(1)

Tämän asetuksen tarkoituksena on perustaa eurooppalainen terveystietoalue, jotta luonnolliset henkilöt voivat helpommin päästä henkilökohtaisiin sähköisiin terveystietoihinsa ja hallita niitä terveydenhuollon yhteydessä, ja jotta voidaan toteuttaa paremmin muita yhteiskunnan kannalta hyödyllisiä sähköisten terveystietojen käyttöön liittyviä terveydenhuolto- ja hoiva-alan käyttötarkoituksia, joita ovat esimerkiksi tutkimus, innovointi, päätöksenteko, terveysuhkiin varautuminen ja niihin reagointi, mukaan lukien uusien pandemioiden ehkäisy ja niihin vastaaminen, potilasturvallisuus, yksilöllistetty hoito, viralliset tilastot tai sääntelytoimet. Lisäksi tämän asetuksen tavoitteena on parantaa sisämarkkinoiden toimintaa vahvistamalla yhtenäinen oikeudellinen ja tekninen kehys erityisesti sähköisten potilaskertomusjärjestelmien kehittämistä, kaupan pitämistä ja käyttöä varten unionin arvojen mukaisesti. Eurooppalainen terveystietoalue toimii keskeisenä tekijänä rakennettaessa vahvaa ja häiriönsietokykyistä Euroopan terveysunionia.

(2)

Covid-19-pandemia on tuonut selkeästi esiin sen, että nopea pääsy laadukkaisiin sähköisiin terveystietoihin on tärkeää paitsi terveysuhkiin varautumista ja niihin reagointia varten myös ennaltaehkäisyä, diagnosointia ja hoitoa sekä tällaisten sähköisten terveystietojen toissijaista käyttöä varten. Nopea pääsy tietoihin voisi mahdollistaa kansanterveyden tehokkaan valvonnan ja seurannan ja sen myötä uusien pandemioiden tehokkaamman hallinnan, alhaisemmat kustannukset ja paremman reagoinnin terveysuhkiin ja voisi siten viime kädessä auttaa pelastamaan useamman ihmisen hengen. Vuonna 2020 komissio mukautti kiireellisesti komission täytäntöönpanopäätöksellä (EU) 2019/1269 (4) perustettua kliinisen potilashoidon asiantuntijajärjestelmää, jotta jäsenvaltiot voivat jakaa sähköisiä terveystietoja covid-19-potilaista, jotka liikkuvat terveydenhuollon tarjoajien ja jäsenvaltioiden välillä pandemian huipun aikana. Kyseinen mukauttaminen oli kuitenkin vain hätäratkaisu ja osoitus siitä, että jäsenvaltioiden ja unionin tasolla tarvitaan jäsenneltyä ja yhdenmukaista lähestymistapaa sekä sähköisten terveystietojen saatavuuden parantamista terveydenhuollossa että sähköisiin terveystietoihin pääsyn helpottamista varten, jotta voidaan ohjata vaikuttavia politiikkatoimia ja osaltaan edistää ihmisten terveyttä koskevien tiukkojen normien hyväksymistä.

(3)

Covid-19-kriisin aikana sähköisten terveyspalvelujen verkoston, joka on digitaalisesta terveydenhuollosta vastuussa olevien viranomaisten vapaaehtoinen verkosto, työ kohosi kantavaksi pilariksi kehitettäessä kontaktinjäljitys- ja kontaktinvaroitussovelluksia mobiililaitteille ja EU:n digitaalisten koronatodistusten teknisiä näkökohtia. Kriisi korosti myös tarvetta jakaa sähköisiä terveystietoja, jotka ovat löydettävissä, saatavilla, yhteentoimivia ja uudelleenkäytettäviä eli ns. FAIR-periaatteiden (findable, accessible, interoperable, reusable) mukaisia, sekä varmistaa, että sähköiset terveystiedot ovat niin avoimia kuin mahdollista noudattaen samalla Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 (5) säädettyä tietojen minimointi -periaatetta. Olisi varmistettava synergia eurooppalaisen terveystietoalueen, eurooppalaisten avoimen tieteen pilvipalvelujen ja eurooppalaisten tutkimusinfrastruktuurien välillä ja olisi otettava opiksi Euroopan covid-19-dataportaalin puitteissa kehitetyistä tietojen jakamiseen liittyvistä ratkaisuista.

(4)

Koska henkilökohtaiset sähköiset terveystiedot ovat arkaluonteisia, tällä asetuksella pyritään takaamaan sekä unionin että kansallisella tasolla riittävät suojatoimet tietosuojan ja tietoturvan sekä tietojen luottamuksellisuuden ja eettisen käytön korkean tason varmistamiseksi. Tällaiset suojatoimet ovat tarpeen, jotta voidaan parantaa luottamusta luonnollisten henkilöiden sähköisten terveystietojen turvalliseen käsittelyyn tässä asetuksessa määritellyssä ensisijaisessa käytössä ja toissijaisessa käytössä.

(5)

Henkilökohtaisten sähköisten terveystietojen käsittelyyn sovelletaan asetuksen (EU) 2016/679 säännöksiä sekä unionin toimielinten, elinten ja laitosten osalta Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 (6) säännöksiä. Viittauksia asetuksen (EU) 2016/679 säännöksiin olisi tarvittaessa pidettävä myös viittauksina asetuksen (EU) 2018/1725 vastaaviin unionin toimielimiä, elimiä ja laitoksia koskeviin säännöksiin.

(6)

Yhä useammat unionissa elävät henkilöt liikkuvat yli valtioiden rajojen työskentelyn, opiskelun, sukulaisten luona vierailun tai muun syyn vuoksi. Jotta terveystietojen vaihto yli rajojen helpottuisi ja jotta vastataan tarpeeseen lisätä kansalaisten vaikutusmahdollisuuksia, heidän olisi voitava päästä terveystietoihinsa sellaisessa sähköisessä muodossa, joka voidaan tunnustaa ja hyväksyä kaikkialla unionissa. Tällaisiin henkilökohtaisiin sähköisiin terveystietoihin voisivat kuulua henkilötiedot, jotka liittyvät luonnollisen henkilön fyysiseen terveyteen tai mielenterveyteen, mukaan lukien annettuihin terveyspalveluihin liittyvät, ja jotka kertovat kyseisen luonnollisen henkilön terveydentilasta, luonnollisen henkilön perittyihin tai hankittuihin geneettisiin ominaisuuksiin liittyvät henkilötiedot, joista selviää yksilöllistä tietoa kyseisen luonnollisen henkilön fysiologiasta tai terveydestä ja joita saadaan ennen kaikkea analysoimalla kyseisen luonnollisen henkilön biologisia näytteitä, sekä tiedot terveyden taustatekijöistä, kuten käyttäytymisestä, ympäristö- ja fysikaalisista tekijöistä, lääketieteellisestä hoidosta ja sosiaalisista tai koulutukseen liittyvistä tekijöistä. Sähköisiin terveystietoihin kuuluvat myös tiedot, jotka on alun perin kerätty tutkimustarkoituksessa, tilastollisessa tarkoituksessa, terveysuhkien arviointi-, päätöksenteko- tai sääntelytarkoituksissa ja jotka olisi oltava mahdollista asettaa saataville tässä asetuksessa säädettyjen sääntöjen mukaisesti. Kaikkiin kyseisiin luokkiin kuuluvat tiedot ovat sähköisiä terveystietoja riippumatta siitä, onko ne saatu rekisteröidyltä henkilöltä vai muilta luonnollisilta henkilöiltä tai oikeushenkilöiltä, kuten terveydenhuollon ammattihenkilöiltä, tai käsitelläänkö niitä luonnollisen henkilön terveyteen tai hyvinvointiin liittyen, ja niihin olisi kuuluttava myös päätellyt ja johdetut tiedot, kuten diagnoosit, testit ja lääkärintarkastukset, samoin kuin automaattisoidusti saadut ja kirjatut tiedot.

(7)

Terveydenhuoltojärjestelmissä henkilökohtaisia sähköisiä terveystietoja kerätään yleensä sähköisiin potilaskertomuksiin, jotka tyypillisesti sisältävät tietoja luonnollisen henkilön terveydentilasta ja terveydellisestä taustasta, diagnooseista ja hoidosta, lääkityksestä, allergioista ja rokotuksista sekä radiologisia kuvia ja laboratoriotuloksia ja muita lääketieteellisiä tietoja, joita terveydenhuoltojärjestelmän eri toimijat, kuten yleislääkärit, sairaalat, apteekit tai hoivapalvelut, ovat kirjanneet. Mahdollistaakseen luonnollisille henkilöille ja terveydenhuollon ammattihenkilöille pääsyn sähköisiin terveystietoihin ja niiden jakamisen ja muuttamisen jotkin jäsenvaltiot ovat toteuttaneet tarvittavat oikeudelliset ja tekniset toimenpiteet ja perustaneet keskitettyjä infrastruktuureja, joissa yhdistyvät terveydenhuollon tarjoajien ja luonnollisten henkilöiden käyttämät sähköiset potilaskertomusjärjestelmät. Jotkin jäsenvaltiot antavat lisäksi julkisille ja yksityisille terveydenhuollon tarjoajille tukea henkilökohtaisten sähköisten terveystietoalueiden perustamiseen, jotta mahdollistetaan yhteentoimivuus eri terveydenhuollon tarjoajien välillä. Useat jäsenvaltiot myös tukevat tai tarjoavat potilaille ja terveydenhuollon ammattihenkilöille sähköisten terveystietojen käyttöpalveluja (jotka on toteutettu esimerkiksi potilaiden tai terveydenhuollon ammattihenkilöiden portaaleina). Kyseiset jäsenvaltiot ovat myös toteuttaneet toimenpiteitä sen varmistamiseksi, että sähköiset potilaskertomusjärjestelmät tai hyvinvointisovellukset pystyvät siirtämään sähköisiä terveystietoja sähköisten potilaskertomusten keskusjärjestelmään esimerkiksi huolehtimalla siitä, että käytössä on sertifiointijärjestelmä). Kaikki jäsenvaltiot eivät kuitenkaan ole ottaneet käyttöön tällaisia järjestelmiä, ja ne jäsenvaltiot, jotka ovat niitä toteuttaneet, ovat tehneet sen hajanaisesti. Jotta voidaan helpottaa henkilökohtaisten sähköisten terveystietojen vapaata liikkuvuutta kaikkialla unionissa ja välttää kielteisten seurausten aiheutuminen potilaille siitä, että he saavat terveydenhuoltoa toisessa jäsenvaltiossa, tarvitaan unionin toimia sen parantamaan luonnollisten henkilöiden pääsyä omiin sähköisiin terveystietoihinsa ja valtuudet jakaa niitä. Tältä osin olisi toteutettava asianmukaisia unionin ja kansallisen tason toimia keinona vähentää hajanaisuutta, epäyhtenäisyyttä ja eriytymistä ja luoda käyttäjäystävällinen ja intuitiivinen järjestelmä kaikissa jäsenvaltioissa. Olisi pyrittävä siihen, että terveysalan digitalisaatio on aina osallistavaa ja hyödyttää myös luonnollisia henkilöitä, joilla on huonot mahdollisuudet päästä digitaalisiin palveluihin ja käyttää niitä, vammaiset henkilöt mukaan lukien.

(8)

Asetuksessa (EU) 2016/679 vahvistetaan erityiset säännökset, jotka koskevat luonnollisten henkilöiden oikeuksia heidän henkilötietojensa käsittelyssä. Eurooppalainen terveystietoalue perustuu kyseisiin oikeuksiin ja täydentää joitakin niistä henkilökohtaisten sähköisten terveystietojen osalta. Kyseiset oikeudet ovat voimassa riippumatta siitä, missä jäsenvaltiossa henkilökohtaisia sähköisiä terveystietoja käsitellään, minkä tyyppinen terveydenhuollon tarjoaja on kyseessä, mistä lähteistä kyseiset tiedot ovat peräisin tai mikä on luonnollisen henkilön vakuutusjäsenvaltio. Tässä asetuksessa esitetyt henkilökohtaisten sähköisten terveystietojen ensisijaiseen käyttöön liittyvät oikeudet ja säännöt koskevat kaikkia kyseisten tietojen luokkia riippumatta siitä, miten ne on kerätty, keneltä ne on saatu, mikä on asetuksen (EU) 2016/679 mukainen käsittelyn oikeusperuste ja onko rekisterinpitäjä julkinen vai yksityinen organisaatio. Tässä asetuksessa säädetyt henkilökohtaisiin sähköisiin terveystietoihin pääsyä ja niiden siirrettävyyttä koskevat lisäoikeudet eivät saisi rajoittaa asetuksessa (EU) 2016/679 vahvistettuja pääsyä ja siirrettävyyttä koskevia oikeuksia. Luonnolliset henkilöt säilyttävät nämä oikeudet kyseisessä asetuksessa säädetyin edellytyksin.

(9)

Asetuksella (EU) 2016/679 annettujen oikeuksien olisi pysyttävä voimassa. Terveydenhuoltoalalla olisi täydennettävä edelleen asetuksessa (EU) 2016/679 vahvistettua luonnollisen henkilön oikeutta saada tutustua tietoihin. Kyseisen asetuksen mukaan rekisterinpitäjien ei tarvitse myöntää pääsyä välittömästi. Oikeus saada pääsy terveystietoihin toteutuu useissa paikoissa yhä siten, että pyydetyt terveystiedot toimitetaan paperimuodossa tai skannattuina asiakirjoina, mikä vie paljon rekisterinpitäjän, kuten sairaalan tai muun pääsyn antavan terveydenhuollon tarjoajan, aikaa. Kyseinen tilanne hidastaa luonnollisten henkilöiden pääsyä terveystietoihin ja voi vaikuttaa kielteisesti heihin, jos heidän on saatava tällainen pääsy välittömästi terveydentilaansa liittyvien kiireellisten olosuhteiden vuoksi. Näin ollen luonnollisille henkilöille on tarpeen tarjota tehokkaampi tapa päästä omiin henkilökohtaisiin sähköisiin terveystietoihinsa. Heillä pitäisi olla oikeus saada sähköisten terveystietojen käyttöpalvelussa maksutta ja välittömästi, tekninen toteutettavuus huomioon ottaen, pääsy tiettyihin prioriteettiluokkiin kuuluviin henkilökohtaisiin sähköisiin terveystietoihin, kuten potilastietojen yhteenvetoon. Kyseistä oikeutta olisi sovellettava riippumatta siitä, missä jäsenvaltiossa henkilökohtaisia sähköisiä terveystietoja käsitellään, minkä tyyppinen terveydenhuollon tarjoaja on kyseessä, mistä lähteistä tiedot ovat peräisin tai mikä on luonnollisen henkilön vakuutusjäsenvaltio. Kyseisen tässä asetuksessa vahvistetun täydentävän oikeuden kattama ala ja sen käytön edellytykset eroavat tietyiltä osin siitä asetuksessa (EU) 2016/679 säädetystä oikeudesta päästä henkilötietoihin, joka kattaa kaikki rekisterinpitäjän hallussa olevat henkilötiedot, ja sitä käytetään suhteessa yksittäiseen rekisterinpitäjään, jonka on vastattava pyyntöön yhden kuukauden kuluessa. Tämän asetuksen mukainen oikeus saada pääsy henkilökohtaisiin sähköisiin terveystietoihin olisi rajoitettava sen soveltamisalaan kuuluviin tietoluokkiin, sitä olisi käytettävä sähköisten terveystietojen käyttöpalvelun kautta ja sen olisi tuotettava vastaus välittömästi. Asetuksen (EU) 2016/679 mukaisten oikeuksien olisi oltava edelleen voimassa, jotta luonnolliset henkilöt voivat hyödyntää molemmissa kehyksissä vahvistettuja oikeuksia, erityisesti oikeutta saada sähköisistä terveystiedoista paperiversio.

(10)

Olisi otettava huomioon, että luonnollisten henkilöiden välitön pääsy tiettyihin sähköisten terveystietojensa luokkiin voi olla vahingollista luonnollisten henkilöiden turvallisuudelle tai se voi olla epäeettistä. Epäeettistä voisi olla esimerkiksi se, että potilaalle tiedotetaan sähköisen kanavan kautta hänellä diagnosoidusta parantumattomasta sairaudesta, joka todennäköisesti johtaa potilaan pikaiseen kuolemaan, sen sijaan, että kyseinen tieto annettaisiin potilaalle ensiksi vastaanotolla. Sen vuoksi olisi oltava mahdollista lykätä tällaisen pääsyn antamista sähköisiin henkilökohtaisiin terveystietoihin näissä tilanteissa rajoitetuksi ajaksi esimerkiksi siihen saakka, kunnes terveydenhuollon ammattihenkilö voi selittää tilanteen potilaalle. Jäsenvaltioiden olisi voitava vahvistaa tällainen poikkeus, jos se on asetuksen (EU) 2016/679 23 artiklassa säädeltyjen rajoitusten mukainen demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide.

(11)

Tämä asetus ei vaikuta jäsenvaltioiden toimivaltaan henkilökohtaisten sähköisten terveystietojen ensimmäisen rekisteröinnin osalta, kuten luonnollisen henkilön suostumuksen tai muiden suojatoimien asettamiseen geneettisten tietojen rekisteröinnin ehdoksi. Jäsenvaltiot voivat vaatia tietojen asettamista saataville sähköisessä muodossa ennen tämän asetuksen soveltamista. Tämä ei saisi vaikuttaa velvollisuuteen asettaa tämän asetuksen soveltamispäivän jälkeen rekisteröidyt henkilökohtaiset sähköiset terveystiedot saataville sähköisessä muodossa.

(12)

Luonnollisten henkilöiden olisi voitava lisätä sähköisiä terveystietoja sähköisiin potilaskertomuksiinsa tai tallentaa lisätietoja erilliseen henkilökohtaiseen potilaskertomukseensa, johon terveydenhuollon ammattihenkilöillä on pääsy, täydentääkseen saatavillaan olevaa tietoa. Luonnollisten henkilöiden lisäämät tiedot eivät kuitenkaan välttämättä ole yhtä luotettavia kuin terveydenhuollon ammattihenkilöiden syöttämät ja varmentamat sähköiset terveystiedot, eikä niillä ole samaa kliinistä tai oikeudellista arvoa kuin terveydenhuollon ammattihenkilön syöttämillä tiedoilla. Sen vuoksi näiden tietojen olisi oltava selkeästi erotettavissa terveydenhuollon ammattihenkilöiden syöttämistä tiedoista. Luonnollisten henkilöiden mahdollisuus lisätä ja täydentää henkilökohtaisia sähköisiä terveystietoja ei saisi antaa heille oikeutta muuttaa terveydenhuollon ammattihenkilöiden syöttämiä henkilökohtaisia sähköisiä terveystietoja.

(13)

Kun luonnollisille henkilöille annetaan helpompi ja nopeampi pääsy henkilökohtaisiin sähköisiin terveystietoihinsa, heillä on paremmat mahdollisuudet havaita mahdolliset virheet, kuten väärät tiedot tai virheellisesti osoitetut henkilökohtaiset sähköiset potilastiedot. Tällaisissa tapauksissa luonnollisella henkilöllä olisi oltava mahdollisuus pyytää virheellisten henkilökohtaisten sähköisten terveystietojen oikaisemista verkossa välittömästi ja maksutta sähköisten terveystietojen käyttöpalvelussa. Asianomaisten rekisterinpitäjien olisi käsiteltävä tällaiset tietojen oikaisupyynnöt asetuksen (EU) 2016/679 mukaisesti ja tarvittaessa asianomaiseen alaan erikoistuneiden ja kyseisen luonnollisen henkilön hoidosta vastaavien terveydenhuollon ammattihenkilöiden avustuksella.

(14)

Asetuksen (EU) 2016/679 mukaan oikeus siirtää tiedot järjestelmästä toiseen rajoittuu tietoihin, joita käsitellään suostumuksen tai sopimuksen perusteella ja jotka rekisteröity toimittaa rekisterinpitäjälle. Kyseisen asetuksen mukaan luonnollisella henkilöllä on myös oikeus saada henkilötiedot siirrettyä suoraan rekisterinpitäjältä toiselle vain, jos se on teknisesti mahdollista. Asetuksessa (EU) 2016/679 ei kuitenkaan aseteta velvoitetta tehdä kyseisestä suorasta siirrosta teknisesti mahdollista. Oikeutta siirtää tiedot järjestelmästä toiseen olisi täydennettävä tällä asetuksella siten, että luonnolliset henkilöt voivat antaa pääsyn vähintään prioriteettiluokkiin kuuluviin henkilökohtaisiin sähköisiin terveystietoihinsa valitsemilleen terveydenhuollon ammattihenkilöille, vaihtaa tällaisia terveystietoja tällaisten terveydenhuollon ammattihenkilöiden kanssa ja ladata tällaisia terveystietoja. Lisäksi luonnollisilla henkilöillä olisi oltava oikeus pyytää terveydenhuollon tarjoajaa toimittamaan osa heitä koskevista sähköisistä terveystiedoista selkeästi yksilöidylle sosiaaliturva- tai korvausalan vastaanottajalle. Tällainen siirto saisi olla vain yksisuuntaista.

(15)

Tässä asetuksessa vahvistetun kehyksen olisi perustuttava asetuksessa (EU) 2016/679 vahvistettuun oikeuteen siirtää tiedot järjestelmästä toiseen, eli varmistettava, että rekisteröidyt luonnolliset henkilöt voivat siirtää henkilökohtaisia sähköisiä terveystietojaan, eurooppalaisessa sähköisten terveystietojen vaihtoformaatissa olevat päätellyt tiedot mukaan lukien, riippumatta siitä, mikä on sähköisten terveystietojen käsittelyn oikeusperusta. Terveydenhuollon ammattihenkilöt eivät saisi estää luonnollisten henkilöiden oikeuksien soveltamista, esimerkiksi kieltäytyä ottamasta huomioon toisesta jäsenvaltiosta peräisin olevia, yhteentoimivassa ja luotettavassa eurooppalaisessa sähköisten terveystietojen vaihtoformaatissa toimitettuja henkilökohtaisia sähköisiä terveystietoja.

(16)

Terveydenhuollon tarjoajien tai muiden henkilöiden pääsyn sähköisiin potilaskertomuksiin olisi oltava läpinäkyvää asianomaisille luonnollisille henkilöille. Sähköisten terveystietojen käyttöpalvelujen olisi annettava yksityiskohtaista informaatiota tietoihin pääsystä, kuten siitä, milloin ja mikä toimija tai kuka luonnollinen henkilö tietoja käytti. Luonnollisten henkilöiden olisi myös voitava kytkeä päälle tai pois päältä automaattiset ilmoitukset henkilökohtaisten sähköisten terveystietojensa käytöstä terveydenhuollon ammattihenkilöiden tietojenkäyttöpalveluissa.

(17)

Luonnolliset henkilöt eivät välttämättä halua sallia pääsyä joihinkin henkilökohtaisten sähköisten terveystietojensa osiin, vaikka antavat pääsyn toisiin osiin. Tällä voisi olla merkitystä erityisesti arkaluonteisten terveysasioiden tapauksissa, kuten mielenterveyteen tai seksuaaliterveyteen liittyvissä asioissa, abortin kaltaisissa arkaluonteisissa toimenpiteissä tai tiettyjä lääkkeitä koskevissa tiedoissa, jotka voivat paljastaa muita arkaluonteisia seikkoja. Näin ollen tällaista henkilökohtaisten sähköisten terveystietojen valikoivaa jakamista olisi tuettava ja toteutettava asianomaisen luonnollisen henkilön asettamin rajoituksin yhdenmukaisesti tietyn jäsenvaltion alueella ja jaettaessa tietoja yli valtioiden rajojen. Kyseisten rajoitusten olisi mahdollistettava riittävä rakeisuus, jotta voidaan rajoittaa pääsyä tietoaineistojen osiin, kuten potilastietojen yhteenvetojen elementteihin. Ennen rajoitusten asettamista luonnollisille henkilöille olisi kerrottava terveystietoihin pääsyn rajoittamiseen liittyvistä potilasturvallisuusriskeistä. Koska se, että henkilökohtaiset sähköiset terveystiedot eivät ole rajoituksen vuoksi saatavilla, voi vaikuttaa luonnolliselle henkilölle tarjottavien terveyspalvelujen antamiseen tai laatuun, tällaisia rajoituksia käyttävien luonnollisten henkilöiden olisi otettava vastuu siitä, että terveydenhuollon tarjoaja ei voi ottaa kyseisiä tietoja huomioon terveyspalveluja tarjotessaan. Henkilökohtaisiin sähköisiin potilastietoihin pääsyn rajoituksilla voi kuitenkin olla hengenvaarallisia seurauksia, ja siksi pääsyn kyseisiin tietoihin pitäisi kuitenkin olla mahdollista silloin, kun se on välttämätöntä elintärkeiden etujen suojaamiseksi hätätilanteessa. Jäsenvaltiot voisivat antaa kansallisessa lainsäädännössään tarkempia säännöksiä mekanismeista, joilla luonnolliset henkilöt voivat rajoittaa pääsyä osaan henkilökohtaisista sähköisistä terveystiedoistaan, erityisesti siltä osin kuin on kyse lääketieteellisestä vahinkovastuusta tapauksissa, joissa asianomainen luonnollinen henkilö on asettanut rajoituksia.

