14.4.2020   

DA

Den Europæiske Unions Tidende

L 114/7


KOMMISSIONENS HENSTILLING (EU) 2020/518

af 8. april 2020

om en fælles EU-værktøjskasse med henblik på at udnytte teknik og data til at bekæmpe og overvinde covid-19-krisen, navnlig hvad angår mobilapplikationer og anvendelse af anonymiserede mobilitetsdata

EUROPA-KOMMISSIONEN HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 292, og

ud fra følgende betragtninger:

(1)

Folkesundhedskrisen, der forårsages af den aktuelle covid-19-pandemi (i det følgende »covid-19-krisen«), gør det bydende nødvendigt for Unionen og medlemsstaterne at imødegå en hidtil uset udfordring for vores sundhedssystemer, livsstil, økonomiske stabilitet og grundværdier. Ingen medlemsstat vil få succes med at bekæmpe covid-19-krisen på egen hånd. En ekstraordinær krise af en sådan størrelsesorden kræver en beslutsom indsats fra alle medlemsstater, EU-institutioner og -organer, der arbejder sammen i en ægte solidaritetsånd.

(2)

Digitale teknikker og data spiller en værdifuld rolle i bekæmpelsen af covid-19-krisen, da mange mennesker i Europa benytter internettet via mobile enheder. Disse teknikker og data kan udgøre et vigtigt redskab til at informere offentligheden og hjælpe relevante offentlige myndigheder i deres bestræbelser på at begrænse spredningen af virus eller sætte sundhedsorganisationer i stand til at udveksle sundhedsoplysninger. En fragmenteret og ukoordineret tilgang risikerer imidlertid at hæmme effektiviteten af de foranstaltninger, hvormed covid-19-krisen bekæmpes, samtidig med at den også er til alvorlig skade for det indre marked og for de grundlæggende rettigheder og friheder.

(3)

Det er derfor nødvendigt at udvikle en fælles tilgang til brugen af digitale teknikker og data som reaktion på den nuværende krise. Denne tilgang bør på effektiv vis støtte de kompetente nationale myndigheder, navnlig sundhedsmyndigheder og politiske beslutningstagere, ved at give dem tilstrækkelige og nøjagtige data som grundlag for at forstå covid-19-virussets udvikling og spredning samt dets virkninger. Tilsvarende kan disse teknologier sætte borgerne i stand til at træffe effektive og mere målrettede foranstaltninger med hensyn til social distancering. Samtidig tilsigter den foreslåede tilgang at opretholde det indre markeds integritet og beskytte grundlæggende rettigheder og friheder, navnlig retten til privatlivets fred og beskyttelse af personoplysninger.

(4)

Mobilapplikationer kan bistå sundhedsmyndighederne på nationalt niveau og EU-niveau med at overvåge og inddæmme den aktuelle covid-19-pandemi. De kan vejlede borgerne og lette tilrettelæggelsen af den lægelige opfølgning af patienter. Advarsels- og sporingsapplikationer kan spille en vigtig rolle ved kontaktopsporing, begrænsning af sygdommens spredning og afbrydelse af smittekæderne. Kombineret med passende teststrategier og kontaktopsporing kan applikationerne derfor være særligt relevante til at tilvejebringe oplysninger om virussets udbredelse, vurdere effektiviteten af at holde fysisk afstand henholdsvis isolationsforanstaltninger og skabe et beslutningsgrundlag for exitstrategier.

(5)

I Europa-Parlamentets og Rådets afgørelse nr. 1082/2013/EU (1) fastsættes særlige bestemmelser om epidemiologisk overvågning, monitorering, tidlig varsling og bekæmpelse af alvorlige grænseoverskridende sundhedstrusler. Ifølge afgørelsens artikel 2, stk. 5, pålægges Kommissionen i samarbejde med medlemsstaterne at sikre koordinering og udveksling af oplysninger mellem de mekanismer og strukturer, der etableres i henhold til afgørelsen, og tilsvarende mekanismer og strukturer etableret på EU-plan eller i henhold til Euratom-traktaten, hvis aktiviteter er relevante for beredskabs- og indsatsplanlægning, monitorering, tidlig varsling og bekæmpelse af alvorlige grænseoverskridende sundhedstrusler. Udvalget for Sundhedssikkerhed, nedsat ved ovennævnte afgørelses artikel 17, danner forum for koordinering af indsatsen i forbindelse med alvorlige grænseoverskridende sundhedstrusler. Samtidig etableres der ved afgørelsens artikel 6, stk. 1, et netværk for epidemiologisk overvågning af overførbare sygdomme, der drives og koordineres af Det Europæiske Center for Forebyggelse af og Kontrol med Sygdomme (ECDC).

