KOMISSION TÄYTÄNTÖÖNPANOPÄÄTÖS (EU) 2019/1269,

annettu 26 päivänä heinäkuuta 2019,

eurooppalaisten osaamisverkostojen ja niiden jäsenten perustamista ja arvioimista sekä tällaisten verkostojen perustamista ja arvioimista koskevan tiedon ja asiantuntemuksen vaihdon helpottamista koskevista perusteista annetun täytäntöönpanopäätöksen 2014/287/EU muuttamisesta

(ETA:n kannalta merkityksellinen teksti)

EUROOPAN KOMISSIO, joka

ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,

ottaa huomioon potilaiden oikeuksien soveltamisesta rajatylittävässä terveydenhuollossa 9 päivänä maaliskuuta 2011 annetun Euroopan parlamentin ja neuvoston direktiivin 2011/24/EU (1) ja erityisesti sen 12 artiklan 4 kohdan b ja c alakohdan

sekä katsoo seuraavaa:

(1)

Komission täytäntöönpanopäätöksessä 2014/287/EU (2) vahvistetaan perusteet eurooppalaisten osaamisverkostojen ja niiden jäsenten perustamista ja arvioimista sekä tällaisten verkostojen perustamista ja arvioimista koskevan tiedon ja asiantuntemuksen vaihdon helpottamista varten. Mainitun päätöksen 6 artiklassa jäsenvaltioita pyydetään perustamaan jäsenvaltioiden johtoryhmä, joka päättää verkostoja koskevien ehdotusten ja niiden jäsenten hyväksymisestä ja verkoston toiminnan lopettamisesta. Jäsenvaltiot ovat perustaneet jäsenvaltioiden johtoryhmän, joka perustamisensa jälkeen on hyväksynyt 23 eurooppalaista osaamisverkostoa, jäljempänä ’ERN-verkostot’, joulukuussa 2016 ja yhden helmikuussa 2017. Kaikki verkostot aloittivat toimintansa vuonna 2017.

(2)

Eurooppalaisten osaamisverkostojen tehostamiseksi jäsenvaltioiden johtoryhmästä olisi tultava foorumi, jolla vaihdetaan tietoja ja asiantuntemusta, jotta voidaan ohjata ERN-verkostojen kehittämistä, antaa opastusta verkostoille ja jäsenvaltioille ja neuvoa komissiota verkostojen perustamiseen liittyvissä asioissa. Jotta voitaisiin edistää kokemustenvaihtoa ja helpottaa muun terveystietojen rajatylittävän vaihdon kanssa yhdenmukaisen menettelytavan soveltamista, johtoryhmän olisi pyrittävä tekemään tiivistä yhteistyötä sähköisten terveyspalvelujen eHealth-verkoston kanssa. Tässä yhteistyössä olisi mahdollisuuksien mukaan kehitettävä yhteisiä toimintamalleja, tietorakenteita ja ohjeita, joilla helpotetaan eri palvelujen käytettävyyttä ja kevennetään terveydenhuollon tarjoajien noudatettavaksi annettuja sääntöjä. Johtoryhmän olisi lisäksi edistettävä muiden asiaan liittyvien EU:n foorumien kanssa käytävää keskustelua yhteisesti tärkeillä aloilla. Tällainen foorumi on esimerkiksi terveyden edistämisen, sairauksien ehkäisyn ja ei-tarttuvien tautien hallinnan ohjausryhmä.

(3)

Nykyisten 24:n ERN-verkoston toiminnasta saatu kokemus on osoittanut, että jotta kukin verkosto voi toimia tehokkaasti, sen jäsenten olisi tehtävä tiivistä yhteistyötä hoitaessaan tehtäviään. Tämä koskee esimerkiksi potilaiden diagnooseja ja hoitoa koskevien terveystietojen tehokasta ja turvallista vaihtoa sekä osallistumista tieteelliseen tutkimukseen ja lääketieteellisten ohjeiden laatimiseen. Tiivis yhteistyö edellyttää kunkin verkoston jäsenten keskinäistä luottamusta ja sitä, että verkostot tunnustavat etenkin toistensa osaamisen ja pätevyyden, kliinisen hoidon laadun sekä inhimilliset, rakenteelliset ja laitteistoresurssit, joista säädetään komission delegoidun päätöksen 2014/286/EU (3) liitteessä II olevassa 2 kohdassa.

