BEGRUNDELSE

1.BAGGRUND FOR FORSLAGET

•Forslagets begrundelse og formål

I den europæiske strategi for data 1 blev det foreslået at oprette områdespecifikke fælles europæiske dataområder. Det europæiske sundhedsdataområde er det første forslag om sådanne områdespecifikke fælles europæiske dataområder. Det vil tackle sundhedsspecifikke udfordringer i forbindelse med elektronisk adgang til og udveksling af sundhedsdata, er en af Kommissionens prioriteter på sundhedsområdet 2 og vil være en integreret del af opbygningen af en europæisk sundhedsunion. Det europæiske sundhedsdataområde vil skabe et fælles rum, hvor fysiske personer let kan kontrollere deres elektroniske sundhedsdata. Det vil også gøre det muligt for forskere, innovatorer og politiske beslutningstagere at anvende disse elektroniske sundhedsdata på en pålidelig og sikker måde, der beskytter privatlivets fred.

I dag er det svært for fysiske personer at udøve deres rettigheder over deres elektroniske sundhedsdata, herunder adgang til og overførsel af dem nationalt og på tværs af grænserne. Dette er til trods for bestemmelserne i forordning (EU) 2016/679 ("databeskyttelsesforordningen") 3 , som beskytter fysiske personers rettigheder til deres data, herunder sundhedsdata. Som det fremgår af undersøgelsen, der vurderer EU-medlemsstaternes regler om sundhedsdata i lyset af databeskyttelsesforordningen 4 , skaber medlemsstaternes uensartede gennemførelse og fortolkning af forordningen betydelig juridisk usikkerhed, hvilket resulterer i hindringer for den sekundære anvendelse af elektroniske sundhedsdata. Det skaber således visse situationer, hvor fysiske personer ikke kan få adgang til innovative behandlinger, og politiske beslutningstagere ikke effektivt kan sætte ind over for en sundhedskrise på grund af hindringer, der står i vejen for forskeres, innovatorers, lovgiveres og politiske beslutningstageres adgang til de nødvendige elektroniske sundhedsdata. På grund af forskellige standarder og begrænset interoperabilitet møder fabrikanter af digitale sundhedsprodukter og udbydere af digitale sundhedstjenester, der opererer i én medlemsstat, desuden hindringer og yderligere omkostninger, når de forsøger at komme på markedet i en anden medlemsstat.

Derudover har covid-19-pandemien yderligere vist betydningen af elektroniske sundhedsdata for udviklingen af politikker som reaktion på sundhedskriser. Den har også vist, at det er bydende nødvendigt at sikre rettidig adgang til personlige elektroniske sundhedsdata med henblik på beredskab og indsats over for sundhedstrusler samt behandling, men også til forskning, innovation, patientsikkerhed, lovgivningsmæssige formål, politikudformning, statistiske formål eller personlige lægemidler. Det Europæiske Råd har erkendt, at det haster med at gøre fremskridt med og prioritere det europæiske sundhedsdataområde.

Det overordnede mål er at sikre, at fysiske personer i EU har større kontrol med deres elektroniske sundhedsdata. Det skal også sikre en retlig ramme bestående af pålidelige styringsmekanismer i EU og medlemsstaterne og et sikkert databehandlingsmiljø. Dette vil gøre det muligt for forskere, innovatorer, politiske beslutningstagere og lovgivere på EU- og medlemsstatsniveau at få adgang til relevante elektroniske sundhedsdata for at fremme bedre diagnose, behandling og trivsel for fysiske personer og føre til bedre og velinformerede politikker. Det har også til formål at bidrage til et ægte indre marked for digitale sundhedsprodukter og -tjenester ved at harmonisere reglerne og dermed øge sundhedssystemernes effektivitet.

Artikel 14 i direktiv 2011/24/EU om patientrettigheder i forbindelse med grænseoverskridende sundhedsydelser ("direktivet om grænseoverskridende sundhedsydelser") 5 indeholdt den første henvisning til e-sundhed i EU-lovgivningen. Som anført i den konsekvensanalyse, der ledsager denne forordning om det europæiske sundhedsdataområde, er de relevante bestemmelser i direktivet om grænseoverskridende sundhedsydelser imidlertid frivillige. Dette forklarer delvis, hvorfor dette aspekt af direktivet har vist sig at være mindre effektivt med hensyn til at støtte fysiske personers kontrol over deres personlige elektroniske sundhedsdata på nationalt og grænseoverskridende plan og meget lidt effektivt med hensyn til sekundær anvendelse af elektroniske sundhedsdata. Covid-19-pandemien har afsløret det presserende behov og det store potentiale for interoperabilitet og harmonisering, der bygger på eksisterende teknisk ekspertise på nationalt plan. Samtidig er digitale sundhedsprodukter og -tjenester, herunder telemedicin, blevet en integreret del af leveringen af sundhedsydelser.

Evalueringen af de digitale aspekter af direktivet om grænseoverskridende sundhedsydelser vedrørte covid-19-pandemien og forordning (EU) 2021/953 om EU's digitale covidcertifikat 6 . Denne tidsbegrænsede forordning omhandler restriktioner for den frie bevægelighed, der er indført som følge af covid-19. Evalueringen viser, at det kan være gavnligt med retlige bestemmelser, der støtter harmonisering og en fælles EU-tilgang til anvendelse af elektroniske sundhedsdata til specifikke formål (i modsætning til frivillige foranstaltninger) og EU's bestræbelser på at sikre juridisk, semantisk og teknisk interoperabilitet 7 . De kan navnlig i høj grad støtte den frie bevægelighed for fysiske personer og fremme EU som en aktør, der sætter standarden globalt inden for digital sundhed.

Det europæiske sundhedsdataområde vil også fremme bedre udveksling af og adgang til forskellige typer elektroniske sundhedsdata, herunder elektroniske patientjournaler, genomdata, patientregistre osv. Det vil ikke kun støtte leveringen af sundhedsydelser (tjenester og personale, der er involveret i levering af sundhedsydelser eller primær anvendelse af elektroniske sundhedsdata), men vil også støtte sundhedsforskning, innovation, politikudformning, lovgivningsmæssige formål og personlige lægemidler (sekundær anvendelse af elektroniske sundhedsdata). Det vil også indføre mekanismer for dataaltruisme i sundhedssektoren. Det europæiske sundhedsdataområde vil bidrage til at virkeliggøre Kommissionens vision for EU's digitale omstilling inden 2030, målet med det digitale kompas 8 om at give 100 % af fysiske personer adgang til deres lægejournaler samt erklæringen om digitale principper 9 .

•Sammenhæng med de gældende regler på samme område

Grænseoverskridende udveksling af elektroniske sundhedsdata er til en vis grad omhandlet i direktivet om grænseoverskridende sundhedsydelser, navnlig i artikel 14 om e-sundhedsnetværket. Det blev oprettet i 2011 og er et frivilligt organ på europæisk plan bestående af eksperter i digital sundhed fra alle medlemsstater samt Island og Norge. De arbejder på at fremme interoperabilitet mellem elektroniske sundhedsdata i hele EU og på at udvikle retningslinjer såsom semantiske og tekniske standarder, datasæt og beskrivelser af infrastrukturer. Evalueringen af de digitale aspekter af direktivet om grænseoverskridende sundhedsydelser bemærkede dette arbejdes og retningslinjernes frivillige karakter. Det forklarer, hvorfor de har haft en ret begrænset effekt med hensyn til at fremme fysiske personers adgang til og kontrol over deres elektroniske sundhedsdata. Det europæiske sundhedsdataområde har til formål at løse disse problemer.

Det europæiske sundhedsdataområde bygger på lovgivning som databeskyttelsesforordningen, forordning (EU) 2017/745 om medicinsk udstyr 10 og forordning (EU) 2017/746 om medicinsk udstyr til in vitro-diagnostik 11 , den foreslåede retsakt om kunstig intelligens 12 , den foreslåede forordning om datastyring 13 og den foreslåede dataforordning 14 , direktiv 2016/1148 om sikkerheden for net- og informationssystemer ("NIS-direktivet") 15 og direktivet om grænseoverskridende sundhedsydelser.

I betragtning af at en betydelig mængde af de elektroniske data, der skal tilgås i det europæiske sundhedsdataområde, er personlige sundhedsdata om fysiske personer i EU, er forslaget udformet i fuld overensstemmelse ikke blot med databeskyttelsesforordningen, men også med forordning (EU) 2018/1725 ("EU-databeskyttelsesforordningen") 16 . Databeskyttelsesforordningen giver ret til adgang, portabilitet og adgang/videregivelse til en ny dataansvarlig. Den udpeger også helbredsoplysninger som en "særlig kategori af oplysninger" og giver dem en særlig beskyttelse ved at indføre yderligere garantier for behandlingen af dem. Det europæiske sundhedsdataområde støtter gennemførelsen af de rettigheder, der er nedfældet i databeskyttelsesforordningen, og som finder anvendelse på elektroniske sundhedsdata. Dette gælder uanset medlemsstat, type sundhedstjenesteyder, kilder til elektroniske sundhedsdata eller den fysiske persons forsikringsmedlemsstat. Det europæiske sundhedsdataområde bygger på de muligheder, som databeskyttelsesforordningen giver for en EU-lovgivning om anvendelse af personlige elektroniske sundhedsdata til medicinsk diagnose, levering af sundhedsydelser eller behandling eller forvaltning af sundhedssystemer og -tjenester. Det gør det også muligt at anvende elektroniske sundhedsdata til videnskabelig eller historisk forskning, officielle statistiske formål og varetagelse af offentlighedens interesse på folkesundhedsområdet, f.eks. beskyttelse mod alvorlige grænseoverskridende sundhedstrusler eller sikring af høje standarder for sundhedsplejens og lægemidlers eller medicinsk udstyrs kvalitet og sikkerhed. Det europæiske sundhedsdataområde omfatter yderligere bestemmelser for at fremme interoperabilitet og styrker fysiske personers ret til dataportabilitet i sundhedssektoren.

Inden for rammerne af den europæiske sundhedsunion vil det europæiske sundhedsdataområde støtte det arbejde, der udføres af Den Europæiske Myndighed for Kriseberedskab og -indsats på Sundhedsområdet (HERA) 17 , den europæiske kræfthandlingsplan 18 , EU's kræftmission 19 og lægemiddelstrategien for Europa 20 . Det europæiske sundhedsdataområde vil skabe et juridisk og teknisk miljø, der vil støtte udviklingen af innovative lægemidler og vacciner samt medicinsk udstyr og in vitro-diagnostik. Dette vil bidrage til at forebygge, opdage og hurtigt sætte ind over for sundhedskriser. Desuden vil det europæiske sundhedsdataområde bidrage til at forbedre forståelse, forebyggelse, tidlig påvisning, diagnosticering, behandling og overvågning af kræft gennem EU's grænseoverskridende sikre adgang og deling mellem sundhedstjenesteydere, herunder data vedrørende kræft for fysiske personer. Ved at give sikker adgang til en bred vifte af elektroniske sundhedsdata vil det europæiske sundhedsdataområde derfor åbne nye muligheder for sygdomsforebyggelse og behandling af fysiske personer.

Forslaget om det europæiske sundhedsdataområde bygger også på de krav, der er blevet pålagt software gennem forordningen om medicinsk udstyr og den foreslåede retsakt om kunstig intelligens. Software til medicinsk udstyr skal allerede certificeres i henhold til forordningen om medicinsk udstyr, og AI-baseret medicinsk udstyr og andre AI-systemer vil også skulle opfylde kravene i retsakten om kunstig intelligens, når den er trådt i kraft. Der er imidlertid konstateret et hul i lovgivningen med hensyn til informationssystemer, der anvendes på sundhedsområdet, også kaldet elektroniske patientjournalsystemer ("EPJ-systemer"). Der fokuseres derfor på disse EPJ-systemer, der skal anvendes til at lagre og dele elektroniske sundhedsdata om fysiske personer. Derfor fastsætter det europæiske sundhedsdataområde væsentlige krav specifikt til EPJ-systemer med henblik på at fremme interoperabiliteten og dataportabiliteten i et sådant system, hvilket vil gøre det muligt for fysiske personer at kontrollere deres elektroniske sundhedsdata mere effektivt. Hvis fabrikanter af medicinsk udstyr og højrisiko-AI-systemer angiver, at deres systemer er interoperable med EPJ-systemerne, skal de desuden opfylde de væsentlige krav til interoperabilitet i henhold til forordningen om det europæiske sundhedsdataområde.

Når det europæiske sundhedsdataområde udstikker en ramme for sekundær anvendelse af elektroniske sundhedsdata, bygger det på den foreslåede forordning om datastyring og den foreslåede dataforordning. Som horisontal ramme fastsætter forordningen om datastyring kun generelle betingelser for sekundær anvendelse af data fra den offentlige sektor uden at skabe en reel ret til sekundær anvendelse af sådanne data. Den foreslåede dataforordning forbedrer portabiliteten af visse brugergenererede data, som kan omfatte sundhedsdata, men fastsætter ikke regler for alle sundhedsdata. Det europæiske sundhedsdataområde supplerer derfor disse foreslåede retsakter og fastsætter mere specifikke regler for sundhedssektoren. Disse specifikke regler omfatter udveksling af elektroniske sundhedsdata og kan påvirke udbydere af datadelingstjenester, formater, der sikrer portabilitet af sundhedsdata, samarbejdsregler for dataaltruisme på sundhedsområdet og komplementaritet med hensyn til adgang til private data til sekundær anvendelse.

NIS-direktivet fastsætter de første EU-regler om cybersikkerhed. Dette direktiv er ved at blive revideret ("NIS2-forslaget" 21 ), og forslaget er i øjeblikket genstand for forhandlinger med medlovgiverne. Det har til formål at hæve EU's fælles ambitionsniveau for den lovgivningsmæssige ramme for cybersikkerhed gennem et bredere anvendelsesområde, klarere regler og stærkere tilsynsværktøjer. Kommissionens forslag behandler disse spørgsmål på tværs af tre søjler: 1) medlemsstaternes kapaciteter, 2) risikostyring, 3) samarbejde og informationsudveksling. Operatører i sundhedssystemet er fortsat omfattet af anvendelsesområdet. Det europæiske sundhedsdataområde øger sikkerheden og tilliden til den tekniske ramme, der er udformet med henblik på at lette udvekslingen af elektroniske sundhedsdata til både primær og sekundær anvendelse.

Et forslag til en retsakt om cyberrobusthed forventes også at blive vedtaget af Kommissionen i 2022 med det formål at fastsætte horisontale cybersikkerhedskrav for digitale produkter og accessoriske tjenester. Det påtænkte sæt væsentlige cybersikkerhedskrav, der skal fastsættes i retsakten om cyberrobusthed, vil blive anvendt på alle sektorer og kategorier af digitale produkter, som producenter og leverandører skal overholde, inden produkterne bringes i omsætning eller, alt efter hvad der er relevant, når de tages i brug, og også gennem hele produktets livscyklus. Disse krav vil være af generel karakter og teknologineutrale. Sikkerhedskravene i det europæiske sundhedsdataområde, navnlig med hensyn til EPJ-systemerne, indeholder mere specifikke krav på visse områder, såsom adgangskontrol.

Det europæiske sundhedsdataområde bygger på det nye forslag om en europæisk digital identitet 22 med forbedringerne inden for elektronisk identifikation, herunder den digitale ID-tegnebog. Dette vil give mulighed for at implementere bedre mekanismer til online- og offlineidentifikation af fysiske personer og sundhedsprofessionelle.

•Sammenhæng med Unionens politik på andre områder

Dette forslag er i overensstemmelse med EU's overordnede mål. Disse omfatter opbygning af en stærkere europæisk sundhedsunion, gennemførelse af den europæiske søjle for sociale rettigheder, forbedring af det indre markeds funktion, fremme af synergier med EU's dagsorden for det digitale indre marked og gennemførelse af en ambitiøs forsknings- og innovationsdagsorden. Desuden vil det indføre vigtige elementer, der bidrager til oprettelsen af den europæiske sundhedsunion ved at tilskynde til innovation og forskning og bedre håndtering af fremtidige sundhedskriser.

Det er i overensstemmelse med Kommissionens prioriteter om at gøre Europa klar til den digitale tidsalder og opbygge en fremtidssikret økonomi, der tjener alle. Det gør det også muligt at undersøge grænseoverskridende regioners potentiale som pilottest for innovative løsninger på europæisk integration, som foreslået i Kommissionens rapport om EU's grænseregioner: levende laboratorier for europæisk integration 23 . Det støtter Kommissionens genopretningsplan, bruger erfaringerne fra covid-19-pandemien og sikrer lettere tilgængelige elektroniske sundhedsdata, hvor det er nødvendigt.

2.RETSGRUNDLAG, NÆRHEDSPRINCIPPET OG PROPORTIONALITETSPRINCIPPET

•Retsgrundlag

Retsgrundlaget, for dette forslag er artikel 16 og 114 i traktaten om Den Europæiske Unions funktionsmåde (TEUF). Et sådant dobbelt retsgrundlag er muligt, hvis det godtgøres, at foranstaltningen samtidig forfølger flere formål, der er uadskilleligt forbundne, uden at det ene er sekundært eller kun indirekte forbundet med det andet. Dette er tilfældet med det foreliggende forslag, som forklaret nedenfor. De regler, der er fastlagt for hvert retsgrundlag, er indbyrdes forenelige.

For det første har artikel 114 i TEUF til formål at forbedre det indre markeds funktion gennem foranstaltninger til indbyrdes tilnærmelse af de nationale regler. Nogle medlemsstater har truffet lovgivningsmæssige foranstaltninger for at løse de problemer, der er beskrevet ovenfor, ved at indføre nationale certificeringssystemer for EPJ-systemer, mens andre ikke har. Dette kan føre til lovgivningsmæssig fragmentering i det indre marked og forskellige regler og praksisser i EU. Det kan også medføre omkostninger for virksomheder, der skal overholde forskellige ordninger.

Artikel 114 i TEUF er det relevante retsgrundlag, eftersom flertallet af bestemmelserne i denne forordning har til formål at forbedre det indre markeds funktion og den frie bevægelighed for varer og tjenesteydelser. I denne forbindelse hedder det udtrykkeligt i artikel 114, stk. 3, i TEUF, at det ved harmonisering skal sikres, at der er et højt sundhedsbeskyttelsesniveau, idet der tages hensyn til navnlig enhver ny udvikling baseret på videnskabelige kendsgerninger. Dette retsgrundlag er derfor også hensigtsmæssigt, når en foranstaltning vedrører området beskyttelse af folkesundheden. Dette er også i fuld overensstemmelse med artikel 168, hvori det fastsættes, at der skal sikres et højt sundhedsbeskyttelsesniveau af mennesker i alle Unionens politikker, samtidig med at medlemsstaternes ansvar for udformningen af deres sundhedspolitik samt for organisation og levering af sundhedstjenesteydelser og behandling på sundhedsområdet respekteres.

Lovgivningsforslaget vil gøre det muligt for EU at drage fordel af det indre markeds størrelse, eftersom sundhedsdatadrevne produkter og tjenester ofte udvikles ved hjælp af elektroniske sundhedsdata fra forskellige medlemsstater og senere markedsføres i hele EU.

Det andet retsgrundlag for dette forslag er artikel 16 i TEUF. Databeskyttelsesforordningen giver vigtige garantier i forbindelse med fysiske personers rettigheder over deres sundhedsdata. Som beskrevet i afdeling 1 kan disse rettigheder imidlertid ikke gennemføres i praksis af hensyn til interoperabiliteten og begrænset harmonisering af krav og tekniske standarder, der gennemføres på nationalt plan og EU-plan. Desuden gør anvendelsesområdet for retten til portabilitet i henhold til databeskyttelsesforordningen, at den er mindre effektiv i sundhedssektoren 24 . Der er derfor behov for at indføre yderligere retligt bindende bestemmelser og garantier. Det er også nødvendigt at udforme specifikke krav og standarder, der bygger på garantier inden for elektronisk behandling af sundhedsdata, for at udnytte værdien af sundhedsdata for samfundet. Desuden har forslaget til formål at udvide anvendelsen af elektroniske sundhedsdata og samtidig styrke de rettigheder, der følger af artikel 16 i TEUF. Alt i alt virkeliggør europæiske sundhedsdataområde den mulighed, som databeskyttelsesforordningen giver for en EU-retsakt til flere formål. Disse formål omfatter medicinsk diagnose, levering af sundhedsydelser eller behandling eller forvaltning af sundhedssystemer og -tjenester. Det gør det også muligt at anvende elektroniske sundhedsdata til varetagelse af offentlighedens interesse på folkesundhedsområdet, f.eks. beskyttelse mod alvorlige grænseoverskridende sundhedstrusler eller sikring af høje standarder for sundhedsplejens og lægemidlers eller medicinsk udstyrs kvalitet og sikkerhed. Det tjener også videnskabelige eller historiske forskningsformål samt statistiske formål.

•Nærhedsprincippet

Det nuværende forslag har til formål at harmonisere datastrømme for at hjælpe fysiske personer med at nyde godt af beskyttelse og fri udveksling af elektroniske sundhedsdata, navnlig personoplysninger. Forslaget har ikke til formål at regulere, hvordan sundhedsydelser leveres af medlemsstaterne.

Evalueringen af de digitale aspekter af direktivet om grænseoverskridende sundhedsydelser gennemgik den nuværende situation med fragmentering, forskelle og hindringer for adgang til og anvendelse af elektroniske sundhedsdata. Den viste, at medlemsstaternes indsats alene ikke er tilstrækkelig og kan hæmme den hurtige udvikling og udbredelse af digitale sundhedsprodukter og -tjenester, herunder baseret på kunstig intelligens.

Ovennævnte undersøgelse af gennemførelsen af databeskyttelsesforordningen i sundhedssektoren bemærker, at forordningengiver omfattende rettigheder til fysiske personers adgang til og overførsel af deres data, herunder sundhedsdata. Ikke desto mindre er deres praktiske gennemførelse hæmmet af lav interoperabilitet i sundhedssektoren, som hidtil primært er blevet håndteret gennem bløde lovgivningsinstrumenter. Sådanne forskelle i lokale, regionale og nationale standarder og specifikationer kan også forhindre fabrikanter af digitale sundhedsprodukter og udbydere af digitale sundhedstjenester i at komme ind på nye markeder, hvor de er nødt til at tilpasse sig nye standarder. Dette lovgivningsforslag er således udformet med henblik på at supplere de rettigheder og garantier, der er fastsat i databeskyttelsesforordningen, således at dens mål rent faktisk kan nås.

I samme undersøgelse blev den omfattende anvendelse af bestemmelser om fakultative specifikationer i databeskyttelsesforordningen på nationalt plan vurderet. Dette skabte fragmentering og vanskeligheder med at få adgang til elektroniske sundhedsdata, både på nationalt plan og mellem medlemsstaterne. Det havde en indvirkning på forskeres, innovatorers, politiske beslutningstageres og regulerende myndigheders mulighed for at udføre deres opgaver eller udføre forskning eller innovation. I sidste ende var det til skade for den europæiske økonomi.

I konsekvensanalysen viser evalueringen af artikel 14 i direktivet om grænseoverskridende sundhedsydelser, at de hidtidige tilgange, der består af instrumenter med lav intensitet/bløde instrumenter, såsom retningslinjer og anbefalinger til støtte for interoperabilitet, ikke har givet de ønskede resultater. Fysiske personers adgang til og kontrol med deres personlige elektroniske sundhedsdata er stadig begrænset, og der er betydelige mangler i interoperabiliteten mellem de informationssystemer, der anvendes på sundhedsområdet. Desuden har de nationale tilgange til løsning af problemerne kun begrænset rækkevidde og når ikke ind til roden af problemet i hele EU. På nuværende tidspunkt er den grænseoverskridende udveksling af elektroniske sundhedsdata stadig meget begrænset, hvilket til dels skyldes den betydelige forskel i de standarder, der anvendes på elektroniske sundhedsdata i de forskellige medlemsstater. I mange medlemsstater er der betydelige nationale, regionale og lokale udfordringer med hensyn til interoperabilitet og dataportabilitet, hvilket hæmmer kontinuiteten i plejen og effektive sundhedssystemer. Selv om sundhedsdata er tilgængelige i elektronisk format, følger de normalt ikke den fysiske person, når de benytter tjenester fra en anden sundhedstjenesteyder. Forslaget om det europæiske sundhedsdataområde vil tage fat på disse udfordringer på EU-plan, tilvejebringe mekanismer til forbedring af de interoperabilitetsløsninger, der anvendes på nationalt, regionalt og lokalt plan, og styrke fysiske personers rettigheder.

Der er derfor behov for en indsats i hele EU med det indhold og den form, der er beskrevet ovenfor, for at fremme den frie udveksling af personlige sundhedsdata på tværs af landegrænserne og gøre det lettere at skabe et egentligt indre marked for elektroniske sundhedsdata samt digitale sundhedsprodukter og -tjenester.

•Proportionalitetsprincippet

Initiativet har til formål at iværksætte de foranstaltninger, der er nødvendige for at nå de vigtigste mål. Forslaget skaber en befordrende ramme, der ikke går ud over, hvad der er nødvendigt for at nå målene. Det tager fat på de eksisterende hindringer for bedre udnyttelse af den potentielle værdi af elektroniske sundhedsdata. Det fastlægger en ramme, der mindsker fragmenteringen og retsusikkerheden. Initiativet involverer og bygger på de nationale myndigheders arbejde og tilstræber omfattende inddragelse af relevante interessenter.

Den foreslåede forordning vil medføre finansielle og administrative omkostninger, som skal afholdes ved tildeling af ressourcer på både medlemsstats- og EU-plan. Konsekvensanalysen viser, at den foretrukne løsningsmodel giver de største fordele til de lavest mulige omkostninger. Den foretrukne løsningsmodel går ikke videre, end hvad der er nødvendigt for at nå målene i traktaterne.

•Valg af retsakt

Forslaget har form af en ny forordning. Dette anses for at være det mest hensigtsmæssige instrument i betragtning af behovet for en lovgivningsmæssig ramme, der direkte kan varetage fysiske personers rettigheder og mindsker fragmenteringen af det digitale indre marked. For at forhindre den fragmentering, der skyldes inkonsekvent anvendelse af de relevante bestemmelser i databeskyttelsesforordningen (f.eks. artikel 9, stk. 4), anvender det europæiske sundhedsdataområde de muligheder for en EU-lovgivning, som databeskyttelsesforordningen giver vedrørende brugen af sundhedsdata til forskellige formål. I forbindelse med udarbejdelsen af forslaget blev forskellige nationale retlige sammenhænge, der byggede på databeskyttelsesforordningen i den nationale lovgivning til rådighed, nøje analyseret. For at forhindre større forstyrrelser, men også inkonsekvens i de fremtidige lovrammer, sigter det europæiske sundhedsdataområde mod at fremsætte et initiativ, der tager hensyn til de vigtigste fælles elementer i forskellige rammer. Der blev ikke valgt et direktiv, da det ville give mulighed for en divergerende gennemførelse og et fragmenteret marked, der kunne påvirke beskyttelsen og den frie udveksling af personoplysninger i sundhedssektoren. Forslaget vil styrke EU's sundhedsdataøkonomi ved at øge retssikkerheden og garantere en fuldt ud ensartet og konsekvent sektorspecifik retlig ramme. Den foreslåede forordning opfordrer også til inddragelse af interessenter for at sikre, at kravene opfylder behovene hos sundhedsprofessionelle, fysiske personer, den akademiske verden, erhvervslivet og andre relevante interessenter.

3.RESULTATER AF EFTERFØLGENDE EVALUERINGER, HØRINGER AF INTERESSEREDE PARTER OG KONSEKVENSANALYSER

•Efterfølgende evalueringer/kvalitetskontrol af gældende lovgivning

Direktivet om grænseoverskridende sundhedsydelser blev vedtaget i 2011 og blev gennemført i alle medlemsstater i 2015. Direktivets artikel 14 om oprettelse af e-sundhedsnetværket er blevet evalueret for at få en bedre forståelse af dets indvirkning på den digitale sundhed i EU. Evalueringen, som er vedhæftet som bilag til arbejdsdokumentet om konsekvensanalysen af det europæiske sundhedsdataområde, viser, at virkningen heraf har været temmelig begrænset. Evalueringen af bestemmelserne om e-sundhed i direktivet konkluderede, at direktivets effektivitet har været temmelig begrænset, og at dette skyldtes e-sundhedsnetværkets frivillige karakter.

Der blev kun gjort langsomme fremskridt med anvendelsen af personlige elektroniske sundhedsdata til primære formål i forbindelse med grænseoverskridende sundhedsydelser. MyHealth@EU blev kun gennemført i 10 medlemsstater, og den understøtter i øjeblikket kun to tjenester (elektronisk recept og patientresuméer). Den lave og langsomme udbredelse hænger delvis sammen med, at direktivet, selv om det indfører en ret for fysiske personer til at modtage en skriftlig journal, der beskriver den udførte behandling, ikke kræver, at denne stilles til rådighed i elektronisk form. Fysiske personers adgang til deres personlige elektroniske sundhedsdata er fortsat besværlig, og fysiske personer har begrænset kontrol over deres egne sundhedsdata og brugen af disse sundhedsdata til medicinsk diagnose og behandling. E-sundhedsnetværket anbefalede, at medlemsstaterne anvender standarderne og specifikationerne for udveksling af elektroniske patientjournaler i deres udbud med henblik på at opbygge interoperabilitet. Deres reelle anvendelse af formatet var imidlertid begrænset, hvilket resulterede i et fragmenteret landskab og ulige adgang til og portabilitet af elektroniske sundhedsdata.

De fleste medlemsstater forventes at implementere MyHealth@EU-platformen senest i 2025. Først når flere medlemsstater har gjort det og udviklet de nødvendige værktøjer, vil deres anvendelse, udvikling og vedligeholdelse blive mere effektiv i hele EU. De seneste års fremskridt inden for e-sundhed kræver imidlertid en mere koordineret indsats på EU-plan.

Efter udbruddet af covid-19-pandemien i Europa viste e-sundhedsnetværket sig ikke desto mindre at være meget effektivt i tider med en folkesundhedskrise, og dette fremmede politisk konvergens.

Hvad angår sekundær anvendelse af elektroniske sundhedsdata, var e-sundhedsnetværkets aktiviteter meget begrænsede og ikke særlig effektive. De få ikkebindende dokumenter om big data blev ikke fulgt op af yderligere konkrete foranstaltninger, og deres gennemførelse i praksis er fortsat meget begrænset. På nationalt plan dukkede der andre aktører op, som beskæftigede sig med sekundær anvendelse af elektroniske sundhedsdata, og som ikke var repræsenteret i e-sundhedsnetværket. Nogle medlemsstater har oprettet forskellige organer til at håndtere dette område og har deltaget i den fælles aktion "Towards a European Health Data Space" (TEHDaS). Imidlertid er hverken denne fælles aktion eller de mange midler, som Kommissionen har stillet til rådighed, f.eks. under Horisont Europa, til støtte for sekundær anvendelse af elektroniske sundhedsdata, blevet udnyttet i tilstrækkelig grad i overensstemmelse med e-sundhedsnetværkets aktiviteter.

Det blev derfor konkluderet, at e-sundhedsnetværkets nuværende struktur ikke længere er hensigtsmæssig. Det giver kun mulighed for et blødt samarbejde om primær anvendelse af elektroniske sundhedsdata og interoperabilitet, som ikke på en systematisk måde løser problemerne med dataadgang og -portabilitet på nationalt og grænseoverskridende plan. Desuden er e-sundhedsnetværket ikke i stand til at imødekomme behovene i forbindelse med sekundær anvendelse af elektroniske sundhedsdata på en effektiv måde. Direktivet om grænseoverskridende sundhedsydelser giver beføjelser til gennemførelsesretsakter om anvendelse af elektroniske sundhedsdata til primær og sekundær anvendelse. Disse beføjelser er begrænsede.

Covid-19-pandemien har fremhævet og understreget betydningen af sikker adgang til og tilgængelighed af folkesundheds- og sundhedsdata på tværs af medlemsstaternes grænser og den brede tilgængelighed af elektroniske sundhedsdata for folkesundheden i forbindelse med den frie bevægelighed for personer inden for EU under pandemien. På grundlag af en stærk lovgivningsmæssig ramme har EU været meget effektivt med hensyn til at fastsætte standarder og tjenester på EU-plan for at lette den frie bevægelighed for personer, såsom EU's digitale covidcertifikat. De overordnede fremskridt synes imidlertid at blive hæmmet af manglen på bindende eller obligatoriske standarder i hele EU og dermed begrænset interoperabilitet. En løsning på dette problem vil ikke kun være til gavn for fysiske personer, men vil også bidrage til at gennemføre det digitale indre marked og mindske hindringerne for den frie bevægelighed for digitale sundhedsprodukter og -tjenester.

•Høringer af interesserede parter

I forbindelse med udarbejdelsen af dette forslag om det europæiske sundhedsdataområde blev interessenterne hørt på forskellige måder. Den offentlige høring indsamlede synspunkter fra interessenter om mulighederne for at oprette det europæiske sundhedsdataområde 25 . Der blev modtaget feedback fra forskellige interessentgrupper. Deres synspunkter findes i bilaget til arbejdsdokumentet fra Kommissionens tjenestegrene om konsekvensanalysen.

Der blev gennemført en offentlig høring fra maj til juli 2021. Der indkom i alt 382 gyldige besvarelser. Respondenterne udtrykte støtte til tiltag på EU-plan med henblik på at fremskynde sundhedsforskning (89 %), fremme fysiske personers kontrol over deres egne sundhedsdata (88 %) og lette leveringen af sundhedsydelser på tværs af grænserne (83 %). Der var stor støtte til at fremme adgang til og deling af sundhedsdata gennem en digital infrastruktur (72 %) eller en EU-infrastruktur (69 %). De fleste respondenter er også af den opfattelse, at fysiske personer bør kunne overføre data indsamlet fra m-sundhed og telemedicin til EPJ-systemer (77 %). 52 % støttede en certificeringsordning på EU-plan til fremme af interoperabilitet.

Hvad angår sekundær anvendelse af sundhedsdata, sagde de fleste respondenter, at et EU-organ kunne lette adgangen til sundhedsdata til sekundære formål (87 %). Obligatorisk anvendelse af tekniske krav og standarder støttes af 67 %.

Interessenternes synspunkter blev også indsamlet gennem undersøgelsen "Assessment of the EU Member States' rules on health data in light of the GDPR". I løbet af undersøgelsen blev der afholdt fem workshopper med ministerier med sundhedsrepræsentanter, eksperter, repræsentanter for interessenter og eksperter fra de nationale databeskyttelsesmyndigheder 26 . Der blev også gennemført en interessentundersøgelse for at krydsvalidere og supplere de emner, der blev behandlet og udpeget. I alt afstedkom onlineundersøgelsen 543 besvarelser. I en onlineundersøgelse mente 73 % af respondenterne, at det at have sundhedsdata i et persondataområde eller en patientportal letter dataoverførslen mellem sundhedstjenesteydere. Desuden mente 87 %, at manglen på dataportabilitet øger omkostningerne inden for sundhedspleje, mens 84 % mente, at manglende dataportabilitet forsinker diagnosticering og behandling. Ca. 84 % mente, at der bør træffes yderligere foranstaltninger på EU-plan for at styrke fysiske personers kontrol over deres sundhedsdata. Omkring 81 % mente, at anvendelsen af forskellige retsgrundlag i databeskyttelsesforordningen gør det vanskeligt at udveksle sundhedsdata. Omkring 81 % af respondenterne mente, at EU bør støtte sekundær anvendelse af sundhedsdata under samme retsgrundlag.

En undersøgelse af manglerne i lovgivningen i forbindelse med grænseoverskridende levering af digitale sundhedstjenester og -produkter, herunder kunstig intelligens, og evalueringen af den eksisterende ramme for grænseoverskridende udveksling af sundhedsdata. En undersøgelse om sundhedsdata, digital sundhed og kunstig intelligens inden for sundhedspleje blev gennemført mellem september 2020 og august 2021. Denne undersøgelse giver den dokumentation, der er nødvendig for at vedtage underbyggede politikker inden for digitale sundhedsprodukter og -tjenester, kunstig intelligens, forvaltning af anvendelsen af sundhedsdata og evaluering af artikel 14 i direktivet om grænseoverskridende sundhedsydelser. Høringsaktiviteterne omfattede interviews, fokusgrupper og onlineundersøgelser. Interessenterne støtter foranstaltninger på en række områder, lige fra vejledning om digitale sundhedstjenesters og -produkters kvalitet, interoperabilitet, godtgørelse, identifikation og autentifikation samt digitale færdigheder. Med hensyn til primær anvendelse støtter interessenterne, at de nationale digitale sundhedsmyndigheder får til opgave at støtte grænseoverskridende levering af digital sundhed og adgang til elektroniske sundhedsdata. Derudover støtter de også en udvidelse af MyHealth@EU. Der er også opbakning til at give fysiske personer ret til portabilitet af deres elektroniske patientjournaler i et interoperabelt format. Med hensyn til sekundær anvendelse er der støtte til etablering af en retlig og forvaltningsmæssig ramme og struktur, der bygger på oprettelsen af organer med ansvar for adgang til sundhedsdata i en række medlemsstater, med samarbejde på EU-plan gennem et netværk eller en rådgivende gruppe. For at mindske hindringerne vil der være støtte til specifikationer og standarder.

En undersøgelse af infrastrukturer og dataøkosystemer til støtte for konsekvensanalysen af det europæiske sundhedsdataområde 27 blev gennemført mellem april 2021 og december 2021. Denne undersøgelse har til formål at give evidensbaseret indsigt, der vil understøtte konsekvensanalysen af løsningsmodellerne for en europæisk digital sundhedsinfrastruktur. Undersøgelsen udpeger, karakteriserer og vurderer løsningsmodellerne for en digital infrastruktur, skitserer omkostningseffektiviteten og beskriver de forventede virkninger, både for primær og sekundær anvendelse af elektroniske sundhedsdata. Der blev afholdt interaktive workshopper for 65 interessenter, der aktivt beskæftiger sig med brug af sundhedsdata. Deres baggrund spænder fra sundhedsministerier, digitale sundhedsmyndigheder, nationale kontaktpunkter for e-sundhed, forskningsinfrastrukturer for sundhedsdata, reguleringsorganer, organer med ansvar for adgang til sundhedsdata, sundhedstjenesteydere, patienter og til interessegrupper. Desuden blev der udarbejdet en undersøgelse med fokus på omkostninger, herunder spørgsmål vedrørende værdien, fordelene, virkningen og omkostningerne ved forskellige løsningsmodeller.

Endelig blev konsekvensanalysen gennemført mellem juni 2021 og december 2021. Den havde til formål at give evidensbaseret indsigt, der understøtter konsekvensanalysen af løsningsmodellerne for det europæiske sundhedsdataområde. Undersøgelsen beskriver og vurderer de overordnede politiske løsningsmodeller for det europæiske sundhedsdataområde på grundlag af den dokumentation, der er indsamlet i de tidligere undersøgelser. Den offentlige høring om overvindelse af grænseoverskridende hindringer 28 viser også, at fysiske personer kæmper med nogle af de samme hindringer i forbindelse med grænseoverskridende regioner. Yderligere oplysninger om disse undersøgelser findes i bilaget til arbejdsdokumentet fra Kommissionens tjenestegrene.

•Indhentning og brug af ekspertbistand

Flere undersøgelser og bidrag støttede arbejdet med det europæiske sundhedsdataområde, herunder:

●En undersøgelse, der vurderede EU-medlemsstaternes regler om sundhedsdata i lyset af databeskyttelsesforordningen 29

●En undersøgelse af manglerne i lovgivningen i forbindelse med grænseoverskridende levering af digitale sundhedstjenester og -produkter, herunder kunstig intelligens, og evalueringen af den eksisterende ramme for grænseoverskridende udveksling af sundhedsdata (under udarbejdelse)

●En undersøgelse af et infrastruktur- og dataøkosystem til støtte for konsekvensanalysen af det europæiske sundhedsdataområde (under udarbejdelse)

●En undersøgelse til støtte for konsekvensanalysen af politiske løsningsmodeller for et EU-initiativ vedrørende det europæiske sundhedsdataområde (under udarbejdelse)

●En undersøgelse af interoperabiliteten mellem elektroniske patientjournaler i Den Europæiske Union (MonitorEHR) 30

●En undersøgelse af anvendelsen af data under faktiske forhold til forskning, klinisk pleje, lovgivningsmæssig beslutningstagning, medicinsk teknologivurdering og politikudformning og resuméet heraf 31

●En markedsundersøgelse om telemedicin 32

●Den Europæiske Tilsynsførende for Databeskyttelses (EDPS) foreløbige udtalelse om det europæiske sundhedsdataområde 33

•Konsekvensanalyse

Der er foretaget en konsekvensanalyse af dette forslag. Den 26. november 2021 afgav Udvalget for Forskriftskontrol en negativ udtalelse om den første forelæggelse. Efter en omfattende revision af konsekvensanalysen for at imødekomme henstillingerne og en fornyet forelæggelse af konsekvensanalysen afgav Udvalget for Forskriftskontrol en positiv udtalelse uden forbehold den 26. januar 2021. Udtalelserne fra Udvalget, henstillingerne og en redegørelse for, hvordan der er taget hensyn til dem, findes i bilag 1 til arbejdsdokumentet fra Kommissionens tjenestegrene.

Kommissionen undersøgte forskellige politiske løsningsmodeller, der kunne opfylde de generelle mål for forslaget. Disse mål er at sikre, at fysiske personer har kontrol over deres egne elektroniske sundhedsdata, at de kan få adgang til en række sundhedsrelaterede produkter og tjenesteydelser, og at forskere, innovatorer, politiske beslutningstagere og lovgivere kan få mest muligt ud af de tilgængelige elektroniske sundhedsdata.

Tre politiske løsningsmodeller med forskellige grader af intervention og to yderligere variationer af disse løsningsmodeller blev vurderet:

–Løsningsmodel 1: Intervention med lav intensitet: Den bygger på en styrket samarbejdsmekanisme og frivillige instrumenter, der vil omfatte digitale sundhedsprodukter og -tjenester og sekundær anvendelse af elektroniske sundhedsdata. Den vil blive understøttet af bedre forvaltning og digital infrastruktur.

–Løsningsmodel 2 og 2+: Intervention med middelhøj intensitet: Den vil styrke fysiske personers ret til digitalt at kontrollere deres sundhedsdata og skabe en EU-ramme for sekundær anvendelse af elektroniske sundhedsdata. Forvaltningen vil afhænge af nationale organer til primær og sekundær anvendelse af elektroniske sundhedsdata, som vil gennemføre politikkerne på nationalt plan og på EU-plan støtte udviklingen af passende krav. To digitale infrastrukturer vil støtte grænseoverskridende deling og sekundær anvendelse af elektroniske sundhedsdata. Gennemførelsen vil blive understøttet af en obligatorisk certificering af EPJ-systemer og en frivillig mærkning for wellnessapplikationer, hvorved der sikres gennemsigtighed for myndigheder, indkøbere og brugere.

–Løsningsmodel 3 og 3+: Intervention med høj intensitet: Den vil gå videre end løsningsmodel 2 ved at overlade fastlæggelsen af krav på EU-plan og adgang til grænseoverskridende elektroniske sundhedsdata til et eksisterende eller nyt EU-organ. Den vil også udvide certificeringsdækningen.

Den foretrukne løsning er løsningsmodel 2+, som bygger på løsningsmodel 2. Denne vil sikre en certificering af EPJ-systemer, en frivillig mærkning for wellnessapplikationer og en kaskadevirkning for medicinsk udstyr, der er designet til at være interoperabelt med EPJ-systemer. Dette vil sikre den bedste balance mellem effektivitet og produktivitet med hensyn til at nå målene. Løsningsmodel 1 vil forbedre referencescenariet marginalt, da den fortsat er frivillig. Løsningsmodel 3 vil også være effektiv, men vil medføre højere omkostninger, kan have større konsekvenser for SMV'er og kan være vanskeligere at gennemføre politisk.

Den foretrukne løsning vil sikre, at fysiske personer er i stand til at tilgå og overføre deres elektroniske sundhedsdata digitalt og give adgang til dem, uanset sundhedstjenesteyder og datakilde. MyHealth@EU bliver obligatorisk, og fysiske personer kan udveksle deres personlige elektroniske sundhedsdata på tværs af grænserne på et fremmedsprog. Obligatoriske krav og certificering (for EPJ-systemer og medicinsk udstyr, der hævdes at være interoperabelt med EPJ-systemer) og et frivilligt mærke for wellnessapplikationer vil sikre gennemsigtighed for brugere og indkøbere og mindske grænseoverskridende markedshindringer for fabrikanter.

De obligatoriske krav er blevet bevaret, men tredjepartscertificering er blevet ændret til selvcertificering kombineret med en klausul om tidligere vurdering, der giver mulighed for en eventuel senere overgang til tredjepartscertificering. Da certificeringen er ny, blev det besluttet at vælge en trinvis tilgang, som ville give mindre forberedte medlemsstater og fabrikanter mere tid til at indføre certificeringssystemet og opbygge kapacitet. Samtidig kan medlemsstater, der er længere fremme i processen, kræve specifik kontrol på nationalt plan i forbindelse med indkøb, finansiering og godtgørelse af EPJ-systemer. En sådan ændring ville reducere de anslåede omkostninger til certificering for en enkelt fabrikant af et EPJ-system fra 20 000-50 000 EUR til 12 000-38 000 EUR, hvilket kunne give en reduktion på ca. 30 % af de samlede omkostninger for fabrikanterne (fra 0,3-1,7 mia. EUR til 0,2-1,2 mia. EUR).

Dette system synes at være det mest proportionale for fabrikanterne med hensyn til den administrative byrde og de bemyndigede organers potentielle kapacitetsbegrænsninger med hensyn til tredjepartscertificering. De faktiske fordele for medlemsstaterne, patienterne og indkøberne vil imidlertid skulle analyseres nøje i forbindelse med evalueringen af den retlige ramme efter fem år.

Hvad angår sekundær anvendelse af elektroniske sundhedsdata vil forskere, innovatorer, politiske beslutningstagere og lovgivere kunne få adgang til kvalitetsdata til deres arbejde på en sikker måde med en pålidelig styring og til lavere priser i stedet for at skulle bruge samtykke. Den fælles ramme for sekundær anvendelse vil mindske fragmenteringen og hindringerne for grænseoverskridende adgang. Den foretrukne løsningsmodel kræver, at medlemsstaterne opretter et eller flere organer med ansvar for adgang til sundhedsdata (med et koordineringsorgan), som kan give tredjeparter adgang til elektroniske sundhedsdata, enten som en ny organisation eller en del af en eksisterende organisation, på grundlag af forordningen om datastyring. En del af omkostningerne vil blive udlignet gennem gebyrer, der opkræves af organer med ansvar for adgang til sundhedsdata. Oprettelsen af organer med ansvar for adgang til sundhedsdata forventes at mindske omkostningerne for lovgiverne og de politiske beslutningstagere i forbindelse med adgang til elektroniske sundhedsdata takket være større gennemsigtighed med hensyn til lægemidlers effektivitet, hvilket vil føre til en reduktion af omkostningerne til lovgivningsprocesser og offentlige indkøb på sundhedsområdet. Digitalisering kan også reducere unødvendige test og sikre gennemsigtighed i udgifterne, hvilket giver mulighed for besparelser på sundhedsbudgettet. EU-midler vil yde støtte til digitalisering.