(18)

Lisäksi jäsenvaltioissa suhtaudutaan eri tavoilla siihen, missä määrin potilaat voivat hallita omia terveystietojaan, minkä vuoksi jäsenvaltioiden olisi voitava säätää absoluuttisesta kielto-oikeudesta antaa pääsy kenellekään muulle kuin alkuperäiselle rekisterinpitäjälle ilman mahdollisuutta ohittaa kyseistä kielto-oikeutta hätätilanteessa. Tällaisessa tapauksessa jäsenvaltioiden olisi vahvistettava tällaisia kieltomekanismeja koskevat säännöt ja erityiset suojatoimet. Kyseiset säännöt ja erityiset suojatoimet voivat liittyä myös tiettyihin henkilökohtaisten sähköisten terveystietojen luokkiin, esimerkiksi geneettisiin tietoihin. Kielto-oikeus tarkoittaa, että sitä käyttäneitä luonnollisia henkilöitä koskevia henkilökohtaisia sähköisiä terveystietoja ei aseteta saataville eurooppalaisen terveystietoalueen nojalla perustetuissa palveluissa muille kuin hoidon antaneelle terveydenhuollon tarjoajalle. Jäsenvaltioiden tulisi voida edellyttää, että kielto-oikeuttaan käyttävien luonnollisten henkilöiden henkilökohtaiset sähköiset terveystiedot rekisteröidään ja tallennetaan terveyspalvelut tarjonneen terveydenhuollon tarjoajan käyttämään sähköiseen potilaskertomusjärjestelmään, johon on pääsy ainoastaan kyseisellä terveydenhuollon tarjoajalla. Jos luonnollinen henkilö on käyttänyt kielto-oikeuttaan, terveydenhuollon tarjoajat dokumentoivat kuitenkin annetun hoidon sovellettavien sääntöjen mukaisesti ja voivat käyttää rekisteröimiään tietoja. Kielto-oikeutta käyttäneiden luonnollisten henkilöiden olisi voitava kumota päätöksensä. Tällaisissa tapauksissa kiellon voimassaolon aikana tuotetut henkilökohtaiset sähköiset terveystiedot eivät välttämättä ole saatavilla käyttöpalveluissa ja Minun terveyteni @ EU (MyHealth@EU) -infrastruktuurissa.

(19)

Terveydenhuollon ammattihenkilöiden oikea-aikainen ja rajoittamaton pääsy potilaskertomusten tietoihin on olennaisen tärkeää hoidon katkeamattomuuden varmistamiseksi, päällekkäisyyksien ja virheiden välttämiseksi sekä kustannusten alentamiseksi. Puutteellisen yhteentoimivuuden vuoksi terveydenhuollon ammattihenkilöt eivät kuitenkaan monissa tapauksissa voi saada pääsyä potilaidensa täydellisiin potilaskertomustietoihin ja tehdä optimaalisia lääketieteellisiä päätöksiä heidän diagnooseistaan ja hoidostaan, mikä aiheuttaa huomattavia kustannuksia sekä terveysjärjestelmille että luonnollisille henkilöille ja voi heikentää luonnollisten henkilöiden terveydentilassa saavutettavia terveystuloksia. Yhteentoimivassa muodossa saataville asetetut sähköiset terveystiedot, ja joita voidaan siirtää terveydenhuollon tarjoajien välillä, voivat myös vähentää terveydenhuollon ammattihenkilöiden hallinnollista rasitetta, joka aiheutuu terveystietojen manuaalisesta tallentamisesta sähköisiin järjestelmiin tai kopioinnista järjestelmästä toiseen. Sen vuoksi terveydenhuollon ammattihenkilöille olisi annettava asianmukaiset sähköiset välineet, kuten sähköiset laitteet ja terveydenhuollon ammattihenkilöiden portaalit tai muita terveydenhuollon ammattihenkilöiden tietojenkäyttöpalveluja, joilla he voivat käyttää henkilökohtaisia sähköisiä terveystietoja tehtäviensä hoitamiseen. Koska etukäteen on vaikea määrittää tyhjentävästi, mitkä prioriteettiluokkien olemassa olevista tiedoista ovat lääketieteellisesti merkityksellisiä kulloisessakin hoitojaksossa, terveydenhuollon ammattihenkilöillä olisi oltava laaja pääsy tietoihin. Päästessään potilaitaan koskeviin tietoihin terveydenhuollon ammattihenkilöiden olisi noudatettava sovellettavaa lainsäädäntöä, käytännesääntöjä, ammattieettisiä velvollisuuksia koskevia ohjeita tai muita tietojen jakamisen tai käytön eettisyyttä koskevia määräyksiä, erityisesti henkeä uhkaavissa tai ääritilanteissa. Asetuksen (EU) 2016/679 mukaisesti tietoihin pääsyn rajoittamiseksi siihen, mikä on asiaankuuluvaa kulloisessakin hoitojaksossa terveydenhuollon tarjoajien olisi noudatettava tietojen minimoinnin periaatetta saadessaan pääsyn henkilökohtaisiin sähköisiin terveystietoihin eli rajoitettava pääsy tietoihin, jotka ovat välttämättömiä ja perusteltuja tiettyä palvelua varten. Terveydenhuollon ammattihenkilöiden tietojenkäyttöpalvelujen tarjoaminen on tässä asetuksessa tarkoitettu yleisen edun mukainen tehtävä, jonka suorittaminen edellyttää asetuksen (EU) 2016/679 6 artiklan 1 kohdan e alakohdan mukaista henkilötietojen käsittelyä. Tässä asetuksessa säädetään edellytyksistä ja suojatoimista, jotka koskevat sähköisten terveystietojen käsittelyä terveydenhuollon ammattihenkilöiden tietojenkäyttöpalvelussa asetuksen (EU) 2016/679 9 artiklan 2 kohdan h alakohdan mukaisesti, kuten henkilökohtaisiin sähköisiin terveystietoihin pääsyä koskevaa lokikirjausta koskevista yksityiskohtaisista säännöksistä ja joilla pyritään tekemään toiminnasta läpinäkyvää rekisteröidyille. Tämä asetus ei kuitenkaan saisi vaikuttaa kansalliseen lainsäädäntöön, joka koskee terveystietojen käsittelyä terveydenhuollon tarjoamista varten, mukaan lukien kansallinen lainsäädäntö, jolla vahvistetaan ne terveydenhuollon ammattihenkilöiden ryhmät, jotka voivat käsitellä eri luokkiin kuuluvia sähköisiä terveystietoja.

(20)

Jotta voidaan helpottaa tässä asetuksessa vahvistettujen pääsyä ja siirrettävyyttä koskevien täydentävien oikeuksien käyttöä, jäsenvaltioiden olisi perustettava yksi tai useampi sähköisten terveystietojen käyttöpalvelu. Kyseisiä palveluja voitaisiin tarjota kansallisella tai alueellisella tasolla tai terveydenhuollon tarjoajien toimesta potilaiden verkkoportaalina, mobiililaitteiden sovelluksen kautta tai muulla tavoin. Ne olisi suunniteltava saavutettaviksi erityisesti vammaisille henkilöille. Luonnolliset henkilöt voivat päästä tällaisen palvelun avulla helposti henkilökohtaisiin sähköisiin terveystietoihinsa, ja sen tarjoamisessa on kyse tärkeästä yleisestä edusta. Henkilökohtaisten sähköisten terveystietojen käsittely kyseisissä palveluissa on tarpeen kyseisen tässä asetuksessa annetun tehtävän suorittamiseksi asetuksen (EU) 2016/679 6 artiklan 1 kohdan e alakohdan ja 9 artiklan 2 kohdan g alakohdan mukaisesti. Tässä asetuksessa säädetään sähköisten terveystietojen käyttöpalvelussa suoritettavaan sähköisten terveystietojen käsittelyyn sovellettavista välttämättömistä edellytyksistä ja suojatoimista, kuten tällaisia palveluja käyttävien luonnollisten henkilöiden tunnistamisesta.

(21)

Luonnollisten henkilöiden olisi voitava antaa valitsemilleen muille luonnollisille henkilöille, kuten sukulaisilleen tai muille läheisille luonnollisille henkilöille, lupa päästä henkilökohtaisiin sähköisiin terveystietoihinsa tai hallita pääsyä niihin tai käyttää digitaalisia terveyspalveluja puolestaan. Tällaiset luvat voisivat olla hyödyllisiä ja käytännöllisiä myös tällaisen luvan saaneiden luonnollisten henkilöiden muussa käytössä. Jäsenvaltioiden olisi perustettava tällaisen luvan antamista ja täytäntöönpanoa varten valtuutuspalveluja, jotka olisi liitettävä henkilökohtaisten sähköisten terveystietojen käyttöpalveluihin, kuten potilasportaaleihin ja potilaiden käyttöön tarkoitettuihin mobiililaitteiden sovelluksiin. Kyseisten valtuutuspalvelujen olisi myös mahdollistettava se, että huoltajat voivat toimia huollettaviensa, mukaan lukien alaikäisten, puolesta, missä tilanteissa luvan voisi saada automaattisesti. Näiden valtuutuspalvelujen lisäksi jäsenvaltioiden olisi myös perustettava helposti saatavilla olevia tukipalveluja, joita tarjoavat asianmukaisesti koulutettu henkilöstö, joka avustaa luonnollisia henkilöitä näiden oikeuksien käyttämisessä. Jotta voidaan ottaa huomioon tapaukset, joissa huollettavien tiettyjen henkilökohtaisten sähköisten terveystietojen esittäminen heidän huoltajilleen voisi olla huollettavien, mukaan lukien alaikäisten, edun tai tahdon vastaista, jäsenvaltioiden olisi voitava säätää tähän liittyvistä rajoituksista ja suojatoimista sekä tarvittavasta teknisestä toteutuksesta kansallisessa lainsäädännössä. Henkilökohtaisten sähköisten terveystietojen käyttöpalveluissa, kuten potilasportaaleissa tai potilaiden käyttöön tarkoitetuissa mobiilisovelluksissa, olisi hyödynnettävä tällaisia lupia ja annettava siten valtuutetuille luonnollisille henkilöille pääsy luvan piiriin kuuluviin henkilökohtaisiin sähköisiin terveystietoihin. Jotta voidaan saada aikaan entistä käyttäjäystävällisempi horisontaalinen ratkaisu, digitaaliset valtuutusratkaisut olisi yhdenmukaistettava Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 (7) ja eurooppalaisen digitaalisen identiteetin lompakon teknisten eritelmien kanssa. Kyseinen yhdenmukaistaminen vähentäisi osaltaan jäsenvaltioiden sekä hallinnollista että taloudellista rasitetta pienentämällä riskiä siitä, että kehitetään rinnakkaisia järjestelmiä, jotka eivät ole yhteentoimivia kaikkialla unionissa.

(22)

Joissakin jäsenvaltioissa terveydenhuoltoa tarjoavat perusterveydenhuollosta vastaavat ryhmät, jotka ovat perusterveydenhuoltoon keskittyvien terveydenhuollon ammattihenkilöiden, nimittäin yleislääkäreiden, ryhmiä, jotka suorittavat perusterveydenhuollon tehtäviään laatimansa terveydenhuoltosuunnitelman perusteella. Monissa jäsenvaltioissa on myös muuntyyppisiä terveydenhuollon ryhmiä muita hoitotarkoituksia varten. Tällaisiin ryhmiin kuuluville terveydenhuollon ammattihenkilöille olisi annettava pääsy eurooppalaisessa terveystietoalueessa oleviin tietoihin ensisijaisen käytön puitteissa.

(23)

Asetuksen (EU) 2016/679 nojalla perustetut valvontaviranomaiset ovat toimivaltaisia valvomaan tämän asetuksen soveltamista ja täytäntöönpanoa, erityisesti seuraamaan henkilökohtaisten sähköisten terveystietojen käsittelyä ja käsittelemään asianomaisten luonnollisten henkilöiden mahdollisesti tekemiä valituksia. Tässä asetuksessa vahvistetaan luonnollisille henkilöille ensisijaista käyttöä koskevia lisäoikeuksia, jotka ulottuvat asetuksessa (EU) 2016/679 vahvistettuja pääsyä ja siirrettävyyttä koskevia oikeuksia laajemmalle ja täydentävät kyseisiä oikeuksia. Koska asetuksen (EU) 2016/679 nojalla perustettujen valvontaviranomaisten olisi valvottava myös kyseisten lisäoikeuksien toteutumista, jäsenvaltioiden olisi varmistettava, että kyseisillä viranomaisilla on kyseisen lisätehtävän tehokkaaseen suorittamiseen tarvittavat taloudelliset ja henkilöresurssit, tilat ja infrastruktuuri. Sen yhden tai useamman valvontaviranomaisen, joka vastaa tämän asetuksen mukaisen ensisijaisessa käytössä suoritettavan henkilökohtaisten sähköisten terveystietojen käsittelyn seurannasta ja valvonnasta, olisi oltava toimivaltainen määräämään hallinnollisia seuraamusmaksuja. Tanskan oikeusjärjestelmä ei mahdollista tämän asetuksen mukaisia hallinnollisia seuraamusmaksuja. Hallinnollisia seuraamusmaksuja koskevia sääntöjä voidaan soveltaa niin, että Tanskassa seuraamusmaksun määräävät toimivaltaiset kansalliset tuomioistuimet rikosoikeudellisena seuraamuksena edellyttäen, että kyseisten sääntöjen tällaisella soveltamisella on vastaava vaikutus kuin valvontaviranomaisten määräämillä hallinnollisilla seuraamusmaksuilla. Määrättävien seuraamusmaksujen pitäisi joka tapauksessa olla tehokkaita, oikeasuhteisia ja varoittavia.

(24)

Jäsenvaltioiden olisi tätä asetusta soveltaessaan pyrittävä noudattamaan eettisiä periaatteita, kuten sähköisten terveyspalvelujen verkoston 26 päivänä tammikuuta 2022 hyväksymiä digitaalista terveydenhuoltoa koskevia eurooppalaisia eettisiä periaatteita ja terveydenhuollon ammattihenkilöiden ja potilaiden välisen suhteen luottamuksellisuuden periaatetta. Ottaen huomioon eettisten periaatteiden tärkeyden, digitaalista terveydenhuoltoa koskevissa eurooppalaisissa eettisissä periaatteissa annetaan ohjeita alan toimijoille, tutkijoille, innovoijille, päättäjille ja sääntelyviranomaisille.

(25)

Sähköisten terveystietojen eri luokkien merkitys eri terveydenhuoltoskenaarioissa vaihtelee. Eri luokkien standardoinnissa on myös edetty eri tasolle, minkä vuoksi niiden vaihtoon tarkoitettujen mekanismien käyttöönotto voi olla enemmän tai vähemmän monimutkaista luokasta riippuen. Sen vuoksi yhteentoimivuutta ja tietojen jakamista olisi parannettava asteittain, ja tiettyjä sähköisten terveystietojen luokkia olisi priorisoitava. Sähköisten terveyspalvelujen verkosto on valinnut potilastietojen yhteenvedot, sähköiset reseptit ja lääketoimitukset, lääketieteelliset kuvantamistutkimukset ja niitä koskevat kuvantamislausunnot, lääketieteellisten tutkimusten tulokset kuten laboratoriotulokset ja -raportit ja hoidon loppulausunnot merkittävimmiksi sähköisten terveystietojen luokiksi useimpien terveydenhuoltotilanteiden kannalta, ja niitä olisi pidettävä prioriteettiluokkina, joihin pääsyn ja joiden siirtämisen jäsenvaltioiden on toteutettava. Kun tällaiset tietojen prioriteettiluokat edustavat sähköisten terveystietojen ryhmiä, tätä asetusta olisi sovellettava sekä ryhmiin kokonaisuudessaan että kyseisten ryhmien piiriin kuuluviin yksittäisiin tietoihin. Koska esimerkiksi rokotustiedot ovat osa potilastietojen yhteenvetoa, potilastietojen yhteenvetoon liittyviä oikeuksia ja vaatimuksia olisi sovellettava myös tällaisiin rokotustietoihin, vaikka niitä käsiteltäisiin erillään koko potilastietojen yhteenvedosta. Jos todetaan, että myös sähköisten terveystietojen muiden luokkien vaihtaminen on tarpeen terveydenhuollon tarkoituksia varten, tässä asetuksessa olisi mahdollistettava pääsy näihin muihin luokkiin ja niiden vaihtaminen. Muut luokat olisi ensin otettava käyttöön jäsenvaltioiden tasolla, ja tässä asetuksessa olisi säädettävä tällaisten ryhmien vaihdosta vapaaehtoisesti rajatylittävissä tilanteissa yhteistyötä tekevien jäsenvaltioiden välillä. Erityistä huomiota olisi kiinnitettävä tietojenvaihtoon naapurijäsenvaltioiden raja-alueilla, joilla rajatylittävien terveyspalvelujen tarjonta on yleisempää ja edellyttää vielä nopeampia menettelyjä kuin muualla unionissa yleisesti.

(26)

Henkilökohtaisten terveystietojen ja geneettisten tietojen saatavuus sähköisessä muodossa vaihtelee jäsenvaltioittain. Eurooppalaisen terveystietoalueen on määrä parantaa luonnollisten henkilöiden mahdollisuutta saada kyseisiä tietoja sähköisessä muodossa ja hallita paremmin pääsyä henkilökohtaisiin sähköisiin terveystietoihinsa ja niiden jakamista. Tämä edistäisi myös Euroopan parlamentin ja neuvoston päätöksessä (EU) 2022/2481 (8) ilmoitettua tavoitetta, jonka mukaan 100 prosentilla unionin kansalaisista olisi oltava pääsy sähköisiin terveystietoihinsa vuoteen 2030 mennessä. Jotta sähköiset terveystiedot olisivat käytettävissä ja siirrettävissä, niihin olisi päästävä ja ne olisi siirrettävä yhteisessä, yhteentoimivassa eurooppalaisessa sähköisten terveystietojen vaihtoformaatissa ainakin tiettyjen sähköisten terveystietojen luokkien, kuten potilastietojen yhteenvetojen, sähköisten reseptien ja lääketoimitusten, lääketieteellisten kuvantamistutkimusten ja niitä koskevien kuvantamislausuntojen, lääketieteellisten tutkimusten tulosten kuten laboratoriotulosten ja hoidon loppulausuntojen osalta siirtymäaikojen puitteissa. Jos luonnollinen henkilö asettaa terveydenhuollon tarjoajan tai apteekin saataville henkilökohtaisia sähköisiä terveystietoja tai jos toinen rekisterinpitäjä siirtää ne eurooppalaisessa sähköisten terveystietojen vaihtoformaatissa, kyseinen formaatti olisi hyväksyttävä ja vastaanottajan olisi voitava lukea tietoja ja käyttää niitä terveydenhuollon tarjoamisessa tai lääkkeen toimittamisessa ja näin tukea terveyspalvelujen tarjoamista tai lääkkeen toimittamista sähköisen reseptin perusteella. Eurooppalainen sähköisten terveystietojen vaihtoformaatti olisi suunniteltava sellaiseksi, että kyseisessä formaatissa esitetyt sähköiset terveystiedot voidaan mahdollisuuksien mukaan kääntää unionin virallisille kielille. Komission suositus (EU) 2019/243 (9) muodostaa perustan tällaiselle yhteiselle eurooppalaiselle sähköisten terveystietojen vaihtoformaatille. Eurooppalaisen terveystietoalueen yhteentoimivuuden olisi edistettävä korkealaatuisten eurooppalaisten terveystietoaineistojen saatavuutta. Eurooppalaisen sähköisten terveystietojen vaihtoformaatin käytöstä olisi tultava yleisempää unionin ja kansallisella tasolla. Eurooppalaisessa sähköisten terveystietojen vaihtoformaatissa voi olla erilaisia profiileja, kun sitä käytetään sähköisissä potilaskertomusjärjestelmissä ja Minun terveyteni @ EU (MyHealth@EU) -infrastruktuurin kansallisissa yhteyspisteissä rajatylittävässä tietojenvaihdossa.

(27)

Vaikka sähköisiä potilaskertomusjärjestelmiä käytetään laajalti, terveystietojen digitalisoinnin taso vaihtelee jäsenvaltioittain riippuen tietoluokista ja niiden terveydenhuollon tarjoajien kattavuudesta, jotka rekisteröivät terveystietoja sähköisessä muodossa. Jotta voidaan tukea rekisteröityjen oikeutta päästä sähköisiin terveystietoihin ja vaihtaa niitä, tarvitaan unionin toimia, jotta vältetään hajanaisuuden lisääntyminen. Terveydenhuollon korkean laadun ja hoidon katkeamattomuuden edistämiseksi tiettyihin luokkiin kuuluvat terveystiedot olisi järjestelmällisesti rekisteröitävä sähköisessä muodossa ja erityisten tietojen laatua koskevien vaatimusten mukaisesti. Sähköisten terveystietojen rekisteröintiä ja vaihtoa koskevien eritelmien olisi pohjauduttava eurooppalaiseen sähköisten terveystietojen vaihtoformaattiin.

(28)

Terveydenhuollon etäpalveluista on tulossa yhä tärkeämpi väline, jonka avulla potilaat voivat saada hoitoa ja jolla voidaan puuttua epätasa-arvoon. Niiden ansiosta on mahdollista vähentää terveyseroja ja vahvistaa unionin kansalaisten vapaata liikkuvuutta rajojen yli. Digitaaliset ja muut tekniset välineet voivat helpottaa hoidon tarjoamista syrjäisillä alueilla. Kun digitaaliset palvelut liittyvät fyysisesti annettaviin terveyspalveluihin, ne olisi katsottava osaksi kokonaishoitoa. Euroopan unionin toiminnasta tehdyn sopimuksen 168 artiklan mukaan jäsenvaltiot vastaavat terveyspolitiikastaan ja erityisesti terveyspalvelujen ja sairaanhoidon järjestämisestä ja tarjoamisesta, mukaan lukien tarjoamiensa ja korvaamiensa toimintojen, kuten verkkoapteekkien, terveydenhuollon etäpalvelujen ja muiden palvelujen sääntely kansallisen lainsäädäntönsä mukaisesti. Erilaiset terveydenhuoltoa koskevat politiikat eivät kuitenkaan saisi muodostaa esteitä sähköisten terveystietojen vapaalle liikkuvuudelle rajatylittävässä terveydenhuollossa, esimerkiksi terveydenhuollon etäpalveluissa ja verkkoapteekkipalveluissa.

(29)

Asetuksessa (EU) N:o 910/2014 vahvistetaan edellytykset, joiden mukaisesti jäsenvaltiot suorittavat luonnollisten henkilöiden tunnistamisen rajat ylittävissä tilanteissa käyttäen toisen jäsenvaltion myöntämiä sähköisiä tunnistamismenetelmiä, ja säännöt tällaisten sähköisen tunnistamisen menetelmien vastavuoroista tunnustamista varten. Eurooppalainen terveystietoalue edellyttää suojattua pääsyä sähköisiin terveystietoihin, ja tämä koskee myös rajat ylittäviä tilanteita. Sähköisten terveystietojen käyttöpalveluilla ja terveydenhuollon etäpalveluilla olisi mahdollistettava se, että luonnolliset henkilöt voivat käyttää oikeuksiaan riippumatta heidän vakuutusjäsenvaltiostaan, ja näiden palvelujen olisi sen vuoksi tuettava luonnollisten henkilöiden tunnistamista käyttäen mitä tahansa asetuksen (EU) N:o 910/2014 nojalla tunnustettua sähköisen tunnistamisen menetelmää. Koska henkilöllisyyden linkittämisessä voi ilmetä ongelmia rajatylittävissä tilanteissa, jäsenvaltioiden saattaa olla tarpeen myöntää täydentäviä tunnistevälineitä tai pääsykoodeja muista jäsenvaltioista tuleville luonnollisille henkilöille, jotka saavat hoitoa. Komissiolle olisi siirrettävä valta antaa täytäntöönpanosäädöksiä luonnollisten henkilöiden ja terveydenhuollon ammattihenkilöiden yhteentoimivien ja rajatylittävien tunnistus- ja todentamismekanismien vahvistamista varten, mukaan lukien mahdolliset täydentävät mekanismit, joita tarvitaan varmistamaan, että kyseiset luonnolliset henkilöt voivat käyttää henkilökohtaisia sähköisiä terveystietoja koskevia oikeuksiaan rajatylittävissä tilanteissa.