(4)

Kollegojen keskinäinen luottamus ja vastavuoroinen tunnustaminen ovat yhtä tärkeitä myös silloin, kun terveydenhuollon tarjoajat haluavat liittyä toiminnassa olevaan verkostoon, sillä vertaisryhmä muodostaa oikeat edellytykset tulevalle yhteistyölle verkostossa. Kun jäsenyyshakemus toimitetaan komission nimittämän riippumattoman arviointielimen arvioitavaksi, hakemuksen mukana olisi sen vuoksi toimitettava myös sen verkoston johtoryhmän, johon terveydenhuollon tarjoaja haluaa liittyä, jäsenyyshakemuksesta antama myönteinen lausunto, joka perustuu vertaisarviointiin, jonka verkosto on tehnyt delegoidun päätöksen 2014/286/EU liitteessä II olevassa 2 kohdassa vahvistettujen perusteiden ja edellytysten perusteella. Jotta terveydenhuollon tarjoaja voisi esittää näkemyksensä verkoston johtoryhmän lausunnosta, terveydenhuollon tarjoajan olisi voitava esittää huomautuksia lausuntoluonnoksesta yhden kuukauden kuluessa sen vastaanottamisesta.

(5)

Verkoston johtoryhmälle olisi asetettava kohtuulliset määräajat, joiden puitteissa lausuntoluonnos ja lopullinen lausunto on toimitettava. Lopullisen lausunnon tapauksessa määräajan olisi siten oltava periaatteessa neljä kuukautta. Jos terveydenhuollon tarjoaja kuitenkin esittää huomautuksia verkoston johtoryhmän lausuntoluonnoksesta, lopullisen lausunnon antamiselle asetettua neljän kuukauden määräaikaa olisi jatkettava yhdellä kuukaudella, jotta verkoston johtoryhmä voi ottaa esitetyt huomautukset huomioon. Jos verkoston johtoryhmä ei toimita lausuntoluonnosta tai anna lopullista lausuntoa asetetuissa määräajoissa, olisi oikeusvarmuuden vuoksi katsottava, että lopullinen lausunto on myönteinen.

(6)

Jos terveydenhuollon tarjoaja saa jäsenyyshakemuksensa kohteena olevan verkoston johtoryhmältä hakemuksestaan kielteisen lausunnon mutta terveydenhuollon tarjoajan sijoittautumisjäsenvaltio on antanut hakemukselle kirjallisen vahvistuksen, sijoittautumisjäsenvaltion olisi voitava pyytää jäsenvaltioiden johtoryhmää päättämään delegoidun päätöksen 2014/286/EU liitteessä II olevassa 2 kohdassa vahvistettujen perusteiden ja edellytysten perusteella, olisiko hakemus kuitenkin toimitettava komissiolle.

(7)

Jotta voitaisiin auttaa ERN-verkostoissa toimivia terveydenhuollon ammattilaisia tekemään kansallisten rajojen ylitse etäyhteistyötä, joka liittyy sellaisten potilaiden diagnosointiin ja hoitoon, jotka kärsivät harvinaisista tai esiintymistiheydeltään alhaisista monitekijäisistä sairauksista tai sairaudentiloista, ja helpottaa tällaisiin sairauksiin tai sairaudentiloihin liittyvää tieteellistä tutkimusta, komissio on perustanut ERN-verkostoille sähköisen kliinisen potilashoidon asiantuntijajärjestelmän, jäljempänä ’CPMS-järjestelmä’. Järjestelmällä on määrä helpottaa ERN-verkostojen perustamista ja toimintaa direktiivin 2011/24/EU 12 artiklan 4 kohdan c alakohdan mukaisesti.