(6)

Ifølge Europa-Parlamentets og Rådets direktiv 2011/24/EU (2) om patientrettigheder i forbindelse med grænseoverskridende sundhedsydelser pålægges e-sundhedsnetværket at arbejde på at nå frem til holdbare økonomiske og sociale fordele i forbindelse med europæiske e-sundhedssystemer og e-sundhedstjenester samt interoperable applikationer med henblik på at opnå en høj grad af tillid og sikkerhed, styrke kontinuiteten i behandlingen og sikre adgang til sikre sundhedsydelser af høj kvalitet.

(7)

I Europa-Parlamentets og Rådets forordning (EU) 2016/679 (3) om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger fastsættes betingelserne for behandling af personoplysninger, herunder helbredsoplysninger. Sådanne oplysninger kan bl.a. behandles, når en registreret giver sit udtrykkelige samtykke, eller når behandling er i samfundets interesse som fastsat i national ret eller EU-retten, navnlig med henblik på overvågning og varsling, forebyggelse af eller kontrol med smitsomme sygdomme og andre alvorlige sundhedsrisici.

(8)

Flere medlemsstater har indført særlovgivning, der giver dem mulighed for at behandle sundhedsoplysninger baseret på samfundets interesse (artikel 6, stk. 1, litra c) eller e), og artikel 9, stk. 2, litra i), i forordning (EU) 2016/679). Under alle omstændigheder bør der tages klart og specifikt stilling til formålet med, og de midler der benyttes til, behandlingen af oplysningerne, hvilke oplysninger der skal behandles, og hvem der skal behandle dem.

(9)

Kommissionen kan høre Den Europæiske Tilsynsførende for Databeskyttelse og Det Europæiske Databeskyttelsesråd i overensstemmelse med artikel 42 i Europa-Parlamentets og Rådets forordning (EU) 2018/1725 (4) og artikel 70 i forordning (EU) 2016/679.

(10)

Ved Europa-Parlamentets og Rådets direktiv 2002/58/EF (5) fastsættes regler for trafikdata og lokaliseringsdata samt for lagring af oplysninger og opnåelse af adgang til oplysninger, der er lagret i en abonnents eller brugers terminaludstyr, f.eks. en mobil enhed. I henhold til direktivets artikel 5, stk. 3, er en sådan lagring eller opnåelse af adgang kun tilladt under snævert afgrænsede omstændigheder, eller hvis brugeren eller abonnenten giver sit samtykke efter at have modtaget klare og fyldestgørende oplysninger i overensstemmelse med kravene i forordning (EU) 2016/679. Desuden giver direktivets artikel 15, stk. 1, medlemsstaterne mulighed for at vedtage retsforskrifter med henblik på at indskrænke rækkevidden af visse rettigheder og forpligtelser, der er fastsat i direktivet, herunder dem, der er fastsat i artikel 5, hvis en sådan indskrænkning er en nødvendig, passende og forholdsmæssig foranstaltning i et demokratisk samfund med henblik på at nå bestemte mål.

(11)

Europa-Kommissionen bebudede i sin meddelelse »En europæisk strategi for data« (6), at EU vil skabe et indre marked, hvor data kan strømme inden for EU og på tværs af sektorer, til gavn for alle, hvor europæiske regler, navnlig retten til privatlivets fred og databeskyttelse samt konkurrenceretten, respekteres fuldt ud, og hvor reglerne for adgang til og anvendelse af data er fair, praktiske og tydelige. Kommissionen erklærede navnlig, at den ville overveje behovet for lovgivningsmæssige tiltag til fremme af datadelingen i offentlighedens interesse mellem virksomheder og det offentlige.

(12)

Siden covid-19-krisens begyndelse er der udviklet en række forskellige mobilapplikationer, nogle af dem af offentlige myndigheder, og medlemsstaterne og den private sektor har opfordret til, at der koordineres på EU-niveau, bl.a. for at tage højde for betænkeligheder vedrørende cybersikkerhed, sikkerhed og hensynet til privatlivets fred. Disse applikationer tjener almindeligvis tre generelle funktioner: i) de oplyser og vejleder borgerne og letter tilrettelæggelsen af en lægelig opfølgning for personer med symptomer — ofte kombineret med et spørgeskema til selvdiagnosticering, ii) de advarer personer, der har været i nærheden af en smittet person, for at afbryde smittekæder og forhindre en tilbagevenden af infektioner, når samfundet åbnes på ny, og iii) de overvåger og håndhæver karantæne for smittede personer, eventuelt kombineret med en vurdering af disses helbredstilstand i karantæneperioden. Visse applikationer er tilgængelige for offentligheden, mens andre alene er tilgængelige for lukkede brugergrupper, der har til formål at spore kontaktpersoner på arbejdspladsen. Der er ikke foretaget en generel evaluering af disse applikationers effektivitet. Applikationer målrettet oplysning og symptomverifikation kan være nyttige til at øge borgernes bevågenhed. Ifølge fagfolks skøn tyder det imidlertid på, at applikationer, som har til formål at informere og advare brugerne, tilsyneladende er den mest lovende måde at forhindre virusspredningen på, idet deres mere begrænsede indvirkning på privatlivets fred tages i betragtning, og flere medlemsstater er i øjeblikket ved at undersøge, hvordan de kan tages i anvendelse.

