02019D1765 — FI — 17.07.2020 — 001.001
Tämä asiakirja on ainoastaan dokumentoinnin apuväline eikä sillä ole oikeudellista vaikutusta. Unionin toimielimet eivät vastaa sen sisällöstä. Säädösten todistusvoimaiset versiot on johdanto-osineen julkaistu Euroopan unionin virallisessa lehdessä ja ne ovat saatavana EUR-Lexissä. Näihin virallisiin teksteihin pääsee suoraan tästä asiakirjasta siihen upotettujen linkkien kautta.
|
KOMISSION TÄYTÄNTÖÖNPANOPÄÄTÖS (EU) 2019/1765, annettu 22 päivänä lokakuuta 2019, sähköisistä terveyspalveluista vastaavien kansallisten viranomaisten verkoston perustamista, hallinnointia ja toimintaa koskevista säännöistä ja täytäntöönpanopäätöksen 2011/890/EU kumoamisesta (tiedoksiannettu numerolla C(2019) 7460) (ETA:n kannalta merkityksellinen teksti) (EUVL L 270 24.10.2019, s. 83) |
Muutettu:
|
|
|
Virallinen lehti |
||
|
N:o |
sivu |
päivämäärä |
||
|
L 227I |
1 |
16.7.2020 |
||
KOMISSION TÄYTÄNTÖÖNPANOPÄÄTÖS (EU) 2019/1765,
annettu 22 päivänä lokakuuta 2019,
sähköisistä terveyspalveluista vastaavien kansallisten viranomaisten verkoston perustamista, hallinnointia ja toimintaa koskevista säännöistä ja täytäntöönpanopäätöksen 2011/890/EU kumoamisesta
(tiedoksiannettu numerolla C(2019) 7460)
(ETA:n kannalta merkityksellinen teksti)
1 artikla
Kohde
Tässä päätöksessä vahvistetaan direktiivin 2011/24/EU 14 artiklan mukaisesti sähköisistä terveyspalveluista vastaavien kansallisten viranomaisten verkoston perustamista, hallinnointia ja toimintaa koskevat säännöt.
2 artikla
Määritelmät
1. Tässä päätöksessä tarkoitetaan
’sähköisten terveyspalvelujen verkostolla’ vapaaehtoista verkostoa, joka yhdistää jäsenvaltioiden nimeämät sähköisistä terveyspalveluista vastaavat kansalliset viranomaiset ja pyrkii toteuttamaan direktiivin 2011/24/EU 14 artiklassa vahvistetut tavoitteet;
’sähköisten terveyspalvelujen kansallisilla yhteyspisteillä’ organisatorisia ja teknisiä väyliä, joiden kautta tarjotaan rajatylittäviä sähköisten terveyspalvelujen tietopalveluja jäsenvaltioiden vastuulla;
’rajatylittävillä sähköisten terveyspalvelujen tietopalveluilla’ olemassa olevia palveluja, joita käsitellään sähköisten terveyspalvelujen kansallisten yhteyspisteiden ja komission rajatylittävää terveydenhuoltoa varten kehittämän ydinpalvelualustan kautta;
’rajatylittäviä sähköisten terveyspalvelujen tietopalveluita tukevalla sähköisten terveyspalvelujen digitaalisella palveluinfrastruktuurilla’ infrastruktuuria, jonka avulla rajatylittäviä sähköisten terveyspalvelujen tietopalveluja voidaan tarjota sähköisten terveyspalvelujen kansallisten yhteyspisteiden ja eurooppalaisen ydinpalvelualustan kautta. Infrastruktuuriin kuuluu sekä jäsenvaltioiden kehittämiä asetuksen (EU) N:o 283/2014 2 artiklan 2 kohdan e alakohdassa määriteltyjä yleisluonteisia palveluja että komission kehittämä mainitun asetuksen 2 artiklan 2 kohdan d alakohdassa määritelty ydinpalvelualusta;
’muilla yhteisillä eurooppalaisilla sähköisillä terveyspalveluilla’ digitaalisia palveluja, joita voidaan kehittää sähköisten terveyspalvelujen verkoston puitteissa ja jakaa jäsenvaltioiden kesken;
’hallintomallilla’ niiden elinten nimeämistä koskevia sääntöjä, jotka osallistuvat päätöksentekomenettelyihin, jotka liittyvät rajatylittäviä sähköisten terveyspalvelujen tietopalveluita tukevaan sähköisten terveyspalvelujen digitaaliseen palveluinfrastruktuuriin tai sähköisten terveyspalvelujen verkoston puitteissa kehitettyihin muihin yhteisiin eurooppalaisiin sähköisiin terveyspalveluihin, sekä näiden menettelyiden kuvausta;
”sovelluksen käyttäjällä” henkilöä, jonka hallussa on älylaite ja joka on ladannut hyväksytyn kontaktien jäljitykseen ja varoittamiseen käytettävän mobiilisovelluksen ja käyttää sitä;
”kontaktien jäljityksellä” toimenpiteitä sellaisten henkilöiden jäljittämiseksi, jotka ovat altistuneet Euroopan parlamentin ja neuvoston päätöksen 1082/2013/EU 3 artiklan c alakohdassa tarkoitetulle rajat ylittävän vakavan terveysuhkan lähteelle ( 1 );
”kansallisella mobiililaitteissa käytettävällä kontaktien jäljitys- ja varoitussovelluksella” kansallisella tasolla hyväksyttyä ohjelmistosovellusta, joka toimii älylaitteissa, erityisesti älypuhelimissa, ja joka on yleensä suunniteltu laaja-alaiseen ja kohdennettuun vuorovaikutukseen verkkoresurssien kanssa ja jossa käsitellään monilla älylaitteista löytyvillä antureilla kerättyä läheisyysdataa ja muita kontekstuaalisia tietoja SARS-CoV-2-tartunnan saaneiden henkilöiden kontaktien jäljittämiseksi ja SARS-CoV-2-tartunnalle mahdollisesti altistuneiden henkilöiden varoittamiseksi. Nämä mobiilisovellukset pystyvät havaitsemaan muut Bluetooth-tekniikkaa käyttävät laitteet ja vaihtamaan tietoja taustapalvelinten kanssa internetiä käyttäen;
”yhdyskäytäväpalvelulla” verkon yhdysväylää, jota komissio ylläpitää suojatun tietoteknisen järjestelmän avulla, joka vastaanottaa, tallentaa ja asettaa saataville vähimmäismäärän henkilötietoja jäsenvaltioiden taustapalvelimien välillä, jotta voidaan varmistaa kansallisten mobiililaitteissa käytettävien kontaktien jäljitys- ja varoitussovellusten yhteentoimivuus;
”avaimella” ainutkertaista lyhytaikaista tunnistetta, joka liittyy sovelluksen käyttäjään, joka ilmoittaa saaneensa SARS-CoV-2-tartunnan tai joka on saattanut altistua SARS-CoV-2-tartunnalle;
”infektion todentamisella” SARS-CoV-2-tartunnan vahvistamiseen käytettyä menetelmää eli sitä, onko sovelluksen käyttäjä itse ilmoittanut infektion vai onko tieto saatu kansallisen terveysviranomaisen vahvistuksesta tai laboratoriotestistä;
”asiaan liittyvillä mailla” jäsenvaltioita, joissa sovelluksen käyttäjä on ollut avainten lataamista edeltäneiden 14 päivän aikana ja joissa hän on ladannut hyväksytyn kansallisen mobiililaitteissa käytettävän kontaktien jäljitys- ja varoitussovelluksen ja/tai matkustanut;
”avainten alkuperämaalla” jäsenvaltiota, jossa avaimet yhdyskäytäväpalveluun ladannut taustapalvelin sijaitsee;
”lokitiedoilla” automaattista tietuetta, joka koskee yhdyskäytäväpalvelun kautta käsiteltävien tietojen vaihtoa ja niihin pääsyyn liittyvää toimintaa ja josta käy ilmi erityisesti käsittelytoimien tyyppi, käsittelytoimien päivämäärä ja kellonaika sekä tietoja käsittelevän henkilön tunniste.