(8)

CPMS-järjestelmän olisi tarjottava terveydenhuollon ammattilaisille yhteinen infrastruktuuri, jonka avulla he voivat tehdä ERN-verkostojen puitteissa yhteistyötä sellaisten potilaiden diagnosoinnissa ja hoidossa, jotka kärsivät harvinaisista tai esiintymistiheydeltään alhaisista monitekijäisistä sairauksista tai sairaudentiloista. Sen olisi tarjottava keinot, joilla ERN-verkostojen puitteissa voidaan mahdollisimman tehokkaasti vaihtaa tietoja ja asiantuntemusta tällaisista sairauksista.

(9)

CPMS-järjestelmässä olisi sen vuoksi oltava turvallinen tietotekniikkainfrastruktuuri, jonka tarjoaman yhteisen rajapinnan kautta ERN-verkostojen jäseninä olevat terveydenhuollon tarjoajat, kansalliset kumppanit (4) tai vierailijat, jäljempänä ’terveydenhuollon tarjoajat, joilla on CPMS-järjestelmän käyttöoikeus’, voivat vaihtaa verkostojen puitteissa tietoja tällaisista potilaista. Tarkoituksena on parantaa potilaiden mahdollisuuksia saada turvallista ja laadukasta terveydenhuoltoa ja lisäksi edistää terveydenhuoltoon liittyvää tehokasta yhteistyötä jäsenvaltioiden välillä parantamalla asian kannalta merkityksellisten tietojen vaihtoa.

(10)

Jotta voitaisiin varmistaa, että tietosuojasääntöjä noudatetaan ja että kun terveydenhuollon tarjoajat vaihtavat ERN-verkostojen puitteissa sähköisesti potilaiden henkilötietoja direktiivin 2011/24/EU 12 artiklan 2 kohdan mukaisissa tarkoituksissa, vaihto tapahtuu tehokkaassa ja turvallisessa ympäristössä, olisi tällainen tietojenvaihto tehtävä ainoastaan potilaan nimenomaisella suostumuksella ja vain CPMS-järjestelmän kautta. Terveydenhuollon tarjoajat vastaavat niiden tietojen suojaamisesta, joita ne käsittelevät CPMS-järjestelmän ulkopuolella ja jotka niiden on tarkoitus syöttää CPMS-järjestelmään. Sama vastuu koskee tietoja, joita ne eivät syötä CPMS-järjestelmään mutta joita ne käsittelevät CPMS-järjestelmään liittyvissä tarkoituksissa (kuten suostumuslomakkeet) taikka joita ne lataavat CPMS-järjestelmästä käsiteltäväksi sen ulkopuolella.

(11)

