrastrukturen for e-sundhed for de grænseoverskridende informationstjenester for e-sundhed.

8. E-sundhedsnetværket kan i samarbejde med Kommissionen udarbejde forvaltningsmodeller for andre delte europæiske e-sundhedstjenester, der er udviklet inden for rammerne af e-sundhedsnetværket, og deltage i forvaltningen heraf. Netværket kan også i samarbejde med Kommissionen opstille prioriteter og udarbejde retningslinjer for driften af delte europæiske e-sundhedstjenester.

9. Forretningsordenen kan fastsætte, at andre lande end medlemsstaterne, der anvender direktiv 2011/24/EU, kan deltage i møder i E-sundhedsnetværket som observatører.

10. Medlemmer af e-netværket og deres repræsentanter samt de indbudte eksperter og observatører skal overholde bestemmelserne om tavshedspligt, som er fastsat i artikel 339 i traktaten, samt Kommissionens regler for sikkerhedsbeskyttelse af EU's klassificerede informationer, jf. Kommissionens afgørelse (EU, Euratom) 2015/444 (13). Tilsidesætter de disse forpligtelser, kan formanden for e-sundhedsnetværket træffe alle relevante foranstaltninger som fastsat i forretningsordenen.

Artikel 6

Forhold mellem e-sundhedsnetværket og Kommissionen

1. Kommissionen skal:

a)	sammen med medlemmernes repræsentanter deltage i og fungere som medformand ved møderne i e-sundhedsnetværket

b)	samarbejde med og yde støtte til e-sundhedsnetværket i forbindelse med dets aktiviteter

c)	varetage e-sundhedsnetværkets sekretariatsopgaver

d)	udarbejde, gennemføre og opretholde passende tekniske og organisatoriske foranstaltninger i forbindelse med de centrale tjenester i digitaltjenesteinfrastrukturen for e-sundhed for grænseoverskridende informationstjenester for e-sundhed

støtte e-sundhedsnetværket ved konstatering af, at de nationale kontaktpunkter for e-sundhed i teknisk og organisatorisk forstand overholder kravene til grænseoverskridende udveksling af sundhedsoplysninger ved at foretage de nødvendige test og audit. Eksperter fra medlemsstaterne kan bistå Kommissionens auditører.

2. Kommissionen kan deltage i møder i e-sundhedsnetværkets undergrupper.

3. Kommissionen kan rådføre sig med e-sundhedsnetværket vedrørende e-sundhed på EU-plan og bedste praksis for udveksling af e-sundhed.

4. Kommissionen gør oplysninger om aktiviteter udført af e-sundhedsnetværket offentligt tilgængelige.

Artikel 7

Databeskyttelse

1. Medlemsstaterne, som er repræsenteret af de relevante nationale myndigheder eller andre udpegede organer, betragtes som dataansvarlige for de personoplysninger, de behandler via digitaltjenesteinfrastrukturen for e-sundhed for grænseoverskridende informationstjenester for e-sundhed, og fordeler på en tydelig og gennemsigtig måde opgaverne mellem de dataansvarlige.

2. Kommissionen betragtes som databehandler for patienternes personoplysninger, der behandles via digitaltjenesteinfrastrukturen for e-sundhed for grænseoverskridende informationstjenester for e-sundhed. I sin egenskab af databehandler forvalter Kommissionen de centrale tjenester i digitaltjenesteinfrastrukturen for e-sundhed for grænseoverskridende informationstjenester for e-sundhed og overholder forpligtelserne for databehandlere, jf. bilaget til denne afgørelse. Kommissionen har ikke adgang til patienternes personoplysninger, der behandles via digitaltjenesteinfrastrukturen for e-sundhed for grænseoverskridende informationstjenester for e-sundhed.

3. Kommissionen betragtes som ansvarlig for behandling af de personoplysninger, der er nødvendige for at give og forvalte adgangsrettigheder til de centrale tjenester i digitaltjenesteinfrastrukturen for e-sundhed for grænseoverskridende informationstjenester for e-sundhed. Disse oplysninger omfatter kontaktoplysninger på brugerne, herunder navn, efternavn og e-mailadresse og deres tilhørsforhold.

Artikel 8

Udgifter

1. Kommissionen yder ikke vederlag for det arbejde, der udføres af deltagerne i forbindelse med e-sundhedsnetværkets aktiviteter.

2. Deltagernes rejse- og opholdsudgifter i forbindelse med e-sundhedsnetværkets aktiviteter refunderes af Kommissionen i overensstemmelse med de gældende bestemmelser i Kommissionen om godtgørelse af eksterne personer, der af Kommissionen indkaldes som eksperter. Disse udgifter refunderes inden for rammerne af de disponible midler, der afsættes til formålet som led i den årlige procedure for tildeling af ressourcer.

Artikel 9

Ophævelse

Gennemførelsesafgørelse 2011/890/EU ophæves. Henvisninger til den ophævede gennemførelsesafgørelse gælder som henvisninger til denne afgørelse.

