24.10.2019   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

L 270/83


ΕΚΤΕΛΕΣΤΙΚΗ ΑΠΟΦΑΣΗ (ΕΕ) 2019/1765 ΤΗΣ ΕΠΙΤΡΟΠΗΣ

της 22ας Οκτωβρίου 2019

για την πρόβλεψη των κανόνων θέσπισης, διαχείρισης και λειτουργίας του δικτύου των αρμόδιων για την ηλεκτρονική υγεία εθνικών αρχών και για την κατάργηση της εκτελεστικής απόφασης 2011/890/ΕΕ

[κοινοποιηθείσα υπό τον αριθμό C(2019) 7460]

(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)

Η ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ,

Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης,

Έχοντας υπόψη την οδηγία 2011/24/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 9ης Μαρτίου 2011, περί εφαρμογής των δικαιωμάτων των ασθενών στο πλαίσιο της διασυνοριακής υγειονομικής περίθαλψης (1), και ιδίως το άρθρο 14 παράγραφος 3,

Εκτιμώντας τα ακόλουθα:

(1)

Το άρθρο 14 της οδηγίας 2011/24/ΕΕ ανέθεσε στην Ένωση το καθήκον να υποστηρίζει και να διευκολύνει τη συνεργασία και την ανταλλαγή πληροφοριών μεταξύ των κρατών μελών στο πλαίσιο εθελοντικού δικτύου που συνδέει τις αρμόδιες για την ηλεκτρονική υγεία εθνικές αρχές τις οποίες ορίζουν τα κράτη μέλη («το δίκτυο eHealth»).

(2)

Η εκτελεστική απόφαση 2011/890/ΕΕ της Επιτροπής (2) προβλέπει κανόνες θέσπισης, διαχείρισης και λειτουργίας του δικτύου eHealth.

(3)

Επί του παρόντος, η εν λόγω απόφαση δεν προβλέπει κατάλληλους κανόνες όσον αφορά ορισμένες πτυχές που είναι αναγκαίες για την επαρκώς διαφανή λειτουργία του δικτύου eHealth, και ειδικότερα όσον αφορά τον ρόλο του δικτύου eHealth και της Επιτροπής σε σχέση με την υποδομή ψηφιακών υπηρεσιών ηλεκτρονικής υγείας για τις διασυνοριακές υπηρεσίες πληροφοριών ηλεκτρονικής υγείας, και τις νέες απαιτήσεις για την προστασία δεδομένων δυνάμει του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (ο «γενικός κανονισμός για την προστασία δεδομένων») (3) και του κανονισμού (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (4).

(4)

Η διαφανής διαχείριση του δικτύου eHealth θα πρέπει να εξασφαλίζεται με τη θέσπιση κανόνων για την εισδοχή και την αποχώρηση ενός μέλους από το δίκτυο. Δεδομένου ότι η συμμετοχή στο δίκτυο eHealth είναι εθελοντική, τα κράτη μέλη θα πρέπει να έχουν δικαίωμα να προσχωρήσουν σ’ αυτό ανά πάσα στιγμή. Για οργανωτικούς σκοπούς, τα κράτη μέλη που επιθυμούν να συμμετάσχουν θα πρέπει να ενημερώνουν την Επιτροπή σχετικά με την πρόθεσή τους εκ των προτέρων.

(5)

Η ηλεκτρονική επικοινωνία αποτελεί κατάλληλο μέσο για την ταχεία και αξιόπιστη ανταλλαγή δεδομένων μεταξύ των κρατών μελών που συμμετέχουν στο δίκτυο eHealth. Στον τομέα αυτό σημειώθηκαν σημαντικές εξελίξεις. Ειδικότερα, προκειμένου να διευκολυνθεί η διαλειτουργικότητα των ευρωπαϊκών συστημάτων ηλεκτρονικής υγείας, τα κράτη μέλη που συμμετέχουν στο δίκτυο eHealth αποφάσισαν να προωθήσουν τη συνεργασία τους σ’ αυτόν τον τομέα με τη στήριξη της Επιτροπής και ανέπτυξαν την υποδομή ψηφιακών υπηρεσιών ηλεκτρονικής υγείας για τις διασυνοριακές υπηρεσίες πληροφοριών ηλεκτρονικής υγείας, ως ένα εργαλείο ΤΠ για την ανταλλαγή δεδομένων υγείας στο πλαίσιο του μηχανισμού «Συνδέοντας την Ευρώπη» (5). Οι εξελίξεις αυτές θα πρέπει να αντικατοπτρίζονται στην παρούσα απόφαση. Επιπλέον, όπως τονίζεται στην ανακοίνωση της Επιτροπής, της 25ης Απριλίου 2018, σχετικά με τη διευκόλυνση του ψηφιακού μετασχηματισμού του τομέα της υγείας και της περίθαλψης στην ψηφιακή ενιαία αγορά, την ισχυροποίηση των πολιτών και την ανάπτυξη μιας υγιέστερης κοινωνίας (6), θα πρέπει να αποσαφηνιστεί ο ρόλος των συμμετεχόντων κρατών μελών και της Επιτροπής όσον αφορά τη λειτουργία της υποδομής ψηφιακών υπηρεσιών ηλεκτρονικής υγείας για τις διασυνοριακές υπηρεσίες πληροφοριών ηλεκτρονικής υγείας.

(6)

Όπως αναγνωρίζεται στα συμπεράσματα του Συμβουλίου του 2017 σχετικά με την υγεία στην ψηφιακή κοινωνία (7), ο ρόλος της υποδομής ψηφιακών υπηρεσιών ηλεκτρονικής υγείας για τις διασυνοριακές υπηρεσίες πληροφοριών ηλεκτρονικής υγείας θα πρέπει να είναι η διευκόλυνση της διασυνοριακής ανταλλαγής δεδομένων υγείας μεταξύ των κρατών μελών που συμμετέχουν στο δίκτυο eHealth —όπως τα δεδομένα των ασθενών που περιέχονται σε ηλεκτρονικές συνταγές και περιλήψεις ασθενών και, ενδεχομένως, πιο ολοκληρωμένα ηλεκτρονικά μητρώα υγείας—, καθώς και η ανάπτυξη άλλων περιπτώσεων χρήσης και πληροφοριών για την υγεία.

(7)

Η υποδομή ψηφιακών υπηρεσιών ηλεκτρονικής υγείας για τις διασυνοριακές υπηρεσίες πληροφοριών ηλεκτρονικής υγείας αποτελείται από βασικές υπηρεσίες και υπηρεσίες γενικής εφαρμογής, όπως προβλέπεται στον κανονισμό (ΕΕ) αριθ. 283/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (8). Η Ευρωπαϊκή Επιτροπή είναι εκείνη που αναπτύσσει, χρησιμοποιεί και διαχειρίζεται τις βασικές υπηρεσίες. Οι βασικές υπηρεσίες, μαζί με τις υπηρεσίες γενικής εφαρμογής, θα πρέπει να καθιστούν εφικτή τη διευρωπαϊκή συνδεσιμότητα και να τη στηρίζουν. Τα εθνικά σημεία επαφής για την ηλεκτρονική υγεία, τα οποία ορίζονται από κάθε κράτος μέλος, είναι εκείνα που αναπτύσσουν, χρησιμοποιούν και διαχειρίζονται τις υπηρεσίες γενικής εφαρμογής. Τα εθνικά σημεία επαφής για την ηλεκτρονική υγεία, χρησιμοποιώντας τις υπηρεσίες γενικής εφαρμογής, συνδέουν την εθνική υποδομή με τα εθνικά σημεία επαφής για την ηλεκτρονική υγεία άλλου κράτους μέλους μέσω των πλατφορμών βασικών υπηρεσιών.