Målet er at sikre gennemsigtighed i oplysninger om datasæt til databrugere, for hvilke der ligeledes blev anvendt en trinvis tilgang. Dette vil betyde, at beskrivelsen af datasættet vil være obligatorisk for alle datasæt, bortset fra dem, som mikrovirksomheder er i besiddelse af, mens det selvdeklarerede datakvalitetsmærke kun vil være obligatorisk for dataindehavere med offentligt finansierede datasæt og frivilligt for andre. Disse nuancer, der blev indført efter konsekvensanalysen, ændrer ikke i væsentlig grad beregningen af omkostningerne for dataindehavere som følge af konsekvensanalysen.

De samlede økonomiske fordele ved denne løsningsmodel forventes at være på over 11 mia. EUR over referencescenariet over 10 år. Dette beløb vil blive fordelt næsten ligeligt mellem fordele fra foranstaltninger vedrørende primær anvendelse (5,6 mia. EUR) og sekundær anvendelse (5,4 mia. EUR) af sundhedsdata.

Inden for primær anvendelse af sundhedsdata vil patienter og sundhedstjenesteydere få fordele på ca. 1,4 mia. EUR og 4,0 mia. EUR som følge af besparelser i sundhedstjenesterne gennem en større opdatering af telemedicin og en mere effektiv udveksling af sundhedsdata, herunder på tværs af grænserne.

Inden for sekundær anvendelse af sundhedsdata vil forskere og innovatorer inden for digital sundhed, medicinsk udstyr og lægemidler have fordele på over 3,4 mia. EUR takket være en mere effektiv sekundær anvendelse af sundhedsdata. Patienter og sundhedsplejen vil få gavn af besparelser på 0,3 og 0,9 mia. EUR takket være adgang til mere innovative lægemidler og bedre beslutningstagning. En mere intensiv anvendelse af evidens fra den virkelige verden i forbindelse med udformningen af sundhedspolitikker vil give yderligere besparelser, der anslås til 0,8 mia. EUR, for politiske beslutningstagere og lovgivere.

De samlede omkostninger ved den foretrukne løsningsmodel vurderes at være 0,7-2,0 mia. EUR over referencescenariet over 10 år. Størstedelen af omkostningerne vil stamme fra foranstaltninger vedrørende primær (0,3-1,3 mia. EUR) og sekundær anvendelse (0,4-0,7 mia. EUR) af sundhedsdata.

Inden for primær anvendelse af sundhedsdata vil fabrikanter af EPJ-systemer og produkter, der skal forbindes med EPJ-systemer, afholde de fleste af omkostningerne. Dette vil beløbe sig til ca. 0,2-1,2 mia. EUR som følge af den trinvise indførelse af certificering af EPJ-systemer, medicinsk udstyr og højrisiko-AI-systemer og frivillig mærkning af wellnessapplikationer. Resten (mindre end 0,1 mia. EUR) vil skulle betales af de offentlige myndigheder på nationalt plan og EU-plan til færdiggørelse af dækningen af MyHealth@EU.

Med hensyn til sekundær anvendelse af sundhedsdata vil offentlige myndigheder, heriblandt tilsynsmyndigheder og politiske beslutningstagere på medlemsstats- og EU-plan, afholde omkostningerne (0,4-0,7 mia. EUR) til udrulningen af organer med ansvar for adgang til sundhedsdata, og den nødvendige digitale infrastruktur, der forbinder disse organer, forskningsinfrastrukturer og EU-organer samt fremme af interoperabilitet og datakvalitet.

Den foretrukne løsningsmodel er begrænset til aspekter, som medlemsstaterne ikke kan opnå tilfredsstillende på egen hånd, hvilket fremgår af evalueringen af artikel 14 i direktivet om grænseoverskridende sundhedsydelser. Den foretrukne løsning er forholdsmæssig i betragtning af forslagets middelhøje intensitet og de forventede fordele for fysiske personer og erhvervslivet.

Vurderingen af miljøvirkningerne i overensstemmelse med den europæiske klimalov 34 viser, at dette forslag vil resultere i begrænsede indvirkninger på klimaet og miljøet. Selv om nye digitale infrastrukturer og øget datatrafik og -lagring kan øge den digitale forurening, vil større interoperabilitet på sundhedsområdet stort set opveje sådanne negative virkninger ved at reducere rejserelateret forurening og energi- og papirforbrug.

•Målrettet regulering og forenkling

Ikke relevant.

•Grundlæggende rettigheder

Eftersom anvendelsen af elektroniske sundhedsdata omfatter behandling af følsomme personoplysninger, falder visse elementer i den foreslåede forordning ind under anvendelsesområdet for EU's databeskyttelseslovgivning. Bestemmelserne i dette forslag er i overensstemmelse med EU's databeskyttelseslovgivning. De skal supplere de rettigheder, der følger af EU's databeskyttelseslovgivning, ved at styrke de fysiske personers kontrol med og adgang til deres elektroniske sundhedsdata. Forslaget forventes at få en betydelig positiv indvirkning på de grundlæggende rettigheder i forbindelse med beskyttelse af personoplysninger og fri bevægelighed. Det skyldes, at fysiske personer under MyHealth@EU vil kunne dele deres personlige elektroniske sundhedsdata på bestemmelseslandets sprog, når de rejser til udlandet, eller tage deres personlige elektroniske sundhedsdata med sig, når de flytter til et andet land. Fysiske personer vil have yderligere muligheder for at tilgå og overføre deres elektroniske sundhedsdata digitalt på grundlag af bestemmelserne i databeskyttelsesforordningen. Markedsoperatører i sundhedssektoren (enten sundhedstjenesteydere eller udbydere af digitale tjenester og produkter) vil være forpligtet til at dele elektroniske sundhedsdata med tredjeparter anvist af brugerne fra sundhedssektoren. Forslaget vil give mulighed for at håndhæve disse rettigheder (gennem fælles standarder, specifikationer og mærker) uden at gå på kompromis med de nødvendige sikkerhedsforanstaltninger til beskyttelse af fysiske personers rettigheder i henhold til databeskyttelsesforordningen. Det vil bidrage til øget beskyttelse af sundhedsrelaterede personoplysninger og fri udveksling af sådanne oplysninger som fastsat i artikel 16 i TEUF og i databeskyttelsesforordningen.

Hvad angår sekundær anvendelse af elektroniske sundhedsdata, f.eks. til innovation, forskning, offentlig politik, patientsikkerhed, lovgivningsmæssige formål eller personlige lægemidler, vil forslaget følge og være i overensstemmelse med EU's databeskyttelseslovgivning på dette område. Der vil blive indført stærke garantier og sikkerhedsforanstaltninger for at sikre, at de grundlæggende rettigheder i forbindelse med databeskyttelse beskyttes fuldt ud i overensstemmelse med artikel 8 i EU's charter om grundlæggende rettigheder. Forslaget fastlægger en EU-ramme for adgang til elektroniske sundhedsdata til videnskabelige og historiske forskningsformål og statistiske formål, der bygger på de muligheder, der findes i databeskyttelsesforordningen, og for EU's institutioner og organer i EU-databeskyttelsesforordningen. Den vil omfatte passende og specifikke foranstaltninger, der er nødvendige for at beskytte grundlæggende rettigheder og fysiske personers interesser i overensstemmelse med artikel 9, stk. 2, litra h), i) og j), i databeskyttelsesforordningen og artikel 10, stk. 2, litra h), i) og j), i EU-databeskyttelsesforordningen. Oprettelsen af organer med ansvar for adgang til sundhedsdata vil sikre en forudsigelig og forenklet adgang til elektroniske sundhedsdata og en højere grad af gennemsigtighed, ansvarlighed og sikkerhed i forbindelse med databehandling. Koordinering af disse organer på EU-plan og etablering af en fælles ramme for deres aktiviteter vil sikre lige konkurrencevilkår. Dette vil støtte grænseoverskridende analyse af elektroniske sundhedsdata med henblik på forskning, innovation, officielle statistikker, politikudformning og regulering. Fremme af interoperabilitet mellem elektroniske sundhedsdata og sekundær anvendelse heraf vil bidrage til at fremme et indre EU-marked for elektroniske sundhedsdata i overensstemmelse med artikel 114 i TEUF.

4.VIRKNINGER FOR BUDGETTET

Dette forslag fastsætter en række forpligtelser for medlemsstaternes myndigheder og Kommissionen og kræver specifikke foranstaltninger for at fremme oprettelsen og driften af det europæiske sundhedsdataområde. Disse omfatter navnlig udvikling, udbredelse og vedligeholdelse af infrastruktur til primær og sekundær anvendelse af elektroniske sundhedsdata. Det europæiske sundhedsdataområde har stærke forbindelser til flere andre EU-foranstaltninger inden for sundhed og social omsorg, digitalisering, forskning, innovation og grundlæggende rettigheder.

I sine arbejdsprogrammer for 2021 og 2022 støtter EU4Health allerede udviklingen og etableringen af det europæiske sundhedsdataområde med et betydeligt indledende bidrag på næsten 110 mio. EUR. Dette omfatter driften af den eksisterende infrastruktur til primær anvendelse af elektroniske sundhedsdata (MyHealth@EU) og sekundær anvendelse af elektroniske sundhedsdata (HealthData@EU), medlemsstaternes anvendelse af internationale standarder, foranstaltninger til kapacitetsopbygning og andre forberedende foranstaltninger samt et infrastrukturpilotprojekt for sekundær anvendelse af sundhedsdata, et pilotprojekt for patienters adgang til deres sundhedsdata via MyHealth@EU og dets opskalering samt udvikling af centrale tjenester for sekundær anvendelse af sundhedsdata.

Kommissionens opfyldelse af forpligtelserne og de tilhørende støtteaktioner i henhold til dette forslag til retsakt vil kræve 220 mio. EUR mellem 2023 og 2027 og vil blive finansieret direkte fra EU4Health-programmet (170 mio. EUR) og støttet yderligere fra programmet for et digitalt Europa (50 mio. EUR) 35 . I begge tilfælde vil de udgifter, der er forbundet med dette forslag, blive dækket inden for de programmerede beløb for disse programmer.

Gennemførelsen af foranstaltninger vedrørende fysiske personers kontrol med og adgang til personlige elektroniske sundhedsdata med henblik på levering af sundhedsydelser (kapitel II) vil kræve 110 mio. EUR. Disse foranstaltninger omfatter driften af de europæiske digitale sundhedsplatformstjenester for MyHealth@EU, medlemsstaternes kontroller af de nationale kontaktpunkter for digital sundhed som en del af MyHealth@EU, støtte til udbredelsen af internationale standarder og støtte til patienters adgang til sundhedsdata via MyHealth@EU.

Gennemførelsen af selvcertificeringsordningen for EPJ-systemer (kapitel III) vil kræve over 14 mio. EUR til udvikling og vedligeholdelse af en europæisk database over interoperable EPJ-systemer og wellnessapplikationer. Endvidere skal medlemsstaterne udpege de markedsovervågningsmyndigheder, der skal have ansvaret for at gennemføre de lovgivningsmæssige krav. Deres tilsynsfunktion i forbindelse med selvcertificering af EPJ-systemer kunne bygge på eksisterende ordninger, f.eks. vedrørende markedsovervågning, men ville kræve tilstrækkelig ekspertise og menneskelige og finansielle ressourcer. Aktioner til sekundær anvendelse af elektroniske sundhedsdata til forskning, innovation, politikudformning, lovgivningsmæssige beslutninger, patientsikkerhed eller personlige lægemidler (kapitel IV) vil kræve 96 mio. EUR. Denne finansiering vil dække den europæiske platform og medlemsstaternes kontroller af knudepunkter som en del af infrastrukturen til sekundær anvendelse af elektroniske sundhedsdata (HealthData@EU).

Derudover vil omkostningerne til medlemsstaternes tilslutning til de europæiske infrastrukturer inden for rammerne af det europæiske sundhedsdataområde delvis blive dækket af EU-finansieringsprogrammer, der vil supplere EU4Health. Instrumenter såsom genopretnings- og resiliensfaciliteten og Den Europæiske Fond for Regionaludvikling (EFRU) vil kunne støtte medlemsstaternes tilslutning til de europæiske infrastrukturer.

Gennemførelsen af målene og bestemmelserne i denne forordning vil blive suppleret med andre foranstaltninger under programmet for et digitalt Europa, Connecting Europe-faciliteten og Horisont Europa. Disse programmer har bl.a. følgende formål: opbygning og styrkelse af kvalitetsdataressourcer og tilhørende udvekslingsmekanismer 36 (under det specifikke mål Kunstig intelligens) og at udvikle, fremme og begunstige videnskabelig topkvalitet 37 , herunder inden for sundhed. Eksempler på en sådan komplementaritet omfatter horisontal støtte til udvikling og storstilet pilotforsøg med en intelligent middleware-platform for fælles dataområder, hvor der allerede er tildelt 105 mio. EUR fra programmet for et digitalt Europa i 2021-2022, områdespecifikke investeringer til fremme af sikker grænseoverskridende adgang til kræftbilleder og genomforskning, støttet af programmet for et digitalt Europa i 2021-2022 med 38 mio. EUR, og forsknings- og innovationsprojekter og koordinerings- og støtteaktioner vedrørende kvalitet og interoperabilitet af sundhedsdata støttes allerede af Horisont Europa (klynge 1) med 108 mio. EUR i 2021 og 2022 samt 59 mio. EUR fra programmet for forskningsinfrastrukturer. Horisont Europa har også i 2021 og 2022 ydet yderligere støtte til sekundær anvendelse af sundhedsdata dedikeret til covid-19 (42 mio. EUR) og kræft (3 mio. EUR).

Hvis der mangler fysisk konnektivitet i sundhedssektoren, vil Connecting Europe-faciliteten desuden også bidrage til udviklingen af projekter af fælles interesse vedrørende udbredelsen af og adgang til sikre digitale net med meget høj kapacitet, herunder 5G-systemer, og til øget modstandsdygtighed og kapacitet i de digitale backbonenet på Unionens område 38 . Der er afsat 130 mio. EUR i 2022 og 2023 til sammenkobling af cloudinfrastrukturer, herunder på sundhedsområdet.

Kommissionens administrationsomkostninger anslås til ca. 17 mio. EUR, inkl. udgifter til menneskelige ressourcer og andre administrative udgifter.

I finansieringsoversigten, der vedlægges dette forslag, gøres der rede for virkningerne for personale- og administrationsressourcer.

5.ANDRE FORHOLD

•Planer for gennemførelsen og foranstaltninger til overvågning, evaluering og rapportering

På grund af den dynamiske karakter af den digitale omstilling af sundhed vil overvågning af tendensen for virkningerne af det europæiske sundhedsdataområde udgøre en central del af indsatsen på dette område. For at sikre, at de valgte politiske foranstaltninger rent faktisk giver de ønskede resultater, og skabe grundlag for eventuelle fremtidige revisioner, er det nødvendigt at overvåge og evaluere gennemførelsen af dette forslag.

Overvågningen af de specifikke mål og de lovgivningsmæssige forpligtelser vil først og fremmest blive opnået gennem indberetning fra digitale sundhedsmyndigheder og organer med ansvar for adgang til sundhedsdata. Derudover vil der blive foretaget overvågning af MyHealth@EU og af infrastrukturen for sekundær anvendelse af elektroniske sundhedsdata.

Gennemførelsen af infrastrukturerne, navnlig gennemførelsen af den europæiske platform for den nye infrastruktur til sekundær anvendelse af elektroniske sundhedsdata, vil ske i overensstemmelse med Kommissionens overordnede IT-forvaltningsramme. Valg, der træffes i forbindelse med IT-udvikling og offentlige udbud vedrørende IT, skal derfor forhåndsgodkendes af Europa-Kommissionens Råd for Informationsteknologi og Cybersikkerhed.

•Nærmere redegørelse for de enkelte bestemmelser i forslaget

Kapitel I præsenterer forordningens genstand og anvendelsesområde, fastsætter de definitioner, der anvendes i hele instrumentet, og forklarer dets sammenhæng med andre EU-instrumenter.

I kapitel II udvikles de yderligere rettigheder og mekanismer, der skal supplere den fysiske persons rettigheder i henhold til databeskyttelsesforordningen i forbindelse med vedkommendes elektroniske sundhedsdata. Det beskriver desuden forskellige typer sundhedsprofessionelles forpligtelser med hensyn til elektroniske sundhedsdata. Nogle typer elektroniske sundhedsdata er udpeget som en prioritet, der skal integreres i det europæiske sundhedsdataområde i en trinvis proces med en overgangsperiode. Medlemsstaterne skal oprette en digital sundhedsmyndighed, der er ansvarlig for at overvåge disse rettigheder og mekanismer og for at sikre, at disse yderligere rettigheder for fysiske personer gennemføres korrekt. Dette kapitel indeholder bestemmelser om interoperabilitet mellem visse sundhedsrelaterede datasæt. Medlemsstaterne skal også udpege nationale kontaktpunkter, der har til opgave at håndhæve forpligtelserne og kravene i dette kapitel. Endelig er der udformet en fælles infrastruktur MyHealth@EU med henblik på at tilvejebringe infrastruktur til fremme af grænseoverskridende udveksling af elektroniske sundhedsdata.

Kapitel III fokuserer på at indføre en obligatorisk selvcertificeringsordning for EPJ-systemer, hvor sådanne systemer skal opfylde væsentlige krav vedrørende interoperabilitet og sikkerhed. Denne tilgang er nødvendig for at sikre, at elektroniske patientjournaler er kompatible mellem de enkelte systemer og gør det let at overføre elektroniske sundhedsdata mellem dem. I dette kapitel fastlægges forpligtelserne for hver enkelt erhvervsdrivende, der leverer EPJ-systemer, kravene vedrørende sådanne EPJ-systemers overensstemmelse samt forpligtelserne for markedsovervågningsmyndighederne med ansvar for EPJ-systemer i forbindelse med deres markedsovervågningsaktiviteter. Dette kapitel indeholder også bestemmelser om frivillig mærkning af wellnessapps, der er interoperable med EPJ-systemer, og opretter en EU-database, hvor certificerede EPJ-systemer og mærkede wellnessapplikationer vil blive registreret.

Kapitel IV letter sekundær anvendelse af elektroniske sundhedsdata, f.eks. til forskning, innovation, politikudformning, patientsikkerhed eller lovgivningsmæssige aktiviteter. Det definerer et sæt datatyper, der kan anvendes til definerede formål, samt forbudte formål (f.eks. brug af data mod personer, kommerciel reklame, højere forsikringspræmier, udvikling af farlige produkter). Medlemsstaterne skal oprette et organ med ansvar for adgang til sundhedsdata til sekundær anvendelse af elektroniske sundhedsdata og sikre, at dataindehavere stiller elektroniske data til rådighed for databrugere. Dette kapitel indeholder også bestemmelser om gennemførelse af dataaltruisme på sundhedsområdet. De opgaver og forpligtelser, der påhviler organet med ansvar for adgang til sundhedsdata, dataindehaverne og databrugerne, fastsættes også. Dataindehavere bør navnlig samarbejde med organet med ansvar for adgang til sundhedsdata for at sikre tilgængeligheden af elektroniske sundhedsdata for databrugere. Endvidere defineres ansvarsområderne for organer med ansvar for adgang til sundhedsdata og databrugere som fælles dataansvarlige for de behandlede elektroniske sundhedsdata.

Sekundær anvendelse af elektroniske sundhedsdata kan medføre omkostninger. Dette kapitel indeholder generelle bestemmelser om gennemsigtighed i beregningen af gebyrer. På det praktiske plan fastsættes der navnlig krav til sikkerheden i det sikre databehandlingsmiljø. Et sådant sikkert databehandlingsmiljø er nødvendigt for at få adgang til og behandle elektroniske sundhedsdata i henhold til dette kapitel. Betingelserne og de oplysninger, der kræves i formularen til anmodning om oplysninger for at få adgang til elektroniske sundhedsdata, er anført i afdeling 3. De betingelser, der er knyttet til udstedelsen af datatilladelsen, beskrives også.

Afdeling 4 i dette kapitel indeholder hovedsagelig bestemmelser om etablering og fremme af grænseoverskridende adgang til elektroniske sundhedsdata, således at en databruger i én medlemsstat kan få adgang til elektroniske sundhedsdata til sekundær anvendelse fra andre medlemsstater uden at skulle anmode om en datatilladelse fra alle disse medlemsstater. Den grænseoverskridende infrastruktur, der er udformet med henblik på at muliggøre en sådan proces, og dens drift beskrives også.

Endelig indeholder dette kapitel bestemmelser om beskrivelse af datasæt og deres kvalitet. Det vil gøre det muligt for databrugere at kende indholdet og den potentielle kvalitet af det anvendte datasæt og give dem mulighed for at vurdere, om disse datasæt var egnede til formålet.

Kapitel V har til formål at foreslå andre foranstaltninger til fremme af medlemsstaternes kapacitetsopbygning i forbindelse med udviklingen af det europæiske sundhedsdataområde. Disse omfatter udveksling af oplysninger om digitale offentlige tjenester, finansiering osv. Desuden regulerer dette kapitel den internationale adgang til andre data end personoplysninger i det europæiske sundhedsdataområde.

Kapitel VI opretter det nye udvalg for det europæiske sundhedsdataområde, som vil lette samarbejdet mellem digitale sundhedsmyndigheder og organer med ansvar for adgang til sundhedsdata, navnlig forholdet mellem primær og sekundær anvendelse af elektroniske sundhedsdata. Der kan nedsættes særlige undergrupper om f.eks. primær anvendelse af elektroniske sundhedsdata og sekundær anvendelse af elektroniske sundhedsdata, som kan fokusere på specifikke spørgsmål eller processer. Udvalget vil få til opgave at fremme samarbejdet mellem digitale sundhedsmyndigheder og organer med ansvar for adgang til sundhedsdata. Dette kapitel indeholder også bestemmelser om udvalgets sammensætning og om, hvordan det fungerer.

Desuden indeholder dette kapitel bestemmelser vedrørende de fælles dataansvarsgrupper for EU-infrastruktur, som får til opgave at træffe beslutninger vedrørende den grænseoverskridende digitale infrastruktur, der er nødvendig for både primær og sekundær anvendelse af elektroniske sundhedsdata.

Kapitel VII giver Kommissionen mulighed for at vedtage delegerede retsakter om det europæiske sundhedsdataområde. Efter vedtagelsen af forslaget agter Kommissionen at nedsætte en ekspertgruppe i overensstemmelse med afgørelse C(2016) 3301 med henblik på at rådgive og bistå den i udarbejdelsen af delegerede retsakter samt i spørgsmål vedrørende gennemførelsen af forordningen for så vidt angår:

–skabelse af holdbare økonomiske og sociale fordele i forbindelse med europæiske digitale sundhedssystemer og -tjenester samt interoperable applikationer med henblik på at opnå en høj grad af tillid og sikkerhed, styrke kontinuiteten i behandlingen og sikre adgang til sikre sundhedsydelser af høj kvalitet

–forbedring af interoperabiliteten mellem elektroniske sundhedsdata til sundhedspleje på grundlag af eksisterende europæiske, internationale eller nationale standarder og erfaringer med andre dataområder

–harmoniseret gennemførelse af adgang til og deling af elektroniske sundhedsdata til primær anvendelse på nationalt plan og EU-plan

–interoperabilitet mellem EPJ-systemer og andre produkter, der overfører data til elektroniske patientjournaler, herunder medicinsk udstyr, AI-systemer og wellnessapplikationer. Hvis det er relevant, samarbejder ekspertgruppen med Koordinationsgruppen for Medicinsk Udstyr og Det Europæiske Udvalg for Kunstig Intelligens

–kategorier af elektroniske sundhedsdata til sekundær anvendelse, der som minimum skal indgå

–harmoniseret gennemførelse af adgang til elektroniske sundhedsdata til sekundær anvendelse på nationalt plan og EU-plan

–dataaltruistiske aktiviteter i sundhedssektoren

–harmoniseret gebyrpolitik for sekundær anvendelse af elektroniske sundhedsdata

–sanktioner, der anvendes af organer med ansvar for adgang til sundhedsdata

–minimumskrav og tekniske specifikationer for HealthData@EU og sikre databehandlingsmiljøer

–krav til og tekniske specifikationer for datakvalitets- og dataudnyttelsesmærket

–minimumsdatasæt

–tekniske krav til støtte for dataaltruisme i sundhedssektoren

–andre elementer i forbindelse med primær og sekundær anvendelse af elektroniske sundhedsdata.

Ekspertgruppen kan samarbejde med og høre Koordinationsgruppen for Medicinsk Udstyr og Det Europæiske Udvalg for Kunstig Intelligens, hvis det er relevant.

Kapitel VIII indeholder bestemmelser om samarbejde og sanktioner og fastsætter afsluttende bestemmelser.

2022/0140 (COD)

Forslag til

EUROPA-PARLAMENTETS OG RÅDETS FORORDNING

om det europæiske sundhedsdataområde

(EØS-relevant tekst)

EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 16 og 114,

under henvisning til forslag fra Europa-Kommissionen,

efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,

under henvisning til udtalelse fra Det Europæiske Økonomiske og Sociale Udvalg 39 ,

under henvisning til udtalelse fra Regionsudvalget 40 ,

efter den almindelige lovgivningsprocedure, og

ud fra følgende betragtninger:

(1)Formålet med denne forordning er at oprette det europæiske sundhedsdataområde for at forbedre fysiske personers adgang til og kontrol med deres personlige elektroniske sundhedsdata i forbindelse med sundhedsydelser (primær anvendelse af elektroniske sundhedsdata) samt til andre formål, der vil være til gavn for samfundet, såsom forskning, innovation, politikudformning, patientsikkerhed, personlige lægemidler, officielle statistikker eller lovgivningsmæssige aktiviteter (sekundær anvendelse af elektroniske sundhedsdata). Formålet med denne forordning er endvidere at forbedre det indre markeds funktion ved at fastlægge ensartede retlige rammer, navnlig for udvikling, markedsføring og anvendelse af elektroniske patientjournaler ("EPJ-systemer") i overensstemmelse med Unionens værdier.

(2)Covid-19-pandemien har understreget, at det er bydende nødvendigt at have rettidig adgang til elektroniske sundhedsdata til beredskab og indsats over for sundhedstrusler samt til diagnosticering og behandling og sekundær anvendelse af sundhedsdata. En sådan rettidig adgang ville gennem effektiv overvågning af folkesundheden have bidraget til en mere effektiv håndtering af pandemien og ville i sidste ende have bidraget til at redde liv. I 2020 tilpassede Kommissionen hurtigt sit kliniske patientstyringssystem, der blev oprettet ved Kommissionens gennemførelsesafgørelse (EU) 2019/1269 41 , for at give medlemsstaterne mulighed for at dele elektroniske sundhedsdata om covid-19-patienter, der flyttede mellem sundhedstjenesteydere og medlemsstater, da pandemien var på sit højeste, men dette var kun en nødløsning, der viste, at der var behov for en strukturel tilgang i medlemsstaterne og på EU-plan.

(3)Covid-19-krisen forankrede arbejdet i e-sundhedsnetværket, som er et frivilligt netværk af digitale sundhedsmyndigheder, som den vigtigste søjle i udviklingen af mobile kontaktopsporings- og varslingsapplikationer og de tekniske aspekter af EU's digitale covidcertifikater. Den fremhævede også behovet for at dele elektroniske sundhedsdata, der er søgbare, tilgængelige, interoperable og genanvendelige ("FAIR-principperne"), og sikre, at elektroniske sundhedsdata er så åbne som muligt og så lukkede som nødvendigt. Der bør sikres synergier mellem det europæiske sundhedsdataområde, den europæiske åbne videnskabscloud 42 og de europæiske forskningsinfrastrukturer samt erfaringerne fra datadelingsløsninger, der er udviklet under den europæiske covid-19-dataplatform.

(4)Behandlingen af elektroniske sundhedsdata er underlagt bestemmelserne i Europa-Parlamentets og Rådets forordning (EU) 2016/679 43 og for Unionens institutioners og organers vedkommende Europa-Parlamentets og Rådets forordning (EU) 2018/1725 44 . Henvisninger til bestemmelserne i forordning (EU) 2016/679 bør også forstås som henvisninger til de tilsvarende bestemmelser i forordning (EU) 2018/1725 for Unionens institutioner og organer, hvor det er relevant.

(5)Flere og flere europæere krydser landegrænser for at arbejde, studere, besøge slægtninge eller rejse. For at lette udvekslingen af sundhedsdata og i overensstemmelse med behovet for at styrke borgernes indflydelse bør de kunne få adgang til deres sundhedsdata i et elektronisk format, der kan anerkendes og accepteres i hele Unionen. Sådanne personlige elektroniske sundhedsdata kan omfatte personoplysninger vedrørende en fysisk persons fysiske eller mentale sundhed, herunder brug af sundhedsydelser, som afslører oplysninger om vedkommendes helbredstilstand, personoplysninger vedrørende en fysisk persons arvede eller erhvervede genetiske karakteristika, som giver entydig information om den pågældende fysiske persons fysiologi eller helbred, og som navnlig foreligger efter en analyse af en biologisk prøve fra den pågældende fysiske person, samt datadeterminanter for sundhed såsom adfærd, miljø, fysiske påvirkninger, lægebehandling, sociale eller uddannelsesmæssige faktorer. Elektroniske sundhedsdata omfatter også data, der oprindeligt er indsamlet med henblik på forskning, statistik, politikudformning eller lovgivningsmæssige formål, og som kan stilles til rådighed i henhold til reglerne i kapitel IV. De elektroniske sundhedsdata vedrører alle kategorier af disse data, uanset om sådanne oplysninger leveres af den registrerede eller andre fysiske eller juridiske personer såsom sundhedsprofessionelle eller behandles i forbindelse med en fysisk persons sundhed eller velbefindende, og bør også omfatte afledte og udledte data såsom diagnostik, test og lægeundersøgelser samt data, der observeres og registreres automatisk.

(6)Kapitel III i forordning (EU) 2016/679 indeholder specifikke bestemmelser om fysiske personers rettigheder i forbindelse med behandling af deres personoplysninger. Det europæiske sundhedsdataområde bygger på disse rettigheder og bygger videre på nogle af dem. Det europæiske sundhedsdataområde bør støtte en sammenhængende gennemførelse af disse rettigheder som gældende for elektroniske sundhedsdata, uanset i hvilken medlemsstat de personlige elektroniske sundhedsdata behandles, hvilken type sundhedstjenesteyder der er tale om, datakilder eller den fysiske persons forsikringsmedlemsstat. Rettighederne og reglerne vedrørende den primære anvendelse af personlige elektroniske sundhedsdata i henhold til kapitel II og III i denne forordning vedrører alle kategorier af disse data, uanset hvordan de er blevet indsamlet, eller hvem der har leveret dem, retsgrundlaget for behandlingen i henhold til forordning (EU) 2016/679 eller den dataansvarliges status som en offentlig eller privat organisation.

(7)I sundhedssystemerne indsamles personlige elektroniske sundhedsdata normalt i elektroniske patientjournaler, som typisk indeholder en fysisk persons sygehistorie, diagnoser og behandling, medicin, allergier, immunisering samt radiologiske billeder og laboratorieresultater, som spredes mellem forskellige enheder i sundhedssystemet (praktiserende læger, hospitaler, apoteker, plejetjenester). For at gøre det muligt for fysiske personer eller sundhedsprofessionelle at få adgang til, dele og ændre disse elektroniske sundhedsdata har nogle medlemsstater truffet de nødvendige retlige og tekniske foranstaltninger og etableret centraliserede infrastrukturer, der forbinder EPJ-systemer, der anvendes af sundhedstjenesteydere og fysiske personer. Alternativt støtter nogle medlemsstater offentlige og private sundhedstjenesteydere i at oprette personlige sundhedsdataområder for at muliggøre interoperabilitet mellem forskellige sundhedstjenesteydere. Flere medlemsstater har også støttet eller leveret adgang til sundhedsdata for patienter og sundhedsprofessionelle (f.eks. gennem portaler for patienter eller sundhedsprofessionelle). De har også truffet foranstaltninger til at sikre, at EPJ-systemer eller wellnessapplikationer er i stand til at overføre elektroniske sundhedsdata med det centrale EPJ-system (nogle medlemsstater gør dette ved f.eks. at have et certificeringssystem). Det er imidlertid ikke alle medlemsstater, der har indført sådanne systemer, og de medlemsstater, der har, har gjort det på en fragmenteret måde. For at lette den frie udveksling af personlige sundhedsdata i hele Unionen og undgå negative konsekvenser for patienter, når de modtager sundhedsydelser i grænseoverskridende sammenhæng, er der behov for en indsats på EU-plan for at sikre, at borgerne har bedre kendskab til deres egne personlige elektroniske sundhedsdata og har ret til at dele dem.

(8)Retten til adgang til data for en fysisk person, der er fastsat i artikel 15 i forordning (EU) 2016/679, bør videreudvikles i sundhedssektoren. I henhold til forordning (EU) 2016/679 behøver dataansvarlige ikke straks at give adgang. Selv om patientportaler, mobilapplikationer og andre tjenester til adgang til personlige sundhedsdata findes mange steder, herunder nationale løsninger i nogle medlemsstater, sikres retten til adgang til sundhedsdata stadig ofte mange steder gennem levering af de ønskede sundhedsdata i papirformat eller som scannede dokumenter, hvilket er tidskrævende. Dette kan i alvorlig grad forringe fysiske personers rettidige adgang til sundhedsdata og kan have en negativ indvirkning på fysiske personer, der har brug for en sådan adgang straks på grund af en akut helbredsmæssig situation.

(9)Samtidig bør det tages i betragtning, at øjeblikkelig adgang til visse typer personlige elektroniske sundhedsdata kan være skadelig for fysiske personers sikkerhed, uetisk eller uhensigtsmæssig. Det kan f.eks. være uetisk at informere en patient via en elektronisk kanal om, at vedkommende er blevet diagnosticeret med en uhelbredelig sygdom, som sandsynligvis vil føre til snarlig død, i stedet for at give disse oplysninger i en konsultation med patienten først. Der bør derfor sikres mulighed for begrænsede undtagelser i forbindelse med gennemførelsen af denne ret. Medlemsstaterne kan indføre en sådan undtagelse, hvis den udgør en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund i overensstemmelse med kravene i artikel 23 i forordning (EU) 2016/679. Sådanne begrænsninger bør gennemføres ved at udsætte visningen af de pågældende personlige elektroniske sundhedsdata for den fysiske person i en begrænset periode. Hvis sundhedsdata kun er tilgængelige på papir, og hvis indsatsen for at gøre data tilgængelige elektronisk udgør en uforholdsmæssig byrde, bør medlemsstaterne ikke være forpligtet til at konvertere sådanne sundhedsdata til elektronisk format. Enhver digital omstilling i sundhedssektoren bør sigte mod at være inklusiv og også tage hensyn til fysiske personer med begrænset adgang til og brug af digitale tjenester. Fysiske personer bør kunne give tilladelse til fysiske personer efter eget valg, f.eks. til deres pårørende eller andre nærtstående, således at de kan få adgang til eller kontrollere adgangen til deres personlige elektroniske sundhedsdata eller anvende digitale sundhedstjenester på deres vegne. Sådanne tilladelser kan også lette processen i andre situationer. Medlemsstaterne bør oprette fuldmagtstjenester med henblik på at kunne anvende disse tilladelser, og de bør være knyttet til tjenester for adgang til personlige sundhedsdata, såsom patientportaler på patientorienterede mobilapplikationer. Fuldmagtstjenesterne bør også gøre det muligt for værger at handle på vegne af deres forsørgelsesberettigede børn. I sådanne situationer kan tilladelserne være automatiske. For at tage hensyn til tilfælde, hvor visningen af visse personlige elektroniske sundhedsdata om mindreårige for deres værger kan være i strid med den mindreåriges interesser eller vilje, bør medlemsstaterne kunne fastsætte sådanne begrænsninger og garantier i national ret samt den nødvendige tekniske gennemførelse. Tjenester for adgang til personlige sundhedsdata, såsom patientportaler eller mobilapplikationer, bør gøre brug af sådanne tilladelser og dermed gøre det muligt for autoriserede fysiske personer at få adgang til personlige elektroniske sundhedsdata, der er omfattet af tilladelsen, således at de kan opnå den ønskede virkning.

(10)Nogle medlemsstater tillader fysiske personer at tilføje elektroniske sundhedsdata til deres EPJ'er eller at lagre yderligere oplysninger i deres særskilte personlige helbredsjournaler, som sundhedsprofessionelle kan få adgang til. Dette er imidlertid ikke en fælles praksis i alle medlemsstater og bør derfor indføres under det europæiske sundhedsdataområde i hele EU. Oplysninger, der indlæses af fysiske personer, er muligvis ikke så pålidelige som elektroniske sundhedsdata, der indlæses og verificeres af sundhedsprofessionelle, og de bør derfor tydeligt markeres for at angive kilden til sådanne supplerende data. Ved at give fysiske personer lettere og hurtigere adgang til deres elektroniske sundhedsdata får de også mulighed for at gøre opmærksom på eventuelle fejl såsom forkerte oplysninger eller fejlagtigt tildelte patientjournaler og få dem rettet i medfør af deres rettigheder i henhold til forordning (EU) 2016/679. I sådanne tilfælde bør fysiske personer have mulighed for straks og gratis at anmode om berigtigelse af ukorrekte elektroniske sundhedsdata online, f.eks. via tjenesten for adgang til personlige sundhedsdata. Anmodninger om berigtigelse af oplysninger bør vurderes og, hvor det er relevant, gennemføres af de dataansvarlige fra sag til sag, om nødvendigt med inddragelse af sundhedsprofessionelle.

(11)Fysiske personer bør have yderligere beføjelser til at udveksle og give adgang til personlige elektroniske sundhedsdata til sundhedsprofessionelle efter eget valg, der går videre end retten til dataportabilitet som fastsat i artikel 20 i forordning (EU) 2016/679. Dette er nødvendigt for at imødegå de objektive vanskeligheder og hindringer i den nuværende situation. I henhold til forordning (EU) 2016/679 er portabilitet begrænset til data, der behandles på grundlag af samtykke eller kontrakt, hvilket udelukker data, der behandles i henhold til andre retsgrundlag, herunder når behandlingen er baseret på lovgivning, f.eks. når behandlingen er nødvendig af hensyn til udførelsen af en opgave i samfundets interesse eller henhørende under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt. Det vedrører kun oplysninger fra den registrerede til en dataansvarlig, bortset fra mange afledte eller indirekte data, såsom diagnoser eller test. Endelig har den fysiske person i henhold til forordning (EU) 2016/679 kun ret til at få personoplysningerne videregivet direkte fra en dataansvarlig til en anden, hvis det er teknisk muligt. Den forordning pålægger imidlertid ikke en forpligtelse til at gøre denne direkte transmission teknisk mulig. Alle disse elementer begrænser dataportabiliteten og kan begrænse fordelene ved levering af sikre og effektive sundhedsydelser af høj kvalitet til den fysiske person.

(12)Fysiske personer bør kunne udøve kontrol med overførslen af personlige elektroniske sundhedsdata til andre sundhedstjenesteydere. Sundhedstjenesteydere og andre organisationer, der leverer EPJ'er, bør lette udøvelsen af denne ret. Interessenter såsom sundhedstjenesteydere, udbydere af digitale sundhedstjenester, fabrikanter af EPJ-systemer eller medicinsk udstyr bør ikke begrænse eller blokere udøvelsen af retten til portabilitet på grund af anvendelsen af ejendomsretligt beskyttede standarder eller andre foranstaltninger, der er truffet for at begrænse portabiliteten. Af disse grunde bygger den ramme, der fastsættes ved denne forordning, på retten til dataportabilitet, der er fastsat i forordning (EU) 2016/679, ved at sikre, at fysiske personer som registrerede kan overføre deres elektroniske sundhedsdata, herunder afledte data, uanset retsgrundlaget for behandling af de elektroniske sundhedsdata. Denne ret bør gælde for elektroniske sundhedsdata, der behandles af offentlige eller private dataansvarlige, uanset retsgrundlaget for behandling af oplysningerne i henhold til forordning (EU) 2016/679. Denne ret bør gælde for alle elektroniske sundhedsdata.

(13)Fysiske personer ønsker måske ikke at give adgang til visse dele af deres personlige elektroniske sundhedsdata, men vil samtidig gerne give adgang til andre dele. En sådan selektiv deling af personlige elektroniske sundhedsdata bør støttes. Sådanne begrænsninger kan imidlertid have livstruende konsekvenser, og adgang til personlige elektroniske sundhedsdata bør derfor være muligt for at beskytte vitale interesser som en afvigelse i en nødsituation. Ifølge forordning (EU) 2016/679 henviser vitale interesser til situationer, hvor det er nødvendigt at beskytte et hensyn af fundamental betydning for den registreredes eller en anden fysisk persons liv. Behandling af personlige elektroniske sundhedsdata på grundlag af en anden fysisk persons vitale interesser bør i princippet kun finde sted, hvis behandlingen tydeligvis ikke kan baseres på et andet retsgrundlag. Mere specifikke retlige bestemmelser om mekanismerne for begrænsninger, som den fysiske person pålægger dele af deres personlige elektroniske sundhedsdata, bør fastsættes af medlemsstaterne i national ret. Da manglende adgang til begrænsede personlige elektroniske sundhedsdata kan påvirke leveringen eller kvaliteten af de sundhedsydelser, der leveres til den fysiske person, bør den pågældende påtage sig ansvaret for, at sundhedstjenesteyderen ikke kan tage dataene i betragtning, når vedkommende leverer sundhedsydelser.

(14)I forbindelse med det europæiske sundhedsdataområde bør fysiske personer kunne udøve deres rettigheder, som de er nedfældet i forordning (EU) 2016/679. De tilsynsmyndigheder, der er oprettet i henhold til artikel 51 i forordning (EU) 2016/679, bør fortsat være kompetente, navnlig med hensyn til at overvåge behandlingen af personlige elektroniske sundhedsdata og behandle klager fra fysiske personer. For at kunne udføre deres opgaver i sundhedssektoren og værne om fysiske personers rettigheder bør digitale sundhedsmyndigheder samarbejde med tilsynsmyndighederne i henhold til forordning (EU) 2016/679.

(15)Artikel 9, stk. 2, litra h), i forordning (EU) 2016/679 fastsætter undtagelser, hvis behandling af følsomme data er nødvendig med henblik på forebyggende medicin eller arbejdsmedicin til vurdering af arbejdstagerens erhvervsevne, medicinsk diagnose, ydelse af social- og sundhedsomsorg eller -behandling eller forvaltning af social- og sundhedsomsorg og -tjenester på grundlag af EU-retten eller medlemsstaternes nationale ret. Denne forordning bør fastsætte betingelser og garantier for sundhedstjenesteydernes og sundhedsprofessionelles behandling af elektroniske sundhedsdata i overensstemmelse med artikel 9, stk. 2, litra h), i forordning (EU) 2016/679 med henblik på at få adgang til personlige elektroniske sundhedsdata, der leveres af den fysiske person eller overføres fra andre sundhedstjenesteydere. Denne forordning bør dog ikke berøre de nationale love om behandling af sundhedsdata, herunder den lovgivning, der fastsætter, hvilke kategorier af sundhedsprofessionelle der må behandle forskellige kategorier af elektroniske sundhedsdata.

(16)Rettidig og fuld adgang for sundhedsprofessionelle til patientjournaler er afgørende for at sikre kontinuitet i behandlingen og undgå dobbeltarbejde og fejl. På grund af manglende interoperabilitet kan sundhedsprofessionelle imidlertid i mange tilfælde ikke få adgang til deres patienters fuldstændige patientjournaler og kan ikke træffe optimale medicinske beslutninger vedrørende deres diagnose og behandling, hvilket medfører betydelige omkostninger for både sundhedssystemerne og fysiske personer og kan føre til ringere sundhedsresultater for fysiske personer. Elektroniske sundhedsdata, der stilles til rådighed i interoperabelt format, og som kan overføres mellem sundhedstjenesteydere, kan også mindske den administrative byrde for sundhedsprofessionelle ved manuelt at indlæse eller kopiere sundhedsdata mellem elektroniske systemer. Sundhedsprofessionelle bør derfor udstyres med passende elektroniske midler, såsom portaler for sundhedsprofessionelle, så de kan bruge personlige elektroniske sundhedsdata i udførelsen af deres opgaver. Desuden bør adgangen til personlige patientjournaler være gennemsigtig for de fysiske personer, og fysiske personer bør kunne udøve fuld kontrol over en sådan adgang, herunder ved at begrænse adgangen til alle eller en del af de personlige elektroniske sundhedsdata i deres registre. Sundhedsprofessionelle bør ikke hindre gennemførelsen af fysiske personers rettigheder, f.eks. ved at nægte at tage hensyn til elektroniske sundhedsdata, der stammer fra en anden medlemsstat og leveres i det interoperable og pålidelige europæiske format for udveksling af elektroniske patientjournaler.

(17)Relevansen af forskellige kategorier af elektroniske sundhedsdata for forskellige sundhedsscenarier varierer. Forskellige kategorier har også opnået forskellige grader af modenhed med hensyn til standardisering, og derfor kan gennemførelsen af mekanismer til udveksling af dem være mere eller mindre kompleks afhængigt af kategorien. Derfor bør forbedringen af interoperabiliteten og dataudvekslingen ske gradvist, og der er behov for prioritering af kategorier af elektroniske sundhedsdata. Kategorier af elektroniske sundhedsdata såsom patientresuméer, elektroniske recepter og elektronisk medicinudlevering, laboratorieresultater og -rapporter, udskrivningsrapporter, medicinske billeder og rapporter er blevet udvalgt af e-sundhedsnetværket som de mest relevante for de fleste sundhedssituationer og bør betragtes som prioriterede kategorier for medlemsstaterne med henblik på at sikre adgangen til dem og overførslen heraf. Når der identificeres yderligere behov for udveksling af flere kategorier af elektroniske sundhedsdata med henblik på sundhedspleje, bør listen over prioriterede kategorier udvides. Kommissionen bør tillægges beføjelser til at udvide listen over prioriterede kategorier efter at have analyseret relevante aspekter vedrørende nødvendigheden af og muligheden for udveksling af nye datasæt, såsom støtte fra systemer, der er oprettet nationalt eller regionalt af medlemsstaterne. Der bør lægges særlig vægt på dataudveksling i grænseregioner i nabomedlemsstater, hvor leveringen af grænseoverskridende sundhedsydelser er hyppigere og kræver endnu hurtigere procedurer end i hele Unionen generelt.

(18)Adgang til og deling af elektroniske sundhedsdata bør være mulig for alle de data, der findes i en fysisk persons EPJ, når det er teknisk muligt. Nogle elektroniske sundhedsdata er dog måske ikke struktureret eller kodet, og overførslen mellem sundhedstjenesteydere kan være begrænset eller kun mulig i formater, der ikke giver mulighed for oversættelse (når data deles på tværs af grænserne). For at give tilstrækkelig tid til at forberede gennemførelsen bør der fastsættes datoer for udsat anvendelse for at blive klar til overførsel af forskellige kategorier af elektroniske sundhedsdata juridisk, organisatorisk, semantisk og teknisk. Når der konstateres et behov for udveksling af nye kategorier af elektroniske sundhedsdata, bør der fastsættes tilknyttede anvendelsesdatoer for at muliggøre gennemførelsen af denne udveksling.