Artikel 10

Adressater

Denne afgørelse er rettet til medlemsstaterne.

Udfærdiget i Bruxelles, den 22. oktober 2019.

På Kommissionens vegne

Vytenis ANDRIUKAITIS

Medlem af Kommissionen

(1) EUT L 88 af 4.4.2011, s. 45.

(2) Kommissionens gennemførelsesafgørelse 2011/890/EU af 22. december 2011 om foranstaltninger til etablering, forvaltning og drift af netværket af nationale myndigheder, der er ansvarlige for e-sundhed (EUT L 344 af 28.12.2011, s. 48).

(3) Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1).

(4) Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39).

(5) Europa-Parlamentets og Rådets forordning (EU) nr. 1316/2013 af 11. december 2013 om oprettelse af Connecting Europe-faciliteten, om ændring af forordning (EU) nr. 913/2010 og om ophævelse af forordning (EF) nr. 680/2007 og (EF) nr. 67/2010 (EUT L 348 af 20.12.2013, s. 129).

(6) Kommissionens meddelelse om at sætte gang i den digitale omstilling af sundhed og pleje i det digitale indre marked, give borgerne større indflydelse og opbygge et sundere samfund (COM(2018) 233 final, s. 7).

(7) Rådets konklusioner om sundhed i det digitale samfund — fremskridt med datadrevet innovation på sundhedsområdet (2017/C 440/05, punkt 30).

(8) Europa-Parlamentets og Rådets forordning (EU) nr. 283/2014 af 11. marts 2014 om retningslinjer for transeuropæiske net inden for telekommunikationsinfrastruktur og om ophævelse af beslutning nr. 1336/97/EF (EUT L 86 af 21.3.2014, s. 14).

(9) Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen (EUT L 194 af 19.7.2016, s. 1).

(10) Kommissionens henstilling (EU) 2019/243 af 6. februar 2019 om et europæisk format for udveksling af elektroniske patientjournaler (EUT L 39 af 11.2.2019, s. 18).

(11) https://ec.europa.eu/health/sites/health/files/ehealth/docs/ev_20190611_co922_en.pdf.

(12) Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktivet om databeskyttelse inden for elektronisk kommunikation) (EFT L 201 af 31.7.2002, s. 37).

(13) Kommissionens afgørelse (EU, Euratom) 2015/444 af 13. marts 2015 om reglerne for sikkerhedsbeskyttelse af EU's klassificerede informationer (EUT L 72 af 17.3.2015, s. 53).

BILAG

Kommissionens ansvar som databehandler for digitaltjenesteinfrastrukturen for e-sundhed for grænseoverskridende informationstjenester for e-sundhed

Kommissionen skal:

sørge for og sikre en sikker og pålidelig kommunikationsinfrastruktur, der forbinder netværk af de medlemmer af e-sundhedsnetværket, der er involveret digitaltjenesteinfrastrukturen for e-sundhed for grænseoverskridende informationstjenester for e-sundhed (»central sikker kommunikationsinfrastruktur«). Kommissionen kan for at opfylde sine forpligtelser inddrage tredjeparter. Kommissionen skal sikre, at der gælder samme databeskyttelsesforpligtelser for disse tredjeparter som fastsat i denne afgørelse

2)	konfigurere en del af den centrale sikre kommunikationsinfrastruktur, så de nationale kontaktpunkter for e-sundhed kan udveksle oplysninger sikkert, pålideligt og effektivt.

3)	Kommissionen behandler personoplysninger efter dokumenterede instrukser fra de dataansvarlige

træffe organisatoriske, fysiske og logiske sikkerhedsforanstaltninger for at vedligeholde den centrale sikre kommunikationsinfrastruktur. Kommissionen skal med henblik herpå:

a)	udpege en enhed, der er ansvarlig for sikkerhedsstyring på niveauet for central sikker kommunikationsinfrastruktur, kommunikere enhedens oplysninger til de dataansvarlige og sikre, at enheden kan reagere på sikkerhedstrusler

b)	påtage sig ansvaret for sikkerheden i den centrale sikre kommunikationsinfrastruktur

c)	sikre, at alle, der får adgang til den centrale sikre kommunikationsinfrastruktur, er underlagt kontraktlig, professionel eller lovbestemt tavshedspligt

d)	sikre, at personale med adgang til klassificerede oplysninger opfylder de tilsvarende kriterier for sikkerhed og tavshedspligt

træffe alle nødvendige sikkerhedsforanstaltninger til at undgå at kompromittere driften af den andens domæne. Kommissionen skal til dette formål fastsætte specifikke procedurer i tilknytning til forbindelsen til den centrale sikre kommunikationsinfrastruktur. Disse oplysninger omfatter:

a)	risikovurderingsprocedure — til identificering og vurdering af mulige trusler mod systemet