(8)

Προκειμένου να βελτιωθεί η διασυνοριακή ανταλλαγή δεδομένων υγείας και να επιτευχθεί η τεχνική, σημασιολογική και οργανωτική διαλειτουργικότητα μεταξύ των εθνικών συστημάτων ηλεκτρονικής υγείας, το δίκτυο eHealth, στο πλαίσιο της υποδομής ψηφιακών υπηρεσιών ηλεκτρονικής υγείας για τις διασυνοριακές υπηρεσίες πληροφοριών ηλεκτρονικής υγείας, θα πρέπει να διαδραματίζει πρωτεύοντα ρόλο στην εκπόνηση και τον συντονισμό των απαραίτητων κοινών απαιτήσεων και προδιαγραφών.

(9)

Το δίκτυο eHealth πραγματοποιεί ήδη διάφορες δραστηριότητες στον τομέα της ηλεκτρονικής υγείας, οι οποίες περιγράφονται στο πολυετές πρόγραμμα εργασίας του και αποσκοπούν κυρίως στην παροχή καθοδήγησης, την ανταλλαγή ορθών πρακτικών ή την εξεύρεση κοινών τρόπων συνεργασίας. Ενδεικτικά, οι δραστηριότητες αυτές περιλαμβάνουν προσπάθειες προκειμένου, αφενός, οι πολίτες να μπορούν να διαδραματίζουν ενεργό ρόλο στη διαχείριση των δικών τους δεδομένων υγείας, μεταξύ άλλων στον τομέα της ηλεκτρονικής υγείας, της κινητής υγείας και της τηλεϊατρικής, και, αφετέρου, οι ασθενείς να έχουν τη δυνατότητα πρόσβασης, χρήσης και ανταλλαγής των δικών τους δεδομένων υγείας, καθώς και τη δυνατότητα ψηφιακού γραμματισμού σε θέματα υγείας. Άλλες δραστηριότητες του δικτύου σχετίζονται με την καινοτόμο χρήση των δεδομένων υγείας, συμπεριλαμβανομένων των μαζικών δεδομένων, της τεχνητής νοημοσύνης, της ανάπτυξης γνώσεων σχετικά με την πολιτική στον τομέα της υγείας, καθώς και της παροχής, σε συνεργασία με τα ενδιαφερόμενα μέρη σε εθνικό και ενωσιακό επίπεδο, καθοδήγησης για την προαγωγή της υγείας, την πρόληψη των ασθενειών και τη βελτίωση της παροχής υγειονομικής περίθαλψης μέσω της καλύτερης χρήσης των δεδομένων που αφορούν την υγεία. Το Δίκτυο στηρίζει τα κράτη μέλη προκειμένου να μπορούν να ανταλλάσσουν και να χρησιμοποιούν δεδομένα υγείας και ιατρικά δεδομένα για σκοπούς έρευνας και δημόσιας υγείας. Σύμφωνα με το άρθρο 14 παράγραφος 2 στοιχείο γ) της οδηγίας 2011/24/ΕΕ, στηρίζει επίσης τα κράτη μέλη στην ανάπτυξη μέσων ηλεκτρονικής ταυτοποίησης και πιστοποίησης ώστε να διευκολύνεται η δυνατότητα διαβίβασης δεδομένων στο πλαίσιο διασυνοριακής υγειονομικής περίθαλψης, ιδίως όσον αφορά την υποδομή ψηφιακών υπηρεσιών ηλεκτρονικής υγείας για τις διασυνοριακές υπηρεσίες πληροφοριών ηλεκτρονικής υγείας, με βάση το πλαίσιο eIDAS και άλλες συνεχιζόμενες δράσεις σε ενωσιακό επίπεδο.

(10)

Το δίκτυο eHealth καταβάλλει επίσης προσπάθειες για να βελτιώσει τη συνέχεια της φροντίδας, εντείνοντας τη χρήση των διασυνοριακών υπηρεσιών ηλεκτρονικής υγείας, αναπτύσσοντας νέες περιπτώσεις χρήσης και τομέων πληροφοριών για την υγεία επιπλέον του συνοπτικού ιστορικού υγείας και των ηλεκτρονικών συνταγών του ασθενή, καθώς και αντιμετωπίζοντας επιτυχώς τις προκλήσεις εφαρμογής, οι οποίες σχετίζονται με τη διαλειτουργικότητα, την προστασία των δεδομένων, την ασφάλεια των δεδομένων ή τις ηλεκτρονικές δεξιότητες των επαγγελματιών του τομέα της υγείας. Το δίκτυο διευκολύνει επίσης τη μεγαλύτερη διαλειτουργικότητα των εθνικών συστημάτων τεχνολογίας πληροφοριών και επικοινωνιών και τη δυνατότητα διασυνοριακής μεταφοράς των ηλεκτρονικών δεδομένων υγείας στο πλαίσιο διασυνοριακής υγειονομικής περίθαλψης, παρέχοντας καθοδήγηση σχετικά με τις απαιτήσεις και τις προδιαγραφές που θα πρέπει να χρησιμοποιούνται για την επίτευξη τεχνικής, σημασιολογικής και οργανωτικής διαλειτουργικότητας μεταξύ των εθνικών ψηφιακών συστημάτων υγειονομικής περίθαλψης. Το δίκτυο εργάζεται για την ενίσχυση της συνεργασίας όσον αφορά την ανάπτυξη και την ανταλλαγή ορθών πρακτικών σχετικά με τις εθνικές στρατηγικές ψηφιακής υγείας, προκειμένου να επιτευχθεί σύγκλιση με στόχο τη δημιουργία ενός διαλειτουργικού συστήματος ηλεκτρονικής υγείας.

(11)

Κατά την κατάρτιση κατευθυντήριων γραμμών σχετικά με τις πτυχές ασφάλειας της ανταλλαγής δεδομένων, το δίκτυο eHealth θα πρέπει να επωφελείται από την εμπειρογνωμοσύνη της ομάδας συνεργασίας για την ασφάλεια δικτύων και πληροφοριών (ΑΔΠ), η οποία συστάθηκε δυνάμει του άρθρου 11 της οδηγίας (ΕΕ) 2016/1148 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (9), και του Οργανισμού της Ευρωπαϊκής Ένωσης για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA).

(12)

Το δίκτυο eHealth προωθεί επίσης την ανταλλαγή απόψεων μεταξύ των μελών του σχετικά με τις εθνικές στρατηγικές προκλήσεις όσον αφορά τις νέες τεχνολογίες και τις χρήσεις δεδομένων και θα πρέπει να προωθεί συζητήσεις με άλλα σχετικά φόρουμ της Ένωσης (όπως τη συντονιστική ομάδα για την προαγωγή της υγείας, την πρόληψη των ασθενειών και τη διαχείριση των μη μεταδοτικών ασθενειών ή το συμβούλιο εκπροσώπων των κρατών μελών για τα ευρωπαϊκά δίκτυα αναφοράς) σχετικά με τις προτεραιότητες, τους στρατηγικούς προσανατολισμούς και την υλοποίησή τους.

(13)

Στις 6 Φεβρουαρίου 2019 η Επιτροπή εξέδωσε σύσταση σχετικά με έναν ευρωπαϊκό μορφότυπο για την ανταλλαγή ηλεκτρονικών μητρώων υγείας (10) («σύσταση της Επιτροπής»). Προκειμένου να προωθηθεί η υιοθέτηση και η περαιτέρω ανάπτυξη του ευρωπαϊκού μορφότυπου ανταλλαγής ηλεκτρονικών μητρώων υγείας και να διευκολυνθεί η χρήση του, το δίκτυο eHealth, σε συνεργασία με την Επιτροπή, τους ενδιαφερόμενους φορείς, τους κλινικούς ιατρούς, τους εκπροσώπους των ασθενών και τις αρμόδιες αρχές, αναμένεται να καταρτίσει κατευθυντήριες γραμμές, να στηρίξει περαιτέρω την ανάπτυξη και την παρακολούθηση του μορφότυπου ανταλλαγής ηλεκτρονικών μητρώων υγείας και να στηρίξει τα κράτη μέλη να διασφαλίσουν την προστασία της ιδιωτικής ζωής και την ασφάλεια της ανταλλαγής δεδομένων. Προκειμένου να ενισχυθεί η διαλειτουργικότητα, το δίκτυο κατάρτισε κατευθυντήριες γραμμές για τις επενδύσεις (11), οι οποίες συνιστούν να λαμβάνονται υπόψη τα πρότυπα και οι προδιαγραφές που αναφέρονται στη σύσταση της Επιτροπής, ιδίως για τους σκοπούς των διαδικασιών σύναψης δημόσιων συμβάσεων.