CPMS-järjestelmässä käsitellään harvinaisista tai esiintymistiheydeltään alhaisista monitekijäisistä sairauksista kärsiviin potilaisiin liittyviä arkaluonteisia tietoja. Näitä tietoja käsitellään ainoastaan potilaiden diagnosoinnin ja hoidon helpottamiseksi, niiden syöttämiseksi harvinaisia tai esiintymistiheydeltään alhaisia monitekijäisiä sairauksia koskeviin asianmukaisiin rekistereihin tai muihin tietokantoihin, jotka palvelevat tieteellistä tutkimusta taikka kliinisiä tai terveyspoliittisia tarkoituksia, sekä yhteydenottoihin, joilla haetaan mahdollisia osallistujia tieteellisiin tutkimustoimiin. ERN-verkostoihin kuuluvien terveydenhuollon tarjoajien pitäisi pystyä käsittelemään potilastietoja CPMS-järjestelmässä, kun ne ovat saaneet potilailta nimenomaisen, tietoisen ja vapaaehtoisen suostumuksen siihen, että heidän tietojaan voidaan käyttää kolmeen mahdolliseen tarkoitukseen (potilastietojen lääketieteellinen arviointi diagnosoinnin ja hoidon tueksi, tietojen syöttäminen harvinaisten sairauksien rekistereihin tai muihin harvinaisten ja esiintymistiheydeltään alhaisten monitekijäisten sairauksien tietokantoihin sekä mahdolliset yhteydenotot, joilla potilaita pyydetään osallistumaan tieteelliseen tutkimustoimeen). Suostumus olisi saatava erikseen kuhunkin kolmeen tarkoitukseen. Tässä päätöksessä olisi vahvistettava tarkoitukset ja suojatoimet, joita tällaisten tietojen käsittelyyn CPMS-järjestelmässä sovelletaan. Komission olisi erityisesti huolehdittava CPMS-järjestelmän yleisistä ominaisuuksista suhteessa kuhunkin osaamisverkostoon, siihen tarvittavan turvallisen tietoteknisen infrastruktuurin tarjoamisesta ja ylläpidosta sekä siitä, että järjestelmä on teknisesti toimiva ja turvallinen. Tietojen minimoinnin periaatteen mukaisesti komission olisi käsiteltävä vain sellaisia henkilötietoja, jotka ovat ehdottoman välttämättömiä, jotta voidaan huolehtia CPMS-järjestelmän hallinnoinnista suhteessa kuhunkin verkostoon. Sen vuoksi komissiolla ei pitäisi olla pääsyä eurooppalaisissa osaamisverkostoissa vaihdettuihin potilaiden terveystietoihin, ellei se ole ehdottoman välttämätöntä sen vuoksi, että komissio voi täyttää velvoitteensa yhteisrekisterinpitäjänä.

(12)	Tätä täytäntöönpanopäätöstä olisi sovellettava ainoastaan sellaiseen henkilötietojen, etenkin yhteystietojen ja terveystietojen, käsittelyyn, joka tapahtuu CPMS-järjestelmässä ERN-verkostojen puitteissa.

(13)

Henkilötietojen käsittelystä vastaavien yhteisrekisterinpitäjien on Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (5) 26 artiklan ja Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 (6) 28 artiklan mukaisesti määriteltävä läpinäkyvällä tavalla vastuualueensa kyseisissä asetuksissa vahvistettujen velvoitteiden noudattamiseksi. Asetusten mukaan nämä vastuualueet voidaan määritellä myös rekisterinpitäjiin sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä.

(14)	Sen vuoksi täytäntöönpanopäätöstä 2014/287/EU olisi muutettava.

(15)	Euroopan tietosuojavaltuutettua on kuultu asetuksen (EU) 2018/1725 42 artiklan 1 kohdan mukaisesti, ja hän on antanut lausunnon 13 päivänä syyskuuta 2018.

(16)	Tässä päätöksessä säädetyt toimenpiteet ovat direktiivin 2011/24/EU 16 artiklalla perustetun komitean lausunnon mukaiset,

ON HYVÄKSYNYT TÄMÄN PÄÄTÖKSEN:

1 artikla

Muutetaan täytäntöönpanopäätös 2014/287/EU seuraavasti:

Lisätään 1 a artikla seuraavasti:

”1 a artikla

Määritelmät

Tässä täytäntöönpanopäätöksessä tarkoitetaan:

a)	”eurooppalaisten osaamisverkostojen koordinaattorilla” henkilöä, jonka koordinoivaksi jäseneksi valittu eurooppalaisen osaamisverkoston jäsen on nimennyt osaamisverkoston koordinaattoriksi ja jota tarkoitetaan delegoidun päätöksen 2014/286/EU johdanto-osan 3 kappaleessa ja 4 artiklassa

b)	”osaamisverkoston johtoryhmällä” delegoidun päätöksen 2014/286/EU johdanto-osan 3 kappaleessa ja liitteessä I olevan 1 kohdan b alakohdan ii alakohdassa tarkoitettua elintä, joka vastaa osaamisverkoston hallinnoinnista ja muodostuu osaamisverkoston kunkin jäsenen edustajista