2. Asetuksen (EU) 2016/679 4 artiklan 1, 2, 7 ja 8 kohdan määritelmiä sovelletaan vastaavasti.
3 artikla
Sähköisten terveyspalvelujen verkoston jäsenyys
1. Sähköisten terveyspalvelujen verkoston jäseniä ovat sähköisistä terveyspalveluista vastaavat jäsenvaltioiden viranomaiset, jotka sähköisten terveyspalvelujen verkostoon osallistuvat jäsenvaltiot ovat nimenneet.
2. Jäsenvaltioiden, jotka haluavat osallistua sähköisten terveyspalvelujen verkostoon, on ilmoitettava komissiolle kirjallisesti seuraavat:
päätös osallistumisesta sähköisten terveyspalvelujen verkostoon;
sähköisistä terveyspalveluista vastaava kansallinen viranomainen, josta tulee sähköisten terveyspalvelujen verkoston jäsen, ja edustajan ja hänen sijaisensa nimi.
3. Jäsenten on ilmoitettava komissiolle kirjallisesti seuraavat:
päätös sähköisten terveyspalvelujen verkostosta eroamisesta;
mahdolliset muutokset 2 kohdan b alakohdassa tarkoitettuihin tietoihin.
4. Komissio saattaa yleisön saataville sähköisten terveyspalvelujen verkoston osallistuvien jäsenten luettelon.
4 artikla
Sähköisten terveyspalvelujen verkoston toimet
1. Toteuttaessaan direktiivin 2011/24/EU 14 artiklan 2 kohdan a alakohdassa tarkoitettua tavoitetta sähköisten terveyspalvelujen verkosto voi erityisesti
edistää kansallisten tieto- ja viestintäteknisten järjestelmien yhteentoimivuutta ja sähköisten terveystietojen rajatylittävää siirrettävyyttä rajatylittävässä terveydenhuollossa;
antaa yhteistyössä muiden toimivaltaisten valvontaviranomaisten kanssa jäsenvaltioille ohjeita, jotka liittyvät terveystietojen jakamiseen jäsenvaltioiden välillä ja mahdollisuuksien antamiseen kansalaisille saada käyttöönsä omat terveystietonsa ja jakaa niitä;
antaa jäsenvaltioille ohjeita ja edistää hyvien toimintatapojen vaihtoa, kun kyse on erilaisten digitaalisten terveydenhuoltopalvelujen, kuten terveydenhuollon etäpalvelujen ja mobiiliterveydenhuollon taikka massadataan ja tekoälyyn liittyvän uuden teknologian kehittämisestä, ottaen huomioon EU:n tasolla käynnissä olevat toimet;
antaa jäsenvaltioille ohjeita, joiden avulla ne voivat tukea terveyden edistämistä, sairauksien ehkäisyä ja terveydenhuoltopalvelujen toteuttamisen parantamista parantamalla terveystietojen käyttöä sekä potilaiden ja terveydenhuollon ammattilaisten digitaalisia taitoja;
antaa jäsenvaltioille ohjeita ja edistää hyvien toimintatapojen vaihtoa, kun kyse on digitaaliseen infrastruktuuriin tehtävistä investoinneista;
antaa yhteistyössä asiaankuuluvien muiden elinten ja sidosryhmien kanssa jäsenvaltioille ohjeita kliinisen yhteentoimivuuden kannalta välttämättömistä käyttötapauksista ja yhteentoimivuuden saavuttamiseen tarvittavista välineistä;
antaa jäsenille ohjeita rajatylittäviä sähköisten terveyspalvelujen tietopalveluita tukevan sähköisten terveyspalvelujen digitaalisen palveluinfrastruktuurin tai sähköisten terveyspalvelujen verkoston puitteissa kehitettyjen muiden yhteisten eurooppalaisten sähköisten terveyspalvelujen turvallisuudesta ottaen huomioon unionin tasolla etenkin turvallisuuden alalla kehitetyn lainsäädännön ja asiakirja-aineiston samoin kuin kyberturvallisuuteen liittyvät suositukset ja työskennellen soveltuvissa tapauksissa tiiviissä yhteistyössä verkko- ja tietoturvayhteistyöryhmän ja Euroopan unionin verkko- ja tietoturvaviraston kanssa;
antaa jäsenvaltioille ohjeita henkilötietojen vaihdosta rajojen yli yhdyskäytäväpalvelun kautta kansallisten mobiililaitteissa käytettävien kontaktien jäljitys- ja varoitussovellusten välillä.
2. Laatiessaan suuntaviivoja direktiivin 2011/24/EU 14 artiklan 2 kohdan b alakohdan ii alakohdassa tarkoitetuista tehokkaista menetelmistä, joilla lääketieteellistä tietoa voidaan käyttää kansanterveyden ja tutkimuksen hyväksi, sähköisten terveyspalvelujen verkoston on otettava huomioon Euroopan tietosuojaneuvoston antamat suuntaviivat ja tarvittaessa kuultava tietosuojaneuvostoa. Näissä suuntaviivoissa voidaan käsitellä myös tietoja, joita vaihdetaan rajatylittäviä sähköisten terveyspalvelujen tietopalveluita tukevan sähköisten terveyspalvelujen digitaalisen palveluinfrastruktuurin ja muiden yhteisten eurooppalaisten sähköisten terveyspalvelujen kautta.
5 artikla
Sähköisten terveyspalvelujen verkoston toiminta
1. Sähköisten terveyspalvelujen verkosto vahvistaa työjärjestyksensä jäsentensä yksinkertaisella enemmistöllä.
2. Sähköisten terveyspalvelujen verkosto hyväksyy monivuotisen työohjelman ja ohjelman toteuttamista varten tarvittavan arviointivälineen.