(14)

Δεδομένου ότι η υποδομή ψηφιακών υπηρεσιών ηλεκτρονικής υγείας για τις διασυνοριακές υπηρεσίες πληροφοριών ηλεκτρονικής υγείας αποτελεί σημαντικό στοιχείο της λειτουργίας του δικτύου, θα πρέπει να αποσαφηνιστεί ο ρόλος του δικτύου eHealth στην υποδομή ψηφιακών υπηρεσιών ηλεκτρονικής υγείας για τις διασυνοριακές υπηρεσίες πληροφοριών ηλεκτρονικής υγείας και σε άλλες κοινές ευρωπαϊκές υπηρεσίες ηλεκτρονικής υγείας, προκειμένου να διασφαλιστεί η διαφανής λειτουργία του δικτύου.

(15)

Προκειμένου να διασφαλιστεί η αποτελεσματική ανταλλαγή δεδομένων υγείας μεταξύ των κρατών μελών, το δίκτυο eHealth θα πρέπει να καθιστά εφικτή αυτή την ανταλλαγή για τα κράτη μέλη. Ειδικότερα, με την προϋπόθεση ότι θα έχουν εκπληρωθεί προκαθορισμένες απαιτήσεις και θα έχουν διεξαχθεί οι δοκιμές που προβλέπονται από την Επιτροπή και οι έλεγχοι που διενεργούνται από αυτή και, εάν είναι δυνατόν, από άλλους εμπειρογνώμονες, το δίκτυο eHealth θα πρέπει να έχει τη δυνατότητα να συμφωνεί σχετικά με την οργανωτική, σημασιολογική και τεχνική ετοιμότητα των υποψήφιων κρατών μελών να ανταλλάσσουν επικυρωμένα ολοκληρωμένα ηλεκτρονικά δεδομένα υγείας για τις εγκεκριμένες περιπτώσεις χρήσης μέσω των αντίστοιχων εθνικών σημείων επαφής για την ηλεκτρονική υγεία, καθώς και σχετικά με τη συνεχιζόμενη συμμόρφωσή τους ως προς το σημείο αυτό.

(16)

Για την αποτελεσματική και διαφανή λειτουργία του δικτύου, θα πρέπει να θεσπιστούν κανόνες για την έγκριση του εσωτερικού κανονισμού και του πολυετούς προγράμματος εργασίας, καθώς και για τη δημιουργία υποομάδων, προκειμένου να διασφαλιστεί η αποτελεσματική λειτουργία του δικτύου eHealth. Ο εσωτερικός κανονισμός θα πρέπει να προσδιορίζει τη διαδικασία για τις αποφάσεις σχετικά με την ανταλλαγή δεδομένων προσωπικού χαρακτήρα μέσω της υποδομής ψηφιακών υπηρεσιών ηλεκτρονικής υγείας για τις διασυνοριακές υπηρεσίες πληροφοριών ηλεκτρονικής υγείας, όπως περιγράφεται ανωτέρω.

(17)

Τα ενδιαφερόμενα μέλη του δικτύου eHealth μπορούν να προωθήσουν τη συνεργασία τους σε τομείς που καλύπτονται από τα καθήκοντα του Δικτύου. Η συνεργασία αυτή καθοδηγείται από τα κράτη μέλη και είναι εθελοντική. Αυτό ισχύει για την υποδομή ψηφιακών υπηρεσιών ηλεκτρονικής υγείας για τις διασυνοριακές υπηρεσίες πληροφοριών ηλεκτρονικής υγείας και μπορεί επίσης να ισχύει και για άλλες κοινές ευρωπαϊκές υπηρεσίες ηλεκτρονικής υγείας που αναπτύσσονται στο πλαίσιο του δικτύου eHealth. Εάν τα κράτη μέλη επιλέξουν να προωθήσουν τη συνεργασία τους, θα πρέπει να συμφωνήσουν ως προς τους κανόνες της εν λόγω συνεργασίας και να δεσμευθούν για την τήρησή τους.

(18)

Προκειμένου να διασφαλιστεί περαιτέρω η διαφανής λειτουργία του δικτύου eHealth, θα πρέπει να καθοριστεί η σχέση του με την Επιτροπή, ιδίως ως προς τα καθήκοντα του δικτύου eHealth και τον ρόλο της Επιτροπής στη διασυνοριακή ανταλλαγή δεδομένων υγείας μέσω της υποδομής ψηφιακών υπηρεσιών ηλεκτρονικής υγείας για τις διασυνοριακές υπηρεσίες πληροφοριών ηλεκτρονικής υγείας.

(19)

Η επεξεργασία δεδομένων προσωπικού χαρακτήρα των ασθενών, των εκπροσώπων των κρατών μελών, των εμπειρογνωμόνων και των παρατηρητών που συμμετέχουν στο δίκτυο eHealth, η οποία πραγματοποιείται υπό την ευθύνη των κρατών μελών ή άλλων δημόσιων οργανισμών ή φορέων τους, θα πρέπει να διενεργείται σύμφωνα με τον γενικό κανονισμό για την προστασία δεδομένων και την οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (12). Τα δεδομένα προσωπικού χαρακτήρα των εκπροσώπων των εθνικών αρχών που είναι αρμόδιες για την ηλεκτρονική υγεία, άλλων εκπροσώπων των κρατών μελών, των εμπειρογνωμόνων και των παρατηρητών που συμμετέχουν στο δίκτυο eHealth υποβάλλονται σε επεξεργασία από την Επιτροπή σύμφωνα με τον κανονισμό (ΕΕ) 2018/1725. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για τους σκοπούς της διαχείρισης και της διαφύλαξης της ασφάλειας των βασικών υπηρεσιών της υποδομής ψηφιακών υπηρεσιών ηλεκτρονικής υγείας για τις διασυνοριακές υπηρεσίες πληροφοριών ηλεκτρονικής υγείας η οποία πραγματοποιείται υπό την ευθύνη της Επιτροπής θα πρέπει να είναι σύμφωνη με τον κανονισμό (ΕΕ) 2018/1725.

(20)

Τα κράτη μέλη, τα οποία εκπροσωπούνται από τις αρμόδιες εθνικές αρχές ή άλλους ορισθέντες φορείς, καθορίζουν από κοινού τον σκοπό και τα μέσα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα μέσω της υποδομής ψηφιακών υπηρεσιών ηλεκτρονικής υγείας για τις διασυνοριακές υπηρεσίες πληροφοριών ηλεκτρονικής υγείας και, ως εκ τούτου, είναι υπεύθυνοι επεξεργασίας. Οι αντίστοιχες αρμοδιότητες των υπευθύνων επεξεργασίας καθορίζονται σε χωριστή ρύθμιση. Η Επιτροπή, ως πάροχος τεχνικών και οργανωτικών λύσεων στο πλαίσιο της υποδομής ψηφιακών υπηρεσιών ηλεκτρονικής υγείας για τις διασυνοριακές υπηρεσίες πληροφοριών ηλεκτρονικής υγείας, επεξεργάζεται κρυπτογραφημένα δεδομένα προσωπικού χαρακτήρα των ασθενών εξ ονόματος των κρατών μελών μεταξύ των εθνικών σημείων επαφής για την ηλεκτρονική υγεία και, ως εκ τούτου, είναι εκτελούσα την επεξεργασία. Σύμφωνα με το άρθρο 28 του γενικού κανονισμού για την προστασία δεδομένων και το άρθρο 29 του κανονισμού (ΕΕ) 2018/1725, η επεξεργασία από τον εκτελούντα την επεξεργασία διέπεται από σύμβαση ή νομική πράξη που υπάγεται στο δίκαιο της Ένωσης ή κράτους μέλους, είναι δεσμευτική για τον εκτελούντα την επεξεργασία όσον αφορά τον υπεύθυνο επεξεργασίας και προσδιορίζει την επεξεργασία. Η παρούσα απόφαση καθορίζει τους κανόνες που διέπουν την επεξεργασία από την Επιτροπή ως εκτελούσα την επεξεργασία.