(30)

Jäsenvaltioiden olisi nimettävä tarvittavat digitaalisesta terveydenhuollosta vastaavat viranomaiset, jotka suunnittelevat ja panevat täytäntöön standardeja, jotka koskevat pääsyä sähköisiin terveystietoihin ja niiden siirtoa sekä luonnollisten henkilöiden ja terveydenhuollon ammattihenkilöiden oikeuksien toteutumisen valvontaa, joko erillisiksi organisaatioiksi tai osaksi jo olemassa olevia viranomaisia. Digitaalisesta terveydenhuollosta vastaavan viranomaisen henkilöstöllä ei saisi olla mitään toimialoihin tai taloudelliseen toimintaan liittyviä taloudellisia tai muita sidonnaisuuksia, jotka saattaisivat vaikuttaa heidän puolueettomuuteensa. Useimmissa jäsenvaltioissa on jo digitaalisesta terveydenhuollosta vastaavia viranomaisia, jotka käsittelevät sähköisiä potilaskertomuksia, yhteentoimivuutta, turvallisuutta tai standardointia. Tehtäviään hoitaessaan digitaalisesta terveydenhuollosta vastaavien viranomaisten olisi tehtävä yhteistyötä erityisesti asetuksen (EU) 2016/679 nojalla perustettujen valvontaviranomaisten ja asetuksen (EU) N:o 910/2014 nojalla perustettujen valvontaelinten kanssa. Digitaalisesta terveydenhuollosta vastaavat viranomaiset voivat tehdä yhteistyötä myös Euroopan parlamentin ja neuvoston asetuksella (EU) 2024/1689 (10) perustetun Euroopan tekoälyneuvoston, Euroopan parlamentin ja neuvoston asetuksella (EU) 2017/745 (11) perustetun lääkinnällisten laitteiden koordinointiryhmän, Euroopan parlamentin ja neuvoston asetuksen (EU) 2022/868 (12) nojalla perustetun Euroopan datainnovaatiolautakunnan ja Euroopan parlamentin ja neuvoston asetuksen (EU) 2023/2854 (13) mukaisten toimivaltaisten viranomaisten kanssa. Jäsenvaltioiden olisi helpotettava kansallisten toimijoiden osallistumista unionin tason yhteistyöhön, siirrettävä asiantuntemusta ja annettava neuvontaa sellaisten ratkaisujen suunnittelussa, jotka ovat tarpeen eurooppalaisen terveystietoalueen tavoitteiden saavuttamiseksi.

(31)

Jokaisella luonnollisella henkilöllä tai oikeushenkilöllä olisi oltava oikeus tehokkaisiin oikeussuojakeinoihin itseään koskevaa digitaalisesta terveydenhuollosta vastaavan viranomaisen oikeudellisesti sitovaa päätöstä vastaan tai, jos digitaalisesta terveydenhuollosta vastaava viranomainen ei käsittele valitusta tai ei ilmoita luonnolliselle henkilölle tai oikeushenkilölle kolmen kuukauden kuluessa valituksen etenemisestä tai tuloksesta, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai tuomioistuinten ulkopuolisia oikeussuojakeinoja. Kanne digitaalisesta terveydenhuollosta vastaavaa viranomaista vastaan olisi nostettava niiden jäsenvaltioiden tuomioistuimissa, joihin digitaalisesta terveydenhuollosta vastaava viranomainen on sijoittautunut.

(32)

Digitaalisesta terveydenhuollosta vastaavilla viranomaisilla olisi oltava riittävät tekniset taidot, mahdollisesti kokoamalla yhteen asiantuntijoita eri organisaatioista. Digitaalisesta terveydenhuollosta vastaavien viranomaisten toimet olisi suunniteltava hyvin ja niitä olisi seurattava niiden tehokkuuden varmistamiseksi. Digitaalisesta terveydenhuollosta vastaavien viranomaisten olisi toteutettava tarvittavat toimenpiteet luonnollisten henkilöiden oikeuksien suojaamiseksi ja kehitettävä sitä varten kansallisia, alueellisia ja paikallisia teknisiä ratkaisuja, kuten kansallisia sähköisten potilaskertomusten välitysratkaisuja ja potilasportaaleja. Toteuttaessaan tällaisia tarpeellisia suojatoimenpiteitä digitaalisesta terveydenhuollosta vastaavien viranomaisten olisi sovellettava ratkaisuissaan yhteisiä standardeja ja eritelmiä, edistettävä standardien ja eritelmien soveltamista hankintamenettelyissä ja käytettävä muita innovatiivisia keinoja, mukaan lukien korvauksen maksaminen ratkaisuista, jotka ovat eurooppalaista terveystietoaluetta koskevien yhteentoimivuus- ja turvallisuusvaatimusten mukaisia. Jäsenvaltioiden olisi varmistettava asianmukaisten koulutusaloitteiden toteuttaminen. Erityisesti terveydenhuollon ammattihenkilöille olisi tiedotettava ja tarjottava koulutusta heillä tämän asetuksen nojalla olevista oikeuksista ja velvollisuuksista. Tehtäviensä suorittamiseksi digitaalisesta terveydenhuollosta vastaavien viranomaisten olisi tehtävä yhteistyötä unionin ja kansallisella tasolla muiden toimijoiden kanssa, mukaan lukien vakuutuslaitokset, terveydenhuollon tarjoajat, terveydenhuollon ammattihenkilöt, sähköisten potilaskertomusjärjestelmien ja hyvinvointisovellusten valmistajat, muut terveys- tai tietotekniikka-alan sidosryhmät, korvausjärjestelmiä käsittelevät tahot, terveydenhuollon menetelmien arvioinnista vastaavat elimet, lääkesääntelyviranomaiset ja lääkevirastot, lääkinnällisistä laitteista vastaavat viranomaiset ja virastot, hankintayksiköt sekä kyberturvallisuudesta tai sähköisestä tunnistamisesta vastaavat viranomaiset.

(33)

Sähköisiin terveystietoihin pääsyllä ja niiden siirtämisellä on merkitystä rajatylittävissä terveydenhuoltotilanteissa, koska se voi tukea hoidon katkeamattomuutta luonnollisten henkilöiden matkustaessa toisiin jäsenvaltioihin tai vaihtaessa asuinpaikkaansa. Hoidon katkeamattomuus ja henkilökohtaisten sähköisten terveystietojen nopea saatavuus ovat vieläkin tärkeämpiä raja-alueiden asukkaille, jotka liikkuvat usein rajan yli saamaan terveydenhoitoa. Monilla raja-alueilla jotkin erikoistuneet terveyspalvelut saattavat olla saatavilla rajan toisella puolella lähempänä kuin samassa jäsenvaltiossa. Tarvitaan infrastruktuuri henkilökohtaisten sähköisten terveystietojen siirtämiseen rajojen yli tilanteissa, joissa luonnollinen henkilö käyttää toiseen jäsenvaltioon sijoittautuneen terveydenhuollon tarjoajan palveluja. Olisi harkittava tällaisen infrastruktuurin asteittaista laajentamista ja sen rahoituksen asteittaista lisäämistä. Osana Euroopan parlamentin ja neuvoston direktiivissä 2011/24/EU (14) säädettyjen tavoitteiden saavuttamiseksi toteutettavia toimia on perustettu vapaaehtoinen Minun terveyteni @ EU (MyHealth@EU) -infrastruktuuri. Jäsenvaltiot ovat alkaneet tarjota Minun terveyteni @ EU (MyHealth@EU) -infrastruktuurin kautta luonnollisille henkilöille mahdollisuutta jakaa henkilökohtaisia sähköisiä terveystietojaan terveydenhuollon tarjoajien kanssa, kun he matkustavat ulkomailla. Kyseisten kokemusten pohjalta jäsenvaltioiden osallistumisen tällä asetuksella perustettuun digitaaliseen Minun terveyteni @ EU (MyHealth@EU) -infrastruktuuriin olisi oltava pakollista. Minun terveyteni @ EU (MyHealth@EU) -infrastruktuurin teknisten eritelmien olisi mahdollistettava sähköisten terveystietojen prioriteettiluokkien sekä muiden eurooppalaisen sähköisten terveystietojen vaihtoformaatin tukemien sähköisten terveystietojen vaihto. Kyseiset eritelmät olisi määriteltävä täytäntöönpanosäädöksillä ja niiden olisi perustuttava eurooppalaisen sähköisten terveystietojen vaihtoformaatin rajatylittäviin eritelmiin täydennettynä muilla eritelmillä, jotka koskevat kyberturvallisuutta, teknistä ja semanttista yhteentoimivuutta, toimintojen ja palvelujen hallintaa. Jäsenvaltiot olisi velvoitettava liittymään Minun terveyteni @ EU (MyHealth@EU) -infrastruktuuriin, noudattamaan sen teknisiä eritelmiä ja liittämään siihen terveydenhuollon tarjoajat, mukaan lukien apteekit, koska se on välttämätöntä, jotta luonnollisten henkilöiden on mahdollista käyttää tässä asetuksessa vahvistettua oikeuttaan päästä henkilökohtaisiin sähköisiin terveystietoihinsa ja hyödyntää niitä siitä jäsenvaltiosta riippumatta, missä luonnolliset henkilöt sijaitsevat.

(34)

Minun terveyteni @ EU (MyHealth@EU) -infrastruktuuri tarjoaa jäsenvaltioille yhteisen perusrakenteen, jotta yhteenliitettävyys ja yhteentoimivuus voidaan varmistaa tehokkaasti ja turvatusti rajatylittävän terveydenhuollon tukemiseksi ilman, että vaikutetaan jäsenvaltioiden velvollisuuksiin ennen henkilökohtaisten sähköisten terveystietojen siirtämistä sen kautta ja sen jälkeen. Jäsenvaltiot ovat vastuussa digitaalisen terveydenhuollon kansallisten yhteyspisteidensä järjestämisestä ja terveydenhuollon tarjoamista varten suoritettavasta henkilötietojen käsittelystä ennen tietojen siirtämistä Minun terveyteni @ EU (MyHealth@EU) -infrastruktuurin kautta ja sen jälkeen. Komission olisi vaatimustenmukaisuustarkastusten avulla seurattava sitä, noudattavatko digitaalisen terveydenhuollon kansalliset yhteyspisteet tarvittavia vaatimuksia, jotka koskevat Minun terveyteni @ EU (MyHealth@EU) -infrastruktuurin teknistä kehitystä ja henkilökohtaisten sähköisten terveystietojen turvallisuutta, luottamuksellisuutta ja suojaamista. Jos digitaalisen terveydenhuollon kansallisessa yhteyspisteessä ilmenee vakava vaatimustenvastaisuus, komission olisi voitava keskeyttää kyseisen digitaalisen terveydenhuollon kansallisen yhteyspisteen tarjoamat palvelut, joita vaatimustenvastaisuus koskee. Komission olisi toimittava henkilötietojen käsittelijänä jäsenvaltioiden puolesta Minun terveyteni @ EU (MyHealth@EU) -infrastruktuurissa, ja sen olisi tarjottava keskuspalveluja sitä varten. Tietosuojasääntöjen noudattamisen varmistamiseksi ja riskinhallintakehyksen luomiseksi henkilökohtaisten sähköisten terveystietojen siirtämistä varten täytäntöönpanosäädöksillä olisi täsmennettävä jäsenvaltioiden erityiset vastuualueet niiden toimiessa yhteisrekisterinpitäjinä ja komission velvollisuuksista sen toimiessa henkilötietojen käsittelijänä niiden puolesta. Kukin jäsenvaltio on yksin vastuussa tiedoista ja palveluista kyseisessä jäsenvaltiossa. Tämä asetus tarjoaa oikeusperustan Minun terveyteni @ EU (MyHealth@EU) -infrastruktuurissa tapahtuvalle henkilökohtaisten sähköisten terveystietojen käsittelylle, sillä kyseessä on asetuksen (EU) 2016/679 6 artiklan 1 kohdan e alakohdassa tarkoitettu unionin oikeudessa annettu yleistä etua koskeva tehtävä. Tämä käsittely on tarpeen kyseisen asetuksen 9 artiklan 2 kohdan h alakohdassa mainitun terveydenhuollon tarjoamista varten rajatylittävissä tilanteissa.

(35)

Henkilökohtaisten sähköisten terveystietojen vaihtoon eurooppalaisessa sähköisten terveystietojen vaihtoformaatissa tarkoitettujen Minun terveyteni @ EU (MyHealth@EU) -infrastruktuurin palvelujen lisäksi saatetaan tarvita muita palveluja tai täydentäviä infrastruktuureja esimerkiksi kansanterveydellisissä hätätilanteissa tai tapauksissa, joissa Minun terveyteni @ EU (MyHealth@EU) -infrastruktuurin rakenne ei sovellu joihinkin käyttötapauksiin. Esimerkkejä tällaisista käyttötapauksista ovat rokotuskortin toimintojen tukeminen, mukaan lukien rokotussuunnitelmia koskevien tietojen vaihto, tai rokotustodistusten tai muiden terveyteen liittyvien todistusten todentaminen. Tällaiset lisäkäyttötapaukset olisivat tärkeitä myös, jotta voidaan ottaa käyttöön kansanterveyskriisien käsittelyyn liittyviä lisätoimintoja, kuten tuki kontaktien jäljittämiseen tartuntatautien leviämisen hillitsemiseksi. Minun terveyteni @ EU (MyHealth@EU) -infrastruktuurin olisi tuettava henkilökohtaisten sähköisten terveystietojen vaihtoa asiaankuuluvien kolmansien maiden ja digitaalisen terveydenhuollon kansallisten yhteyspisteiden ja kansainvälisten järjestöjen kansainvälisellä tasolla perustamien järjestelmien kanssa hoidon katkeamattomuuden tukemiseksi. Tämä on erityisen tärkeää kolmansien naapurimaiden, ehdokasmaiden sekä assosioituneiden merentakaisten maiden ja alueiden rajojen yli liikkuvien henkilöiden, kannalta. Tällaisten kolmansien maiden kansallisten digitaalisen terveydenhuollon yhteyspisteiden Minun terveyteni @ EU (MyHealth@EU) -infrastruktuuriin liittämisen tai kansainvälisten järjestöjen kansainvälisellä tasolla perustamien digitaalisten järjestelmien yhteentoimivuuden edellytyksenä olisi oltava tarkastuksen suorittaminen sen varmistamiseksi, että kyseiset yhteyspisteet ja digitaaliset järjestelmät ovat Minun terveyteni @ EU (MyHealth@EU) -infrastruktuuria koskevien teknisten eritelmien, tietosuojasääntöjen ja muiden vaatimusten mukainen. Lisäksi kun otetaan huomioon, että liittyminen Minun terveyteni @ EU (MyHealth@EU) -infrastruktuuriin merkitsee henkilökohtaisten sähköisten terveystietojen siirtämistä kolmansiin maihin, kuten potilastietojen yhteenvedon jakamista potilaan hakeutuessa hoitoon kyseisessä kolmannessa maassa, käytössä olisi oltava asianmukaiset asetuksen (EU) 2016/679 V luvun mukaiset tiedonsiirtovälineet. Komissiolle olisi siirrettävä valta antaa täytäntöönpanosäädöksiä, joilla helpotetaan tällaisten kolmansien maiden digitaalisen terveydenhuollon kansallisten yhteyspisteiden ja kansainvälisten järjestöjen kansainvälisellä tasolla perustamien järjestelmien liittämiseksi Minun terveyteni @ EU (MyHealth@EU) -infrastruktuuriin. Näiden täytäntöönpanosäädösten valmistelussa komission olisi otettava huomioon jäsenvaltioiden kansalliset turvallisuusintressit.

(36)

Jotta voidaan mahdollistaa sähköisten terveystietojen saumaton vaihto ja varmistaa luonnollisten henkilöiden ja terveydenhuollon ammattihenkilöiden oikeuksien kunnioittaminen, sisämarkkinoilla kaupan pidettäviin sähköisiin potilaskertomusjärjestelmiin olisi voitava tallentaa ja niiden avulla olisi voitava siirtää korkealaatuisia sähköisiä terveystietoja turvatusti. Yksi eurooppalaisen terveystietoalueen keskeisistä tavoitteista on varmistaa sähköisten terveystietojen suojattu ja vapaa liikkuvuus kaikkialla unionissa. Sitä varten olisi otettava käyttöön pakollinen vaatimustenmukaisuuden itsearviointijärjestelmä sellaisia sähköisiä potilaskertomusjärjestelmiä varten, joissa käsitellään yhtä tai useampaa sähköisten terveystietojen prioriteettiluokkaa, jotta voidaan torjua markkinoiden hajanaisuutta ja varmistaa oikeasuhteinen lähestymistapa. Itsearvioinnin avulla sähköiset potilaskertomusjärjestelmät osoittavat täyttävänsä henkilökohtaisten sähköisten terveystietojen ilmoittamista koskevat yhteentoimivuus-, turvallisuus- ja lokikirjausvaatimukset, jotka on vahvistettu tässä asetuksessa yhdenmukaistetuilla kahdella pakollisella sähköisen potilaskertomuksen ohjelmistokomponentilla eli sähköisten potilaskertomusjärjestelmien eurooppalaisella yhteentoimivuusohjelmistokomponentilla ja sähköisten potilaskertomusjärjestelmien eurooppalaisella lokiohjelmistokomponentilla, jäljempänä ’sähköisten potilaskertomusjärjestelmien yhdenmukaistetut ohjelmistokomponentit’. Sähköisten potilaskertomusjärjestelmien yhdenmukaistetut ohjelmistokomponentit koskevat pääasiassa tiedon muuntamista, vaikka ne saattavat aiheuttaa tarpeen tietojen kirjaamista ja esittämistä sähköisissä potilaskertomusjärjestelmissä koskeville epäsuorille vaatimuksille. Sähköisten potilaskertomusjärjestelmien yhdenmukaistettujen ohjelmistokomponenttien tekniset eritelmät olisi määriteltävä täytäntöönpanosäädöksillä ja niiden olisi perustuttava eurooppalaisen sähköisten terveystietojen vaihtoformaatin käyttöön. Yhdenmukaistetut ohjelmistokomponentit olisi suunniteltava uudelleenkäytettäviksi ja sellaisiksi, että ne voidaan integroida saumattomasti muihin komponentteihin suuremmassa ohjelmistojärjestelmässä. Sähköisten potilaskertomusjärjestelmien yhdenmukaistettujen ohjelmistokomponenttien turvallisuusvaatimusten olisi katettava erityisesti sähköisille potilaskertomusjärjestelmille ominaisia tekijöitä, sillä yleisluontoisempia turvallisuusominaisuuksia olisi tuettava muilla mekanismeilla, kuten Euroopan parlamentin ja neuvoston asetuksen (EU) 2024/2847 (15) mukaisilla mekanismeilla. Kyseisen prosessin tueksi olisi perustettava eurooppalaisia digitaalisia testausympäristöjä, joiden avulla voidaan testata automatisoidusti, toimivatko sähköisen potilaskertomusjärjestelmän yhdenmukaistetut ohjelmistokomponentit tämän asetuksen vaatimusten mukaisesti. Tätä varten komissiolle olisi siirrettävä täytäntöönpanovaltaa määrittää tätä ympäristöä koskevat yhteiset eritelmät. Komission olisi kehitettävä testausympäristössä tarvittavat ohjelmistot ja asetettava ne saataville avoimen lähdekoodin ohjelmistoina. Jäsenvaltioiden olisi vastattava digitaalisten testausympäristöjen ylläpidosta, sillä ne ovat lähempänä valmistajia ja pystyvät paremmin tukemaan niitä. Valmistajien olisi käytettävä kyseisiä ympäristöjä tuotteidensa testaamiseen ennen niiden saattamista markkinoille siten, ja niiden olisi edelleen oltava täysin vastuussa tuotteidensa vaatimustenmukaisuudesta. Testauksen tulokset olisi sisällytettävä tuotteen tekniseen dokumentaatioon. Jos sähköinen potilaskertomusjärjestelmä tai jokin sen osa on eurooppalaisten standardien tai yhteisten eritelmien mukainen, teknisessä dokumentaatiossa olisi annettava myös luettelo asiaankuuluvista eurooppalaisista standardeista ja yhteisistä eritelmistä. Sähköisten potilaskertomusjärjestelmien vertailukelpoisuuden edistämiseksi komission olisi laadittava yhdenmukainen malli tällaisten järjestelmien mukana olevalle tekniselle dokumentaatiolle.

(37)

Sähköisten potilaskertomusjärjestelmien mukana olisi oltava tietolomake, jolla annetaan tietoja järjestelmän ammattikäyttäjille ja selkeitä ja kattavia käyttöohjeita vammaisille henkilöille saavutettavissa muodoissa. Jos sähköisen potilaskertomusjärjestelmän mukana ei ole tällaista tietoa, asianomaisen sähköisen potilaskertomusjärjestelmän valmistajan, sen valtuutetun edustajan ja kaikkien muiden asiaankuuluvien talouden toimijoiden olisi lisättävä sähköiseen potilaskertomusjärjestelmään kyseinen tietolomake ja kyseiset käyttöohjeet.

(38)

Sähköisten potilaskertomusjärjestelmien, jotka valmistaja on nimenomaan tarkoittanut käytettäväksi sähköisten terveystietojen tietyn yhden tai useamman luokan käsittelyyn, olisi kuuluttava pakollisen itse suoritettavan sertifioinnin piiriin, mutta yleiskäyttöisiä ohjelmistoja ei pitäisi katsoa sähköisiksi potilaskertomusjärjestelmiksi edes silloin, kun niitä käytetään terveydenhuoltoympäristössä, eikä niiltä näin ollen pitäisi edellyttää tämän asetuksen mukaisuutta. Tällaisia ovat esimerkiksi tekstinkäsittelyohjelmistot, joita käytetään kirjoitettaessa kirjallisiin sähköisiin potilaskertomuksiin liitettäviä lausuntoja, yleiskäyttöiset väliohjelmistot taikka tietokannanhallintaohjelmistot, joita käytetään osana tietojen säilyttämisratkaisuja.

(39)

Tässä asetuksessa säädetään pakollisesta vaatimustenmukaisuuden itsearviointijärjestelmästä sähköisten potilaskertomusjärjestelmien yhdenmukaistetuille ohjelmistokomponenteille, jotta varmistetaan, että unionin markkinoille saatetut sähköiset potilaskertomusjärjestelmät voivat vaihtaa tietoja eurooppalaisen sähköisten terveystietojen vaihtoformaatissa ja että niillä on vaaditut lokikirjausvalmiudet. Kyseisellä pakollisella vaatimustenmukaisuuden itsearvioinnilla, joka olisi valmistajan suorittaman EU-vaatimustenmukaisuusvakuutuksen muodossa, olisi varmistettava, että vaatimukset täyttyvät oikeasuhteisesti aiheuttamatta kohtuutonta rasitetta jäsenvaltioille ja valmistajille.

(40)

Valmistajien olisi kiinnitettävä sähköisen potilaskertomusjärjestelmän mukana olevaan tekniseen dokumentaatioon ja tapauksen mukaan sen pakkaukseen CE-vaatimustenmukaisuusmerkintä, jolla ilmoitetaan, että sähköinen potilaskertomusjärjestelmä on tämän asetuksen ja niiden näkökohtien osalta, jotka eivät kuulu tämän asetuksen soveltamisalaan, muun sellaisen sovellettavan unionin oikeuden mukainen, jossa vaaditaan tällaisen merkinnän kiinnittämistä. Jäsenvaltioiden olisi nykyisiä mekanismeja hyödyntämällä varmistettava CE-vaatimustenmukaisuusmerkintää koskevien asiaankuuluvan unionin oikeuden säännösten moitteeton soveltaminen ja toteutettava tarkoituksenmukaiset toimet, jos kyseistä merkintää käytetään sääntöjenvastaisesti.