3. Tehtäviensä suorittamiseksi sähköisten terveyspalvelujen verkosto voi perustaa pysyviä alaryhmiä suorittamaan tiettyjä tehtäviä, jotka voivat liittyä erityisesti rajatylittäviä sähköisten terveyspalvelujen tietopalveluita tukevaan sähköisten terveyspalvelujen digitaaliseen palveluinfrastruktuuriin tai sähköisten terveyspalvelujen verkoston puitteissa kehitettyihin muihin yhteisiin eurooppalaisiin sähköisiin terveyspalveluihin.
4. Sähköisten terveyspalvelujen verkosto voi perustaa myös tilapäisiä alaryhmiä, joihin voi kuulua myös asiantuntijoita, tarkastelemaan erityisiä kysymyksiä sähköisten terveyspalvelujen verkoston itse määrittelemän tehtävänmäärityksen perusteella. Alaryhmät lakkautetaan heti, kun ne ovat suorittaneet toimeksiantonsa.
5. Jos sähköisten terveyspalvelujen verkoston jäsenet päättävät syventää yhteistyötään joillakin sähköisten terveyspalvelujen verkoston tehtäviin kuuluvilla osa-alueilla, niiden olisi sovittava syvennetyn yhteistyön säännöistä ja sitouduttava noudattamaan niitä.
6. Tavoitteitaan toteuttaessaan sähköisten terveyspalvelujen verkoston on toimittava tiiviissä yhteistyössä sähköisten terveyspalvelujen verkoston toimia tukevien mahdollisten yhteisten toimien ja sidosryhmien tai muiden asiaankuuluvien elinten tai tukijärjestelyjen kanssa ja otettava huomioon tällaisten toimien puitteissa saavutetut tulokset.
7. Sähköisten terveyspalvelujen verkoston on yhdessä komission kanssa laadittava hallintomallit, joita sovelletaan rajatylittäviä sähköisten terveyspalvelujen tietopalveluita tukevaan sähköisten terveyspalvelujen digitaaliseen palveluinfrastruktuuriin, ja osallistuttava tähän hallinnointiin
sopimalla sähköisten terveyspalvelujen digitaalisen palveluinfrastruktuurin prioriteeteista ja valvomalla niiden toteutusta;
laatimalla toimintaa koskevia ohjeita ja vaatimuksia, joihin kuuluu myös niiden standardien valinta, joita käytetään rajatylittäviä sähköisten terveyspalvelujen tietopalveluita tukevassa sähköisten terveyspalvelujen digitaalisessa palveluinfrastruktuurissa;
päättämällä siitä, olisiko sähköisten terveyspalvelujen verkoston jäsenille annettava lupa rajatylittäviä sähköisten terveyspalvelujen tietopalveluita tukevan sähköisten terveyspalvelujen digitaalisen palveluinfrastruktuurin kautta sähköisten terveyspalvelujen kansallisten yhteyspisteiden välityksellä tapahtuvan sähköisten terveystietojen vaihtamisen aloittamiseen ja jatkamiseen, käyttämällä perustana sitä, noudattavatko ne sähköisten terveyspalvelujen verkoston vahvistamia vaatimuksia, mikä arvioidaan komission järjestämien testien ja sen tekemien tarkastusten perusteella;
vahvistamalla rajatylittäviä sähköisten terveyspalvelujen tietopalveluita tukevan sähköisten terveyspalvelujen digitaalisen palveluinfrastruktuurin vuotuinen työsuunnitelma.
8. Sähköisten terveyspalvelujen verkosto voi yhdessä komission kanssa laatia hallintomallit muille sähköisten terveyspalvelujen verkoston puitteissa kehitetyille yhteisille eurooppalaisille sähköisille terveyspalveluille ja osallistua niiden hallintoon. Verkosto voi lisäksi yhdessä komission kanssa asettaa prioriteetit ja laatia suuntaviivat tällaisten yhteisten eurooppalaisten sähköisten terveyspalvelujen toiminnalle.
9. Työjärjestyksessä voidaan antaa sellaisille maille, jotka eivät ole jäsenvaltioita mutta soveltavat direktiiviä 2011/24/EU, mahdollisuus osallistua sähköisten terveyspalvelujen verkoston kokouksiin tarkkailijoina.
10. Sähköisten terveyspalvelujen verkoston jäsenten ja niiden edustajien sekä kutsuttujen asiantuntijoiden ja tarkkailijoiden on noudatettava perussopimuksen 339 artiklassa vahvistettuja salassapitovelvollisuuksia sekä komission päätöksessä (EU, Euratom) 2015/444 ( 2 ) vahvistettuja EU:n turvaluokiteltujen tietojen suojelua koskevia komission turvallisuussääntöjä. Jos kyseiset henkilöt eivät noudata näitä velvollisuuksia, sähköisten terveyspalvelujen verkoston puheenjohtaja voi toteuttaa kaikki aiheelliset toimenpiteet työjärjestyksen mukaisesti.
6 artikla
Sähköisten terveyspalvelujen verkoston ja komission suhde
1. Komissio
osallistuu sähköisten terveyspalvelujen verkoston kokouksiin ja toimii niiden puheenjohtajana yhdessä jäsenten edustajan kanssa;
tekee yhteistyötä sähköisten terveyspalvelujen verkoston kanssa ja tukee sitä sen toimiin liittyvissä asioissa;
huolehtii sähköisten terveyspalvelujen verkoston sihteeristöpalveluista;
kehittää, toteuttaa ja pitää yllä asianmukaisia teknisiä ja organisatorisia toimenpiteitä, jotka liittyvät rajatylittäviä sähköisten terveyspalvelujen tietopalveluita tukevan sähköisten terveyspalvelujen digitaalisen palveluinfrastruktuurin ydinpalveluihin;
tukee sähköisten terveyspalvelujen verkostoa päätettäessä siitä, noudattavatko sähköisten terveyspalvelujen kansalliset yhteyspisteet teknisesti ja organisatorisesti terveystietojen rajatylittävään vaihtoon sovellettavia vaatimuksia, järjestämällä ja tekemällä tarvittavat testit ja tarkastukset. Jäsenvaltioiden asiantuntijat voivat avustaa komission tarkastajia;
kehittää, toteuttaa ja ylläpitää asianmukaisia teknisiä ja organisatorisia järjestelyjä, jotka liittyvät henkilötietojen siirron ja säilytyksen turvallisuuteen yhdyskäytäväpalvelussa, jotta voidaan varmistaa kansallisten mobiililaitteissa käytettävien kontaktien jäljitys- ja varoitussovellusten yhteentoimivuus;
tukee sähköisten terveyspalvelujen verkostoa päätettäessä siitä, noudattavatko kansalliset viranomaiset teknisesti ja organisatorisesti terveystietojen vaihtoon rajojen yli sovellettavia vaatimuksia yhdyskäytäväpalvelussa, järjestämällä ja tekemällä tarvittavat testit ja tarkastukset. Jäsenvaltioiden asiantuntijat voivat avustaa komission tarkastajia
2. Komissio voi osallistua sähköisten terveyspalvelujen verkoston alaryhmien kokouksiin.
3. Komissio voi kuulla sähköisten terveyspalvelujen verkostoa seikoista, jotka liittyvät sähköiseen terveydenhuoltoon unionin tasolla ja sähköisten terveyspalvelujen parhaiden toimintatapojen vaihtoon.
