|
23.3.2021 |
DA |
Den Europæiske Unions Tidende |
C 99/13 |
Resumé af foreløbig udtalelse fra Den Europæiske Tilsynsførende for Databeskyttelse om det europæiske sundhedsdataområde
(Udtalelsen findes i sin helhed på engelsk fransk og tysk på EDPS' websted www.edps.europa.eu)
(2021/C 99/09)
Resumétekst
Den 19. februar 2020 fremlagde Europa-Kommissionen sin meddelelse om »En europæisk strategi for data«. Denne meddelelse vedrører oprettelsen af et fælles område på sundhedsområdet, nemlig det europæiske sundhedsdataområde, præsenteret som et afgørende værktøj til forebyggelse, opdagelse og kurering af sygdomme samt til at træffe evidensbaserede beslutninger og øge adgangen til sundhedssystemerne og gøre dem mere effektive og bæredygtige.
Den tilsynsførende støtter i høj grad målene om at fremme udveksling af sundhedsdata og medicinsk forskning, men understreger nødvendigheden af, at der fra begyndelsen af oprettelsen af det europæiske sundhedsdataområde fastsættes databeskyttelsesgarantier. Med denne foreløbige udtalelse sætter den tilsynsførende således fokus på de væsentlige elementer, der bør tages i betragtning ved udviklingen af det europæiske sundhedsdataområde ud fra et databeskyttelsesperspektiv.
Den tilsynsførende opfordrer til, at der fastsættes et gennemtænkt retsgrundlag for behandlingsaktiviteterne inden for det europæiske sundhedsdataområde i overensstemmelse med databeskyttelsesforordningens artikel 6, stk. 1, og minder også om, at en sådan behandling skal overholde databeskyttelsesforordningens artikel 9 med hensyn til behandlingen af særlige kategorier af oplysninger.
Endvidere fremhæver den tilsynsførende, at som følge af den følsomme karakter af de data, der skal behandles inden for det europæiske sundhedsdataområde, skal grænserne for, hvad der udgør en lovlig behandling og en forenelig yderligere behandling af dataene, være krystalklare for alle de involverede interessenter. Gennemsigtighed og offentlig tilgængelighed af oplysningerne vedrørende behandlingen i forbindelse med det europæiske sundhedsdataområde vil derfor være afgørende for at øge offentlighedens tillid til det europæiske sundhedsdataområde.
Den tilsynsførende opfordrer også Kommissionen til at præcisere de involverede parters roller og ansvarsområder og klart identificere de præcise kategorier af data, der skal stilles til rådighed for det europæiske sundhedsdataområde. Endvidere opfordrer den tilsynsførende medlemsstaterne til at etablere mekanismer til at vurdere validiteten og kvaliteten af kilderne til dataene.
Den tilsynsførende understreger betydningen af, at der i forbindelse med det europæiske sundhedsdataområde indføres en omfattende sikkerhedsinfrastruktur, herunder både organisatoriske og avancerede tekniske sikkerhedsforanstaltninger til at beskytte de data, der overføres til det europæiske sundhedsdataområde. I denne forbindelse minder den tilsynsførende om, at konsekvensanalyser vedrørende databeskyttelse kan være et meget nyttigt redskab til at fastslå risiciene ved behandlingsaktiviteterne og de afhjælpningsforanstaltninger, der bør indføres.
Den tilsynsførende anbefaler at være særlig opmærksom på den etiske anvendelse af data inden for det europæiske sundhedsdataområde og foreslår i den forbindelse, at eksisterede etiske udvalg og deres rolle i forbindelse med national lovgivning tages i betragtning.
Den tilsynsførende er overbevist om, at det europæiske sundhedsdataområdes succes vil afhænge af, at der etableres en stærk datastyringsmekanisme, som giver tilstrækkelig sikkerhed for en lovlig, ansvarlig og etisk styring, der er forankret i EU's værdier, herunder respekten for de grundlæggende rettigheder. Styringsmekanismen bør regulere i det mindste de enheder, der får mulighed for at stille data til rådighed for det europæiske sundhedsdataområde, brugerne heraf, medlemsstaternes nationale kontaktpunkter/ godkendelsesmyndigheder og databeskyttelsesmyndigheders rolle i denne forbindelse.