(21)

Προκειμένου να διασφαλιστούν ίσα δικαιώματα πρόσβασης βάσει του γενικού κανονισμού για την προστασία δεδομένων και του κανονισμού (ΕΕ) 2018/1725, η Επιτροπή θα πρέπει να θεωρείται υπεύθυνη επεξεργασίας δεδομένων προσωπικού χαρακτήρα που αφορούν τη διαχείριση των δικαιωμάτων πρόσβασης στην ψηφιακή υγειονομική υποδομή ψηφιακής υγείας για τις διασυνοριακές υπηρεσίες παροχής υπηρεσιών πληροφοριών ηλεκτρονικής υγείας.

(22)

Προκειμένου να καταστούν διαφανείς οι διαδικασίες επιστροφής, θα πρέπει να καθοριστούν κανόνες για τις δαπάνες των συμμετεχόντων στις δραστηριότητες του δικτύου eHealth.

(23)

Ως εκ τούτου, η εκτελεστική απόφαση 2011/890/ΕΕ θα πρέπει να καταργηθεί και να αντικατασταθεί από την παρούσα απόφαση για λόγους ασφάλειας δικαίου και σαφήνειας.

(24)

Τα μέτρα που προβλέπονται στην παρούσα απόφαση είναι σύμφωνα με τη γνώμη της επιτροπής που έχει συσταθεί δυνάμει του άρθρου 16 της οδηγίας 2011/24/ΕΕ,

ΕΞΕΔΩΣΕ ΤΗΝ ΠΑΡΟΥΣΑ ΑΠΟΦΑΣΗ:

Άρθρο 1

Αντικείμενο

Η παρούσα απόφαση ορίζει τους αναγκαίους κανόνες για τη θέσπιση, τη διαχείριση και τη λειτουργία του δικτύου των εθνικών αρχών που είναι αρμόδιες για την ηλεκτρονική υγεία, όπως προβλέπεται στο άρθρο 14 της οδηγίας 2011/24/ΕΕ.

Άρθρο 2

Ορισμοί

1.   Για τους σκοπούς της παρούσας απόφασης ισχύουν οι ακόλουθοι ορισμοί:

α)

«δίκτυο eHealth»: το εθελοντικό δίκτυο που συνδέει τις αρμόδιες για την ηλεκτρονική υγεία εθνικές αρχές που ορίζονται από τα κράτη μέλη και επιδιώκει τους στόχους που καθορίζονται στο άρθρο 14 της οδηγίας 2011/24/ΕΕ·

β)

«εθνικά σημεία επαφής για την ηλεκτρονική υγεία»: οργανωτικές και τεχνικές πύλες για την παροχή διασυνοριακών υπηρεσιών πληροφοριών ηλεκτρονικής υγείας, υπό την ευθύνη των κρατών μελών·

γ)

«διασυνοριακές υπηρεσίες πληροφοριών για την ηλεκτρονική υγεία»: οι υφιστάμενες υπηρεσίες που υποβάλλονται σε επεξεργασία μέσω των εθνικών σημείων επαφής για την ηλεκτρονική υγεία και μέσω μιας πλατφόρμας βασικών υπηρεσιών που έχει αναπτύξει η Επιτροπή για τους σκοπούς της διασυνοριακής υγειονομικής περίθαλψης·

δ)

«υποδομή ψηφιακών υπηρεσιών ηλεκτρονικής υγείας για τις διασυνοριακές υπηρεσίες πληροφοριών ηλεκτρονικής υγείας»: η υποδομή που καθιστά εφικτή την παροχή διασυνοριακών υπηρεσιών πληροφοριών ηλεκτρονικής υγείας μέσω των εθνικών σημείων επαφής για την ηλεκτρονική υγεία και της ευρωπαϊκής πλατφόρμας βασικών υπηρεσιών. Η εν λόγω υποδομή περιλαμβάνει τόσο υπηρεσίες γενικής εφαρμογής, όπως ορίζονται στο άρθρο 2 παράγραφος 2 στοιχείο ε) του κανονισμού (ΕΕ) αριθ. 283/2014, οι οποίες έχουν αναπτυχθεί από τα κράτη μέλη, όσο και πλατφόρμα βασικών υπηρεσιών, όπως ορίζεται στο άρθρο 2 παράγραφος 2 στοιχείο δ) του εν λόγω κανονισμού, οι οποίες έχουν αναπτυχθεί από την Επιτροπή·

ε)

«άλλες κοινές ευρωπαϊκές υπηρεσίες ηλεκτρονικής υγείας»: ψηφιακές υπηρεσίες που μπορούν να αναπτυχθούν στο πλαίσιο του δικτύου eHealth και να παρέχονται από κοινού από τα κράτη μέλη·

στ)

«μοντέλο διακυβέρνησης»: σύνολο κανόνων σχετικά με τον ορισμό φορέων που συμμετέχουν στις διαδικασίες λήψης αποφάσεων σχετικά με την υποδομή ψηφιακών υπηρεσιών ηλεκτρονικής υγείας για τις διασυνοριακές υπηρεσίες πληροφοριών ηλεκτρονικής υγείας ή άλλες ευρωπαϊκές κοινές υπηρεσίες ηλεκτρονικής υγείας που αναπτύσσονται στο πλαίσιο του δικτύου eHealth, καθώς και περιγραφή των εν λόγω διαδικασιών.

2.   Εφαρμόζονται αναλόγως οι ορισμοί του άρθρου 4 σημεία 1, 2, 7 και 8 του κανονισμού (ΕΕ) 2016/679.

Άρθρο 3

Συμμετοχή στο δίκτυο eHealth

1.   Τα μέλη του δικτύου eHealth είναι οι αρχές των κρατών μελών που είναι αρμόδιες για την ηλεκτρονική υγεία, οι οποίες ορίζονται από τα κράτη μέλη που συμμετέχουν στο δίκτυο eHealth.

2.   Τα κράτη μέλη που επιθυμούν να συμμετάσχουν στο δίκτυο eHealth κοινοποιούν γραπτώς στην Επιτροπή τα εξής:

α)

την απόφαση συμμετοχής στο δίκτυο eHealth·

β)

την αρμόδια εθνική αρχή για την ηλεκτρονική υγεία η οποία θα καταστεί μέλος του δικτύου eHealth, καθώς και το όνομα του/της εκπροσώπου και του/της αναπληρωτή/-ώτριάς του.

3.   Τα κράτη μέλη κοινοποιούν στην Επιτροπή γραπτώς τα ακόλουθα:

α)

την απόφασή τους να αποχωρήσουν από το δίκτυο eHealth·

β)

τυχόν τροποποίηση των στοιχείων που αναφέρονται στην παράγραφο 2 στοιχείο β).

4.   Η Επιτροπή θέτει στη διάθεση του κοινού τον κατάλογο των μελών που συμμετέχουν στο δίκτυο eHealth.