(13)

Nogle af disse mobilapplikationer kan betragtes som medicinsk udstyr, hvis de af fabrikanten er bestemt til anvendelse til bl.a. diagnosticering, forebyggelse, overvågning, forudsigelse, prognose, behandling eller lindring af sygdomme og derfor hører under anvendelsesområdet for Europa-Parlamentets og Rådets forordning (EU) 2017/745 (7) eller Rådets direktiv 93/42/EØF (8). Applikationer med henblik på egendiagnose og symptomverifikation, i det omfang de leverer oplysninger om diagnosticering, forebyggelse, overvågning, forudsigelse eller prognose, bør vurderes mht. deres potentielle karakter af medicinsk udstyr i henhold til den lovgivningsmæssige ramme for medicinsk udstyr (direktiv 93/42/EØF eller forordning (EU) 2017/745).

(14)

Disse mobilapplikationers effektivitet afhænger af en række faktorer. Sådanne faktorer omfatter udbredelsen blandt brugerne, dvs. den procentdel af befolkningen, der anvender en mobil enhed, og hvilken procentdel af disse, der har downloadet applikationen og har givet sit samtykke til behandlingen af personoplysninger, der vedrører dem, og ikke har trukket deres samtykke tilbage. Andre vigtige faktorer er offentlighedens tillid til, at oplysningerne vil blive beskyttet med egnede sikkerhedsforanstaltninger, at de udelukkende anvendes til at advare enkeltpersoner, der har været udsat for virusset, folkesundhedsmyndighedernes opbakning, sundhedsmyndighedernes evne til at træffe forholdsregler på grundlag af de data, som applikationen genererer, integration og dataudveksling med andre systemer og applikationer samt grænseoverskridende og tværregional interoperabilitet med andre systemer.

(15)

Advarsels- og sporingsapplikationer er nyttige for medlemsstaterne med henblik på kontaktopsporing og kan spille en vigtig rolle for inddæmningsbestræbelser i forbindelse med exitscenarier. De kan også udgøre et værdifuldt redskab, der kan hjælpe borgerne med at opretholde en effektiv og mere målrettet social distancering. Deres virkning kan forstærkes med en strategi, der understøtter en mere omfattende test. Kontaktopsporing indebærer, at de offentlige sundhedsmyndigheder hurtigt identificerer alle, der har været i berøring med en bekræftet covid-19-patient, beder dem isolere sig og hurtigt tester og isolerer dem, hvis de udvikler symptomer. Dertil kommer, at anonymiserede og aggregerede data, der udledes af sådanne applikationer, kombineret med oplysninger om sygdommes incidens kan udnyttes til at vurdere effektiviteten af foranstaltninger med henblik på at opretholde afstand mellem samfund og enkeltpersoner. Disse applikationer er indlysende nyttige for medlemsstaterne, og samtidig tilfører de også en potentiel merværdi til ECDC's arbejde.

(16)

Applikationer til egendiagnosticering og symptomverifikation kan tilvejebringe relevante oplysninger om antallet af tilfælde med covid-19-kompatible symptomer efter alder og uge fra velafgrænsede områder, hvor applikationen har en høj dækningsgrad. Er resultaterne vellykkede, kan de nationale sundhedsmyndigheder beslutte at anvende data fra applikationer til covid-19-syndromovervågning i den primære sundhedspleje. Disse data kan forelægges ECDC ugentligt i aggregeret form (f.eks. antal tilfælde af influenzalignende sygdom (ILI) eller akut luftvejsinfektion (ARI) pr. uge, efter aldersgruppe, ud af den samlede befolkning, der er dækket af sentinellægerne). Dette vil give de nationale myndigheder og ECDC mulighed for at anslå den positive prognoseværdi af luftvejssymptomer i et givet samfund og dermed tilvejebringe oplysninger om omfanget af vira i omløb ud fra data hentet fra applikationen.

(17)

Brugen af smartphoneapplikationer kan i betragtning af deres funktioner som beskrevet ovenfor påvirke udøvelsen af visse grundlæggende rettigheder, bl.a. retten til respekt for privatlivets fred og familieliv. Ethvert indgreb i disse rettigheder bør følge lovgivningen, og derfor bør medlemsstaternes love, som fastsætter eller tillader begrænsninger i udøvelsen af visse grundlæggende rettigheder, være i overensstemmelse med EU-rettens generelle principper, jf. artikel 6 i traktaten om Den Europæiske Union, deres forfatningsmæssige traditioner og forpligtelser i henhold til folkeretten.