Den tilsynsførende er interesseret i politiske initiativer til at opnå »digital suverænitet« og foretrækker, at data behandles af enheder, der deler europæiske værdier, herunder privatlivets fred og databeskyttelse. Endvidere opfordrer den tilsynsførende Kommissionen til at sikre, at interessenter, der deltager i det europæiske sikkerhedsdataområde, og navnlig de dataansvarlige, ikke overfører personoplysninger, medmindre der for registrerede, hvis personoplysninger overføres til et tredjeland, gælder et beskyttelsesniveau, der i det væsentlige svarer til det niveau, der er sikret i EU.
Den tilsynsførende opfordrer medlemsstaterne til at garantere en effektiv gennemførelse af retten til dataportabilitet specifikt i det europæiske sundhedsdataområde, sammen med udviklingen af de nødvendige tekniske krav. I denne henseende er den tilsynsførende af den opfattelse, at en mangelanalyse kunne være nødvendig vedrørende behovet for at integrere garantierne i henhold til databeskyttelsesforordningen med andre reguleringsforanstaltninger, f.eks. konkurrencereglerne eller etiske retningslinjer.
I. INDLEDNING OG UDTALELSENS ANVENDELSESOMRÅDE
|
1. |
Den 19. februar 2020 fremlagde Europa-Kommissionen (herefter »Kommissionen«) sin meddelelse om »En europæisk strategi for data« (1). Denne var en del af en pakke af strategiske dokumenter, herunder en meddelelse om Europas digitale fremtid i støbeskeen (2) og en hvidbog om kunstig intelligens – en europæisk tilgang til ekspertise og tillid (3). |
|
2. |
Et af de centrale initiativer i den europæiske strategi for data (herefter »datastrategi«) er at oprette fælles europæiske dataområder i strategiske sektorer og domæner af almen interesse, hvilket ville øge offentlige myndigheders og virksomheders muligheder for at få adgang til data af høj kvalitet, fremme væksten og skabe værdi. Mere generelt falder de forskellige initiativer i datastrategien i tråd med Kommissionens ambition om at holde »(...) EU på forkant med den data-agile økonomi, samtidig med at de grundlæggende værdier, som er grundlaget for de europæiske samfund, respekteres og fremmes« (4). |
|
3. |
Den tilsynsførende udsendte sin udtalelse 3/2020 om den europæiske strategi for data (herefter »udtalelse 3/2020«) i juni 2020 (5) efter en uformel høring om et udkast fra Kommissionen i januar 2019. I udtalelse 3/2020 tilkendegives den tilsynsførendes holdninger til datastrategien, og den berører navnlig visse relevante begreber ud fra et databeskyttelsesperspektiv, herunder begrebet »almenvellets interesse«, åbne data, anvendelse af data til videnskabelig forskning, dataformidlere, dataaltruisme og international datadeling. |
|
4. |
Den tilsynsførende bemærker, at e-sundhed er et centralt område af almen interesse, hvor Kommissionens datastrategi tager sigte på at oprette et fælles område, nemlig det europæiske sundhedsdataområde. I henhold til datastrategien vil det europæiske sundhedsdataområde være afgørende for forebyggelse, opdagelse og kurering af sygdomme samt for at kunne træffe evidensbaserede beslutninger med henblik på at øge sundhedssystemernes effektivitet, tilgængelighed og bæredygtighed (6). |
|
5. |
På sit nylige møde i oktober 2020 så Det Europæiske Råd også med tilfredshed på »(...) den europæiske strategi for data, som støtter EU's globale ambitioner for det digitale om at opbygge en ægte europæisk konkurrencedygtig dataøkonomi, der samtidig sikrer europæiske værdier og et højt niveau af datasikkerhed, databeskyttelse og beskyttelse af privatlivets fred. Det understreger behovet for at gøre data af høj kvalitet lettere tilgængelige og fremme og muliggøre en bedre udveksling og pooling af data samt interoperabilitet. Det Europæiske Råd ser med tilfredshed på oprettelsen af fælles europæiske dataområder i strategiske sektorer og opfordrer navnlig Kommissionen til at prioritere sundhedsdataområdet, som bør oprettes inden udgangen af 2021« (7). |
|
6. |