(19)Graden af tilgængelighed af personlige sundhedsdata og genetiske data i elektronisk format varierer fra medlemsstat til medlemsstat. Det europæiske sundhedsdataområde bør gøre det lettere for fysiske personer at få adgang til disse data i elektronisk format. Dette vil også bidrage til at nå målet om, at 100 % af EU-borgerne skal have adgang til deres elektroniske patientjournaler senest i 2030, jf. det politiske program "Vejen mod det digitale årti". For at gøre elektroniske sundhedsdata tilgængelige og overførbare bør sådanne data tilgås og overføres i et interoperabelt fælles europæisk format for udveksling af elektroniske patientjournaler, i det mindste for visse kategorier af elektroniske sundhedsdata, såsom patientresuméer, elektroniske recepter og elektronisk medicinudlevering, medicinske billeder og billedrapporter, laboratorieresultater og udskrivnings-rapporter, med forbehold af overgangsperioder. Når personlige elektroniske sundhedsdata stilles til rådighed for en sundhedstjenesteyder eller et apotek af en fysisk person eller overføres af en anden dataansvarlig i det europæiske format for udveksling af elektroniske patientjournaler, bør de elektroniske sundhedsdata læses og accepteres med henblik på levering af sundhedsydelser eller udlevering af et lægemiddel, hvilket dermed understøtter leveringen af sundhedsydelser eller udleveringen af den elektroniske recept. Kommissionens henstilling (EU) 2019/243 45 danner grundlag for et sådant fælles europæisk format for udveksling af elektroniske patientjournaler. Anvendelsen af det europæiske format for udveksling af elektroniske patientjournaler bør gøres mere udbredt på EU-plan og nationalt plan. Mens e-sundhedsnetværket i henhold til artikel 14 i Europa-Parlamentets og Rådets direktiv 2011/24/EU 46 anbefalede medlemsstaterne at anvende det europæiske format for udveksling af elektroniske patientjournaler i forbindelse med udbud, var udbredelsen begrænset i praksis for at forbedre interoperabiliteten, hvilket resulterede i et fragmenteret landskab og ulige adgang til og portabilitet af elektroniske sundhedsdata.

(20)Selv om EPJ-systemerne er vidt udbredte, varierer digitaliseringsniveauet for sundhedsdata i medlemsstaterne afhængigt af datakategorier og antallet af sundhedstjenesteydere, der registrerer sundhedsdata i elektronisk format. For at støtte gennemførelsen af de registreredes ret til adgang til og udveksling af elektroniske sundhedsdata er der behov for en EU-indsats for at undgå yderligere fragmentering. For at bidrage til sundhedsydelsernes høje kvalitet og kontinuitet bør visse kategorier af sundhedsdata registreres systematisk i elektronisk format og i overensstemmelse med specifikke datakvalitetskrav. Det europæiske format for udveksling af elektroniske patientjournaler bør danne grundlag for specifikationer vedrørende registrering og udveksling af elektroniske sundhedsdata. Kommissionen bør tillægges beføjelser til at vedtage gennemførelsesretsakter med henblik på at fastlægge yderligere aspekter vedrørende registrering af elektroniske sundhedsdata, såsom kategorier af sundhedstjenesteydere, der skal registrere sundhedsdata elektronisk, kategorier af data, der skal registreres elektronisk, eller datakvalitetskrav.

(21)I henhold til traktatens artikel 168 er medlemsstaterne ansvarlige for deres sundhedspolitik, navnlig for så vidt angår beslutninger om tjenesteydelser (herunder telemedicin), som de leverer og godtgør. Forskellige godtgørelsespolitikker bør dog ikke udgøre hindringer for den frie bevægelighed for digitale sundhedstjenester såsom telemedicin, herunder onlineapotekertjenester. Når digitale tjenester ledsager den fysiske levering af en sundhedsydelse, bør den digitale tjeneste medtages i den samlede plejeydelse.

(22)Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 47 fastsætter de betingelser, hvorunder medlemsstaterne foretager identifikation af fysiske personer i grænseoverskridende situationer ved hjælp af identifikationsmidler udstedt af en anden medlemsstat, og fastsætter regler for gensidig anerkendelse af sådanne elektroniske identifikationsmidler. Det europæiske sundhedsdataområde kræver sikker adgang til elektroniske sundhedsdata, herunder i grænseoverskridende scenarier, hvor den sundhedsprofessionelle og den fysiske person er fra forskellige medlemsstater, for at undgå tilfælde af uautoriseret adgang. Samtidig bør anvendelsen af forskellige elektroniske identifikationsmidler ikke være en hindring for udøvelsen af fysiske personers og sundhedsprofessionelles rettigheder. Udrulningen af interoperable, grænseoverskridende identifikations- og autentifikationsmekanismer for fysiske personer og sundhedsprofessionelle på tværs af det europæiske sundhedsdataområde kræver en styrkelse af samarbejdet på EU-plan i udvalget for det europæiske sundhedsdataområde. Da fysiske personers rettigheder i forbindelse med adgang til og overførsel af personlige elektroniske sundhedsdata bør håndteres på samme måde i hele Unionen, er der behov for en stærk styring og koordinering på både EU-plan og medlemsstatsplan. Medlemsstaterne bør oprette relevante digitale sundhedsmyndigheder til planlægning og gennemførelse af standarder for adgang til og overførsel af elektroniske sundhedsdata samt håndhævelse af fysiske personers og sundhedsprofessionelles rettigheder. Desuden er der behov for forvaltningsstrukturer i medlemsstaterne for at lette de nationale aktørers deltagelse i samarbejdet på EU-plan, kanalisere ekspertise og rådgive om udformningen af de løsninger, der er nødvendige for at nå målene for det europæiske sundhedsdataområde. Der findes digitale sundhedsmyndigheder i de fleste medlemsstater, og de beskæftiger sig med EPJ'er, interoperabilitet, sikkerhed eller standardisering. Digitale sundhedsmyndigheder bør oprettes i alle medlemsstater som særskilte organisationer eller som en del af de eksisterende myndigheder.

(23)Digitale sundhedsmyndigheder bør have tilstrækkelige tekniske færdigheder og eventuelt samle eksperter fra forskellige organisationer. De digitale sundhedsmyndigheders aktiviteter bør planlægges og overvåges grundigt for at sikre, at de er effektive. Digitale sundhedsmyndigheder bør træffe de nødvendige foranstaltninger til at sikre fysiske personers rettigheder ved at indføre nationale, regionale og lokale tekniske løsninger såsom nationale EPJ'er, patientportaler og dataformidlingstjenester. I den forbindelse bør de anvende fælles standarder og specifikationer i sådanne løsninger, fremme anvendelsen af standarder og specifikationer i forbindelse med indkøb og anvende andre innovative midler, herunder godtgørelse af løsninger, der opfylder interoperabilitets- og sikkerhedskravene i det europæiske sundhedsdataområde. De digitale sundhedsmyndigheder bør for at udføre deres opgaver samarbejde på nationalt plan og EU-plan med andre enheder, herunder med forsikringsorganer, sundhedstjenesteydere, fabrikanter af EPJ-systemer og wellnessapplikationer samt interessenter fra sundheds- eller informationsteknologisektoren, enheder, der håndterer godtgørelsesordninger, organer til vurdering af medicinsk teknologi, myndigheder og agenturer for lægemiddelregulering, myndigheder med ansvar for medicinsk udstyr, indkøbere og cybersikkerheds- eller e-ID-myndigheder.

(24)Adgang til og overførsel af elektroniske sundhedsdata er relevant i grænseoverskridende situationer, hvor der er behov for sundhedspleje, da det kan understøtte kontinuiteten i sundhedsydelser, når fysiske personer rejser til andre medlemsstater eller skifter bopæl. Kontinuitet i behandlingen og hurtig adgang til personlige elektroniske sundhedsdata er endnu vigtigere for indbyggere i grænseregioner, hvor de ofte krydser grænsen for at få sundhedspleje. I mange grænseregioner kan visse specialiserede sundhedsydelser være tilgængelige tættere på ovre på den anden side af grænsen end i samme medlemsstat. Der er behov for en infrastruktur til overførsel af personlige elektroniske sundhedsdata på tværs af grænserne i situationer, hvor en fysisk person benytter tjenester fra en sundhedstjenesteyder, der er etableret i en anden medlemsstat. Der er oprettet en frivillig infrastruktur til dette formål, MyHealth@EU, som led i de aktioner, der er omhandlet i artikel 14 i direktiv 2011/24/EU. Via MyHealth@EU begyndte medlemsstaterne at give fysiske personer mulighed for at dele deres personlige elektroniske sundhedsdata med sundhedstjenesteydere, når de rejser til udlandet. For yderligere at støtte sådanne muligheder bør medlemsstaternes deltagelse i den digitale infrastruktur MyHealth@EU gøres obligatorisk. Alle medlemsstater bør tilslutte sig infrastrukturen og koble sundhedstjenesteydere og apoteker til den, da dette er nødvendigt for gennemførelsen af fysiske personers ret til at få adgang til og gøre brug af deres personlige elektroniske sundhedsdata uanset medlemsstat. Infrastrukturen bør gradvist udvides for at støtte yderligere kategorier af elektroniske sundhedsdata.

(25)I forbindelse med MyHealth@EU bør en central platform tilvejebringe en fælles infrastruktur for medlemsstaterne for at sikre konnektivitet og interoperabilitet på en effektiv og sikker måde. For at sikre overholdelse af databeskyttelsesreglerne og skabe en ramme for risikostyring i forbindelse med overførsel af personlige elektroniske sundhedsdata bør Kommissionen ved hjælp af gennemførelsesretsakter fordele specifikke ansvarsområder mellem medlemsstaterne som fælles dataansvarlige og fastsætte sine egne forpligtelser som databehandler.

(26)Ud over tjenester i MyHealth@EU til udveksling af personlige elektroniske sundhedsdata baseret på det europæiske format for udveksling af elektroniske patientjournaler kan der være behov for andre tjenester eller supplerende infrastrukturer, f.eks. i tilfælde af folkesundhedskriser, eller hvor arkitekturen i MyHealth@EU ikke er egnet til gennemførelse af visse brugsscenarier. Eksempler på sådanne brugsscenarier omfatter støtte til vaccinationskortfunktioner, herunder udveksling af oplysninger om vaccinationsplaner, eller kontrol af vaccinationscertifikater eller andre sundhedsrelaterede certifikater. Dette vil også være vigtigt for at indføre yderligere funktioner til håndtering af folkesundhedskriser, f.eks. støtte til kontaktopsporing med henblik på at inddæmme smitsomme sygdomme. Tilslutning af nationale kontaktpunkter for digital sundhed i tredjelande eller interoperabilitet med digitale systemer, der er etableret på internationalt plan, bør være underlagt en kontrol, der sikrer, at det nationale kontaktpunkt overholder de tekniske specifikationer, databeskyttelsesreglerne og andre krav i MyHealth@EU. En beslutning om at tilslutte et nationalt kontaktpunkt i et tredjeland bør træffes af dataansvarlige i den fælles dataansvarsgruppe for MyHealth@EU.

(27)For at sikre respekt for fysiske personers og sundhedsprofessionelles rettigheder bør EPJ-systemer, der markedsføres på Unionens indre marked, på en sikker måde kunne lagre og overføre elektroniske sundhedsdata af høj kvalitet. Dette er et centralt princip i det europæiske sundhedsdataområde for at sikre sikker og fri bevægelighed for elektroniske sundhedsdata i hele Unionen. Med henblik herpå bør der indføres en obligatorisk selvcertificeringsordning for EPJ-systemer, der behandler en eller flere prioriterede kategorier af elektroniske sundhedsdata, for at afhjælpe markedsfragmenteringen og samtidig sikre en forholdsmæssig tilgang. Gennem denne selvcertificering bør EPJ-systemer dokumentere overensstemmelse med de væsentlige krav til interoperabilitet og sikkerhed, der er fastsat på EU-plan. I forbindelse med sikkerhed bør væsentlige krav omfatte elementer, der er specifikke for EPJ-systemer, da mere generelle sikkerhedsegenskaber bør understøttes af andre mekanismer såsom cybersikkerhedsordninger i henhold til Europa-Parlamentets og Rådets forordning (EU) 2019/881 48 .

(28)Selv om EPJ-systemer, som fabrikanten specifikt har udviklet til at blive anvendt til behandling af en eller flere specifikke kategorier af elektroniske sundhedsdata, bør være underlagt obligatorisk selvcertificering, bør software til generelle formål ikke betragtes som EPJ-systemer, heller ikke når den anvendes i forbindelse med sundhedsydelser, og der bør derfor ikke være en forpligtelse til at overholde bestemmelserne i kapitel III.

(29)Software eller softwaremoduler, der falder ind under definitionen af medicinsk udstyr eller højrisiko-AI-systemer, bør certificeres i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2017/745 49 og Europa-Parlamentets og Rådets forordning [...] [retsakten om kunstig intelligens COM(2021) 206 final], alt efter hvad der er relevant. De væsentlige krav til interoperabilitet i denne forordning bør kun finde anvendelse i det omfang, fabrikanten af medicinsk udstyr eller højrisiko-AI-systemer, som leverer elektroniske sundhedsdata, der skal behandles som en del af EPJ-systemet, hævder, at det er interoperabelt med et sådant EPJ-system. I så fald bør bestemmelserne om fælles specifikationer for EPJ-systemer finde anvendelse på dette medicinske udstyr og disse højrisiko-AI-systemer.

(30)For yderligere at støtte interoperabilitet og sikkerhed kan medlemsstaterne opretholde eller fastlægge specifikke regler for indkøb, godtgørelse, finansiering eller brug af EPJ-systemer på nationalt plan i forbindelse med organisation, levering eller finansiering af sundhedstjenester. Sådanne specifikke regler bør ikke hindre den frie bevægelighed for EPJ-systemer i Unionen. Nogle medlemsstater har indført obligatorisk certificering af EPJ-systemer eller obligatorisk interoperabilitetstest for deres forbindelse til nationale digitale sundhedstjenester. Sådanne krav afspejles almindeligvis i udbud, der organiseres af sundhedstjenesteydere, nationale eller regionale myndigheder. Obligatorisk certificering af EPJ-systemer på EU-plan bør skabe en reference, der kan anvendes i forbindelse med indkøb på nationalt plan.

(31)For at sikre, at patienter effektivt kan udøve deres rettigheder i henhold til denne forordning, bør sundhedstjenesteydere, der selv udvikler og anvender et EPJ-system til at udføre interne aktiviteter uden at bringe det i omsætning mod betaling eller vederlag, også overholde denne forordning. I den forbindelse bør sådanne sundhedstjenesteydere opfylde alle de krav, der gælder for fabrikanterne.

(32)Det er nødvendigt at fastlægge en klar og rimelig fordeling af forpligtelserne svarende til hver enkelt aktørs rolle i leverings- og distributionsprocessen for EPJ-systemer. De erhvervsdrivende bør være ansvarlige for overholdelse i forhold til deres respektive roller i en sådan proces og bør sikre, at de kun markedsfører EPJ-systemer, som opfylder de relevante krav.

(33)Fabrikanter af EPJ-systemer bør påvise overensstemmelse med de væsentlige krav til interoperabilitet og sikkerhed ved at gennemføre fælles specifikationer. Med henblik herpå bør Kommissionen tillægges gennemførelsesbeføjelser til at fastlægge sådanne fælles specifikationer vedrørende datasæt, kodningssystemer, tekniske specifikationer, herunder standarder, specifikationer og profiler for dataudveksling, samt krav og principper vedrørende sikkerhed, fortrolighed, integritet, patientsikkerhed og beskyttelse af personoplysninger samt specifikationer og krav vedrørende identifikationsstyring og anvendelse af elektronisk identifikation. Digitale sundhedsmyndigheder bør bidrage til udviklingen af sådanne fælles specifikationer.

(34)For at sikre en hensigtsmæssig og effektiv håndhævelse af de krav og forpligtelser, der er fastsat i kapitel III i denne forordning, bør det system til markedsovervågning og produktoverensstemmelse, der er indført ved forordning (EU) 2019/1020, finde anvendelse. Afhængigt af den organisation, der er fastlagt på nationalt plan, kan sådanne markedsovervågningsaktiviteter udføres af de digitale sundhedsmyndigheder for at sikre en korrekt gennemførelse af kapitel II eller en særskilt markedsovervågningsmyndighed med ansvar for EPJ-systemer. Udpegelsen af digitale sundhedsmyndigheder som markedsovervågningsmyndigheder kan have betydelige praktiske fordele for gennemførelsen af sundhed og pleje, men enhver interessekonflikt bør undgås, f.eks. ved at adskille forskellige opgaver.

(35)Brugere af wellnessapplikationer, såsom mobilapplikationer, bør informeres om, at sådanne applikationer kan forbindes med og levere data til EPJ-systemer eller til nationale elektroniske sundhedsløsninger i tilfælde, hvor data produceret af wellnessapplikationer er nyttige i forbindelse med sundhedspleje. Hvorvidt disse applikationer kan eksportere data i et interoperabelt format er også relevant for dataportabilitet. Hvor det er relevant, bør brugerne informeres om sådanne applikationers overensstemmelse med interoperabilitets- og sikkerhedskrav. I betragtning af det store antal wellnessapplikationer og den begrænsede relevans for sundhedspleje af de data, der produceres af mange af dem, vil en certificeringsordning for disse applikationer imidlertid ikke være forholdsmæssig. Der bør derfor indføres en frivillig mærkningsordning som en passende mekanisme til at skabe gennemsigtighed for brugerne af wellnessapplikationer med hensyn til overholdelse af kravene og dermed støtte brugerne i deres valg af passende wellnessapplikationer med høje standarder for interoperabilitet og sikkerhed. Kommissionen kan i gennemførelsesretsakter fastsætte nærmere bestemmelser om et sådant mærkes format og indhold.

(36)Det er nødvendigt at formidle oplysninger om certificerede EPJ-systemer og mærkede wellnessapplikationer for at sætte indkøbere og brugere af sådanne produkter i stand til at finde interoperable løsninger til deres specifikke behov. Der bør derfor oprettes en database over interoperable EPJ-systemer og wellnessapplikationer, som ikke er omfattet af anvendelsesområdet for forordning (EU) 2017/745 og [retsakten om kunstig intelligens COM(2021) 206 final], på EU-plan svarende til den europæiske database for medicinsk udstyr (Eudamed), der er oprettet ved forordning (EU) 2017/745. Formålet med EU-databasen over interoperable EPJ-systemer og wellnessapplikationer bør være at øge den overordnede gennemsigtighed, undgå krav om flere indberetninger og strømline og lette informationsstrømmen. For medicinsk udstyr og AI-systemer bør registreringen opretholdes i de eksisterende databaser, der er oprettet i henhold til henholdsvis forordning (EU) 2017/745 og [retsakten om kunstig intelligens COM(2021) 206 final], men overensstemmelsen med interoperabilitetskravene bør angives, når fabrikanterne hævder det, for at informere indkøbere.

(37)Med henblik på sekundær anvendelse af kliniske data til forskning, innovation, politikudformning, lovgivningsmæssige formål, patientsikkerhed eller behandling af andre fysiske personer bør de muligheder, som forordning (EU) 2016/679 giver for en EU-retsakt, anvendes som grundlag for regler og mekanismer og tilvejebringe passende og specifikke foranstaltninger til beskyttelse af fysiske personers rettigheder og frihedsrettigheder. Denne forordning udgør retsgrundlaget i overensstemmelse med artikel 9, stk. 2, litra g), h), i) og j), i forordning (EU) 2016/679 for sekundær anvendelse af sundhedsdata, fastsættelse af garantier for behandling, for så vidt angår lovlige formål, pålidelig styring med henblik på at give adgang til sundhedsdata (via organer med ansvar for adgang til sundhedsdata) og behandling i et sikkert miljø samt de nærmere bestemmelser for databehandling, der er fastsat i datatilladelsen. Samtidig bør dataansøgeren dokumentere et retsgrundlag i henhold til artikel 6 i forordning (EU) 2016/679, på grundlag af hvilket vedkommende kan anmode om adgang til data i henhold til denne forordning, og bør opfylde betingelserne i kapitel IV. Nærmere bestemt: I forbindelse med behandling af elektroniske sundhedsdata, som dataindehaveren er i besiddelse af i henhold til denne forordning, skaber denne forordning en retlig forpligtelse som omhandlet i artikel 6, stk. 1, litra c), i forordning (EU) 2016/679 til at videregive oplysningerne fra dataindehaveren til organer med ansvar for adgang til sundhedsdata, mens retsgrundlaget for den indledende behandling (f.eks. levering af pleje) ikke berøres. Denne forordning opfylder også betingelserne for en sådan behandling i henhold til artikel 9, stk. 2, litra h), i) og j), i forordning (EU) 2016/679. Ved denne forordning overdrages opgaver i offentlighedens interesse til organer med ansvar for adgang til sundhedsdata (drift af et sikkert databehandlingsmiljø, behandling af oplysninger, inden de anvendes, osv.), jf. artikel 6, stk. 1, litra e), i forordning (EU) 2016/679, til organer med ansvar for adgang til sundhedsdata, og opfylder kravene i artikel 9, stk. 2, litra h), i) og j), i forordning (EU) 2016/679. I dette tilfælde udgør denne forordning derfor retsgrundlaget i henhold til artikel 6 og opfylder kravene i artikel 9 i nævnte forordning om betingelserne for behandling af elektroniske sundhedsdata. Hvis brugeren har adgang til elektroniske sundhedsdata (til sekundær anvendelse af data til et af de formål, der er defineret i denne forordning), bør databrugeren dokumentere sit retsgrundlag i henhold til artikel 6, stk. 1, litra e) eller f), i forordning (EU) 2016/679 og forklare det specifikke retsgrundlag, som brugeren anvender som led i ansøgningen om adgang til elektroniske sundhedsdata i henhold til denne forordning: på grundlag af gældende lovgivning, hvis retsgrundlaget i henhold til forordning (EU) 2016/679 er artikel 6, stk. 1, litra e), eller artikel 6, stk. 1, litra f), i forordning (EU) 2016/679. Hvis brugeren baserer sig på et retsgrundlag i artikel 6, stk. 1, litra e), bør den henvise til anden EU-lovgivning eller national lovgivning, der er forskellig fra denne forordning, som giver brugeren beføjelse til at behandle personlige sundhedsdata for at opfylde sine opgaver. Hvis retsgrundlaget for brugerens behandling er artikel 6, stk. 1, litra f), i forordning (EU) 2016/679, er det i dette tilfælde denne forordning, der fastsætter garantierne. I denne forbindelse er de datatilladelser, der udstedes af organer med ansvar for adgang til sundhedsdata, en administrativ afgørelse, der fastlægger betingelserne for adgang til dataene.

(38)I forbindelse med det europæiske sundhedsdataområde findes der allerede elektroniske sundhedsdata, som indsamles af sundhedstjenesteydere, faglige sammenslutninger, offentlige institutioner, lovgivere, forskere, forsikringsselskaber osv. i forbindelse med deres aktiviteter. Nogle kategorier af data indsamles primært med henblik på levering af sundhedsydelser (f.eks. elektroniske patientjournaler, genetiske data, data om forsikringskrav osv.), mens andre også indsamles til andre formål såsom forskning, statistik, patientsikkerhed, lovgivningsmæssige aktiviteter eller politikudformning (f.eks. sygdomsregistre, registre over politikudformning, registre over bivirkninger ved lægemidler eller medicinsk udstyr osv.). F.eks. findes der europæiske databaser, der fremmer (videre)anvendelse af data på visse områder, såsom kræft (det europæiske informationssystem på kræftområdet) eller sjældne sygdomme (den europæiske platform for registrering af sjældne sygdomme, ERN-registre osv.). Disse data bør også stilles til rådighed til sekundær anvendelse. Mange af de eksisterende sundhedsrelaterede data stilles imidlertid ikke til rådighed til andre formål end dem, hvortil de er indsamlet. Dette begrænser forskeres, innovatorers, politiske beslutningstageres, lovgiveres og lægers mulighed for at anvende disse data til forskellige formål, herunder forskning, innovation, politikudformning, lovgivningsmæssige formål, patientsikkerhed eller personlige lægemidler. For fuldt ud at udnytte fordelene ved sekundær anvendelse af elektroniske sundhedsdata bør alle dataindehavere bidrage til denne indsats ved at stille forskellige kategorier af elektroniske sundhedsdata, som de ligger inde med, til rådighed til sekundær anvendelse.

(39)De kategorier af elektroniske sundhedsdata, der kan behandles med henblik på sekundær anvendelse, bør være brede og fleksible nok til at imødekomme databrugernes skiftende behov, samtidig med at de forbliver begrænset til sundhedsrelaterede data eller data, der vides at påvirke sundheden. Det kan også omfatte relevante data fra sundhedssystemet (elektroniske patientjournaler, data om anprisninger, sygdomsregistre, genomdata osv.) samt data med indvirkning på sundheden (f.eks. brug af forskellige stoffer, hjemløshed, sygeforsikring, minimumsindkomst, erhvervsmæssig status, adfærd, herunder miljøfaktorer (f.eks. forurening, stråling, anvendelse af visse kemiske stoffer)). De kan også omfatte persongenererede data såsom data fra medicinsk udstyr, wellnessapplikationer eller andre wearables og digitale sundhedsapplikationer. Den databruger, der har adgang til datasæt i henhold til denne forordning, kan berige dataene med forskellige rettelser, bemærkninger og andre forbedringer, f.eks. ved at supplere manglende eller ufuldstændige data og dermed forbedre nøjagtigheden, fuldstændigheden eller kvaliteten af dataene i datasættet. For at sikre forbedring af den oprindelige database og den videre anvendelse af det berigede datasæt bør datasættet med sådanne forbedringer og en beskrivelse af ændringerne stilles gratis til rådighed for den oprindelige dataindehaver. Dataindehaveren bør stille det nye datasæt til rådighed, medmindre den begrunder over for organet med ansvar for adgang til sundhedsdata, hvorfor dette ikke bør ske, f.eks. hvis ændringerne er af ringe kvalitet. Sekundær anvendelse af andre elektroniske data end personoplysninger bør også sikres. Navnlig patogene genomdata har en betydelig værdi for menneskers sundhed, hvilket har vist sig under covid-19-pandemien. Rettidig adgang til og udveksling af sådanne data har vist sig at være afgørende for en hurtig udvikling af detektionsværktøjer, medicinske modforanstaltninger og reaktioner på trusler mod folkesundheden. Det største udbytte af indsatsen inden for patogen genomik vil blive opnået, når folkesundhedsområdet og forskningsprocesser udveksler datasæt og arbejder gensidigt for at informere og forbedre hinanden.

(40)Dataindehaverne kan være offentlige, almennyttige eller private sundheds- eller plejeudbydere, offentlige, almennyttige og private organisationer, foreninger eller andre enheder, offentlige og private enheder, der udfører forskning i sundhedssektoren, og som behandler ovennævnte kategorier af sundheds- og sundhedsrelaterede data. For at undgå en uforholdsmæssig stor byrde for små enheder er mikrovirksomheder undtaget fra forpligtelsen til at stille deres data til rådighed til sekundær anvendelse inden for rammerne af det europæiske sundhedsdataområde. De offentlige eller private enheder modtager ofte offentlig finansiering fra nationale fonde eller EU-fonde til at indsamle og behandle elektroniske sundhedsdata til forskning, statistikker (officielle eller ej) eller andre lignende formål, herunder på områder, hvor indsamlingen af sådanne data er fragmenteret eller vanskelig, såsom sjældne sygdomme, kræft osv. Sådanne data, der indsamles og behandles af dataindehavere med støtte fra Unionens eller nationale offentlige midler, bør stilles til rådighed af dataindehavere for organer med ansvar for adgang til sundhedsdata, for at maksimere virkningen af de offentlige investeringer og støtte forskning, innovation, patientsikkerhed eller politikudformning til gavn for samfundet. I nogle medlemsstater spiller private enheder, herunder private sundhedstjenesteydere og faglige sammenslutninger, en central rolle i sundhedssektoren. De sundhedsdata, som sådanne udbydere er i besiddelse af, bør også stilles til rådighed til sekundær anvendelse. Samtidig er data, der er underlagt særlig retlig beskyttelse, såsom intellektuel ejendomsret fra virksomheder, der fremstiller medicinsk udstyr, eller medicinalvirksomheder, ofte omfattet af ophavsretlig beskyttelse eller lignende former for beskyttelse. Offentlige myndigheder og tilsynsmyndigheder bør dog have adgang til sådanne data, f.eks. i tilfælde af pandemier, for at kontrollere defekt udstyr og beskytte menneskers sundhed. I situationer med alvorlige folkesundhedsproblemer (f.eks. svindel med PIP-brystimplantater) har det vist sig at være meget vanskeligt for de offentlige myndigheder at få adgang til sådanne data for at få en forståelse for årsagerne til og fabrikantens viden om mangler ved visse anordninger. Covid-19-pandemien viste også, at de politiske beslutningstagere har vanskeligt ved at få adgang til sundhedsdata og andre data vedrørende sundhed. Sådanne data bør stilles til rådighed for offentlige og lovgivningsmæssige aktiviteter og støtte offentlige organer i udøvelsen af deres retlige mandat under overholdelse af, hvor det er relevant og muligt, den beskyttelse, som kommercielle data nyder. Der bør fastsættes særlige regler for sekundær anvendelse af sundhedsdata. Dataaltruistiske aktiviteter kan udføres af forskellige enheder inden for rammerne af forordning [...] [forordningen om datastyring COM(2020) 767 final] og under hensyntagen til de særlige forhold i sundhedssektoren.

(41)Sekundær anvendelse af sundhedsdata under det europæiske sundhedsdataområde bør gøre det muligt for offentlige, private og almennyttige enheder samt individuelle forskere at få adgang til sundhedsdata med henblik på forskning, innovation, politikudformning, uddannelsesaktiviteter, patientsikkerhed, lovgivningsmæssige aktiviteter eller personlige lægemidler i overensstemmelse med de formål, der er fastsat i denne forordning. Adgang til data til sekundær anvendelse bør bidrage til samfundets almene interesse. Aktiviteter, for hvilke adgang i henhold til denne forordning er lovlig, kan omfatte anvendelse af elektroniske sundhedsdata til opgaver, der udføres af offentlige organer, såsom udførelse af offentlig tjeneste, herunder folkesundhedsovervågning, planlægnings- og rapporteringsforpligtelser, udformning af sundhedspolitikker, sikring af patientsikkerhed, behandlingskvalitet og sundhedssystemernes bæredygtighed. Offentlige organer og Unionens institutioner, organer, kontorer og agenturer kan kræve regelmæssig adgang til elektroniske sundhedsdata i en længere periode, herunder for at opfylde deres mandat, som er fastsat i denne forordning. Offentlige organer kan udføre sådanne forskningsaktiviteter ved hjælp af tredjeparter, herunder underleverandører, så længe den offentlige myndighed til enhver tid fører tilsyn med disse aktiviteter. Leveringen af data bør også støtte aktiviteter i forbindelse med videnskabelig forskning (herunder privat forskning), udvikling og innovation, der producerer varer og tjenesteydelser til sundheds- eller plejesektoren, såsom innovationsaktiviteter eller træning af AI-algoritmer, der kan beskytte fysiske personers sundhed eller pleje. I nogle tilfælde kan oplysninger om visse fysiske personer (f.eks. genominformation om fysiske personer med en bestemt sygdom) understøtte diagnosticering eller behandling af andre fysiske personer. Der er behov for, at offentlige organer går ud over anvendelsesområdet for kapitel V i forordning [...] [dataforordningen COM(2022) 68 final]. De offentlige myndigheder kan dog anmode om støtte fra organer med ansvar for adgang til sundhedsdata til behandling eller sammenkædning af data. Denne forordning giver offentlige myndigheder mulighed for at få adgang til oplysninger, som de har brug for til at udføre de opgaver, de er pålagt ved lov, men udvider ikke sådanne offentlige organers mandat. Ethvert forsøg på at anvende data til foranstaltninger, der er skadelige for den fysiske person, til at forhøje forsikringspræmier, til at reklamere for produkter eller behandlinger eller til at udvikle skadelige produkter, bør forbydes.

(42)Oprettelsen af et eller flere organer med ansvar for adgang til sundhedsdata, der støtter adgangen til elektroniske sundhedsdata i medlemsstaterne, er et væsentligt element for at fremme sekundær anvendelse af sundhedsrelaterede data. Medlemsstaterne bør derfor oprette et eller flere af sådanne organer, f.eks. for at afspejle deres forfatningsmæssige, organisatoriske og administrative struktur. Et af disse organer bør dog udpeges som koordinator, hvis der er mere end ét organ. Hvis en medlemsstat opretter flere organer, bør den fastsætte regler på nationalt plan for at sikre disse organers koordinerede deltagelse i udvalget for det europæiske sundhedsdataområde. Den pågældende medlemsstat bør navnlig udpege ét organ med ansvar for adgang til sundhedsdata som fælles kontaktpunkt for disse organers effektive deltagelse med henblik på at sikre et hurtigt og smidigt samarbejde med andre organer med ansvar for adgang til sundhedsdata, udvalget for det europæiske sundhedsdataområde og Kommissionen. Organer med ansvar for adgang til sundhedsdata kan variere med hensyn til organisation og størrelse (fra en særlig organisation til en enhed eller afdeling i en eksisterende organisation), men bør have de samme funktioner, ansvarsområder og kompetencer. Der bør ikke udøves indflydelse på organer med ansvar for adgang til sundhedsdatas beslutninger om adgang til elektroniske data til sekundær anvendelse. Deres uafhængighed bør dog ikke betyde, at de ikke kan gøres til genstand for kontrol- eller overvågningsmekanismer for så vidt angår deres finansielle udgifter eller for domstolsprøvelse. Hvert organ med ansvar for adgang til sundhedsdata bør have de nødvendige finansielle og menneskelige ressourcer samt lokaler og infrastruktur til effektivt at kunne udføre sine opgaver, herunder opgaver vedrørende samarbejde med andre organer med ansvar for adgang til sundhedsdata i hele Unionen. Hvert organ bør have et separat offentligt årligt budget, der kan indgå i det samlede statsbudget eller nationale budget. For at muliggøre bedre adgang til sundhedsdata og supplere artikel 7, stk. 3, i Europa-Parlamentets og Rådets forordning [...] [forordningen om datastyring COM(2020) 767 final] bør medlemsstaterne give organer med ansvar for adgang til sundhedsdata beføjelser til at træffe afgørelser om adgang til og sekundær anvendelse af sundhedsdata. Dette kunne bestå i at tildele nye opgaver til de kompetente organer, der er udpeget af medlemsstaterne i henhold til artikel 7, stk. 1, i forordning [...] [forordningen om datastyring COM(2020)767 final], eller at udpege eksisterende eller nye sektorspecifikke organer, der er ansvarlige for sådanne opgaver i forbindelse med adgang til sundhedsdata.

(43)Organerne med ansvar for adgang til sundhedsdata bør overvåge anvendelsen af kapitel IV i denne forordning og bidrage til en ensartet anvendelse heraf i hele Unionen. Til det formål bør organerne samarbejde med hinanden og Kommissionen, uden at der er behov for en aftale mellem medlemsstater om gensidig bistand eller om et sådant samarbejde. Organerne med ansvar for adgang til sundhedsdata bør også samarbejde med interessenter, herunder patientorganisationer. Da den sekundære anvendelse af sundhedsdata indebærer behandling af personoplysninger om sundhed, finder de relevante bestemmelser i forordning (EU) 2016/679 anvendelse, og tilsynsmyndighederne i henhold til forordning (EU) 2016/679 og forordning (EU) 2018/1725 bør have til opgave at håndhæve disse regler. Da sundhedsdata er følsomme oplysninger, og da de har pligt til loyalt samarbejde, bør organerne med ansvar for adgang til sundhedsdata desuden underrette databeskyttelsesmyndighederne om alle spørgsmål vedrørende databehandling til sekundær anvendelse, herunder sanktioner. Ud over de opgaver, der er nødvendige for at sikre en effektiv sekundær anvendelse af sundhedsdata, bør organet med ansvar for adgang til sundhedsdata bestræbe sig på at udvide tilgængeligheden af yderligere sundhedsdatasæt, støtte udviklingen af kunstig intelligens på sundhedsområdet og fremme udviklingen af fælles standarder. De bør anvende testede teknikker, der sikrer, at elektroniske sundhedsdata behandles på en måde, der beskytter privatlivets fred for så vidt angår de oplysninger, der er indeholdt i de data, for hvilke sekundær anvendelse er tilladt, herunder teknikker til pseudonymisering, anonymisering, generalisering, fjernelse og randomisering af personoplysninger Organer med ansvar for adgang til sundhedsdata kan udarbejde datasæt efter databrugerens behov i overensstemmelse med den udstedte datatilladelse. Dette omfatter regler for anonymisering af mikrodatasæt.

(44)I betragtning af den administrative byrde, det er for organer med ansvar for adgang til sundhedsdata at informere de fysiske personer, hvis data anvendes i dataprojekter i et sikkert databehandlingsmiljø, bør undtagelserne i artikel 14, stk. 5, i forordning (EU) 2016/679 finde anvendelse. Derfor bør organer med ansvar for adgang til sundhedsdata give generelle oplysninger om betingelserne for sekundær anvendelse af deres sundhedsdata, der indeholder de oplysninger, der er anført i artikel 14, stk. 1, og, hvis det er nødvendigt for at sikre en retfærdig og gennemsigtig behandling, artikel 14, stk. 2, i forordning (EU) 2016/679, f.eks. oplysninger om formålet og de behandlede datakategorier. Der bør gøres undtagelser fra denne regel, når forskningsresultaterne kan bidrage til behandlingen af den pågældende fysiske person. I så fald bør databrugeren underrette organet med ansvar for adgang til sundhedsdata, som bør underrette den registrerede eller dennes sundhedsperson. Fysiske personer bør have adgang til resultaterne af forskellige forskningsprojekter på webstedet for organet med ansvar for adgang til sundhedsdata, helst på en let søgbar måde. Listen over datatilladelserne bør også offentliggøres. For at fremme gennemsigtigheden i deres arbejde bør hvert organ med ansvar for adgang til sundhedsdata offentliggøre en årlig aktivitetsrapport, der giver et overblik over dets aktiviteter.

(45)Forordning [...] [forordningen om datastyring COM(2020) 767 final] fastsætter de generelle regler for forvaltning af dataaltruisme. Da sundhedssektoren forvalter følsomme data, bør der samtidig fastsættes yderligere kriterier gennem det regelsæt, der er fastsat i forordning [...] [forordningen om datastyring COM(2020) 767 final]. Hvis et sådant regelsæt indeholder bestemmelser om anvendelse af et sikkert databehandlingsmiljø for denne sektor, bør dette være i overensstemmelse med de kriterier, der er fastsat i denne forordning. Organerne med ansvar for adgang til sundhedsdata bør samarbejde med de organer, der er udpeget i henhold til forordning [...] [forordningen om datastyring COM(2020) 767 final] med henblik på at føre tilsyn med dataaltruistiske organisationers aktiviteter i sundheds- eller plejesektoren.

(46)For at støtte sekundær anvendelse af elektroniske sundhedsdata bør dataindehaverne ikke tilbageholde data eller opkræve uberettigede gebyrer, som ikke er gennemsigtige eller ikke står i et rimeligt forhold til omkostningerne ved at stille data til rådighed (og, hvor det er relevant, til marginale omkostninger til dataindsamling), og anmode databrugerne om også at offentliggøre forskning eller anden praksis, der kunne afholde databrugerne fra at anmode om dataene. Hvis etisk godkendelse er nødvendig for at give en datatilladelse, bør vurderingen baseres på de specifikke omstændigheder. På den anden side er Unionens institutioner, organer, kontorer og agenturer, herunder EMA, ECDC og Kommissionen, i besiddelse af meget vigtige og indsigtsfulde data. Der bør gives adgang til data fra sådanne institutioner, organer, kontorer og agenturer gennem det organ med ansvar for adgang til sundhedsdata, hvor den dataansvarlige er beliggende.

(47)Organer med ansvar for adgang til sundhedsdata og individuelle dataindehavere bør have mulighed for at opkræve gebyrer baseret på bestemmelserne i forordning [...] [forordningen om datastyring COM(2020) 767 final] i forbindelse med deres opgaver. Sådanne gebyrer kan tage hensyn til SMV'ers, individuelle forskeres eller offentlige organers situation og interesser. Dataindehavere bør også have mulighed for at opkræve gebyrer for at stille data til rådighed. Sådanne gebyrer bør afspejle omkostningerne ved at levere sådanne tjenester. Private dataindehavere kan også opkræve gebyrer for indsamling af data. For at sikre en harmoniseret tilgang til gebyrpolitik og -struktur kan Kommissionen vedtage gennemførelsesretsakter. Bestemmelserne i artikel 10 i forordning [dataforordningen COM(2022) 68 final] bør finde anvendelse på gebyrer, der opkræves i henhold til denne forordning.

(48)For at styrke håndhævelsen af reglerne om sekundær anvendelse af elektroniske sundhedsdata bør der indføres passende foranstaltninger, der kan føre til sanktioner eller midlertidige eller permanente udelukkelser fra det europæiske sundhedsdataområde af databrugere eller dataindehavere, der ikke opfylder deres forpligtelser. Organet med ansvar for adgang til sundhedsdata bør have beføjelse til at kontrollere overholdelsen og give databrugere og -indehavere mulighed for at svare på eventuelle anmærkninger og afhjælpe eventuelle overtrædelser. Pålæggelse af sanktioner bør være omfattet af fornødne proceduremæssige garantier i overensstemmelse med de generelle principper i den relevante medlemsstats lovgivning, herunder effektiv retsbeskyttelse og en retfærdig procedure.

(49)I betragtning af de elektroniske sundhedsdatas følsomhed er det nødvendigt at reducere risiciene for fysiske personers privatliv ved at anvende princippet om dataminimering, jf. artikel 5, stk. 1, litra c), i forordning (EU) 2016/679. Derfor bør anvendelsen af anonymiserede elektroniske sundhedsdata, som ikke indeholder personoplysninger, gøres tilgængelig, når det er muligt, og hvis databrugeren anmoder herom. Hvis databrugeren har brug for at anvende personlige elektroniske sundhedsdata, bør denne i sin anmodning klart angive begrundelsen for anvendelsen af denne type data til den planlagte databehandlingsaktivitet. Personlige elektroniske sundhedsdata bør kun stilles til rådighed i pseudonymiseret format, og krypteringsnøglen må kun opbevares af organet med ansvar for adgang til sundhedsdata. Databrugere bør ikke forsøge at genidentificere fysiske personer fra det datasæt, der leveres i henhold til denne forordning, og dette kan medføre administrative eller mulige strafferetlige sanktioner, hvis dette er fastsat i den nationale lovgivning. Dette bør dog ikke forhindre, at databrugerne i tilfælde, hvor resultaterne af et projekt, der gennemføres på grundlag af en datatilladelse, har en sundhedsmæssig fordel eller indvirkning på en berørt fysisk person (f.eks. opdagelse af behandlinger eller risikofaktorer for udvikling af en bestemt sygdom), underretter organet med ansvar for adgang til sundhedsdata, som derefter informerer den eller de berørte fysiske personer. Ansøgeren kan desuden anmode organerne med ansvar for adgang til sundhedsdata om at besvare en anmodning om oplysninger, herunder i statistisk form. I dette tilfælde vil databrugerne ikke behandle sundhedsdata, og organet med ansvar for adgang til sundhedsdata vil fortsat være enedataansvarlig for de oplysninger, der er nødvendige for at besvare anmodningen om oplysninger.

(50)For at sikre, at alle organer med ansvar for adgang til sundhedsdata udsteder tilladelser på samme måde, er det nødvendigt at fastlægge en fælles standardprocedure for udstedelse af datatilladelser med lignende anmodninger i forskellige medlemsstater. Ansøgeren bør give organer med ansvar for adgang til sundhedsdata flere oplysninger, som kan hjælpe organet med at vurdere anmodningen, og afgøre, om ansøgeren kan få en datatilladelse til sekundær anvendelse af data, samtidig med at det sikres, at de forskellige organer med ansvar for adgang til sundhedsdatas praksis er konsekvent. Disse oplysninger omfatter: retsgrundlaget i henhold til forordning (EU) 2016/679 for at anmode om adgang til data (udførelse af en opgave i samfundets interesse, der er tildelt ved lov, eller legitim interesse), formål, hvortil dataene vil blive anvendt, beskrivelse af de nødvendige data og mulige datakilder, en beskrivelse af de værktøjer, der er nødvendige for at behandle dataene, samt karakteristika for det sikre miljø, der er behov for. Hvis der anmodes om data i pseudonymiseret format, bør dataansøgeren forklare, hvorfor dette er nødvendigt, og hvorfor anonyme oplysninger ikke er tilstrækkeligt. Der kan anmodes om en etisk vurdering på grundlag af national lovgivning. Organerne med ansvar for adgang til sundhedsdata og, hvor det er relevant, dataindehavere bør bistå databrugere med at udvælge passende datasæt eller datakilder til det erklærede formål med den sekundære anvendelse. Hvis ansøgeren har brug for anonymiserede statistiske data, bør vedkommende indgive en anmodning om data med krav om, at organet med ansvar for adgang til sundhedsdata leverer resultatet direkte. For at sikre en harmoniseret tilgang mellem organer med ansvar for adgang til sundhedsdata bør Kommissionen støtte harmoniseringen af dataansøgninger og dataanmodninger.

(51)Da organerne med ansvar for adgang til sundhedsdata har begrænsede ressourcer, kan de anvende prioriteringsregler, f.eks. prioritere offentlige institutioner over for private enheder, men de bør ikke forskelsbehandle de nationale myndigheder eller organisationer fra andre medlemsstater inden for samme kategori af prioriteter. Databrugeren bør kunne forlænge datatilladelsens varighed for f.eks. at give evaluatorer af videnskabelige publikationer adgang til datasættene eller give mulighed for yderligere analyse af datasættet på grundlag af de første resultater. Dette vil kræve en ændring af datatilladelsen og kan blive pålagt et yderligere gebyr. I alle tilfælde bør datatilladelsen dog afspejle disse supplerende anvendelser af datasættet. Databrugeren bør nævne dem i sin oprindelige anmodning om udstedelse af datatilladelsen. For at sikre en harmoniseret tilgang mellem organer med ansvar for adgang til sundhedsdata bør Kommissionen støtte harmoniseringen af datatilladelser.

(52)Som covid-19-krisen har vist, har Unionens institutioner, organer, kontorer og agenturer, navnlig Kommissionen, brug med ansvar for adgang til sundhedsdata i en længere periode og med jævne mellemrum. Dette kan være tilfældet under særlige omstændigheder i krisetider, men også for løbende at tilvejebringe videnskabelig dokumentation og teknisk støtte til Unionens politikker. Der kan kræves adgang til sådanne data i bestemte medlemsstater eller på hele Unionens område.