(18)

Med henblik på godkendelse af forskellige applikationstyper (og underliggende smittekæderelaterede informationssystemer) og for at sikre, at de opfylder de erklærede formål med epidemiologisk overvågning, skal de ansvarlige nationale sundhedsmyndigheder samordne og gennemføre de underliggende politikker, krav og kontroller på en koordineret måde. Af erfaringerne i flere medlemsstater, som er begyndt på at indføre kontaktopsporingsapplikationer, fremgår det, at for at øge accepten kan en integreret styring med fordel benyttes til at forberede og gennemføre foranstaltningerne, hvor man ikke alene inddrager sundhedsmyndighederne, men også andre myndigheder (herunder databeskyttelsesmyndigheder) samt den private sektor, eksperter, akademikere og interessenter såsom patientgrupper. En bredt anlagt kommunikationskampagne om applikationen er også afgørende for dens udbredelse og succes.

(19)

Interoperabilitet mellem applikationer bør overvejes for at afsløre, at brugere af forskellige kontaktopsporingsapplikationer har været i nærheden af hinanden (dette scenario vil med størst sandsynlighed forekomme blandt personer, som bevæger sig på tværs af nationale/regionale grænser). Nationale sundhedsmyndigheder, der overvåger infektionssmittekæder, bør kunne udveksle interoperable oplysninger om brugere, der er blevet testet positive, med andre medlemsstater eller regioner, så der kan tages højde for smittekæder på tværs af landegrænser.

(20)

Visse virksomheder, herunder telekommunikationsudbydere og større teknologiplatforme, har offentliggjort eller givet offentlige myndigheder adgang til anonymiserede og aggregerede lokaliseringsdata. Forskningen har brug for sådanne data for at bekæmpe virusset og skabe modeller for at forstå, dels hvordan virusset vil spredes, og dels hvordan krisen påvirker økonomien. Dataene vil nærmere bestemt bidrage til forståelsen og modelleringen af epidemiens geografiske dynamik og til at vurdere virkningerne for mobiliteten af foranstaltninger af social distancering (rejserestriktioner, aflysning af ikkevæsentlige aktiviteter, fuldstændig nedlukning osv.). Dette har afgørende betydning først og fremmet for at inddæmme virussets virkninger og vurdere behovene, navnlig hvad angår personlige værnemidler og intensivafdelinger og for det andet til støtte for exitstrategien i kraft af datamodeller, som angiver de potentielle virkninger af at slække på foranstaltninger med hensyn til social distancering.

(21)

Den nuværende krise har vist, at de offentlige sundhedsmyndigheder og forskningsinstitutioner ville have gavn af yderligere adgang til vigtige oplysninger for at analysere virussets evolution og for at vurdere effektiviteten af de offentlige sundhedsforanstaltninger.

(22)

Visse medlemsstater har truffet foranstaltninger til at forenkle adgangen til nødvendige data. Imidlertid bliver EU's fælles indsats for at bekæmpe virusset begrænset af den aktuelle fragmentering af tilgange.

(23)

Der er også opstået et behov for en fælles EU-tilgang til covid-19-krisen, eftersom foranstaltninger truffet i visse lande, som f.eks. sporing af enkeltpersoner på grundlag af geografisk placering, brug af teknologi til at anslå enkeltpersoners sundhedsrisiko og centralisering af følsomme oplysninger, giver anledning til spørgsmål vedrørende adskillige grundlæggende rettigheder og friheder, som er garanteret i EU's retsorden, herunder retten til privatlivets fred og retten til beskyttelse af personoplysninger. Under alle omstændigheder skal begrænsninger af muligheden for at udøve de grundlæggende rettigheder og de friheder, der er fastsat i EU's charter om grundlæggende rettigheder, være berettigede og forholdsmæssige. Enhver sådan begrænsning bør være midlertidig, idet den skal være begrænset til det strengt nødvendige for at bekæmpe krisen, og den skal ophøre med at eksistere uden en passende begrundelse, når krisen er overstået.

(24)

Derudover har Verdenssundhedsorganisationen (WHO) og andre organer advaret om, at applikationer og unøjagtige data kan medføre stigmatisering af personer med visse kendetegn, fordi de opfattes som havende forbindelse til sygdommen.

(25)

I overensstemmelse med princippet om dataminimering bør offentlige sundhedsmyndigheder og forskningsinstitutioner kun behandle personoplysninger, når det er nødvendigt og relevant, behandlingen skal begrænses til, hvad der er nødvendigt, og der bør anvendes passende sikkerhedsforanstaltninger såsom pseudonymisering, aggregering, kryptering og decentralisering.

(26)

Effektive cybersikkerheds- og datasikkerhedsforanstaltninger er en væsentlig forudsætning for at kunne beskytte tilgængeligheden, autenticiteten, integriteten og fortroligheden af data.

(27)

Høring af databeskyttelsesmyndighederne i overensstemmelse med kravene i EU-retten om beskyttelse af personoplysninger er en væsentlig forudsætning for at sikre, at personoplysninger behandles lovligt, og at de berørte enkeltpersoners rettigheder respekteres.