Den tilsynsførende støtter i høj grad målene om at fremme udveksling af sundhedsdata og forskning i nye forebyggelsesstrategier, behandlinger, lægemidler og medicinsk udstyr, men understreger også nødvendigheden af, at der fra begyndelsen fastsættes databeskyttelsesgarantier. I forbindelse med covid-19-pandemien har der i EU mere end nogen sinde været behov for, at databehandlingsprincipperne i henhold til databeskyttelsesforordningen anvendes fuldt ud. I overensstemmelse med de nylige konklusioner fra Det Europæiske Råd minder den tilsynsførende om de grundlæggende rettigheder til databeskyttelse og beskyttelse af privatlivets fred og opfordrer til, at databeskyttelsesprincipper integreres i de fremtidige e-sundhedsløsninger, der snart vil være en central del af alle europæiske e-sundhedssystemer. I denne forbindelse skal det understreges, at databeskyttelsesgarantier skal integreres i kernen af det kommende europæiske sundhedsdataområde med henblik på at sikre respekten for enkeltpersoners grundlæggende rettigheder, herunder retten til privatlivets fred og beskyttelsen af personoplysninger i artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«). |
|
7. |
Formålet med denne foreløbige udtalelse er at bidrage til Kommissionens arbejde med det fremtidige europæiske sundhedsdataområde, navnlig ved at identificere de væsentlige elementer, der bør tages i betragtning ved udviklingen af det europæiske sundhedsdataområde ud fra et databeskyttelsesperspektiv. Denne foreløbige udtalelse bør læses sammenholdt med andre relevante udtalelser fra den tilsynsførende, herunder udtalelsen om den europæiske strategi for data (8), den foreløbige udtalelse om videnskabelig forskning (9), udtalelsen om åbne data (10), udtalelsen om Europa-Kommissionens hvidbog om kunstig intelligens (11) og den tilsynsførendes udtalelse om forslaget til omarbejdning af direktivet om videreanvendelse af den offentlige sektors informationer (PSI) (12). Det er værd at understrege, at denne foreløbige udtalelse ikke foregriber en eventuel fremtidig udtalelse fra den tilsynsførende, som måtte blive afgivet i overensstemmelse med artikel 42 i forordning (EU) 2018/1725 om Kommissionens kommende lovgivningsforslag i denne forbindelse. |
IV. KONKLUSIONER OG HENSTILLINGER
På baggrund af ovenstående fremsætter den tilsynsførende følgende henstillinger:
|
46. |
støtter initiativet om at oprette et fælles europæisk sundhedsdataområde og anerkender sin afgørende rolle med hensyn til at forbedre adgangen til og kvaliteten af sundhedspleje ved at hjælpe de kompetente myndigheder med at træffe evidensbaserede politiske beslutninger og ved at støtte den videnskabelige forskning. Den tilsynsførende opfordrer imidlertid til at vedtage de nødvendige databeskyttelsesgarantier parallelt med arbejdet med at oprette det europæiske sundhedsdataområde |
|
47. |
minder om, at alle behandlingsaktiviteter som følge af oprettelsen af det europæiske sundhedsdataområde vil kræve et solidt retsgrundlag i overensstemmelse med EU's databeskyttelseslovgivning, navnlig databeskyttelsesforordningens artikel 6, stk. 1, og artikel 9 med hensyn til behandlingen af særlige kategorier af oplysninger |
|
48. |
mener, at det kommende lovgivningsinitiativ om det europæiske sundhedsdataområde også bør tage sigte på at bidrage til at mindske den nuværende fragmentering af regler, der finder anvendelse på behandlingen af sundhedsdata og på den videnskabelige forskning, og således også tage sigte på at garantere en lovlig og etisk anvendelse og videreanvendelse af data inden for det europæiske sundhedsdataområde |
|
49. |
slår til lyd for en yderligere præcisering af grænserne for, hvad der udgør en lovlig behandling og en forenelig yderligere behandling af dataene for alle interessenter, der er involveret i processen i forbindelse med det europæiske sundhedsdataområde, og en samtidig styrkelse af gennemsigtigheden af de behandlede data ved at gøre betingelserne for videreanvendelse offentligt tilgængelige |
|
50. |
finder det afgørende, at der fastsættes klare regler for medlemsstaterne med henblik på identifikationen af dataansvarlige inden for rammerne af det europæiske sundhedsdataområde, over for hvem enkeltpersoner kan udøve deres databeskyttelsesrettigheder, i overensstemmelse med den nuværende lovgivning (databeskyttelsesforordningen og forordning 2018/1725) |
|
51. |