(41)

Jäsenvaltioilla olisi edelleen oltava toimivalta määritellä sähköisten potilaskertomusjärjestelmien muihin ohjelmistokomponentteihin liittyvät vaatimukset sekä ehdot, jotka koskevat terveydenhuollon tarjoajien liittämistä omiin kansallisiin infrastruktuureihinsa, ja niille voitaisiin tehdä kolmannen osapuolen suorittama arviointi kansallisella tasolla. Sähköisten potilaskertomusjärjestelmien, digitaalisten terveystuotteiden ja niihin liittyvien palvelujen sisämarkkinoiden moitteettoman toiminnan helpottamiseksi olisi varmistettava mahdollisimman suuri avoimuus niiden kansallisten säädösten ja säännösten osalta, joissa vahvistetaan sähköisiä potilaskertomusjärjestelmiä koskevat vaatimukset ja säädetään niiden vaatimustenmukaisuuden arvioinnista muiden kuin sähköisten potilaskertomusjärjestelmien yhdenmukaistettujen ohjelmistokomponenttien osalta. Jäsenvaltioiden olisi ilmoitettava kyseisistä kansallisista vaatimuksista komissiolle, jotta sillä on tarvittavat tiedot voidakseen varmistaa, etteivät ne haittaa sähköisten potilaskertomusjärjestelmien yhdenmukaistettujen ohjelmistokomponenttien toimintaa.

(42)

Tiettyjä sähköisten potilaskertomusjärjestelmien ohjelmistokomponentteja voitaisiin pitää asetuksessa (EU) 2017/745 tarkoitettuina lääkinnällisinä laitteina tai Euroopan parlamentin ja neuvoston asetuksessa (EU) 2017/746 (16) tarkoitettuina in vitro -diagnostiikkaan tarkoitettuina lääkinnällisinä laitteina. Ohjelmistot tai ohjelmistomoduulit, jotka kuuluvat lääkinnällisen laitteen, in vitro -diagnostiikkaan tarkoitetun lääkinnällisen laitteen tai suuririskisenä pidettävän tekoälyjärjestelmän, jäljempänä ’suuririskinen tekoälyjärjestelmä’, määritelmään, olisi sertifioitava tapauksen mukaan asetusten (EU) 2017/745, (EU) 2017/746 ja (EU) 2024/1689 mukaisesti. Vaikka tällaisten tuotteiden on täytettävä kyseisiin tuotteisiin sovellettavan asetuksen vaatimukset, jäsenvaltioiden olisi varmistettava asianmukaisin toimenpitein, että niissä säädetyt vaatimustenmukaisuuden arvioinnit suoritetaan tapauksen mukaan yhdessä tai koordinoituna menettelynä, jotta voidaan rajoittaa valmistajiin ja talouden toimijoihin kohdistuvaa hallinnollista rasitetta. Tämän asetuksen mukaisia yhteentoimivuutta koskevia olennaisia vaatimuksia olisi sovellettava vain siltä osin kuin sellaisen lääkinnällisen laitteen, in vitro -diagnostiikkaan tarkoitetun lääkinnällisen laitteen tai suuririskisen tekoälyjärjestelmän valmistaja, josta saadaan sähköisiä terveystietoja käsiteltäväksi sähköisessä potilaskertomusjärjestelmässä, ilmoittaa laitteensa tai järjestelmänsä olevan yhteentoimiva tällaisen sähköisen potilaskertomusjärjestelmän kanssa. Tällaisissa tapauksissa kyseisiin lääkinnällisiin laitteisiin, in vitro -diagnostiikkaan tarkoitettuihin lääkinnällisiin laitteisiin ja suuririskisiin tekoälyjärjestelmiin olisi sovellettava sähköisten potilaskertomusjärjestelmien yhteisiä eritelmiä koskevia säännöksiä.

(43)

Jotta yhteentoimivuus ja turvallisuus voitaisiin varmistaa vieläkin paremmin, jäsenvaltioiden olisi voitava pitää voimassa tai määritellä kansallisella tasolla sääntöjä, jotka koskevat sähköisten potilaskertomusjärjestelmien hankintaa, korvaamista tai rahoittamista, terveyspalvelujen järjestämisen, suorittamisen tai rahoittamisen yhteydessä. Tällaiset erityiset säännöt eivät saisi estää sähköisten potilaskertomusjärjestelmien vapaata liikkuvuutta unionissa. Jotkin jäsenvaltiot ovat ottaneet käyttöön sähköisten potilaskertomusjärjestelmien pakollisen sertifioinnin tai yhteentoimivuuden pakollisen testauksen edellytykseksi sille, että ne voidaan liittää kansallisiin digitaalisiin terveyspalveluihin. Tällaiset vaatimukset otetaan yleisesti huomioon terveydenhuollon tarjoajien sekä kansallisten tai alueellisten viranomaisten järjestämissä hankintamenettelyissä. Sähköisten potilaskertomusjärjestelmien pakollisella unionin tason sertifioinnilla on tarkoitus vakiinnuttaa perustaso, jota voidaan käyttää kansallisen tason hankintamenettelyissä.

(44)

Sen takaamiseksi, että potilaat pystyvät käyttämään tehokkaasti tämän asetuksen mukaisia oikeuksiaan, myös niiden terveydenhuollon tarjoajien, jotka kehittävät oman sähköisen potilaskertomusjärjestelmän ja käyttävät sitä sisäisten toimintojensa suorittamiseen mutta eivät saata sitä markkinoille maksua tai korvausta vastaan, olisi noudatettava tätä asetusta. Tällaisissa tapauksissa tällaisten terveydenhuollon tarjoajien olisi noudatettava kaikkia valmistajiin sovellettavia vaatimuksia tällaisten itse kehitettyjen sähköisten potilaskertomusjärjestelmien osalta, jotka tällaiset terveyshuollon tarjoajat ottavat käyttöön. Koska terveydenhuollon tarjoajat saattavat kuitenkin tarvita lisäaikaa valmistautua tämän asetuksen noudattamiseen, kyseisiä vaatimuksia olisi sovellettava tällaisiin järjestelmiin vasta pidennetyn siirtymäajan jälkeen.

(45)

On tarpeen säätää selkeästä ja oikeasuhteisesta velvollisuuksien jakautumisesta, joka vastaa kunkin talouden toimijan tehtävää sähköisten potilaskertomusjärjestelmien toimitus- ja jakeluprosessissa. Talouden toimijoiden olisi oltava vastuussa vaatimusten noudattamisesta omien tehtäviensä osalta näissä prosessissa, ja niiden olisi varmistettava, että ne asettavat markkinoilla saataville ainoastaan sellaisia sähköisiä potilaskertomusjärjestelmiä, jotka täyttävät asiaankuuluvat vaatimukset.

(46)

Sähköisten potilaskertomusjärjestelmien valmistajien olisi osoitettava yhteentoimivuutta ja turvallisuutta koskevien olennaisten vaatimusten täyttyminen toteuttamalla yhteiset eritelmät. Tätä varten komissiolle olisi siirrettävä täytäntöönpanovaltaa määrittää yhteiset eritelmät, jotka koskevat tietoaineistoja, koodistoja, teknisiä eritelmiä, tiedonvaihtoa koskevia standardeja, eritelmiä ja profiileja, sekä potilasturvallisuutta, turvallisuutta, luottamuksellisuutta, eheyttä ja henkilötietojen suojaa koskevat vaatimukset ja periaatteet ja tunnistamisen hallintaan ja sähköisen tunnistamisen käyttöön liittyvät eritelmät ja vaatimukset. Digitaalisesta terveydenhuollosta vastaavien viranomaisten olisi osallistuttava tällaisten yhteisten eritelmien laatimiseen. Kyseisten yhteisten eritelmien olisi soveltuvin osin perustuttava sähköisten potilaskertomusjärjestelmien yhdenmukaistettuja ohjelmistokomponentteja koskeviin olemassa oleviin yhdenmukaistettuihin standardeihin ja oltava alakohtaisen lainsäädännön mukaisia. Silloin kun yhteiset eritelmät ovat erityisen merkittäviä sähköisten potilaskertomusjärjestelmien henkilötietojen suojaa koskevien vaatimusten kannalta, niistä olisi kuultava Euroopan tietosuojaneuvostoa ja Euroopan tietosuojavaltuutettua asetuksen (EU) 2018/1725 42 artiklan 2 kohdan mukaisesti ennen niiden hyväksymistä.

(47)

Jotta voidaan varmistaa tämän asetuksen vaatimusten ja velvollisuuksien asianmukainen ja tehokas täytäntöönpano, olisi sovellettava Euroopan parlamentin ja neuvoston asetuksella (EU) 2019/1020 (17) perustettua markkinavalvontaa ja tuotteiden vaatimustenmukaisuutta koskevaa järjestelmää. Kansallisella tasolla määritellystä organisaatiosta riippuen tällaisia markkinavalvontatoimia voisivat toteuttaa digitaalisesta terveydenhuollosta vastaavat viranomaiset, jotka varmistavat tämän asetuksen II luvun asianmukaisen täytäntöönpanon, tai sähköisistä potilaskertomusjärjestelmistä vastaava erillinen markkinavalvontaviranomainen. Digitaalisesta terveydenhuollosta vastaavien viranomaisten nimeämisellä markkinavalvontaviranomaisiksi voisi olla merkittäviä käytännön etuja terveydenhuollon ja hoivan toteuttamisen kannalta, mutta eturistiriidat olisi vältettävä esimerkiksi erottamalla toisistaan erilaiset tehtävät.

(48)

Markkinavalvontaviranomaisten henkilöstön jäsenillä ei saisi olla suoria tai välillisiä taloudellisia tai henkilökohtaisia eturistiriitoja, joiden voitaisiin katsoa heikentävän heidän riippumattomuuttaan, eivätkä he etenkään saisi olla tilanteessa, joka voisi suoraan tai välillisesti vaikuttaa heidän ammatillisen toimintansa puolueettomuuteen. Jäsenvaltioiden olisi määritettävä ja julkaistava markkinavalvontaviranomaisten valintamenettely. Niiden olisi varmistettava, että menettely on avoin ja että siinä suljetaan pois eturistiriitojen mahdollisuus.

(49)

Hyvinvointisovellusten, myös mobiililaitteille suunniteltujen sovellusten, käyttäjille olisi tiedotettava, jos tällaiset sovellukset on mahdollista yhdistää sähköisiin potilaskertomusjärjestelmiin tai kansallisiin sähköisiin terveysratkaisuihin ja jos niistä voidaan siirtää tietoja tällaisiin järjestelmiin tapauksissa, joissa hyvinvointisovellusten tuottamat tiedot ovat hyödyllisiä terveydenhuollon kannalta. Kyseisten sovellusten kyky siirtää tietoja yhteentoimivassa muodossa on merkityksellistä myös tietojen siirrettävyyden kannalta. Käyttäjille olisi tarvittaessa tiedotettava myös siitä, että tällaiset hyvinvointisovellukset ovat yhteentoimivuus- ja turvallisuusvaatimusten mukaisia. Kun kuitenkin otetaan huomioon hyvinvointisovellusten suuri määrä ja monien niistä tuottamien tietojen vähäinen merkitys terveydenhuollon kannalta, sertifiointijärjestelmän vahvistaminen näille sovelluksille ei olisi oikeasuhteista. Sen vuoksi hyvinvointisovelluksille, joiden ilmoitetaan olevan yhteentoimivia sähköisten potilaskertomusjärjestelmien kanssa, olisi perustettava pakollinen merkintäjärjestelmä asianmukaiseksi mekanismiksi, jonka avulla tieto tämän asetuksen vaatimusten noudattamisesta tehdään läpinäkyväksi hyvinvointisovellusten käyttäjille, mikä auttaa heitä valitsemaan sopivia hyvinvointisovelluksia, jotka täyttävät korkeat yhteentoimivuus- ja turvallisuusvaatimukset. Komission olisi määritettävä merkin muoto ja sisältö tarkemmin täytäntöönpanosäädöksillä.

(50)

Jäsenvaltioiden olisi edelleen voitava vapaasti säännellä hyvinvointisovellusten muita näkökohtia edellyttäen, että vastaavat säännöt ovat unionin oikeuden mukaisia.

(51)

Sertifioiduista sähköisistä potilaskertomusjärjestelmistä ja merkillä varustetuista hyvinvointisovelluksista on tarpeen jakaa tietoa, jotta tällaisten tuotteiden hankkijat ja käyttäjät voivat löytää omia tarpeitaan vastaavia yhteentoimivia ratkaisuja. Sen vuoksi asetusten (EU) 2017/745 ja (EU) 2024/1689 soveltamisalaan kuulumattomia yhteentoimivia sähköisiä potilaskertomusjärjestelmiä ja hyvinvointisovelluksia varten olisi perustettava unionin tason tietokanta, joka on vastaava kuin asetuksella (EU) 2017/745 perustettu eurooppalainen lääkinnällisten laitteiden tietokanta (Eudamed). Sähköisten potilaskertomusjärjestelmien ja hyvinvointisovellusten rekisteröintiä koskevan EU:n tietokannan tavoitteena olisi oltava yleinen läpinäkyvyyden lisääminen, moninkertaisten raportointivaatimusten välttäminen sekä tiedonkulun sujuvoittaminen ja helpottaminen. Lääkinnällisten laitteiden ja tekoälyjärjestelmien rekisteröinti olisi edelleen tehtävä asetuksilla (EU) 2017/745 ja (EU) 2024/1689 perustetuissa nykyisissä tietokannoissa, mutta jos laitteiden tai järjestelmien valmistajat ilmoittavat yhteentoimivuusvaatimusten täyttyvän, se olisi tuotava esiin, jotta hankintayksiköt saavat asiasta tiedon.

(52)

Tämän asetuksen tarkoituksena on luoda yhteinen mekanismi sähköisiin terveystietoihin pääsemiseksi toissijaista käyttöä varten kaikkialla unionissa rajoittamatta tai korvaamatta käytössä olevia sopimusjärjestelyjä tai muita mekanismeja. Tässä mekanismissa terveystietojen haltijoiden olisi asetettava hallussaan olevat terveystiedot saataville tietoluvan tai tietopyynnön perusteella. Sähköisten terveystietojen käsittelyn toissijaista käyttöä varten olisi edellytettävä jotakin asetuksen (EU) 2016/679 6 artiklan 1 kohdan a, c, e tai f alakohdassa tarkoitettua oikeusperustetta yhdessä sen 9 artiklan 2 kohdassa tarkoitetun oikeusperusteen kanssa. Tässä asetuksessa säädetään oikeusperustasta henkilökohtaisten sähköisten terveystietojen toissijaista käyttöä varten, mukaan lukien asetuksen (EU) 2016/679 9 artiklan 2 kohdan g–j alakohdassa vaaditut suojatoimet sen mahdollistamiseksi, että erityisiin tietoluokkiin kuuluvia tietoja voidaan käsitellä, siltä osin kuin on kyse käsittelyn lainmukaisista tarkoituksista, terveystietoihin pääsyn luotetusta hallinnoinnista, johon osallistuvat terveystietoihin pääsystä vastaavat viranomaiset, ja käsittelystä turvatussa ympäristössä sekä tietoluvassa esitettävistä tietojen käsittelyä koskevista yksityiskohtaisista järjestelyistä. Tästä syystä jäsenvaltioiden ei olisi enää voitava asetuksen (EU) 2016/679 9 artiklan 4 kohdan mukaisesti ja sen nojalla pitää voimassa tai ottaa käyttöön muita edellytyksiä tämän asetuksen mukaiselle toissijaista käyttöä varten tapahtuvalle henkilökohtaisten sähköisten terveystietojen käsittelylle, ei myöskään rajoituksia tai erityissäännöksiä, joissa vaaditaan luonnollisten henkilöiden suostumusta, lukuun ottamatta tiukempia toimenpiteitä ja muita suojatoimia, joilla pyritään suojaamaan tietojen arkaluonteisuus ja arvo tässä asetuksessa säädetyn mukaisesti. Terveystietojen hakijoiden olisi myös osoitettava asetuksen (EU) 2016/679 6 artiklan mukainen oikeusperusta, jonka perusteella ne voivat pyytää pääsyä sähköisiin terveystietoihin tämän asetuksen nojalla, ja sen olisi täytettävä sen IV luvussa säädetyt edellytykset. Lisäksi terveystietoihin pääsystä vastaavan elimen olisi arvioitava terveystietojen hakijan toimittamat tiedot, minkä perusteella sen olisi voitava myöntää lupa tämän asetuksen mukaiseen henkilökohtaisten sähköisten terveystietojen käsittelyyn, jonka olisi täytettävä tämän asetuksen IV luvussa säädetyt vaatimukset ja edellytykset. Tällä asetuksella luodaan terveystietojen haltijoiden hallussa olevien sähköisten terveystietojen käsittelyä koskeva asetuksen (EU) 2016/679 6 artiklan 1 kohdan c alakohdassa tarkoitettu lakisääteinen velvoite, joka on kyseisen asetuksen 9 artiklan 2 kohdan i ja j alakohtien mukainen ja jonka mukaan terveystietojen haltijan on asetettava henkilökohtaiset sähköiset terveystiedot terveystietoihin pääsystä vastaavien elinten saataville, mutta tällä ei ole vaikutusta alkuperäisen käsittelyn oikeusperustaan, esimerkiksi terveydenhuollon tarjoaminen. Tässä asetuksessa osoitetaan terveystietoihin pääsystä vastaaville elimille myös asetuksen (EU) 2016/679 6 artiklan 1 kohdan e alakohdassa tarkoitettuja yleisen edun mukaisia tehtäviä, ja se täyttää tapauksen mukaan kyseisen asetuksen 9 artiklan 2 kohdan g–j alakohdan vaatimukset. Jos terveystietojen käyttäjä tukeutuu asetuksen (EU) 2016/679 6 artiklan 1 kohdan e alakohdan tai f alakohdan tarjoamaan oikeusperusteeseen tai asetuksen (EU) 2016/679 6 artiklan 1 kohdan f alakohtaan, asetuksen (EU) 2016/679 9 artiklan 2 kohdassa edellytetyt suojatoimet olisi vahvistettava tässä asetuksessa.

(53)

Toissijaisessa käytössä käytetyt sähköiset terveystiedot voivat tuoda merkittäviä yhteiskunnallisia hyötyjä. Reaalimaailman tietojen ja reaalimaailman näytön, myös potilaiden ilmoittamien tulosten, käyttöönottoa näyttöön perustuvissa sääntely- ja toimintapoliittisissa tarkoituksissa sekä tutkimuskäytössä, terveydenhuollon menetelmien arvioinnissa ja kliinisissä tarkoituksissa olisi edistettävä. Reaalimaailman tiedoilla ja reaalimaailman näytöllä voidaan täydentää tällä hetkellä saatavilla olevia terveystietoja. Kyseisen tavoitteen saavuttamiseksi on tärkeää, että ne tietoaineistot, jotka tämän asetuksen nojalla asetetaan saataville toissijaista käyttöä varten, ovat mahdollisimman täydellisiä. Tässä asetuksessa säädetään tarvittavista suojatoimista näiden hyötyjen saavuttamiseen liittyvien riskien lieventämiseksi. Sähköisten terveystietojen toissijainen käyttö perustuu pseudonymisoituihin tai anonymisoituihin tietoihin, jotta rekisteröityjen tunnistamisen estettäisiin.

(54)

Jotta voidaan tasapainottaa terveystietojen käyttäjien tarve saada käyttöönsä tyhjentävät ja edustavat tietoaineistot ja luonnollisten henkilöiden tarve määrätä erityisen arkaluonteisina pidettävistä omista henkilökohtaisista sähköisistä terveystiedoistaan, luonnollisten henkilöiden olisi voitava päättää siitä, voidaanko heidän henkilökohtaisia sähköisiä terveystietoja käyttää tämän asetuksen mukaisessa toissijaisessa käytössä siten, että heillä on oikeus kieltää tällaisten terveystietojensa asettaminen saataville toissijaista käyttöä varten. Olisi säädettävä helppokäyttöisestä ja esteettömästä mekanismista kyseisen kielto-oikeuden käyttämiseksi. Lisäksi on välttämätöntä antaa luonnollisille henkilöille riittävästi tietoa heidän kielto-oikeudestaan, myös tämän oikeuden käyttämiseen liittyvistä hyödyistä ja haitoista. Luonnollisia henkilöitä ei pitäisi vaatia perustelemaan kieltämispäätöstään, ja heillä olisi oltava mahdollisuus pyörtää päätöksensä milloin tahansa. Kuitenkin tietyissä yleiseen etuun tiiviisti liittyvissä tarkoituksissa, kuten toimissa, jotka liittyvät valtioiden rajat ylittäviltä vakavilta terveysuhkilta suojautumiseen tai tieteelliseen tutkimukseen, jota tehdään yleistä etua koskevista tärkeistä syistä, on aiheellista säätää jäsenvaltioiden mahdollisuudesta vahvistaa, oma kansallinen asiayhteys huomioon ottaen, mekanismit, joilla annetaan pääsy tietoihin, joiden käyttöön antamisen osalta luonnollinen henkilö on käyttänyt kielto-oikeuttaan, sen varmistamiseksi, että tällaisissa tilanteissa voidaan asettaa saataville täydelliset tietoaineistot. Tällaisten mekanismien olisi oltava tässä asetuksessa toissijaiselle käytölle vahvistettujen vaatimusten mukaisia. Yleistä etua koskevista tärkeistä syistä tehtävään tieteelliseen tutkimukseen voisi kuulua esimerkiksi tutkimus, jossa käsitellään täyttämättömiä lääketieteellisiä tarpeita, myös harvinaisten sairauksien osalta, tai uusia terveysuhkia. Tällaisia syrjäyttämisiä koskevissa säännöissä olisi kunnioitettava perusoikeuksien ja -vapauksien keskeisiä osia, ja niiden olisi oltava välttämätön ja oikeasuhteinen toimenpide demokraattisessa yhteiskunnassa oikeutettuihin tieteellisiin ja yhteiskunnallisiin tavoitteisiin liittyvän yleisen edun toteuttamiseksi. Tällaisten syrjäyttämisten olisi oltava ainoastaan saatavilla sellaisille terveystietojen käyttäjille, jotka ovat julkisen sektorin elimiä, tai asiaankuuluville unionin toimielimille, elimille ja laitoksille, joille on annettu kansanterveyden alan tehtäviä, tai muulle toimijalle, jolle on annettu kansanterveyden alan julkisia tehtäviä tai jotka toimivat viranomaisen puolesta tai viranomaiselta toimeksi saaneena, ja ainoastaan, jos tietoja ei voi saada vaihtoehtoisin keinoin ajoissa ja tehokkaasti. Kyseisten terveystietojen käyttäjien olisi perusteltava se, että syrjäyttäminen on tarpeen yksittäistä terveystietoihin pääsyä koskevaa hakemusta tai terveystietopyyntöä varten. Kun tällaista syrjäyttämistä sovelletaan, terveystietojen käyttäjien olisi edelleen sovellettava IV luvun mukaisia suojatoimia, erityisesti asianomaisten luonnollisten henkilöiden uudelleentunnistamista ja sen yritystä koskevaa kieltoa.

(55)

Eurooppalaisen terveystietoalueen puitteissa on jo olemassa sähköisiä terveystietoja, joita muiden muassa terveydenhuollon tarjoajat, ammattialajärjestöt, julkiset laitokset, sääntelyviranomaiset, tutkijat ja vakuutusyhtiöt keräävät toimintansa yhteydessä. Kyseiset tiedot olisi myös asetettava saataville toissijaista käyttöä varten, eli tietojen käsittelyä muita kuin niitä alkuperäisiä tarkoituksia varten, joita varten ne on kerätty tai tuotettu; kuitenkaan suurta osaa tällaisista tiedoista ei aseteta saataville käsiteltäviksi tällaisia tarkoituksia varten. Tämä rajoittaa tutkijoiden, innovoijien, päätöksentekijöiden, sääntelyviranomaisten ja lääkäreiden mahdollisuuksia käyttää näitä tietoja eri tarkoituksiin, kuten tutkimukseen, innovointiin, poliittiseen päätöksentekoon, sääntelytarkoituksiin, potilasturvallisuuteen tai yksilöllistettyyn hoitoon. Jotta toissijaisen käytön tarjoamat hyödyt saataisiin täysimittaisesti käyttöön, kaikkien terveystietojen haltijoiden olisi tehtävä osansa sen eteen asettamalla hallussaan olevat eri luokkiin kuuluvat sähköiset terveystiedot saataville toissijaista käyttöä varten, edellyttäen, että siinä käytetään aina tehokkaita ja suojattuja prosesseja ja noudatetaan ammatillisia velvollisuuksia, kuten salassapitovelvollisuutta.