(28)

Ved artikel 14 i direktiv 2011/24/EU fik Unionen til opgave at støtte og lette samarbejdet og udvekslingen af oplysninger mellem medlemsstater, der arbejder inden for et frivilligt netværk mellem de nationale myndigheder, der er ansvarlige for e-sundhed, og som er udpeget af medlemsstaterne (»e-sundhedsnetværket«). Netværkets formål er at arbejde på at nå frem til holdbare økonomiske og sociale fordele i forbindelse med europæiske e-sundhedssystemer og e-sundhedstjenester samt interoperable applikationer med henblik på at opnå en høj grad af tillid og sikkerhed, styrke kontinuiteten i behandlingen og sikre adgang til sikre sundhedsydelser af høj kvalitet. I Kommissionens gennemførelsesafgørelse (EU) 2019/1765 (9) fastsættes reglerne for etablering, forvaltning og gennemsigtig drift af e-sundhedsnetværket. Grundet dets sammensætning og ekspertiseområde bør e-sundhedsnetværket være det primære forum for drøftelser af de offentlige sundhedsmyndigheders og forskningsinstitutioners databehov, samtidig med at repræsentanter fra nationale myndigheder med ansvar for tilsyn for elektronisk kommunikation, ministerier med ansvar for digitale spørgsmål og databeskyttelsesmyndigheder inddrages.

(29)

E-sundhedsnetværket og Kommissionen bør også arbejde tæt sammen med andre organer og netværk, der kan give det nødvendige input til at sikre effektiviteten af denne henstilling, herunder Udvalget for Sundhedssikkerhed, netværket for epidemiologisk overvågning af overførbare sygdomme, ECDC, Det Europæiske Databeskyttelsesråd, Sammenslutningen af Europæiske Tilsynsmyndigheder inden for Elektronisk Kommunikation og samarbejdsgruppen for net- og informationssystemer.

(30)

Gennemsigtighed og klar og regelmæssig kommunikation, samt muligheden for at indhente input fra de personer og samfund, der er hårdest ramt, vil være af afgørende betydning for at sikre offentlighedens tillid i forbindelse med bekæmpelsen af covid-19-krisen.

(31)

Eftersom covid-19-situationen udvikler sig så hurtigt i flere medlemsstater, er det centralt, at medlemsstaterne aflægger rapport, og at Kommissionen reviderer den tilgang, der fremgår af denne henstilling, hurtigt og regelmæssigt så længe krisen varer.

(32)

Denne henstilling bør om nødvendigt suppleres af yderligere vejledning fra Kommissionens side, herunder om følgerne for databeskyttelse og beskyttelse af privatlivets fred ved anvendelse af mobilapplikationer til varsling og forebyggelse —

VEDTAGET DENNE HENSTILLING:

FORMÅLET MED DENNE HENSTILLING

1)

Ved denne henstilling etableres en proces til udvikling af en fælles tilgang, kaldet en værktøjskasse, til at bruge digitale midler til at afhjælpe krisen. Værktøjskassen vil bestå af praktiske foranstaltninger til at gøre effektiv brug af teknologier og data med fokus på især to områder:

1)

en paneuropæisk tilgang til anvendelse af mobilapplikationer, koordineret på unionsniveau, som skal gøre borgerne i stand til at træffe effektive og mere målrettede foranstaltninger til at distancere sig socialt, og som skal varsle, forebygge og spore kontakter for at bidrage til at begrænse spredningen af covid-19. Den vil omfatte en metode til at overvåge og dele vurderinger af applikationernes effektivitet, deres interoperabilitet og grænseoverskridende virkninger, samt deres respekt for sikkerhed, privatlivets fred og databeskyttelse

2)

en fælles ordning for anvendelse af anonymiserede og aggregerede data om befolkningers mobilitet med henblik på i) at opstille en model for og forudsige sygdommens udvikling, ii) at overvåge effektiviteten af de beslutninger, medlemsstaternes myndigheder træffer vedrørende foranstaltninger såsom social distancering og isolation, og iii) at udarbejde en koordineret exitstrategi for covid-19-krisen.

2)

Medlemsstaterne bør straks gennemføre disse tiltag i tæt samarbejde med andre medlemsstater, Kommissionen og andre relevante interessenter, uden at tiltagene indskrænker medlemsstaternes kompetencer inden for den offentlige sundhed. Medlemsstaterne bør også sikre, at alle tiltag gennemføres i overensstemmelse med EU-retten, herunder lovgivningen om medicinsk udstyr og retten til privatlivets fred og beskyttelse af personoplysninger samt andre rettigheder og friheder, der er nedfældet i Den Europæiske Unions charter om grundlæggende rettigheder. Værktøjskassen vil blive suppleret af Kommissionens vejledning, herunder vejledning i følgerne for databeskyttelse og beskyttelse af privatlivets fred af anvendelse af mobilapplikationer til varsling og forebyggelse.