Άρθρο 4

Δραστηριότητες του δικτύου eHealth

1.   Για την επίτευξη του στόχου που αναφέρεται στο άρθρο 14 παράγραφος 2 στοιχείο α) της οδηγίας 2011/24/ΕΕ, το δίκτυο eHealth μπορεί ειδικότερα:

α)

να διευκολύνει τη μεγαλύτερη διαλειτουργικότητα των εθνικών συστημάτων τεχνολογίας πληροφοριών και επικοινωνιών και τη δυνατότητα διασυνοριακής μεταφοράς ηλεκτρονικών δεδομένων υγείας στο πλαίσιο διασυνοριακής υγειονομικής περίθαλψης·

β)

να παρέχει καθοδήγηση στα κράτη μέλη, σε συνεργασία με άλλες αρμόδιες εποπτικές αρχές, όσον αφορά την ανταλλαγή δεδομένων υγείας μεταξύ των κρατών μελών και την παροχή στους πολίτες της δυνατότητας να έχουν πρόσβαση και να ανταλλάσσουν τα δεδομένα υγείας τους·

γ)

να παρέχει καθοδήγηση στα κράτη μέλη και να διευκολύνει την ανταλλαγή ορθών πρακτικών σχετικά με την ανάπτυξη διαφόρων ψηφιακών υπηρεσιών υγείας, όπως η τηλεϊατρική, η κινητή υγεία ή οι νέες τεχνολογίες στον τομέα των μαζικών δεδομένων και της τεχνητής νοημοσύνης, λαμβάνοντας υπόψη τις συνεχιζόμενες δράσεις σε ενωσιακό επίπεδο·

δ)

να παρέχει καθοδήγηση στα κράτη μέλη όσον αφορά τη στήριξη της προαγωγής της υγείας, της πρόληψης των ασθενειών και της βελτίωσης της παροχής υγειονομικής περίθαλψης μέσω της καλύτερης χρήσης των δεδομένων υγείας και μέσω της βελτίωσης των ψηφιακών δεξιοτήτων των ασθενών και των επαγγελματιών του τομέα της υγείας·

ε)

να παρέχει καθοδήγηση στα κράτη μέλη και να διευκολύνει την εθελοντική ανταλλαγή βέλτιστων πρακτικών σχετικά με τις επενδύσεις σε ψηφιακές υποδομές·

στ)

να παρέχει καθοδήγηση, σε συνεργασία με άλλους αρμόδιους φορείς και ενδιαφερόμενα μέρη, στα κράτη μέλη σχετικά με τις αναγκαίες περιπτώσεις χρήσης για την κλινική διαλειτουργικότητα και τα εργαλεία για την επίτευξή της·

ζ)

να παρέχει καθοδήγηση στα μέλη σχετικά με την ασφάλεια της υποδομής ψηφιακών υπηρεσιών ηλεκτρονικής υγείας για τις διασυνοριακές υπηρεσίες πληροφοριών ηλεκτρονικής υγείας ή άλλες κοινές ευρωπαϊκές υπηρεσίες ηλεκτρονικής υγείας που έχουν αναπτυχθεί στο πλαίσιο του δικτύου eHealth, λαμβάνοντας υπόψη τη νομοθεσία και τα έγγραφα που έχουν εκπονηθεί σε ενωσιακό επίπεδο, ιδίως στον τομέα της ασφάλειας, καθώς και συστάσεις στον τομέα της κυβερνοασφάλειας, σε στενή συνεργασία με την ομάδα συνεργασίας για την ασφάλεια δικτύων και πληροφοριών και με τον Οργανισμό της Ευρωπαϊκής Ένωσης για την Ασφάλεια Δικτύων και Πληροφοριών και με τις εθνικές αρχές, κατά περίπτωση.

2.   Κατά την κατάρτιση των κατευθυντήριων γραμμών που αναφέρονται στο άρθρο 14 παράγραφος 2 στοιχείο β) σημείο ii) της οδηγίας 2011/24/ΕΕ και αφορούν την εφαρμογή αποτελεσματικών μεθόδων που επιτρέπουν τη χρήση ιατρικών πληροφοριών για τη δημόσια υγεία και την έρευνα, το δίκτυο eHealth λαμβάνει υπόψη τις κατευθυντήριες γραμμές που έχουν εγκριθεί από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων και, κατά περίπτωση, διαβουλεύεται με αυτό. Οι εν λόγω κατευθυντήριες γραμμές μπορούν επίσης να καλύπτουν τις πληροφορίες που ανταλλάσσονται μέσω της υποδομής ψηφιακών υπηρεσιών ηλεκτρονικής υγείας για τις διασυνοριακές υπηρεσίες πληροφοριών ηλεκτρονικής υγείας ή άλλων κοινών ευρωπαϊκών υπηρεσιών ηλεκτρονικής υγείας.

Άρθρο 5

Λειτουργία του δικτύου eHealth

1.   Το δίκτυο eHealth θεσπίζει τον εσωτερικό του κανονισμό με απλή πλειοψηφία των μελών του.

2.   Το δίκτυο eHealth εγκρίνει ένα πολυετές πρόγραμμα εργασίας και ένα μέσο αξιολόγησης σχετικά με την υλοποίηση του εν λόγω προγράμματος.

3.   Για την εκπλήρωση των καθηκόντων του, το δίκτυο eHealth μπορεί να συγκροτήσει μόνιμες υποομάδες σε σχέση με συγκεκριμένα καθήκοντα, ιδίως όσον αφορά την υποδομή ψηφιακών υπηρεσιών ηλεκτρονικής υγείας για τις διασυνοριακές υπηρεσίες πληροφοριών ηλεκτρονικής υγείας ή άλλες κοινές ευρωπαϊκές υπηρεσίες ηλεκτρονικής υγείας που αναπτύσσονται στο πλαίσιο του δικτύου eHealth.

4.   Το δίκτυο eHealth μπορεί επίσης να συγκροτεί προσωρινές υποομάδες, μεταξύ άλλων με εμπειρογνώμονες για την εξέταση ειδικών ζητημάτων βάσει της εντολής που καθορίζεται από το ίδιο το δίκτυο eHealth. Οι εν λόγω υποομάδες διαλύονται μετά την εκπλήρωση της εντολής τους.

5.   Όταν τα μέλη του δικτύου eHealth αποφασίζουν να προωθήσουν τη συνεργασία τους σε ορισμένους τομείς που καλύπτονται από τα καθήκοντα του δικτύου eHealth, καθορίζουν από κοινού τους κανόνες που διέπουν την εν λόγω συνεργασία και δεσμεύονται για την τήρησή τους.

6.   Για την επίτευξη των στόχων του, το δίκτυο eHealth συνεργάζεται στενά με τις κοινές δράσεις που στηρίζουν τις δραστηριότητες του δικτύου eHealth, όπου υπάρχουν τέτοιες κοινές δράσεις, με ενδιαφερόμενα μέρη ή άλλους ενδιαφερόμενους φορείς ή μηχανισμούς στήριξης και λαμβάνει υπόψη τα αποτελέσματα που έχουν επιτευχθεί στο πλαίσιο των εν λόγω δραστηριοτήτων.

7.   Το δίκτυο eHealth καταρτίζει, από κοινού με την Επιτροπή, τα μοντέλα διακυβέρνησης της υποδομής ψηφιακών υπηρεσιών ηλεκτρονικής υγείας για τις διασυνοριακές υπηρεσίες πληροφοριών ηλεκτρονικής υγείας και συμμετέχει στην εν λόγω διακυβέρνηση:

i.

συμφωνώντας σχετικά με τις προτεραιότητες της υποδομής ψηφιακών υπηρεσιών ηλεκτρονικής υγείας και επιβλέποντας την υλοποίησή τους·

ii.

καταρτίζοντας κατευθυντήριες γραμμές και απαιτήσεις λειτουργίας, συμπεριλαμβανομένης της επιλογής των προτύπων που χρησιμοποιούνται στην υποδομή ψηφιακών υπηρεσιών ηλεκτρονικής υγείας για τις διασυνοριακές υπηρεσίες πληροφοριών ηλεκτρονικής υγείας·

iii.