4. Komissio saattaa yleisön saataville tiedot sähköisten terveyspalvelujen verkoston toimista.
7 artikla
Sähköisten terveyspalvelujen digitaalisen palveluinfrastruktuurin kautta käsiteltävien henkilötietojen suoja
1. Jäsenvaltioiden, joita edustavat asianomaiset kansalliset viranomaiset tai muut nimetyt elimet, katsotaan olevan niistä henkilötiedoista vastaavia rekisterinpitäjiä, joita ne käsittelevät rajatylittäviä sähköisten terveyspalvelujen tietopalveluita tukevan sähköisten terveyspalvelujen digitaalisen palveluinfrastruktuurin kautta, ja niiden on selkeästi ja läpinäkyvästi jaettava vastuualueet rekisterinpitäjien kesken.
2. Komission katsotaan olevan tietojen käsittelijä potilaiden niiden henkilötietojen osalta, joita käsitellään rajatylittäviä sähköisten terveyspalvelujen tietopalveluita tukevan sähköisten terveyspalvelujen digitaalisen palveluinfrastruktuurin kautta. Henkilötietojen käsittelijänä komissio huolehtii rajatylittäviä sähköisten terveyspalvelujen tietopalveluita tukevan sähköisten terveyspalvelujen digitaalisen palveluinfrastruktuurin ydinpalvelujen hallinnoinnista ja täyttää tämän päätöksen ►M1 liitteessä I ◄ asetetut henkilötietojen käsittelijän velvollisuudet. Komissiolla ei ole pääsyä potilaiden niihin henkilötietoihin, joita käsitellään rajatylittäviä sähköisten terveyspalvelujen tietopalveluita tukevan sähköisten terveyspalvelujen digitaalisen palveluinfrastruktuurin kautta.
3. Komission katsotaan olevan niiden henkilötietojen käsittelystä vastaava rekisterinpitäjä, joita tarvitaan rajatylittäviä sähköisten terveyspalvelujen tietopalveluita tukevan sähköisten terveyspalvelujen digitaalisen palveluinfrastruktuurin ydinpalvelujen käyttöoikeuksien myöntämiseen ja hallinnointiin. Tällaisia tietoja ovat käyttäjien yhteystiedot, mukaan luettuina etu- ja sukunimi ja sähköpostiosoite sekä se organisaatio, johon he kuuluvat.
7 a artikla
Rajat ylittävä tietojen vaihto yhdyskäytäväpalvelun kautta kansallisten mobiililaitteissa käytettävien kontaktien jäljitys- ja varoitussovellusten välillä
1. Kun henkilötietoja vaihdetaan yhdyskäytäväpalvelun kautta, käsittely on rajoitettava helpottamaan kansallisten mobiililaitteissa käytettävien kontaktien jäljitys- ja varoitussovellusten yhteentoimivuutta yhdyskäytäväpalvelussa ja kontaktien jäljittämisen jatkuvuutta rajat ylittävissä yhteyksissä.
2. Edellä 3 kohdassa tarkoitetut henkilötiedot on toimitettava yhdyskäytäväpalveluun pseudonymisoidussa muodossa.
3. Yhdyskäytäväpalvelun kautta vaihdettavat ja siinä käsiteltävät pseudonymisoidut henkilötiedot voivat sisältää ainoastaan seuraavia tietoja:
kansallisten mobiililaitteissa käytettävien kontaktien jäljitys- ja varoitussovellusten välittämät avaimet enintään 14 päivän ajalta ennen avaimien lataamista;
avaimiin liittyvät lokitiedot avainten alkuperämaassa käytettyjen teknisten eritelmien protokollan mukaisesti;
infektion todentaminen;
asiaan liittyvät maat ja avainten alkuperämaa.
4. Nimetyt kansalliset viranomaiset ja viralliset elimet, jotka käsittelevät henkilötietoja yhdyskäytäväpalvelussa, ovat yhdyskäytäväpalvelussa käsiteltävien tietojen yhteisrekisterinpitäjiä. Yhteisrekisterinpitäjien vastuualueet jaetaan liitteen II mukaisesti. Kunkin jäsenvaltion, joka haluaa osallistua rajat ylittävään tietojen vaihtoon kansallisten mobiililaitteissa käytettävien kontaktien jäljitys- ja varoitussovellusten välillä, on ilmoitettava komissiolle aikomuksestaan ennen liittymistä ja ilmoitettava asiasta vastaavaksi rekisterinpitäjäksi nimetty kansallinen viranomainen tai virallinen elin.
5. Komissio toimii yhdyskäytäväpalvelussa käsiteltävien henkilötietojen käsittelijänä. Komissio varmistaa henkilötietojen käsittelijän ominaisuudessa yhdyskäytäväpalvelussa tapahtuvan henkilötietojen käsittelyn, myös siirron ja säilytyksen, turvallisuuden ja noudattaa liitteessä III vahvistettuja henkilötietojen käsittelijän velvoitteita.
6. Komissio ja kansalliset viranomaiset, joilla on lupa päästä yhdyskäytäväpalveluun, testaavat ja arvioivat säännöllisesti niiden teknisten ja organisatoristen toimenpiteiden tehokkuutta, joilla varmistetaan yhdyskäytäväpalvelussa tapahtuvan henkilötietojen käsittelyn turvallisuus.
7. Rajoittamatta yhteisrekisterinpitäjien päätöstä lopettaa käsittely yhdyskäytäväpalvelussa, yhdyskäytäväpalvelun toiminta on lopetettava viimeistään 14 päivän kuluttua siitä, kun kaikki verkkoon liitetyt kansalliset mobiililaitteissa käytettävät kontaktien jäljitys- ja varoitussovellukset ovat lopettaneet avainten siirron yhdyskäytäväpalvelun kautta.
8 artikla
Kulut
1. Sähköisten terveyspalvelujen verkoston toimintaan osallistuvat henkilöt eivät saa komissiolta palkkiota tehtäviensä hoitamisesta.
2. Komissio korvaa sähköisten terveyspalvelujen verkoston toimintaan osallistuvien matka- ja oleskelukulut komission ulkopuolisille kutsutuille asiantuntijoille annettavia korvauksia koskevien voimassa olevien komission säännösten mukaisesti. Kulut korvataan vuosittaisessa määrärahojen kohdentamismenettelyssä käytettävissä olevien määrärahojen rajoissa.
9 artikla
Kumoaminen
Kumotaan täytäntöönpanopäätös 2011/890/EU. Viittauksia kumottuun päätökseen pidetään viittauksina tähän päätökseen.
10 artikla
Osoitus
Tämä päätös on osoitettu kaikille jäsenvaltioille.