”kansallisella kumppanilla” delegoidun päätöksen 2014/286/EU johdanto-osan 14 kappaleessa ja liitteessä I olevan 7 kohdan c alakohdassa sekä 10 päivänä lokakuuta 2017 annetussa jäsenvaltioiden johtoryhmän lausumassa tarkoitettua kansallista keskusta, kansallista yhteistyökeskusta ja kansallista koordinointikeskusta

”vierailijalla” terveydenhuollon tarjoajaa, joka ei ole kansallisen kumppanin jäsen mutta jolla on toimivaltaisen eurooppalaisen osaamisverkoston koordinaattorin hyväksymä ajallisesti rajattu oikeus ottaa potilaita CPMS-järjestelmään ja osallistua kyseiseen potilaaseen liittyvän paneelin toimintaan jäsenenä tai asiantuntijana.”

Lisätään 8 artiklaan 4, 5 ja 6 kohta seuraavasti:

”4. Jos komissio katsoo, että 8 artiklan 2 ja 3 kohdassa asetetut vaatimukset täyttyvät, sen osaamisverkoston johtoryhmän, johon terveydenhuollon tarjoaja haluaa liittyä, on annettava jäsenyyshakemuksesta lausunto sen jälkeen, kun osaamisverkosto on tehnyt delegoidun päätöksen 2014/286/EU liitteessä II olevassa 2 kohdassa vahvistettuihin perusteisiin ja edellytyksiin perustuvan vertaisarvioinnin.

5. Ennen 4 kohdassa tarkoitetun lausunnon antamista ja kolmen kuukauden kuluessa siitä, kun komissio on vahvistanut 8 artiklan 2 ja 3 kohdassa asetettujen vaatimusten täyttyneen, osaamisverkoston johtoryhmän on lähetettävä lausunnon luonnos hakijana olevalle terveydenhuollon tarjoajalle, joka voi toimittaa huomautuksensa verkostolle kuukauden kuluessa lausuntoluonnoksen vastaanottamisesta. Jos verkoston johtoryhmälle ei toimiteta luonnoksesta huomautuksia, sen on annettava jäsenyyshakemuksesta lopullinen lausunto neljän kuukauden kuluessa siitä, kun komissio on vahvistanut 8 artiklan 2 ja 3 kohdassa asetettujen vaatimusten täyttyneen.

Jos verkoston johtoryhmälle toimitetaan huomautuksia, lopullisen lausunnon antamisen määräaikaa jatketaan siten, että se on viisi kuukautta siitä, kun komissio on vahvistanut 8 artiklan 2 ja 3 kohdassa asetettujen vaatimusten täyttyneen. Huomautuksia saatuaan verkoston johtoryhmän on muutettava lausuntoaan ja ilmoitettava, antavatko huomautukset aihetta muuttaa sen laatimaa arviointia. Jos verkoston johtoryhmä ei toimita lausuntoluonnosta tai anna lopullista lausuntoa edellä asetetuissa määräajoissa, on katsottava, että lopullinen lausunto on myönteinen.

6. Jos verkoston johtoryhmä antaa kielteisen lausunnon, jäsenvaltioiden johtoryhmä voi sijoittautumisjäsenvaltion pyynnöstä antaa myönteisen lausunnon sen jälkeen, kun se on arvioinut hakemuksen uudelleen delegoidun päätöksen 2014/286/EU liitteessä II olevassa 2 kohdassa vahvistettujen perusteiden ja edellytysten perusteella. Tämä myönteinen lausunto on liitettävä hakemukseen.”

3)	Korvataan 9 artiklan 1 kohta seuraavasti: ”1. Jos 8 artiklan 5 tai 6 kohdan mukaisesti annetaan myönteinen lausunto, komissio nimittää elimen arvioimaan jäsenyyshakemuksen, josta myönteinen lausunto on annettu.”