συμφωνώντας αν θα πρέπει να επιτρέπεται στα μέλη του δικτύου eHealth να αρχίσουν και να συνεχίζουν την ανταλλαγή ηλεκτρονικών δεδομένων υγείας μέσω της υποδομής ψηφιακών υπηρεσιών ηλεκτρονικής υγείας για τις διασυνοριακές υπηρεσίες πληροφοριών ηλεκτρονικής υγείας μέσω των εθνικών σημείων επαφής για την ηλεκτρονική υγεία, με βάση τη συμμόρφωσή τους με τις απαιτήσεις που θεσπίζει το δίκτυο eHealth, όπως αυτή η συμμόρφωση αξιολογείται στο πλαίσιο των δοκιμών που προβλέπονται από την Επιτροπή και των ελέγχων που διενεργούνται από αυτή·

iv.

εγκρίνοντας το ετήσιο πρόγραμμα εργασίας για την υποδομή ψηφιακών υπηρεσιών ηλεκτρονικής υγείας για τις διασυνοριακές υπηρεσίες πληροφοριών ηλεκτρονικής υγείας.

8.   Το δίκτυο eHealth μπορεί να επεξεργαστεί, από κοινού με την Επιτροπή, τα μοντέλα διακυβέρνησης άλλων κοινών ευρωπαϊκών υπηρεσιών ηλεκτρονικής υγείας που αναπτύσσονται στο πλαίσιο του δικτύου eHealth και να συμμετέχει στη διακυβέρνησή τους. Το δίκτυο μπορεί επίσης να καθορίζει τις προτεραιότητες, από κοινού με την Επιτροπή, και να καταρτίζει κατευθυντήριες γραμμές για τη λειτουργία αυτών των κοινών ευρωπαϊκών υπηρεσιών ηλεκτρονικής υγείας.

9.   Ο εσωτερικός κανονισμός μπορεί να προβλέπει ότι οι χώρες, εκτός των κρατών μελών, που εφαρμόζουν την οδηγία 2011/24/ΕΕ μπορούν να συμμετέχουν στις συνεδριάσεις του δικτύου eHealth ως παρατηρητές.

10.   Τα μέλη του δικτύου eHealth και οι εκπρόσωποί τους, καθώς και οι προσκεκλημένοι εμπειρογνώμονες και παρατηρητές, συμμορφώνονται με τις υποχρεώσεις για την τήρηση του επαγγελματικού απορρήτου που ορίζονται στο άρθρο 339 της Συνθήκης, καθώς και με τους κανόνες ασφαλείας της Επιτροπής για την προστασία των διαβαθμισμένων πληροφοριών της ΕΕ, όπως ορίζονται στην απόφαση (ΕΕ, Ευρατόμ) 2015/444 της Επιτροπής (13). Εάν τα μέλη του δικτύου eHealth δεν τηρήσουν τις εν λόγω υποχρεώσεις, ο πρόεδρος του δικτύου eHealth μπορεί να λάβει όλα τα κατάλληλα μέτρα, όπως προβλέπεται στον εσωτερικό κανονισμό.

Άρθρο 6

Σχέσεις μεταξύ του δικτύου eHealth και της Επιτροπής

1.   Η Επιτροπή:

α)

παρίσταται και συμπροεδρεύει στις συνεδριάσεις του δικτύου eHealth από κοινού με τον εκπρόσωπο των μελών·

β)

συνεργάζεται και παρέχει στήριξη στο δίκτυο eHealth σε σχέση με τις δραστηριότητές του·

γ)

παρέχει γραμματειακή υποστήριξη στο δίκτυο eHealth·

δ)

αναπτύσσει, εφαρμόζει και επικαιροποιεί κατάλληλα τεχνικά και οργανωτικά μέτρα σχετικά με τις βασικές υπηρεσίες της υποδομής ψηφιακών υπηρεσιών ηλεκτρονικής υγείας για τις διασυνοριακές υπηρεσίες πληροφοριών ηλεκτρονικής υγείας·

ε)

στηρίζει το δίκτυο eHealth κατά τη διαπίστωση της τεχνικής και οργανωτικής συμμόρφωσης των εθνικών σημείων επαφής για την ηλεκτρονική υγεία με τις απαιτήσεις για τη διασυνοριακή ανταλλαγή δεδομένων υγείας, προβλέποντας και διενεργώντας τις απαραίτητες δοκιμές και ελέγχους. Εμπειρογνώμονες των κρατών μελών μπορούν να επικουρούν τους ελεγκτές της Επιτροπής.

2.   Η Επιτροπή μπορεί να συμμετέχει στις συνεδριάσεις των υποομάδων του δικτύου eHealth.

3.   Η Επιτροπή μπορεί να συμβουλεύεται το δίκτυο eHealth για θέματα που αφορούν την ηλεκτρονική υγεία σε ενωσιακό επίπεδο και την ανταλλαγή βέλτιστων πρακτικών στον τομέα της ηλεκτρονικής υγείας.

4.   Η Επιτροπή δημοσιοποιεί πληροφορίες σχετικά με τις δραστηριότητες που πραγματοποιεί το δίκτυο eHealth.

Άρθρο 7

Προστασία δεδομένων

1.   Τα κράτη μέλη, τα οποία εκπροσωπούνται από τις αρμόδιες εθνικές αρχές ή άλλους ορισθέντες φορείς, θεωρούνται υπεύθυνοι επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που επεξεργάζονται μέσω της υποδομής ψηφιακών υπηρεσιών ηλεκτρονικής υγείας για τις διασυνοριακές υπηρεσίες πληροφοριών ηλεκτρονικής υγείας και κατανέμουν με σαφήνεια και διαφάνεια τις αρμοδιότητες των υπευθύνων επεξεργασίας.

2.   Η Επιτροπή θεωρείται εκτελούσα την επεξεργασία των δεδομένων προσωπικού χαρακτήρα των ασθενών τα οποία υποβάλλονται σε επεξεργασία μέσω της υποδομής ψηφιακών υπηρεσιών ηλεκτρονικής υγείας για τις διασυνοριακές υπηρεσίες πληροφοριών ηλεκτρονικής υγείας. Η Επιτροπή, υπό την ιδιότητά της ως εκτελούσας την επεξεργασία, διαχειρίζεται τις βασικές υπηρεσίες της υποδομής ψηφιακών υπηρεσιών ηλεκτρονικής υγείας για τις διασυνοριακές υπηρεσίες πληροφοριών ηλεκτρονικής υγείας και συμμορφώνεται με τις υποχρεώσεις του εκτελούντος την επεξεργασία οι οποίες ορίζονται στο παράρτημα της παρούσας απόφασης. Η Επιτροπή δεν έχει πρόσβαση στα δεδομένα προσωπικού χαρακτήρα των ασθενών τα οποία υποβάλλονται σε επεξεργασία μέσω της υποδομής ψηφιακών υπηρεσιών ηλεκτρονικής υγείας για τις διασυνοριακές υπηρεσίες πληροφοριών ηλεκτρονικής υγείας.

3.   Η Επιτροπή θεωρείται υπεύθυνος επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που απαιτούνται για τη χορήγηση και τη διαχείριση δικαιωμάτων πρόσβασης στις βασικές υπηρεσίες της υποδομής ψηφιακών υπηρεσιών ηλεκτρονικής υγείας για τις διασυνοριακές υπηρεσίες πληροφοριών ηλεκτρονικής υγείας. Τα εν λόγω δεδομένα είναι τα στοιχεία επικοινωνίας των χρηστών, όπως το όνομα, το επώνυμο και η διεύθυνση ηλεκτρονικού ταχυδρομείου, καθώς και το κράτος μέλος ασφάλισής τους.

Άρθρο 8

Δαπάνες

1.   Οι συμμετέχοντες στις δραστηριότητες του δικτύου eHealth δεν αμείβονται από την Επιτροπή για τις υπηρεσίες τους.