DEFINITIONER

3)

I denne henstilling forstås ved:

a)

»mobilapplikationer«: softwareapplikationer, der kører på intelligente enheder, navnlig smartphones, og som sædvanligvis er designet til omfattende og målrettet samspil med webressourcer, som behandler nærhedsdata og andre kontekstafhængige oplysninger, der indsamles af flere sensorer i de intelligente enheder, og som er i stand til at udveksle oplysninger via flere netværksgrænseflader med andre forbundne enheder

b)

»e-sundhedsnetværket«: det netværk, der er oprettet ved artikel 14 i direktiv 2011/24/EU, og hvis opgaver er blevet præciseret i gennemførelsesafgørelse (EU) 2019/1765

c)

»Udvalget for Sundhedssikkerhed«: et organ, der består af repræsentanter fra medlemsstaterne, som blev etableret i medfør af artikel 17 i afgørelse nr. 1082/2013/EU

d)

»netværket for epidemiologisk overvågning«: netværket for epidemiologisk overvågning af overførbare sygdomme og relaterede særlige sundhedsproblemer, som drives og koordineres af ECDC, og som er i løbende kontakt med Kommissionen, ECDC og andre kompetente myndigheder med ansvar for epidemiologisk overvågning på nationalt niveau, og som blev oprettet i medfør af artikel 6 i afgørelse nr. 1082/2013/EU.

PROCES FOR UDVIKLING AF EN VÆRKTØJSKASSE TIL ANVENDELSE AF TEKNOLOGI OG DATA

4)

Formålet med denne proces er at bane vejen for, at medlemsstaterne og Kommissionen hurtigst muligt udvikler og vedtager en værktøjskasse af praktiske foranstaltninger, herunder en europæisk tilgang til covid-19-mobilapplikationer og til brugen af mobilitetsdata til modelberegning og forudsigelse af virussets udvikling.

5)

Med henblik på at udvikle værktøjskassen bør de medlemsstater, der er repræsenteret i e-sundhedsnetværket, straks og derefter hyppigt mødes med repræsentanter for Europa-Kommissionen og for Det Europæiske Center for Forebyggelse af og Kontrol med Sygdomme. Parterne bør udveksle synspunkter om, hvordan data fra flere forskellige kilder bedst muligt anvendes til at håndtere covid-19-krisen, samtidig med at der sikres et højt tillids- og sikkerhedsniveau i overensstemmelse med EU-retten, navnlig vedrørende beskyttelsen af personoplysninger og privatlivets fred, samt til at udveksle bedste praksis og i den henseende fremme en fælles tilgang.

6)

E-sundhedsnetværket bør mødes omgående for at gennemføre denne henstilling.

7)

I forbindelse med gennemførelsen af denne henstilling bør de medlemsstater, der er repræsenteret i e-sundhedsnetværket, i det omfang det er relevant, underrette og indhente input fra Udvalget for Sundhedssikkerhed, Sammenslutningen af Europæiske Tilsynsmyndigheder inden for Elektronisk Kommunikation, NIS-samarbejdsgruppen og de relevante EU-agenturer, herunder ENISA, samt Europol og de relevante arbejdsgrupper i Rådet.

8)

Det Europæiske Databeskyttelsesråd og Den Europæiske Tilsynsførende for Databeskyttelse bør ligeledes inddrages for at sikre, at principperne om databeskyttelse og indbygget privatlivsbeskyttelse integreres i værktøjskassen.

9)

Medlemsstaternes myndigheder og Kommissionen bør sikre, at borgerne informeres regelmæssigt, klart og udførligt om de tiltag, der er taget i henhold til denne henstilling, og at de har mulighed for at deltage aktivt i debatten.

10)

Det er igennem hele processen af afgørende betydning, at alle grundlæggende rettigheder overholdes, navnlig privatlivets fred samt databeskyttelse, og at forhindre overvågning og stigmatisering. I den forbindelse bør værktøjskassen derfor:

1)

begrænse behandlingen af personoplysninger til bekæmpelse af covid-19-krisen og sikre, at personoplysningerne ikke anvendes til andre formål såsom retshåndhævelse eller kommercielle formål

2)

sikre regelmæssig vurdering af, hvorvidt der fortsat er behov for at behandle personoplysninger til bekæmpelse af covid-19-krisen og, hvor det er relevant, fastsætte passende ophørsklausuler med henblik på at sikre, at behandlingen ikke går ud over, hvad der er strengt nødvendigt for disse formål

3)

træffe foranstaltninger, der sikrer, at behandlingen bringes til ophør, så snart den ikke længere er strengt nødvendig, og at de pågældende personoplysninger destrueres uigenkaldeligt, medmindre de ifølge etiske udvalg og databeskyttelsesmyndighederne har så stor en videnskabelig almen værdi, at den overstiger følgerne for de pågældende rettigheder, med forbehold af passende sikkerhedsforanstaltninger.

11)

Værktøjskassen bør udvikles gradvist på baggrund af drøftelser med alle interesserede parter og overvågning af situationen, bedste praksis samt problemer og løsninger angående de datakilder og -typer, som er nødvendige og tilgængelige for de offentlige sundhedsmyndigheder og de offentlige institutioner, der bedriver sundhedsforskning, i bekæmpelsen af covid-19-pandemien.