anmoder om, at de vigtigste aktører, der er involveret, og de kategorier af data, der behandles inden for det europæiske sundhedsdataområde, identificeres klart, og finder det afgørende, at de europæiske databeskyttelsesmyndigheder klart involveres i dets tilsyn og overholdelse af databeskyttelsen |
|
52. |
opfordrer til, at der indføres en omfattende sikkerhedsinfrastruktur, herunder både organisatoriske og avancerede tekniske sikkerhedsforanstaltninger til at beskytte de følsomme data, der overføres til det europæiske sundhedsdataområde |
|
53. |
minder om den afgørende rolle, som konsekvensanalyser vedrørende databeskyttelse spiller, og anbefaler, når det er muligt, at offentliggøre resultaterne af sådanne analyser som en foranstaltning til at styrke tillid og gennemsigtighed |
|
54. |
opfordrer til, at der etableres en stærk datastyringsmekanisme, som giver tilstrækkelig sikkerhed for en lovlig, ansvarlig og etisk styring af de data, der behandles inden for det europæiske sundhedsdataområde |
|
55. |
foretrækker, at data behandles af enheder, der deler europæiske værdier, herunder privatlivets fred og databeskyttelse |
|
56. |
støtter i høj grad opnåelsen af datasuverænitet, hvor data, der generes i Europa, konverteres til værdi for europæiske virksomheder og enkeltpersoner og behandles i overensstemmelse med EU's regler og forskrifter |
|
57. |
opfordrer Kommissionen til at sikre, at interessenter, der deltager i det europæiske sikkerhedsdataområde, og navnlig de dataansvarlige, ikke overfører personoplysninger, medmindre der for registrerede, hvis personoplysninger overføres til et tredjeland, gælder et beskyttelsesniveau, der i det væsentlige svarer til det niveau, der er sikret i EU |
|
58. |
opfordrer Kommissionen til at sikre i sine lovgivningsforslag, at medlemsstaterne garanterer anvendelsen af retten til dataportabilitet sammen med udviklingen af de nødvendige tekniske krav i det europæiske sundhedsdataområde, som muliggør registreredes faktiske udøvelse af en sådan ret |
|
59. |
anbefaler, at der udføres en mangelanalyse vedrørende behovet for at integrere garantierne i henhold til databeskyttelsesforordningen med andre reguleringsforanstaltninger, f.eks. konkurrencereglerne eller etiske retningslinjer. |
Bruxelles, den 17. november 2020.
Wojciech Rafał WIEWIÓROWSKI
(1) COM(2020) 66 final, https://eur-lex.europa.eu/legal-content/DA/TXT/?uri=CELEX%3A52020DC0066&qid=1616079779765.
(2) COM(2020) 67 final, https://eur-lex.europa.eu/legal-content/DA/TXT/?uri=CELEX%3A52020DC0067&qid=1616079868154 .
(3) COM(2020) 65 final, https://eur-lex.europa.eu/legal-content/DA/TXT/?uri=CELEX%3A52020DC0065&qid=1616079912043.
(4) COM(2020) 66 final, https://eur-lex.europa.eu/legal-content/DA/TXT/?uri=CELEX%3A52020DC0066&qid=1616079779765, s. 2.
(5) EDPS Opinion 3/2020 on the European Strategy for Data https://edps.europa.eu/sites/edp/files/publication/20-06-16_opinion_data_strategy_en.pdf.
(6) COM(2020) 66 final, https://eur-lex.europa.eu/legal-content/DA/TXT/?uri=CELEX%3A52020DC0066&qid=1616079779765, s. 21.
(7) Se https://data.consilium.europa.eu/doc/document/ST-13-2020-INIT/da/pdf .
(8) EDPS Opinion 3/2020 on the European Strategy for Data https://edps.europa.eu/sites/edp/files/publication/20-06-16_opinion_data_strategy_en.pdf.
(9) EDPS Preliminary Opinion on data protection and scientific research https://edps.europa.eu/sites/edp/files/publication/20-01-06_opinion_research_en.pdf.
(10) Udtalelse fra Den Europæiske Tilsynsførende for Databeskyttelse om Europa-Kommissionens »åbne data«-pakke, herunder et forslag til direktiv om ændring af direktiv 2003/98/EF om videreanvendelse af den offentlige sektors informationer (PSI-direktivet), en meddelelse om åbne data og Kommissionens afgørelse 2011/833/EU om videreanvendelse af Kommissionens dokumenter, https://edps.europa.eu/sites/edp/files/publication/12-04-18_open_data_da.pdf.
(11) EDPS Opinion 4/2020 EDPS on the European Commission's White Paper on Artificial Intelligence – A European approach to excellence and trust https://edps.europa.eu/sites/edp/files/publication/20-06-19_opinion_ai_white_paper_en.pdf.
(12) EDPS Opinion 5/2018 on the proposal for a recast of the Public Sector Information (PSI) re-use Directive https://edps.europa.eu/sites/edp/files/publication/18-07-11_psi_directive_opinion_en.pdf.