(53)For så vidt angår anmodninger om adgang til elektroniske sundhedsdata fra en enkelt dataindehaver i en enkelt medlemsstat og for at lette den administrative byrde for organer med ansvar for adgang til sundhedsdata i forbindelse med behandlingen af en sådan anmodning, bør databrugeren kunne anmode dataindehaveren om disse data direkte, og dataindehaveren bør kunne udstede en datatilladelse, samtidig med at alle de krav og garantier, der er knyttet til en sådan anmodning og tilladelse, overholdes. Anmodninger fra flere lande og anmodninger, der kræver samkøring af datasæt fra flere dataindehavere, bør altid indgives gennem organer med ansvar for adgang til sundhedsdata. Dataindehaveren bør indberette eventuelle datatilladelser eller -anmodninger til organerne med ansvar for adgang til sundhedsdata.

(54)I betragtning af de elektroniske sundhedsdatas følsomhed bør databrugerne ikke have ubegrænset adgang til sådanne data. Al adgang til de ønskede elektroniske sundhedsdata med henblik på sekundær anvendelse bør ske gennem et sikkert databehandlingsmiljø. For at sikre stærke tekniske og sikkerhedsmæssige garantier for de elektroniske sundhedsdata bør organer med ansvar for adgang til sundhedsdata eller, hvor det er relevant, den enkelte dataindehaver give adgang til sådanne data i et sikkert databehandlingsmiljø i overensstemmelse med de høje tekniske og sikkerhedsmæssige standarder, der er fastsat i henhold til denne forordning. Nogle medlemsstater har truffet foranstaltninger til at finde sådanne sikre miljøer i Europa. Behandlingen af personoplysninger i et sådant sikkert miljø bør være i overensstemmelse med forordning (EU) 2016/679, herunder, hvis det sikre miljø forvaltes af en tredjepart, kravene i artikel 28 og, hvor det er relevant, kapitel V. Et sådant sikkert databehandlingsmiljø bør mindske de risici for privatlivets fred, der er forbundet med sådanne behandlingsaktiviteter, og forhindre, at de elektroniske sundhedsdata overføres direkte til databrugerne. Organet med ansvar for adgang til sundhedsdata eller den dataindehaver, der leverer denne tjeneste, bør til enhver tid have kontrol over adgangen til de elektroniske sundhedsdata, idet der gives adgang til databrugerne i henhold til betingelserne i den udstedte datatilladelse. Databrugere bør kun udtrække andre elektroniske sundhedsdata end personoplysninger, der ikke indeholder elektroniske sundhedsdata, fra et sådant sikkert databehandlingsmiljø. Det er således en væsentlig garanti for at bevare fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling af deres elektroniske sundhedsdata til sekundær anvendelse. Kommissionen bør bistå medlemsstaterne med at udvikle fælles sikkerhedsstandarder for at fremme sikkerheden og interoperabiliteten i de forskellige sikre miljøer.

(55)I forbindelse med behandling af elektroniske sundhedsdata inden for rammerne af en meddelt tilladelse bør organer med ansvar for adgang til sundhedsdata og databrugere være fælles dataansvarlige som omhandlet i artikel 26 i forordning (EU) 2016/679, hvilket betyder, at de fælles dataansvarliges forpligtelser i henhold til nævnte forordning finder anvendelse. For at støtte organer med ansvar for adgang til sundhedsdata og databrugere bør Kommissionen ved hjælp af en gennemførelsesretsakt stille en skabelon til rådighed for de ordninger for fælles dataansvarlige, som organerne og databrugere skal indgå i. For at opnå en inklusiv og bæredygtig ramme for sekundær anvendelse af elektroniske sundhedsdata i flere lande bør der etableres en grænseoverskridende infrastruktur. HealthData@EU bør fremskynde den sekundære anvendelse af elektroniske sundhedsdata og samtidig øge retssikkerheden, respektere fysiske personers privatliv og være interoperabel. På grund af sundhedsdataenes følsomhed bør principper som "indbygget databeskyttelse" og "stille spørgsmål til data i stedet for at flytte data" respekteres, når det er muligt. Bemyndigede deltagere i HealthData@EU kan være organer med ansvar for adgang til sundhedsdata, forskningsinfrastrukturer oprettet som et konsortium for en europæisk forskningsinfrastruktur ("ERIC") i henhold til Rådets forordning (EF) nr. 723/2009 50 eller lignende strukturer, der er etableret i henhold til anden EU-lovgivning, samt andre typer enheder, herunder infrastrukturer under Det Europæiske Strategiforum for Forskningsinfrastrukturer (ESFRI), og infrastrukturer, der er organiseret under den europæiske åbne videnskabscloud (EOSC). Andre bemyndigede deltagere skal indhente den fælles dataansvarsgruppes godkendelse til at deltage i HealthData@EU. På den anden side bør HealthData@EU muliggøre sekundær anvendelse af forskellige kategorier af elektroniske sundhedsdata, herunder sammenkædning af sundhedsdata med data fra andre dataområder såsom miljø, landbrug, socialpolitik osv. Kommissionen kan levere en række tjenester inden for HealthData@EU, herunder støtte til udveksling af oplysninger mellem organer med ansvar for adgang til sundhedsdata og bemyndigede deltagere med henblik på behandling af anmodninger om adgang på tværs af grænserne, forvaltning af kataloger over elektroniske sundhedsdata, der er tilgængelige via infrastrukturen, netværkssøgningsmulighederne og metadatasøgninger, konnektivitets- og overholdelsestjenester. Kommissionen kan også etablere et sikkert miljø, der gør det muligt at overføre og analysere data fra forskellige nationale infrastrukturer efter anmodning fra de dataansvarlige. Kommissionens digitale strategi fremmer sammenkædningen af de forskellige fælles europæiske dataområder. For sundhedssektoren kan interoperabilitet med sektorer som f.eks. miljø-, social- og landbrugssektoren være relevante for at få mere viden om sundhedsdeterminanter. Af hensyn til IT-effektiviteten, rationaliseringen og interoperabiliteten af dataudvekslinger bør de eksisterende systemer til dataudveksling så vidt muligt genanvendes ligesom dem, der udvikles til udveksling af dokumentation under det tekniske system baseret på engangsprincippet i Europa-Parlamentets og Rådets forordning (EU) 2018/1724 51 .

(56)I forbindelse med grænseoverskridende registre eller databaser, såsom registrene over europæiske referencenetværk for sjældne sygdomme, som modtager data fra forskellige sundhedstjenesteydere i flere medlemsstater, bør det organ med ansvar for adgang til sundhedsdata, hvor registerets koordinator er beliggende, være ansvarligt for at give adgang til data.

(57)Godkendelsesproceduren for at få adgang til personlige sundhedsdata i forskellige medlemsstater kan være repetitiv og besværlig for databrugerne. Når det er muligt, bør der skabes synergier for at mindske byrden og hindringerne for databrugerne. En måde at nå dette mål på er at overholde princippet om "én ansøgning", ifølge hvilket databrugeren med én ansøgning kan få tilladelse fra flere organer med ansvar for adgang til sundhedsdata i forskellige medlemsstater.

(58)Organerne med ansvar for adgang til sundhedsdata bør give oplysninger om de tilgængelige datasæt og deres karakteristika, således at databrugere kan gives grundlæggende oplysninger om datasættet og vurdere deres mulige relevans for dem. Derfor bør hvert datasæt som minimum indeholde oplysninger om kilden, arten af data og betingelserne for at stille data til rådighed. Der bør derfor oprettes et EU-datasætkatalog for at gøre det lettere at finde de datasæt, der er tilgængelige i det europæiske sundhedsdataområde, hjælpe dataindehavere med at offentliggøre deres datasæt, give alle interessenter, herunder offentligheden, også under hensyntagen til personer med handicap, oplysninger om datasæt, der er i det europæiske sundhedsdataområde (såsom datakvalitets- og dataudnyttelsesmærker, oplysningsskemaer for datasæt), samt give databrugerne ajourførte datakvalitets- og dataudnyttelsesoplysninger om datasæt.

(59)Oplysninger om kvaliteten og udnyttelsen af datasæt øger værdien af resultaterne af dataintensiv forskning og innovation betydeligt, samtidig med at evidensbaseret lovgivningsmæssig og politisk beslutningstagning fremmes. Forbedring af kvaliteten og udnyttelsen af datasæt gennem informerede kundevalg og harmonisering af relaterede krav på EU-plan under hensyntagen til eksisterende EU-standarder og internationale standarder, retningslinjer, anbefalinger vedrørende dataindsamling og dataudveksling (dvs. FAIR-principperne: søgbare, tilgængelige, interoperable og genanvendelige) er også til gavn for dataindehavere, sundhedsprofessionelle, fysiske personer og Unionens økonomi som helhed. Et datakvalitets- og dataudnyttelsesmærke for datasæt vil informere databrugerne om et datasæts kvalitets- og udnyttelsesegenskaber og sætte dem i stand til at vælge de datasæt, der passer bedst til deres behov. Datakvalitets- og dataudnyttelsesmærket bør ikke forhindre, at datasæt stilles til rådighed gennem det europæiske sundhedsdataområde, men skabe en gennemsigtighedsmekanisme mellem dataindehavere og databrugere. Et datasæt, der ikke opfylder noget krav om datakvalitet og -nytte, bør f.eks. mærkes med den klasse, der repræsenterer den dårligste kvalitet og udnyttelse, men bør stadig stilles til rådighed. Forventninger, der er fastsat inden for de rammer, der er beskrevet i artikel 10 i forordning [...] [retsakten om kunstig intelligens COM(2021) 206 final], og den relevante dokumentation, der er anført i bilag IV, bør tages i betragtning, når rammen for datakvalitet og -udnyttelse udvikles. Medlemsstaterne bør øge bevidstheden om datakvalitets- og dataudnyttelsesmærket gennem kommunikationsaktiviteter. Kommissionen kunne støtte disse aktiviteter.

(60)EU-kataloget over datasæt bør minimere den administrative byrde for dataindehaverne og andre databasebrugere, være brugervenligt, tilgængeligt og omkostningseffektivt, forbinde nationale datakataloger og undgå overflødig registrering af datasæt. EU-kataloget over datasæt kan bringes i overensstemmelse med data.europa.eu-initiativet og med forbehold af kravene i forordning [...] [forordningen om datastyring COM(2020) 767 final]. Medlemsstaterne bør sikre, at nationale datakataloger er interoperable med eksisterende datasætkataloger fra europæiske forskningsinfrastrukturer og andre relevante datadelingsinfrastrukturer.

(61)Der er samarbejde og arbejde i gang mellem forskellige faglige organisationer, Kommissionen og andre institutioner for at oprette minimumsdatafelter og andre karakteristika for forskellige datasæt (f.eks. registre). Dette arbejde er mere fremskredent på områder som kræft, sjældne sygdomme og statistik og skal tages i betragtning ved fastlæggelsen af nye standarder. Mange datasæt er imidlertid ikke harmoniserede, hvilket skaber problemer med sammenligneligheden og vanskeliggør grænseoverskridende forskning. Der bør derfor fastsættes mere detaljerede regler i gennemførelsesretsakter for at sikre harmoniseret levering, kodning og registrering af elektroniske sundhedsdata. Medlemsstaterne bør arbejde for at skabe holdbare økonomiske og sociale fordele i forbindelse med europæiske elektroniske sundhedssystemer og -tjenester samt interoperable applikationer med henblik på at opnå en høj grad af tillid og sikkerhed, styrke kontinuiteten i behandlingen og sikre adgang til sikre sundhedsydelser af høj kvalitet.

(62)Kommissionen bør støtte medlemsstaterne i at opbygge kapacitet og effektivitet inden for digitale sundhedssystemer til primær og sekundær anvendelse af elektroniske sundhedsdata. Medlemsstaterne bør støttes for at styrke deres kapacitet. Aktiviteter på EU-plan såsom benchmarking og udveksling af bedste praksis er relevante foranstaltninger i denne henseende.

(63)Anvendelsen af midler bør også bidrage til at nå målene for det europæiske sundhedsdataområde. Offentlige indkøbere, nationale kompetente myndigheder i medlemsstaterne, herunder digitale sundhedsmyndigheder og organer med ansvar for adgang til sundhedsdata, samt Kommissionen bør tage hensyn til gældende tekniske specifikationer, standarder og profiler vedrørende interoperabilitet, sikkerhed og datakvalitet samt andre krav, der er udviklet i henhold til denne forordning, når de fastlægger betingelserne for offentlige udbud, indkaldelser af forslag og tildeling af EU-midler, herunder struktur- og samhørighedsfondene.

(64)Visse kategorier af elektroniske sundhedsdata kan fortsat være særligt følsomme, selv når de er i anonymiseret format og dermed ikke personlige, som det allerede specifikt er fastsat i forordningen om datastyring. Selv i situationer, hvor der anvendes avancerede anonymiseringsteknikker, er der fortsat en tilbageværende risiko for, at kapaciteten til at genidentificere den pågældende kan være eller blive tilgængelig ud over de midler, der med rimelighed kan forventes anvendt. En sådan tilbageværende risiko er til stede i forbindelse med sjældne sygdomme (en livstruende eller kronisk invaliderende lidelse, der berører højst fem ud af 10 000 personer i Unionen), hvor det begrænsede antal tilfælde gør det vanskeligt fuldt ud at aggregere de offentliggjorte data og samtidig beskytte fysiske personers privatliv, samtidig med at der sikres en passende detaljeringsgrad, så dataene er meningsfulde. Det kan påvirke forskellige typer sundhedsdata afhængigt af detaljeringsgraden og beskrivelsen af de registreredes karakteristika, antallet af berørte personer eller, f.eks. i tilfælde af data, der indgår i elektroniske patientjournaler, sygdomsregistre, biobanker, persongenererede data osv., hvor identifikationskarakteristikaene er bredere, og hvor det i kombination med andre oplysninger (f.eks. i meget små geografiske områder) eller gennem den teknologiske udvikling af metoder, der ikke var tilgængelige på tidspunktet for anonymiseringen, kan føre til genidentifikation af de registrerede ved hjælp af andre midler end dem, der med rimelighed kan forventes at blive anvendt. Virkeliggørelsen af en sådan risiko for genidentifikation af fysiske personer vil give anledning til stor bekymring og vil muligvis betyde, at den politik og de regler for sekundær anvendelse, der er fastsat i denne forordning, ikke vil blive accepteret. Desuden er aggregeringsteknikker i mindre grad afprøvet for andre oplysninger end personoplysninger, der f.eks. indeholder forretningshemmeligheder, som i forbindelse med indberetning af kliniske forsøg, og håndhævelse af brud på forretningshemmeligheder uden for Unionen er vanskeligere i mangel af en tilstrækkelig international beskyttelsesstandard. For disse typer sundhedsdata er der derfor fortsat en risiko for genidentifikation efter anonymiseringen eller aggregeringen, som ikke med rimelighed kunne afbødes i begyndelsen. Dette falder ind under kriterierne i artikel 5, stk. 13, i forordning [...] [forordningen om datastyring COM(2020) 767 final]. Disse typer sundhedsdata vil således falde ind under den beføjelse til overførsel til tredjelande, der er fastsat i artikel 5, stk. 13, i forordning [...] [forordningen om datastyring COM(2020) 767 final]. Beskyttelsesforanstaltningerne, der står i et rimeligt forhold til risikoen for genidentifikation, skal tage hensyn til de særlige forhold, der gør sig gældende for forskellige datakategorier eller forskellige anonymiserings- eller aggregeringsteknikker, og vil blive beskrevet nærmere i forbindelse med den delegerede retsakt i henhold til den beføjelse, der er fastsat i artikel 5, stk. 13, i forordning [...] [forordningen om datastyring COM(2020) 767 final].

(65)For at fremme en ensartet anvendelse af denne forordning bør der oprettes et udvalg for det europæiske sundhedsdataområde. Kommissionen bør deltage i udvalgets aktiviteter og være formand for det. Det bør bidrage til en ensartet anvendelse af denne forordning i hele Unionen, herunder ved at hjælpe medlemsstaterne med at koordinere anvendelsen af elektroniske sundhedsdata i forbindelse med sundhedsydelser og certificering, men også med hensyn til sekundær anvendelse af elektroniske sundhedsdata. Eftersom digitale sundhedsmyndigheder på nationalt plan, der beskæftiger sig med primær anvendelse af elektroniske sundhedsdata, kan være forskellige fra de organer med ansvar for adgang til sundhedsdata, som beskæftiger sig med sekundær anvendelse af elektroniske sundhedsdata, er funktionerne forskellige, og der er behov for forskellige former for samarbejde på hvert af disse områder, bør udvalget for det europæiske sundhedsdataområde kunne nedsætte undergrupper, der beskæftiger sig med disse to funktioner, samt andre undergrupper efter behov. For at sikre en effektiv arbejdsmetode bør de digitale sundhedsmyndigheder og organer med ansvar for adgang til sundhedsdata oprette netværk og forbindelser på nationalt plan med forskellige andre organer og myndigheder, men også på EU-plan. Sådanne organer kan omfatte databeskyttelsesmyndigheder, cybersikkerheds-, eID- og standardiseringsorganer samt organer og ekspertgrupper i henhold til forordning [...], [...], [...] og [...] [forordningen om datastyring, dataforordningen, retsakten om kunstig intelligens og forordningen om cybersikkerhed].

(66)For at forvalte grænseoverskridende infrastrukturer til primær og sekundær anvendelse af elektroniske sundhedsdata er det nødvendigt at oprette en fælles dataansvarsgruppe for godkendte deltagere (f.eks. for at sikre overholdelse af databeskyttelsesreglerne og denne forordning for de behandlingsaktiviteter, der udføres i sådanne infrastrukturer).

(67)Målene for denne forordning er følgende: at styrke fysiske personers indflydelse gennem øget kontrol med deres personlige sundhedsdata og fremme deres frie bevægelighed ved at sikre, at sundhedsdata følger dem, fremme et ægte indre marked for digitale sundhedstjenester og -produkter, sikre en konsekvent og effektiv ramme for videreanvendelse af fysiske personers sundhedsdata til forskning, innovation, politikudformning og lovgivningsmæssige aktiviteter. Disse kan ikke i tilstrækkelig grad nås af medlemsstaterne alene gennem koordineringsforanstaltninger, som det fremgår af evalueringen af de digitale aspekter af direktiv 2011/24/EU, men kan på grund af harmonisering af foranstaltninger vedrørende fysiske personers rettigheder i forbindelse med deres elektroniske sundhedsdata, interoperabilitet mellem elektroniske sundhedsdata og en fælles ramme for og garantier for primær og sekundær anvendelse af elektroniske sundhedsdata bedre nås på EU-plan. Derfor kan Unionen vedtage foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i traktaten om Den Europæiske Union. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, går denne forordning ikke videre, end hvad der er nødvendigt for at nå disse mål.

(68)For at sikre at det europæiske sundhedsdataområde opfylder sine mål, bør beføjelsen til at vedtage retsakter delegeres til Kommissionen i overensstemmelse med artikel 290 i traktaten om Den Europæiske Unions funktionsmåde for så vidt angår forskellige bestemmelser om primær og sekundær anvendelse af elektroniske sundhedsdata. Det er navnlig vigtigt, at Kommissionen gennemfører relevante høringer under sit forberedende arbejde, herunder på ekspertniveau, og at disse høringer gennemføres i overensstemmelse med principperne i den interinstitutionelle aftale af 13. april 2016 om bedre lovgivning 52 . For at sikre lige deltagelse i forberedelsen af delegerede retsakter modtager Europa-Parlamentet og Rådet navnlig alle dokumenter på samme tid som medlemsstaternes eksperter, og deres eksperter har systematisk adgang til møder i Kommissionens ekspertgrupper, der beskæftiger sig med forberedelsen af delegerede retsakter.

(69)For at sikre ensartede betingelser for gennemførelsen af denne forordning bør Kommissionen tillægges gennemførelsesbeføjelser. Disse beføjelser bør udøves i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 53 .

(70)Medlemsstaterne bør træffe alle nødvendige foranstaltninger til at sikre, at bestemmelserne i denne forordning gennemføres, herunder ved at fastsætte sanktioner for overtrædelse heraf, som er effektive, står i rimeligt forhold til overtrædelsen og har afskrækkende virkning. Med hensyn til visse specifikke overtrædelser bør medlemsstaterne tage hensyn til de margener og kriterier, der er fastsat i denne forordning.

(71)Kommissionen bør foretage en evaluering af denne forordning med det formål at vurdere, om forordningens mål nås på effektiv vis, og om forordningen er sammenhængende, fortsat er relevant og skaber merværdi på EU-plan. Kommissionen bør foretage en delvis evaluering af denne forordning fem år efter dens ikrafttræden med hensyn til selvcertificering af EPJ-systemer og en samlet evaluering syv år efter denne forordnings ikrafttræden. Kommissionen forelægger en rapport om de vigtigste resultater efter hver evaluering for Europa-Parlamentet, Rådet, Det Europæiske Økonomiske og Sociale Udvalg og Regionsudvalget.

(72)Med henblik på en vellykket gennemførelse af det europæiske sundhedsdataområde på tværs af grænserne bør den europæiske interoperabilitetsramme 54 for at sikre juridisk, organisatorisk, semantisk og teknisk interoperabilitet betragtes som fælles reference.

(73)Evalueringen af de digitale aspekter af direktiv 2011/24/EU viser e-sundhedsnetværkets begrænsede effektivitet, men også et stort potentiale for EU's arbejde på dette område, som det fremgår af arbejdet under pandemien. Derfor vil direktivets artikel 14 blive ophævet og erstattet af denne forordning, og direktivet vil blive ændret i overensstemmelse hermed.

(74)Den Europæiske Tilsynsførende for Databeskyttelse og Det Europæiske Databeskyttelsesråd er blevet hørt i overensstemmelse med artikel 42 i forordning (EU) 2018/1725 og afgav en udtalelse den [...].

(75)Denne forordning bør ikke berøre anvendelsen af konkurrencereglerne, særlig traktatens artikel 101 og 102. Foranstaltningerne i denne forordning bør ikke anvendes til at begrænse konkurrencen på en måde, der er i strid med traktaten.

(76)Da der er behov for teknisk forberedelse, bør denne forordning anvendes fra den [12 måneder efter ikrafttrædelsen] —

VEDTAGET DENNE FORORDNING:

Kapitel I

Almindelige bestemmelser

Artikel 1

Genstand og anvendelsesområde

1.Ved denne forordning oprettes det europæiske sundhedsdataområde med regler, fælles standarder og praksis, infrastrukturer og en forvaltningsramme for primær og sekundær anvendelse af elektroniske sundhedsdata.

2.Denne forordning:

a)styrker fysiske personers rettigheder med hensyn til tilgængeligheden af og kontrollen med deres elektroniske sundhedsdata

b)fastsætter regler for at bringe elektroniske patientjournalsystemer ("EPJ-systemer") i omsætning, gøre dem tilgængelige på markedet og ibrugtage dem i Unionen

c)fastsætter regler og mekanismer til støtte for sekundær anvendelse af elektroniske sundhedsdata

d)etablerer en obligatorisk grænseoverskridende infrastruktur for primær anvendelse af elektroniske sundhedsdata i hele Unionen

e)etablerer en obligatorisk grænseoverskridende infrastruktur for sekundær anvendelse af elektroniske sundhedsdata.

3.Denne forordning finder anvendelse på:

a)fabrikanter og leverandører af EPJ-systemer og wellnessapplikationer, der bringes i omsætning og ibrugtages i Unionen, og brugerne af sådanne produkter

b)dataansvarlige og databehandlere, der er etableret i Unionen, og som behandler elektroniske sundhedsdata om unionsborgere og tredjelandsstatsborgere, der har lovligt ophold på medlemsstaternes område

c)dataansvarlige og databehandlere, der er etableret i et tredjeland, som er tilsluttet eller er interoperable med MyHealth@EU, jf. artikel 12, stk. 5

d)databrugere, som dataindehavere i Unionen stiller elektroniske sundhedsdata til rådighed for.

4.Denne forordning berører ikke andre EU-retsakter vedrørende adgang til, deling eller sekundær anvendelse af elektroniske sundhedsdata eller krav vedrørende behandling af data i forbindelse med elektroniske sundhedsdata, navnlig forordning (EU) 2016/679, (EU) 2018/1725, [...] [forordningen om datastyring COM(2020) 767 final] og [...] [dataforordningen COM(2022) 68 final].

5.Denne forordning berører ikke forordning (EU) 2017/745 og [...] [retsakten om kunstig intelligens COM(2021) 206 final] for så vidt angår sikkerheden af medicinsk udstyr og AI-systemer, der interagerer med EPJ-systemer.

6.Denne forordning berører ikke de rettigheder og forpligtelser, der er fastsat i EU-retten eller national ret vedrørende databehandling med henblik på indberetning, efterkommelse af anmodninger om oplysninger eller påvisning eller verifikation af overholdelse af retlige forpligtelser.

Artikel 2

Definitioner

1.I denne forordning gælder følgende definitioner:

a)definitionerne i forordning (EU) 2016/679

b)definitionerne af "sundhedsydelser", "forsikringsmedlemsstat", "behandlingsmedlemsstat", "sundhedsprofessionel", "sundhedstjenesteyder", "lægemiddel" og "recept" i henhold til artikel 3, litra a), c), d), f), g), i) og k), i direktiv 2011/24/EU

c)definitionerne af "data", "adgang", "dataaltruisme", "offentlig myndighed" og "sikkert databehandlingsmiljø" i henhold til artikel 2, nr. 1), 8), 10), 11) og 14), i [forordningen om datastyring COM(2020) 767 final]

d)definitionerne af "gøre tilgængelig på markedet", "bringe i omsætning", "markedsovervågning", "markedsovervågningsmyndighed", "manglende overensstemmelse", "fabrikant", "importør", "distributør", "erhvervsdrivende", "korrigerende tiltag", "risiko", "tilbagekaldelse" og "tilbagetrækning" i henhold til artikel 2, nr. 1), 2), 3), 4), 7), 8), 9), 10), 13), 16), 18), 22) og 23), i forordning (EU) 2019/1020

e)definitionerne af "medicinsk udstyr", "erklæret formål", "brugsanvisning", "ydeevne", "sundhedsinstitution" og "fælles specifikationer" i henhold til artikel 2, nr. 1), 12), 14), 22), 36) og 71), i forordning (EU) 2017/745

f)definitionerne af "elektronisk identifikation", "elektronisk identifikationsmiddel" og "personidentifikationsdata" i henhold til artikel 3, nr. 1), 2) og 3), i forordning (EU) nr. 910/2014.

2.I denne forordning forstås desuden ved:

a)"personlige elektroniske sundhedsdata": data om sundhed og genetiske data som defineret i forordning (EU) 2016/679 samt data, der henviser til sundhedsdeterminanter, eller data, der behandles i forbindelse med levering af sundhedsydelser, og som behandles i elektronisk form

b)"andre elektroniske sundhedsdata end personoplysninger": data om sundhed og genetiske data i elektronisk format, der falder uden for definitionen af personoplysninger i artikel 4, nr. 1), i forordning (EU) 2016/679

c)"elektroniske sundhedsdata": personlige elektroniske sundhedsdata eller andre elektroniske sundhedsdata end personoplysninger

d)"primær anvendelse af elektroniske sundhedsdata": behandling af personlige elektroniske sundhedsdata for at levere sundhedsydelser med henblik på at vurdere, vedligeholde eller genoprette sundhedstilstanden for den fysiske person, som oplysningerne vedrører, herunder ordinering, udlevering og levering af lægemidler og medicinsk udstyr, samt for relevante socialsikringstjenester, administrative tjenester eller godtgørelsestjenester

e)"sekundær anvendelse af elektroniske sundhedsdata": behandling af elektroniske sundhedsdata til de formål, der er fastsat i kapitel IV i denne forordning. De anvendte data kan omfatte personlige elektroniske sundhedsdata, der oprindeligt blev indsamlet i forbindelse med primær anvendelse, men også elektroniske sundhedsdata, der er indsamlet med henblik på sekundær anvendelse

f)"interoperabilitet": den evne, som organisationer samt softwareapplikationer eller -udstyr fra den samme fabrikant eller forskellige fabrikanter har til at interagere med henblik på at nå gensidigt fordelagtige mål, herunder udveksling af oplysninger og viden uden at ændre indholdet af dataene mellem disse organisationer, softwareapplikationer eller -udstyr gennem de processer, de understøtter

g)"europæisk format for udveksling af elektroniske patientjournaler": et struktureret, almindeligt anvendt og maskinlæsbart format, der gør det muligt at overføre personlige elektroniske sundhedsdata mellem forskellige softwareapplikationer, -enheder og sundhedstjenesteydere

h)"registrering af elektroniske sundhedsdata": registrering af sundhedsdata i elektronisk format, gennem manuel indlæsning af data, gennem indsamling af data ved hjælp af en anordning eller ved konvertering af ikkeelektroniske sundhedsdata til et elektronisk format, der skal behandles i et EPJ-system eller en wellnessapplikation

i)"elektronisk adgang til sundhedsdata": en onlinetjeneste såsom en portal eller en mobilapplikation, der gør det muligt for fysiske personer, der ikke handler som led i deres erhverv, at få adgang til deres egne elektroniske sundhedsdata eller elektroniske sundhedsdata for de fysiske personer, hvis elektroniske sundhedsdata de er lovligt autoriseret til at få adgang til

j)"adgangstjeneste for sundhedsprofessionelle": en tjeneste, der understøttes af et EPJ-system, og som gør det muligt for sundhedsprofessionelle at få adgang til data om fysiske personer under deres behandling

k)"datamodtager": en fysisk eller juridisk person, der modtager oplysninger fra en anden dataansvarlig i forbindelse med den primære anvendelse af elektroniske sundhedsdata

l)"telemedicin": levering af sundhedsydelser, herunder fjernbehandling og onlineapoteker, ved brug af informations- og kommunikationsteknologi i situationer, hvor den sundhedsprofessionelle og patienten (eller flere sundhedsprofessionelle) ikke befinder sig på samme sted

m)"EPJ" (elektronisk patientjournal): en samling af elektroniske sundhedsdata vedrørende en fysisk person, der indsamles i sundhedssystemet, og som behandles med henblik på sundhedsydelser

n)"EPJ-system" (elektronisk patientjournalsystem): ethvert apparat eller enhver software, som af fabrikanten er beregnet til at blive anvendt til lagring, formidling, import, eksport, konvertering, redigering eller visning af elektroniske patientjournaler

o)"wellnessapplikation": ethvert apparat eller enhver software, som af fabrikanten er beregnet til at blive anvendt af en fysisk person til behandling af elektroniske sundhedsdata til andre formål end sundhedspleje, såsom trivsel og en sund livsstil

p)"CE-overensstemmelsesmærkning": mærkning, hvormed fabrikanten angiver, at det pågældende EPJ-system er i overensstemmelse med de gældende krav i denne forordning og anden gældende EU-lovgivning om anbringelse af denne mærkning

q)"alvorlig hændelse": enhver funktionsfejl eller forringelse af karakteristika eller ydeevne for et EPJ-system, der er gjort tilgængeligt på markedet, og som direkte eller indirekte fører til, kan have ført til eller kan føre til enten:

i)en fysisk persons død eller alvorlig skade på en fysisk persons helbred eller

ii)alvorlige forstyrrelser i forvaltningen og driften af kritisk infrastruktur i sundhedssektoren

r)"nationalt kontaktpunkt for digital sundhed": en organisatorisk og teknisk portal til levering af grænseoverskridende digitale sundhedsinformationstjenester til primær anvendelse af elektroniske sundhedsdata under medlemsstaternes ansvar

s)"central platform for digital sundhed": en interoperabilitetsplatform, der leverer tjenester til at støtte og lette udvekslingen af elektroniske sundhedsdata mellem nationale kontaktpunkter for digital sundhed

t)"MyHealth@EU": den grænseoverskridende infrastruktur til primær anvendelse af elektroniske sundhedsdata, der udgøres af kombinationen af nationale kontaktpunkter for digital sundhed og den centrale platform for digital sundhed

u)"nationalt kontaktpunkt for sekundær anvendelse af elektroniske sundhedsdata": en organisatorisk og teknisk portal, der muliggør grænseoverskridende sekundær anvendelse af elektroniske sundhedsdata under medlemsstaternes ansvar

v)"central platform for sekundær anvendelse af elektroniske sundhedsdata": en interoperabilitetsplatform, der er oprettet af Kommissionen, og som leverer tjenester til at støtte og lette udvekslingen af oplysninger mellem nationale kontaktpunkter med henblik på sekundær anvendelse af elektroniske sundhedsdata

x)"HealthData@EU": infrastruktur, der forbinder nationale kontaktpunkter for sekundær anvendelse af elektroniske sundhedsdata og den centrale platform

y)"dataindehaver": enhver fysisk eller juridisk person, som er en enhed eller et organ i sundheds- eller plejesektoren, eller som udfører forskning i forbindelse med disse sektorer, samt EU-institutioner, -organer, -kontorer og -agenturer, der i henhold til denne forordning, gældende EU-ret eller national lovgivning til gennemførelse af EU-retten har ret eller pligt til eller, i tilfælde af andre data end personoplysninger, gennem kontrol af den tekniske udformning af et produkt og relaterede tjenester, evne til at stille til rådighed, herunder til at registrere, give, begrænse adgangen til eller udveksle visse data

z)"databruger": en fysisk eller juridisk person, der har lovlig adgang til personlige elektroniske sundhedsdata eller andre elektroniske sundhedsdata end personoplysninger til sekundær anvendelse

aa)"datatilladelse": en administrativ afgørelse udstedt til en databruger af et organ med ansvar for adgang til sundhedsdata eller en dataindehaver med henblik på behandling af de elektroniske sundhedsdata, der er angivet i datatilladelsen, til sekundære formål, der er angivet i datatilladelsen, på grundlag af de betingelser, der er fastsat i denne forordning

ab)"datasæt": en struktureret samling af elektroniske sundhedsdata

ac)"datakatalog": en samling beskrivelser af datasæt, som er struktureret systematisk og består af en brugerorienteret offentlig del, hvor oplysninger om individuelle datasætparametre er tilgængelige ad elektronisk vej via en onlineportal

ad)"datakvalitet": i hvor høj grad elektroniske sundhedsdata egner sig til sekundær anvendelse

ae)"datakvalitets- og dataudnyttelsesmærke": et grafisk diagram, herunder en skala, der beskriver datakvaliteten og betingelserne for udnyttelse af et datasæt.

Kapitel II

Primær anvendelse af elektroniske sundhedsdata

Afdeling 1

Adgang til og overførsel af personlige elektroniske sundhedsdata til primær anvendelse

Artikel 3

Fysiske personers rettigheder i forbindelse med den primære anvendelse af deres personlige elektroniske sundhedsdata

1.Fysiske personer har ret til omgående og gratis adgang til deres personlige elektroniske sundhedsdata, der behandles i forbindelse med primær anvendelse af elektroniske sundhedsdata, i en letlæselig, konsolideret og tilgængelig form.

2.Fysiske personer har ret til at modtage en elektronisk kopi i det europæiske format for udveksling af elektroniske patientjournaler, jf. artikel 6, af som minimum deres elektroniske sundhedsdata i de prioriterede kategorier, der er omhandlet i artikel 5.

3.I overensstemmelse med artikel 23 i forordning (EU) 2016/679 kan medlemsstaterne begrænse rækkevidden af denne ret, når det er nødvendigt for at beskytte den fysiske person på grundlag af patientsikkerhed og etik, ved at udsætte deres adgang til deres personlige elektroniske sundhedsdata i en begrænset periode, indtil en sundhedsprofessionel kan videregive og forklare den fysiske person oplysninger, der kan have en betydelig indvirkning på vedkommendes helbred.

4.Hvis personlige sundhedsdata ikke er blevet registreret elektronisk forud for anvendelsen af denne forordning, kan medlemsstaterne kræve, at sådanne data stilles til rådighed i elektronisk format i henhold til denne artikel. Dette berører ikke forpligtelsen til at stille personlige elektroniske sundhedsdata, der er registreret efter anvendelsen af denne forordning, til rådighed i elektronisk format i henhold til denne artikel.

5.Medlemsstaterne:

a)etablerer en eller flere tjenester for adgang til elektroniske sundhedsdata på nationalt, regionalt eller lokalt plan, der gør det muligt at udøve de rettigheder, der er omhandlet i stk. 1 og 2

b)etablerer en eller flere fuldmagtstjenester, der gør det muligt for en fysisk person at bemyndige andre fysiske personer efter eget valg til at få adgang til deres elektroniske sundhedsdata på deres vegne.

Fuldmagtstjenesten udsteder gratis fuldmagter, elektronisk eller på papir. De skal gøre det muligt for værger eller andre repræsentanter enten automatisk eller efter anmodning at få adgang til elektroniske sundhedsdata om de fysiske personer, hvis anliggender de varetager. Medlemsstaterne kan fastsætte, at fuldmagter ikke finder anvendelse, når det er nødvendigt af hensyn til beskyttelsen af den fysiske person, navnlig på grundlag af patientsikkerhed og etik. Fuldmagtstjenesterne skal være interoperable mellem medlemsstaterne.

6.Fysiske personer kan indsætte deres elektroniske sundhedsdata i deres egen EPJ eller i forbindelse med fysiske personer, hvis helbredsoplysninger de kan få adgang til, via tjenester for adgang til elektroniske sundhedsdata eller applikationer, der er knyttet til disse tjenester. Disse oplysninger markeres som indsat af den fysiske person eller dennes repræsentant.

7.Medlemsstaterne sikrer, at fysiske personer, når de udøver retten til berigtigelse i henhold til artikel 16 i forordning (EU) 2016/679, let kan anmode om berigtigelse online via tjenesterne for adgang til elektroniske sundhedsdata, der er omhandlet i nærværende artikels stk. 5, litra a).

8.Fysiske personer har ret til at give adgang til eller anmode en dataindehaver fra sundheds- eller socialsikringssektoren om straks, gratis og uden hindringer fra dataindehaveren eller fabrikanterne af de systemer, som indehaveren anvender, at overføre deres elektroniske sundhedsdata til en datamodtager efter eget valg fra sundheds- eller socialsikringssektoren.

Hvis dataindehaveren og datamodtageren befinder sig i forskellige medlemsstater, og sådanne elektroniske sundhedsdata tilhører de kategorier, der er omhandlet i artikel 5, har fysiske personer ret til, at dataindehaveren overfører dataene i formatet for udveksling af europæiske elektroniske patientjournaler, jf. artikel 6, og at datamodtageren læser og accepterer dem.

Uanset artikel 9 i forordning [...] [dataforordningen COM(2022) 68 final] er datamodtageren ikke forpligtet til at kompensere dataindehaveren for at stille elektroniske sundhedsdata til rådighed.

Når prioriterede kategorier af elektroniske sundhedsdata, der er omhandlet i artikel 5, overføres eller stilles til rådighed af den fysiske person i overensstemmelse med formatet for udveksling af europæiske elektroniske patientjournaler, jf. artikel 6, har den fysiske person ret til, at sådanne data læses og accepteres af andre sundhedstjenesteydere.

9.Uanset artikel 6, stk. 1, litra d), i forordning (EU) 2016/679 har fysiske personer ret til at begrænse sundhedsprofessionelles adgang til alle eller en del af deres elektroniske sundhedsdata. Medlemsstaterne fastsætter regler og specifikke garantier vedrørende sådanne begrænsningsmekanismer.

10.Fysiske personer har ret til at få oplysninger om de sundhedstjenesteydere og sundhedsprofessionelle, der har fået adgang til deres elektroniske sundhedsdata i forbindelse med sundhedsydelser. Oplysningerne gives straks og gratis via tjenester for adgang til elektroniske sundhedsdata.

11.Den eller de tilsynsmyndigheder, der er ansvarlige for at føre tilsyn med anvendelsen af forordning (EU) 2016/679, er også ansvarlige for at overvåge anvendelsen af denne artikel i overensstemmelse med de relevante bestemmelser i kapitel VI, VII og VIII i forordning (EU) 2016/679. De har kompetence til at pålægge administrative bøder op til det beløb, der er omhandlet i artikel 83, stk. 5, i nævnte forordning. Disse tilsynsmyndigheder og de digitale sundhedsmyndigheder, der er omhandlet i denne forordnings artikel 10, samarbejder, hvor det er relevant, om håndhævelsen af denne forordning inden for rammerne af deres respektive beføjelser.

12.Kommissionen fastsætter ved hjælp af gennemførelsesretsakter kravene vedrørende den tekniske gennemførelse af de rettigheder, der er fastsat i denne artikel. Disse gennemførelsesretsakter vedtages efter rådgivningsproceduren, jf. artikel 68, stk. 2.

Artikel 4

Sundhedsprofessionelles adgang til personlige elektroniske sundhedsdata

1.Når sundhedsprofessionelle behandler data i elektronisk format, skal de:

a)have adgang til de elektroniske sundhedsdata om fysiske personer, der er under deres behandling, uanset forsikringsmedlemsstat og behandlingsmedlemsstat

b)sikre, at de personlige elektroniske sundhedsdata for de fysiske personer, de behandler, ajourføres med oplysninger vedrørende de leverede sundhedsydelser.

2.I overensstemmelse med dataminimeringsprincippet i forordning (EU) 2016/679 kan medlemsstaterne fastsætte regler for de kategorier af personlige elektroniske sundhedsdata, der kræves af forskellige sundhedserhverv. Sådanne regler må ikke afhænge af kilden til elektroniske sundhedsdata.

3.Medlemsstaterne sikrer, at adgang til som minimum de prioriterede kategorier af elektroniske sundhedsdata, der er omhandlet i artikel 5, stilles til rådighed for sundhedsprofessionelle gennem adgangstjenester for sundhedsprofessionelle. Sundhedsprofessionelle, der er i besiddelse af anerkendte elektroniske identifikationsmidler, har ret til gratis at benytte disse adgangstjenester for sundhedsprofessionelle.

4.Hvis den fysiske person har begrænset adgangen til elektroniske sundhedsdata, må sundhedstjenesteyderen eller sundhedsprofessionelle ikke oplyses om indholdet af de elektroniske sundhedsdata uden forudgående tilladelse fra den fysiske person, herunder hvis udbyderen eller den sundhedsprofessionelle er informeret om eksistensen og arten af de begrænsede elektroniske sundhedsdata. I tilfælde, hvor behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser, kan sundhedstjenesteyderen eller den sundhedsprofessionelle få adgang til de begrænsede elektroniske sundhedsdata. Efter en sådan adgang underretter sundhedstjenesteyderen eller den sundhedsprofessionelle dataindehaveren og den pågældende fysiske person eller dennes værger om, at der er givet adgang til elektroniske sundhedsdata. Medlemsstaternes lovgivning kan foreskrive yderligere garantier.

Artikel 5

Prioriterede kategorier af personlige elektroniske sundhedsdata til primær anvendelse

1.Hvis data behandles i elektronisk format, indfører medlemsstaterne adgang til og udveksling af personlige elektroniske sundhedsdata til primær anvendelse, der helt eller delvis falder ind under følgende kategorier:

a)patientresuméer

b)elektroniske recepter

c)elektroniske lægemiddeludleveringer

d)medicinske billeder og billedrapporter

e)laboratorieresultater

f)udskrivningsrapporter.

De vigtigste karakteristika for kategorierne af elektroniske sundhedsdata i første afsnit er fastsat i bilag I.

Der kan gives adgang til og ske udveksling af elektroniske sundhedsdata til primær anvendelse for andre kategorier af personlige elektroniske sundhedsdata, der er tilgængelige i fysiske personers EPJ.

2.Kommissionen tillægges beføjelse til at vedtage delegerede retsakter i overensstemmelse med artikel 67 for at ændre listen over prioriterede kategorier af elektroniske sundhedsdata i stk. 1. Sådanne delegerede retsakter kan også ændre bilag I ved at tilføje, ændre eller fjerne de vigtigste karakteristika for de prioriterede kategorier af elektroniske sundhedsdata og, hvis det er relevant, angive en dato for udsat anvendelse. De kategorier af elektroniske sundhedsdata, der tilføjes ved sådanne delegerede retsakter, skal opfylde følgende kriterier:

a)Kategorien er relevant for sundhedsydelser, der leveres til fysiske personer.

b)Ifølge de seneste oplysninger anvendes kategorien i et betydeligt antal EPJ-systemer, der anvendes i medlemsstaterne.

c)Der findes internationale standarder for kategorien, der er blevet undersøgt med henblik på muligheden for at anvende dem i Unionen.

Artikel 6

Europæisk format for udveksling af elektroniske patientjournaler

1.Kommissionen fastsætter ved hjælp af gennemførelsesretsakter de tekniske specifikationer for de prioriterede kategorier af personlige elektroniske sundhedsdata, der er omhandlet i artikel 5, og danner grundlag for det europæiske format for udveksling af elektroniske patientjournaler. Formatet skal indeholde følgende elementer:

a)datasæt, der indeholder elektroniske sundhedsdata og definerer strukturer såsom datafelter og datagrupper for indholdsbeskrivelse af klinisk indhold og andre dele af de elektroniske sundhedsdata

b)kodningssystemer og -værdier, der skal anvendes i datasæt, der indeholder elektroniske sundhedsdata

c)tekniske specifikationer for udveksling af elektroniske sundhedsdata, herunder indholdsbeskrivelse, standarder og profiler.

2.Disse gennemførelsesretsakter vedtages efter rådgivningsproceduren, jf. artikel 68, stk. 2. Medlemsstaterne sikrer, at når de prioriterede kategorier af personlige elektroniske sundhedsdata, der er omhandlet i artikel 5, leveres direkte af en fysisk person eller overføres til en sundhedstjenesteyder ad elektronisk vej i det format, der er omhandlet i stk. 1, læses og accepteres sådanne oplysninger af datamodtageren.

3.Medlemsstaterne sikrer, at de prioriterede kategorier af personlige elektroniske sundhedsdata, der er omhandlet i artikel 5, udstedes i det format, der er omhandlet i stk. 1, og at sådanne oplysninger læses og accepteres af datamodtageren.

Artikel 7

Registrering af personlige elektroniske sundhedsdata

1.Medlemsstaterne sikrer, at sundhedsprofessionelle, når data behandles i elektronisk format, systematisk registrerer de relevante sundhedsdata, der som minimum falder ind under de prioriterede kategorier, der er omhandlet i artikel 5, vedrørende de sundhedsydelser, som de leverer til fysiske personer, i det elektroniske format i et EPJ-system.

2.Hvis en fysisk persons elektroniske sundhedsdata er registreret i en medlemsstat, der ikke er den pågældende persons forsikringsmedlemsstat, sikrer behandlingsmedlemsstaten, at registreringen foretages under personidentifikations-oplysningerne for den fysiske person i forsikringsmedlemsstaten.

3.Kommissionen fastsætter ved hjælp af gennemførelsesretsakter kravene til sundhedstjenesteyderes og fysiske personers registrering af elektroniske sundhedsdata, alt efter hvad der er relevant. Disse gennemførelsesretsakter fastsætter følgende:

a)kategorier af sundhedstjenesteydere, der skal registrere sundhedsdata elektronisk

b)kategorier af sundhedsdata, som de sundhedstjenesteydere, der er omhandlet i litra a), systematisk skal registrere i elektronisk format

c)datakvalitetskrav i forbindelse med elektronisk registrering af sundhedsdata.

Disse gennemførelsesretsakter vedtages efter rådgivningsproceduren, jf. artikel 68, stk. 2.