(56)

Niiden sähköisten terveystietojen luokkien, joita voidaan käsitellä toissijaista käyttöä varten, olisi oltava riittävän laajoja ja joustavia, jotta ne vastaisivat terveystietojen käyttäjien muuttuvia tarpeita, mutta niiden olisi rajoituttava tietoihin, jotka liittyvät terveyteen tai joiden tiedetään vaikuttavan terveyteen. Niihin voi sisältyä myös asiaankuuluvia tietoja terveydenhuoltojärjestelmästä, esimerkiksi sähköiset potilaskertomukset, korvaushakemukset, lääketoimitustiedot, tiedot tautirekistereistä, genomitiedot, sekä terveyteen vaikuttavia tietoja, esimerkiksi erilaisten aineiden käyttö, sosioekonominen asema tai käyttäytyminen, sekä tietoja ympäristötekijöistä, kuten saastumisesta, säteilystä tai tiettyjen kemiallisten aineiden käytöstä. Sähköisten terveystietojen luokkiin toissijaista käyttöä varten sisältyy joitakin tietoluokkia, joita kerättiin alun perin muita tarkoituksia, kuten tutkimusta, tilastoja, potilasturvallisuutta, sääntelytoimia tai päätöksentekoa varten, esimerkiksi päätöksentekorekisterit ja lääkkeiden tai lääkinnällisten laitteiden sivuvaikutuksia koskevat rekisterit. Tietojen käyttöä tai uudelleenkäyttöä helpottavia eurooppalaisia tietokantoja on saatavilla joistakin aiheista, kuten syövistä (eurooppalainen syöpätietojärjestelmä) tai harvinaisista sairauksista (esimerkiksi Euroopan harvinaisten sairauksien rekisteröintifoorumi ja eurooppalaisten osaamisverkostojen rekisterit). Niiden sähköisten terveystietojen luokkiin, joita voidaan käsitellä toissijaista käyttöä varten, olisi sisällyttävä myös lääkinnällisten laitteiden automaattisesti tuottamia tietoja ja henkilöiden tuottamia tietoja, esimerkiksi hyvinvointisovelluksista saatuja tietoja. Kliinisiä lääketutkimuksia ja kliinisiä tutkimuksia koskevat tiedot olisi myös sisällytettävä mukaan sähköisten terveystietojen luokkiin toissijaista käyttöä varten kyseisen kliinisen tutkimuksen päätyttyä niin, ettei se vaikuta käynnissä olevien tutkimusten toimeksiantajien vapaaehtoiseen tietojen jakamiseen. Toissijaiseen käyttöön tarkoitetut sähköiset terveystiedot olisi asetettava saataville jäsennellyssä sähköisessä muodossa, joka helpottaa niiden käsittelyä tietokonejärjestelmissä. Esimerkkeihin jäsennellyistä sähköisistä muodoista sisältyvät relaatiotietokannassa olevat tiedot, XML-asiakirjojen tai CSV-tiedostojen kaltaiset muodot, ja vapaamuotoinen teksti, ääni, videot ja kuvat, jotka toimitetaan tietokoneella luettavissa olevina tiedostoina.

(57)

Terveystietojen käyttäjät, joilla on tämän asetuksen nojalla pääsy tietoaineistoihin, voisivat rikastaa kyseisissä tietoaineistoissa olevia tietoja erilaisilla korjauksilla, annotoinneilla ja muilla parannuksilla, esimerkiksi täydentämällä puuttuvia tai epätäydellisiä tietoja, mikä parantaisi tietoaineistoissa olevien tietojen täsmällisyyttä, täydellisyyttä tai laatua. Terveystietojen käyttäjiä olisi kannustettava ilmoittamaan tietoaineistoissa olevista kriittisistä virheistä terveystietoihin pääsystä vastaaville elimille. Jotta voidaan tukea alkuperäisen tietokannan parantamista ja rikastetun tietoaineiston käyttöä jatkossa, jäsenvaltioiden olisi voitava vahvistaa sääntöjä sellaisten sähköisten terveystietojen käsittelylle ja käytölle, jotka sisältävät parannuksia kyseisten tietojen käsittelyyn liittyen. Parannettu tietoaineisto ja kuvaus parannuksista olisi asetettava maksutta alkuperäisen terveystietojen haltijan saataville. Terveystietojen haltijan olisi asetettava uusi tietoaineisto saataville, paitsi jos se antaa terveystietoihin pääsystä vastaavalle elimelle perustellun ilmoituksen siitä, miksi aineistoa ei aseteta sataville, esimerkiksi tapauksissa, joissa rikastamisen laatu on heikko. Olisi myös varmistettava muiden kuin henkilökohtaisten sähköisten terveystietojen toissijaisen käytön mahdollisuus. Erityisesti taudinaiheuttajia koskevilla genomisilla tiedoilla on merkittävää arvoa ihmisten terveyden kannalta, kuten covid-19-pandemian aikana on käynyt ilmi, jolloin oikea-aikainen pääsy tällaisiin tietoihin ja niiden jakaminen osoittautui välttämättömäksi havaitsemisvälineiden, lääketieteellisten vastatoimien ja kansanterveysuhkiin reagoimisen nopean kehittämisen kannalta. Taudinaiheuttajien genomiikkaan liittyvistä toimista saadaan suurin hyöty, kun kansanterveys- ja tutkimusprosesseissa käytetään tietoaineistoja yhdessä ja tehdään yhteistyötä toisen prosessin informoimiseksi ja edistämiseksi.

(58)

Henkilökohtaisten sähköisten terveystietojen toissijaisen käytön tehostamiseksi ja tämän asetuksen tarjoamien mahdollisuuksien hyödyntämiseksi täysimääräisesti IV luvussa kuvattujen sähköisten terveystietojen saatavuuden eurooppalaisen terveystietoalueen puitteissa olisi oltava sellainen, että tiedot ovat mahdollisimman helposti käytettävissä, laadukkaita, valmiita ja sopivia tieteellisen, innovatiivisen ja yhteiskunnallisen arvon ja laadun luomiseen. Eurooppalaisen terveystietoalueen täytäntöönpanoa koskevassa työssä ja tietoaineistojen lisäparannuksissa olisi asetettava etusijalle tietoaineistot, jotka soveltuvat parhaiten tällaisen arvon ja laadun luomiseen.

(59)

Julkiset tai yksityiset yhteisöt saavat usein julkista rahoitusta kansallisista tai unionin varoista sähköisten terveystietojen keräämiseen ja käsittelyyn tutkimusta, virallisia tai muita kuin virallisia tilastoja tai muuta vastaavaa tarkoitusta varten, myös aloilla, joilla tällaisten tietojen kerääminen on hajanaista tai hankalaa, kuten esimerkiksi harvinaisiin sairauksiin tai syöpään liittyen. Terveystietoihin pääsystä vastaavien elinten saataville olisi asetettava terveystietojen haltijoiden unionin tai kansallisen julkisen rahoituksen tuella keräämät ja käsittelemät tiedot, jotta voidaan maksimoida julkisten investointien vaikutus ja tukea tutkimusta, innovointia ja potilasturvallisuutta sekä yhteiskuntaa hyödyttävää politiikkaa. Joissakin jäsenvaltioissa yksityisillä elimillä, muun muassa yksityisillä terveydenhuollon tarjoajilla ja ammattialajärjestöillä, on keskeinen rooli terveydenhuoltoalalla. Myös tällaisten palveluntarjoajien hallussa olevat terveystiedot olisi asetettava saataville toissijaista käyttöä varten. Toissijaisen käytön yhteydessä terveystietojen haltijoiden olisi sen vuoksi oltava toimijoita, jotka ovat terveydenhuollon tarjoajia tai hoivan tarjoajia tai tekevät terveydenhuolto- tai hoiva-alaa koskevaa tutkimusta tai kehittävät terveydenhuolto- tai hoiva-alalle tarkoitettuja tuotteita tai palveluja. Tällaiset toimijat voivat olla julkisia, voittoa tavoittelemattomia tai yksityisiä. Tämän määritelmän mukaisesti hoitokoteja, päiväkeskuksia, vammaispalveluja tarjoavia tahoja, muun muassa ortopedian kaltaiseen hoitoon liittyvää liike- tai teknologiatoimintaa harjoittavia tahoja sekä hoivapalveluja tarjoavia yrityksiä, olisi pidettävä terveystietojen haltijoina. Hyvinvointisovelluksia kehittäviä oikeushenkilöitä olisi myös pidettävä terveystietojen haltijoita. Terveystietojen haltijoina olisi pidettävä myös unionin toimielimiä, elimiä ja laitoksia, jotka käsittelevät kyseisiä terveystietoja ja terveydenhuoltoon liittyviä tietoja, sekä kuolleisuustietojen rekistereitä. Luonnolliset henkilöihin ja mikroyrityksiin kohdistuvan suhteettoman suuren rasitteen välttämiseksi nämä olisi pääsääntöisesti vapautettava terveystietojen haltijoiden velvollisuuksista. Jäsenvaltioiden olisi kuitenkin voitava ulottaa terveystietojen haltijoiden velvollisuudet koskemaan luonnollisia henkilöitä ja mikroyrityksiä kansallisessa lainsäädännössään. Hallinnollisen rasitteen vähentämiseksi ja ottaen huomioon vaikuttavuus- ja tehokkuusperiaatteet jäsenvaltioiden olisi voitava päättää kansallisessa lainsäädännössään, että terveystietojen välittäjäyhteisöjen on suoritettava terveystietojen haltijoille kuuluvat tehtävät tiettyjen tietojen haltijoiden ryhmien osalta. Tällaisten terveystietojen välittäjäyhteisöjen olisi oltava oikeushenkilöitä, jotka voivat käsitellä ja asettaa saataville terveystietojen haltijoiden toimittamia sähköisiä terveystietoja, rajoittaa pääsyä niihin ja vaihtaa niitä toissijaista käyttöä varten. Tällaiset terveystietojen välittäjäyhteisöt suorittavat eri tehtäviä kuin asetuksen (EU) 2022/868 mukaiset datan välityspalvelut.

(60)

Teollis- ja tekijänoikeuksilla suojatut sähköiset terveystiedot tai liikesalaisuudet, mukaan lukien tiedot kliinisistä lääketutkimuksista ja kliinisistä tutkimuksista, voivat olla erittäin hyödyllisiä toissijaisessa käytössä ja voivat edistää innovointia unionissa unionin potilaiden hyväksi. Jotta voidaan kannustaa unionia pysymään johtoasemassa tällä alalla, on tärkeää kannustaa kliinisten lääketutkimusten ja kliinisten tutkimusten tietojen jakamista eurooppalaisen terveystietoalueen kautta toissijaista käyttöä varten. Kliinisten lääketutkimukset ja kliinisten tutkimusten tiedot olisi asetettava saataville mahdollisimman kattavasti siten, että toteutetaan kaikki tarvittavat toimenpiteet teollis- ja tekijänoikeuksien ja liikesalaisuuksien suojaamiseksi. Tätä asetusta ei pitäisi käyttää tällaisen suojan kaventamiseen tai kiertämiseen, ja sen olisi oltava johdonmukainen unionin oikeudessa vahvistettujen avoimuutta koskevien säännösten kanssa, mukaan lukien kliinisten lääketutkimusten ja kliinisten tutkimusten tietoja koskevien säännösten kanssa. Terveystietoihin pääsystä vastaavan elimen tehtävänä olisi arvioida, miten tämä suoja voidaan säilyttää ja samalla antaa terveystietojen käyttäjille mahdollisimman laaja pääsy tällaisiin tietoihin. Jos terveystietoihin pääsystä vastaava elin ei kykene antamaan pääsyä tällaisiin tietoihin, sen olisi ilmoitettava asiasta terveystietojen käyttäjälle ja selitettävä, miksi tällaista pääsyä ei ole mahdollista antaa. Teollis- ja tekijänoikeuksien tai liikesalaisuuksien suojaamiseksi toteutettaviin oikeudellisiin, organisatorisiin ja teknisiin toimenpiteisiin voisivat kuulua pääsyä sähköisiin terveystietoihin koskevat yhteiset sopimusjärjestelyt, tällaisiin oikeuksiin liittyvät erityiset velvollisuudet tietoluvassa, datan esikäsittely sellaisen johdetun datan tuottamiseksi, joka suojaa liikesalaisuutta mutta josta on edelleen hyötyä terveystietojen käyttäjälle, tai turvatun käsittely-ympäristön konfigurointi siten, että terveystietojen käyttäjillä ei ole pääsyä tällaisiin terveystietoihin.

(61)

Eurooppalaisen terveystietoalueen puitteissa tapahtuvan terveystietojen toissijaisen käytön olisi annettava julkisille, yksityisille ja voittoa tavoittelemattomille yhteisöille samoin kuin yksittäisille tutkijoille mahdollisuus päästä terveystietoihin tutkimusta, innovointia, päätöksentekoa, koulutustoimintaa, potilasturvallisuutta, sääntelytoimia tai yksilöllistettyä hoitoa varten tässä asetuksessa vahvistettujen käyttötarkoitusten mukaisesti. Toissijaista käyttöä varten annettavan tietoihin pääsyn olisi edistettävä yhteiskunnan yleistä etua. Varsinkin terveystietojen toissijaisen käytön tutkimus- ja kehittämistarkoituksiin olisi omalta osaltaan hyödytettävä yhteiskuntaa unionin kansalaisille tarjottavien kohtuuhintaisten ja oikeudenmukaisesti hinnoiteltujen uusien lääkkeiden, lääkinnällisten laitteiden ja terveydenhuollon tuotteiden ja palvelujen muodossa ja edistettävä tällaisten tuotteiden ja palvelujen saantia ja saatavuutta kaikissa jäsenvaltioissa. Toimintaan, jota varten tämän asetuksen mukainen pääsy tietoihin on lainmukaista, voisi sisältyä sähköisten terveystietojen käyttö julkisen sektorin elinten tehtävien hoitamista varten, kuten julkisen palvelun velvoitteiden täyttämiseen, mukaan lukien kansanterveyden seuranta, suunnittelu- ja raportointivelvoitteiden täyttämiseen, terveyspolitiikan laadintaan sekä potilasturvallisuuden, hoidon laadun ja terveydenhuoltojärjestelmien kestävyyden varmistamiseen. Julkisen sektorin elimet ja unionin toimielimet, elimet ja laitokset saattavat tarvita säännöllisen pääsyn sähköisiin terveystietoihin pidemmän aikaa muun muassa täyttääkseen toimeksiantoonsa kuuluvat tehtävät, kuten tässä asetuksessa säädetään. Julkisen sektorin elimet voisivat toteuttaa tällaista tutkimustoimintaa kolmansien osapuolten, kuten alihankkijoiden, avulla edellyttäen, että asianomainen julkisen sektorin elin pysyy koko ajan näiden toimien valvojana. Datan toimittamisen olisi tuettava myös toimia, jotka liittyvät tieteelliseen tutkimukseen. Tieteellisen tutkimuksen tarkoitusten käsitettä olisi tulkittava laajasti, ja siihen olisi sisällyttävä teknologian kehittäminen ja demonstrointi, perustutkimus, soveltava tutkimus ja yksityisesti rahoitettu tutkimus. Tieteelliseen tutkimukseen liittyvään toimintaan sisältyvät innovointitoimet, mukaan lukien sellaisten tekoälyalgoritmien koulutus, joita voitaisiin käyttää luonnollisille henkilöille tarjottavassa terveydenhuollossa tai hoivassa, sekä olemassa olevien algoritmien ja tuotteiden arviointi ja jatkokehittäminen tällaisia tarkoituksia varten. On tarpeen, että eurooppalainen terveystietoalue myös edistää perustutkimusta, sillä vaikka perustutkimus saattaa tuottaa vähemmän suoria hyötyjä loppukäyttäjille ja potilaille, se on ratkaisevan tärkeää yhteiskunnalle pitkällä aikavälillä koituvien hyötyjen kannalta. Joissakin tapauksissa joidenkin luonnollisten henkilöiden tiedot (kuten tiettyä tautia sairastavien luonnollisten henkilöiden genomiset tiedot) voivat tukea muiden luonnollisten henkilöiden diagnosointia tai hoitoa. Julkisen sektorin elinten on tarpeen toteuttaa toimia, joissa mennään pidemmälle kuin asetuksen (EU) 2023/2854 V luvun ’poikkeuksellisen tarpeen’ soveltamisalan perusteella toteutettavissa toimissa. Terveystietoihin pääsystä vastaavien elinten olisi kuitenkin voitava tukea julkisen sektorin elimiä tietojen käsittelyssä tai yhdistämisessä. Tässä asetuksessa tarjotaan julkisen sektorin elimille kanava, jonka kautta ne saavat pääsyn tietoihin, joita ne tarvitsevat niille lainsäädännössä osoitettujen tehtävien hoitamiseksi, mutta sillä ei laajenneta tällaisten julkisen sektorin elinten toimeksiantoa.

(62)

Olisi kiellettävä kaikki yritykset käyttää sähköisiä terveystietoja luonnolliselle henkilölle missään määrin vahingollisiin toimenpiteisiin, kuten vakuutusmaksujen korottamiseen, luonnollisille henkilöille mahdollisesti vahingollisiin toimiin työllisyyden, eläkkeiden ja pankkitoiminnan alalla, mukaan lukien kiinteistöjen kiinnittäminen, tuotteiden tai hoitojen mainostamiseen, yksilöllisten päätösten automatisointiin, luonnollisten henkilöiden uudelleentunnistamiseen tai haitallisten tuotteiden kehittämiseen. Kyseistä kieltoa sovelletaan toimintaan, joka on kansallisen lainsäädännön eettisten säännösten vastaista, lukuun ottamatta eettisiä säännöksiä, jotka koskevat suostumusta henkilötietojen käsittelyyn ja eettisiä säännöksiä, jotka koskevat kielto-oikeutta, koska tämä asetus on ensisijainen kansalliseen lainsäädäntöön nähden unionin oikeuden ensisijaisuuden periaatteen mukaisesti. Myös pääsyn antaminen sähköisiin terveystietoihin sellaisille kolmansille osapuolille, joita ei mainita tietoluvassa, tai niiden asettaminen muulla tavoin tällaisten kolmansien osapuolien saataville, olisi kiellettävä. Tietoluvassa olisi ilmoitettava niiden luvan saaneiden henkilöiden, erityisesti päätutkijan, henkilöllisyys, joilla on tämän asetuksen nojalla oikeus päästä sähköisiin terveystietoihin turvatussa käsittely-ympäristössä. Päätutkijat ovat henkilöitä, jotka ovat pääasiallisesti vastuussa pääsyn pyytämisestä sähköisiin terveystietoihin ja pyydettyjen tietojen käsittelystä turvatussa käsittely-ympäristössä terveystietojen käyttäjän puolesta.

(63)

Tällä asetuksella ei anneta valtuutusta terveystietojen toissijaiseen käyttöön lainvalvontatarkoituksiin. Tämän asetuksen kattamiin toissijaisen käytön tarkoituksiin ei pitäisi kuulua rikosten ennalta estäminen, tutkiminen, paljastaminen tai rikoksiin liittyvät syytetoimet taikka toimivaltaisten viranomaisten suorittama rikosoikeudellisten seuraamusten täytäntöönpanoa. Sen vuoksi tuomioistuimia ja oikeusjärjestelmän muita elimiä ei tulisi pitää terveystietojen käyttäjinä tämän asetuksen mukaisessa terveystietojen toissijaisessa käytössä. Tuomioistuinten ja oikeusjärjestelmän muiden elinten ei myöskään pitäisi kuulua terveystietojen haltijoiden määritelmään, eikä niihin näin ollen pitäisi kohdistaa terveystietojen haltijoita tämän asetuksen nojalla koskevia velvollisuuksia. Lisäksi tämä asetus ei vaikuta toimivaltaisten viranomaisten laissa vahvistettuihin valtuuksiin, jotka koskevat rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia. Tämän asetuksen soveltamisalaan eivät kuulu myöskään sähköiset terveystiedot, joita tuomioistuimet pitävät hallussaan oikeudenkäyntimenettelyjä varten.

(64)

Yhden tai useamman terveystietoihin pääsystä vastaavan elimen, joka tukee sähköisiin terveystietoihin pääsyä jäsenvaltioissa, perustaminen on olennaista terveyteen liittyvien tietojen toissijaisen käytön edistämisessä. Tästä syystä jäsenvaltioiden olisi perustettava yksi tai useampi terveystietoihin pääsystä vastaava elin ja otettava tässä huomioon muun muassa oma perustuslaillinen, organisatorinen tai hallinnollinen rakenteensa. Yksi näistä terveystietoihin pääsystä vastaavista elimistä olisi kuitenkin nimettävä koordinaattoriksi, jos terveystietoihin pääsystä vastaavia elimiä on enemmän kuin yksi. Jos jäsenvaltio perustaa useita terveystietoihin pääsystä vastaavia elimiä, sen olisi vahvistettava kansallisella tasolla säännöt, joilla varmistetaan näiden elinten koordinoitu osallistuminen eurooppalaisen terveystietoalueen neuvostoon. Tällaisen jäsenvaltion olisi etenkin nimettävä yksi terveystietoihin pääsystä vastaava elin yhteyspisteeksi, jonka tehtävänä on varmistaa kyseisten elinten tehokas osallistuminen, ja taattava nopea ja sujuva yhteistyö muiden terveystietoihin pääsystä vastaavien elinten, eurooppalaisen terveystietoalueen neuvoston ja komission kanssa. Terveystietoihin pääsystä vastaavien elinten organisaatio ja koko voisi vaihdella täysimittaisesta erillisorganisaatiosta olemassa olevan organisaation yhteydessä olevaan yksikköön tai osastoon. Terveystietoihin pääsystä vastaavien elinten päätöksiin, jotka koskevat pääsyä sähköisiin tietoihin toissijaista käyttöä varten, ei pitäisi voida vaikuttaa ja niissä olisi vältettävä eturistiriitoja. Näin ollen kunkin terveystietoihin pääsystä vastaavan elimen hallinto- ja päätöksentekoelinten ja henkilöstön jäsenten olisi pidättäydyttävä kaikista toimista, jotka ovat ristiriidassa niiden tehtävien kanssa, eivätkä ne saisi harjoittaa mitään näiden tehtävien kanssa yhteensopimatonta ammattia. Terveystietoihin pääsystä vastaavien elinten riippumattomuus ei kuitenkaan saisi tarkoittaa sitä, ettei niiden kuluihin voitaisi soveltaa valvonta- tai seurantamekanismeja tai kohdistaa tuomioistuinvalvontaa. Kullekin terveystietoihin pääsystä vastaavalle elimelle olisi osoitettava taloudelliset, tekniset ja henkilöresurssit, tilat ja infrastruktuuri, jotka ovat tarpeen niiden tehtävien suorittamiseksi tehokkaasti, mukaan lukien tehtävät, jotka liittyvät yhteistyöhön muiden terveystietoihin pääsystä vastaavien elinten kanssa kaikkialla unionissa. Terveystietoihin pääsystä vastaavien elinten hallinto- ja päätöksentekoelinten ja henkilöstön jäsenillä olisi oltava tarvittavat pätevyydet sekä tarvittava kokemus ja osaaminen. Kullakin terveystietoihin pääsystä vastaavalla elimellä olisi oltava erillinen ja julkinen vuotuinen talousarvio, joka voisi olla osa valtion tai kansallista kokonaistalousarviota. Terveystietoihin pääsyn parantamiseksi ja asetuksen (EU) 2022/868 7 artiklan 2 kohdan täydentämiseksi jäsenvaltioiden olisi annettava terveystietoihin pääsystä vastaaville elimille valtuudet tehdä päätöksiä terveystietoihin pääsystä ja niiden toissijaisesta käytöstä. Tämä voitaisiin toteuttaa osoittamalla uusia tehtäviä jäsenvaltioiden asetuksen (EU) 2022/868 7 artiklan 1 kohdan nojalla nimeämille toimivaltaisille elimille tai nimeämällä olemassa olevia tai uusia alakohtaisia elimiä vastaamaan tällaisista terveystietoihin pääsyyn liittyvistä tehtävistä.