Lisätään IV lukuun 15 a artikla seuraavasti:

”15 a artikla

Jäsenvaltioiden välinen tietojen ja asiantuntemuksen vaihto

Jäsenvaltioita kehotetaan vaihtamaan jäsenvaltioiden johtoryhmässä käytettävissä olevia tietoja ja asiantuntemusta, jotta voidaan ohjata ERN-verkostojen kehittämistä, antaa opastusta verkostoille ja jäsenvaltioille ja neuvoa komissiota verkostojen perustamiseen liittyvissä asioissa.”

Lisätään 16 a artikla seuraavasti:

”16 a artikla

Kliinisen potilashoidon asiantuntijajärjestelmä

1. Perustetaan kliinisen potilashoidon asiantuntijajärjestelmä, jäljempänä ”CPMS-järjestelmä”, jonka kautta terveydenhuollon tarjoajat, joilla on CPMS-järjestelmän käyttöoikeus, voivat sähköisesti vaihtaa potilaiden henkilötietoja ERN-verkostojen puitteissa.

2. CPMS-järjestelmässä on oltava komission tarjoama turvallinen tietotekninen väline, jonka avulla voidaan vaihtaa ja säilyttää potilastietoja ja viestiä tosi- ja oikea-aikaisesti potilastapauksista ERN-verkostojen puitteissa.

3. Järjestelmässä on oltava muiden muassa lääketieteellisessä kuvantamisessa käytettävä näyttölaite, tietojen raportointivalmiudet ja mukautetut tietoryhmät sekä liitteen I mukaisesti integroidut riittävät tietosuojatakeet.”

Lisätään 16 b artikla seuraavasti:

”16 b artikla

CPMS-järjestelmässä käsiteltävät henkilötiedot

1. Potilaiden henkilötietojen, jotka koostuvat potilaan nimestä, sukupuolesta, syntymäajasta ja -paikasta sekä muista diagnosoinnin ja hoidon kannalta tarpeellisista henkilötiedoista, vaihtamisen ja käsittelyn ERN-verkostoissa on tapahduttava yksinomaan CPMS-järjestelmän kautta. Käsittelyn on tapahduttava ainoastaan potilasasiakirjojen lääketieteellistä arviointia koskevan yhteistyön helpottamiseksi diagnosointia ja hoitoa varten, tietojen syöttämiseksi harvinaisia tai esiintymistiheydeltään alhaisia monitekijäisiä sairauksia koskeviin rekistereihin tai muihin tietokantoihin, jotka palvelevat tieteellistä tutkimusta taikka kliinisiä tai terveyspoliittisia tarkoituksia, sekä yhteydenottoihin, joilla haetaan mahdollisia osallistujia tieteellisiin tutkimustoimiin. Käsittelyn perustaksi tarvitaan liitteen IV mukaisesti saatu suostumus.

2. Komission katsotaan toimivan rekisterinpitäjänä, joka vastaa käyttöoikeuksien hallinnointiin liittyvästä henkilötietojen käsittelystä, ja näiden tietojen käsittelyssä se käyttää perustana sellaisten henkilöiden antamaa nimenomaista suostumusta, jotka terveydenhuollon tarjoajat ovat nimenneet käyttäjiksi ja joille asianomainen ERN-verkosto on antanut hyväksynnän seuraavien varmistamiseksi:

a)	asianomaisille henkilöille annetaan käyttöoikeudet,

b)	asianomaiset henkilöt voivat käyttää oikeuksiaan ja täyttää velvollisuutensa, ja

c)	komissio voi täyttää velvollisuutensa rekisterinpitäjänä.

3. Komissiolla ei saa olla pääsyä potilaiden henkilötietoihin, ellei se ole ehdottoman välttämätöntä sen vuoksi, että komissio voi täyttää velvoitteensa yhteisrekisterinpitäjänä.