Artikel 8

Telemedicin i forbindelse med grænseoverskridende sundhedsydelser

Når en medlemsstat accepterer levering af telemedicinydelser, skal den på samme betingelser acceptere, at sundhedstjenesteydere i andre medlemsstater leverer tjenesteydelser af samme type.

Artikel 9

Identifikationsstyring

1.Hvis en fysisk person anvender telemedicintjenester eller tjenester for adgang til personlige sundhedsdata, jf. artikel 3, stk. 5, litra a), har denne fysiske person ret til elektronisk identifikation ved hjælp af ethvert elektronisk identifikationsmiddel, der er anerkendt i henhold til artikel 6 i forordning (EU) nr. 910/2014.

2.Kommissionen fastsætter ved hjælp af gennemførelsesretsakter kravene til den interoperable, grænseoverskridende identifikations- og autentifikationsmekanisme for fysiske personer og sundhedsprofessionelle i overensstemmelse med forordning (EU) nr. 910/2014 som ændret ved [COM(2021) 281 final]. Mekanismen skal gøre det lettere at overføre elektroniske sundhedsdata i en grænseoverskridende sammenhæng. Disse gennemførelsesretsakter vedtages efter rådgivningsproceduren, jf. artikel 68, stk. 2.

3.Kommissionen implementerer de tjenester, der kræves til den interoperable, grænseoverskridende identifikations- og autentifikationsmekanisme, der er omhandlet i denne artikels stk. 2, på EU-plan som en del af den grænseoverskridende digitale sundhedsinfrastruktur, der er omhandlet i artikel 12, stk. 3.

4.De digitale sundhedsmyndigheder og Kommissionen implementerer den grænseoverskridende identifikations- og autentifikationsmekanisme på henholdsvis EU-plan og medlemsstatsplan.

Artikel 10

Digital sundhedsmyndighed

1.Hver medlemsstat udpeger en digital sundhedsmyndighed, der er ansvarlig for gennemførelsen og håndhævelsen af dette kapitel på nationalt plan. Medlemsstaten meddeler Kommissionen benævnelsen på den digitale sundhedsmyndighed senest på datoen for denne forordnings anvendelse. Hvis en udpeget digital sundhedsmyndighed er en enhed bestående af flere organisationer, sender medlemsstaten Kommissionen en beskrivelse af fordelingen af opgaver mellem organisationerne. Kommissionen gør disse oplysninger offentligt tilgængelige.

2.Hver digital sundhedsmyndighed har følgende opgaver:

a)sikre gennemførelsen af de rettigheder og forpligtelser, der er omhandlet i kapitel II og III, ved at indføre de nødvendige nationale, regionale eller lokale tekniske løsninger og ved at fastsætte relevante regler og mekanismer

b)sikre, at fuldstændige og ajourførte oplysninger om gennemførelsen af de rettigheder og forpligtelser, der er fastsat i kapitel II og III, stilles til rådighed for fysiske personer, sundhedsprofessionelle og sundhedstjenesteydere

c)ved gennemførelsen af de tekniske løsninger, der er omhandlet i litra a), håndhæve deres overensstemmelse med kapitel II og III og bilag II

d)på EU-plan bidrage til udviklingen af tekniske løsninger, der sætter fysiske personer og sundhedsprofessionelle i stand til at udøve deres rettigheder og forpligtelser i henhold til dette kapitel

e)gøre det lettere for personer med handicap at udøve deres rettigheder som anført i artikel 3 i denne forordning i overensstemmelse med Europa-Parlamentets og Rådets direktiv (EU) 2019/882 55

f)føre tilsyn med de nationale kontaktpunkter for digital sundhed og samarbejde med andre digitale sundhedsmyndigheder og Kommissionen om videreudvikling af MyHealth@EU

g)sikre gennemførelsen på nationalt plan af det europæiske format for udveksling af elektroniske patientjournaler i samarbejde med nationale myndigheder og interessenter

h)på EU-plan bidrage til udviklingen af det europæiske format for udveksling af elektroniske patientjournaler og til udarbejdelsen af fælles specifikationer vedrørende interoperabilitet, sikkerhed eller grundlæggende rettigheder i overensstemmelse med artikel 23 og specifikationerne i EU-databasen for EPJ-systemer og wellnessapplikationer, jf. artikel 32

i)hvor det er relevant, udføre markedsovervågningsaktiviteter i overensstemmelse med artikel 28, samtidig med at det sikres, at enhver interessekonflikt undgås

j)opbygge national kapacitet til at gennemføre interoperabilitet og sikkerhed i den primære anvendelse af elektroniske sundhedsdata og deltage i informationsudveksling og kapacitetsopbygningsaktiviteter på EU-plan

k)i overensstemmelse med national lovgivning tilbyde telemedicintjenester og sikre, at sådanne tjenester er lette at anvende, tilgængelige for forskellige grupper af fysiske personer og sundhedsprofessionelle, herunder fysiske personer med handicap, ikke diskriminerer og giver mulighed for at vælge mellem personlige og digitale tjenester

l)samarbejde med markedsovervågningsmyndighederne, deltage i aktiviteter vedrørende håndtering af risici i forbindelse med EPJ-systemer og alvorlige hændelser og føre tilsyn med gennemførelsen af korrigerende tiltag i overensstemmelse med artikel 29

m)samarbejde med andre relevante enheder og organer på nationalt plan eller EU-plan for at sikre interoperabilitet, dataportabilitet og sikkerhed i forbindelse med elektroniske sundhedsdata samt med repræsentanter for interessenter, herunder patientrepræsentanter, sundhedstjenesteydere, sundhedsprofessionelle og brancheorganisationer

n)samarbejde med tilsynsmyndigheder i overensstemmelse med forordning (EU) nr. 910/2014, forordning (EU) 2016/679 og Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 56 , med andre relevante myndigheder, herunder de myndigheder, der er kompetente med hensyn til cybersikkerhed, elektronisk identifikation, Det Europæiske Udvalg for Kunstig Intelligens, Koordinationsgruppen for Medicinsk Udstyr, Det Europæiske Datainnovationsråd og de kompetente myndigheder i henhold til forordning [...] [dataforordningen COM(2022) 68 final]

o)i samarbejde med markedsovervågningsmyndighederne, hvor det er relevant, udarbejde en årlig aktivitetsrapport, der skal indeholde en samlet oversigt over dens aktiviteter. Rapporten fremsendes til Kommissionen. Den årlige aktivitetsrapport skal følge en struktur, der er aftalt på EU-plan i udvalget for det europæiske sundhedsdataområde for at støtte benchmarking i henhold til artikel 59. Rapporten skal som minimum indeholde oplysninger om:

i)foranstaltninger, den har truffet med henblik på gennemførelsen af denne forordning

ii)procentdel af fysiske personer, der har adgang til forskellige datakategorier i deres elektroniske patientjournaler

iii)oplysninger om behandlingen af anmodninger fra fysiske personer om udøvelsen af deres rettigheder i henhold til denne forordning

iv)antal sundhedstjenesteydere af forskellige typer, herunder apoteker, hospitaler og andre behandlingssteder, der er forbundet med MyHealth@EU, beregnet a) i absolutte tal, b) som andel af alle sundhedstjenesteydere af samme type og c) som andel af fysiske personer, der kan benytte tjenesterne

v)mængder af elektroniske sundhedsdata for forskellige kategorier, der deles på tværs af grænserne via MyHealth@EU

vi)graden af fysiske personers tilfredshed med MyHealth@EU

vii)antal certificerede EPJ-systemer og mærkede wellnessapplikationer, der er registreret i EU-databasen

viii)antal tilfælde af manglende overholdelse af de obligatoriske krav

ix)en beskrivelse af dens aktiviteter i forbindelse med inddragelse og høring af relevante interessenter, herunder repræsentanter for fysiske personer, patientorganisationer, sundhedsprofessionelle, forskere og etiske udvalg

x)oplysninger om samarbejde med andre kompetente organer, navnlig inden for databeskyttelse, cybersikkerhed og kunstig intelligens.

3.Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 67 med henblik på at supplere denne forordning ved at overdrage de digitale sundhedsmyndigheder yderligere opgaver, der er nødvendige for at udføre de opgaver, de pålægges ved denne forordning, og ændre indholdet af årsrapporten.

4.Hver medlemsstat sikrer, at hver digital sundhedsmyndighed råder over de menneskelige, tekniske og økonomiske ressourcer, lokaler og infrastrukturer, der er nødvendige for, at de effektivt kan udføre deres opgaver og udøve deres beføjelser.

5.Under udførelsen af sine opgaver samarbejder den digitale sundhedsmyndighed aktivt med repræsentanter for interessenter, herunder patientrepræsentanter. Medlemmer af den digitale sundhedsmyndighed skal undgå interessekonflikter.

Artikel 11

Ret til at indgive klage til en digital sundhedsmyndighed

1.Uden at det berører andre administrative klageadgange eller adgang til retsmidler, har fysiske og juridiske personer ret til at indgive en klage individuelt eller, hvor det er relevant, kollektivt til den digitale sundhedsmyndighed. Hvis klagen vedrører fysiske personers rettigheder i henhold til denne forordnings artikel 3, underretter den digitale sundhedsmyndighed tilsynsmyndighederne i henhold til forordning (EU) 2016/679.

2.Den digitale sundhedsmyndighed, som klagen er indgivet til, underretter klageren om forløbet af sagen og om den trufne afgørelse.

3.De digitale sundhedsmyndigheder samarbejder om at behandle og løse klager, herunder ved at udveksle alle relevante oplysninger ad elektronisk vej, uden unødigt ophold.

Afdeling 2

Grænseoverskridende infrastruktur til primær anvendelse af elektroniske sundhedsdata

Artikel 12

MyHealth@EU

1.Kommissionen opretter en central platform for digital sundhed med henblik på at levere tjenester til at støtte og lette udvekslingen af elektroniske sundhedsdata mellem medlemsstaternes nationale kontaktpunkter for digital sundhed.

2.Hver medlemsstat udpeger et nationalt kontaktpunkt for digital sundhed for at sikre forbindelsen til alle andre nationale kontaktpunkter for digital sundhed og til den centrale platform for digital sundhed. Hvis et udpeget nationalt kontaktpunkt er en enhed bestående af flere organisationer med ansvar for udførelsen af forskellige tjenester, sender medlemsstaten Kommissionen en beskrivelse af fordelingen af opgaver mellem organisationerne. Det nationale kontaktpunkt for digital sundhed betragtes som godkendt deltager i infrastrukturen. Hver medlemsstat meddeler Kommissionen benævnelsen på det nationale kontaktpunkt senest [på datoen for denne forordnings anvendelse]. Et sådant kontaktpunkt kan oprettes under den digitale sundhedsmyndighed, der er oprettet ved artikel 10 i denne forordning. Medlemsstaterne informerer Kommissionen om eventuel senere udskiftning af disse kontaktpunkter. Kommissionen og medlemsstaterne offentliggør disse oplysninger.

3.Hvert nationalt kontaktpunkt for digital sundhed skal muliggøre udveksling af de i artikel 5 omhandlede personlige elektroniske sundhedsdata med alle andre nationale kontaktpunkter. Udvekslingen baseres på det europæiske format for udveksling af elektroniske patientjournaler.

4.Kommissionen vedtager ved hjælp af gennemførelsesretsakter de nødvendige foranstaltninger til den tekniske udvikling af MyHealth@EU, detaljerede regler vedrørende sikkerhed, fortrolighed og beskyttelse af elektroniske sundhedsdata og de betingelser og overensstemmelseskontroller, der er nødvendige for at tilslutte sig og forblive forbundet med MyHealth@EU, og betingelser for midlertidig eller endelig udelukkelse fra MyHealth@EU. Disse gennemførelsesretsakter vedtages efter rådgivningsproceduren, jf. artikel 68, stk. 2.

5.Medlemsstaterne sikrer, at alle sundhedstjenesteydere forbindes med deres nationale kontaktpunkter for digital sundhed, og sikrer, at de er i stand til at foretage tovejsudveksling af elektroniske sundhedsdata med det nationale kontaktpunkt for digital sundhed.

6.Medlemsstaterne sikrer, at apoteker, der opererer på deres område, herunder onlineapoteker, har mulighed for at udlevere elektroniske recepter udstedt af andre medlemsstater på de betingelser, der er fastsat i artikel 11 i direktiv 2011/24/EU. Apotekerne har adgang til og accepterer elektroniske recepter, som de modtager fra andre medlemsstater, via MyHealth@EU. Efter udlevering af lægemidler på grundlag af en elektronisk recept fra en anden medlemsstat indberetter apotekerne udleveringen til den medlemsstat, der har udstedt recepten, via MyHealth@EU.

7.De nationale kontaktpunkter for digital sundhed fungerer som fælles dataansvarlige for de elektroniske sundhedsdata, der meddeles via "MyHealth@EU" for de behandlingsaktiviteter, som de er involveret i. Kommissionen fungerer som databehandler.

8.Kommissionen fordeler ved hjælp af gennemførelsesretsakter ansvarsområderne mellem de dataansvarlige og for så vidt angår den databehandler, der er omhandlet i denne artikels stk. 7, i overensstemmelse med kapitel IV i forordning (EU) 2016/679. Disse gennemførelsesretsakter vedtages efter rådgivningsproceduren, jf. artikel 68, stk. 2.

9.Godkendelsen af individuelle godkendte deltagere til at slutte sig til MyHealth@EU for forskellige tjenester eller til at fjerne en deltager udstedes af den fælles dataansvarsgruppe på grundlag af resultaterne af overensstemmelseskontrollen.

Artikel 13

Supplerende grænseoverskridende digitale sundhedstjenester og -infrastrukturer

1.Medlemsstaterne kan via MyHealth@EU tilbyde supplerende tjenester, der letter telemedicin, mobil sundhed, fysiske personers adgang til oversatte sundhedsdata, udveksling eller kontrol af sundhedsrelaterede certifikater, herunder vaccinationskorttjenester, der understøtter folkesundheden og overvågning af folkesundheden eller digitale sundhedssystemer, tjenester og interoperable applikationer, med henblik på at opnå et højt niveau af tillid og sikkerhed, øge kontinuiteten i behandlingen og sikre adgang til sikre sundhedsydelser af høj kvalitet. Kommissionen fastsætter ved hjælp af gennemførelsesretsakter de tekniske aspekter af leveringen af disse supplerende tjenester. Disse gennemførelsesretsakter vedtages efter rådgivningsproceduren, jf. artikel 68, stk. 2.

2.Kommissionen og medlemsstaterne kan lette udvekslingen af elektroniske sundhedsdata med andre infrastrukturer såsom det kliniske patientstyringssystem eller andre tjenester eller infrastrukturer på sundheds-, pleje- eller socialsikringsområdet, som kan få tilladelse til at deltage på MyHealth@EU. Kommissionen fastsætter ved hjælp af gennemførelsesretsakter de tekniske aspekter af sådanne udvekslinger. Disse gennemførelsesretsakter vedtages efter rådgivningsproceduren, jf. artikel 68, stk. 2. Tilslutningen af en anden infrastruktur til den centrale platform for digital sundhed er underlagt en afgørelse truffet af den fælles dataansvarsgruppe for MyHealth@EU, jf. artikel 66.

3.Medlemsstaterne og Kommissionen bestræber sig på at sikre interoperabilitet mellem MyHealth@EU og teknologiske systemer, der er etableret på internationalt plan til udveksling af elektroniske sundhedsdata. Kommissionen kan vedtage en gennemførelsesretsakt, der fastsætter, at et nationalt kontaktpunkt i et tredjeland eller et system, der er etableret på internationalt plan, opfylder kravene i MyHealth@EU med henblik på udveksling af elektroniske sundhedsdata. Inden vedtagelsen af en sådan gennemførelsesretsakt foretages en overensstemmelseskontrol af tredjelandets nationale kontaktpunkt eller af det system, der er etableret på internationalt plan, under Kommissionens kontrol.

Gennemførelsesretsakterne som omhandlet i dette stykkes første afsnit vedtages efter proceduren i artikel 68. Tilslutning af tredjelandets nationale kontaktpunkt eller det system, der er etableret på internationalt plan, til den centrale platform for digital sundhed samt beslutningen om at frakoble sig er betinget af en afgørelse truffet af den fælles kontrolgruppe for MyHealth@EU, jf. artikel 66.

Kommissionen gør listen over gennemførelsesretsakter vedtaget i henhold til dette stykke offentligt tilgængeligt.

KAPITEL III

EPJ-systemer og wellnessapplikationer

Afdeling 1

Almindelige bestemmelser om EPJ-systemer

Artikel 14

Samspil med lovgivningen om medicinsk udstyr og AI-systemer

1.EPJ-systemer, der af fabrikanten er tiltænkt til primær anvendelse af prioriterede kategorier af elektroniske sundhedsdata, jf. artikel 5, er omfattet af bestemmelserne i dette kapitel.

2.Dette kapitel finder ikke anvendelse på generel software, der anvendes i et sundhedsmiljø.

3.Fabrikanter af medicinsk udstyr som defineret i artikel 2, stk. 1, i forordning (EU) 2017/745, der hævder, at det pågældende medicinske udstyr er interoperabelt med EPJ-systemer, skal dokumentere overensstemmelse med de væsentlige krav til interoperabilitet, der er fastsat i punkt 2 i bilag II til nærværende forordning. Artikel 23 i dette kapitel finder anvendelse på dette medicinske udstyr.

4.Udbydere af højrisiko-AI-systemer som defineret i artikel 6 i forordning [...] [retsakten om kunstig intelligens COM(2021) 206 final], som ikke falder ind under anvendelsesområdet for forordning (EU) 2017/745, og som hævder, at disse AI-systemer er interoperable med EPJ-systemer, skal dokumentere overensstemmelse med de væsentlige krav til interoperabilitet, der er fastsat i afsnit 2 i bilag II til nærværende forordning. Artikel 23 i dette kapitel finder anvendelse på disse højrisiko-AI-systemer.

5.Medlemsstaterne kan opretholde eller fastsætte specifikke regler for indkøb, godtgørelse eller finansiering af EPJ-systemer i forbindelse med organisation, levering eller finansiering af sundhedsydelser.

Artikel 15

Omsætning og ibrugtagning

1.EPJ-systemer må kun bringes i omsætning eller ibrugtages, hvis de opfylder bestemmelserne i dette kapitel.

2.EPJ-systemer, der fremstilles og anvendes i sundhedsinstitutioner, der er etableret i Unionen, og EPJ-systemer, der tilbydes som en tjeneste som omhandlet i artikel 1, stk. 1, litra b), i Europa-Parlamentets og Rådets direktiv (EU) 2015/1535 57 til en fysisk eller juridisk person, der er etableret i Unionen, anses for at være taget i brug.

Artikel 16

Anprisninger

I forbindelse med oplysningsskemaet, brugsanvisningen eller andre oplysninger, der ledsager EPJ-systemer, og i reklamer for EPJ-systemer er det forbudt at anvende tekst, navne, varemærker, billeder og figurer eller andre tegn, der kan vildlede brugeren med hensyn til dets erklærede formål, interoperabilitet og sikkerhed ved at:

a)tilskrive EPJ-systemet funktioner og egenskaber, som det ikke har

b)undlade at informere brugeren om sandsynlige begrænsninger i forbindelse med interoperabilitets- eller sikkerhedselementerne i EPJ-systemet i forhold til dets erklærede formål

c)foreslå andre anvendelser af EPJ-systemet end dem, der er anført i den tekniske dokumentation som værende en del af det erklærede formål.

Afdeling 2

Erhvervsdrivendes forpligtelser med hensyn til EPJ-systemer

Artikel 17

Forpligtelser for fabrikanter af EPJ-systemer

1.Fabrikanter af EPJ-systemer:

a)sikrer, at deres EPJ-systemer er i overensstemmelse med de væsentlige krav i bilag II og med de fælles specifikationer i overensstemmelse med artikel 23

b)udarbejder den tekniske dokumentation for deres EPJ-systemer i overensstemmelse med artikel 24

c)sikrer, at deres EPJ-systemer ledsages af det oplysningsskema, der er omhandlet i artikel 25, og en klar og fuldstændig brugsanvisning, som er gratis for brugeren

d)udarbejder den i artikel 26 omhandlede EU-overensstemmelseserklæring

e)anbringer CE-mærkningen som anført i artikel 27

f)opfylder registreringsforpligtelserne i artikel 32

g)iværksætter uden unødig forsinkelse alle nødvendige korrigerende tiltag for deres EPJ-systemer, som ikke er i overensstemmelse med de væsentlige krav i bilag II, eller tilbagekalder eller trækker sådanne systemer tilbage

h)underretter distributørerne af deres EPJ-systemer og, hvis det er relevant, den bemyndigede repræsentant og importørerne om eventuelle korrigerende tiltag, tilbagekaldelser eller tilbagetrækninger

i)underretter markedsovervågningsmyndighederne i de medlemsstater, hvori de har gjort deres EPJ-systemer tilgængelige eller taget dem i brug, om den manglende overensstemmelse og de korrigerende tiltag, der er iværksat

j)giver efter anmodning fra en markedsovervågningsmyndighed den al den information og dokumentation, der er nødvendig for at påvise, at EPJ-systemet er i overensstemmelse med de væsentlige krav i bilag II

k)samarbejder med markedsovervågningsmyndighederne, hvis disse anmoder herom, om foranstaltninger, der træffes for at bringe deres EPJ-systemer i overensstemmelse med de væsentlige krav i bilag II.

2.Fabrikanter af EPJ-systemer sikrer, at der findes procedurer til sikring af, at designet, udviklingen og ibrugtagningen af et EPJ-system fortsat er i overensstemmelse med de væsentlige krav i bilag II og de fælles specifikationer, der er omhandlet i artikel 23. Ændringer i EPJ-systemets design eller egenskaber skal tages i betragtning og afspejles i den tekniske dokumentation.

3.Fabrikanter af EPJ-systemer opbevarer den tekniske dokumentation og EU-overensstemmelseserklæringen i 10 år efter, at det sidste EPJ-system, der er omfattet af EU-overensstemmelseserklæringen, er blevet bragt i omsætning.

Artikel 18

Bemyndigede repræsentanter

1.Før et EPJ-system gøres tilgængeligt på EU-markedet, udpeger en fabrikant af et EPJ-system, der er etableret uden for Unionen, ved skriftlig fuldmagt en bemyndiget repræsentant, der er etableret i Unionen.

2.En bemyndiget repræsentant udfører de opgaver, der er fastsat i den fuldmagt, denne har modtaget fra fabrikanten. Fuldmagten skal som minimum sætte den bemyndigede repræsentant i stand til:

a)at sørge for, at EU-overensstemmelseserklæringen og den tekniske dokumentation står til rådighed for markedsovervågningsmyndighederne i den periode, der er omhandlet i artikel 17, stk. 3

b)på grundlag af en begrundet anmodning fra en markedsovervågningsmyndighed at give denne myndighed al den information og dokumentation, der er nødvendig for at konstatere, om et EPJ-system er i overensstemmelse med de væsentlige krav i bilag II

c)at samarbejde med markedsovervågningsmyndighederne, hvis disse anmoder herom, om korrigerende tiltag, der iværksættes i forbindelse med de EPJ-systemer, der er omfattet af fuldmagten.

Artikel 19

Importørernes forpligtelser

1.Importører må kun bringe EPJ-systemer i omsætning på EU-markedet, hvis de er i overensstemmelse med de væsentlige krav i bilag II.

2.Inden et EPJ-system gøres tilgængelig på markedet, kontrollerer importørerne, at:

a)fabrikanten har udarbejdet den tekniske dokumentation og EU-overensstemmelseserklæringen

b)EPJ-systemet er forsynet med CE-overensstemmelsesmærkning

c)EPJ-systemet ledsages af det oplysningsskema, der er omhandlet i artikel 25, og relevante brugsanvisninger.

3.Importørens navn, registrerede firmanavn eller registrerede varemærke og kontaktadresse skal fremgå af et dokument, der ledsager EPJ-systemet.

4.Importørerne sikrer, at EPJ-systemet ikke ændres på en sådan måde, at dets overensstemmelse med de væsentlige krav i bilag II bringes i fare, når et EPJ-system er under deres ansvar.

5.Hvis en importør finder eller har grund til at tro, at et EPJ-system ikke er i overensstemmelse med de væsentlige krav i bilag II, må vedkommende først gøre systemet tilgængeligt på markedet, efter at det er blevet bragt i overensstemmelse. Importøren underretter uden unødig forsinkelse fabrikanten af et sådant EPJ-system og markedsovervågningsmyndighederne i den medlemsstat, hvor EPJ-systemet er gjort tilgængeligt, herom.

6.Importørerne opbevarer en kopi af EU-overensstemmelseserklæringen, så den står til rådighed for markedsovervågningsmyndighederne i den periode, der er omhandlet i artikel 17, stk. 3, og sikrer, at den tekniske dokumentation kan forelægges disse myndigheder, hvis de anmoder herom.

7.Importørerne giver på grundlag af en markedsovervågningsmyndigheds begrundede anmodning den al den information og dokumentation, der er nødvendig for at konstatere, om et EPJ-system er i overensstemmelse, på det officielle sprog i den medlemsstat, hvor markedsovervågningsmyndigheden er beliggende. De samarbejder med denne myndighed, hvis den anmoder herom, om foranstaltninger, der træffes for at bringe EPJ-systemet i overensstemmelse med de væsentlige krav i bilag II.

Artikel 20

Distributørens forpligtelser

1.Inden et EPJ-system gøres tilgængelig på markedet, kontrollerer distributørerne, at:

a)fabrikanten har udarbejdet EU-overensstemmelseserklæringen

b)EPJ-systemet er forsynet med CE-overensstemmelsesmærkning

c)EPJ-systemet ledsages af det oplysningsskema, der er omhandlet i artikel 25, og relevante brugsanvisninger

d)importøren har opfyldt kravene i artikel 19, stk. 3, hvis dette er relevant.

2.Distributørerne sikrer, at EPJ-systemet ikke ændres på en sådan måde, at dets overensstemmelse med de væsentlige krav i bilag II bringes i fare, når et EPJ-system er under deres ansvar.

3.Hvis en distributør finder eller har grund til at tro, at et EPJ-system ikke er i overensstemmelse med de væsentlige krav i bilag II, må vedkommende først gøre EPJ-systemet tilgængeligt på markedet, efter at det er blevet bragt i overensstemmelse. Endvidere underretter distributøren uden unødig forsinkelse fabrikanten eller importøren samt markedsovervågningsmyndighederne i de medlemsstater, hvor EPJ-systemet er gjort tilgængeligt på markedet, herom.

4.Distributørerne giver på grundlag af en markedsovervågningsmyndigheds begrundede anmodning den al den information og dokumentation, der er nødvendig for at konstatere, om et EPJ-system er i overensstemmelse. De samarbejder med denne myndighed, hvis den anmoder herom, om foranstaltninger, der træffes for at bringe EPJ-systemet i overensstemmelse med de væsentlige krav i bilag II.

Artikel 21

Tilfælde, hvor forpligtelser for fabrikanter af et EPJ-system gælder for importører og distributører

En importør eller distributør anses for at være fabrikant i denne forordnings forstand og er underlagt de samme forpligtelser som fabrikanter, jf. artikel 17, når denne gør et EPJ-system tilgængeligt på markedet under sit navn eller varemærke eller ændrer et EPJ-system, der allerede er bragt i omsætning, på en sådan måde, at det kan berøre overholdelsen af de gældende krav.

Artikel 22

Identifikation af erhvervsdrivende

Efter anmodning skal erhvervsdrivende over for markedsovervågningsmyndighederne i 10 år efter, at det seneste EPJ-system, der er omfattet af EU-overensstemmelseserklæringen, er blevet bragt i omsætning, identificere følgende:

a)de erhvervsdrivende, som har leveret et EPJ-system

b)de erhvervsdrivende, som de har leveret et EPJ-system til.

Afdeling 3

EPJ-systemets overensstemmelse med de væsentlige krav

Artikel 23

Fælles specifikationer

1.Kommissionen vedtager ved hjælp af gennemførelsesretsakter fælles specifikationer for så vidt angår de væsentlige krav, der er fastsat i bilag II, herunder en frist for gennemførelsen af disse fælles specifikationer. Hvor det er relevant, tager de fælles specifikationer hensyn til de særlige forhold, der gør sig gældende for medicinsk udstyr og højrisiko-AI-systemer, jf. artikel 14, stk. 3 og 4.

Disse gennemførelsesretsakter vedtages efter rådgivningsproceduren, jf. artikel 68, stk. 2.

2.De fælles specifikationer, der er omhandlet i stk. 1, skal omfatte følgende:

a)anvendelsesområde

b)anvendelse på forskellige kategorier af EPJ-systemer eller funktioner, der indgår i dem

c)version

d)gyldighedsperiode

e)normativ del

f)forklarende del, herunder eventuelle relevante retningslinjer for gennemførelsen.

3.De fælles specifikationer kan omfatte oplysninger om følgende:

a)datasæt, der indeholder elektroniske sundhedsdata og definerer strukturer såsom datafelter og datagrupper for beskrivelse af klinisk indhold og andre dele af de elektroniske sundhedsdata

b)kodningssystemer og -værdier, der skal anvendes i datasæt, der indeholder elektroniske sundhedsdata

c)andre krav vedrørende datakvalitet, såsom elektroniske sundhedsdatas fuldstændighed og nøjagtighed

d)tekniske specifikationer, standarder og profiler for udveksling af elektroniske sundhedsdata

e)krav og principper vedrørende sikkerhed, fortrolighed, integritet, patientsikkerhed og beskyttelse af elektroniske sundhedsdata

f)specifikationer og krav vedrørende identifikationsstyring og anvendelse af elektronisk identifikation.

4.EPJ-systemer, medicinsk udstyr og højrisiko-AI-systemer, jf. artikel 14, som er i overensstemmelse med de fælles specifikationer, der er omhandlet i stk. 1, anses for at være i overensstemmelse med de væsentlige krav, der er omfattet af disse specifikationer eller dele deraf, der er fastsat i bilag II, og som er omfattet af disse fælles specifikationer eller de relevante dele af disse fælles specifikationer.

5.Hvis fælles specifikationer, der dækker interoperabilitets- og sikkerhedskrav for EPJ-systemer, påvirker medicinsk udstyr eller højrisiko-AI-systemer, der er omfattet af andre retsakter, såsom forordning (EU) 2017/745 eller [retsakten om kunstig intelligens COM(2021) 206 final], kan der forud for vedtagelsen af disse fælles specifikationer foretages en høring af Koordinationsgruppen for Medicinsk Udstyr (MDCG), jf. artikel 103 i forordning (EU) 2017/745, eller Det Europæiske Udvalg for Kunstig Intelligens, jf. artikel 56 i forordning [...] [retsakten om kunstig intelligens COM(2021) 206 final], alt efter hvad der er relevant.

6.Hvis der er tale om fælles specifikationer, der dækker interoperabilitets- og sikkerhedskrav for medicinsk udstyr eller højrisiko-AI-systemer, der er omfattet af andre retsakter såsom forordning (EU) 2017/745 eller forordning [...] [retsakten om kunstig intelligens COM(2021) 206 final], skal der forud for vedtagelsen af disse fælles specifikationer foretages en høring af udvalget for det europæiske sundhedsdataområde, navnlig dets undergruppe for kapitel II og III i nærværende forordning.

Artikel 24

Teknisk dokumentation

1.Den tekniske dokumentation udarbejdes, inden EPJ-systemet bringes i omsætning eller tages i brug, og holdes ajour.

2.Den tekniske dokumentation udarbejdes på en sådan måde, at den viser, at EPJ-systemet overholder de væsentlige krav, der er fastsat i bilag II, og giver markedsovervågningsmyndighederne alle de oplysninger, der er nødvendige for at vurdere EPJ-systemets overensstemmelse med disse krav. Dokumentationen skal som minimum indeholde de i bilag III fastsatte elementer.

3.Den tekniske dokumentation skal udfærdiges på et af EU's officielle sprog. Efter begrundet anmodning fra markedsovervågningsmyndigheden i en medlemsstat fremskaffer fabrikanten en oversættelse af de relevante dele af den tekniske dokumentation til den pågældende medlemsstats officielle sprog.

4.Hvis en markedsovervågningsmyndighed anmoder fabrikanten om den tekniske dokumentation eller en oversættelse af dele heraf, kan den fastsætte en frist på 30 dage for modtagelse af sådan dokumentation eller oversættelsen, medmindre en kortere frist er begrundet på grund af en alvorlig eller umiddelbar risiko. Hvis fabrikanten ikke opfylder kravene i stk. 1, 2 og 3, kan markedsovervågningsmyndigheden kræve, at fabrikanten får foretaget en test for egen regning af et uafhængigt organ inden for en nærmere fastsat frist for at verificere overensstemmelsen med de væsentlige krav i bilag II og de fælles specifikationer, der er omhandlet i artikel 23.

Artikel 25

Oplysningsskema, der ledsager EPJ-systemet

1.EPJ-systemer ledsages af et oplysningsskema, som indeholder kortfattede, fuldstændige, korrekte og klare oplysninger, som er relevante, tilgængelige og forståelige for brugerne.

2.Det i stk. 1 omhandlede oplysningsskema angiver:

a)benævnelse, registreret firmanavn eller registreret varemærke og kontaktoplysninger for fabrikanten og, hvis det er relevant, for dennes bemyndigede repræsentant

b)navnet på og versionen af EPJ-systemet og datoen for dets frigivelse

c)systemets erklærede formål

d)de kategorier af elektroniske sundhedsdata, som EPJ-systemet er designet til at behandle

e)standarder, formater og specifikationer samt versioner heraf, der understøttes af EPJ-systemet.

3.Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 67 med henblik på at supplere denne forordning ved at give fabrikanterne mulighed for at indføre de oplysninger, der er omhandlet i stk. 2, i EU-databasen over EPJ-systemer og wellnessapplikationer, jf. artikel 32, som et alternativ til at levere det i stk. 1 omhandlede oplysningsskema med EPJ-systemet.

Artikel 26

EU-overensstemmelseserklæring

1.Det skal af EU-overensstemmelseserklæringen fremgå, at fabrikanten af EPJ-systemet har godtgjort, at de væsentlige krav i bilag II er opfyldt.

2.Hvis EPJ-systemer for så vidt angår aspekter, der ikke er omfattet af denne forordning, er undergivet anden EU-lovgivning, som også kræver, at fabrikanten afgiver en EU-overensstemmelseserklæring om, at det er dokumenteret, at kravene i den pågældende lovgivning er opfyldt, udarbejdes der én enkelt EU-overensstemmelseserklæring for alle EU-retsakter, der finder anvendelse på EPJ-systemet. Erklæringen skal indeholde alle de oplysninger, der er påkrævet for at identificere, hvilken EU-lovgivning erklæringen vedrører.

3.EU-overensstemmelseserklæringen skal mindst indeholde de oplysninger, der er anført i bilag IV, og skal oversættes til et eller flere af de officielle EU-sprog, der kræves af den eller de medlemsstater, hvor EPJ-systemet gøres tilgængeligt.

4.Ved at udarbejde EU-overensstemmelseserklæringen står fabrikanten inde for, at produktet opfylder de gældende krav.

Artikel 27

CE-mærkning

1.CE-mærkningen anbringes på de dokumenter, der ledsager EPJ-systemet, og, hvor det er relevant, på emballagen, så den er synlig, let læselig og ikke kan slettes.

2.CE-mærkningen er underkastet de generelle principper i artikel 30 i Europa-Parlamentets og Rådets forordning (EF) nr. 765/2008 58 .

Afdeling 4

Markedsovervågning af EPJ-systemer

Artikel 28

Markedsovervågningsmyndigheder

1.Forordning (EU) 2019/1020 finder anvendelse på EPJ-systemer, der er omfattet af nærværende forordnings kapitel III.

2.Medlemsstaterne udpeger den eller de markedsovervågningsmyndigheder, der er ansvarlige for gennemførelsen af dette kapitel. De giver deres markedsovervågningsmyndigheder de beføjelser og ressourcer samt det udstyr og den viden, der er nødvendig, for at de kan udføre deres opgaver i henhold til denne forordning. Medlemsstaterne meddeler benævnelsen af markedsovervågningsmyndighederne til Kommissionen, som offentliggør en liste over disse myndigheder.

3.Markedsovervågningsmyndigheder, der er udpeget i henhold til denne artikel, kan være de digitale sundhedsmyndigheder, der er udpeget i henhold til artikel 10. Hvis en digital sundhedsmyndighed udfører opgaver som markedsovervågningsmyndighed, skal enhver interessekonflikt undgås.

4.Markedsovervågningsmyndighederne aflægger regelmæssigt rapport til Kommissionen om resultaterne af relevante markedsovervågningsaktiviteter.

5.Medlemsstaternes markedsovervågningsmyndigheder samarbejder med hinanden og med Kommissionen. Kommissionen sørger for tilrettelæggelse af den udveksling af oplysninger, der er nødvendig herfor.

6.For medicinsk udstyr eller højrisiko-AI-systemer som omhandlet i artikel 14, stk. 3 og 4, er de ansvarlige myndigheder for markedsovervågning dem, der er omhandlet i artikel 93 i forordning (EU) 2017/745 eller artikel 59 i forordning [...] [retsakten om kunstig intelligens COM(2021) 206 final], alt efter hvad der er relevant.

Artikel 29

Håndtering af risici i forbindelse med EPJ-systemer og alvorlige hændelser

1.Hvis en markedsovervågningsmyndighed finder, at et EPJ-system udgør en risiko for fysiske personers sundhed eller sikkerhed eller for andre aspekter af beskyttelsen af samfundsinteresser, pålægger den fabrikanten af det pågældende EPJ-system, dennes bemyndigede repræsentant og alle andre relevante erhvervsdrivende at træffe alle nødvendige foranstaltninger for at sikre, at det pågældende EPJ-system ikke længere udgør en risiko, når det bringes i omsætning, at trække EPJ-systemet tilbage fra markedet eller kalde det tilbage inden for en rimelig frist.

2.Den erhvervsdrivende, der er omhandlet i stk. 1, sikrer, at der iværksættes alle fornødne korrigerende tiltag over for alle de pågældende EPJ-systemer, som denne har gjort tilgængelige på markedet i hele Unionen.

3.Markedsovervågningsmyndigheden underretter straks Kommissionen og andre medlemsstaters markedsovervågningsmyndigheder om foranstaltninger, der er truffet i henhold til stk. 1. Denne underretning skal indeholde alle tilgængelige oplysninger, især de nødvendige data til identifikation af de pågældende EPJ-systemer, EPJ-systemets oprindelse og forsyningskæde, arten af den pågældende risiko og arten og varigheden af de trufne nationale foranstaltninger.

4.Fabrikanter af EPJ-systemer, der bringes i omsætning, indberetter alle alvorlige hændelser, der involverer et EPJ-system, til markedsovervågningsmyndighederne i de medlemsstater, hvor den alvorlige hændelse fandt sted, og de korrigerende tiltag, som fabrikanten har iværksat eller påtænker at iværksætte.

Uden at det berører kravene til underretning om hændelsen i henhold til direktiv (EU) 2016/1148, foretages en sådan indberetning umiddelbart efter, at fabrikanten har fastslået en årsagssammenhæng mellem EPJ-systemet og den alvorlige hændelse eller rimelig sandsynlighed for en sådan sammenhæng, og under alle omstændigheder senest 15 dage efter, at fabrikanten har fået kendskab til den alvorlige hændelse, der involverer EPJ-systemet.

5.De i stk. 4 omhandlede markedsovervågningsmyndigheder underretter straks de øvrige markedsovervågningsmyndigheder om den alvorlige hændelse og de korrigerende tiltag, som fabrikanten har iværksat eller påtænker at iværksætte eller er forpligtet til at iværksætte for at minimere risikoen for gentagelse af den alvorlige hændelse.

6.Hvis markedsovervågningsmyndighedens opgaver ikke udføres af den digitale sundhedsmyndighed, samarbejder den med den digitale sundhedsmyndighed. Den underretter den digitale sundhedsmyndighed om alle alvorlige hændelser og om EPJ-systemer, der udgør en risiko, herunder risici vedrørende interoperabilitet, sikkerhed og patientsikkerhed, og om korrigerende tiltag, tilbagekaldelse eller tilbagetrækning af sådanne EPJ-systemer.

Artikel 30

Håndtering af manglende overholdelse

1.Hvis en markedsovervågningsmyndighed konstaterer et af følgende forhold, pålægger den fabrikanten af det pågældende EPJ-system, dennes bemyndigede repræsentant og alle andre relevante erhvervsdrivende at bringe den manglende overensstemmelse med kravene til ophør:

a)EPJ-systemet er ikke i overensstemmelse med de væsentlige krav i bilag II.

b)Den tekniske dokumentation er enten ikke til rådighed eller ikke fuldstændig.

c)Der er ikke udarbejdet en EU-overensstemmelseserklæring, eller den er ikke udarbejdet korrekt.

d)CE-mærkningen er anbragt i strid med artikel 27 eller er ikke anbragt.

2.Hvis den manglende overensstemmelse som omhandlet i stk. 1 varer ved, træffer den pågældende medlemsstat alle nødvendige foranstaltninger til at begrænse eller forbyde, at det pågældende EPJ-system bringes i omsætning, eller sikre, at det tilbagekaldes eller trækkes tilbage fra markedet.

Afdeling 5

Andre bestemmelser om interoperabilitet

Artikel 31

Frivillig mærkning af wellnessapplikationer

1.Hvis en fabrikant af en wellnessapplikation hævder, at den er interoperabel med et EPJ-system, og at de væsentlige krav i bilag II og de fælles specifikationer i artikel 23 er opfyldt, kan en sådan wellnessapplikation ledsages af et mærke, der tydeligt viser, at den opfylder disse krav. Mærket udstedes af fabrikanten af wellnessapplikationen.

2.Følgende oplysninger skal fremgå af mærket:

a)kategorier af elektroniske sundhedsdata, for hvilke det er bekræftet, at de væsentlige krav i bilag II er opfyldt

b)henvisning til fælles specifikationer for at påvise overensstemmelse

c)mærkningens gyldighedsperiode.

3.Kommissionen kan ved hjælp af gennemførelsesretsakter fastlægge mærkets format og indhold. Disse gennemførelsesretsakter vedtages efter rådgivningsproceduren, jf. artikel 68, stk. 2.

4.Mærket udfærdiges på et eller flere af Unionens officielle sprog eller de sprog, som den medlemsstat, hvor wellnessapplikationen bringes i omsætning, fastsætter.

5.Mærkets gyldighed må ikke overstige fem år.

6.Hvis wellnessapplikationen indgår i en anordning, skal det ledsagende mærke anbringes på anordningen. 2D-stregkoder kan også anvendes til at vise mærket.

7.Markedsovervågningsmyndighederne kontrollerer, at wellnessapplikationerne opfylder de væsentlige krav i bilag II.

8.Hver leverandør af en wellnessapplikation, for hvilken der er udstedt et mærke, skal sikre, at den wellnessapplikation, der bringes i omsætning eller tages i brug, gratis ledsages af mærket for hver enkelt enhed.

9.Hver distributør af en wellnessapplikation, for hvilken der er udstedt et mærke, skal stille mærket til rådighed for kunderne på salgsstedet i elektronisk form eller, efter anmodning, i fysisk form.

10.Kravene i denne artikel finder ikke anvendelse på wellnessapplikationer, der er højrisiko-AI-systemer som defineret i forordning [...] [retsakten om kunstig intelligens COM(2021) 206 final].

Artikel 32

Registrering af EPJ-systemer og wellnessapplikationer

1.Kommissionen opretter og fører en offentligt tilgængelig database med oplysninger om EPJ-systemer, for hvilke der er udstedt en EU-overensstemmelseserklæring i henhold til artikel 26, og wellnessapplikationer, for hvilke der er udstedt et mærke i henhold til artikel 31.

2.Inden et EPJ-system, jf. artikel 14, bringes i omsætning eller tages i brug, registrerer fabrikanten af et sådant EPJ-system eller en sådan wellnessapplikation eller i givet fald dennes bemyndigede repræsentant de krævede data i den EU-database, der er omhandlet i stk. 1.

3.Medicinsk udstyr eller højrisiko-AI-systemer som omhandlet i denne forordnings artikel 14, stk. 3 og 4, registreres i den database, der er oprettet i henhold til forordning (EU) 2017/745 eller [retsakten om kunstig intelligens COM(2021) 206 final], alt efter hvad der er relevant.

4.Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 67 med henblik på at fastlægge listen over de data, der kræves registreret af fabrikanterne af EPJ-systemer og wellnessapplikationer i henhold til stk. 2.

KAPITEL IV

Sekundær anvendelse af elektroniske sundhedsdata

Afdeling 1

Almindelige betingelser for sekundær anvendelse af elektroniske sundhedsdata

Artikel 33

Kategorier af elektroniske sundhedsdata til sekundær anvendelse, der som minimum skal indgå

1.Dataindehavere stiller følgende kategorier af elektroniske data til rådighed til sekundær anvendelse i overensstemmelse med bestemmelserne i dette kapitel:

a)EPJ'er

b)data, der påvirker sundheden, herunder sociale, miljømæssige og adfærdsmæssige sundhedsdeterminanter

c)relevante patogene genomdata, der påvirker menneskers sundhed

d)sundhedsrelaterede administrative data, herunder oplysninger om ansøgninger og godtgørelse

e)genetiske, genomiske og proteomiske data om mennesker

f)persongenererede elektroniske sundhedsdata, herunder medicinsk udstyr, wellnessapplikationer eller andre digitale sundhedsapplikationer

g)identifikationsdata vedrørende sundhedsprofessionelle, der er involveret i behandlingen af en fysisk person

h)sundhedsdataregistre over hele befolkningen (offentlige sundhedsregistre)

i)elektroniske sundhedsdata fra medicinske registre for specifikke sygdomme

j)elektroniske sundhedsdata fra kliniske forsøg

k)elektroniske sundhedsdata fra medicinsk udstyr og fra registre over lægemidler og medicinsk udstyr

l)forskningskohorter, spørgeskemaer og undersøgelser vedrørende sundhed

m)elektroniske sundhedsdata fra biobanker og særlige databaser

n)elektroniske data vedrørende forsikringsstatus, erhvervsmæssig status, uddannelse, livsstil, trivsel og adfærdsdata, der er relevante for sundheden

o)elektroniske sundhedsdata, der indeholder forskellige forbedringer såsom korrektion, anmærkning og berigelse, som dataindehaveren har modtaget efter en behandling baseret på en datatilladelse.

2.Kravet i første afsnit finder ikke anvendelse på dataindehavere, der er mikrovirksomheder som defineret i artikel 2 i bilaget til Kommissionens henstilling 2003/361/EF 59 .

3.De elektroniske sundhedsdata, der er omhandlet i stk. 1, omfatter data, der behandles med henblik på levering af sundhedsydelser eller pleje eller med henblik på folkesundhed, forskning, innovation, politikudformning, officielle statistikker, patientsikkerhed eller lovgivningsmæssige formål, som indsamles af enheder og organer i sundheds- eller plejesektoren, herunder offentlige og private udbydere af sundhedsydelser eller pleje, enheder eller organer, der udfører forskning i disse sektorer, og Unionens institutioner, organer, kontorer og agenturer.