(65)

Terveystietoihin pääsystä vastaavien elinten olisi seurattava tämän asetuksen IV luvun soveltamista ja edistettävä sen yhdenmukaista soveltamista kaikkialla unionissa. Sitä varten terveystietoihin pääsystä vastaavien elinten olisi tehtävä yhteistyötä keskenään ja komission kanssa. Terveystietoihin pääsystä vastaavien elinten olisi tehtävä yhteistyötä myös sidosryhmien kanssa, potilasjärjestöt mukaan lukien. Terveystietoihin pääsystä vastaavien elinten olisi tuettava niitä terveystietojen haltijoita, jotka ovat komission suosituksen 2003/361/EY (18) mukaisia pieniä yrityksiä, erityisesti lääkäreitä ja apteekkeja. Koska terveystietojen toissijaiseen käyttöön sisältyy henkilökohtaisten terveystietojen käsittelyä, sovelletaan asetusten (EU) 2016/679 ja (EU) 2018/1725 asiaankuuluvia säännöksiä, ja kyseisten asetustenmukaisten valvontaviranomaisten olisi oltava edelleen ainoita toimivaltaisia viranomaisia kyseisten säännösten noudattamisen valvonnan osalta. Terveystietoihin pääsystä vastaavien elinten olisi ilmoitettava tietosuojaviranomaisille kaikista määrätyistä seuraamuksista ja mahdollisista seikoista, jotka liittyvät tietojen käsittelyyn toissijaista käyttöä varten, ja vaihdettava keskenään hallussaan olevia merkityksellisiä tietoja asiaan liittyvien sääntöjen noudattamisen varmistamiseksi. Terveystietojen tehokkaan toissijaisen käytön varmistamisen edellyttämien tehtävien lisäksi terveystietoihin pääsystä vastaavan elimen olisi pyrittävä laajentamaan uusien terveystietoaineistojen saatavuutta ja edistämään yhteisten standardien kehittämistä. Niiden olisi sovellettava sellaisia testattuja uusimpia tekniikkoja, joilla varmistetaan sähköisten terveystietojen käsittely tavalla, joka säilyttää toissijaiseen käyttöön soveltuviin tietoihin sisältyvän informaation yksityisyyden suojan, mukaan lukien tekniikat henkilötietojen pseudonymisoimiseksi, anonymisoimiseksi, yleistämiseksi, poistamiseksi ja satunnaistamiseksi. Terveystietoihin pääsystä vastaavat elimet voivat laatia tietoaineistoja sen mukaan, mitä terveystietojen käyttäjä myönnetyn tietoluvan perusteella tarvitsee. Terveystietoihin pääsystä vastaavien elinten olisi tehtävä tältä osin rajat ylittävää yhteistyötä parhaiden käytäntöjen ja tekniikoiden kehittämiseksi ja vaihtamiseksi. Tähän sisältyvät mikrotietoaineistojen pseudonymisointia ja anonymisointia koskevat säännöt. Komission olisi tarvittaessa vahvistettava täytäntöönpanosäädöksillä menettelyt ja vaatimukset ja asetettava saataville tekniset välineet sellaisen yhtenäisen menettelyn täytäntöön panemiseksi, jolla pseudonymisoidaan ja anonymisoidaan sähköisiä terveystietoja.

(66)

Terveystietoihin pääsystä vastaavien elinten olisi varmistettava, että toissijainen käyttö on läpinäkyvää antamalla julkista tietoa myönnetyistä luvista ja niiden perusteluista, luonnollisten henkilöiden oikeuksien suojaamiseksi toteutetuista toimenpiteistä, siitä, miten luonnolliset henkilöt voivat käyttää toissijaista käyttöä koskevia oikeuksiaan, ja toissijaisen käytön tuotoksista, myös linkeillä tieteellisiin julkaisuihin. Kyseisiin toissijaisen käytön tuotoksia koskeviin tietoihin olisi tarvittaessa sisällyttävä terveystietojen käyttäjän toimittama yleistajuinen tiivistelmä. Kyseiset läpinäkyvyyttä koskevat velvollisuudet täydentävät asetuksen (EU) 2016/679 14 artiklassa säädettyjä velvollisuuksia. Kyseisen asetuksen 14 artiklan 5 kohdassa säädettyjä poikkeuksia voitaisiin soveltaa. Kun tällaiset poikkeukset soveltuvat, tällä asetuksella vahvistetuilla läpinäkyvyyttä koskevilla velvollisuuksilla olisi autettava varmistamaan asetuksen (EU) 2016/679 14 artiklan 2 kohdassa tarkoitetun asianmukaisen ja läpinäkyvän käsittelyn toteutuminen esimerkiksi tarjoamalla tiedot käsittelyn tarkoituksesta ja käsiteltävistä tietoluokista, jotta luonnolliset henkilöt voivat näin saada käsityksen siitä, onko heidän tietonsa asetettu saataville toissijaista käyttöä varten tietolupien nojalla.

(67)

Terveystietojen haltijoiden olisi tiedotettava luonnollisille henkilöille luonnollisen henkilön terveyteen liittyvistä merkittävistä havainnoista, jotka terveystietojen käyttäjä on tehnyt. Luonnollisilla henkilöillä olisi oltava oikeus pyytää, ettei heille ilmoiteta tällaisista havainnoista. Jäsenvaltiot voisivat vahvistaa edellytykset, jotka koskevat yksityiskohtaisia menettelyjä siitä, miten terveystietojen haltijat tarjoavat tällaista tietoa luonnollisille henkilöille ja oikeuden olla saamatta tietoa käyttämisestä. Jäsenvaltioiden olisi voitava asetuksen (EU) 2016/679 23 artiklan 1 kohdan i alakohdan mukaisesti rajoittaa luonnollisille henkilöille ilmoittamista koskevan velvollisuuden soveltamisalaa aina, kun se on tarpeen heidän suojelemisekseen potilasturvallisuuteen liittyvistä ja eettisistä syistä, lykkäämällä heidän tietojensa ilmoittamista, kunnes terveydenhuollon ammattihenkilö voi antaa ja selittää asianomaisille luonnollisille henkilöille tietoja, joilla mahdollisesti saattaa olla merkittävä vaikutus heidän terveyteensä.

(68)

Läpinäkyvyyden lisäämiseksi terveystietoihin pääsystä vastaavien elinten olisi myös julkaistava joka toinen vuosi toimintakertomus, jossa esitetään yleiskatsaus niiden toimintaan. Jos jäsenvaltio on nimennyt useamman kuin yhden terveystietoihin pääsystä vastaavan elimen, koordinaattorina toimivan terveystietoihin pääsystä vastaavan elimen olisi laadittava ja julkaistava yhteinen kertomus joka toinen vuosi. Toimintakertomuksissa olisi noudatettava eurooppalaisen terveystietoalueen neuvostossa sovittua rakennetta, ja niissä olisi esitettävä yleiskatsaus toimintaan, mukaan lukien tiedot hakemuksia koskevista päätöksistä, tarkastuksista ja yhteistyöstä asiaankuuluvien sidosryhmien kanssa. Tällaisia sidosryhmiä voivat olla luonnollisten henkilöiden, potilasjärjestöjen, terveydenhuollon ammattihenkilöiden, tutkijoiden ja eettisten komiteoiden edustajat.

(69)

Toissijaisen käytön tukemiseksi terveystietojen haltijat eivät saisi kieltäytyä antamasta tietoja, vaatia perusteettomia maksuja, jotka eivät ole läpinäkyviä tai oikeassa suhteessa datan saataville asettamisesta aiheutuviin kustannuksiin (ja tapauksen mukaan terveystietojen keräämisestä aiheutuviin marginaalisiin kustannuksiin), vaatia terveystietojen käyttäjiä julkaisemaan tutkimus yhdessä taikka noudattaa muita käytäntöjä, jotka voisivat saada terveystietojen käyttäjät luopumaan tietojen pyytämisestä. Jos terveystietojen haltija on julkisen sektorin elin, sen kustannuksiin liittyvä osa maksuista ei saisi kattaa datan ensimmäisestä keräämisestä aiheutuneita kuluja. Jos tietoluvan myöntäminen edellyttää eettistä hyväksyntää, eettiseen hyväksyntään liittyvä arviointi olisi suoritettava erikseen.

(70)

Terveystietoihin pääsystä vastaavien elinten olisi voitava veloittaa tehtäviinsä liittyviä maksuja asetuksessa (EU) 2022/868 vahvistetut horisontaaliset säännöt huomioon ottaen. Maksuissa voitaisiin ottaa huomioon pienten ja keskisuurten yritysten (pk-yritykset), yksittäisten tutkijoiden tai julkisen sektorin elinten tilanne ja etu. Jäsenvaltioiden olisi voitava erityisesti toteuttaa niiden lainkäyttöalueella toimivia terveystietoihin pääsystä vastaavia elimiä koskevia toimenpiteitä, joilla mahdollistetaan alennettujen maksujen periminen tietyiltä terveystietojen käyttäjien ryhmiltä. Terveystietoihin pääsystä vastaavien elinten olisi voitava kattaa toimintansa kustannukset maksuilla, jotka on vahvistettu oikeasuhteisella, perustellulla ja avoimella tavalla. Tästä voisi seurata joillekin terveystietojen käyttäjille korkeampia maksuja, jos niiden tekemien tietoihin pääsyä koskevien hakemusten ja tietopyyntöjen käsitteleminen edellyttää lisätyötä. Terveystietojen haltijoiden olisi voitava periä myös datan asettamisesta saataville maksuja, jotka heijastavat niille aiheutuvia kustannuksia. Terveystietoihin pääsystä vastaavien elinten olisi päätettävä tällaisten maksujen, joihin voisivat sisältyä terveystietojen haltijoiden perimät maksut, suuruudesta. Terveystietoihin pääsystä vastaavan elimen olisi veloitettava tällaiset maksut terveystietojen käyttäjältä yhdellä laskulla. Terveystietoihin pääsystä vastaavan elimen olisi tämän jälkeen siirrettävä terveystietojen haltijalle tälle kuuluva osa maksuista. Komissiolle olisi siirrettävä täytäntöönpanovaltaa maksukäytäntöjä ja maksurakennetta koskevan yhdenmukaisen lähestymistavan varmistamiseksi. Asetuksen (EU) 2023/2854 10 artiklan säännöksiä olisi sovellettava tämän asetuksen nojalla veloitettaviin maksuihin.

(71)

Toissijaista käyttöä koskevien sääntöjen täytäntöönpanon tehostamiseksi olisi laadittava asianmukaisia toimenpiteitä, jotka voivat johtaa terveystietoihin pääsystä vastaavien elinten määräämiin hallinnollisiin seuraamusmaksuihin tai täytäntöönpanotoimenpiteisiin tai tilapäisiin tai lopullisiin poissulkemisiin eurooppalaisen terveystietoalueen kehyksestä sellaisten terveystietojen käyttäjien tai terveystietojen haltijoiden osalta, jotka eivät noudata velvollisuuksiaan. Terveystietoihin pääsystä vastaavalla elimellä olisi oltava valtuudet tarkistaa terveystietojen käyttäjien ja terveystietojen haltijoiden vaatimustenmukaisuus ja antaa niille mahdollisuus esittää vastineensa huomautuksiin ja korjata mahdolliset rikkomiset. Päättäessään hallinnollisen seuraamusmaksun suuruudesta tai täytäntöönpanotoimenpiteestä kunkin yksittäistapauksen osalta terveystietoihin pääsystä vastaavien elinten olisi otettava huomioon tässä asetuksessa vahvistetut kustannusten marginaalit ja kriteerit, joilla varmistetaan seuraamusmaksujen tai toimenpiteiden oikeasuhteisuus.

(72)

Sähköisten terveystietojen arkaluonteisuuden vuoksi on tarpeen vähentää luonnollisten henkilöiden yksityisyyteen kohdistuvia riskejä soveltamalla tietojen minimoinnin periaatetta. Siksi saataville olisi asetettava muita kuin henkilökohtaisia sähköisiä terveystietoja aina kun tällaisten tietojen antaminen on riittävää. Jos terveystietojen käyttäjän on tarpeen käyttää henkilökohtaisia sähköisiä terveystietoja, sen olisi hakemuksessaan ilmoitettava selkeästi perustelut kyseisentyyppisten tietojen käytölle, ja terveystietoihin pääsystä vastaavan elimen olisi arvioitava kyseisten perustelujen pätevyys. Henkilökohtaiset sähköiset terveystiedot olisi asetettava saataville ainoastaan pseudonymisoidussa muodossa. Ottaen huomioon käsittelyn nimenomaisen tarkoituksen, henkilökohtaiset sähköiset terveystiedot olisi pseudonymisoitava tai anonymisoitava mahdollisimman aikaisessa vaiheessa sitä prosessia, jossa tiedot asetetaan saataville toissijaista käyttöä varten. Terveystietoihin pääsystä vastaavien elinten tai terveystietojen haltijoiden olisi oltava mahdollista suorittaa pseudonymisointi ja anonymisointi. Rekisterinpitäjinä terveystietoihin pääsystä vastaavat elimet ja terveystietojen haltijat voivat siirtää näitä tehtäviä käsittelijöille. Antaessaan pääsyn pseudonymisoituun tai anonymisoituun tietoaineistoon terveystietoihin pääsystä vastaavan elimen olisi käytettävä uusinta pseudonymisointi- tai anonymisointitekniikkaa ja -standardeja ja varmistettava mahdollisimman hyvin se, etteivät terveystietojen käyttäjät voi tunnistaa uudelleen luonnollisia henkilöitä. Näitä pseudonymisointi- tai anonymisointitekniikkaa ja standardeja olisi kehitettävä edelleen. Terveystietojen käyttäjät eivät saisi yrittää uudelleentunnistaa luonnollisia henkilöitä tämän asetuksen nojalla toimitetusta tietoaineistosta, ja jos he toimivat näin, heihin olisi sovellettava tässä asetuksessa säädettyjä hallinnollisia seuraamusmaksuja ja täytäntöönpanotoimenpiteitä tai mahdollisia rikosoikeudellisia seuraamuksia, jos kansallisessa lainsäädännössä niin säädetään. Lisäksi terveystietojen hakijan olisi voitava pyytää vastausta terveystietopyyntöön anonymisoidussa tilastollisessa muodossa. Tässä tapauksessa terveystietojen käyttäjä käsittelee ainoastaan muita kuin henkilötietoja, ja terveystietoihin pääsystä vastaava elin on edelleen ainoa rekisterinpitäjä kaikkien henkilötietojen osalta, joita tarvitaan terveystietopyyntöön vastaamiseen.

(73)

Sen varmistamiseksi, että kaikki terveystietoihin pääsystä vastaavat elimet myöntävät tietolupia samalla tavalla, on tarpeen ottaa käyttöön yhteinen vakiomenettely tietolupien myöntämistä varten ja esittää hakemukset samalla tavalla eri jäsenvaltioissa. Terveystietojen hakijan olisi annettava terveystietoihin pääsystä vastaaville elimille useita erilaisia tietoja, jotka auttavat asianomaista elintä arvioimaan terveystietoihin pääsyä koskevan hakemuksen ja päättämään, voidaanko terveystietojen hakijalle myöntää tietolupa, ja olisi varmistettava yhdenmukaisuuden eri terveystietoihin pääsystä vastaavien elinten välillä. Terveystietoihin pääsyä koskevan hakemuksen osana toimitettavien tietojen olisi noudatettava tässä asetuksessa vahvistettuja vaatimuksia, jotta niitä voidaan arvioida perusteellisesti, sillä tietolupa olisi myönnettävä vain, jos kaikki tässä asetuksessa säädetyt tarvittavat edellytykset täyttyvät. Lisäksi kyseisiin tietoihin olisi tarvittaessa sisällytettävä terveystietojen hakijan vakuutus siitä, että pyydettyjen terveystietojen suunniteltu käyttötarkoitus ei aiheuta leimautumisen tai ihmisarvon loukkaamisen riskiä luonnollisille henkilöille tai ryhmille, joita pyydetty tietoaineisto koskee. Eettistä arviointia voitaisiin pyytää kansallisen lainsäädännön perusteella. Jos näin tehdään, olemassa olevien eettisten elinten olisi voitava suorittaa tällaisia arviointeja terveystietoihin pääsystä vastaavia elimiä varten. Jäsenvaltioiden nykyisten eettisten elinten olisi tarjottava asiantuntemuksensa terveystietoihin pääsystä vastaavan elimen käyttöön tätä tarkoitusta varten. Vaihtoehtoisesti jäsenvaltioiden olisi voitava päättää tehdä eettisistä elimistä tai eettisiä kysymyksiä koskevasta asiantuntemuksesta keskeisen osan terveystietoihin pääsystä vastaavaa elintä. Terveystietoihin pääsystä vastaavan elimen ja tarvittaessa terveystietojen haltijoiden olisi avustettava terveystietojen käyttäjiä valitsemaan sopivia tietoaineistoja tai tietolähteitä toissijaista käyttötarkoitusta varten. Jos terveystietojen hakija tarvitsee tiedot anonymisoidussa tilastollisessa muodossa, sen olisi toimitettava terveystietopyyntö, jossa pyydetään terveystietoihin pääsystä vastaavaa elintä toimittamaan tulos suoraan. Jos terveystietoihin pääsystä vastaava elin epää tietoluvan, sen ei pitäisi estää terveystietojen hakijaa toimittamasta uutta terveystietoihin pääsyä koskevaa hakemusta. Jotta voidaan varmistaa yhdenmukainen lähestymistapa terveystietoihin pääsystä vastaavien elinten välillä ja rajoittaa tarpeettoman hallinnollisen rasitteen aiheuttamista terveystietojen hakijoille, komission olisi tuettava terveystietoihin pääsyä koskevien hakemusten ja terveystietopyyntöjen yhdenmukaistamista, muun muassa vahvistamalla näitä koskevat mallit. Perustelluissa tapauksissa, kuten monimutkaisen ja työlään pyynnön tapauksessa, terveystietoihin pääsystä vastaavan elimen olisi voitava jatkaa määräaikaa, jonka kuluessa terveystietojen haltijoiden on asetettava pyydetyt sähköiset terveystiedot sen saataville.

(74)

Koska terveystietoihin pääsystä vastaavien elinten resurssit ovat rajalliset, ne voivat soveltaa priorisointisääntöjä ja asettaa esimerkiksi julkiset laitokset etusijalle yksityisiin tahoihin nähden, mutta niiden ei pitäisi kohdella samassa prioriteettiluokassa olevia kansallisia organisaatioita ja muista jäsenvaltioista peräisin olevia organisaatioita eriarvoisesti. Terveystietojen käyttäjän olisi voitava jatkaa tietoluvan voimassaoloaikaa, jotta esimerkiksi tieteellisen julkaisun arvioijat voivat käyttää tietoaineistoja tai jotta tietoaineistoa voidaan analysoida tarkemmin alkuperäisten havaintojen perusteella. Tämän olisi edellytettävä tietoluvan muuttamista, ja siitä voidaan veloittaa lisämaksu. Tietoluvissa olisi kuitenkin aina otettava huomioon tällaiset tietoaineiston lisäkäyttötarkoitukset. Terveystietojen käyttäjän olisi mieluiten mainittava ne alkuperäisessä terveystietoihin pääsyä koskevassa hakemuksessaan. Jotta voidaan varmistaa yhdenmukainen lähestymistapa terveystietoihin pääsystä vastaavien elinten välillä, komission olisi tuettava tietolupien yhdenmukaistamista.

(75)

Kuten covid-19-kriisi on osoittanut, unionin toimielimet, elimet ja laitokset, joilla on lakisääteinen tehtävä kansanterveyden alalla, etenkin komissio, tarvitsevat pääsyn terveystietoihin pidemmäksi aikaa ja toistuvasti. Näin saattaa olla paitsi unionin tai jäsenvaltioiden lainsäädännössä säädetyissä erityisolosuhteissa kriisiaikoina myös tieteellisen näytön ja teknisen tuen saamiseksi säännöllisesti unionin politiikanlaadintaa varten. Pääsyä tällaisiin tietoihin saatetaan tarvita joko tietyissä jäsenvaltioissa tai koko unionin alueella. Tällaisten unionin toimielimien, elinten ja laitosten olisi voitava hyödyntää nopeutettua menettelyä, jossa tiedot asetetaan saataville tavallisesti alle kahdessa kuukaudessa ja jossa määräaikaa voidaan monimutkaisemmissa tapauksissa jatkaa yhdellä kuukaudella.

(76)

Jäsenvaltioiden olisi voitava nimetä luotetut terveystietojen haltijat, joiden osalta tietolupamenettely voidaan suorittaa yksinkertaistettuna, jotta voidaan keventää terveystietoihin pääsystä vastaaville elimille aiheutuvaa hallinnollista rasitetta, kun ne hallinnoivat käsittelemiänsä tietoja koskevia pyyntöjä. Luotettujen terveystietojen haltijoiden olisi voitava arvioida tämän yksinkertaistetun menettelyn mukaisesti toimitetut terveystietoihin pääsyä koskevat hakemukset niiden osaamisen perusteella käsittelemiensä terveystietojen tyyppien alalla, ja niiden olisi voitava antaa tietolupaa koskeva suositus. Terveystietoihin pääsystä vastaavan elimen olisi edelleen oltava vastuussa lopullisen tietoluvan myöntämisestä, eikä luotetun terveystietojen haltijan antama suositus saisi sitoa sitä. Terveystietojen välittäjäyhteisöjä ei pitäisi nimetä luotetuiksi terveystietojen haltijoiksi.

(77)

Sähköisten terveystietojen arkaluonteisuuden vuoksi terveystietojen käyttäjillä ei saisi olla rajoittamatonta pääsyä tällaisiin tietoihin. Toissijaista käyttöä varten pyydettyihin sähköisiin terveystietoihin pääsyn olisi aina tapahduttava turvatussa käsittely-ympäristössä. Jotta voidaan varmistaa sähköisiä terveystietoja koskevat vankat tekniset ja turvallisuuteen liittyvät suojatoimet, terveystietoihin pääsystä vastaavan elimen, tai tapauksen mukaan luotetun terveystietojen haltijan, olisi tarjottava pääsy tällaisiin tietoihin turvatussa käsittely-ympäristössä, joka täyttää tämän asetuksen nojalla vahvistetut korkeatasoiset tekniset ja turvallisuusvaatimukset. Tällaisessa turvatussa käsittely-ympäristössä tapahtuvassa henkilötietojen käsittelyssä olisi noudatettava asetusta (EU) 2016/679, mukaan lukien kyseisen asetuksen 28 artikla, kun turvattua käsittely-ympäristöä hallinnoi kolmas osapuoli, ja tapauksen mukaan sen V lukua. Turvatun käsittely-ympäristön olisi vähennettävä tällaisiin käsittelytoimiin liittyviä yksityisyyden suojaan kohdistuvia riskejä ja estettävä sähköisten terveystietojen siirtäminen suoraan terveystietojen käyttäjille. Sähköisiin terveystietoihin pääsyn olisi oltava jatkuvasti terveystietoihin pääsystä vastaavan elimen tai tämän palvelun tarjoavan terveystietojen haltijan hallinnassa, ja terveystietojen käyttäjille olisi annettava niihin pääsy myönnetyn tietoluvan ehtojen mukaisesti. Terveystietojen käyttäjien olisi voitava ladata tällaisesta turvatusta käsittely-ympäristöstä ainoastaan muita kuin henkilökohtaisia sähköisiä terveystietoja, jotka eivät sisällä mitään henkilökohtaisia sähköisiä terveystietoja. Näin ollen tällainen turvattu käsittely-ympäristö on olennaisen tärkeä suojatoimi luonnollisten henkilöiden oikeuksien ja vapauksien varjelemiseksi, kun heidän sähköisiä terveystietojaan käsitellään toissijaista käyttöä varten. Komission olisi avustettava jäsenvaltioita yhteisten turvallisuusstandardien kehittämisessä erilaisten turvattujen käsittely-ympäristöjen turvallisuuden ja yhteentoimivuuden edistämiseksi.

(78)

Asetuksessa (EU) 2022/868 vahvistetaan yleiset säännöt data-altruismin hallintaa varten. Koska terveydenhuoltoalalla hallinnoidaan arkaluonteisia tietoja, asiaa koskevia lisäkriteereitä olisi vahvistettava kyseisessä asetuksessa tarkoitetussa sääntökirjassa. Kun tällaisissa säännöissä säädetään turvatun käsittely-ympäristön käytöstä kyseisellä alalla, tällaisen turvallisen käsittely-ympäristön olisi oltava sitä koskevien tässä asetuksessa vahvistettujen kriteerien mukainen. Terveystietoihin pääsystä vastaavien elinten olisi tehtävä yhteistyötä asetuksen (EU) 2022/868 nojalla nimettyjen toimivaltaisten viranomaisten kanssa data-altruismipohjaisten organisaatioiden toiminnan valvomiseksi terveydenhuolto- tai hoiva-alalla.