2.   Τα έξοδα ταξιδίου και διαμονής των συμμετεχόντων στις δραστηριότητες του δικτύου eHealth επιστρέφονται από την Επιτροπή σύμφωνα με τις διατάξεις που ισχύουν στο πλαίσιο της Επιτροπής για την επιστροφή των εξόδων στα οποία υποβλήθηκαν άτομα που δεν ανήκουν στην Επιτροπή και τα οποία καλούνται ως εμπειρογνώμονες. Τα εν λόγω έξοδα επιστρέφονται εντός των ορίων των διαθέσιμων προς τον σκοπό αυτόν πιστώσεων, στο πλαίσιο της ετήσιας διαδικασίας κατανομής των πόρων.

Άρθρο 9

Κατάργηση

Η εκτελεστική απόφαση 2011/890/ΕΕ καταργείται. Οι αναφορές στην καταργούμενη απόφαση θεωρούνται αναφορές στην παρούσα απόφαση.

Άρθρο 10

Αποδέκτες

Η παρούσα απόφαση απευθύνεται στα κράτη μέλη.

Βρυξέλλες, 22 Οκτωβρίου 2019.

Για την Επιτροπή

Vytenis ANDRIUKAITIS

Μέλος της Επιτροπής


(1)  ΕΕ L 88 της 4.4.2011, σ. 45.

(2)  Εκτελεστική απόφαση 2011/890/ΕΕ της Επιτροπής, της 22ας Δεκεμβρίου 2011, για την πρόβλεψη κανόνων θέσπισης, διαχείρισης και λειτουργίας του δικτύου των εθνικών αρχών υπεύθυνων για την ηλεκτρονική υγεία (eHealth) (ΕΕ L 344 της 28.12.2011, σ. 48).

(3)  Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (γενικός κανονισμός για την προστασία δεδομένων) (ΕΕ L 119 της 4.5.2016, σ. 1).

(4)  Κανονισμός (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2018, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ (ΕΕ L 295 της 21.11.2018, σ. 39).

(5)  Κανονισμός (ΕΕ) αριθ. 1316/2013 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 11ης Δεκεμβρίου 2013, για τη σύσταση του μηχανισμού «Συνδέοντας την Ευρώπη», την τροποποίηση του κανονισμού (ΕΕ) αριθ. 913/2010 και την κατάργηση των κανονισμών (ΕΚ) αριθ. 680/2007 και (ΕΚ) αριθ. 67/2010 (ΕΕ L 348 της 20.12.2013, σ. 129).

(6)  Ανακοίνωση της Επιτροπής σχετικά με τη διευκόλυνση του ψηφιακού μετασχηματισμού του τομέα της υγείας και της περίθαλψης στην ψηφιακή ενιαία αγορά, την ισχυροποίηση των πολιτών και την ανάπτυξη μιας υγιέστερης κοινωνίας [COM(2018) 233 final, σ. 7].

(7)  Συμπεράσματα του Συμβουλίου για την υγεία στην ψηφιακή κοινωνία — Προαγωγή της οδηγούμενης από δεδομένα καινοτομίας στον τομέα της υγείας, 2017/C 440/05, παράγραφος 30.

(8)  Κανονισμός (ΕΕ) αριθ. 283/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 11ης Μαρτίου 2014, σχετικά με τις κατευθυντήριες γραμμές για τα διευρωπαϊκά δίκτυα υποδομών των τηλεπικοινωνιών και την κατάργηση της απόφασης αριθ. 1336/97/ΕΚ (ΕΕ L 86 της 21.3.2014, σ. 14).

(9)  Οδηγία (EE) 2016/1148 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 6ης Ιουλίου 2016, σχετικά με μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ένωση (ΕΕ L 194 της 19.7.2016, σ. 1).

(10)  Σύσταση (EE) 2019/243 της Επιτροπής, της 6ης Φεβρουαρίου 2019, σχετικά με έναν ευρωπαϊκό μορφότυπο ανταλλαγής ηλεκτρονικών μητρώων υγείας (ΕΕ L 39 της 11.2.2019, σ. 18).

(11)  https://ec.europa.eu/health/sites/health/files/ehealth/docs/ev_20190611_co922_en.pdf

(12)  Οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (οδηγία για την προστασία ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες) (ΕΕ L 201 της 31.7.2002, σ. 37).

(13)  Απόφαση (ΕΕ, Ευρατόμ) 2015/444 της Επιτροπής, της 13ης Μαρτίου 2015, σχετικά με τους κανόνες ασφαλείας για την προστασία των διαβαθμισμένων πληροφοριών της ΕΕ (ΕΕ L 72 της 17.3.2015, σ. 53).


ΠΑΡΑΡΤΗΜΑ

Καθήκοντα της Επιτροπής ως εκτελούντος την επεξεργασία για την υποδομή ψηφιακών υπηρεσιών ηλεκτρονικής υγείας για τις διασυνοριακές υπηρεσίες πληροφοριών ηλεκτρονικής υγείας

Η Επιτροπή:

1.

Δημιουργεί και εγγυάται ασφαλή και αξιόπιστη επικοινωνιακή υποδομή που διασυνδέει τα δίκτυα των μελών του δικτύου eHealth που συμμετέχουν στην υποδομή ψηφιακών υπηρεσιών ηλεκτρονικής υγείας για τις διασυνοριακές υπηρεσίες πληροφοριών ηλεκτρονικής υγείας («κεντρική ασφαλής επικοινωνιακή υποδομή»). Η Επιτροπή, για να εκπληρώσει τις υποχρεώσεις της, μπορεί να αναθέσει την εκτέλεση αυτού του καθήκοντος σε τρίτους. Η Επιτροπή μεριμνά ώστε να ισχύουν γι’ αυτούς οι ίδιες υποχρεώσεις προστασίας δεδομένων που ορίζονται στην παρούσα απόφαση.

2.

Διαμορφώνει μέρος της κεντρικής ασφαλούς επικοινωνιακής υποδομής έτσι ώστε τα εθνικά σημεία επαφής για την ηλεκτρονική υγεία να μπορούν να ανταλλάσσουν πληροφορίες με ασφάλεια, αξιοπιστία και αποτελεσματικότητα.

3.

Η Επιτροπή επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα βάσει τεκμηριωμένων οδηγιών από τους υπευθύνους επεξεργασίας.

4.

Λαμβάνει όλα τα μέτρα οργανωτικής, φυσικής και λογικής ασφαλείας για τη διατήρηση της κεντρικής ασφαλούς επικοινωνιακής υποδομής. Για τον σκοπό αυτό, η Επιτροπή:

α)

ορίζει μια υπεύθυνη οντότητα για τη διαχείριση της ασφάλειας στο επίπεδο της κεντρικής ασφαλούς επικοινωνιακής υποδομής, κοινοποιεί στους υπευθύνους επεξεργασίας δεδομένων τα στοιχεία επικοινωνίας μ’ αυτή και εξασφαλίζει ότι η οντότητα αυτή θα είναι διαθέσιμη να αντιδρά σε απειλές κατά της ασφάλειας·

β)

αναλαμβάνει την ευθύνη για την ασφάλεια της κεντρικής ασφαλούς επικοινωνιακής υποδομής·

γ)

μεριμνά ώστε όλα τα άτομα στα οποία έχει χορηγηθεί πρόσβαση στην κεντρική ασφαλή επικοινωνιακή υποδομή να υπόκεινται σε συμβατική, επαγγελματική ή κανονιστική υποχρέωση τήρησης εμπιστευτικότητας·

δ)

διασφαλίζει ότι το προσωπικό που έχει πρόσβαση σε διαβαθμισμένες πληροφορίες πληροί τα αντίστοιχα κριτήρια εξουσιοδότησης και εμπιστευτικότητας.

5.