4.Elektroniske sundhedsdata, der omfatter beskyttede intellektuelle ejendomsrettigheder og forretningshemmeligheder fra private virksomheder, stilles til rådighed til sekundær anvendelse. Hvis sådanne data stilles til rådighed til sekundær anvendelse, træffes alle nødvendige foranstaltninger til at bevare fortroligheden af intellektuelle ejendomsrettigheder og forretningshemmeligheder.

5.Hvis den fysiske persons samtykke er påkrævet i henhold til national lovgivning, skal organer med ansvar for adgang til sundhedsdata sikre overholdelse af de forpligtelser, der er fastsat i dette kapitel, for at give adgang til elektroniske sundhedsdata.

6.Hvis en offentlig myndighed indhenter data i nødsituationer som defineret i artikel 15, litra a) eller b), i forordning [...] [dataforordningen COM(2022) 68 final] i overensstemmelse med reglerne i nævnte forordning, kan den støttes af et organ med ansvar for adgang til sundhedsdata med henblik på at yde teknisk støtte til at behandle dataene eller samkøre dem med andre data med henblik på fælles analyse.

7.Kommissionen tillægges beføjelse til at vedtage delegerede retsakter i overensstemmelse med artikel 67 med henblik på at ændre listen i stk. 1 for at tage højde for udviklingen inden for tilgængelige elektroniske sundhedsdata.

8.Organer med ansvar for adgang til sundhedsdata kan give adgang til yderligere kategorier af elektroniske sundhedsdata, som de har fået overdraget i henhold til national lovgivning eller baseret på frivilligt samarbejde med de relevante dataindehavere på nationalt plan, navnlig elektroniske sundhedsdata, som private enheder i sundhedssektoren er i besiddelse af.

Artikel 34

Formål, hvortil elektroniske sundhedsdata kan behandles til sekundær anvendelse

1.Organer med ansvar for adgang til sundhedsdata giver kun adgang til de elektroniske sundhedsdata, der er omhandlet i artikel 33, hvis ansøgerens formål med behandlingen er i overensstemmelse med:

a)aktiviteter til varetagelse af offentlighedens interesse for så vidt angår folkesundheden og sundhed på arbejdspladsen, såsom beskyttelse mod alvorlige grænseoverskridende sundhedstrusler, overvågning af folkesundheden eller sikring af et højt kvalitets- og sikkerhedsniveau for sundhedsydelser og lægemidler eller medicinsk udstyr

b)støtte til offentlige organer eller EU-institutioner, -agenturer og -organer, herunder lovgivningsmyndigheder, i sundheds- eller plejesektoren med udførelsen af deres opgaver som beskrevet i deres mandater

c)udarbejdelse af officielle statistikker på nationalt og tværnationalt plan og EU-plan vedrørende sundheds- eller plejesektoren

d)uddannelses- eller undervisningsaktiviteter inden for sundheds- eller plejesektoren

e)videnskabelig forskning inden for sundheds- eller plejesektoren

f)udviklings- og innovationsaktiviteter for produkter eller tjenester, der bidrager til folkesundheden eller social sikring eller sikrer et højt kvalitets- og sikkerhedsniveau inden for sundhedspleje, lægemidler eller medicinsk udstyr

g)træning, test og evaluering af algoritmer, herunder i medicinsk udstyr, AI-systemer og digitale sundhedsapplikationer, der bidrager til folkesundheden eller social sikring eller sikrer et højt kvalitets- og sikkerhedsniveau i forbindelse med sundhedspleje, lægemidler eller medicinsk udstyr

h)levering af personlige sundhedsydelser, der består i at vurdere, opretholde eller genoprette fysiske personers sundhedstilstand på grundlag af andre fysiske personers sundhedsdata.

2.Adgang til elektroniske sundhedsdata som omhandlet i artikel 33, hvor formålet med ansøgerens behandling opfylder et af de formål, der er omhandlet i stk. 1, litra a) -c), gives kun til offentlige organer og EU-institutioner, -organer, -kontorer og -agenturer, der varetager deres opgaver i henhold til EU-retten eller national ret, herunder når behandlingen af data med henblik på udførelsen af disse opgaver foretages af en tredjepart på vegne af det pågældende offentlige organ eller EU-institutioner, -agenturer og -organer.

3.Adgangen til data i privat besiddelse med henblik på at forebygge, sætte ind over for eller bistå ved genopretning efter offentlige nødsituationer sikres i overensstemmelse med artikel 15 i forordning [...] [dataforordningen COM(2022) 68 final].

4.Offentlige organer eller EU-institutioner, -agenturer og -organer, der får adgang til elektroniske sundhedsdata, der omfatter intellektuelle ejendomsrettigheder og forretningshemmeligheder, i forbindelse med udførelsen af deres opgaver i henhold til EU-retten eller national ret, træffer alle de specifikke foranstaltninger, der er nødvendige for at bevare fortroligheden af sådanne data.

Artikel 35

Forbudt sekundær anvendelse af elektroniske sundhedsdata

Det er forbudt at søge adgang til og behandle elektroniske sundhedsdata, der er indhentet via en datatilladelse udstedt i henhold til artikel 46, til følgende formål:

a)afgørelser, der er til skade for en fysisk person, på grundlag af vedkommendes elektroniske sundhedsdata. For at kunne betegnes som "afgørelser" skal de have retsvirkninger eller på tilsvarende måde i væsentlig grad berøre disse fysiske personer

b)afgørelser vedrørende en fysisk person eller grupper af fysiske personer om at udelukke dem fra at være omfattet af en forsikringsaftale eller om at ændre deres bidrag og forsikringspræmier

c)reklame- eller markedsføringsaktiviteter rettet mod sundhedsprofessionelle, sundhedsorganisationer eller fysiske personer

d)adgang til eller anden tilrådighedsstillelse af de elektroniske sundhedsdata for tredjeparter, der ikke er nævnt i datatilladelsen

e)udvikling af produkter eller tjenester, der kan skade enkeltpersoner og samfund som helhed, herunder, men ikke begrænset til, ulovlige stoffer, alkoholholdige drikkevarer, tobaksvarer eller varer eller tjenesteydelser, der er designet eller ændret på en sådan måde, at de strider mod den offentlige orden eller sædelighed.

Afdeling 2

Forvaltning af og mekanismer til støtte for sekundær anvendelse af elektroniske sundhedsdata

Artikel 36

Organer med ansvar for adgang til sundhedsdata

1.Medlemsstaterne udpeger et eller flere organer med ansvar for adgang til sundhedsdata, som er ansvarlige for at give adgang til elektroniske sundhedsdata til sekundær anvendelse. Medlemsstaterne kan enten oprette et eller flere nye offentlige organer eller bruge eksisterende offentlige organer eller interne tjenester i offentlige organer, der opfylder betingelserne i denne artikel. Hvis en medlemsstat udpeger flere organer med ansvar for adgang til sundhedsdata, udpeger den ét organ med ansvar for adgang til sundhedsdata, der skal fungere som koordinator, med ansvar for at koordinere anmodninger med de andre organer.

2.Medlemsstaterne sikrer, at hvert organ med ansvar for adgang til sundhedsdata råder over de menneskelige, tekniske og økonomiske ressourcer, lokaler og infrastrukturer, der er nødvendige for, at de effektivt kan udføre deres opgaver og udøve deres beføjelser.

3.Under udførelsen af deres opgaver samarbejder organer med ansvar for adgang til sundhedsdata aktivt med repræsentanter for interessenter, navnlig med repræsentanter for patienter, dataindehavere og databrugere. Personalet i organer med ansvar for adgang til sundhedsdata skal undgå interessekonflikter. Organer med ansvar for adgang til sundhedsdata er ikke bundet af nogen instrukser, når de træffer deres afgørelser.

4.Senest på datoen for denne forordnings anvendelse meddeler medlemsstaterne Kommissionen benævnelsen på de organer med ansvar for adgang til sundhedsdata, der er udpeget i henhold til stk. 1. De informerer ligeledes Kommissionen om eventuelle senere udskiftning af disse organer. Kommissionen og medlemsstaterne offentliggør disse oplysninger.

Artikel 37

Opgaver for organer med ansvar for adgang til sundhedsdata

1.Organer med ansvar for adgang til sundhedsdata skal udføre følgende opgaver:

a)træffe afgørelse om anmodninger om dataadgang i henhold til artikel 45, godkende og udstede datatilladelser i henhold til artikel 46 til adgang til elektroniske sundhedsdata, der henhører under deres nationale ansvarsområde, til sekundær anvendelse og træffe afgørelse om dataanmodninger i overensstemmelse med kapitel II i forordning [...] [forordningen om datastyring COM(2020) 767 final] og dette kapitel

b)støtte offentlige organer i udførelsen af de opgaver, der er fastsat i deres mandat, på grundlag af national ret eller EU-retten

c)støtte EU-institutioner, -organer, -kontorer og -agenturer i udførelsen af de opgaver, der er fastsat i disses mandater på grundlag af national ret eller EU-retten

d)behandle elektroniske sundhedsdata til de formål, der er fastsat i artikel 34, herunder indsamling, samkøring, forberedelse og videregivelse af disse data til sekundær anvendelse på grundlag af en datatilladelse

e)behandle elektroniske sundhedsdata fra andre relevante dataindehavere på grundlag af en datatilladelse eller en dataanmodning til de formål, der er fastsat i artikel 34

f)træffe alle nødvendige foranstaltninger til at bevare fortroligheden af intellektuelle ejendomsrettigheder og forretningshemmeligheder

g)indsamle og samle eller give adgang til de nødvendige elektroniske sundhedsdata fra de forskellige dataindehavere, hvis elektroniske sundhedsdata falder ind under denne forordnings anvendelsesområde, og stille disse data til rådighed for databrugere i et sikkert databehandlingsmiljø i overensstemmelse med kravene i artikel 50

h)bidrage til dataaltruistiske aktiviteter i overensstemmelse med artikel 40

i)støtte udviklingen af AI-systemer, træning, test og validering af AI-systemer og udviklingen af harmoniserede standarder og retningslinjer i henhold til forordning [...] [retsakten om kunstig intelligens COM(2021) 206 final] for træning, test og validering af AI-systemer på sundhedsområdet

j)samarbejde med og føre tilsyn med dataindehavere for at sikre en konsekvent og nøjagtig gennemførelse af det datakvalitets- og dataudnyttelsesmærke, der er omhandlet i artikel 56

k)drive et forvaltningssystem til registrering og behandling af ansøgninger om dataadgang, dataanmodninger og udstedte datatilladelser og besvarede dataanmodninger, der som minimum indeholder oplysninger om navnet på dataansøgeren, formålet med adgangen, datoen for udstedelsen, varigheden af datatilladelsen og en beskrivelse af dataansøgningen eller dataanmodningen

l)drive et offentligt informationssystem for at opfylde forpligtelserne i artikel 38

m)samarbejde på EU-plan og nationalt plan for at fastlægge passende foranstaltninger og krav vedrørende adgang til elektroniske sundhedsdata i et sikkert databehandlingsmiljø

n)samarbejde på EU-plan og nationalt plan og rådgive Kommissionen om teknikker og bedste praksis for anvendelse og forvaltning af elektroniske sundhedsdata

o)lette grænseoverskridende adgang til elektroniske sundhedsdata til sekundær anvendelse i andre medlemsstater via HealthData@EU og samarbejde tæt med hinanden og med Kommissionen

p)inden datatilladelsens udløb gratis sende dataindehaveren en kopi af datasættet med rettelser, anmærkninger eller berigelser, alt efter hvad der er relevant, og en beskrivelse af, hvad der er gjort med de oprindelige datasæt

q)offentliggøre følgende ved hjælp af elektroniske midler:

i)et nationalt datasætkatalog, der skal indeholde nærmere oplysninger om kilden til og arten af elektroniske sundhedsdata, jf. artikel 56 og 58, og betingelserne for at gøre elektroniske sundhedsdata tilgængelige. Det nationale datasætkatalog stilles også til rådighed for centrale informationssteder i henhold til artikel 8 i forordning [...] [forordningen om datastyring COM(2020) 767 final]

ii)alle datatilladelser, -anmodninger og -ansøgninger på deres websteder senest 30 arbejdsdage efter udstedelsen af datatilladelsen eller svaret på en dataanmodning

iii)sanktioner anvendt i henhold til artikel 43

iv)resultater meddelt af databrugere i henhold til artikel 46, stk. 11

r)opfylde forpligtelser over for fysiske personer i henhold til artikel 38

s)anmode databrugere og dataindehavere om alle relevante oplysninger for at kontrollere gennemførelsen af dette kapitel

t)udføre alle andre opgaver i forbindelse med den sekundære anvendelse af elektroniske sundhedsdata i forbindelse med denne forordning.

2.Organer med ansvar for adgang til sundhedsdata skal under udførelsen af deres opgaver:

a)samarbejde med tilsynsmyndigheder i henhold til forordning (EU) 2016/679 og forordning (EU) 2018/1725 i forbindelse med personlige elektroniske sundhedsdata og udvalget for det europæiske sundhedsdataområde

b)underrette de relevante tilsynsmyndigheder i henhold til forordning (EU) 2016/679 og forordning (EU) 2018/1725, hvis et organ med ansvar for adgang til sundhedsdata har pålagt sanktioner eller andre foranstaltninger i henhold til artikel 43 i forbindelse med behandling af elektroniske sundhedsdata, og hvis en sådan behandling omfatter et forsøg på at genidentificere en person eller ulovlig behandling af elektroniske sundhedsdata

c)samarbejde med interessenter, herunder patientorganisationer, repræsentanter for fysiske personer, sundhedsprofessionelle, forskere og etiske udvalg, hvor det er relevant i overensstemmelse med EU-retten og national ret

d)samarbejde med andre nationale kompetente organer, herunder de nationale kompetente organer, der fører tilsyn med dataaltruistiske organisationer i henhold til forordning [...] [forordningen om datastyring COM(2020) 767 final], de kompetente myndigheder i henhold til forordning [...] [dataforordningen COM(2022) 68 final] og de nationale kompetente myndigheder for forordning (EU) 2017/745 og forordning [...] [retsakten om kunstig intelligens COM(2021) 206 final].

3.Organerne med ansvar for adgang til sundhedsdata kan yde bistand til offentlige myndigheder, hvis disse offentlige myndigheder har adgang til elektroniske sundhedsdata på grundlag af artikel 14 i forordning [...] [dataforordningen COM(2022) 68 final].

4.Kommissionen tillægges beføjelse til at vedtage delegerede retsakter i overensstemmelse med artikel 67 med henblik på at ændre listen over opgaver i stk. 1 for at tage højde for udviklingen i de aktiviteter, som organer med ansvar for adgang til sundhedsdata udfører.

Artikel 38

Forpligtelser for organer med ansvar for adgang til sundhedsdata over for fysiske personer

1.Organer med ansvar for adgang til sundhedsdata skal sikre, at de betingelser, hvorunder elektroniske sundhedsdata stilles til rådighed til sekundær anvendelse, er offentligt tilgængelige og lette at søge i, med oplysninger om:

a)det retsgrundlag, i henhold til hvilket der gives adgang

b)de tekniske og organisatoriske foranstaltninger, der er truffet for at beskytte fysiske personers rettigheder

c)fysiske personers gældende rettigheder i forbindelse med sekundær anvendelse af elektroniske sundhedsdata

d)ordningerne for, at fysiske personer kan udøve deres rettigheder i overensstemmelse med kapitel III i forordning (EU) 2016/679

e)resultaterne af de projekter, som de elektroniske sundhedsdata blev anvendt til.

2.Organer med ansvar for adgang til sundhedsdata er ikke forpligtet til at give de specifikke oplysninger i henhold til artikel 14 i forordning (EU) 2016/679 til hver fysisk person om anvendelsen af deres data til projekter, der er omfattet af en datatilladelse, men skal give generelle offentlige oplysninger om alle de datatilladelser, der er udstedt i henhold til artikel 46.

3.Hvis et organ med ansvar for adgang til sundhedsdata underrettes af en databruger om et fund, der kan påvirke en fysisk persons helbred, kan organet med ansvar for adgang til sundhedsdata underrette den fysiske person og dennes behandlende sundhedsprofessionelle om dette.

4.Medlemsstaterne informerer regelmæssigt offentligheden om, hvilken rolle organerne med ansvar for adgang til sundhedsdata spiller, og hvilke fordele der er forbundet med dem.

Artikel 39

Organerne med ansvar for adgang til sundhedsdatas rapportering

1.Hvert organ med ansvar for adgang til sundhedsdata offentliggør en årlig aktivitetsrapport, som mindst skal indeholde følgende:

a)oplysninger vedrørende ansøgninger om adgang til elektroniske sundhedsdata, der er indgivet, såsom typer af ansøgere, antal datatilladelser, der er udstedt eller afvist, formål med adgang og kategorier af elektroniske sundhedsdata, hvortil der er givet adgang, og et resumé af resultaterne af anvendelsen af elektroniske sundhedsdata, hvor det er relevant

b)en liste over datatilladelser, der omfatter adgang til elektroniske sundhedsdata, som behandles af organet med ansvar for adgang til sundhedsdata baseret på dataaltruisme, og en kortfattet beskrivelse af de almene hensyn, der forfølges, hvor det er relevant, herunder resultaterne af de udstedte datatilladelser

c)oplysninger om databrugeres og dataindehaveres opfyldelse af lovgivningsmæssige og kontraktlige forpligtelser samt pålagte sanktioner

d)oplysninger om kontroller udført hos databrugere for at sikre, at behandlingen er i overensstemmelse med denne forordning

e)oplysninger om kontroller af sikre behandlingsmiljøers overholdelse af de fastsatte standarder, specifikationer og krav

f)oplysninger om behandlingen af anmodninger fra fysiske personer om udøvelsen af deres rettigheder i henhold til denne forordning

g)en beskrivelse af dens aktiviteter i forbindelse med inddragelse og høring af relevante interessenter, herunder repræsentanter for fysiske personer, patientorganisationer, sundhedsprofessionelle, forskere og etiske udvalg

h)oplysninger om samarbejde med andre kompetente organer, navnlig inden for databeskyttelse, cybersikkerhed, dataaltruisme og kunstig intelligens

i)indtægter fra datatilladelser og dataanmodninger

j)tilfredshed hos ansøgere, der anmoder om adgang til data

k)gennemsnitligt antal dage mellem ansøgning og adgang til data

l)antal udstedte datakvalitetsmærker opdelt efter kvalitetskategori

m)antal fagfællebedømte forskningspublikationer, politikdokumenter, lovgivningsmæssige procedurer, der er baseret på data, der er tilgået via det europæiske sundhedsdataområde

n)antal digitale sundhedsprodukter og -tjenester, herunder AI-applikationer, udviklet ved hjælp af data, der er tilgået via det europæiske sundhedsdataområde.

2.Rapporten fremsendes til Kommissionen.

3.Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 67 med henblik på at ændre indholdet af den årlige aktivitetsrapport.

Artikel 40

Dataaltruisme på sundhedsområdet

1.Ved behandling af personlige elektroniske sundhedsdata skal dataaltruistiske organisationer overholde de regler, der er fastsat i kapitel IV i forordning [...] [forordningen om datastyring COM(2020) 767 final]. Hvis dataaltruistiske organisationer behandler personlige elektroniske sundhedsdata i et sikkert databehandlingsmiljø, skal sådanne miljøer også opfylde kravene i denne forordnings artikel 50.

2.Organer med ansvar for adgang til sundhedsdata støtter de kompetente myndigheder, der er udpeget i overensstemmelse med artikel 23 i forordning [...] [forordningen om datastyring COM(2020) 767 final], i overvågningen af enheder, der udfører dataaltruistiske aktiviteter.

Artikel 41

Dataindehavernes opgaver

1.Hvis en dataindehaver er forpligtet til at stille elektroniske sundhedsdata til rådighed i henhold til artikel 33 eller anden EU-lovgivning eller national lovgivning til gennemførelse af EU-retten, samarbejder den i god tro med organerne med ansvar for adgang til sundhedsdata, hvis det er relevant.

2.Dataindehaveren fremsender en generel beskrivelse af det datasæt, den er i besiddelse af, til organet med ansvar for adgang til sundhedsdata i overensstemmelse med artikel 55.

3Hvis et datakvalitets- og dataudnyttelsesmærke ledsager datasættet i henhold til artikel 56, skal dataindehaveren forelægge organet med ansvar for adgang til sundhedsdata tilstrækkelig dokumentation til, at det kan bekræfte, at mærkningen er korrekt.

4.Dataindehaveren stiller de elektroniske sundhedsdata til rådighed for organet med ansvar for adgang til sundhedsdata senest to måneder efter at have modtaget anmodningen fra organet. I særlige tilfælde kan denne periode forlænges af organet med ansvar for adgang til sundhedsdata med en yderligere periode på to måneder.

5.Hvis en dataindehaver har modtaget berigede datasæt efter en behandling baseret på en datatilladelse, skal den stille det nye datasæt til rådighed, medmindre den anser det for uhensigtsmæssigt, og underretter i den forbindelse organet med ansvar for adgang til sundhedsdata.

6.Dataindehavere af andre elektroniske sundhedsdata end personoplysninger giver adgang til data gennem pålidelige åbne databaser for at sikre ubegrænset adgang for alle brugere samt lagring og opbevaring af data. Pålidelige åbne offentlige databaser skal have en robust, gennemsigtig og bæredygtig forvaltningsmodel og en gennemsigtig model for brugeradgang.

7.Kommissionen tillægges beføjelse til at vedtage delegerede retsakter i overensstemmelse med artikel 67 med henblik på at ændre dataindehavernes opgaver i denne artikel for at tage højde for udviklingen i de aktiviteter, som dataindehavere udfører.

Artikel 42

Gebyrer

1.Organer med ansvar for adgang til sundhedsdata og enkelte dataindehavere kan opkræve gebyrer for at stille elektroniske sundhedsdata til rådighed til sekundær anvendelse. Eventuelle gebyrer skal omfatte og være baseret på omkostningerne til gennemførelsen af proceduren for anmodninger, herunder til vurdering af en dataansøgning eller en dataanmodning, udstedelse af, afslag på eller ændring af en datatilladelse i henhold til artikel 45 og 46 eller besvarelse af en dataanmodning i henhold til artikel 47 i overensstemmelse med artikel 6 i forordning [...] [forordningen om datastyring COM(2020) 767 final].

2.Hvis de pågældende data ikke er i organet med ansvar for adgang til sundhedsdatas eller en offentlig myndigheds besiddelse, kan gebyrerne også omfatte kompensation for en del af omkostningerne til indsamling af de elektroniske sundhedsdata specifikt i henhold til denne forordning ud over de gebyrer, der kan opkræves i henhold til stk. 1. Den del af gebyrerne, der er knyttet til dataindehaverens omkostninger, betales til dataindehaveren.

3.De elektroniske sundhedsdata, der er omhandlet i artikel 33, stk. 1, litra o), stilles til rådighed for en ny bruger gratis eller mod et gebyr, der modsvarer kompensationen for omkostningerne til menneskelige og tekniske ressourcer, der anvendes til at berige de elektroniske sundhedsdata. Dette gebyr betales til den enhed, der har beriget de elektroniske sundhedsdata.

4.Eventuelle gebyrer, som organer med ansvar for adgang til sundhedsdata eller dataindehavere måtte opkræve af databrugere i henhold til denne artikel, skal være gennemsigtige og stå i et rimeligt forhold til omkostningerne ved at indsamle og stille elektroniske sundhedsdata til rådighed til sekundær anvendelse, være objektivt begrundede og må ikke begrænse konkurrencen. Den støtte, som dataindehaveren modtager fra donationer, offentlige nationale midler eller EU-midler til at oprette, udvikle eller ajourføre det pågældende datasæt, medtages ikke i denne beregning. De særlige interesser og behov hos SMV'er, offentlige organer, EU-institutioner, -organer, -kontorer og -agenturer, der er involveret i forskning, sundhedspolitik eller analyse, uddannelsesinstitutioner og sundhedstjenesteydere, tages i betragtning ved fastsættelsen af gebyrerne ved at nedsætte disse gebyrer i forhold til deres størrelse eller budget.

5.Hvis dataindehavere og databrugere ikke er blevet enige om gebyrernes størrelse senest én måned efter udstedelsen af datatilladelsen, kan organet med ansvar for adgang til sundhedsdata fastsætte gebyrerne i forhold til omkostningerne ved at stille elektroniske sundhedsdata til rådighed til sekundær anvendelse. Hvis dataindehaveren eller databrugeren er uenig i det gebyr, der er fastsat af organet med ansvar for adgang til sundhedsdata, skal de have adgang til tvistbilæggelsesorganer, der er omhandlet i artikel 10 i forordning [...] [dataforordningen COM(2022) 68 final].

6.Kommissionen kan ved hjælp af gennemførelsesretsakter fastsætte principper og regler for gebyrpolitikker og gebyrstrukturer. Disse gennemførelsesretsakter vedtages efter rådgivningsproceduren, jf. artikel 68, stk. 2.

Artikel 43

Organerne med ansvar for adgang til sundhedsdatas sanktioner

1.Organer med ansvar for adgang til sundhedsdata overvåger og fører tilsyn med, at databrugere og dataindehavere overholder kravene i dette kapitel.

2.Organerne med ansvar for adgang til sundhedsdatas anmodninger om de oplysninger, der er nødvendige for at kontrollere overholdelsen af dette kapitel, fra databrugere og dataindehavere, skal stå i et rimeligt forhold til udførelsen af overensstemmelseskontrollen.

3.Hvis organer med ansvar for adgang til sundhedsdata konstaterer, at en databruger eller dataindehaver ikke opfylder kravene i dette kapitel, underretter de straks databrugeren eller dataindehaveren om dette og giver denne mulighed for at fremsætte sine synspunkter inden for to måneder.

4.Organer med ansvar for adgang til sundhedsdata har beføjelse til straks eller inden for en rimelig tidsfrist at tilbagekalde den datatilladelse, der er udstedt i henhold til artikel 46, og standse den pågældende behandling af elektroniske sundhedsdata, der udføres af databrugeren, for at sikre, at den i stk. 3 omhandlede manglende opfyldelse bringes til ophør, og træffer passende og forholdsmæssige foranstaltninger til at sikre, at databrugernes behandling opfylder kravene. I den forbindelse skal organerne med ansvar for adgang til sundhedsdata, hvor det er relevant, kunne tilbagekalde datatilladelsen og udelukke databrugeren fra enhver adgang til elektroniske sundhedsdata i en periode på op til fem år.

5.Hvis dataindehavere tilbageholder de elektroniske sundhedsdata fra organer med ansvar for adgang til sundhedsdata med åbenlys hensigt om at hindre anvendelsen af elektroniske sundhedsdata eller ikke overholder de frister, der er fastsat i artikel 41, har organet med ansvar for adgang til sundhedsdata beføjelse til at pålægge dataindehaveren bøder for hver dags forsinkelse, hvilket skal ske gennemsigtigt og forholdsmæssigt. Bødernes størrelse fastsættes af organet med ansvar for adgang til sundhedsdata. I tilfælde af gentagne overtrædelser fra dataindehaverens side af forpligtelsen til loyalt samarbejde med organet med ansvar for adgang til sundhedsdata kan dette organ udelukke dataindehaveren fra at deltage i det europæiske sundhedsdataområde i en periode på op til fem år. Hvis en dataindehaver er blevet udelukket fra deltagelse i det europæiske sundhedsdataområde i henhold til denne artikel som følge af en åbenlys hensigt om at hindre sekundær anvendelse af elektroniske sundhedsdata, har den ikke ret til at give adgang til sundhedsdata i overensstemmelse med artikel 49.

6.Organet med ansvar for adgang til sundhedsdata meddeler uden ophold den pågældende databruger eller -indehaver de foranstaltninger, der er indført i henhold til stk. 4, og begrundelserne herfor og fastsætter en rimelig frist, inden for hvilken dataindehaveren eller -brugeren skal overholde foranstaltningerne.

7.Oplysninger om alle sanktioner og foranstaltninger, der pålægges i henhold til stk. 4, stilles til rådighed for andre organer med ansvar for adgang til sundhedsdata.

8.Kommissionen kan ved hjælp af gennemførelsesretsakter fastlægge arkitekturen for et IT-værktøj, der har til formål at støtte og gøre de aktiviteter, der er omhandlet i denne artikel, navnlig sanktioner og udelukkelser, gennemsigtige for andre organer med ansvar for adgang til sundhedsdata. Disse gennemførelsesretsakter vedtages efter rådgivningsproceduren, jf. artikel 68, stk. 2.

9.Enhver fysisk eller juridisk person, der er berørt af en afgørelse truffet af et organ med ansvar for adgang til sundhedsdata, har ret til effektive retsmidler mod en sådan afgørelse.

10.Kommissionen kan udstede retningslinjer for sanktioner, der skal anvendes af organer med ansvar for adgang til sundhedsdata.

Afdeling 3

Datatilladelse til sekundær anvendelse af elektroniske sundhedsdata

Artikel 44

Dataminimering og formålsbegrænsning

1.Organet med ansvar for adgang til sundhedsdata sikrer, at der kun gives adgang til de ønskede elektroniske sundhedsdata, der er relevante for det formål med databrugerens behandling, der er angivet i ansøgningen om adgang til data, og i overensstemmelse med den udstedte datatilladelse.

2.Organerne med ansvar for adgang til sundhedsdata leverer de elektroniske sundhedsdata i et anonymiseret format, hvor formålet med databrugerens behandling kan opfyldes med sådanne data, idet der tages hensyn til oplysningerne fra databrugeren.

3.Hvis formålet med databrugerens behandling ikke kan opfyldes med anonymiserede data under hensyntagen til oplysningerne fra databrugeren, giver organerne med ansvar for adgang til sundhedsdata adgang til elektroniske sundhedsdata i pseudonymiseret format. De oplysninger, der er nødvendige for at ophæve pseudonymiseringen, må kun være tilgængelige for organet med ansvar for adgang til sundhedsdata. Databrugere må ikke genidentificere de elektroniske sundhedsdata, de modtager i pseudonymiseret format. Der kan iværksættes passende sanktioner, hvis databrugeren ikke følger de foranstaltninger, som organet med ansvar for adgang til sundhedsdata har truffet for at sikre pseudonymisering.

Artikel 45

Ansøgninger om dataadgang

1.Enhver fysisk eller juridisk person kan indgive en ansøgning om dataadgang til de formål, der er omhandlet i artikel 34.

2.Ansøgningen om dataadgang skal indeholde:

a)en detaljeret redegørelse for den påtænkte anvendelse af de elektroniske sundhedsdata, herunder til hvilke af de i artikel 34, stk. 1, omhandlede formål der anmodes om adgang

b)en beskrivelse af de elektroniske sundhedsdata, der anmodes om, deres format og datakilder, hvor det er muligt, herunder geografisk dækning, hvis der anmodes om data fra flere medlemsstater

c)en angivelse af, om elektroniske sundhedsdata skal stilles til rådighed i et anonymiseret format

d)hvis det er relevant, en redegørelse for årsagerne til, at der søges om adgang til elektroniske sundhedsdata i et pseudonymiseret format

e)en beskrivelse af de sikkerhedsforanstaltninger, der er planlagt for at forhindre enhver anden anvendelse af de elektroniske sundhedsdata

f)en beskrivelse af de sikkerhedsforanstaltninger, der er planlagt for at beskytte dataindehaverens og de berørte fysiske personers rettigheder og interesser

g)et skøn over den periode, hvor der er behov for de elektroniske sundhedsdata til behandlingen

h)en beskrivelse af de værktøjer og databehandlingsressourcer, der er nødvendige for et sikkert miljø.

3.Databrugere, der ønsker adgang til elektroniske sundhedsdata fra mere end én medlemsstat, indgiver en enkelt ansøgning til et af de berørte organer med ansvar for adgang til sundhedsdata efter eget valg, som er ansvarligt for at dele anmodningen med andre organer med ansvar for adgang til sundhedsdata og godkendte deltagere på HealthData@EU, jf. artikel 52, som er angivet i ansøgningen om dataadgang. I forbindelse med anmodninger om adgang til elektroniske sundhedsdata fra mere end én medlemsstat underretter organet med ansvar for adgang til sundhedsdata de andre relevante organer med ansvar for adgang til sundhedsdata om modtagelsen af en ansøgning, der er relevant for dem, senest 15 dage efter datoen for modtagelsen af ansøgningen om adgang til data.

4.Hvis ansøgeren ønsker få adgang til de personlige elektroniske sundhedsdata i pseudonymiseret format, skal følgende supplerende oplysninger gives sammen med ansøgningen om dataadgang:

a)en beskrivelse af, hvordan behandlingen vil være i overensstemmelse med artikel 6, stk. 1, i forordning (EU) 2016/679

b)oplysninger om vurderingen af de etiske aspekter af behandlingen, hvor det er relevant og i overensstemmelse med national lovgivning.

5.Med henblik på udførelsen af de opgaver, der er omhandlet i artikel 37, stk. 1, litra b) og c), giver de offentlige organer og EU-institutionerne, -organerne, -kontorerne og -agenturerne de samme oplysninger som dem, der kræves i henhold til artikel 45, stk. 2, med undtagelse af litra g), hvor de indsender oplysninger om den periode, i hvilken dataene kan tilgås, hyppigheden af denne adgang eller hyppigheden af dataajourføringer.

Hvis de offentlige organer og EU-institutionerne, -organerne, -kontorerne og -agenturerne ønsker at få adgang til de elektroniske sundhedsdata i pseudonymiseret format, gives der også en beskrivelse af, hvordan behandlingen vil være i overensstemmelse med artikel 6, stk. 1, i forordning (EU) 2016/679 eller artikel 5, stk. 1, i forordning (EU) 2018/1725, alt efter hvad der er relevant.

6.Kommissionen kan ved hjælp af gennemførelsesretsakter fastsætte modellerne for den i denne artikel omhandlede ansøgning om dataadgang, den i artikel 46 omhandlede datatilladelse og den i artikel 47 omhandlede dataanmodning. Disse gennemførelsesretsakter vedtages efter den procedure, der er omhandlet i artikel 68, stk. 2.

7.Kommissionen tillægges beføjelse til at vedtage delegerede retsakter i overensstemmelse med artikel 67 med henblik på at ændre listen over oplysninger i stk. 2, 4, 5 og 6 i denne artikel for at sikre, at listen til behandling af en ansøgning om dataadgang på nationalt eller grænseoverskridende plan er tilstrækkelig.

Artikel 46

Datatilladelse

1.Organer med ansvar for adgang til sundhedsdata vurderer, om ansøgningen opfylder et af de formål, der er anført i denne forordnings artikel 34, stk. 1, om de ønskede data er nødvendige til det formål, der er anført i ansøgningen, og om ansøgeren opfylder kravene i dette kapitel. Hvis dette er tilfældet, udsteder organet med ansvar for adgang til sundhedsdata en datatilladelse.

2.Organer med ansvar for adgang til sundhedsdata afviser alle ansøgninger, der omfatter et eller flere af de formål, der er anført i artikel 35, eller for hvilke kravene i dette kapitel ikke er opfyldt.

3.Et organ med ansvar for adgang til sundhedsdata skal udstede eller afvise en datatilladelse senest to måneder efter modtagelsen af ansøgningen om dataadgang. Uanset forordning [...] [forordningen om datastyring COM(2020) 767 final] kan organet med ansvar for adgang til sundhedsdata forlænge fristen for besvarelse af en ansøgning om dataadgang med yderligere to måneder, hvis det er nødvendigt, under hensyntagen til anmodningens kompleksitet. I sådanne tilfælde underretter organet med ansvar for adgang til sundhedsdata hurtigst muligt ansøgeren om, at der er behov for mere tid til at behandle ansøgningen, sammen med årsagerne til forsinkelsen. Hvis et organ med ansvar for adgang til sundhedsdata ikke træffer en afgørelse inden for tidsfristen, udstedes datatilladelsen.

4.Efter udstedelsen af datatilladelsen anmoder organet med ansvar for adgang til sundhedsdata straks om de elektroniske sundhedsdata fra dataindehaveren. Organet med ansvar for adgang til sundhedsdata stiller de elektroniske sundhedsdata til rådighed for databrugeren senest to måneder efter at have modtaget dem fra dataindehaverne, medmindre organet angiver, at det vil levere dataene inden for en længere fastsat frist.

5.Hvis organet med ansvar for adgang til sundhedsdata afviser at udstede en datatilladelse, skal det give ansøgeren en begrundelse for afslaget.

6.Datatilladelsen skal indeholde de generelle betingelser, der gælder for databrugeren, navnlig:

a)typer og format af elektroniske sundhedsdata, hvortil der er opnået adgang, og som er omfattet af datatilladelsen, herunder deres kilder

b)formål, hvortil data stilles til rådighed

c)datatilladelsens varighed

d)oplysninger om de tekniske karakteristika og værktøjer, der er til rådighed for databrugeren i det sikre databehandlingsmiljø

e)gebyrer, der skal betales af databrugeren

f)eventuelle yderligere specifikke betingelser i den udstedte datatilladelse.

7.Databrugere har ret til at få adgang til og behandle de elektroniske sundhedsdata i overensstemmelse med den datatilladelse, de modtager på grundlag af denne forordning.

8.Kommissionen tillægges beføjelse til at vedtage delegerede retsakter i overensstemmelse med artikel 67 med henblik på at ændre listen over aspekter, der skal være omfattet af en datatilladelse i denne artikels stk. 7.

9.Der udstedes en datatilladelse for den periode, der er nødvendig for at opfylde de ønskede formål, og som ikke må overstige fem år. Denne periode kan forlænges én gang efter anmodning fra databrugeren, der skal omfatte en begrundelse og dokumentation, én måned før datatilladelsens udløb, med en periode på højst fem år. Uanset artikel 42 kan organet med ansvar for adgang til sundhedsdata opkræve forhøjede gebyrer for at afspejle omkostningerne og risiciene ved lagring af elektroniske sundhedsdata i en længere periode end de første fem år. For at reducere sådanne omkostninger og gebyrer kan organet med ansvar for adgang til sundhedsdata også foreslå databrugeren at lagre datasættet i et lagringssystem med reduceret kapacitet. Dataene i det sikre databehandlingsmiljø slettes senest seks måneder efter datatilladelsens udløb. Efter anmodning fra databrugeren lagres formlen for oprettelse af det ønskede datasæt af organet med ansvar for adgang til sundhedsdata.

10.Hvis datatilladelsen skal ajourføres, skal databrugeren indgive en anmodning om ændring af datatilladelsen.

11.Databrugere offentliggør resultaterne af sekundær anvendelse af elektroniske sundhedsdata, herunder oplysninger, der er relevante for levering af sundhedsydelser, senest 18 måneder efter afslutningen af behandlingen af de elektroniske sundhedsdata eller efter at have modtaget svaret på den i artikel 47 omhandlede anmodning om oplysninger. Disse resultater eller dette output må kun indeholde anonymiserede data. Databrugeren underretter de organer med ansvar for adgang til sundhedsdata, som udstedte datatilladelsen, og støtter dem i at gøre oplysningerne offentligt tilgængelige på organernes websteder. Når databrugerne har anvendt elektroniske sundhedsdata i overensstemmelse med dette kapitel, angiver de kilderne til de elektroniske sundhedsdata, og at de er indhentet inden for rammerne af det europæiske sundhedsdataområde.

12.Databrugere underretter organet med ansvar for adgang til sundhedsdata om alle klinisk signifikante fund, der kan påvirke sundhedstilstanden for de fysiske personer, hvis data indgår i datasættet.

13.Kommissionen kan ved hjælp af en gennemførelsesretsakt udvikle et logo til anerkendelse af det europæiske sundhedsdataområdes bidrag. Denne gennemførelsesretsakt vedtages efter rådgivningsproceduren, jf. artikel 68, stk. 2.

14.Ansvaret for organer med ansvar for adgang til sundhedsdata som fælles dataansvarlig er begrænset til omfanget af den udstedte datatilladelse, indtil behandlingsaktiviteten er afsluttet.

Artikel 47

Dataanmodning

1.Enhver fysisk eller juridisk person kan indgive en dataanmodning til de formål, der er omhandlet i artikel 34. Et organ med ansvar for adgang til sundhedsdata må kun besvare en dataanmodning i et anonymiseret statistisk format, og databrugeren må ikke få adgang til de elektroniske sundhedsdata, der anvendes til at give dette svar.

2.En dataanmodning skal indeholde de elementer, der er nævnt i artikel 45, stk. 2, litra a) og b), og kan om nødvendigt også omfatte:

a)en beskrivelse af det forventede resultat fra organet med ansvar for adgang til sundhedsdata

b)en beskrivelse af statistikkens indhold.

3.Hvis en ansøger har anmodet om et resultat i en anonymiseret form, herunder statistisk format, baseret på en dataanmodning, foretager organet med ansvar for adgang til sundhedsdata vurderingen inden for to måneder og forelægger om muligt resultatet for databrugeren inden for to måneder.

Artikel 48

Adgang til data for offentlige organer og EU-institutioner, -organer, -kontorer og -agenturer uden datatilladelse

Uanset denne forordnings artikel 46 kræves der ikke en datatilladelse for at få adgang til de elektroniske sundhedsdata i henhold til denne artikel. Ved udførelsen af disse opgaver i henhold til artikel 37, stk. 1, litra b) og c), underretter organet med ansvar for adgang til sundhedsdata offentlige myndigheder og EU-institutionerne, -kontorerne, -agenturerne og -organerne om tilgængeligheden af data senest to måneder efter ansøgningen om dataadgang i overensstemmelse med artikel 9 i forordning [...] [forordningen om datastyring COM(2020) 767 final]. Uanset forordning [...] [forordningen om datastyring COM(2020) 767 final] kan organet med ansvar for adgang til sundhedsdata forlænge fristen med yderligere to måneder, hvis det er nødvendigt, under hensyntagen til anmodningens kompleksitet. Organet med ansvar for adgang til sundhedsdata stiller de elektroniske sundhedsdata til rådighed for databrugeren senest to måneder efter at have modtaget dem fra dataindehaverne, medmindre det angiver, at det vil levere dataene inden for en længere fastsat frist.

Artikel 49

Adgang til elektroniske sundhedsdata fra en enkelt dataindehaver

1.Hvis en ansøger kun anmoder om adgang til elektroniske sundhedsdata fra en enkelt dataindehaver i en enkelt medlemsstat, kan denne ansøger uanset artikel 45, stk. 1, indgive en ansøgning om dataadgang eller en dataanmodning direkte til dataindehaveren. Ansøgningen om dataadgang skal opfylde kravene i artikel 45, og dataanmodningen skal opfylde kravene i artikel 47. Anmodninger fra flere lande og anmodninger, der kræver samkøring af datasæt fra flere dataindehavere, rettes til organer med ansvar for adgang til sundhedsdata.

2.I så fald kan dataindehaveren udstede en datatilladelse i overensstemmelse med artikel 46 eller besvare en dataanmodning i overensstemmelse med artikel 47. Dataindehaveren giver derefter adgang til de elektroniske sundhedsdata i et sikkert databehandlingsmiljø i overensstemmelse med artikel 50 og kan opkræve gebyrer i overensstemmelse med artikel 42.

3.Uanset artikel 51 betragtes den enkelte dataindehaver og databrugeren som fælles dataansvarlige.

4.Inden for tre måneder underretter dataindehaveren elektronisk det relevante organ med ansvar for adgang til sundhedsdata om alle indgivne ansøgninger om dataadgang og om alle udstedte datatilladelser og de dataanmodninger, der er opfyldt i henhold til denne artikel, således at organet med ansvar for adgang til sundhedsdata kan opfylde sine forpligtelser i henhold til artikel 37, stk. 1, og artikel 39.

Artikel 50

Sikkert databehandlingsmiljø

1.Organer for har adgang til sundhedsdata må kun give adgang til elektroniske sundhedsdata gennem et sikkert databehandlingsmiljø med tekniske og organisatoriske foranstaltninger og sikkerheds- og interoperabilitetskrav. De træffer navnlig følgende sikkerhedsforanstaltninger:

a)begrænse adgangen til det sikre databehandlingsmiljø til autoriserede personer, der er opført på listen i de respektive datatilladelser

b)minimere risikoen for uautoriseret læsning, kopiering, ændring eller fjernelse af elektroniske sundhedsdata, der lagres i det sikre databehandlingsmiljø, ved hjælp af de nyeste teknologiske midler

c)begrænse adgangen til at indlæse elektroniske sundhedsdata samt kontrollere, ændre eller slette elektroniske sundhedsdata, der lagres i det sikre databehandlingsmiljø, til et begrænset antal autoriserede identificerbare personer

d)sikre, at databrugere kun har adgang til de elektroniske sundhedsdata, der er omfattet af deres datatilladelse, udelukkende ved hjælp af individuelle og unikke brugeridentiteter og fortrolige adgangsmetoder

e)opbevare identificerbare logfiler for adgang til det sikre databehandlingsmiljø i den periode, der er nødvendig for at verificere og kontrollere alle behandlingsaktiviteter i det pågældende miljø

f)sikre overholdelse og overvåge de sikkerhedsforanstaltninger, der er omhandlet i denne artikel, for at afbøde potentielle sikkerhedstrusler.

2.Organer med ansvar for adgang til sundhedsdata sikrer, at dataindehaverne kan uploade elektroniske sundhedsdata, og at de kan tilgås af databrugeren i et sikkert databehandlingsmiljø. Databrugerne må kun kunne downloade andre elektroniske sundhedsdata end personoplysninger fra det sikre databehandlingsmiljø.

3.Organer med ansvar for adgang til sundhedsdata skal iværksætte regelmæssige kontroller af de sikre behandlingsmiljøer.

4.Kommissionen fastsætter ved hjælp af gennemførelsesretsakter de tekniske krav og kravene til informationssikkerhed og interoperabilitet for de sikre databehandlingsmiljøer. Disse gennemførelsesretsakter vedtages efter rådgivningsproceduren, jf. artikel 68, stk. 2.

Artikel 51

Fælles dataansvarlige

1.Organerne med ansvar for adgang til sundhedsdata og databrugerne, herunder EU-institutioner, -organer, -kontorer og -agenturer, betragtes som fælles dataansvarlige for elektroniske sundhedsdata, der behandles i overensstemmelse med datatilladelsen.

2.Kommissionen fastlægger ved hjælp af gennemførelsesretsakter en model for ordningen med fælles dataansvarlige. Disse gennemførelsesretsakter vedtages efter rådgivningsproceduren, jf. artikel 68, stk. 2.

Afdeling 4

Grænseoverskridende adgang til elektroniske sundhedsdata til sekundær anvendelse

Artikel 52

Grænseoverskridende infrastruktur til sekundær anvendelse af elektroniske sundhedsdata (HealthData@EU)

1.Hver medlemsstat udpeger et nationalt kontaktpunkt for sekundær anvendelse af elektroniske sundhedsdata, som er ansvarligt for at stille elektroniske sundhedsdata til rådighed til sekundær anvendelse i en grænseoverskridende sammenhæng, og meddeler deres navne og kontaktoplysninger til Kommissionen. Det nationale kontaktpunkt kan være det koordinerende organ med ansvar for adgang til sundhedsdata i henhold til artikel 36. Kommissionen og medlemsstaterne offentliggør disse oplysninger.