(79)

Kun sähköisiä terveystietoja käsitellään tietoluvan tai terveystietopyynnön yhteydessä, terveystietojen haltijoita, myös luotettuja terveystietojen haltijoita, terveystietoihin pääsystä vastaavia elimiä ja terveystietojen käyttäjiä olisi kutakin vuorollaan pidettävä prosessin määrätyssä vaiheessa rekisterinpitäjänä sen mukaan, mitä tehtäviä niillä kulloinkin on. Terveystietojen haltijoita olisi pidettävä rekisterinpitäjinä, kun pyydettyjä henkilökohtaisia sähköisiä terveystietoja luovutetaan terveystietoihin pääsystä vastaaville elimille, kun taas terveystietoihin pääsystä vastaavia elimiä olisi vuorostaan pidettävänä rekisterinpitäjinä, kun henkilökohtaisia sähköisiä terveystietoja käsitellään valmisteltaessa tietoja ja asetettaessa ne terveystietojen käyttäjien saataville. Terveystietojen käyttäjiä olisi pidettävä rekisterinpitäjinä, kun pseudonymisoidussa muodossa olevia henkilökohtaisia sähköisiä terveystietoja käsitellään niiden tietolupien nojalla turvatussa käsittely-ympäristössä. Terveystietoihin pääsystä vastaavia elimiä olisi pidettävä henkilötietojen käsittelijöinä terveystietojen käyttäjän puolesta, kun terveystietojen käyttäjä käsittelee tietoja tietoluvan nojalla turvatussa käsittely-ympäristössä ja kun tietoja käsitellään vastauksen tuottamiseksi terveystietopyyntöön. Vastaavasti luotettuja terveystietojen haltijoita olisi pidettävä rekisterinpitäjinä, kun ne käsittelevät henkilökohtaisia sähköisiä terveystietoja, jotka liittyvät sähköisten terveystietojen toimittamiseen terveystietojen käyttäjälle tietoluvan tai terveystietopyynnön perusteella. Luotetun terveystietojen haltijoiden olisi katsottava toimivan henkilötietojen käsittelijöinä terveystietojen käyttäjien puolesta, kun ne toimittavat tietoja turvatun käsittely-ympäristön kautta.

(80)

Jotta useammassa maassa suoritettavalle voidaan luoda osallistava ja kestävä kehys, olisi perustettava rajatylittävä infrastruktuuri Terveysdata @ EU (HealthData@EU). Terveysdata @ EU (HealthData@EU) -infrastruktuurin olisi nopeutettava sähköisten terveystietojen toissijaista käyttöä ja samalla parannettava oikeusvarmuutta, kunnioitettava luonnollisten henkilöiden yksityisyyden suojaa ja oltava yhteentoimiva. Terveystietojen arkaluonteisuuden vuoksi ”sisäänrakennettu yksityisyyden suoja” ja ”oletusarvoinen yksityisyyden suoja” ja ”datasta hakemisen sen siirtämisen sijaan” käsite ovat periaatteita, joita olisi noudatettava aina kun se on mahdollista. Jäsenvaltioiden olisi nimettävä kansalliset yhteyspisteet toissijaista käyttöä varten toimimaan terveystietojen pääsystä vastaavien elinten organisatorisina ja teknisinä palveluväylinä ja liitettävä nämä yhteyspisteet Terveysdata @ EU (HealthData@EU) -infrastruktuuriin. Myös unionin terveystietojenkäyttöpalvelu olisi liitettävä tähän infrastruktuuriin. Terveysdata @ EU (HealthData@EU) -infrastruktuurin hyväksyttyjä osallistujia voisivat olla myös tutkimusinfrastruktuurit, jotka on perustettu neuvoston asetuksen (EY) N:o 723/2009 (19) mukaisena eurooppalainen tutkimusinfrastruktuurikonsortiona (ERIC), päätöksen (EU) 2022/2481 mukaisena digitaali-infrastruktuurikonsortiona tai muun unionin säädösten mukaisena vastaavana rakenteena, sekä muuntyyppiset yhteisöt, mukaan lukien Euroopan tutkimusinfrastruktuurien strategiafoorumiin (ESFRI) kuuluvat ja eurooppalaisten avoimen tieteen pilvipalvelujen (EOSC) puitteissa yhteenliitetyt infrastruktuurit. Myös kolmannet maat ja kansainväliset järjestöt voisivat tulla Terveysdata @ EU (HealthData@EU) -infrastruktuurin hyväksytyiksi osallistujiksi edellyttäen, että ne täyttävät tämän asetuksen vaatimukset. Komission 19 päivänä helmikuuta 2020 annettu tiedonanto ”Euroopan datastrategia” edisti erilaisten yhteisten eurooppalaisten data-avaruuksien yhdistämistä. Terveysdata @ EU (HealthData@EU) -infrastruktuurin olisi näin ollen mahdollistettava sähköisten terveystietojen eri luokkien toissijainen käyttö, mukaan lukien terveystietojen yhdistäminen muista, kuten ympäristö-, maatalous- ja sosiaalialojen, data-avaruuksista saataviin tietoihin. Tällainen terveydenhuoltoalan yhteentoimivuus muun muassa ympäristö-, maatalous- tai sosiaalialojen kanssa voisi olla merkityksellistä lisätietojen saamiseksi terveyteen vaikuttavista taustatekijöistä. Komissio voisi tarjota Terveysdata @ EU (HealthData@EU) -infrastruktuurin puitteissa useita palveluja, joihin voisivat kuulua tietojenvaihdon tukeminen terveystietoihin pääsystä vastaavien elinten ja Terveysdata @ EU:n (HealthData@EU) hyväksyttyjen osallistujien kesken rajatylittävää tietoihin pääsyä koskevien pyyntöjen käsittelyä varten, infrastruktuurin kautta saatavilla olevien sähköisten terveystietojen luetteloiden ylläpitäminen, verkon löydettävyys ja metadatahaut, yhteydet ja vaatimustenmukaisuuspalvelut. Komissio voisi myös luoda turvatun ympäristön, joka mahdollistaa eri kansallisista infrastruktuureista peräisin olevien tietojen toimittamisen ja analysoinnin rekisterinpitäjien pyynnöstä. Tietoteknisen tehokkuuden, järkeistämisen ja tietojenvaihdon yhteentoimivuuden vuoksi olemassa olevia datan jakamisjärjestelmiä olisi käytettävä uudelleen mahdollisimman paljon, kuten järjestelmät, joita kehitetään Euroopan parlamentin ja neuvoston asetuksessa (EU) 2018/1724 (20) tarkoitettua yhden kerran periaatteen mukaista todistusmateriaalin vaihtoa koskevaa teknistä järjestelmää varten.

(81)

Lisäksi kun otetaan huomioon, että liittäminen Terveysdata @ EU (HealthData@EU) -infrastruktuuriin saattaisi merkitä hakijaa tai terveystietojen käyttäjää koskevien henkilötietojen siirtämistä kolmansiin maihin, tällaista siirtämistä varten käytössä pitää olla asiaankuuluvat asetuksen (EU) 2016/679 V luvun mukaiset tiedonsiirtovälineet.

(82)

Kun on kyse rajatylittävistä rekistereistä tai tietokannoista, kuten harvinaisten sairauksien eurooppalaisten osaamisverkostojen rekistereistä, jotka vastaanottavat tietoja eri terveydenhuollon tarjoajilta useissa jäsenvaltioissa, sen jäsenvaltion terveystietoihin pääsystä vastaavan elimen, jossa rekisterin koordinaattori sijaitsee, olisi oltava vastuussa pääsyn tarjoamisesta tietoihin.

(83)

Terveysdatan käyttäjät saattavat joutua toistamaan lupaprosessin henkilökohtaisiin sähköisiin terveystietoihin pääsemiseksi eri jäsenvaltioissa, ja prosessi voi olla hankala Aina kun se on mahdollista, olisi luotava synergioita terveystietojen käyttäjille aiheutuvan rasitteen ja esteiden vähentämiseksi. Yksi tapa saavuttaa tämä tavoite on noudattaa yhden hakemuksen periaatetta, jonka mukaan terveystietojen käyttäjä voi saada yhdellä hakemuksella luvan useilta terveystietoihin pääsystä vastaavilta elimiltä tai Terveysdata @ EU:n (HealthData@EU) hyväksytyiltä osallistujilta eri jäsenvaltioista.

(84)

Terveystietoihin pääsystä vastaavien elinten olisi tarjottava saatavilla olevista tietoaineistoista ja niiden ominaisuuksista tietoja, joiden perusteella terveystietojen käyttäjät saavat tietoa tietoaineiston perusominaisuuksista ja voivat arvioida kyseisten tietojen mahdollista merkityksellisyyttä kyseisten käyttäjien kannalta. Tästä syystä jokaiseen tietoaineistoon olisi sisällyttävä ainakin tiedot lähteestä, tietojen luonteesta ja tietojen saataville asettamisen edellytyksistä. Terveystietojen haltijan olisi vähintään kerran vuodessa tarkistettava, että sen kansallisessa tietoaineistoluettelossa oleva kuvaus on paikkansapitävä ja ajan tasalla. Sen vuoksi olisi laadittava EU:n tietoaineistoluettelo, joka tekee helpommaksi löytää eurooppalaisen terveystietoalueen puitteissa saatavilla olevia tietoaineistoja, auttaa terveystietojen haltijoita julkaisemaan tietoaineistonsa, antaa kaikille sidosryhmille, myös suurelle yleisölle, ottaen huomioon vammaisten henkilöiden erityistarpeet, tietoa eurooppalaiseen terveystietoalueeseen asetetuista tietoaineistoista, kuten laatu- ja hyötymerkit ja tietoaineistoa koskevat tietolomakkeet, ja tarjoaa terveystietojen käyttäjille ajantasaisia tietoja tietojen laadusta ja tietoaineistojen hyödyllisyydestä.

(85)

Tietoaineistojen laatua ja hyödyllisyyttä koskevat tiedot lisäävät merkittävästi dataintensiivisen tutkimuksen ja innovoinnin tulosten arvoa ja edistävät samalla näyttöön perustuvaa päätöksentekoa sääntelytoimissa ja politiikan laadinnassa. Tietoaineistojen laadun ja hyödyllisyyden parantaminen mahdollistamalla asiakkaille tietoon perustuvat valinnat ja yhdenmukaistamalla tietoaineistoja koskevia vaatimuksia unionin tasolla, ottaen huomioon olemassa olevat tietojen keräämistä ja vaihtamista koskevat unionin ja kansainväliset standardit, ohjeet ja suositukset, kuten FAIR-periaatteet, hyödyttää myös terveystietojen haltijoita, terveydenhuollon ammattihenkilöitä, luonnollisia henkilöitä ja unionin taloutta kokonaisuudessaan. Tietoaineistoja koskeva tietojen laatu- ja hyötymerkki antaisi terveystietojen käyttäjille tietoa tietoaineiston laatuun ja käyttökelpoisuuteen liittyvistä ominaisuuksista ja antaisi käyttäjille mahdollisuuden valita tarpeisiinsa parhaiten sopivat tietoaineistot. Tietojen laatu- ja hyötymerkki ei saisi estää tietoaineistojen asettamista saataville eurooppalaisen terveystietoalueen puitteissa, vaan sen olisi toimittava läpinäkyvyysmekanismina terveystietojen haltijoiden ja terveystietojen käyttäjien välillä. Esimerkiksi tietoaineisto, joka ei täytä mitään tietojen laatua ja hyödyllisyyttä koskevia vaatimuksia, olisi merkittävä kuuluvaksi heikoimpaan laatu- ja hyötyluokkaan, mutta se olisi kuitenkin asetettava saataville. Asetuksen (EU) 2024/1689 10 artiklan nojalla luoduissa puitteissa ja niihin liittyvässä, kyseisen asetuksen liitteessä IV täsmennetyssä teknisessä dokumentaatiossa luodut odotukset olisi otettava huomioon kehitettäessä tietojen laatu- ja hyötymerkkiä koskevaa kehystä. Jäsenvaltioiden olisi lisättävä tiedotustoimien avulla tietoisuutta tietojen laatu- ja hyötymerkistä. Komissio voisi tukea näitä toimia. Käyttäjät voisivat panna käyttämänsä tietoaineistot paremmuusjärjestykseen sen mukaan, miten hyödyllisiä ja laadukkaita ne ovat.

(86)

EU:n tietoaineistoluettelon olisi minimoitava datan haltijoille ja muille tietokannan käyttäjille aiheutuvaa hallinnollista rasitetta, oltava käyttäjäystävällinen, helposti saatavilla ja kustannustehokas, siihen olisi yhdistettävä kansalliset tietoaineistoluettelot ja siinä olisi vältettävä tietoaineistojen päällekkäisiä rekisteröintejä. EU:n tietoaineistoluettelo voitaisiin mukauttaa data.europa.eu-aloitteeseen, sanotun kuitenkaan rajoittamatta asetuksessa (EU) 2022/868 vahvistettujen vaatimusten soveltamista. Olisi varmistettava, että EU:n tietoaineistoluettelot, kansalliset tietoaineistoluettelot ja eurooppalaisten tutkimusinfrastruktuurien ja muiden asiaankuuluvien datan jakamisinfrastruktuurien tietoaineistoluettelot ovat keskenään yhteentoimivia.

(87)

Eri ammattialajärjestöt, komissio ja muut toimielimet tekevät parhaillaan yhteistyötä erilaisten tietoaineistojen, esimerkiksi rekisterien, vähimmäistietokenttien ja muiden ominaisuuksien määrittämiseksi. Kyseinen työ on edistyneempää esimerkiksi syövän, harvinaisten sairauksien, sydän- ja verisuonitautien ja aineenvaihduntasairauksien ja riskitekijöiden arvioinnin saralla sekä tilastoalalla, ja se olisi otettava huomioon määriteltäessä uusia standardeja ja yhdenmukaisia tautikohtaisia malleja strukturoiduille tietoelementeille. Monia tietoaineistoja ei kuitenkaan ole yhdenmukaistettu, mikä aiheuttaa vertailtavuuteen liittyviä ongelmia ja vaikeuttaa rajatylittävää tutkimusta. Sen vuoksi täytäntöönpanosäädöksissä olisi vahvistettava yksityiskohtaisemmat säännöt, jotka varmistavat sähköisten terveystietojen yhdenmukaisen koodauksen ja rekisteröinnin, jotta tällaiset tiedot voidaan toimittaa toissijaista käyttöä varten johdonmukaisella tavalla. Tällaisia tietoaineistoja voivat olla harvinaisten sairauksien rekistereistä, harvinaislääkkeiden tietokannoista, syöpärekistereistä ja erittäin merkittävien tartuntatautien rekistereistä saatavat tiedot. Jäsenvaltioiden olisi pyrittävä varmistamaan, että eurooppalaiset sähköisen terveydenhuollon järjestelmät ja palvelut sekä yhteentoimivat sovellukset tuottavat kestävää taloudellista ja sosiaalista hyötyä, jotta voidaan saavuttaa luottamuksen ja turvallisuuden korkea taso, edistää hoidon katkeamattomuutta ja varmistaa turvallisen ja laadukkaan terveydenhuollon saatavuus. Olemassa olevat terveystietoinfrastruktuurit ja -rekisterit voivat tarjota datastandardien määrittelyn ja täytäntöönpanon ja yhteentoimivuuden kannalta hyödyllisiä malleja, ja niitä olisi tuettava jatkuvuuden mahdollistamiseksi ja nykyisen asiantuntemuksen laajentamiseksi.

(88)

Komission olisi tuettava jäsenvaltioita digitaalisen terveydenhuollon järjestelmiin liittyvien valmiuksien ja tehokkuuden parantamisessa ensisijaista käyttöä ja toissijaista käyttöä varten. Jäsenvaltioita olisi autettava vahvistamaan valmiuksiaan. Esimerkiksi vertailuanalyysit ja parhaiden käytäntöjen vaihto ovat sen suhteen merkityksellisiä unionin tason toimenpiteitä. Kyseisissä toimenpiteissä olisi otettava huomioon erityisolosuhteet, jotka liittyvät erityyppisiin sidosryhmiin, kuten kansalaisyhteiskuntaa edustavien järjestöjen, lääketieteellisiin seurojen ja pk-yritysten edustajiin.

(89)

Sekä luonnollisten henkilöiden että heitä hoitavien terveydenhuollon ammattihenkilöiden digitaalisen terveysosaamisen parantaminen on keskeistä luottamukselle ja turvallisuudelle ja terveystietojen asianmukaiselle käytölle ja sen myötä tämän asetuksen onnistuneen täytäntöönpanon saavuttamiselle. Terveydenhuollon ammattihenkilöillä on edessään perusteellinen muutos digitalisaation myötä, ja he saavat käyttöönsä uusia digitaalisia välineitä osana eurooppalaisen terveystietoalueen täytäntöönpanoa. Näin ollen terveydenhuollon ammattihenkilöiden on parannettava digitaalista terveysosaamistaan ja digitaitojaan, ja jäsenvaltioiden olisi tarjottava terveydenhuollon ammattihenkilöille pääsy digitaalisen lukutaidon kursseille, jotta he voivat valmistautua työskentelemään sähköisissä potilaskertomusjärjestelmissä. Terveydenhuollon ammattihenkilöiden ja tietotekniikan toimijoiden olisi oltava mahdollista saada tällaisista kursseista riittävä koulutus uusien digitaalisten järjestelmien parissa työskentelemiseen, jotta varmistetaan kyberturvallisuus ja terveystietojen eettinen hallinta. Koulutusta olisi kehitettävä, tarkistettava ja päivitettävä säännöllisesti asiaankuuluvia asiantuntijoita kuullen ja yhteistyössä heidän kanssaan. Digitaalisen terveysosaamisen parantaminen on olennaisen tärkeää, jotta luonnolliset henkilöt voivat tosiasiallisesti hallita terveystietojaan, aktiivisesti hoitaa terveyteensä ja hoitoonsa liittyviä asioita ja ymmärtää vaikutukset, joita on tällaisten tietojen hallinnalla ensisijaisessa ja toissijaisessa käytössä. Digitaalisen lukutaidon taso voi vaikuttaa luonnollisen henkilön kykyyn käyttää oikeuttaan valvoa sähköisiä terveystietojaan, ja nämä tasot vaihtelevat eri väestönosien välillä. Jäsenvaltioiden, mukaan lukien paikallis- ja alueviranomaiset, olisi sen vuoksi tuettava digitaalisen terveysosaamisen ja yleisen tietoisuuden edistämistä varmistaen samalla, että tämän asetuksen täytäntöönpanolla vähennetään osaltaan eriarvoisuutta ja että siinä ei syrjitä henkilöitä, joiden digitaidot ovat puutteelliset. Erityistä huomiota olisi kiinnitettävä vammaisiin henkilöihin ja haavoittuvassa asemassa oleviin ryhmiin, kuten maahanmuuttajiin ja ikääntyneisiin ihmisiin. Jäsenvaltioiden olisi laadittava kansallisia digitaalisen lukutaidon kohdennettuja ohjelmia, myös sellaisia, joilla pyritään maksimoimaan sosiaalinen osallisuus ja varmistamaan, että kaikki luonnolliset henkilöt voivat tosiasiallisesti käyttää heillä tämän asetuksen nojalla olevia oikeuksia. Jäsenvaltioiden olisi annettava luonnollisille henkilöille potilaskeskeisiä ohjeita sähköisten potilaskertomusten käytöstä ja henkilökohtaisten sähköisten terveystietojensa ensisijaisesta käytöstä. Ohjeet olisi mukautettava potilaan digitaalisen terveysosaamisen tasoon, ja erityistä huomiota olisi kiinnitettävä haavoittuvassa asemassa olevien ryhmien tarpeisiin.

(90)

Varojen käytön olisi myös edistettävä eurooppalaisen terveystietoalueen tavoitteiden saavuttamista. Julkisten hankintojen tekijöiden, jäsenvaltioiden kansallisten toimivaltaisten viranomaisten – mukaan lukien digitaalisesta terveydenhuollosta vastaavat viranomaiset ja terveystietoihin pääsystä vastaavat elimet – sekä komission olisi viitattava sovellettaviin yhteentoimivuutta, turvallisuutta ja tietojen laatua koskeviin teknisiin eritelmiin, standardeihin ja profiileihin sekä muihin tässä asetuksessa vahvistettaviin vaatimuksiin, kun ne määrittelevät julkisia hankintoja, ehdotuspyyntöjä ja unionin varojen myöntämistä (mm. rakenne- ja koheesiorahastot) koskevia ehtoja. Unionin varoja on tarpeen jakaa läpinäkyvällä tavalla jäsenvaltioiden kesken ottaen huomioon terveydenhuoltojärjestelmien digitalisoinnin tasojen vaihtelu. Tietojen asettaminen saataville toissijaista käyttöä varten edellyttää lisäresursseja terveydenhuoltojärjestelmille, erityisesti julkisille terveydenhuoltojärjestelmille. Kyseistä lisätaakkaa olisi käsiteltävä ja vähennettävä madollisimman paljon eurooppalaisen terveystietoalueen täytäntöönpanovaiheessa.

(91)

Eurooppalaisen terveystietoalueen täytäntöönpano edellyttää asianmukaisia investointeja valmiuksien kehittämiseen ja koulutukseen sekä asianmukaisesti rahoitettua sitoumusta julkisiin kuulemisiin ja yleisön osallistamiseen niin unionin kuin kansallisella tasolla. On tarpeen vastata tämän asetuksen täytäntöönpanosta aiheutuvista taloudellisista kustannuksista sekä unionin että kansallisella tasolla, ja kyseinen rasite olisi jaettava oikeudenmukaisesti unionin ja kansallisten varojen välillä.

(92)

Tiettyihin luokkiin kuuluvat sähköiset terveystiedot voivat yhä olla erittäin arkaluonteisia, vaikka ne esitettäisiin anonymisoituina ja siten muina kuin henkilötietoina, mistä säädetään nimenomaisesti asetuksessa (EU) 2022/868. Vaikka käytettäisiin viimeisintä teknologiaa edustavia anonymisointitekniikkoja, on edelleen olemassa riski siitä, että uudelleentunnistaminen saattaa olla tai siitä voi tulla mahdollista käyttäen muita menetelmiä kuin ne, joita voidaan kohtuudella pitää todennäköisinä. Tällainen jäännösriski liittyy harvinaisiin sairauksiin eli hengenvaarallinen tai pysyvän invaliditeetin aiheuttava sairaudentila, jota esiintyy unionissa enintään viidellä henkilöllä 10 000:ta henkilöä kohti, koska tapausten pienten lukumäärien vuoksi on huonommat mahdollisuudet aggregoida kaikki julkaistut tiedot ja siten säilyttää luonnollisten henkilöiden yksityisyyden suoja, mutta samalla pitää data riittävän rakeisena niin, että se pysyy merkityksellisenä. Tällainen jäännösriski voi koskea eri luokkiin kuuluvia terveystietoja ja jotka voivat johtaa rekisteröityjen uudelleentunnistamiseen menetelmillä, joita ei kohtuudella voida pitää todennäköisinä. Tällainen riski riippuu rakeisuuden tasosta, rekisteröityjä koskevien ominaisuustietojen kuvauksesta, asiaan liittyvien henkilöiden lukumäärästä, esimerkiksi tapauksissa, joissa data sisältyy sähköisiin potilaskertomuksiin, tautirekistereihin, biopankkeihin ja henkilön itsensä tuottamiin tietoihin, joissa on enemmän tunnistusominaisuuksia, ja mahdollisesta yhdistelmästä muiden tietojen kanssa, esimerkiksi hyvin pienellä maantieteellisellä alueella, tai teknisen kehittymisen myötä saatavien uusien, anonymisoinnin ajankohtana tuntemattomien menetelmien avulla. Tällaisen luonnollisten henkilöiden uudelleentunnistaminen olisi suuri ongelma ja uhkaisi vaarantaa tässä asetuksessa säädetyn toissijaista käyttöä koskevan politiikan ja sen sääntöjen hyväksynnän. Lisäksi aggregointitekniikat ovat huonommin testattuja sellaisten muiden kuin henkilötietojen osalta, jotka sisältävät esimerkiksi liikesalaisuuksia, kuten kliinisiä lääketutkimuksia ja kliinisiä tutkimuksia koskevissa raporteissa, ja liikesalaisuuksien rikkomisten valvonta unionin ulkopuolella on vaikeampaa, jos ei ole riittävää kansainvälistä suojastandardia. Sen vuoksi kyseisiin luokkiin kuuluviin terveystietoihin liittyy anonymisoinnin tai aggregoinnin jälkeenkin uudelleentunnistamisen riski, jota ei kohtuudella vielä pystytä lieventämään. Tähän sovelletaan kyseisen asetuksen 5 artiklan 13 kohdassa mainittuja kriteerejä. Tämäntyyppiset terveystiedot kuuluisivat näin ollen kyseisen asetuksen 5 artiklan 13 kohdan mukaisen kolmansiin maihin siirtämistä koskevan säädösvallan siirron piiriin. Asetuksen (EU) 2022/868 5 artiklan 13 kohdan mukaisen säädösvallan siirron nojalla säädetyt erityisedellytykset täsmennetään kyseisen säädösvallan siirron nojalla annettujen delegoitujen säädösten yhteydessä, ja niiden on tarpeen olla oikeasuhteisia uudelleentunnistamisen riskiin nähden ja niissä olisi otettava huomioon eri tietoluokkien ja eri anonymisointi- tai aggregointitekniikkojen erityispiirteet.