LIITE I
Komission vastuualat sähköisten terveyspalvelujen tietopalveluita tukevan sähköisten terveyspalvelujen digitaalisen palveluinfrastruktuurin henkilötietojen käsittelijänä
Komissio vastaa seuraavista:
Komissio perustaa ja ottaa hoidettavakseen suojatun ja luotettavan viestintäinfrastruktuurin, joka yhdistää toisiinsa rajatylittäviä sähköisten terveyspalvelujen tietopalveluita tukevaan sähköisten terveyspalvelujen digitaalisen palveluinfrastruktuurin osallistuvien sähköisten terveyspalvelujen verkoston jäsenten verkostot, jäljempänä ’suojattu keskusviestintäinfrastruktuuri’. Velvollisuuksiensa täyttämiseksi komissio voi käyttää kolmansien osapuolten palveluja. Komissio varmistaa, että näihin kolmansiin osapuoliin sovelletaan samoja tietosuojavelvoitteita kuin tässä päätöksessä vahvistetaan.
Komissio konfiguroi tarvittavan osan suojatusta keskusviestintäinfrastruktuurista siten, että sähköisten terveyspalvelujen kansalliset yhteyspisteet voivat vaihtaa tietoja turvallisesti, luotettavasti ja tehokkaasti.
Komissio käsittelee henkilötietoja rekisterinpitäjiltä saamiensa kirjallisten ohjeiden mukaisesti.
Komissio toteuttaa kaikki suojatun keskusviestintäinfrastruktuurin ylläpitoon tarvittavat organisatoriset, fyysiset ja loogiset turvatoimenpiteet. Tätä varten komissio
nimeää tahon, joka vastaa turvallisuudenhallinnasta suojatun keskusviestintäinfrastruktuurin tasolla, ilmoittaa rekisterinpitäjille sen yhteystiedot ja huolehtii siitä, että se on käytettävissä turvallisuusuhkiin reagoimiseksi
ottaa huolehtiakseen suojatun keskusviestintäinfrastruktuurin turvallisuudesta
varmistaa, että kaikkiin henkilöihin, joille myönnetään suojatun keskusviestintäinfrastruktuurin käyttöoikeus, sovelletaan sopimukseen perustuvaa, ammatillista tai lakisääteistä salassapitovelvollisuutta
varmistaa, että henkilöstö, jolla on pääsy turvallisuusluokiteltuihin tietoihin, täyttää asianomaiset turvallisuusluokitus- ja salassapitokriteerit.
Komissio toteuttaa kaikki tarvittavat turvatoimet, jotta vältetään toisen osapuolen verkkoalueen sujuvan toiminnan vaarantuminen. Tätä varten komissio ottaa käyttöön erityiset menettelyt, jotka liittyvät yhteyden muodostamiseen suojattuun keskusviestintäinfrastruktuuriin. Näihin kuuluvat seuraavat:
riskinarviointimenettely, jolla tunnistetaan ja arvioidaan mahdolliset järjestelmään kohdistuvat uhat
tarkastus- ja uudelleentarkastelumenettely, jolla
tarkastetaan, että toteutetut turvatoimet ja sovellettava turvasäännöstö vastaavat toisiaan
tarkastetaan säännöllisesti järjestelmätiedostojen, turvaparametrien ja myönnettyjen lupien eheys
suoritetaan valvontaa tietoturvaloukkauksien ja järjestelmään tunkeutumisen havaitsemiseksi
tehdään muutokset tunnettujen turvallisuuspuutteiden välttämiseksi ja
määritellään ehdot, joiden perusteella annetaan lupa, myös rekisterinpitäjien pyynnöstä, suorittaa riippumattomia auditointeja, myös tarkastuksia, ja uudelleentarkasteluja, jotka liittyvät turvatoimenpiteisiin, ja osallistutaan niihin
muutoksenvalvontamenettely, jolla dokumentoidaan ja mitataan muutoksen vaikutus ennen sen toteuttamista ja pidetään sähköisten terveyspalvelujen kansalliset yhteyspisteet ajan tasalla muutoksista, jotka voivat vaikuttaa viestintään muiden kansallisten infrastruktuurien kanssa ja/tai näiden turvallisuuteen
huolto- ja korjausmenettely, jossa määritellään säännöt ja ehdot, joita on noudatettava, kun laitteisto kaipaa huoltoa ja/tai korjausta
tietoturvahäiriömenettely, jossa määritellään raportointi- ja eskalointimenettely ja jolla mahdollisesta tietoturvaloukkauksesta ilmoitetaan viipymättä vastaavalle kansalliselle viranomaiselle ja Euroopan tietosuojavaltuutetulle ja jossa määritellään tietoturvaloukkauksissa sovellettava kurinpitomenettely.
Komissio toteuttaa fyysisiä ja/tai loogisia turvatoimenpiteitä, joita sovelletaan niihin yksiköihin, jotka isännöivät suojattuun keskusviestintäinfrastruktuuriin kuuluvia laitteita sekä loogisten tietojen ja suojatun pääsyn valvontaan. Tätä varten komissio
toteuttaa fyysiseen turvallisuuteen liittyviä toimenpiteitä, joiden avulla perustetaan selkeät turva-alueet ja havaitaan tietoturvaloukkaukset
valvoo yksiköihin pääsyä ja pitää vierailijarekisteriä jäljittämisen mahdollistamiseksi
varmistaa, että ulkopuolisia henkilöitä, joille on myönnetty pääsy tiloihin, seuraa asianmukaisesti valtuutettu asianomaisen organisaation työntekijä
varmistaa, että laitteita ei voida lisätä, korvata tai poistaa ilman nimettyjen vastuussa olevien elinten ennakolta myöntämää lupaa
valvoo yhteydenottoja, jotka tehdään muista suojattuun keskusviestintäinfrastruktuuriin kytketyistä verkoista tai näihin verkkoihin
varmistaa, että suojattuun keskusviestintäinfrastruktuuriin yhteyden ottavat henkilöt tunnistetaan ja todennetaan
tarkastelee suojatun keskusviestintäinfrastruktuurin käyttöön liittyviä valtuutuksia uudelleen, jos ilmenee infrastruktuuriin vaikuttava tietoturvaloukkaus
huolehtii suojatun keskusviestintäinfrastruktuurin kautta välitettyjen tietojen eheydestä
toteuttaa teknisiä ja organisatorisia turvatoimia, joilla estetään luvaton pääsy henkilötietoihin
toteuttaa tarvittaessa toimenpiteitä, joilla estetään luvaton pääsy suojattuun keskusviestintäinfrastruktuuriin sähköisten terveyspalvelujen kansallisten yhteyspisteiden verkkoalueelta (ts. estetään sijainti tai IP-osoite).
Komissio toteuttaa toimenpiteet verkkoalueensa suojelemiseksi, mukaan luettuna yhteyksien katkaiseminen, jos laatuun ja turvallisuuteen liittyvistä periaatteista ja käsitteistä poiketaan merkittävästi.
Komissio pitää yllä vastuualueeseensa liittyvää riskinhallintasuunnitelmaa.