2.De nationale kontaktpunkter, der er omhandlet i stk. 1, er godkendte deltagere i den grænseoverskridende infrastruktur til sekundær anvendelse af elektroniske sundhedsdata (HealthData@EU). De nationale kontaktpunkter letter grænseoverskridende adgang til elektroniske sundhedsdata til sekundær anvendelse for forskellige godkendte deltagere i infrastrukturen og arbejder tæt sammen med hinanden og med Kommissionen.

3.EU-institutioner, -organer, -kontorer og -agenturer, der beskæftiger sig med forskning, sundhedspolitik eller analyse, har tilladelse til at deltage i HealthData@EU.

4.Sundhedsrelaterede forskningsinfrastrukturer eller lignende strukturer, hvis funktion er baseret på EU-retten, og som støtter anvendelsen af elektroniske sundhedsdata til forskning, politikudformning, statistik, patientsikkerhed eller lovgivningsmæssige formål, skal være godkendte deltagere i HealthData@EU.

5.Tredjelande eller internationale organisationer kan blive godkendte deltagere, hvis de overholder bestemmelserne i kapitel IV i denne forordning og giver adgang for databrugere, der befinder sig i Unionen, på tilsvarende vilkår og betingelser til de elektroniske sundhedsdata, der er tilgængelige for deres organer med ansvar for adgang til sundhedsdata. Kommissionen kan vedtage gennemførelsesretsakter, der fastsætter, at et nationalt kontaktpunkt i et tredjeland eller et system, der er oprettet på internationalt plan, opfylder kravene i HealthData@EU med henblik på sekundær anvendelse af sundhedsdata, overholder kapitel IV i denne forordning og giver databrugere, der befinder sig i Unionen, adgang til de elektroniske sundhedsdata, som det har adgang til på tilsvarende vilkår og betingelser. Overholdelsen af disse retlige, organisatoriske, tekniske og sikkerhedsmæssige krav, herunder standarderne for sikre databehandlingsmiljøer i henhold til artikel 50, kontrolleres under Kommissionens kontrol. Disse gennemførelsesretsakter vedtages efter rådgivningsproceduren, jf. artikel 68, stk. 2. Kommissionen gør listen over gennemførelsesretsakter vedtaget i henhold til dette stykke offentligt tilgængelig.

6.Hver godkendt deltager skal have den nødvendige tekniske kapacitet til at tilslutte sig og deltage i HealthData@EU. Hver deltager skal opfylde de krav og tekniske specifikationer, der er nødvendige for at drive den grænseoverskridende infrastruktur og give de godkendte deltagere mulighed for at forbinde sig med hinanden inden for den.

7.Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 67 med henblik på at ændre denne artikel for at tilføje eller fjerne kategorier af godkendte deltagere i HealthData@EU under hensyntagen til udtalelsen fra den fælles kontrolgruppe i henhold til artikel 66 i denne forordning.

8.Medlemsstaterne og Kommissionen opretter HealthData@EU for at støtte og lette grænseoverskridende adgang til elektroniske sundhedsdata til sekundær anvendelse, der forbinder de nationale kontaktpunkter for sekundær anvendelse af elektroniske sundhedsdata fra alle medlemsstater og godkendte deltagere i denne infrastruktur.

9.Kommissionen udvikler, udruller og driver en central platform for HealthData@EU ved at levere de informationsteknologitjenester, der er nødvendige for at lette forbindelsen mellem organer med ansvar for adgang til sundhedsdata som en del af den grænseoverskridende infrastruktur for sekundær anvendelse af elektroniske sundhedsdata. Kommissionen behandler kun elektroniske sundhedsdata på vegne af de fælles dataansvarlige som databehandler.

10.Hvis to eller flere organer med ansvar for adgang til sundhedsdata anmoder herom, kan Kommissionen tilvejebringe et sikkert databehandlingsmiljø for data fra mere end én medlemsstat, der opfylder kravene i artikel 50. Hvis to eller flere organer med ansvar for adgang til sundhedsdata indlæser elektroniske sundhedsdata i et sikkert databehandlingsmiljø, der forvaltes af Kommissionen, er de fælles dataansvarlige, og Kommissionen er databehandler.

11.De godkendte deltagere fungerer som fælles dataansvarlige for de behandlingsaktiviteter, som de er involveret i, på HealthData@EU, og Kommissionen fungerer som databehandler.

12.Medlemsstaterne og Kommissionen bestræber sig på at sikre interoperabilitet mellem HealthData@EU og andre relevante fælles europæiske dataområder som omhandlet i forordning [...] [forordningen om datastyring COM(2020) 767 final] og [...] [dataforordningen COM(2022) 68 final].

13.Kommissionen kan ved hjælp af gennemførelsesretsakter vedtage regler om:

a)krav, tekniske specifikationer, IT-arkitektur på HealthData@EU, betingelser og overensstemmelseskontrol for godkendte deltagere, der kan tilslutte sig og forblive forbundet med HealthData@EU, og betingelser for midlertidig eller endelig udelukkelse fra HealthData@EU

b)de minimumskriterier, som de godkendte deltagere i infrastrukturen skal opfylde

c)ansvarsområderne for de fælles dataansvarlige og databehandlere, der deltager i de grænseoverskridende infrastrukturer

d)de fælles dataansvarliges og databehandleres ansvar for det sikre miljø, der forvaltes af Kommissionen

e)fælles specifikationer for interoperabilitet og arkitektur vedrørende HealthData@EU med andre fælles europæiske dataområder.

Disse gennemførelsesretsakter vedtages efter rådgivningsproceduren, jf. artikel 68, stk. 2.

14.Godkendelsen af individuelle godkendte deltagere til at slutte sig til MyHealth@EU for forskellige tjenester eller til at fjerne en deltager udstedes af den fælles dataansvarsgruppe på grundlag af resultaterne af overensstemmelseskontrollen.

Artikel 53

Adgang til grænseoverskridende kilder til elektroniske sundhedsdata til sekundær anvendelse

1.I tilfælde af grænseoverskridende registre og databaser har det organ med ansvar for adgang til sundhedsdata, hvor dataindehaveren er registreret, kompetence til at træffe afgørelse om ansøgninger om dataadgang med henblik på at give adgang til elektroniske sundhedsdata. Hvis registret har fælles dataansvarlige, er det organ med ansvar for adgang til sundhedsdata, der giver adgang til elektroniske sundhedsdata, organet i den medlemsstat, hvor en af de fælles dataansvarlige er etableret.

2.Hvis registre eller databaser fra en række medlemsstater organiserer sig i et enkelt netværk af registre eller databaser på EU-plan, kan de tilknyttede registre udpege et af deres medlemmer som koordinator for at sikre levering af data fra registrenes netværk til sekundær anvendelse. Organet med ansvar for adgang til sundhedsdata i den medlemsstat, hvor nettets koordinator er beliggende, har kompetence til at træffe afgørelse om ansøgninger om dataadgang med henblik på at give adgang til elektroniske sundhedsdata for netværket af registre eller databaser.

3.Kommissionen kan ved hjælp af gennemførelsesretsakter vedtage de nødvendige regler for at lette behandlingen af ansøgninger om dataadgang til HealthData@EU, herunder en fælles ansøgningsformular, en fælles skabelon for datatilladelsen, standardformularer til fælles kontraktlige ordninger for elektronisk adgang til sundhedsdata og fælles procedurer for behandling af grænseoverskridende anmodninger, jf. artikel 45, 46, 47 og 48. Disse gennemførelsesretsakter vedtages efter rådgivningsproceduren, jf. artikel 68, stk. 2.

Artikel 54

Gensidig anerkendelse

1.Ved behandling af en ansøgning om dataadgang med henblik på grænseoverskridende adgang til elektroniske sundhedsdata til sekundær anvendelse er organer med ansvar for adgang til sundhedsdata og relevante godkendte deltagere fortsat ansvarlige for at træffe afgørelser om at give eller nægte adgang til elektroniske sundhedsdata inden for deres ansvarsområde i overensstemmelse med de krav til adgang, der er fastsat i dette kapitel.

2.En datatilladelse udstedt af et berørt organ med ansvar for adgang til sundhedsdata kan opnå gensidig anerkendelse fra de andre berørte organer med ansvar for adgang til sundhedsdata.

Afdeling 5

Kvalitet og udnyttelse af sundhedsdata til sekundær anvendelse

Artikel 55

Beskrivelse af datasæt

1.Organerne med ansvar for adgang til sundhedsdata informerer databrugerne om de tilgængelige datasæt og deres karakteristika gennem et metadatakatalog. Hvert datasæt skal indeholde oplysninger om kilden, omfanget, de vigtigste karakteristika, arten af elektroniske sundhedsdata og betingelserne for at stille elektroniske sundhedsdata til rådighed.

2.Kommissionen fastsætter ved hjælp af gennemførelsesretsakter de informationselementer, som dataindehavere som minimum skal stille til rådighed for datasæt, og deres karakteristika. Disse gennemførelsesretsakter vedtages efter rådgivningsproceduren, jf. artikel 68, stk. 2.

Artikel 56

Datakvalitets- og dataudnyttelsesmærke

1.Datasæt, der stilles til rådighed via organer med ansvar for adgang til sundhedsdata, kan være forsynet med et EU-datakvalitets- og dataudnyttelsesmærke fra dataindehaverne.

2.Datasæt med elektroniske sundhedsdata, der indsamles og behandles med støtte fra EU-midler eller national offentlig finansiering, skal være forsynet med et datakvalitets- og dataudnyttelsesmærke i overensstemmelse med principperne i stk. 3.

3.Datakvalitets- og dataudnyttelsesmærket skal opfylde følgende krav:

a)for datadokumentation: metadata, støttedokumentation, datamodel, dataordbog, anvendte standarder, herkomst

b)teknisk kvalitet, der viser dataenes fuldstændighed, unikke karakter, nøjagtighed, gyldighed, aktualitet og konsekvens

c)for datakvalitetsstyringsprocesser: modenhedsgraden af datakvalitetsstyringsprocesserne, herunder kontrol- og revisionsprocesser, undersøgelse af skævheder

d)dækning: repræsentation af tværfaglige elektroniske sundhedsdata, repræsentativitet af populationen i stikprøven, gennemsnitlig tidsramme, inden for hvilken en fysisk person optræder i et datasæt

e)oplysninger om adgang og tilrådighedsstillelse: tid mellem indsamlingen af de elektroniske sundhedsdata og deres tilføjelse til datasættet, tid til levering af elektroniske sundhedsdata efter godkendelse af ansøgningen om adgang til elektroniske sundhedsdata

f)oplysninger om databerigelser: sammenlægning og tilføjelse af data til et eksisterende datasæt, herunder links til andre datasæt.

4.Kommissionen tillægges beføjelse til at vedtage delegerede retsakter i overensstemmelse med artikel 67 for at ændre listen over principper for datakvalitets- og dataudnyttelsesmærket. Sådanne delegerede retsakter kan også ændre listen i stk. 3 ved at tilføje, ændre eller fjerne krav til datakvalitets- og dataudnyttelsesmærket.

5.Kommissionen fastsætter ved hjælp af gennemførelsesretsakter de visuelle karakteristika og tekniske specifikationer for datakvalitets- og dataudnyttelsesmærket på grundlag af de elementer, der er omhandlet i stk. 3. Disse gennemførelsesretsakter vedtages efter rådgivningsproceduren, jf. artikel 68, stk. 2. Disse gennemførelsesretsakter skal tage hensyn til kravene i artikel 10 i forordning [...] [retsakten om kunstig intelligens COM(2021) 206 final] og eventuelle vedtagne fælles specifikationer eller harmoniserede standarder til støtte for disse krav.

Artikel 57

EU-katalog over datasæt

1.Kommissionen udarbejder et EU-katalog over datasæt, der forbinder de nationale kataloger over datasæt, der er oprettet af organerne med ansvar for adgang til sundhedsdata og andre godkendte deltagere i HealthData@EU.

2.EU-kataloget over datasæt og de nationale kataloger gøres offentligt tilgængelige.

Artikel 58

Minimumsspecifikationer for datasæt

Kommissionen kan ved hjælp af gennemførelsesretsakter fastsætte minimumsspecifikationer for grænseoverskridende datasæt til sekundær anvendelse af elektroniske sundhedsdata under hensyntagen til eksisterende EU-infrastrukturer, -standarder, -retningslinjer og -anbefalinger. Disse gennemførelsesretsakter vedtages efter rådgivningsproceduren, jf. artikel 68, stk. 2.

Kapitel V

Yderligere foranstaltninger

Artikel 59

Kapacitetsopbygning

Kommissionen støtter udveksling af bedste praksis og ekspertise med henblik på at opbygge medlemsstaternes kapacitet til at styrke de digitale sundhedssystemer til primær og sekundær anvendelse af elektroniske sundhedsdata. For at støtte kapacitetsopbygning udarbejder Kommissionen benchmarkingretningslinjer for primær og sekundær anvendelse af elektroniske sundhedsdata.

Artikel 60

Yderligere krav til offentlige udbud og EU-finansiering

1.Offentlige indkøbere, nationale kompetente myndigheder, herunder digitale sundhedsmyndigheder og organer med ansvar for adgang til sundhedsdata, og Kommissionen henviser til de gældende tekniske specifikationer, standarder og profiler som omhandlet i artikel 6, 23, 50 og 56, alt efter hvad der er relevant, som retningsgivende for offentlige indkøb og ved udarbejdelsen af deres udbudsdokumenter eller indkaldelser af forslag samt ved fastlæggelsen af betingelserne for EU-finansiering i forbindelse med denne forordning, herunder grundforudsætninger for struktur- og samhørighedsfondene.

2.Forhåndsbetingelserne for EU-finansiering skal tage hensyn til de krav, der er udviklet inden for rammerne af kapitel II, III og IV.

Artikel 61

Overførsel fra tredjelande af andre elektroniske data end personoplysninger

1.Elektroniske data, der ikke er personoplysninger, og som stilles til rådighed af organer med ansvar for adgang til sundhedsdata, og som er baseret på en fysisk persons elektroniske data, der falder ind under en af kategorierne i artikel 33, [litra a), e), f), i), j), k) og m)], anses for at være meget følsomme, jf. artikel 5, stk. 13, i forordning [...] [forordningen om datastyring COM(2020) 767 final], forudsat at deres overførsel til tredjelande udgør en risiko for genidentifikation ved hjælp af midler, der er mere vidtgående end dem, der med rimelighed kan tænkes at blive anvendt, i betragtning af det begrænsede antal fysiske personer, der er involveret i disse data, det forhold, at de er geografisk spredte, eller den forventede teknologiske udvikling i den nærmeste fremtid.

2.Beskyttelsesforanstaltningerne for de kategorier af data, der er nævnt i stk. 1, afhænger af arten af dataene og anonymiseringsteknikkerne og beskrives nærmere i den delegerede retsakt i henhold til den beføjelse, der er fastsat i artikel 5, stk. 13, i forordning [...] [forordningen om datastyring COM(2020) 767 final].

Artikel 62

International adgang til og overførsel af andre elektroniske sundhedsdata end personoplysninger

1.De digitale sundhedsmyndigheder, organer med ansvar for adgang til sundhedsdata, de godkendte deltagere i de grænseoverskridende infrastrukturer, der er omhandlet i artikel 12 og 52, og databrugere træffer alle rimelige tekniske, retlige og organisatoriske foranstaltninger, herunder kontraktlige ordninger, for at forhindre international overførsel eller statslig adgang til andre elektroniske sundhedsdata end personoplysninger, der er lagret i Unionen, hvis en sådan overførsel eller adgang ville være i strid med EU-retten eller den relevante medlemsstats nationale ret, jf. dog denne artikels stk. 2 eller 3.

2.Enhver dom afsagt af en domstol og enhver afgørelse truffet af en administrativ myndighed i et tredjeland, der kræver, at en digital sundhedsmyndighed, et organ med ansvar for adgang til sundhedsdata eller databrugere overfører eller giver adgang til andre elektroniske sundhedsdata end personoplysninger inden for denne forordnings anvendelsesområde, der er lagret i Unionen, kan kun anerkendes eller håndhæves på nogen måde, hvis den bygger på en international aftale såsom en traktat om gensidig retshjælp mellem det anmodende tredjeland og Unionen eller en sådan aftale mellem det anmodende tredjeland og en medlemsstat.

3.Hvis der ikke findes en international aftale som omhandlet i stk. 2 i denne artikel, og hvis en domstol eller en administrativ myndighed i et tredjeland har afsagt en afgørelse eller en dom mod en digital sundhedsmyndighed, et organ med ansvar for adgang til sundhedsdata eller en databruger om at overføre eller give adgang til andre data end personoplysninger inden for denne forordnings anvendelsesområde, der er lagret i Unionen, og efterkommelse af en sådan afgørelse ville indebære en risiko for, at adressaten ville handle i strid med EU-retten eller den nationale ret i den relevante medlemsstat, må sådanne data kun overføres til eller tilgås af myndigheden i tredjelandet, hvis:

a)tredjelandets system kræver, at afgørelsen eller dommen begrundes, og at det godtgøres, at den står i et rimeligt forhold til formålet, og at det kræves, at afgørelsen eller kendelsen, alt efter omstændighederne, skal være af specifik karakter, f.eks. ved at fastslå en tilstrækkelig forbindelse til visse mistænkte personer eller overtrædelser

b)adressatens begrundede indsigelse kan prøves ved en kompetent domstol i tredjelandet, og

c)den kompetente domstol eller ret i tredjelandet, der udsteder afgørelsen eller kendelsen eller prøver en administrativ myndigheds afgørelse, i henhold til det pågældende tredjelands ret har beføjelse til at tage behørigt hensyn til de relevante retlige interesser hos den, der stiller de data til rådighed, der er beskyttet af EU-retten eller national ret i den relevante medlemsstat.

4.Hvis betingelserne i stk. 2 eller 3 er opfyldt, skal den digitale sundhedsmyndighed, et organ med ansvar for adgang til sundhedsdata eller et dataaltruistisk organ stille de data, der som minimum er tilladt, til rådighed som svar på en anmodning, på grundlag af en rimelig fortolkning af anmodningen.

5.De digitale sundhedsmyndigheder, organerne med ansvar for adgang til sundhedsdata og databrugerne underretter dataindehaveren om, at der foreligger en anmodning fra en administrativ myndighed i et tredjeland om at få adgang til vedkommendes data, inden anmodningen imødekommes, undtagen i tilfælde, hvor anmodningen tjener retshåndhævelsesformål, og så længe dette er nødvendigt for at bevare retshåndhævelsesaktivitetens effektivitet.

Artikel 63

International adgang til og overførsel af personlige elektroniske sundhedsdata

I forbindelse med international adgang til og overførsel af personlige elektroniske sundhedsdata kan medlemsstaterne opretholde eller indføre yderligere betingelser, herunder begrænsninger, i overensstemmelse med og på de betingelser, der er fastsat i artikel 9, stk. 4, i forordning (EU) 2016/679.

Kapitel VI

Europæisk styring og koordinering

Artikel 64

Udvalget for det europæiske sundhedsdataområde

1.Der oprettes herved et udvalg for det europæiske sundhedsdataområde for at lette samarbejdet og udvekslingen af oplysninger mellem medlemsstaterne. Udvalget sammensættes af højtstående repræsentanter for digitale sundhedsmyndigheder og organer med ansvar for adgang til sundhedsdata i alle medlemsstaterne. Andre nationale myndigheder, herunder markedsovervågningsmyndigheder som omhandlet i artikel 28, Det Europæiske Databeskyttelsesråd og Den Europæiske Tilsynsførende for Databeskyttelse, kan indbydes til at deltage i møderne, hvis de spørgsmål, der skal behandles, er relevante for dem. Udvalget kan også indbyde eksperter og observatører til at deltage i møderne og kan samarbejde med andre eksterne eksperter, hvis det er relevant. Andre EU-institutioner, -organer, -kontorer og -agenturer, forskningsinfrastrukturer og andre lignende strukturer har en observatørrolle.

2.Afhængigt af de funktioner, der er forbundet med anvendelsen af elektroniske sundhedsdata, kan udvalget for det europæiske sundhedsdataområde arbejde i undergrupper, hvor digitale sundhedsmyndigheder eller organer med ansvar for adgang til sundhedsdata for et bestemt område skal være repræsenteret. Undergrupperne kan afholde fælles møder efter behov.

3.Undergruppernes sammensætning, organisation, funktionsmåde og samarbejde fastsættes i en forretningsorden, som Kommissionen udarbejder.

4.Interessenter og relevante tredjeparter, herunder patientrepræsentanter, indbydes til at deltage i møder i udvalget for det europæiske sundhedsdataområde og til at deltage i dets arbejde, afhængigt af de emner, der skal behandles, og hvor følsomme de er.

5.Udvalget for det europæiske sundhedsdataområde samarbejder med andre relevante organer, enheder og eksperter såsom Det Europæiske Datainnovationsråd, jf. artikel 26 i forordning [...] [forordningen om datastyring COM(2020) 767 final], kompetente organer oprettet i henhold til artikel 7 i forordning [...] [dataforordningen COM(2022) 68 final], tilsynsorganer oprettet i henhold til artikel 17 i forordning [...] [eID-forordningen], Det Europæiske Databeskyttelsesråd, jf. artikel 68 i forordning (EU) 2016/679, og cybersikkerhedsorganer.

6.Kommissionen leder udvalgets møder.

7.Udvalget bistås af et sekretariat, som varetages af Kommissionen.

8.Kommissionen vedtager ved hjælp af gennemførelsesretsakter de foranstaltninger, der er nødvendige for, at udvalget for det europæiske sundhedsdataområde kan oprettes, forvaltes og fungere. Disse gennemførelsesretsakter vedtages efter rådgivningsproceduren, jf. artikel 68, stk. 2.

Artikel 65

Udvalget for det europæiske sundhedsdataområdes opgaver

1.Udvalget for det europæiske sundhedsdataområde har følgende opgaver i forbindelse med den primære anvendelse af elektroniske sundhedsdata i overensstemmelse med kapitel II og III:

a)at bistå medlemsstaterne med at koordinere digitale sundhedsmyndigheders praksis

b)at udarbejde skriftlige bidrag og udveksle bedste praksis om spørgsmål vedrørende koordineringen af gennemførelsen på medlemsstatsniveau af denne forordning og af de delegerede retsakter og gennemførelsesretsakter, der er vedtaget i henhold hertil, navnlig for så vidt angår:

i)bestemmelserne i kapitel II og III

ii)udvikling af onlinetjenester, der letter sikker adgang, herunder sikker elektronisk identifikation, til elektroniske sundhedsdata for sundhedsprofessionelle og fysiske personer

iii)andre aspekter af den primære anvendelse af elektroniske sundhedsdata

c)at lette samarbejdet mellem digitale sundhedsmyndigheder gennem kapacitetsopbygning, etablering af strukturen for årlig aktivitetsrapportering, fagfællebedømmelse af årlige aktivitetsrapporter og udveksling af oplysninger

d)at udveksle oplysninger om risici i forbindelse med EPJ-systemer og alvorlige hændelser samt håndtering heraf

e)at lette udvekslingen af synspunkter om den primære anvendelse af elektroniske sundhedsdata med de relevante interessenter, herunder repræsentanter for patienter, sundhedsprofessionelle, forskere, lovgivere og politiske beslutningstagere i sundhedssektoren.

2.Udvalget for det europæiske sundhedsdataområde har følgende opgaver i forbindelse med den sekundære anvendelse af elektroniske sundhedsdata i overensstemmelse med kapitel IV:

a)at bistå medlemsstaterne med at koordinere praksis hos organer med ansvar for adgang til sundhedsdata i forbindelse med gennemførelsen af bestemmelserne i kapitel IV for at sikre en ensartet anvendelse af denne forordning

xi)gennemførelse af regler for adgang til elektroniske sundhedsdata

xii)tekniske specifikationer eller eksisterende standarder vedrørende kravene i kapitel IV

xiii)incitamentspolitik til fremme af datakvalitet og forbedring af interoperabiliteten

xiv)politikker vedrørende gebyrer, der opkræves af organerne med ansvar for adgang til sundhedsdata og dataindehavere

xv)fastsættelse og anvendelse af sanktioner

xvi)andre aspekter af den sekundære anvendelse af elektroniske sundhedsdata

c)at lette samarbejdet mellem organer med ansvar for adgang til sundhedsdata gennem kapacitetsopbygning, etablering af strukturen for årlig aktivitetsrapportering, fagfællebedømmelse af årlige aktivitetsrapporter og udveksling af oplysninger

d)at udveksle oplysninger om risici og databeskyttelseshændelser i forbindelse med sekundær anvendelse af elektroniske sundhedsdata samt håndtering heraf

e)at bidrage til arbejdet i Det Europæiske Datainnovationsråd, der skal oprettes i overensstemmelse med artikel 29 i forordning [...] [forordningen om datastyring COM(2020) 767 final]

f)at lette udvekslingen af synspunkter om den sekundære anvendelse af elektroniske sundhedsdata med de relevante interessenter, herunder repræsentanter for patienter, sundhedspersonale, forskere, lovgivere og politiske beslutningstagere i sundhedssektoren.

Artikel 66

Fælles kontrolgrupper for EU-infrastrukturer

1.Kommissionen opretter to grupper, der beskæftiger sig med fælles kontrol af de grænseoverskridende infrastrukturer, der er omhandlet i artikel 12 og 52. Grupperne består af repræsentanter for de nationale kontaktpunkter og andre godkendte deltagere i disse infrastrukturer.

2.Undergruppernes sammensætning, organisation, funktionsmåde og samarbejde fastsættes i en forretningsorden, som disse grupper vedtager.

3.Interessenter og relevante tredjeparter, herunder patientrepræsentanter, kan indbydes til at deltage i gruppernes møder og til at deltage i deres arbejde.

4.Grupperne vælger formænd til deres møder.

5.Grupperne bistås af et sekretariat, som varetages af Kommissionen.

6.Grupperne træffer afgørelser om udvikling og drift af grænseoverskridende infrastrukturer i henhold til kapitel II og IV, om ændring af infrastruktur, tilføjelse af yderligere infrastrukturer eller tjenester eller sikring af interoperabilitet med andre infrastrukturer, digitale systemer eller dataområder. Gruppen træffer også afgørelse om at acceptere individuelle godkendte deltagere til at tilslutte sig infrastrukturen eller til at frakoble dem.

KAPITEL VII

Delegation og udvalg

Artikel 67

Udøvelse af de delegerede beføjelser

1.Beføjelsen til at vedtage delegerede retsakter tillægges Kommissionen på de i denne artikel fastlagte betingelser.

2.Beføjelsen til at vedtage delegerede retsakter, jf. artikel 5, stk. 2, artikel 10, stk. 3, artikel 25, stk. 3, artikel 32, stk. 4, artikel 33, stk. 7, artikel 37, stk. 4, artikel 39, stk. 3, artikel 41, stk. 7, artikel 45, stk. 7, artikel 46, stk. 8, artikel 52, stk. 7, og artikel 56, stk. 4, tillægges Kommissionen for en ubegrænset periode fra datoen for ikrafttrædelsen af denne forordning.

3.Beføjelsen til at vedtage delegerede retsakter, jf. artikel 5, stk. 2, artikel 10, stk. 3, artikel 25, stk. 3, artikel 32, stk. 4, artikel 33, stk. 7, artikel 37, stk. 4, artikel 39, stk. 3, artikel 41, stk. 7, artikel 45, stk. 7, artikel 46, stk. 8, artikel 52, stk. 7, og artikel 56, stk. 4, kan til enhver tid tilbagekaldes af Europa-Parlamentet eller Rådet. En afgørelse om tilbagekaldelse bringer delegationen af de beføjelser, der er angivet i den pågældende afgørelse, til ophør. Den får virkning dagen efter offentliggørelsen af afgørelsen i Den Europæiske Unions Tidende eller på et senere tidspunkt, der angives i afgørelsen. Den berører ikke gyldigheden af delegerede retsakter, der allerede er i kraft.

4.Inden vedtagelsen af en delegeret retsakt hører Kommissionen eksperter, som er udpeget af hver enkelt medlemsstat, i overensstemmelse med principperne i den interinstitutionelle aftale om bedre lovgivning af 13. april 2016.

5.Så snart Kommissionen vedtager en delegeret retsakt, giver den samtidig Europa-Parlamentet og Rådet meddelelse herom.

6.En delegeret retsakt vedtaget i henhold til artikel 5, stk. 2, artikel 10, stk. 3, artikel 25, stk. 3, artikel 32, stk. 4, artikel 33, stk. 7, artikel 37, stk. 4, artikel 39, stk. 3, artikel 41, stk. 7, artikel 45, stk. 7, artikel 46, stk. 8, artikel 52, stk. 7, og artikel 56, stk. 4, træder kun i kraft, hvis hverken Europa-Parlamentet eller Rådet har gjort indsigelse inden for en frist på tre måneder fra meddelelsen af den pågældende retsakt til Europa-Parlamentet og Rådet, eller hvis Europa-Parlamentet og Rådet inden udløbet af denne frist begge har underrettet Kommissionen om, at de ikke agter at gøre indsigelse. Fristen forlænges med tre måneder på Europa-Parlamentets eller Rådets initiativ.

Artikel 68

Udvalgsprocedure

1.Kommissionen bistås af et udvalg. Dette udvalg er et udvalg som omhandlet i forordning (EU) nr. 182/2011.

2.Når der henvises til dette stykke, anvendes artikel 4 i forordning (EU) nr. 182/2011.

Kapitel VIII

Diverse

Artikel 69

Sanktioner

Medlemsstaterne fastsætter regler for, hvilke sanktioner der skal anvendes ved overtrædelse af denne forordning, og træffer alle nødvendige foranstaltninger til at sikre, at de iværksættes. Sanktionerne skal være effektive, forholdsmæssige og have afskrækkende virkning. Medlemsstaterne giver senest på datoen for forordningens anvendelse Kommissionen meddelelse om disse regler og foranstaltninger og meddeler uden ophold Kommissionen senere ændringer af betydning for bestemmelserne.

Artikel 70

Evaluering og revision

1.Fem år efter denne forordnings ikrafttræden foretager Kommissionen en målrettet evaluering af denne forordning, navnlig med hensyn til kapitel III, og forelægger en rapport om de vigtigste resultater heraf for Europa-Parlamentet, Rådet, Det Europæiske Økonomiske og Sociale Udvalg og Regionsudvalget, eventuelt ledsaget af et forslag til ændring heraf. Evalueringen skal omfatte en vurdering af selvcertificeringen af EPJ-systemer og tage stilling til behovet for at indføre en overensstemmelsesvurderingsprocedure, der udføres af bemyndigede organer.

2.Syv år efter denne forordnings ikrafttræden foretager Kommissionen en overordnet evaluering af denne forordning og forelægger en rapport om de vigtigste resultater heraf for Europa-Parlamentet, Rådet, Det Europæiske Økonomiske og Sociale Udvalg og Regionsudvalget, eventuelt ledsaget af et forslag til ændring heraf.

3.Medlemsstaterne forelægger Kommissionen alle de oplysninger, der er nødvendige for udarbejdelsen af denne rapport.

Artikel 71

Ændring af direktiv 2011/24/EU

Artikel 14 i direktiv 2011/24/EU udgår.

Kapitel IX

Udskudt anvendelse og afsluttende bestemmelser

Artikel 72

Ikrafttræden og anvendelsesdato

Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Den finder anvendelse fra 12 måneder efter sin ikrafttrædelse.

Artikel 3, 4, 5, 6, 7, 12, 14, 23 og 31 finder dog anvendelse som følger:

a)fra ét år efter anvendelsesdatoen for de kategorier af personlige elektroniske sundhedsdata, der er omhandlet i artikel 5, stk. 1, litra a), b) og c), og for EPJ-systemer, som producenten har til hensigt at bruge til at behandle sådanne kategorier af data

b)fra tre år efter anvendelsesdatoen for de kategorier af personlige elektroniske sundhedsdata, der er omhandlet i artikel 5, stk. 1, litra d), e) og f), og for EPJ-systemer, som producenten har til hensigt at bruge til at behandle sådanne kategorier af data

c)fra den dato, der er fastsat i delegerede retsakter i henhold til artikel 5, stk. 2, for andre kategorier af personlige elektroniske sundhedsdata.

Kapitel III finder anvendelse på EPJ-systemer, der tages i brug i Unionen i henhold til artikel 15, stk. 2, fra tre år efter ikrafttrædelsesdatoen.

Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i alle medlemsstater.

Udfærdiget i Strasbourg, den […].

På Europa-Parlamentets vegne På Rådets vegne

Formand Formand

FINANSIERINGSOVERSIGT

1.FORSLAGETS/INITIATIVETS RAMME

1.1.Forslagets/initiativets betegnelse

1.2.Berørt(e) politikområde(r)

1.3.Forslaget/initiativet vedrører:

1.4.Mål

1.4.1.Generelt/generelle mål

1.4.2.Specifikt/specifikke mål

1.4.3.Forventet/forventede resultat(er) og virkning(er)

1.4.4.Resultatindikatorer

1.5.Begrundelse for forslaget/initiativet

1.5.1.Behov, der skal opfyldes på kort eller lang sigt, herunder en detaljeret tidsplan for iværksættelsen af initiativet

1.5.2.Merværdien ved en indsats fra EU's side (f.eks. som følge af koordineringsfordele, retssikkerhed, større effekt eller komplementaritet). For så vidt angår dette punkt skal der ved "Merværdien ved en indsats fra EU's side" forstås merværdien af EU's intervention i forhold til den værdi, der ellers ville være opnået med medlemsstaternes foranstaltninger på egen hånd.

1.5.3.Erfaringer fra tidligere foranstaltninger af lignende art

1.5.4.Forenelighed med den flerårige finansielle ramme og mulige synergivirkninger med andre relevante instrumenter

1.5.5.Vurdering af de forskellige finansieringsmuligheder, der er til rådighed, herunder muligheden for omfordeling

1.6.Forslagets/initiativets varighed og finansielle virkninger

1.7.Planlagt(e) forvaltningsmetode(r)

2.FORVALTNINGSFORANSTALTNINGER

2.1.Bestemmelser om overvågning og rapportering

2.2.Forvaltnings- og kontrolsystem(er)

2.2.1.Begrundelse for den/de foreslåede forvaltningsmetode(r), finansieringsmekanisme(r), betalingsvilkår og kontrolstrategi

2.2.2.Oplysninger om de konstaterede risici og det/de interne kontrolsystem(er), der etableres for at afbøde dem

2.2.3.Vurdering af og begrundelse for kontrolforanstaltningernes omkostningseffektivitet (forholdet mellem kontrolomkostningerne og værdien af de forvaltede midler) samt vurdering af den forventede risiko for fejl (ved betaling og ved afslutning)

2.3.Foranstaltninger til forebyggelse af svig og uregelmæssigheder

3.FORSLAGETS/INITIATIVETS ANSLÅEDE FINANSIELLE VIRKNINGER

3.1.Berørt(e) udgiftsområde(r) i den flerårige finansielle ramme og udgiftspost(er) på budgettet

3.2.Forslagets anslåede finansielle virkninger for bevillingerne

3.2.1.Sammenfatning af de anslåede virkninger for aktionsbevillingerne

3.2.2.Anslåede resultater finansieret med aktionsbevillinger

3.2.3.Sammenfatning af de anslåede virkninger for administrationsbevillingerne

3.2.4.Forenelighed med indeværende flerårige finansielle ramme

3.2.5.Bidrag fra tredjemand

3.3.Anslåede virkninger for indtægterne

FINANSIERINGSOVERSIGT

1.FORSLAGETS/INITIATIVETS RAMME

1.1.Forslagets/initiativets betegnelse

Europa-Parlamentets og Rådets forordning om det europæiske sundhedsdataområde

1.2.Berørt(e) politikområde(r)

Område 1: Det indre marked, innovation og det digitale område

Område 2: Samhørighed, resiliens og værdier

1.3.Forslaget/initiativet vedrører:

◻ en ny foranstaltning

◻ en ny foranstaltning som opfølgning på et pilotprojekt/en forberedende foranstaltning 60

◻ en forlængelse af en eksisterende foranstaltning

en sammenlægning eller en omlægning af en eller flere foranstaltninger til en anden/en ny foranstaltning

1.4.Mål

1.4.1.Generelt/generelle mål

Det overordnede mål med interventionen er at fastsætte regler for det europæiske sundhedsdataområde for at sikre fysiske personers adgang til og kontrol over deres egne sundhedsdata, forbedre det indre markeds funktion med henblik på udvikling og anvendelse af innovative sundhedsprodukter og -tjenester baseret på sundhedsdata og sikre, at forskere, innovatorer, politiske beslutningstagere og lovgivere kan udnytte de tilgængelige sundhedsdata bedst muligt til deres arbejde, samtidig med at tilliden og sikkerheden bevares.

1.4.2.Specifikt/specifikke mål

Specifikt mål nr. 1

At give fysiske personer mulighed for øget digital adgang til og kontrol over deres sundhedsdata og understøtte deres frie bevægelighed

Specifikt mål nr. 2

At fastsætte specifikke krav til elektroniske patientjournalsystemer (EPJ-systemer) og forpligtelser for at sikre, at EPJ-systemer, der markedsføres og anvendes, er interoperable, sikre og respekterer fysiske personers rettigheder med hensyn til deres sundhedsdata

Specifikt mål nr. 3

At sikre en sammenhængende og effektiv ramme for sekundær anvendelse af fysiske personers sundhedsdata til forskning, innovation, politikudformning, officielle statistikker, patientsikkerhed eller lovgivningsmæssige aktiviteter.

1.4.3.Forventet/forventede resultat(er) og virkning(er)

Angiv, hvilke virkninger forslaget/initiativet forventes at få for modtagerne/målgruppen.

Specifikt mål nr. 1

Fysiske personer bør have lettere adgang til og kontrol over deres egne sundhedsdata, herunder på tværs af grænserne.

Specifikt mål nr. 2

Leverandører og fabrikanter af EPJ-systemer bør være underlagt et minimalt, men klart sæt krav til interoperabilitet og sikkerhed for sådanne systemer, der mindsker hindringerne for at levere sådanne systemer i hele det indre marked.

Specifikt mål nr. 3

Fysiske personer bør have adgang til en bred vifte af innovative sundhedsprodukter og -tjenester, der leveres og udvikles på grundlag af primær og sekundær anvendelse af sundhedsdata, samtidig med at tilliden og sikkerheden bevares.

Brugere af sundhedsdata, dvs. forskere, innovatorer, politiske beslutningstagere og lovgivere, bør have mulighed for en mere effektiv sekundær anvendelse af sundhedsdata.

1.4.4.Resultatindikatorer

Angiv indikatorerne til overvågning af fremskridt og resultater.

Specifikt mål nr. 1

a)Antal sundhedstjenesteydere af forskellige typer, der er forbundet med MyHealth@EU, beregnet a) i absolutte tal, b) som andel af alle sundhedstjenesteydere og c) som andel af fysiske personer, der kan benytte tjenesterne i MyHealth@EU

b)Mængden af elektroniske sundhedsdata for forskellige kategorier, der deles på tværs af grænserne via MyHealth@EU

c)Procentdel af fysiske personer, der har adgang til deres elektroniske patientjournaler

d)Graden af fysisk personers tilfredshed med MyHealth@EU.

Disse vil blive indsamlet ved hjælp af årlige rapporter fra digitale sundhedsmyndigheder.

Specifikt mål nr. 2

e)Antal certificerede EPJ-systemer og mærkede wellnessapplikationer, der er registreret i EU-databasen

f)Antal tilfælde af manglende overholdelse af de obligatoriske krav.

Disse vil blive indsamlet ved hjælp af årlige rapporter fra digitale sundhedsmyndigheder.

Specifikt mål nr. 3

g)Antal datasæt offentliggjort i det europæiske datakatalog

h)Antal anmodninger om dataadgang, opdelt i nationale anmodninger og anmodninger fra flere lande, der er behandlet, accepteret eller afvist af organer med ansvar for adgang til sundhedsdata.

Disse vil blive indsamlet ved hjælp af årlige rapporter fra organer med ansvar for adgang til sundhedsdata.

1.5.Begrundelse for forslaget/initiativet

1.5.1.Behov, der skal opfyldes på kort eller lang sigt, herunder en detaljeret tidsplan for iværksættelsen af initiativet

Forordningen vil finde fuld anvendelse fire år efter dens ikrafttræden, når den udskudte anvendelse er udløbet. Der bør inden da være bestemmelser om fysiske personers rettigheder (kapitel II), certificering af EPJ-systemer (kapitel III), sekundær anvendelse af sundhedsdata (kapitel IV) og forvaltning (kapitel V). Medlemsstaterne skal navnlig have udpeget eksisterende myndigheder og/eller oprettet nye myndigheder til at udføre de opgaver, der tidligere er fastsat i lovgivningen, således at udvalget for det europæiske sundhedsdataområde oprettes og kan bistå dem tidligere. Infrastrukturen til primær og sekundær anvendelse af sundhedsdata bør også være operationel tidligere for at muliggøre onboarding i alle medlemsstater, inden denne forordning finder fuld anvendelse.

Begrundelse for en indsats på EU-plan (forudgående)

Som evalueringen af artikel 14 i direktiv 2011/24/EU om grænseoverskridende sundhedsydelser viser, har de hidtidige tilgange, der består af instrumenter med lav intensitet/bløde instrumenter, såsom retningslinjer og anbefalinger til støtte for interoperabilitet, ikke givet de ønskede resultater. De nationale tilgange til løsning af problemerne har kun begrænset rækkevidde og når ikke ind til roden af problemet i hele EU. Den grænseoverskridende udveksling af sundhedsdata er i øjeblikket stadig meget begrænset, hvilket til dels skyldes den betydelige forskel i de standarder, der anvendes på sundhedsdata i de forskellige medlemsstater. I mange medlemsstater er der betydelige nationale, regionale og lokale udfordringer med hensyn til interoperabilitet og dataportabilitet, hvilket hæmmer kontinuiteten i plejen og effektive sundhedssystemer. Selv om sundhedsdata er tilgængelige i elektronisk format, følger de normalt ikke den fysiske person, når de benytter tjenester fra en anden sundhedstjenesteyder.

Forventet merværdi på EU-plan (efterfølgende)

En indsats på europæisk plan gennem denne forordning vil øge effektiviteten af de foranstaltninger, der træffes for at imødegå disse udfordringer. Fastsættelse af fælles rettigheder for fysiske personer i forbindelse med adgang til og kontrol med anvendelsen af deres sundhedsdata og fastsættelse af fælles regler og forpligtelser vedrørende interoperabilitet og sikkerhed i EPJ-systemer vil reducere omkostningerne ved udvekslingen af sundhedsdata i hele EU. Et fælles retsgrundlag for sekundær anvendelse af sundhedsdata vil også medføre effektivitetsgevinster for databrugere på sundhedsområdet. Etableringen af en fælles forvaltningsramme for primær og sekundær anvendelse af sundhedsdata vil lette koordineringen.

1.5.3.Erfaringer fra tidligere foranstaltninger af lignende art

I evalueringen af bestemmelserne i direktivet om grænseoverskridende sundhedsydelser vedrørende digital sundhed blev det konkluderet, at effektiviteten med hensyn til at øge udvekslingen af sundhedsdata på tværs af grænserne i betragtning af e-sundhedsnetværkets frivillige karakter har været temmelig begrænset. Det går langsomt med gennemførelsen af MyHealth@EU. E-sundhedsnetværket anbefalede medlemsstaterne at anvende standarder, profiler og specifikationer fra formatet for udveksling af elektroniske patientjournaler i forbindelse med indkøb for at opbygge interoperable systemer, men udbredelsen heraf været begrænset, hvilket har resulteret i et fragmenteret landskab og ulige adgang til og portabilitet af sundhedsdata. Der er derfor behov for at fastsætte specifikke regler, rettigheder og forpligtelser vedrørende fysiske personers adgang til og kontrol med deres egne sundhedsdata og vedrørende grænseoverskridende udveksling af sådanne data til primær og sekundær anvendelse med en forvaltningsstruktur, der sikrer koordinering af specifikke ansvarlige organer på EU-plan.

1.5.4.Sammenhæng med den flerårige finansielle ramme og eventuelle synergivirkninger med andre relevante instrumenter

Det europæiske sundhedsdataområde har stærke forbindelser til flere andre EU-foranstaltninger inden for sundhed og social omsorg, digitalisering, forskning, innovation og grundlæggende rettigheder.

Denne forordning fastlægger regler, rettigheder og forpligtelser for driften af det europæiske sundhedsdataområde samt udrulningen af de nødvendige infrastrukturer, certificerings-/mærkningsordninger og forvaltningsrammer. Disse foranstaltninger supplerer de horisontale bestemmelser i forordningen om datastyring, dataforordningen og databeskyttelsesforordningen.

Kommissionens opfyldelse af forpligtelserne og de dermed forbundne støtteforanstaltninger i henhold til dette forslag til retsakt vil kræve 220 mio. EUR mellem 2023 og 2027. Størstedelen af udgifterne til denne forordning (170 mio. EUR) forventes at blive finansieret over EU4Health-programmet, jf. artikel 4, litra f), i EU4Health-forordningen 61 . De planlagte aktioner bidrager også til at nå de specifikke mål i artikel 4, litra a), b) og h). Programmet for et digitalt Europa vil støtte patienternes adgang til deres sundhedsdata via MyHealth@EU med yderligere 50 mio. EUR. I begge tilfælde vil de udgifter, der er forbundet med dette forslag, blive dækket inden for de programmerede beløb for disse programmer.

Ud over de 330 mio. EUR under EU4Health-programmet og programmet for et digitalt Europa, der netop er beskrevet, vil andre foranstaltninger under programmet for et digitalt Europa, Connecting Europe-faciliteten og Horisont Europa supplere og lette gennemførelsen af det europæiske sundhedsdataområde. Desuden kan Kommissionen — efter anmodning — støtte medlemsstaterne i at nå målene i dette forslag ved at yde direkte teknisk støtte fra instrumentet for teknisk støtte. Disse programmer har bl.a. følgende formål: opbygning og styrkelse af kvalitetsdataressourcer og tilhørende udvekslingsmekanismer 62 og at udvikle, fremme og begunstige videnskabelig topkvalitet 63 , herunder inden for sundhed. Eksempler på en sådan komplementaritet omfatter horisontal støtte til udvikling og et storstilet pilotforsøg med en intelligent middleware-platform for fælles dataområder, hvor der allerede er tildelt 105 mio. EUR fra programmet for et digitalt Europa i 2021-2022, områdespecifikke investeringer til fremme af sikker grænseoverskridende adgang til kræftbilleder og genomforskning støttet af programmet for et digitalt Europa i 2021-2022 med 38 mio. EUR, og forsknings- og innovationsprojekter og koordinerings- og støtteaktioner vedrørende kvalitet og interoperabilitet af sundhedsdata støttes allerede af Horisont Europa (klynge 1) med 108 mio. EUR i 2021 og 2022 samt 59 mio. EUR fra programmet for forskningsinfrastrukturer. Horisont Europa har også i 2021 og 2022 ydet yderligere støtte til sekundær anvendelse af sundhedsdata dedikeret til covid-19 (42 mio. EUR) og kræft (3 mio. EUR).

Hvis der mangler fysisk konnektivitet i sundhedssektoren, vil Connecting Europe-faciliteten desuden bidrage til udviklingen af projekter af fælles interesse vedrørende udbredelsen af og adgang til sikre digitale net med meget høj kapacitet, herunder 5G-systemer, og til øget modstandsdygtighed og kapacitet i de digitale backbonenet på Unionens område 64 . Der er afsat 130 mio. EUR i 2022 og 2023 til sammenkobling af cloudinfrastrukturer, herunder på sundhedsområdet.