audit- og kontrolprocedure til:

i)	kontrol af korrespondance mellem de gennemførte sikkerhedsforanstaltninger og sikkerhedspolitik i anvendelse

ii)	regelmæssig kontrol af integriteten af systemfiler, sikkerhedsparametre og udstedte tilladelser

iii)	overvågning med henblik på afsløring af brud på sikkerheden og indtrængen

iv)	gennemførelse af ændringer for at forhindre eksisterende sikkerhedsproblemer og

v)	fastlæggelse af betingelser, under hvilke der gives tilladelse, herunder på anmodning fra dataansvarlige, og bidrage til udførelsen af uafhængige audit, herunder inspektioner, og gennemgang af sikkerhedsforanstaltninger

c)	ændring af kontrolproceduren til dokumentation og måling af virkningen af en ændring, før den gennemføres, og underretning af de nationale kontaktpunkter for e-sundhed om ændringer, der kan påvirke kommunikationen med og/eller sikkerheden af andre nationale infrastrukturer

d)	vedligeholdelses- og reparationsprocedure til præcisering af bestemmelser og betingelser, som skal følges ved vedligeholdelse og/eller reparation af udstyr

procedure for sikkerhedsrelaterede hændelser til fastlæggelse af rapporterings- og eskaleringsordningen, omgående underretning af den ansvarlige nationale administration, samt Den Europæiske Tilsynsførende for Databeskyttelse om brud på sikkerheden og fastlæggelse af en disciplinær proces til håndtering af brud på sikkerheden

fysiske og/eller logiske sikkerhedsforanstaltninger for de faciliteter, som opbevarer udstyret til den centrale sikre kommunikationsinfrastruktur, og for kontrollen af adgangen til logiske data og sikkerhed. Kommissionen skal med henblik herpå:

a)	håndhæve den fysiske sikkerhed for at oprette særlige sikkerhedsområder og muliggøre afsløring af brud

b)	kontrollere adgang til faciliteterne og vedligeholde et besøgsregister med henblik på sporing

c)	sikre, at eksterne personer med adgang til området ledsages af behørigt bemyndigede medarbejdere fra den respektive organisation

d)	sikre, at udstyr ikke kan tilføjes, erstattes eller fjernes uden forudgående godkendelse af de udpegede ansvarlige organer

e)	kontrollere adgang fra og til andre netværk, der er forbundet med den centrale sikre kommunikationsinfrastruktur

f)	sikre, at alle, der har adgang til den centrale sikre kommunikationsinfrastruktur, identificeres og autentificeres

g)	gennemgå godkendelsesrettighederne i forbindelse med adgang til den centrale sikre kommunikationsinfrastruktur, i tilfælde af at et sikkerhedsbrug har betydning for denne infrastruktur

h)	fastholde integriteten i de overførte oplysninger gennem den centrale sikre kommunikationsinfrastruktur

i)	gennemføre tekniske og organisatoriske sikkerhedsforanstaltninger for at forhindre uautoriseret adgang til personoplysninger

j)	om nødvendigt gennemføre foranstaltninger for at blokere uautoriseret adgang til den centrale sikre kommunikationsinfrastruktur fra domænet for de nationale kontaktpunkter for e-sundhed (dvs. blokere en lokation/IP-adresse).

7)	træffe foranstaltninger til beskyttelse af sit domæne, herunder fjerne forbindelser, hvis der er væsentlig afvigelse fra principper og koncepter for kvalitet og sikkerhed

8)	opstille en risikostyringsplan i forbindelse med sit ansvarsområde

9)	overvåge — i realtid — udførelsen af alle servicekomponenter af sine centrale sikre kommunikationsinfrastrukturtjenester, udarbejde regelmæssige statistikker og føre registre

10)

yde støtte til alle centrale sikre kommunikationsinfrastrukturtjenester på engelsk 24/7 via telefon, e-mail eller webportal og modtage opkald fra autoriserede personer: Koordinatorer af den centrale sikre kommunikationsinfrastruktur og deres respektive helpdeske, projektledere og udpegede personer fra Kommissionen.

11)

yde støtte til de dataansvarlige ved at levere oplysninger vedrørende den centrale sikre kommunikationsinfrastruktur for digitaltjenesteinfrastrukturen for e-sundhed for grænseoverskridende informationstjenester for e-sundhed for at gennemføre forpligtelserne i artikel 35 og 36 i forordning (EU) 2016/679

12)	sikre, at oplysninger overført inden for den centrale sikre kommunikationsinfrastruktur er krypterede

13)	træffe alle relevante foranstaltninger for at forhindre, at operatører af den centrale sikre kommunikationsinfrastruktur har uautoriseret adgang til overførte oplysninger

14)	træffe foranstaltninger for at fremme interoperabiliteten og kommunikationen mellem den centrale sikre kommunikationsinfrastrukturs udpegede nationale kompetente myndigheder.