Komissio seuraa tosiaikaisesti kaikkien sen suojatun keskusviestintäinfrastruktuurin palvelujen palvelukomponenttien toimivuutta, laatii säännöllisesti tilastoja ja huolehtii kirjanpidosta.
Komissio tarjoaa kaikkiin suojatun keskusviestintäinfrastruktuurin palveluihin liittyvää tukea englanniksi vuorokauden ympäri puhelimitse, postitse tai verkkoportaalin kautta ja vastaa valtuutettujen soittajien puheluihin. Valtuutettuja soittajia ovat suojatun keskusviestintäinfrastruktuurin koordinaattorit ja niiden neuvontapalvelut, hankevastaavat ja komission palveluksessa olevat nimetyt henkilöt.
Komissio tukee rekisterinpitäjiä asetuksen (EU) 2016/679 35 ja 36 artiklassa asetettujen velvoitteiden täyttämisessä antamalla niille tietoja rajatylittäviä sähköisten terveyspalvelujen tietopalveluita tukevan sähköisten terveyspalvelujen digitaalisen palveluinfrastruktuurin suojatusta keskusviestintäinfrastruktuurista.
Komissio varmistaa, että suojatussa keskusviestintäinfrastruktuurissa siirrettävät tiedot ovat salattuja.
Komissio toteuttaa kaikki tarvittavat toimenpiteet sen estämiseksi, että suojatun keskusviestintäinfrastruktuurin operaattoreilla olisi luvaton pääsy siirrettyihin tietoihin.
Komissio toteuttaa toimenpiteitä, joilla helpotetaan yhteentoimivuutta ja viestintää suojatun keskusviestintäinfrastruktuurin nimettyjen kansallisten toimivaltaisten viranomaisten välillä.
LIITE II
YHDYSKÄYTÄVÄPALVELUUN OSALLISTUVIEN JÄSENVALTIOIDEN VASTUUALUEET YHTEISREKISTERINPITÄJINÄ RAJAT YLITTÄVÄÄ KÄSITTELYÄ VARTEN KANSALLISTEN MOBIILILAITTEISSA KÄYTETTÄVIEN KONTAKTIEN JÄLJITYS- JA VAROITUSSOVELLUSTEN VÄLILLÄ
I JAKSO
1 alajakso
Vastuunjako
(1) Yhteisrekisterinpitäjien on käsiteltävä henkilötietoja yhdyskäytäväpalvelun kautta sähköisten terveyspalvelujen verkoston vahvistamien teknisten eritelmien mukaisesti ( 3 ).
(2) Kukin rekisterinpitäjä vastaa henkilötietojen käsittelystä yhdyskäytäväpalvelussa yleisen tietosuoja-asetuksen ja direktiivin 2002/58/EY mukaisesti.
(3) Kunkin rekisterinpitäjän on perustettava yhteyspiste ja asiointipostilaatikko, jota käytetään yhteisrekisterinpitäjien välisessä sekä yhteisrekisterinpitäjien ja henkilötietojen käsittelijän välisessä viestinnässä.
(4) Sähköisten terveyspalvelujen verkoston 5 artiklan 4 kohdan mukaisesti perustaman tilapäisen alaryhmän tehtävänä on tarkastella kaikkia kysymyksiä, jotka liittyvät kansallisten mobiililaitteissa käytettävien jäljitys- ja varoitussovellusten yhteentoimivuuteen ja tähän liittyvään henkilötietojen käsittelyn yhteisrekisterinpitoon, sekä auttaa komissiolle henkilötietojen käsittelijänä annettavien koordinoitujen ohjeiden laadinnassa. Rekisterinpitäjät voivat tilapäisessä alaryhmässä työskennellä muun muassa löytääkseen yhteisen lähestymistavan tietojen säilyttämiseen niiden kansallisilla taustapalvelimilla, ottaen huomioon yhdyskäytäväpalvelussa asetetun säilyttämisajan.
(5) Minkä tahansa yhteisrekisterinpitäjän yhteyspiste voi lähettää ohjeita henkilötietojen käsittelijälle muiden edellä mainittuun alaryhmäään kuuluvien yhteisrekisterinpitäjien suostumuksella.
(6) Ainoastaan nimettyjen kansallisten viranomaisten tai virallisten elinten valtuuttamat henkilöt voivat päästä yhdyskäytäväpalvelussa vaihdettuihin käyttäjien henkilötietoihin.
(7) Kukin nimetty kansallinen viranomainen tai virallinen elin lakkaa olemasta yhteisrekisterinpitäjä siitä päivästä alkaen, jona sen osallistuminen yhdyskäytäväpalveluun lopetetaan. Se on kuitenkin edelleen vastuussa tietojen käsittelystä, joka on tapahtunut yhdyskäytäväpalvelussa ennen sen osallistumisen lopettamista.
2 alajakso
Rekisteröityjen esittämien pyyntöjen käsittelyyn ja heille tiedottamiseen liittyvät vastuut ja tehtävät
(1) Kunkin rekisterinpitäjän on yleisen tietosuoja-asetuksen 13 ja 14 artiklan mukaisesti annettava kansallisten mobiililaitteissa käytettävien jäljitys- ja varoitussovellusten käyttäjille, jäljempänä ”rekisteröidyt”, tiedot heidän henkilötietojensa käsittelystä, joka tapahtuu yhdyskäytäväpalvelussa kansallisten mobiililaitteissa käytettävien jäljitys- ja varoitussovellusten yhteentoimivuutta varten.
(2) Kunkin rekisterinpitäjän on toimittava yhteyspisteenä sen kansallisen mobiililaitteissa käytettävän jäljitys- ja varoitussovelluksen käyttäjille ja käsiteltävä rekisteröityjen tai heidän edustajiensa esittämät pyynnöt, jotka liittyvät rekisteröityjen oikeuksien käyttämiseen yleisen tietosuoja-asetuksen mukaisesti. Kunkin rekisterinpitäjän on nimettävä erityinen yhteyspiste rekisteröidyiltä saatuja pyyntöjä varten. Jos yhteisrekisterinpitäjä saa rekisteröidyltä pyynnön, joka ei kuulu sen vastuualueeseen, sen on toimitettava pyyntö viipymättä asiasta vastaavalle yhteisrekisterinpitäjälle. Yhteisrekisterinpitäjien on pyynnöstä avustettava toisiaan rekisteröityjen pyyntöjen käsittelyssä ja vastattava toisilleen ilman aiheetonta viivytystä ja viimeistään 15 päivän kuluessa avunpyynnön vastaanottamisesta.
(3) Kunkin rekisterinpitäjän on annettava rekisteröityjen saataville tämän liitteen sisältö, mukaan lukien 1 ja 2 kohdassa säädetyt järjestelyt.
2 JAKSO
Tietoturvapoikkeamien hallinta, mukaan lukien henkilötietojen tietoturvaloukkaukset
(1) Yhteisrekisterinpitäjien on avustettava toisiaan sellaisten tietoturvapoikkeamien, myös henkilötietojen tietoturvaloukkausten, tunnistamisessa ja käsittelyssä, jotka liittyvät tietojen käsittelyyn yhdyskäytäväpalvelussa.