1.5.5.Vurdering af de forskellige finansieringsmuligheder, der er til rådighed, herunder muligheden for omfordeling

Kommissionens opfyldelse af forpligtelserne og de tilhørende støtteaktioner i henhold til dette forslag til retsakt vil blive finansieret direkte fra EU4Health-programmet og vil blive støttet yderligere fra programmet for et digitalt Europa.

Omfordelte aktioner under programmet for et digitalt Europa og Horisont Europa vedrørende sundhed og digital sundhed vil også kunne supplere gennemførelsesforanstaltningerne til støtte for denne forordning under EU4Health.

1.6.Forslagets/initiativets varighed og finansielle virkninger

◻ begrænset varighed

–◻ gældende fra [DD/MM]ÅÅÅÅ til [DD/MM]ÅÅÅÅ

–◻ finansielle virkninger fra ÅÅÅÅ til ÅÅÅÅ for forpligtelsesbevillinger og fra ÅÅÅÅ til ÅÅÅÅ for betalingsbevillinger

ubegrænset varighed

–Gennemførelse med en indkøringsperiode fra januar 2023

–derefter gennemførelse i fuldt omfang

1.7.Planlagt(e) forvaltningsmetode(r) 65

Direkte forvaltning ved Kommissionen

– i dens tjenestegrene, herunder ved dens personale i EU's delegationer

– i forvaltningsorganerne

◻ Delt forvaltning i samarbejde med medlemsstaterne

◻

Indirekte forvaltning ved at overlade budgetgennemførelsesopgaver til:

–◻ tredjelande eller organer, som tredjelande har udpeget

–◻ internationale organisationer og deres agenturer (angives nærmere)

–◻ Den Europæiske Investeringsbank og Den Europæiske Investeringsfond

–◻ de organer, der er omhandlet i finansforordningens artikel 70 og 71

–◻ offentligretlige organer

–◻ privatretlige organer, der har fået overdraget offentlige tjenesteydelsesopgaver, i det omfang de har fået stillet tilstrækkelige finansielle garantier

–◻ privatretlige organer, undergivet lovgivningen i en medlemsstat, som har fået overdraget gennemførelsen af et offentlig-privat partnerskab, og som har fået stillet tilstrækkelige finansielle garantier

–◻ personer, der har fået overdraget gennemførelsen af specifikke aktioner i den fælles udenrigs- og sikkerhedspolitik i henhold til afsnit V i traktaten om Den Europæiske Union, og som er anført i den relevante basisretsakt

–Hvis der angives flere forvaltningsmetoder, gives der en nærmere forklaring i afsnittet "Bemærkninger".

Bemærkninger

2.FORVALTNINGSFORANSTALTNINGER

2.1.Bestemmelser om overvågning og rapportering

Angiv hyppighed og betingelser.

Forordningen vil blive gennemgået og evalueret syv år efter forordningens ikrafttræden. En målrettet evaluering af selvcertificeringen af EPJ-systemer og overvejelser om behovet for at indføre en overensstemmelsesvurderingsprocedure udført af bemyndigede organer skal gennemføres fem år efter forordningens ikrafttræden. Kommissionen rapporterer om konklusionerne af evalueringen til Europa-Parlamentet, Rådet, Det Europæiske Økonomiske og Sociale Udvalg og Regionsudvalget.

Forslaget omfatter udvidelse og udrulning af grænseoverskridende digitale infrastrukturer til primær og sekundær anvendelse af sundhedsdata, hvilket vil lette overvågningen af flere indikatorer.

2.2.Forvaltnings- og kontrolsystem(er)

2.2.1.Begrundelse for den/de påtænkte forvaltningsmetode(r), finansieringsmekanisme(r), betalingsvilkår og kontrolstrategi

Forordningen fastlægger en ny politik for beskyttelse af elektroniske sundhedsdata, harmoniserede regler for elektroniske patientjournalsystemer og regler og forvaltning for videreanvendelse af sundhedsdata. Disse nye regler kræver en koordineringsmekanisme for anvendelse af forpligtelserne i henhold til denne forordning på tværs af grænserne, som skal tage form af en ny rådgivende gruppe til at koordinere de nationale myndigheders aktiviteter.

Foranstaltningerne i denne forordning vil blive gennemført ved direkte forvaltning ved hjælp af finansforordningens gennemførelsesmetoder, dvs. hovedsageligt tilskud og udbud. Direkte forvaltning giver mulighed for at etablere tilskudsaftaler og ‑kontrakter med støttemodtagere/kontrahenter, der er direkte involveret i aktiviteter, der tjener EU's politikker. Kommissionen sikrer direkte overvågning af resultatet af de finansierede foranstaltninger. De nærmere bestemmelser om betaling af de finansierede foranstaltninger vil blive tilpasset til de risici, der er forbundet med de finansielle transaktioner.

For at sikre virkningsfuldhed, effektivitet og økonomi i Kommissionens kontrol vil kontrolstrategien blive orienteret i retning af en balance mellem forudgående og efterfølgende kontrol og fokusere på tre vigtige faser i gennemførelsen af tilskud/kontrakter i overensstemmelse med finansforordningen:

a)udvælgelse af forslag/bud, der passer til forordningens politiske målsætninger

b)operationel kontrol, overvågning og forudgående kontrol, der dækker projektgennemførelse, offentlige udbud, forfinansiering, mellemliggende og endelige betalinger, forvaltning af garantier.

Efterfølgende kontrol af en stikprøve af transaktionerne vil også blive udført på stedet hos støttemodtagerne/kontrahenterne. Udvælgelsen af transaktioner sker på baggrund af en risikovurdering og en tilfældig udvælgelse i kombination.

2.2.2.Oplysninger om de konstaterede risici og det/de interne kontrolsystem(er), der etableres for at afbøde dem

Gennemførelsen af denne forordning fokuserer på tildeling af offentlige indkøbskontrakter og tilskud til specifikke aktiviteter og organisationer.

De offentlige indkøbskontrakter vil hovedsagelig blive indgået med henblik på levering af europæiske platforme for digitale infrastrukturer og tilhørende tjenester og teknisk bistand til forvaltningsrammen.

Der vil hovedsagelig blive ydet tilskud til støtte til medlemsstaternes tilslutning til den europæiske infrastruktur, støtte til interoperabilitetsprojekter og gennemførelse af fælles aktioner. Perioden til gennemførelse af de finansierede projekter og aktiviteter er som regel mellem et og tre år.

De væsentligste risici er følgende:

a)Risiko for ikke at kunne nå forordningens mål fuldt ud på grund af utilstrækkelig udnyttelse eller kvalitet/forsinkelser i gennemførelsen af de udvalgte projekter eller kontrakter.

b)Risiko for ineffektiv eller uøkonomisk anvendelse af tildelte midler, både med hensyn til tilskud (kompleksiteten af finansieringsreglerne) og udbud (et begrænset antal økonomiske operatører med den nødvendige ekspertise, hvilket medfører utilstrækkelige muligheder for at sammenligne pristilbud i visse sektorer).

c)Risiko for at skade Kommissionens omdømme, hvis der afsløres svig eller kriminel virksomhed; der kan kun uddrages delvis forsikring fra tredjeparternes interne kontrolsystemer som følge af det temmelig store antal heterogene kontrahenter og støttemodtagere, der hver har deres eget kontrolsystem.

Kommissionen etablerer interne procedurer med det formål at dække de ovenfor anførte risici. De interne procedurer er i fuld overensstemmelse med finansforordningen og omfatter foranstaltninger til bekæmpelse af svig og overvejelser om omkostningseffektiviteten. Inden for disse rammer fortsætter Kommissionen med at undersøge mulighederne for at forbedre forvaltningen og realisere effektivitetsgevinster. Hovedtrækkene i kontrolstrukturen er følgende:

1)Kontrol før og under gennemførelsen af projekterne:

a)Der vil blive oprettet et passende system til projektledelse, der fokuserer på projekternes og kontrakternes bidrag til de politiske mål, og som vil sikre en systematisk inddragelse af alle aktører, idet der etableres en regelmæssig rapportering af projektledelse, som suppleres af kontrolbesøg på ad hoc-basis, herunder risikorapporter til den øverste ledelse, samt sikre en passende budgetmæssig fleksibilitet.

b)Standardtilskudsaftaler og standardtjenesteydelseskontrakter anvendes og er udviklet i Kommissionen. De omfatter en række kontrolbestemmelser, f.eks. revisionsbeviser, finansielle garantier, revisioner på stedet samt OLAF-inspektioner. De regler, der gælder for støtteberettigelse, forenkles, f.eks. ved at anvende enhedsomkostninger, faste beløb, bidrag, som ikke er knyttet til omkostninger, og andre muligheder i finansforordningen. Dette vil medføre en reduktion af omkostningerne ved kontrol og sætte fokus på kontrol inden for højrisikoområder.

c)Alle medarbejdere underskriver kodeksen for god forvaltningsskik. Medarbejdere, der er inddraget i udvælgelsesproceduren eller i forvaltningen af tilskudsaftaler/kontrakter underskriver desuden en erklæring om manglende interessekonflikt. Personalet videreuddannes løbende og anvender netværk til at udveksle bedste praksis.

d)Et projekts tekniske gennemførelse kontrolleres med jævne mellemrum ved skrivebordet på grundlag af kontrahenternes og støttemodtagernes tekniske statusrapport; der forventes endvidere møder med kontrahenterne/støttemodtagerne og aflæggelse af kontrolbesøg på ad hoc-basis.

2)Kontrol ved projektets afslutning:

Der udføres efterfølgende revisioner af en stikprøve af transaktionerne for at kontrollere omkostningskravenes støtteberettigelse på stedet. Formålet med disse kontroller er at forhindre, påvise og rette væsentlige fejl, som er forbundet med de finansielle transaktioners lovlighed og formelle rigtighed. Med henblik på at opnå en høj kontrolvirkning forudses udvælgelsen af de støttemodtagere, der skal revideres, at kombinere risikobaseret udvælgelse og stikprøvekontrol og at være opmærksom på driftsmæssige aspekter, hvor det er muligt under revisionen på stedet.

De årlige omkostninger ved det foreslåede kontrolniveau udgjorde under det tredje handlingsprogram for sundhed 2014-2020 ca. 4-7 % af det årlige driftsbudget. Dette er berettiget i forhold til det store antal transaktioner, der skal kontrolleres. På sundhedsområdet indebærer den direkte forvaltning netop, at der tildeles et stort antal kontrakter og tilskud til foranstaltninger, der varierer i størrelsen lige fra meget små til meget store, og at der udbetales talrige driftstilskud til ikkestatslige organisationer. Risikoen i forbindelse med disse aktiviteter vedrører kapaciteten til effektivt at kontrollere udgifterne hos (især) mindre organisationer.

Kommissionen finder, at de gennemsnitlige kontrolomkostninger sandsynligvis vil være de samme for de foranstaltninger, der foreslås i henhold til denne forordning.

Under det tredje handlingsprogram for sundhed for 2014-2020 var fejlprocenten hen over en femårig periode på 1,8 % for kontrol på stedet af tilskud under direkte forvaltning, hvorimod fejlprocenten var på under 1 % for udbudskontrakter. Disse fejlprocenter anses for at være acceptable, da de ligger under væsentlighedstærsklen på 2 %.

De foreslåede foranstaltninger påvirker ikke den måde, som bevillingerne i øjeblikket forvaltes på. Det eksisterende kontrolsystem har vist sig at kunne forhindre og/eller afdække fejl og/eller uregelmæssigheder og i forbindelse med fejl eller uregelmæssigheder at kunne korrigere disse. Det vil blive tilpasset til at omfatte de nye foranstaltninger og til at sikre, at restfejlfrekvensen (efter korrektion) forbliver under tærsklen på 2 %.

2.3.Foranstaltninger til forebyggelse af svig og uregelmæssigheder

Angiv eksisterende eller påtænkte forebyggelses- og beskyttelsesforanstaltninger, f.eks. fra strategien til bekæmpelse af svig.

For så vidt angår aktiviteter under direkte forvaltning træffer Kommissionen egnede foranstaltninger for at sikre, at Den Europæiske Unions finansielle interesser beskyttes gennem forholdsregler mod svig, korruption og andre ulovligheder, gennem virkningsfuld kontrol og, hvis der konstateres uregelmæssigheder, gennem inddrivelse af uretmæssigt udbetalte beløb og, hvis det er relevant, gennem sanktioner, der skal være virkningsfulde, stå i forhold til overtrædelsens omfang og have en afskrækkende virkning. Med henblik herpå vedtog Kommissionen en strategi til bekæmpelse af svig, der senest blev opdateret i april 2019 (COM(2019) 196), der navnlig omfatter følgende forebyggende, opklarende og korrigerende foranstaltninger:

Kommissionen eller dens befuldmægtigede og Revisionsretten har beføjelse til gennem bilagskontrol og kontrol på stedet at kontrollere alle tilskudsmodtagere, kontrahenter og underkontrahenter, som har modtaget EU-midler. OLAF er bemyndiget til at foretage kontrol og inspektion på stedet hos økonomiske aktører, der direkte eller indirekte er berørt af sådan finansiering.

Kommissionen gennemfører også en række foranstaltninger som for eksempel:

a)beslutninger, aftaler og kontrakter som følge af forordningens gennemførelse berettiger udtrykkeligt Kommissionen, herunder OLAF, og Revisionsretten til at foretage revisioner, kontroller og inspektioner på stedet og inddrive uretmæssigt udbetalte beløb og om nødvendigt pålægge administrative sanktioner

b)under evalueringsfasen for en indkaldelse af forslag/udbud kontrolleres ansøgerne og tilbudsgiverne i forhold til de offentliggjorte udelukkelseskriterier på grundlag af erklæringer og systemet for tidlig opdagelse og udelukkelse (EDES)

c)reglerne om omkostningers støtteberettigelse vil blive forenklet i overensstemmelse med finansforordningens bestemmelser

d)alle medarbejdere, der er involveret i kontraktforvaltning, samt revisorer og inspektører, der kontrollerer modtagernes erklæringer ved kontrolbesøg, videreuddannes løbende i spørgsmål om svig og uregelmæssigheder.

3.FORSLAGETS/INITIATIVETS ANSLÅEDE FINANSIELLE VIRKNINGER

3.1.Berørt(e) udgiftsområde(r) i den flerårige finansielle ramme og udgiftspost(er) på budgettet

·Eksisterende budgetposter

I samme rækkefølge som udgiftsområderne i den flerårige finansielle ramme og budgetposterne.

Udgiftsområde i den flerårige finansielle ramme	Budgetpost	Udgiftens art	Bidrag
	Nummer	OB/IOB 66	fra EFTA-lande 67	fra kandidatlande 68	fra tredjelande	iht. finansforordningens artikel 21, stk. 2, litra b)
1	02 04 03 — Programmet for et digitalt Europa — kunstig intelligens	OB	JA	JA	JA	NEJ
2b	06 06 01 — EU4Health-programmet	OB	JA	JA	JA	NEJ
7	20 02 06 Administrationsudgifter	IOB	NEJ	NEJ	NEJ	NEJ

3.2.Forslagets anslåede finansielle virkninger for bevillingerne

3.2.1.Sammenfatning af de anslåede virkninger for aktionsbevillingerne

–◻ Forslaget/initiativet medfører ikke anvendelse af aktionsbevillinger

– Forslaget/initiativet medfører anvendelse af aktionsbevillinger som anført herunder:

i mio. EUR (tre decimaler)

Udgiftsområde i den flerårige finansielle ramme

Det indre marked, innovation og det digitale område

GD CNECT

År
2022 69

År
2023

År
2024

År
2025

År
2026

År
2027

Efterfølgende år (årligt)

I ALT 2023-2027

• Aktionsbevillinger

02 04 03 — Programmet for et digitalt Europa — kunstig intelligens

Forpligtelser

(1a)

10,000

20,000

20,000

50,000

Betalinger

(2a)

5,000

15,000

10,000

10,000

10,000 70

50,000

Administrationsbevillinger finansieret over bevillingsrammen for særprogrammer 71

Budgetpost

(3)

Bevillinger I ALT
for GD CNECT

Forpligtelser

=1a+1b+1c +3

10,000

20,000

20,000

50,000

Betalinger

=2a+2b+2c

+3

5,000

15,000

10,000

10,000

10,000

50,000

Bidragene fra programmet for et digitalt Europa fra 2023 er vejledende og vil blive taget i betragtning i forbindelse med udarbejdelsen af de respektive arbejdsprogrammer. De endelige tildelinger vil være underlagt prioriteringen af finansieringen i forbindelse med den underliggende vedtagelsesprocedure og godkendelse i det respektive programudvalg.

• Aktionsbevillinger I ALT

Forpligtelser

(4)

10,000

20,000

20,000

50,000

Betalinger

(5)

5,000

15,000

10,000

10,000

10,000

50,000

• Administrationsbevillinger finansieret over bevillingsrammen for særprogrammer I ALT

(6)

Bevillinger I ALT
under UDGIFTSOMRÅDE 1
i den flerårige finansielle ramme

Forpligtelser

=4+ 6

10,000

20,000

20,000

50,000

Betalinger

=5+ 6

5,000

15,000

10,000

10,000

10,000

50,000

Udgiftsområde i den flerårige finansielle ramme

2b

Samhørighed, resiliens og værdier

GD SANTE

År
2022 72

År
2023

År
2024

År
2025

År
2026

År
2027

Efterfølgende år (årligt)

I ALT 2023-2027

• Aktionsbevillinger

06 06 01 — EU4Health-programmet

Forpligtelser

(1a)

26,000

25,000

34,000

35,000

50,000

15,000

170,000

Betalinger

(2a)

13,000

25,500

29,500

34,500

67,500

15,000

170,000

Administrationsbevillinger finansieret over bevillingsrammen for særprogrammer 73

Budgetpost

(3)

Bevillinger I ALT
for GD SANTE

Forpligtelser

=1a+1b+1c +3

26,000

25,000

34,000

35,000

50,000

15,000

170,000

Betalinger

=2a+2b+2c

+3

13,000

25,500

29,500

34,500

67,500

15,000

170,000

• Aktionsbevillinger I ALT

Forpligtelser

(4)

26,000

25,000

34,000

35,000

50,000

15,000

170,000

Betalinger

(5)

13,000

25,500

29,500

34,500

67,500

15,000

170,000

• Administrationsbevillinger finansieret over bevillingsrammen for særprogrammer I ALT

(6)

Bevillinger I ALT
under UDGIFTSOMRÅDE 2b
i den flerårige finansielle ramme

Forpligtelser

=4+ 6

26,000

25,000

34,000

35,000

50,000

15,000

170,000

Betalinger

=5+ 6

13,000

25,500

29,500

34,500

67,500

15,000

170,000

Udgiftsområde i den flerårige finansielle ramme

Administrationsudgifter

Dette afsnit skal udfyldes ved hjælp af arket vedrørende administrative budgetoplysninger, der først skal indføres i bilaget til finansieringsoversigten (bilag V til de interne regler), som uploades til DECIDE med henblik på høring af andre tjenestegrene.

i mio. EUR (tre decimaler)

		År 2022	År 2023	År 2024	År 2025	År 2026	År 2027	Efterfølgende år (årligt)	I ALT 2023-2027
GD SANTE
• Menneskelige ressourcer			3,289	3,289	3,289	3,289	3,289	3,289	16,445
• Andre administrationsudgifter			0,150	0,150	0,250	0,250	0,250	0,250	1,050
I ALT GD SANTE	Bevillinger		3,439	3,439	3,539	3,539	3,539	3,539	17,495

Bevillinger I ALT
under UDGIFTSOMRÅDE 7
i den flerårige finansielle ramme

(Forpligtelser i alt = betalinger i alt)

3,439

3,439

3,539

3,539

3,539

3,539

17,495

i mio. EUR (tre decimaler)

		År 2022	År 2023	År 2024	År 2025	År 2026	År 2027	Efterfølgende år (årligt)	I ALT 2023-2027
Bevillinger I ALT under UDGIFTSOMRÅDE 1-7 i den flerårige finansielle ramme	Forpligtelser		29,439	38,439	57,539	38,539	73,539	18,539	237,495
	Betalinger		16,439	33,939	48,039	48,039	91,039	18,539	237,495

3.2.2.Anslåede resultater finansieret med aktionsbevillinger

Forpligtelsesbevillinger i mio. EUR (tre decimaler)

Angiv mål og resultater ⇩			År 2022		År 2023		År 2024		År 2025		År 2026		År 2027		Efterfølgende år (årligt)		I ALT 2023-2027
	RESULTATER
	Type 74	Gennemsnitlige omkostninger	Antal	Omkostninger	Antal	Omkostninger	Antal	Omkostninger	Antal	Omkostninger	Antal	Omkostninger	Antal	Omkostninger	Antal	Omkostninger	Antal resultater i alt	Omkostninger i alt
SPECIFIKT MÅL 1
Udvikling og vedligeholdelse af den europæiske centrale platform for MyHealth@EU og støtte til medlemsstaterne						16,400		18,000		28,000		10,000		38,000		8,000		110,400
Subtotal for specifikt mål nr. 1						16,400		18,000		28,000		10,000		38,000		8,000		110,400
SPECIFIKT MÅL 2
Database for EPJ-systemer og wellnessapplikationer						3,100		3,000		3,000		3,000		2,000		2,000		14,100
Subtotal for specifikt mål nr. 2						3,100		3,000		3,000		3,000		2,000		2,000		14,100
SPECIFIKT MÅL 3
Udvikling og vedligeholdelse af den europæiske centrale platform for HealthData@EU og støtte til medlemsstaterne						6,500		14,000		23,000		22,000		30,000		5,000		95,500
Subtotal for specifikt mål nr. 3						6,500		14,000		23,000		22,000		30,000		5,000		95,500
I ALT						26,000		35,000		54,000		35,000		70,000		15,000		220,000

3.2.3.Sammenfatning af de anslåede virkninger for administrationsbevillingerne

–◻ Forslaget/initiativet medfører ikke anvendelse af administrationsbevillinger

– Forslaget/initiativet medfører anvendelse af administrationsbevillinger som anført herunder:

i mio. EUR (tre decimaler)

	År 2022	År 2023	År 2024	År 2025	År 2026	År 2027 og følgende år	I ALT
UDGIFTSOMRÅDE 7 i den flerårige finansielle ramme
Menneskelige ressourcer		3,289	3,289	3,289	3,289	3,289	16,445
Andre administrationsudgifter		0,150	0,150	0,250	0,250	0,250	1,050
Subtotal UDGIFTSOMRÅDE 7 i den flerårige finansielle ramme		3,439	3,439	3,539	3,539	3,539	17,495

År
2022

År
2023

År
2024

År
2025

År
2026

År
2027 og følgende år

I ALT

Uden for UDGIFTSOMRÅDE 7 75
i den flerårige finansielle ramme

Menneskelige ressourcer

Andre
administrationsudgifter

Subtotal
uden for UDGIFTSOMRÅDE 7
i den flerårige finansielle ramme

År
2022

År
2023

År
2024

År
2025

År
2026

År
2027 og følgende år

I ALT

I ALT

3,439

3,439

3,539

3,539

3,539

17,495

Bevillingerne til menneskelige ressourcer og andre administrationsudgifter vil blive dækket ved hjælp af de bevillinger, som generaldirektoratet allerede har afsat til forvaltning af foranstaltningen, og/eller ved intern omfordeling i generaldirektoratet, eventuelt suppleret med yderligere bevillinger, som tildeles det ansvarlige generaldirektorat i forbindelse med den årlige tildelingsprocedure under hensyntagen til de budgetmæssige begrænsninger.

3.2.3.1.Anslået behov for menneskelige ressourcer

–◻ Forslaget/initiativet medfører ikke anvendelse af menneskelige ressourcer

– Forslaget/initiativet medfører anvendelse af menneskelige ressourcer som anført herunder:

Overslag angives i årsværk

		År 2022	År 2023	År 2024	År 2025	År 2026	År 2027 og efterfølgende år
• Stillinger i stillingsfortegnelsen (tjenestemænd og midlertidigt ansatte)
20 01 02 01 (i hovedsædet og i Kommissionens repræsentationskontorer)			16	16	16	16	16
20 01 02 03 (i delegationerne)
01 01 01 01 (indirekte forskning)
01 01 01 11 (direkte forskning)
Andre budgetposter (angiv nærmere)
20 02 01 (KA, UNE, V under den samlede bevillingsramme)			9	9	9	9	9
20 02 03 (KA, LA, UNE, V og JMD i delegationerne)
XX 01 xx yy zz 76	– i hovedsædet
	– i delegationerne
01 01 01 02 (KA, UNE, V – indirekte forskning)
01 01 01 12 (KA, UNE, V — direkte forskning)
Andre budgetposter (angiv nærmere)
I ALT			25	25	25	25	25

06 angiver det berørte politikområde eller budgetafsnit.

Personalebehovet vil blive dækket ved hjælp af det personale, som generaldirektoratet allerede har afsat til forvaltning af foranstaltningen, og/eller ved interne rokader i generaldirektoratet, eventuelt suppleret med yderligere bevillinger, som tildeles det ansvarlige generaldirektorat i forbindelse med den årlige tildelingsprocedure under hensyntagen til de budgetmæssige begrænsninger.

Opgavebeskrivelse:

Tjenestemænd og midlertidigt ansatte

12 AD-fuldtidsækvivalenter (10 i den politiske enhed og 2 i IT-enheden i GD SANTE) og 4 AST-fuldtidsækvivalenter (3 i den politiske enhed og 1 i IT-enheden i GD SANTE) vil skulle udføre opgaverne i forbindelse med udviklingen og driften af det europæiske sundhedsdataområde, nemlig:

a)forvaltning af den grænseoverskridende digitale infrastruktur MyHealth@EU

b)forvaltning af grænseoverskridende digital infrastruktur til sekundære anvendelser

c)standardisering af elektroniske patientjournaler og udveksling af sundhedsdata

d)datakvalitet i elektroniske patientjournaler og udveksling af sundhedsdata

e)adgang til sundhedsdata til sekundære anvendelser

f)klager, overtrædelser og overensstemmelseskontrol

g)logistisk støtte til forvaltningsrammen (fysiske møder og onlinemøder)

h)horisontale opgaver vedrørende kommunikation, interessentstyring og interinstitutionelle forbindelser

i)intern koordinering

j)forvaltning af aktiviteter.

6,5 AD-fuldtidsækvivalenter og 4 AST-fuldtidsækvivalenter vil blive dækket af personale, der i øjeblikket arbejder med digital sundhed og udveksling af sundhedsdata, i henhold til artikel 14 i direktiv 2011/24/EU og i forbindelse med forberedelserne til forordningen om det europæiske sundhedsdataområde. De resterende 5,5 AD-fuldtidsækvivalenter vil blive dækket med intern omfordeling fra GD SANTE.

Eksternt personale

Med henblik på udførelsen af ovennævnte opgaver vil AD- og AST-personale blive støttet af 5 AC og 4 END i GD SANTE.

4 AC-fuldtidsækvivalenter og 3 END-fuldtidsækvivalenter vil blive dækket af personale, der i øjeblikket arbejder med digital sundhed og udveksling af sundhedsdata, i henhold til artikel 14 i direktiv 2011/24/EU og i forbindelse med forberedelserne til forordningen om det europæiske sundhedsdataområde. De resterende 1 AC-fuldtidsækvivalent og 1 END-fuldtidsækvivalent vil blive dækket med intern omfordeling fra GD SANTE.

3.2.4.Forenelighed med indeværende flerårige finansielle ramme

Forslaget/initiativet:

– kan finansieres fuldt ud gennem omfordeling inden for det relevante udgiftsområde i den flerårige finansielle ramme (FFR)

Bevillingerne vil blive omfordelt inden for den finansieringsramme, der er afsat til EU4Health-programmet og til programmet for et digitalt Europa i FFR 2021-2027.

–◻ kræver anvendelse af den uudnyttede margen under det relevante udgiftsområde i FFR og/eller anvendelse af særlige instrumenter som fastlagt i FFR-forordningen

–◻ kræver en revision af FFR

3.2.5.Tredjemands bidrag til finansieringen

Forslaget/initiativet:

– indeholder ikke bestemmelser om samfinansiering med tredjemand

–◻ indeholder bestemmelser om samfinansiering med tredjemand, jf. følgende overslag:

Bevillinger i mio. EUR (tre decimaler)

	År N 77	År n+1	År n+2	År n+3	Indsæt så mange år som nødvendigt for at vise virkningernes varighed (jf. punkt 1.6)	I alt
Angiv det organ, der deltager i samfinansieringen
Samfinansierede bevillinger I ALT

3.3.Anslåede virkninger for indtægterne

– Forslaget/initiativet har ingen finansielle virkninger for indtægterne

–◻ Forslaget/initiativet har følgende finansielle virkninger:

–◻ for egne indtægter

–◻ for andre indtægter

–Angiv, om indtægterne er formålsbestemte ◻

i mio. EUR (tre decimaler)

Indtægtspost på budgettet	Bevillinger til rådighed i indeværende regnskabsår	Forslagets/initiativets virkninger 78
		År n	År n+1	År n+2	År n+3	Indsæt så mange år som nødvendigt for at vise virkningernes varighed (jf. punkt 1.6)
Artikel …

For indtægter, der er formålsbestemte, angives det, hvilke af budgettets udgiftsposter der berøres.

Andre bemærkninger (f.eks. om hvilken metode, der er benyttet til at beregne virkningerne for indtægterne).

(1) Europa-Kommissionen. En europæisk strategi for data (2020). https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy_da

(2) Som nævnt i mission-letter-stella-kyriakides_en.pdf (europa.eu) .

(3) Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (den generelle forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1).

(4) Europa-Kommissionen, Assessment of the EU Member States’ rules on health data in the light of the GDPR , 2021.

(5) Europa-Parlamentets og Rådets direktiv 2011/24/EU af 9. marts 2011 om patientrettigheder i forbindelse med grænseoverskridende sundhedsydelser (EUT L 88 af 4.4.2011, s. 45).

(6) Europa-Parlamentets og Rådets forordning (EU) 2021/953 af 14. juni 2021 om en ramme for udstedelse, kontrol og accept af interoperable covid-19-vaccinations-, test- og restitutionscertifikater (EU's digitale covidcertifikat) for at lette fri bevægelighed under covid-19-pandemien (EUT L 211 af 15.6.2021, s. 1).

(7) Europa-Kommissionen, European Interoperability Framework .

(8) Europa-Kommissionen, Europas digitale årti: målene for 2030 .

(9) Europa-Kommissionen, initiativ om Erklæring om digitale principper — den europæiske kurs mod den digitale omstilling .

(10) Europa-Parlamentets og Rådets forordning (EU) 2017/745 af 5. april 2017 om medicinsk udstyr, om ændring af direktiv 2001/83/EF, forordning (EF) nr. 178/2002 og forordning (EF) nr. 1223/2009 og om ophævelse af Rådets direktiv 90/385/EØF og 93/42/EØF (EUT L 117 af 5.5.2017, s. 1).

(11) Europa-Parlamentets og Rådets forordning (EU) 2017/746 af 5. april 2017 om medicinsk udstyr til in vitro-diagnostik og om ophævelse af direktiv 98/79/EF og Kommissionens afgørelse 2010/227/EU (EUT L 117 af 5.5.2017, s. 176).

(12) Forslag til forordning om harmoniserede regler for kunstig intelligens (retsakten om kunstig intelligens) ( COM(2021) 206 final ).

(13) Forslag til forordning om europæisk datastyring (forordningen om datastyring) ( COM(2020) 767 final ).

(14) Forslag til forordning om harmoniserede regler om fair adgang til og anvendelse af data (dataforordningen) ( COM(2022) 68 final ).

(15) Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen (EUT L 194 af 19.7.2016, s. 1).

(16) Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39).

(17) Myndigheden for Kriseberedskab og -indsats på Sundhedsområdet | Europa-Kommissionen (europa.eu) .

(18) En kræftplan for Europa | Europa-Kommissionen (europa.eu) .

(19) EU Mission: Cancer | Europa-Kommissionen (europa.eu) .

(20) En lægemiddelstrategi for Europa (europa.eu) .

(21) Forslag til Europa-Parlamentets og Rådets direktiv om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen og om ophævelse af direktiv (EU) 2016/1148 (COM(2020) 823 final).

(22) Forslag til Europa-Parlamentets og Rådets forordning om ændring af forordning (EU) nr. 910/2014 for så vidt angår fastlæggelse af en ramme for en europæisk digital identitet ( COM/2021/281 final ).

(23) Europa-Kommissionen, Rapport om EU's grænseregioner: Levende laboratorier for europæisk integration , 2021.

(24) Udelukkelsen af "afledte" data og begrænsningen til data, der behandles på grundlag af samtykke eller kontrakt, betyder, at store mængder sundhedsdata ikke er omfattet af databeskyttelsesforordningens ret til portabilitet.

(25) Pressehjørnet | Europa-Kommissionen (europa.eu) .

(26) Yderligere oplysninger findes i Nivel for Europa-Kommissionen, s. 20.

(27) Europa-Kommissionen (under udarbejdelse). A study on an infrastructure and data ecosystem supporting the impact assessment of the European Health Data Space, Trasys.

(28) Europa-Kommissionen, Public consultation on overcoming cross-border obstacles, 2020.

(29) Europa-Kommissionen (2020). Assessment of the EU Member States rules on health data in the light of GDPR . (Bilag findes her : https://ec.europa.eu/health/system/files/2021-02/ms_rules_health-data_annex_en_0.pdf ).

(30) eHealth, Interoperability of Health Data and Artificial Intelligence for Health and Care in the EU, Lot 1 — Interoperability of Electronic Health Records in the EU (2020) .

(31) Study on the use of real-world data (RWD) for research, clinical care, regulatory decision-making, health technology assessment, and policy-making .

(32) Market study on telemedicine .

(33) Preliminary Opinion 8/2020 on the European Health Data Space .

(34) Artikel 6, stk. 4, i Europa-Parlamentets og Rådets forordning (EU) 2021/1119 af 30. juni 2021 om fastlæggelse af rammerne for at opnå klimaneutralitet og om ændring af forordning (EF) nr. 401/2009 og (EU) 2018/1999 ("den europæiske klimalov").

(35) Bidragene fra programmet for et digitalt Europa fra 2023 er vejledende og vil blive taget i betragtning i forbindelse med udarbejdelsen af de respektive arbejdsprogrammer. De endelige tildelinger vil være underlagt prioriteringen af finansieringen i forbindelse med den underliggende vedtagelsesprocedure og godkendelse i det respektive programudvalg.

(36) Artikel 5 i Europa-Parlamentets og Rådets forordning (EU) 2021/694 af 29. april 2021 om programmet for et digitalt Europa og om ophævelse af afgørelse (EU) 2015/2240.

(37) Artikel 3, stk. 2, litra a), i Europa-Parlamentets og Rådets forordning (EU) 2021/695 af 28. april 2021 om oprettelse af Horisont Europa — rammeprogrammet for forskning og innovation og om reglerne for deltagelse og formidling og om ophævelse af forordning (EU) nr. 1290/2013 og (EU) nr. 1291/2013.

(38) Artikel 3, stk. 2, litra c), i Europa-Parlamentets og Rådets forordning (EU) 2021/1153 af 7. juli 2021 om oprettelse af Connecting Europe-faciliteten og om ophævelse af forordning (EU) nr. 1316/2013 og (EU) nr. 283/2014.

(39) EUT C […] af […], s. […].

(40) EUT C […] af […], s. […].

(41) Kommissionens gennemførelsesafgørelse (EU) 2019/1269 af 26. juli 2019 om ændring af gennemførelsesafgørelse 2014/287/EU om fastsættelse af kriterier for etablering og evaluering af europæiske netværk af referencecentre og deres medlemmer og for lettelse af udvekslingen af oplysninger og ekspertise om etablering og evaluering af sådanne netværk (EUT L 200 af 29.7.2019, s. 35).

(42) EOSC Portal (eosc-portal.eu) .

(43) Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1).

(44) Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39).

(45) Kommissionens henstilling (EU) 2019/243 af 6. februar 2019 om et europæisk format for udveksling af elektroniske patientjournaler (EUT L 39 af 11.2.2019, s. 18).

(46) Europa-Parlamentets og Rådets direktiv 2011/24/EU af 9. marts 2011 om patientrettigheder i forbindelse med grænseoverskridende sundhedsydelser (EUT L 88 af 4.4.2011, s. 45).

(47) Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 af 23. juli 2014 om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked og om ophævelse af direktiv 1999/93/EF (EUT L 257 af 28.8.2014, s. 73).

(48) Europa-Parlamentets og Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed) (EUT L 151 af 7.6.2019, s. 15).

(49) Europa-Parlamentets og Rådets forordning (EU) 2017/745 af 5. april 2017 om medicinsk udstyr, om ændring af direktiv 2001/83/EF, forordning (EF) nr. 178/2002 og forordning (EF) nr. 1223/2009 og om ophævelse af Rådets direktiv 90/385/EØF og 93/42/EØF (EUT L 117 af 5.5.2017, s. 1).

(50) Rådets forordning (EF) nr. 723/2009 af 25. juni 2009 om fællesskabsrammebestemmelser for et konsortium for en europæisk forskningsinfrastruktur (ERIC) (EUT L 206 af 8.8.2009, s. 1).

(51) Europa-Parlamentets og Rådets forordning (EU) 2018/1724 af 2. oktober 2018 om oprettelse af en fælles digital portal, der giver adgang til oplysninger, procedurer og bistands- og problemløsningstjenester, og om ændring af forordning (EU) nr. 1024/2012 (EUT L 295 af 21.11.2018, s. 1).

(52) EUT L 123 af 12.5 2016, s. 1.

(53) Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennemførelsesbeføjelser (EUT L 55 af 28.2.2011, s. 13).

(54) Europa-Kommissionen, European Interoperability Framework .

(55) Europa-Parlamentets og Rådets direktiv (EU) 2019/882 af 17. april 2019 om tilgængelighedskrav for produkter og tjenester (EØS-relevant tekst) (EUT L 151 af 7.6.2019, s. 70).

(56) Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen (EUT L 194 af 19.7.2016, s. 1).

(57) Europa-Parlamentets og Rådets direktiv (EU) 2015/1535 af 9. september 2015 om en informationsprocedure med hensyn til tekniske forskrifter samt forskrifter for informationssamfundets tjenester (EUT L 241 af 17.9.2015, s. 1).

(58) Europa-Parlamentets og Rådets forordning (EF) nr. 765/2008 af 9. juli 2008 om kravene til akkreditering og markedsovervågning i forbindelse med markedsføring af produkter og om ophævelse af Rådets forordning (EØF) nr. 339/93 (EUT L 218 af 13.8.2008, s. 30).

(59) Kommissionens henstilling 2003/361/EF af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder (EUT L 124 af 20.5.2003, s. 36).

(60) Jf. finansforordningens artikel 58, stk. 2, litra a) hhv. b).

(61) Europa-Parlamentets og Rådets forordning (EU) 2021/522 af 24. marts 2021 om oprettelse af et EU-handlingsprogram for sundhed ("EU4Health-programmet") for perioden 2021-2027 og om ophævelse af forordning (EU) nr. 282/2014.

(62) Artikel 5 i Europa-Parlamentets og Rådets forordning (EU) 2021/694 af 29. april 2021 om programmet for et digitalt Europa og om ophævelse af afgørelse (EU) 2015/2240.

(63) Artikel 3, stk. 2, litra a), i Europa-Parlamentets og Rådets forordning (EU) 2021/695 af 28. april 2021 om oprettelse af Horisont Europa — rammeprogrammet for forskning og innovation og om reglerne for deltagelse og formidling og om ophævelse af forordning (EU) nr. 1290/2013 og (EU) nr. 1291/2013.

(64) Artikel 3, stk. 2, litra c), i Europa-Parlamentets og Rådets forordning (EU) 2021/1153 af 7. juli 2021 om oprettelse af Connecting Europe-faciliteten og om ophævelse af forordning (EU) nr. 1316/2013 og (EU) nr. 283/2014.

(65) Forklaringer vedrørende forvaltningsmetoder og henvisninger til finansforordningen findes på webstedet BudgWeb: https://myintracomm.ec.europa.eu/budgweb/EN/man/budgmanag/Pages/budgmanag.aspx .

(66) OB = opdelte bevillinger/IOB = ikke-opdelte bevillinger.

(67) EFTA: Den Europæiske Frihandelssammenslutning.

(68) Kandidatlande og, hvis det er relevant, potentielle kandidater på Vestbalkan.

(69) År n er det år, hvor gennemførelsen af forslaget/initiativet påbegyndes. Erstat "n" med det forventede første gennemførelsesår (f.eks.: 2021). Dette gælder også for de efterfølgende år.

(70) Dette beløb stammer fra forpligtelsen i 2027 og er ikke en tilbagevendende betaling. Det indgår i beregningen af det samlede beløb for 2023-2027.

(71) Teknisk og/eller administrativ bistand og udgifter til støtte for gennemførelsen af EU's programmer og/eller foranstaltninger (tidligere BA-poster), indirekte forskning, direkte forskning.

(72) År n er det år, hvor gennemførelsen af forslaget/initiativet påbegyndes. Erstat "n" med det forventede første gennemførelsesår (f.eks.: 2021). Dette gælder også for de efterfølgende år.

(73) Teknisk og/eller administrativ bistand og udgifter til støtte for gennemførelsen af EU's programmer og/eller foranstaltninger (tidligere BA-poster), indirekte forskning, direkte forskning.

(74) Resultater er de produkter og tjenesteydelser, der skal leveres (f.eks.: antal finansierede studenterudvekslinger, antal km bygget vej osv.).

(75) Teknisk og/eller administrativ bistand og udgifter til støtte for gennemførelsen af EU's programmer og/eller foranstaltninger (tidligere BA-poster), indirekte forskning, direkte forskning.

(76) Delloft for eksternt personale under aktionsbevillingerne (tidligere BA-poster).

(77) År n er det år, hvor gennemførelsen af forslaget/initiativet påbegyndes. Erstat "n" med det forventede første gennemførelsesår (f.eks.: 2021). Dette gælder også for de efterfølgende år.

(78) Med hensyn til EU's traditionelle egne indtægter (told og sukkerafgifter) opgives beløbene netto, dvs. bruttobeløb, hvorfra der er trukket opkrævningsomkostninger på 20 %.

Kategori af elektroniske sundhedsdata	Vigtigste karakteristika for elektroniske sundhedsdata, der er omfattet af kategorien
1.Patientresumé	Elektroniske sundhedsdata, der omfatter vigtige kliniske kendsgerninger vedrørende en identificeret person, og som er afgørende for leveringen af sikre og effektive sundhedsydelser til den pågældende person. Følgende oplysninger indgår i et patientresumé: 1.Oplysninger om personen 2.Kontaktoplysninger 3.Oplysninger om forsikring 4.Allergi 5.Medicinske indberetninger 6.Oplysninger om vaccination/profylakse, eventuelt i form af et vaccinationskort 7.Aktuelle, løste, lukkede eller inaktive problemer 8.Tekstoplysninger om sygehistorie 9.Medicinsk udstyr og implantater 10.Procedurer 11.Funktionstilstand 12.Nuværende og relevante tidligere lægemidler 13.Observationer af den sociale historie i forbindelse med sundhed 14.Graviditetshistorie 15.Data afgivet af patienten 16.Observationsresultater vedrørende sundhedstilstanden 17.Plan for pleje 18.Oplysninger om sjælden sygdom, f.eks. oplysninger om sygdommens indvirkning eller karakteristika
2.Elektronisk recept	Elektroniske sundhedsdata, der udgør en recept på et lægemiddel som defineret i artikel 3, litra k), i direktiv 2011/24/EU.
3.Elektronisk udlevering	Oplysninger om udlevering af et lægemiddel til en fysisk person fra et apotek på grundlag af en elektronisk recept.
4.Medicinsk billede og billedbeskrivelse	Elektroniske sundhedsdata vedrørende brugen af eller frembragt ved teknologier, der anvendes til at se det menneskelige legeme med henblik på at forebygge, diagnosticere, overvåge eller behandle medicinske tilstande.
5.Laboratorieresultat	Elektroniske sundhedsdata, der repræsenterer resultater af undersøgelser, der navnlig er gennemført gennem in vitro-diagnostik såsom klinisk biokemi, hæmatologi, transfusionsmedicin, mikrobiologi, immunologi m.m., og herunder, hvor det er relevant, rapporter til støtte for fortolkningen af resultaterne.
6.Udskrivningsrapport	Elektroniske sundhedsdata i forbindelse med et møde med sundhedsvæsenet eller et plejeforløb, herunder væsentlige oplysninger om en fysisk persons indlæggelse, behandling og udskrivelse.

GD CNECT			År 2022 69	År 2023	År 2024	År 2025	År 2026	År 2027	Efterfølgende år (årligt)	I ALT 2023-2027
• Aktionsbevillinger
02 04 03 — Programmet for et digitalt Europa — kunstig intelligens	Forpligtelser	(1a)			10,000	20,000		20,000		50,000
	Betalinger	(2a)			5,000	15,000	10,000	10,000	10,000 70	50,000
Administrationsbevillinger finansieret over bevillingsrammen for særprogrammer 71
Budgetpost		(3)
Bevillinger I ALT for GD CNECT	Forpligtelser	=1a+1b+1c +3			10,000	20,000		20,000		50,000
	Betalinger	=2a+2b+2c +3			5,000	15,000	10,000	10,000	10,000	50,000
Bidragene fra programmet for et digitalt Europa fra 2023 er vejledende og vil blive taget i betragtning i forbindelse med udarbejdelsen af de respektive arbejdsprogrammer. De endelige tildelinger vil være underlagt prioriteringen af finansieringen i forbindelse med den underliggende vedtagelsesprocedure og godkendelse i det respektive programudvalg.

• Aktionsbevillinger I ALT	Forpligtelser	(4)	10,000	20,000		20,000		50,000
	Betalinger	(5)	5,000	15,000	10,000	10,000	10,000	50,000
• Administrationsbevillinger finansieret over bevillingsrammen for særprogrammer I ALT		(6)
Bevillinger I ALT under UDGIFTSOMRÅDE 1 i den flerårige finansielle ramme	Forpligtelser	=4+ 6	10,000	20,000		20,000		50,000
	Betalinger	=5+ 6	5,000	15,000	10,000	10,000	10,000	50,000

GD SANTE			År 2022 72	År 2023	År 2024	År 2025	År 2026	År 2027	Efterfølgende år (årligt)	I ALT 2023-2027
• Aktionsbevillinger
06 06 01 — EU4Health-programmet	Forpligtelser	(1a)		26,000	25,000	34,000	35,000	50,000	15,000	170,000
	Betalinger	(2a)		13,000	25,500	29,500	34,500	67,500	15,000	170,000
Administrationsbevillinger finansieret over bevillingsrammen for særprogrammer 73
Budgetpost		(3)
Bevillinger I ALT for GD SANTE	Forpligtelser	=1a+1b+1c +3		26,000	25,000	34,000	35,000	50,000	15,000	170,000
	Betalinger	=2a+2b+2c +3		13,000	25,500	29,500	34,500	67,500	15,000	170,000