Λαμβάνει όλα τα αναγκαία μέτρα ασφάλειας ώστε να αποφεύγεται η διασάλευση της ομαλής λειτουργίας του χώρου του άλλου. Για τον σκοπό αυτό, η Επιτροπή θεσπίζει τις ειδικές διαδικασίες που αφορούν τη σύνδεση με την κεντρική ασφαλή επικοινωνιακή υποδομή. Οι πληροφορίες αυτές περιλαμβάνουν:

α)

διαδικασία αξιολόγησης κινδύνων για τον εντοπισμό και την εκτίμηση πιθανών απειλών κατά του συστήματος·

β)

διαδικασία ελέγχου και επιθεώρησης με σκοπό:

i)

να ελέγχεται η αντιστοιχία μεταξύ των εφαρμοζόμενων μέτρων ασφάλειας και της πολιτικής ασφάλειας που ακολουθείται·

ii)

να ελέγχεται, σε τακτική βάση, η ακεραιότητα των αρχείων του συστήματος, των παραμέτρων ασφαλείας και των χορηγούμενων αδειών·

iii)

να υπάρχει παρακολούθηση προκειμένου να εντοπίζονται παραβιάσεις και παρεισφρήσεις στον τομέα της ασφάλειας·

iv)

να γίνονται αλλαγές ώστε να παύουν οι υφιστάμενες αδυναμίες στον τομέα της ασφάλειας· και

v)

να καθορίζονται οι όροι υπό τους οποίους χορηγείται, μεταξύ άλλων κατόπιν αιτήματος των υπευθύνων επεξεργασίας, άδεια για τη διενέργεια ανεξάρτητων ελέγχων, συμπεριλαμβανομένων των επιθεωρήσεων, και αξιολογήσεων των μέτρων ασφαλείας, και να διευκολύνεται η εν λόγω διεξαγωγή τους·

γ)

αλλαγή της διαδικασίας ελέγχου για την τεκμηρίωση και τη μέτρηση του αντικτύπου μιας αλλαγής πριν από την υλοποίησή της και ενημέρωση των εθνικών σημείων επαφής για την ηλεκτρονική υγεία σχετικά με τυχόν αλλαγές που μπορούν να επηρεάσουν την επικοινωνία με τις άλλες εθνικές υποδομές και/ή την ασφάλειά τους·

δ)

διαδικασία συντήρησης και επισκευής για τον καθορισμό των κανόνων και των όρων που πρέπει να τηρούνται κατά τη συντήρηση και/ή την επισκευή του εξοπλισμού·

ε)

διαδικασία για τα περιστατικά ασφάλειας με σκοπό τον καθορισμό του συστήματος αναφοράς και κλιμάκωσης, τη χωρίς καθυστέρηση ενημέρωση της αρμόδιας εθνικής αρχής και του Ευρωπαίου Επόπτη Προστασίας Δεδομένων για κάθε παραβίαση της ασφάλειας, και τον καθορισμό πειθαρχικής διαδικασίας για την αντιμετώπιση των παραβιάσεων της ασφάλειας.

6.

Λαμβάνει μέτρα φυσικής και/ή λογικής ασφάλειας για τις εγκαταστάσεις που φιλοξενούν τον εξοπλισμό της κεντρικής ασφαλούς επικοινωνιακής υποδομής και για τους ελέγχους των λογικών δεδομένων και της πρόσβασης ασφαλείας. Για τον σκοπό αυτό, η Επιτροπή:

α)

επιβάλλει φυσική ασφάλεια για να καθιερώσει διακριτικές περιμέτρους ασφαλείας και να καταστήσει εφικτό τον εντοπισμό παραβάσεων·

β)

ελέγχει την πρόσβαση στις εγκαταστάσεις και τηρεί μητρώο επισκεπτών για σκοπούς ιχνηλάτησης·

γ)

εξασφαλίζει ότι τα άτομα που δεν είναι μέλη του προσωπικού και στα οποία έχει χορηγηθεί πρόσβαση στις εγκαταστάσεις συνοδεύονται από δεόντως εξουσιοδοτημένο προσωπικό του αντίστοιχου οργανισμού του·

δ)

εξασφαλίζει ότι δεν μπορεί να προστεθεί, να αντικατασταθεί ή να αφαιρεθεί εξοπλισμός χωρίς προηγούμενη έγκριση των ορισθέντων αρμόδιων φορέων·

ε)

ελέγχει την πρόσβαση από και προς άλλα δίκτυα διασυνδεδεμένα με την κεντρική ασφαλή επικοινωνιακή υποδομή·

στ)

διασφαλίζει ότι τα άτομα που έχουν πρόσβαση στην κεντρική ασφαλή επικοινωνιακήυποδομή ταυτοποιούνται και η ταυτότητά τους επαληθεύεται·

ζ)

επανεξετάζει τα δικαιώματα χορήγησης άδειας όσον αφορά την πρόσβαση στην κεντρική ασφαλή επικοινωνιακή υποδομή, σε περίπτωση παραβίασης της ασφάλειας που επηρεάζει την εν λόγω υποδομή·

η)

τηρεί την ακεραιότητα των διαβιβαζόμενων πληροφοριών μέσω της κεντρικής ασφαλούς επικοινωνιακής υποδομής·

θ)

εφαρμόζει τεχνικά και οργανωτικά μέτρα ασφαλείας για την πρόληψη μη εξουσιοδοτημένης πρόσβασης σε δεδομένα προσωπικού χαρακτήρα·

ι)

εφαρμόζει, όποτε είναι αναγκαίο, μέτρα για την παρεμπόδιση της μη εξουσιοδοτημένης πρόσβασης στην κεντρική ασφαλή επικοινωνιακή υποδομή από τον τομέα των εθνικών σημείων επαφής για την ηλεκτρονική υγεία (δηλαδή μπλοκάρει τοποθεσία/διεύθυνση IP).

7.

Λαμβάνει μέτρα για την προστασία του τομέα της, συμπεριλαμβανομένης της αποκοπής συνδέσεων, σε περίπτωση σημαντικής απόκλισης από τις αρχές και τις έννοιες της ποιότητας ή της ασφάλειας.

8.

Διατηρεί σχέδιο διαχείρισης κινδύνου που αφορά τον τομέα αρμοδιότητάς της.

9.

Παρακολουθεί —σε πραγματικό χρόνο— την απόδοση όλων των συνιστωσών των υπηρεσιών της κεντρικής ασφαλούς επικοινωνιακής υποδομής της, παράγει τακτικές στατιστικές και τηρεί αρχεία.

10.

Παρέχει στήριξη σε όλες τις υπηρεσίες της κεντρικής ασφαλούς επικοινωνιακής υποδομής στα αγγλικά 24/7 μέσω τηλεφώνου, ταχυδρομείου ή διαδικτυακής πύλης και αποδέχεται κλήσεις από εξουσιοδοτημένους επισκέπτες: συντονιστές της κεντρικής ασφαλούς επικοινωνιακής υποδομής και τις αντίστοιχες υπηρεσίες υποστήριξης, υπευθύνους έργων και ορισθέντα άτομα από την Επιτροπή.

11.

Στηρίζει τους υπευθύνους επεξεργασίας παρέχοντας πληροφορίες σχετικά με την κεντρική ασφαλή επικοινωνιακή υποδομή της υποδομής ψηφιακών υπηρεσιών ηλεκτρονικής υγείας για τις διασυνοριακές υπηρεσίες πληροφοριών ηλεκτρονικής υγείας, προκειμένου να εφαρμοστούν οι υποχρεώσεις που προβλέπονται στα άρθρα 35 και 36 του κανονισμού (ΕΕ) 2016/679.

12.

Διασφαλίζει ότι τα δεδομένα που μεταφέρονται στο πλαίσιο της κεντρικής ασφαλούς επικοινωνιακής υποδομής είναι κρυπτογραφημένα.

13.

Λαμβάνει όλα τα κατάλληλα μέτρα για να αποτρέψει τη μη εξουσιοδοτημένη πρόσβαση φορέων της κεντρικής ασφαλούς επικοινωνιακής υποδομής σε μεταφερόμενα δεδομένα.

14.

Λαμβάνει μέτρα για να διευκολύνει τη διαλειτουργικότητα και την επικοινωνία μεταξύ των αρμόδιων εθνικών διοικήσεων της κεντρικής ασφαλούς επικοινωνιακής υποδομής που έχουν ορισθεί.