(2) Yhteisrekisterinpitäjien on ilmoitettava toisilleen erityisesti seuraavista:
yhdyskäytäväpalvelussa käsiteltävien henkilötietojen saatavuuteen, luottamuksellisuuteen ja/tai koskemattomuuteen mahdollisesti tai tosiasiallisesti kohdistuvat riskit
kaikki tietoturvapoikkeamat, jotka liittyvät käsittelytoimiin yhdyskäytäväpalvelussa
kaikki henkilötietojen tietoturvaloukkaukset, henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset ja luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvan riskin arviointi sekä kaikki toimenpiteet, joilla puututaan henkilötietojen tietoturvaloukkaukseen ja lievennetään luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä
käsittelytoimien teknisten ja/tai organisatoristen suojajärjestelyjen rikkominen yhdyskäytäväpalvelussa.
(3) Yhteisrekisterinpitäjien on ilmoitettava kaikista yhdyskäytävässä tapahtuviin käsittelytoimiin liittyvistä henkilötietojen tietoturvaloukkauksista komissiolle, toimivaltaisille valvontaviranomaisille ja tarvittaessa rekisteröidyille asetuksen (EU) 2016/679 33 ja 34 artiklan mukaisesti tai komission ilmoitettua asiasta.
3 JAKSO
Tietosuojaa koskeva vaikutustenarviointi
Jos rekisterinpitäjä tarvitsee tietoja toiselta rekisterinpitäjältä täyttääkseen yleisen tietosuoja-asetuksen 35 ja 36 artiklassa säädetyt velvollisuutensa, sen on lähetettävä erityinen pyyntö 1 jakson 1 alajakson 3 kohdassa tarkoitettuun asiointipostilaatikkoon. Viimeksi mainitun on tehtävä parhaansa tällaisten tietojen toimittamiseksi.
LIITE III
KOMISSION VASTUUALUEET HENKILÖTIETOJEN KÄSITTELIJÄNÄ RAJAT YLITTÄVÄÄ KÄSITTELYÄ VARTEN KANSALLISTEN MOBIILILAITTEISSA KÄYTETTÄVIEN KONTAKTIEN JÄLJITYS- JA VAROITUSSOVELLUSTEN VÄLILLÄ
Komissio:
perustaa ja varmistaa sellaisen turvallisen ja luotettavan viestintäinfrastruktuurin, joka yhdistää yhdyskäytäväpalveluun osallistuvien jäsenvaltioiden kansalliset mobiililaitteissa käytettävät kontaktien jäljitys- ja varoitussovellukset. Täyttääkseen velvoitteensa yhdyskäytäväpalvelun tietojen käsittelijänä komissio voi käyttää kolmansia osapuolia alikäsittelijöinä. Komissio tiedottaa yhteisrekisterinpitäjille kaikista suunnitelluista muutoksista, jotka koskevat tietojen alikäsittelijöiden lisäämistä tai vaihtamista, ja antaa siten rekisterinpitäjille mahdollisuuden vastustaa yhdessä tällaisia muutoksia liitteessä II olevan 1 jakson 1 alajakson 4 kohdan mukaisesti. Komissio varmistaa, että näihin alikäsittelijöihin sovelletaan samoja tietosuojavelvoitteita kuin ne, jotka vahvistetaan tässä päätöksessä.
käsittelee henkilötietoja ainoastaan rekisterinpitäjän antamien dokumentoitujen ohjeiden mukaisesti, paitsi jos henkilötietojen käsittelijään sovellettavassa unionin tai jäsenvaltion lainsäädännössä toisin vaaditaan, missä tapauksessa komissio tiedottaa rekisterinpitäjälle tästä oikeudellisesta vaatimuksesta ennen käsittelyä, paitsi jos tällainen tiedottaminen kielletään kyseisessä lainsäädännössä yleistä etua koskevien tärkeiden syiden vuoksi.
Komission suorittama tietojen käsittely kattaa seuraavat:
kansallisten taustapalvelimien todentaminen kansallisten taustapalvelinvarmenteiden perusteella
täytäntöönpanopäätöksen 7 a artiklan 3 kohdassa tarkoitettujen, kansallisilta taustapalvelimilta ladattavien tietojen vastaanottaminen tarjoamalla sovellusrajapinta, jonka avulla kansalliset taustapalvelimet voivat ladata asiaankuuluvat tiedot
tietojen säilyttäminen yhdyskäytäväpalvelussa sen jälkeen, kun ne on vastaanotettu kansallisilta taustapalvelimilta
tietojen asettaminen saataville kansallisten taustapalvelimien tallennettaviksi
tietojen poistaminen, kun kaikki osallistuvat taustapalvelimet ovat tallentaneet ne tai kun niiden vastaanottamisesta on kulunut 14 päivää sen mukaan, kumpi ajankohta on aikaisempi.
kaikkien jäljellä olevien tietojen poistaminen palvelun tarjoamisen päätyttyä, paitsi jos unionin tai jäsenvaltion lainsäädännössä edellytetään henkilötietojen säilyttämistä.
Henkilötietojen käsittelijän on toteutettava tarvittavat toimenpiteet käsiteltävien tietojen koskemattomuuden turvaamiseksi.
toteuttaa kaikki ajanmukaiset yhdyskäytäväpalvelun ylläpitoon tarvittavat organisatoriset, fyysiset ja loogiset turvajärjestelyt. Tätä varten komissio:
nimeää tahon, joka vastaa turvallisuudenhallinnasta yhdyskäytäväpalvelun tasolla, ilmoittaa rekisterinpitäjille sen yhteystiedot ja huolehtii siitä, että se on käytettävissä turvallisuusuhkiin reagoimiseksi
ottaa vastuun yhdyskäytäväpalvelun turvallisuudesta
varmistaa, että kaikkiin henkilöihin, joille myönnetään yhdyskäytäväpalvelun käyttöoikeus, sovelletaan sopimukseen perustuvaa, ammatillista tai lakisääteistä salassapitovelvollisuutta.
toteuttaa kaikki tarvittavat turvatoimet, jotta vältetään kansallisten taustapalvelimien sujuvan toiminnan vaarantuminen. Tätä varten komissio ottaa käyttöön erityiset menettelyt, jotka koskevat yhteyttä taustapalvelimilta yhdyskäytäväpalveluun. Tämä kattaa seuraavat:
riskinarviointimenettely, jolla tunnistetaan ja arvioidaan mahdolliset järjestelmään kohdistuvat uhat
tarkastus- ja valvontamenettely, jolla
tarkastetaan, että toteutetut turvatoimet ja sovellettava turvasäännöstö vastaavat toisiaan
tarkastetaan säännöllisesti järjestelmätiedostojen eheys, turvaparametrit ja myönnetyt käyttöluvat
suoritetaan valvontaa tietoturvapoikkeamien ja järjestelmään tunkeutumisen havaitsemiseksi
tehdään muutokset tunnettujen turvallisuuspuutteiden lieventämiseksi ja
annetaan, myös rekisterinpitäjien pyynnöstä, mahdollisuus suorittaa riippumattomia tarkastuksia, myös tarkastuskäyntejä, ja valvontatoimia, jotka liittyvät turvatoimenpiteisiin, ja myötävaikutetaan niihin, noudattaen ehtoja, joissa kunnioitetaan Euroopan unionin toiminnasta tehtyyn sopimukseen liitettyä pöytäkirjaa (N:o 7) Euroopan unionin erioikeuksista ja vapauksista ( 4 ).