12)

Værktøjskassen bør deles med Den Europæiske Unions internationale partnere for at udveksle bedste praksis og bidrage til afbødning af virussets spredning på verdensplan.

EN PANEUROPÆISK TILGANG TIL COVID-19-MOBILAPPLIKATIONER

13)

Den første prioritet i forbindelse med værktøjskassen bør være, at medlemsstaterne og Kommissionen senest den 15. april 2020 i fællesskab udvikler en paneuropæisk tilgang til covid-19-mobilapplikationer. Det Europæiske Databeskyttelsesråd og Den Europæiske Tilsynsførende for Databeskyttelse vil blive inddraget i processen. Denne tilgang bør omfatte:

1)

specifikationer, der skal sikre, at mobile informations-, varslings- og sporingsapplikationer er effektive til bekæmpelse af covid-19 ud fra et medicinsk og teknisk synspunkt

2)

foranstaltninger, der skal forebygge spredningen af applikationer, der ikke er i overensstemmelse med EU-retten, understøtte krav om tilgængelighed for handicappede og interoperabilitet samt fremme af fælles løsninger, idet muligheden for en paneuropæisk applikation ikke udelukkes

3)

forvaltningsmekanismer, der skal anvendes af de offentlige sundhedsmyndigheder, og samarbejde med ECDC

4)

indkredsning af god praksis og mekanismer til udveksling af oplysninger om, hvordan applikationerne fungerer

5)

datadeling med relevante offentlige organer inden for epidemiologi og relevante offentlige institutioner inden for sundhedsforskning, herunder indsendelse af aggregerede data til ECDC.

14)

Medlemsstaternes myndigheder, der er repræsenteret i e-sundhedsnetværket, bør indføre en proces for udveksling af oplysninger og sikre, at applikationerne er interoperable, når der planlægges scenarier på tværs af grænserne.

ASPEKTER AF PRIVATLIVETS FRED OG DATABESKYTTELSE VED BRUG AF MOBILAPPLIKATIONER

15)

Udformningen af værkstøjskassen bør være styret af principperne om privatlivets fred og databeskyttelse.

16)

I forbindelse med brug af mobilapplikationer til varsling og forebyggelse i forbindelse med covid-19-udbruddet bør følgende principper overholdes:

1)

der bør indføres sikkerhedsforanstaltninger, som sikrer overholdelse af de grundlæggende rettigheder og forebygger stigmatisering, navnlig for de gældende regler for beskyttelse af personoplysninger og kommunikationshemmelighed

2)

der bør vælges den mindst indgribende, men stadig effektive foranstaltning, herunder bør der anvendes nærhedsdata, og det bør undgås at behandle data på grundlag af en enkeltpersons placering eller bevægelser, og der bør bruges anonymiserede og aggregerede data, hvor det er muligt

3)

der bør fastsættes tekniske krav for passende teknologier (f.eks. Bluetooth Low Energy) med henblik på at fastslå udstyrets nærhed, kryptering, datasikkerhed, lagring af data på den mobile enhed, mulig adgang for sundhedsmyndighederne og datalager

4)

der bør fastsættes effektive cybersikkerhedskrav for at kunne beskytte tilgængeligheden, autenticiteten, integriteten og fortroligheden af data

5)

det bør sikres, at de indførte foranstaltninger udløber, og at de personoplysninger, der indhentes gennem disse foranstaltninger, senest slettes, når pandemien erklæres under kontrol

6)

der bør uploades nærhedsdata, hvis et smittetilfælde bekræftes, og der bør anvendes passende metoder til at advare personer, som har været i tæt kontakt med den smittede, som skal forblive anonym

7)

der bør indføres gennemsigtighedskrav til privatlivsindstillingerne for at sikre tillid til applikationerne.

17)

Kommissionen vil offentliggøre en vejledning, hvori principperne for privatlivets fred og databeskyttelse præciseres yderligere i lyset af de praktiske spørgsmål, der opstår ved udviklingen og indførelsen af værktøjskassen.

ANVENDELSE AF MOBILITETSDATA TIL BRUG FOR FORANSTALTNINGER SAMT EXITSTRATEGI

18)

Den anden prioritet i forbindelse med værktøjskassen bør være en fælles tilgang til anvendelsen af anonymiserede og aggregerede mobilitetsdata, som er nødvendige for at:

1)

opstille en model, der kan kortlægge og forudsige sygdommens spredning og indvirkning på behovene i medlemsstaternes sundhedssystemer såsom, men ikke begrænset til, hospitalernes intensivafdelinger og personlige værnemidler

2)

øge effektiviteten af de foranstaltninger, der har til formål at inddæmme spredningen af covid-19-virusset, bekæmpe virkningerne, herunder isolation (og ophævelsen af denne), samt indhente og anvende disse data.