(93)

Kun käsitellään suurta määrää henkilökohtaisia sähköisiä terveystietoja eurooppalaisessa terveystietoalueessa säädettyjä tarkoituksia varten osana tietojenkäsittelytoimia, jotka liittyvät terveystietoihin pääsyä koskevien hakemusten, tietolupien ja tietopyyntöjen käsittelyyn, siitä aiheutuu suurempi riski luvattomasta pääsystä tällaisiin henkilötietoihin sekä kyberturvallisuuspoikkeamien mahdollisuus. Henkilökohtaiset sähköiset terveystiedot ovat erityisen arkaluonteisia, sillä ne sisältävät usein terveystietojen salassapitovelvollisuuden piiriin kuuluvaa tietoa, jonka paljastaminen kolmansille osapuolille, joilla ei ole luvallista pääsyä, voi aiheuttaa merkittävää huolta. Tässä asetuksessa otetaan kaikilta osin huomioon Euroopan unionin tuomioistuimen oikeuskäytännössä vahvistetut periaatteet ja varmistetaan perusoikeuksien, yksityisyyttä koskevan oikeuden ja suhteellisuusperiaatteen täysimääräinen kunnioittaminen. Jotta voidaan varmistaa asetuksen mukaisten henkilökohtaisten sähköisten terveystietojen täysi eheys ja luottamuksellisuus, taata suojelun ja turvallisuuden erityisen korkea taso ja vähentää riskiä oikeudettomasta pääsystä kyseisisiin henkilökohtaisiin sähköisiin terveystietoihin, asetuksessa sallitaan se, että jäsenvaltiot voivat vaatia, että henkilökohtaisia sähköisiä terveystietoja säilytetään ja käsitellään ainoastaan unionissa tässä asetuksessa säädettyjen tehtävien suorittamiseksi, ellei sovelleta asetuksen (EU) 2016/679 45 artiklan nojalla annettua tietosuojan riittävyyttä koskevaa päätöstä.

(94)

Kolmansiin maihin sijoittautuneiden terveystietojen käyttäjien tai kansainvälisten järjestöjen olisi voitava saada pääsy sähköisiin terveystietoihin ainoastaan vastavuoroisuusperiaatteen mukaisesti. Sähköisiä terveystietoja olisi asetettava kolmannen maan saataville ainoastaan, jos komissio on täytäntöönpanosäädöksellä vahvistanut, että asianomainen kolmas maa sallii unionin toimijoiden käyttää kyseisestä kolmannesta maasta peräisin olevia terveystietoja samoin edellytyksin ja samoin suojatoimin kuin siinä tapauksessa, että niillä olisi pääsy terveystietoihin unionissa. Komission olisi seurattava tilannetta kyseisissä kolmansissa maissa ja kansainvälisissä järjestöissä ja suoritettava sen säännöllinen uudelleentarkastelu sekä laadittava luettelo kyseisistä täytäntöönpanosäädöksistä. Jos komissio toteaa, ettei kolmas maa enää takaa pääsyä samoin ehdoin, sen olisi kumottava sitä koskeva täytäntöönpanosäädös.

(95)

Tämän asetuksen, mukaan lukien sähköisten terveystietojen rajatylittävä yhteentoimivuus, yhdenmukaisen soveltamisen edistämiseksi olisi perustettava eurooppalaisen terveystietoalueen neuvosto. Komission olisi osallistuttava sen toimintaan ja toimittava sen yhteispuheenjohtajana. Eurooppalaisen terveystietoalueen neuvoston olisi voitava antaa kirjallisia kannanottoja, jotka liittyvät tämän asetuksen yhdenmukaiseen soveltamiseen kaikkialla unionissa muun muassa siten, että niillä autetaan jäsenvaltioita koordinoimaan sähköisten terveystietojen käyttöä terveydenhuollon ja sertifioinnin tarkoituksiin, ja koskevat myös toissijaista käyttöä ja kyseisten toimien rahoitusta. Tähän voisi sisältyä myös tietojen jakaminen turvatuissa käsittely-ympäristöissä ilmenneistä riskeistä ja häiriöistä. Tällainen tietojenvaihto ei vaikuta muiden säädösten mukaisiin velvollisuuksiin, kuten asetuksen (EU) 2016/679 mukaisiin tietoturvaloukkauksia koskeviin ilmoituksiin. Eurooppalaisen terveystietoalueen neuvoston toiminta ei yleisesti ottaen rajoita asetuksen (EU) 2016/679 mukaisia valvontaviranomaisten valtuuksia. Jäsenvaltioissa digitaalisesta terveydenhuollosta vastaavat viranomaiset, jotka käsittelevät ensisijaista käyttöä, ja terveystietoihin pääsystä vastaavat elimet, jotka käsittelevät toissijaista käyttöä, eivät välttämättä ole sama taho, ne hoitavat eri tehtäviä ja kyseisillä tehtäväalueilla tarvitaan erilaista yhteistyötä, joten eurooppalaisen terveystietoalueen neuvoston olisi voitava perustaa näitä kahta toimintoa käsittelevät alaryhmät sekä muita alaryhmiä tarpeen mukaan. Tehokkaan työskentelymenetelmän varmistamiseksi digitaalisesta terveydenhuollosta vastaavien viranomaisten ja terveystietoihin pääsystä vastaavien elinten olisi luotava verkostoja ja yhteyksiä muihin elimiin ja viranomaisiin kansallisella tasolla mutta myös unionin tasolla. Tällaisia elimiä voisivat olla tietosuojaviranomaiset, kyberturvallisuutta ja sähköistä tunnistamista käsittelevät elimet ja standardointielimet sekä asetusten (EU) 2022/868, (EU) 2023/2854 ja (EU) 2024/1689 sekä Euroopan parlamentin ja neuvoston asetuksen (EU) 2019/881 (21) mukaiset elimet ja asiantuntijaryhmät. Eurooppalaisen terveystietoalueen neuvoston olisi toimittava riippumattomasti, yleisen edun mukaisesti ja menettelysääntöjään noudattaen.

(96)

Käsiteltäessä eurooppalaisen terveystietoalueen neuvoston erityisen merkitykselliseksi katsomia asioita eurooppalaisen terveystietoalueen neuvoston olisi voitava kutsua mukaan tarkkailijoita, kuten Euroopan tietosuojavaltuutettu, unionin toimielinten, myös Euroopan parlamentin, edustajia ja muita sidosryhmiä.

(97)

Olisi perustettava sidosryhmäfoorumi neuvomaan eurooppalaisen terveystietoalueen neuvostoa sen tehtävien suorittamisessa tarjoamalla sidosryhmien näkemyksiä tähän asetukseen liittyvissä asioissa. Sidosryhmäfoorumin olisi koostuttava muun muassa potilas- ja kuluttajajärjestöjen, terveydenhuollon ammattihenkilöiden, toimialan, tieteellisten tutkijoiden ja tiedeyhteisön edustajista. Sidosryhmäfoorumin kokoonpanon olisi oltava tasapainoinen, ja sen olisi edustettava eri sidosryhmien näkemyksiä. Niin kaupallisten kuin ei-kaupallisten etujen olisi oltava edustettuina.

(98)

Ensisijaista ja toissijaista käyttöä koskevien rajatylittävien infrastruktuurien asianmukaisen päivittäisen hallinnoinnin varmistamiseksi on tarpeen perustaa ohjausryhmiä, jotka koostuvat jäsenvaltioiden edustajista. Kyseisten ohjausryhmien olisi tehtävä operatiivisia päätöksiä infrastruktuurien päivittäisestä teknisestä hallinnoinnista ja niiden teknisestä kehittämisestä, kuten rajatylittävien infrastruktuurien teknisistä muutoksista, toimintojen tai palvelujen parantamisesta tai yhteentoimivuuden varmistamisesta muiden infrastruktuurien, digitaalisten järjestelmien tai data-avaruuksien kanssa. Niiden toimintaan ei olisi kuuluttava osallistuminen näihin infrastruktuureihin vaikuttavien täytäntöönpanosäädösten laatimiseen. Ohjausryhmien olisi voitava myös kutsua muiden hyväksyttyjen Terveysdata @ EU:n (Health Data @ EU) osallistujien edustajia osallistumaan kokouksiinsa tarkkailijoina. Ryhmien olisi kuultava asiaankuuluvia asiantuntijoita tehtäviään hoitaessaan.

(99)

Jokaisella luonnollisella henkilöllä tai oikeushenkilöllä olisi oltava oikeus tehdä valitus digitaalisesta terveydenhuollosta vastaavalle viranomaiselle tai terveystietoihin pääsystä vastaavalle elimelle, jos luonnollinen henkilö tai oikeushenkilö katsoo, että hänellä tai sillä tämän asetuksen nojalla oleviin oikeuksiin tai etuihin on kohdistunut vaikutuksia, sanotun kuitenkaan rajoittamatta mahdollisia muita hallinnollisia muutoksenhakukeinoja taikka oikeudellisia tai tuomioistuinten ulkopuolisia oikeussuojakeinoja. Valitus olisi tutkittava siinä määrin kuin kussakin tapauksessa on asianmukaista, ja ratkaisu olisi voitava saattaa tuomioistuimen käsiteltäväksi. Digitaalisesta terveydenhuollosta vastaavan viranomaisen tai terveystietoihin pääsystä vastaavan elimen olisi ilmoitettava luonnolliselle henkilölle tai oikeushenkilölle valituksen etenemisestä ja ratkaisusta kohtuullisen ajan kuluessa. Jos tapaus edellyttää lisätutkimuksia tai koordinointia toisen digitaalisesta terveydenhuollosta vastaavan viranomaisen tai terveystietoihin pääsystä vastaavan elimen kanssa, luonnolliselle henkilölle tai oikeushenkilölle olisi annettava tietoja etenemisestä valituksen käsittelemisessä. Kunkin digitaalisesta terveydenhuollosta vastaavan viranomaisen ja terveystietoihin pääsystä vastaavan elimen olisi toteutettava toimia valitusten tekemisen helpottamiseksi, kuten tarjottava käyttöön valituslomake, joka voidaan täyttää myös sähköisesti, sulkematta kuitenkaan pois mahdollisuutta käyttää muita viestintävälineitä. Jos valitus koskee luonnollisten henkilöiden oikeuksia heidän henkilötietojensa suojaan, digitaalisesta terveydenhuollosta vastaavan viranomaisen tai terveystietoihin pääsystä vastaavan elimen olisi välitettävä valitus asetuksen (EU) 2016/679 mukaisille valvontaviranomaisille. Digitaalisesta terveydenhuollosta vastaavien viranomaisten tai terveystietoihin pääsystä vastaavien elinten olisi tehtävä yhteistyötä, muun muassa vaihtamalla kaikki asiaankuuluvat tiedot sähköisesti, jotta valitukset voidaan käsitellä ja ratkaista ilman aiheetonta viivytystä.

(100)

Jos luonnollinen henkilö katsoo, että hänellä tämän asetuksen nojalla olevia oikeuksia on loukattu, hänellä olisi oltava oikeus valtuuttaa jokin voittoa tavoittelematon elin, järjestö tai yhdistys, joka on perustettu kansallisen lainsäädännön mukaisesti, jolla on yleisen edun mukaisia sääntömääräisiä tavoitteita ja joka toimii henkilötietojen suojaamisen alalla, tekemään puolestaan valitus.

(101)

Digitaalisesta terveydenhuollosta vastaavan viranomaisen, terveystietoihin pääsystä vastaavan elimen, terveystietojen haltijan tai terveystietojen käyttäjän olisi korvattava vahingot, joita luonnolliselle henkilölle tai oikeushenkilölle aiheutuu tämän asetuksen vastaisesta toiminnasta. Vahingon käsite olisi tulkittava laajasti Euroopan unionin tuomioistuimen oikeuskäytännön perusteella ja tavalla, jossa tämän asetuksen tavoitteet otetaan kaikilta osin huomioon. Tämä ei vaikuta korvausvaatimuksiin, jotka johtuvat unionin oikeuden tai kansallisen lainsäädännön muiden säännösten rikkomisesta. Luonnollisten henkilöiden olisi saatava täysi ja tosiasiallinen korvaus aiheutuneesta vahingosta.

(102)

Tämän asetuksen sääntöjen täytäntöönpanon vahvistamiseksi asetuksen säännösten rikkomisesta olisi määrättävä seuraamuksia, kuten hallinnollisia seuraamusmaksuja, terveystietoihin pääsystä vastaavien elinten tämän asetuksen mukaisesti määräämien asianmukaisten toimenpiteiden lisäksi tai niiden sijasta. Seuraamusten, kuten hallinnollisten seuraamusmaksujen, määräämiseen olisi sovellettava riittäviä menettelytakeita unionin lainsäädännön ja Euroopan unionin perusoikeuskirjan yleisten periaatteiden mukaisesti, tehokkaat oikeussuojakeinot ja asianmukainen prosessi mukaan lukien.

(103)

On aiheellista vahvistaa säännökset, joiden nojalla terveystietoihin pääsystä vastaavat elimet voivat määrätä hallinnollisia seuraamusmaksuja tietyistä tämän asetuksen rikkomisista, joita on tämän asetuksen nojalla pidettävä vakavina, kuten luonnollisten henkilöiden uudelleentunnistaminen, henkilökohtaisten sähköisten terveystietojen lataaminen turvatun käsittely-ympäristön ulkopuolella tai tietojen käsittely kiellettyjä käyttötarkoituksia varten tai tietoluvan soveltamisalan ylittäviä tarkoituksia varten. Tässä asetuksessa olisi määritettävä kyseiset rikkomiset ja niistä määrättävien hallinnollisten seuraamusmaksujen enimmäismäärä ja suuruuden määrittämisperusteet, jotka toimivaltaisen terveystietoihin pääsystä vastaavan elimen olisi vahvistettava kussakin tapauksessa erikseen ottaen huomioon kaikki tietyn tilanteen kannalta merkittävät olosuhteet ja ottaen asianmukaisesti huomioon erityisesti rikkomisen luonne, vakavuus ja kesto ja rikkomisen seuraukset sekä toimenpiteet, jotka on toteutettu tämän asetuksen mukaisten velvollisuuksien noudattamiseksi ja rikkomisen seurausten estämiseksi tai lieventämiseksi. Määrättäessä hallinnollisia seuraamusmaksuja yritykselle tämän asetuksen nojalla yrityksen käsite olisi ymmärrettävä Euroopan unionin toiminnasta tehdyn sopimuksen 101 ja 102 artiklan mukaisesti. Jäsenvaltioilla olisi oltava vastuu sen määrittämisestä, onko viranomaisille määrättävä hallinnollisia seuraamusmaksuja ja missä määrin. Hallinnollisen seuraamusmaksun määräämisellä tai varoituksen antamisella ei olisi vaikutusta terveystietoihin pääsystä vastaavien elinten muiden valtuuksien toimeenpanoon eikä muihin tämän asetuksen mukaisiin seuraamuksiin.

(104)

Sen varmistamiseksi, että eurooppalainen terveystietoalue täyttää tavoitteensa, komissiolle olisi siirrettävä valta hyväksyä Euroopan unionin toiminnasta tehdyn sopimuksen 290 artiklan mukaisesti säädösvallan siirron nojalla annettavia delegoituja säädöksiä, jotka koskevat henkilökohtaisten sähköisten terveystietojen prioriteettiluokkien keskeisten ominaisuuksien muuttamista, lisäämistä tai poistamista liitteessä I, luetteloa vaadituista tiedoista, jotka sähköisten potilaskertomusjärjestelmien ja hyvinvointisovellusten valmistajien on rekisteröitävä sähköisten potilaskertomusjärjestelmien ja hyvinvointisovellusten rekisteröintiä koskevaan EU:n tietokantaan, ja tietojen laatu- ja hyötymerkin osatekijöiden muuttamista, lisäämistä tai poistamista. On erityisen tärkeää, että komissio asiaa valmistellessaan toteuttaa asianmukaiset kuulemiset, myös asiantuntijatasolla, ja että nämä kuulemiset toteutetaan paremmasta lainsäädännöstä 13 päivänä huhtikuuta 2016 tehdyssä toimielinten välisessä sopimuksessa (22) vahvistettujen periaatteiden mukaisesti. Jotta voitaisiin erityisesti varmistaa tasavertainen osallistuminen delegoitujen säädösten valmisteluun, Euroopan parlamentille ja neuvostolle toimitetaan kaikki asiakirjat samaan aikaan kuin jäsenvaltioiden asiantuntijoille, ja Euroopan parlamentin ja neuvoston asiantuntijoilla on järjestelmällisesti oikeus osallistua komission asiantuntijaryhmien kokouksiin, joissa valmistellaan delegoituja säädöksiä.

(105)

Jotta voidaan varmistaa tämän asetuksen yhdenmukainen täytäntöönpano, komissiolle olisi siirrettävä täytäntöönpanovaltaa seuraavien osalta:

Tätä valtaa olisi käytettävä Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 182/2011 (23) mukaisesti.

(106)

Jäsenvaltioiden olisi toteutettava kaikki tarvittavat toimenpiteet sen varmistamiseksi, että tämän asetuksen säännökset pannaan täytäntöön, ja säädettävä niiden rikkomiseen sovellettavista tehokkaista, oikeasuhteisista ja varoittavista seuraamuksista. Päättäessään seuraamusmaksun suuruudesta kussakin yksittäistapauksessa jäsenvaltioiden olisi otettava huomioon tässä asetuksessa vahvistetut marginaalit ja kriteerit. Luonnollisten henkilöiden uudelleentunnistaminen olisi katsottava tämän asetuksen vastaiseksi vakavaksi rikkomiseksi.

(107)

Eurooppalaisen terveystietoalueen täytäntöönpano edellyttää merkittävää kehitystyötä kaikissa jäsenvaltioissa ja keskuspalveluissa. Tältä osin kehityksen seuraamiseksi komission olisi raportoitava kyseisestä edistyksestä vuosittain ja otettava siinä huomioon jäsenvaltioiden toimittamat tiedot, kunnes tätä asetusta sovelletaan täysimittaisesti. Kyseisiin raportteihin voisi sisältyä suosituksia korjaaviksi toimenpiteiksi sekä arvio saavutetusta edistyksestä.

(108)

Komission olisi arvioitava tätä asetusta sen perusteella, saavutetaanko sen tavoitteet vaikuttavasti ja tehokkaasti, onko se johdonmukainen ja edelleen merkityksellinen ja tuottaako se lisäarvoa unionin tasolla. Komission olisi suoritettava tämän asetuksen kohdennettu arviointi kahdeksan vuoden kuluttua ja kokonaisarviointi kymmenen vuoden kuluttua sen voimaantulosta. Komission olisi esitettävä kummankin arvioinnin jälkeen kertomus keskeisistä havainnoistaan Euroopan parlamentille, neuvostolle, Euroopan talous- ja sosiaalikomitealle ja alueiden komitealle.

(109)

Eurooppalaisia yhteentoimivuusperiaatteita, joiden soveltamisalaa päivitettiin ja laajennettiin 23 päivänä maaliskuuta 2017 annetulla komission tiedonannolla ”Eurooppalaiset yhteentoimivuusperiaatteet – täytäntöönpanostrategia” uusien tai tarkistettujen yhteentoimivuusvaatimusten huomioon ottamiseksi, olisi pidettävä yleisenä viitekehyksenä oikeudellisen, organisatorisen, semanttisen ja teknisen yhteensopivuuden varmistamiseksi, jotta eurooppalaisen terveystietoalueen rajatylittävä täytäntöönpano toteutuisi menestyksekkäästi.

(110)

Tämän asetuksen tavoitteita, jotka koskevat luonnollisten henkilöiden vaikutusmahdollisuuksien lisäämistä parantamalla heidän mahdollisuuttaan hallita henkilökohtaisia sähköisiä terveystietojaan sekä heidän vapaan liikkuvuutensa tukemista varmistamalla, että terveystiedot kulkevat heidän mukanaan; digitaalisten terveyspalvelujen ja -tuotteiden todellisten sisämarkkinoiden edistämistä; johdonmukaisen ja tehokkaan kehyksen varmistamista luonnollisten henkilöiden terveystietojen uudelleenkäytölle tutkimus-, innovointi-, päätöksenteko- ja sääntelytoimia varten, ei voida riittävällä tavalla saavuttaa pelkästään jäsenvaltioiden koordinointitoimenpiteiden avulla, kuten direktiivin 2011/24/EU digitaalisten näkökohtien arviointi osoittaa, vaan ne voidaan saavuttaa paremmin unionin tasolla toteuttamalla yhdenmukaistamistoimenpiteitä, jotka koskevat luonnollisten henkilöiden oikeuksia heidän sähköisten terveystietojensa osalta, sähköisten terveystietojen yhteentoimivuutta sekä sähköisten terveystietojen ensisijaista ja toissijaista käyttöä koskevia yhteisiä puitteita ja suojatoimia. Sen vuoksi unioni voi toteuttaa toimenpiteitä Euroopan unionista tehdyn sopimuksen 5 artiklassa vahvistetun toissijaisuusperiaatteen mukaisesti. Mainitussa artiklassa vahvistetun suhteellisuusperiaatteen mukaisesti tässä asetuksessa ei ylitetä sitä, mikä on tarpeen kyseisten tavoitteiden saavuttamiseksi.

(111)

Direktiivin 2011/24/EU digitaalisten näkökohtien arvioinnista käy ilmi sähköisten terveyspalvelujen verkoston vähäinen tehokkuus mutta toisaalta myös unionin digitaalisen terveyden alalla tekemän työn suuret mahdollisuudet, kuten covid-19-pandemian aikana tehty työ todisti. Sen vuoksi direktiivi 2011/24/EU olisi muutettava vastaavasti.

(112)

Tällä asetuksella täydennetään asetuksessa (EU) 2024/2847 säädettyjä olennaisia vaatimuksia niiden sähköisten potilaskertomusjärjestelmien osalta, jotka ovat asetuksessa (EU) 2024/2847 tarkoitettuja digitaalisia elementtejä sisältäviä tuotteita ja joiden olisi sen vuoksi täytettävä myös kyseisessä asetuksessa vahvistetut olennaiset kyberturvallisuusvaatimukset. Kyseisten sähköisten potilaskertomusjärjestelmien valmistajien olisi osoitettava vaatimustenmukaisuus tämän asetuksen mukaisesti. Vaatimustenmukaisuuden noudattamisen helpottamiseksi valmistajat voivat laatia yhden teknisen dokumentaation, joka sisältää molemmissa säädöksissä vaaditut tiedot. Olisi oltava mahdollista osoittaa, että sähköiset potilaskertomusjärjestelmät ovat asetuksessa (EU) 2024/2847 säädettyjen olennaisten vaatimusten mukaisia. Tämän asetuksen alaan kuuluvat vaatimustenmukaisuuden arviointimenettelyn osia, jotka koskevat testausympäristöjä, ei olisi sovellettava, koska kyseiset testausympäristöt eivät mahdollista keskeisten kyberturvallisuusvaatimusten mukaisuuden arvioimista. Koska asetus (EU) 2024/2847 ei kata Software as a Service (SaaS) -järjestelmää sellaisenaan, SaaS-lisensointi- ja toimitusmallin kautta tarjottavat sähköiset potilaskertomusjärjestelmät eivät kuulu kyseisen asetuksen soveltamisalaan. Vastaavasti sähköiset potilaskertomusjärjestelmät, joita organisaatio itse kehittää ja käyttää, eivät kuulu kyseisen asetuksen soveltamisalaan, koska niitä ei saateta markkinoille.

(113)

Euroopan tietosuojavaltuutettua ja Euroopan tietosuojaneuvostoa on kuultu asetuksen (EU) 2018/1725 42 artiklan 1 ja 2 kohdan mukaisesti, ja ne antoivat yhteisen lausunnon 12 päivänä heinäkuuta 2022.

(114)

Tämä asetus ei saisi vaikuttaa kilpailusääntöjen, erityisesti Euroopan unionin toiminnasta tehdyn sopimuksen 101 ja 102 artiklan, soveltamiseen. Tässä asetuksessa säädettyjä toimenpiteitä ei saisi käyttää kilpailun rajoittamiseen Euroopan unionin toiminnasta tehdyn sopimuksen vastaisella tavalla.

(115)

Teknisen valmistelun tarpeen vuoksi tätä asetusta olisi sovellettava 26 päivästä maaliskuuta 2027 alkaen. Eurooppalaisen terveystietoalueen onnistuneen täytäntöönpanon ja terveystietoja koskevan tehokkaan eurooppalaisen yhteistyöympäristön toteuttamisen tukemiseksi täytäntöönpanon olisi tapahduttava vaiheittain,