muutoksenvalvontamenettely, jolla dokumentoidaan ja mitataan muutoksen vaikutus ennen sen toteuttamista ja pidetään rekisterinpitäjät ajan tasalla muutoksista, jotka voivat vaikuttaa viestintään niiden infrastruktuurien kanssa ja/tai näiden turvallisuuteen
sellaisen huolto- ja korjausmenettelyn luominen, jossa määritellään säännöt ja ehdot, joita on noudatettava, kun laitteisto kaipaa huoltoa ja/tai korjausta
sellaisen tietoturvapoikkeamamenettelyn luominen, jossa määritellään raportointi- ja eskalointimenettely ja jolla mahdollisesta tietoturvaloukkauksesta ilmoitetaan viipymättä rekisterinpitäjille ja Euroopan tietosuojavaltuutetulle ja jossa määritellään tietoturvaloukkauksissa sovellettava kurinpitomenettely.
toteuttaa ajanmukaisia fyysisiä ja/tai loogisia turvajärjestelyjä, joita sovelletaan niihin yksiköihin, jotka isännöivät yhdyskäytäväpalveluun kuuluvia laitteita sekä loogisten tietojen ja suojatun pääsyn valvontaan. Tätä varten komissio:
toteuttaa fyysiseen turvallisuuteen liittyviä toimenpiteitä, joiden avulla perustetaan selkeät turva-alueet ja voidaan havaita tietoturvaloukkaukset
valvoo yksiköihin pääsyä ja pitää vierailijarekisteriä jäljittämisen mahdollistamiseksi
varmistaa, että ulkopuolisilla henkilöillä, joille on myönnetty pääsy tiloihin, on asianmukaisesti valtuutettu henkilöstön jäsen saattajana
varmistaa, että laitteita ei voida lisätä, korvata tai poistaa ilman nimettyjen vastuussa olevien elinten ennakolta myöntämää lupaa
valvoo pääsyä kansallisilta taustapalvelimilta yhdyskäytäväpalveluun ja päinvastoin
varmistaa, että yhdyskäytäväpalveluun pääsevät henkilöt tunnistetaan ja heidän henkilöllisyytensä varmistetaan
tarkastelee yhdyskäytäväpalvelun käyttöön oikeuttavia valtuutuksia uudelleen, jos ilmenee infrastruktuuriin vaikuttava tietoturvaloukkaus
säilyttää yhdyskäytäväpalvelun kautta välitettyjen tietojen koskemattomuuden
toteuttaa teknisiä ja organisatorisia turvajärjestelyjä, joilla estetään luvaton pääsy henkilötietoihin
toteuttaa tarvittaessa toimenpiteitä, joilla estetään luvaton pääsy yhdyskäytäväpalveluun kansallisten viranomaisten verkkoalueelta (ts. estetään sijainti tai IP-osoite).
toteuttaa toimenpiteet verkkoalueensa suojelemiseksi, mukaan luettuna yhteyksien katkaiseminen, jos laatuun ja turvallisuuteen liittyvistä periaatteista ja toimintamalleista poiketaan merkittävästi.
pitää yllä vastuualueeseensa liittyvää riskinhallintasuunnitelmaa.
seuraa tosiaikaisesti kaikkien yhdyskäytäväpalvelun palvelukomponenttien toimivuutta, laatii säännöllisesti tilastoja ja huolehtii kirjanpidosta.
tarjoaa kaikkiin yhdyskäytäväpalvelun palveluihin liittyvää tukea englanniksi vuorokauden ympäri puhelimitse, postitse tai verkkoportaalin kautta ja vastaa valtuutettujen tahojen yhteydenottoihin. Valtuutettuja tahoja ovat yhdyskäytäväpalvelun koordinaattorit ja niiden neuvontapalvelut, hankevastaavat ja komission palveluksessa olevat nimetyt henkilöt.
avustaa rekisterinpitäjiä mahdollisuuksien mukaan asianmukaisin teknisin ja organisatorisin toimenpitein, jotta rekisterinpitäjät voivat täyttää velvollisuutensa vastata pyyntöihin, jotka koskevat yleisen tietosuoja-asetuksen III luvussa säädettyjen rekisteröidyn oikeuksien käyttämistä.
tukee rekisterinpitäjiä antamalla tietoja yhdyskäytäväpalvelusta, jotta voidaan panna täytäntöön yleisen tietosuoja-asetuksen 32, 35 ja 36 artiklan mukaiset velvoitteet.
varmistaa, että yhdyskäytäväpalvelussa käsiteltävät tiedot eivät ole sellaisille henkilöille ymmärrettävässä muodossa, joilla ei ole lupaa päästä tietoihin.
toteuttaa kaikki tarvittavat toimenpiteet sen estämiseksi, että yhdyskäytäväpalvelun operaattoreilla olisi luvaton pääsy siirrettyihin tietoihin.
toteuttaa toimenpiteitä, joilla helpotetaan yhteentoimivuutta ja viestintää yhdyskäytäväpalvelun nimettyjen rekisterinpitäjien välillä.
ylläpitää rekisterinpitäjien puolesta selostetta suoritetuista käsittelytoimista asetuksen (EU) 2018/1725 31 artiklan 2 kohdan mukaisesti.
( 1 ) Euroopan parlamentin ja neuvoston päätös N:o 1082/2013/EU, annettu 22 päivänä lokakuuta 2013, valtioiden rajat ylittävistä vakavista terveysuhkista ja päätöksen N:o 2119/98/EY kumoamisesta (EUVL L 293, 5.11.2013, s. 1).
( 2 ) Komission päätös (EU, Euratom) 2015/444, annettu 13 päivänä maaliskuuta 2015, EU:n turvallisuusluokiteltujen tietojen suojaamista koskevista säännöistä (EUVL L 72, 17.3.2015, s. 53).
( 3 ) Erityisesti 16 päivänä kesäkuuta 2020 hyväksytyt rajat ylittävien tartuntaketjujen jäljittämisessä käytettävien sovellusten yhteentoimivuutta koskevat eritelmät osoitteessa: https://ec.europa.eu/health/ehealth/key_documents_en#anchor0.
( 4 ) Pöytäkirja (N:o 7) Euroopan unionin erioikeuksista ja vapauksista (EUVL C 326, 26.10.2012, s. 266).