19)

I forbindelse med gennemførelsen af denne henstilling bør medlemsstaterne (der er repræsenteret i e-sundhedsnetværket, som vil stå for koordinationen med Udvalget for sundhedssikkerhed, netværket for epidemiologisk overvågning, ECDC og om nødvendigt ENISA) udveksle bedste praksis vedrørende anvendelsen af mobilitetsdata, dele og sammenligne modelberegninger for og forudsigelser af virussets spredning samt overvåge virkningerne af de foranstaltninger, der skal begrænse denne spredning.

20)

Dette bør omfatte:

1)

hensigtsmæssig anvendelse af anonymiserede og aggregerede mobilitetsdata til modelberegning for at forstå, hvordan virusset spredes, og til beregning af krisens økonomiske konsekvenser

2)

rådgivning af offentlige myndigheder med hensyn til at anmode dataudbyderne om information vedrørende den metode, de har anvendt til anonymisering af dataene, samt en beregning af, hvor plausibel den anvendte metode er

3)

sikkerhedsforanstaltninger, der skal indføres for at hindre deanonymisering og undgå genidentifikation af enkeltpersoner, herunder garanti for et tilstrækkeligt højt niveau af data- og IT-sikkerhed, samt en vurdering af risikoen for genidentifikation, hvis de anonymiserede data forbindes med andre data

4)

omgående og uigenkaldelig sletning af alle utilsigtet behandlede data, som vil kunne gøre det muligt at identificere enkeltpersoner, samt underrettelse af udbyderne af disse data samt de kompetente myndigheder om den utilsigtede behandling og efterfølgende sletning

5)

principiel sletning af data efter en periode på 90 dage og under alle omstændigheder senest, når pandemien erklæres under kontrol

6)

begrænsning af databehandlingen, således at den udelukkende anvendes til de ovennævnte formål, og datadeling med tredjeparter udelukkes.

RAPPORTERING OG REVISION

21)

Den paneuropæiske tilgang til covid-19-mobilapplikationer vil blive offentliggjort den 15. april og suppleret af en vejledning fra Kommissionen om privatlivets fred og databeskyttelse.

22)

Medlemsstaterne bør inden 31. maj 2020 indrapportere tiltag truffet i henhold til denne henstilling til Kommissionen. Denne rapportering bør finde sted regelmæssigt, så længe covid-19-krisen varer ved.

23)

Fra den 8. april 2020 bør medlemsstaterne gøre de foranstaltninger, der er truffet på de områder, der er omfattet af denne henstilling, tilgængelige for andre medlemsstater og Kommissionen med henblik på peerevaluering. Op til en uge herefter kan medlemsstaterne og Kommissionen fremsætte bemærkninger til foranstaltningerne. Den pågældende medlemsstat bør tage størst muligt hensyn til sådanne bemærkninger.

24)

Kommissionen vil fra juni 2020 på grundlag af disse medlemsstatsrapporter vurdere, hvilket fremskridt der er gjort, og hvilken virkning henstillingen har haft. Kommissionen kan fremsætte yderligere henstillinger til medlemsstaterne, herunder om timing af de foranstaltninger, der gennemføres inden for de områder, der er omfattet af denne henstilling.

Udfærdiget i Bruxelles, den 8. april 2020.

På Kommissionens vegne

Thierry BRETON

Medlem af Kommissionen


(1)  Europa-Parlamentets og Rådets afgørelse nr. 1082/2013/EU af 22. oktober 2013 om alvorlige grænseoverskridende sundhedstrusler og om ophævelse af beslutning nr. 2119/98/EF (EUT L 293 af 5.11.2013, s. 1).

(2)  Europa-Parlamentets og Rådets direktiv 2011/24/EU af 9. marts 2011 om patientrettigheder i forbindelse med grænseoverskridende sundhedsydelser (EUT L 88 af 4.4.2011, s. 45).

(3)  Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1).

(4)  Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39).

(5)  Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (Direktiv om databeskyttelse inden for elektronisk kommunikation) (EFT L 201 af 31.7.2002, s. 37).

(6)  Meddelelse fra Kommissionen til Europa-Parlamentet, Rådet, Det Europæiske Økonomiske og Sociale Udvalg og Regionsudvalget: En europæisk strategi for data (COM(2020) 66 final).

(7)  Europa-Parlamentets og Rådets forordning (EU) 2017/745 af 5. april 2017 om medicinsk udstyr, om ændring af direktiv 2001/83/EF, forordning (EF) nr. 178/2002 og forordning (EF) nr. 1223/2009 og om ophævelse af Rådets direktiv 90/385/EØF og 93/42/EØF (EUT L 117 af 5.5.2017, s. 1).

(8)  Rådets direktiv 93/42/EØF af 14. juni 1993 om medicinsk udstyr (EFT L 169 af 12.7.1993, s. 1).

(9)  Kommissionens gennemførelsesafgørelse (EU) 2019/1765 af 22. oktober 2019 om foranstaltninger til etablering, forvaltning og drift af netværket af nationale myndigheder, der er ansvarlige for e-sundhed, og om ophævelse af gennemførelsesafgørelse 2011/890/EU (EUT L 270 af 24.10.2019, s. 83).