4. Pääsy CPMS-järjestelmässä oleviin potilaiden henkilötietoihin on oltava vain henkilöillä, jotka ERN-verkostot ovat auktorisoineet ja jotka kuuluvat sellaisiin terveydenhuollon tarjoajien henkilöstöryhmiin, joilla on CPMS-järjestelmän käyttöoikeus, tai jotka ovat kytköksissä terveydenhuollon tarjoajaan.

5. Potilaan nimi ja syntymäpaikka ja tarkka syntymäaika on CPMS-järjestelmässä salattava ja pseudonymisoitava. Muut diagnoosin ja hoidon kannalta tarpeelliset henkilötiedot on pseudonymisoitava. Muita terveydenhuollon tarjoajia edustavat CPMS-järjestelmän käyttäjät saavat saada käyttöönsä vain pseudonymisoituja tietoja paneelikeskusteluja ja potilastiedostojen arviointia varten.

6. Komissio huolehtii henkilötietojen siirron ja säilytyksen turvallisuudesta.

7. Terveydenhuollon tarjoajien, joilla on CPMS-järjestelmän käyttöoikeus, on poistettava tarpeettomiksi käyneet tiedot. Potilaiden henkilötietoja saa säilyttää vain niin kauan kuin se on tarpeellista potilaan hoidon, taudinmäärityksen sekä sen kannalta, että eurooppalaisessa osaamisverkostossa voidaan huolehtia hoidon järjestämisestä potilaiden perheenjäsenille. Kunkin terveydenhuollon tarjoajan, jolla on CPMS-järjestelmän käyttöoikeus, on vähintään viidentoista vuoden välein tarkasteltava uudelleen tarvetta säilyttää niitä potilastietoja, joiden osalta se toimii rekisterinpitäjänä.

8. Komissio ja ne terveydenhuollon tarjoajat, joilla on CPMS-järjestelmän käyttöoikeus, testaavat ja arvioivat säännöllisesti niiden teknisten ja organisatoristen toimenpiteiden tehokkuuden, joilla varmistetaan CPMS-järjestelmässä tapahtuvan henkilötietojen käsittelyn turvallisuus.”

Lisätään 16 c artikla seuraavasti:

”16 c artikla

CPMS-järjestelmän kautta käsiteltäviä potilaiden henkilötietoja koskeva yhteinen rekisterinpito

1. Kukin CPMS-järjestelmässä potilastietoja käsittelevä terveydenhuollon tarjoaja ja komissio toimivat näiden tietojen käsittelystä CPMS-järjestelmässä vastaavina yhteisrekisterinpitäjinä.

2. Edellä olevan 1 kohdan soveltamiseksi jaetaan vastuualueet yhteisten rekisterinpitäjien kesken liitteen III mukaisesti.

3. Kunkin yhteisrekisterinpitäjän on noudatettava siihen sovellettavaa unionin oikeutta tai kansallista lainsäädäntöä.”

8)	Lisätään liite III tämän päätöksen liitteen I mukaisesti.

9)	Lisätään liite IV tämän päätöksen liitteen II mukaisesti.

2 artikla

Tämä päätös tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

Tehty Brysselissä 26 päivänä heinäkuuta 2019.

Komission puolesta

Puheenjohtaja

Jean-Claude JUNCKER

(1) EUVL L 88, 4.4.2011, s. 45.

(2) Komission täytäntöönpanopäätös 2014/287/EU, annettu 10 päivänä maaliskuuta 2014, eurooppalaisten osaamisverkostojen ja niiden jäsenten perustamista ja arvioimista sekä tällaisten verkostojen perustamista ja arvioimista koskevan tiedon ja asiantuntemuksen vaihdon helpottamista koskevista perusteista (EUVL L 147, 17.5.2014, s. 79).

(3) Komission delegoitu päätös 2014/286/EU, annettu 10 päivänä maaliskuuta 2014, perusteista ja edellytyksistä, jotka eurooppalaisten osaamisverkostojen ja niiden jäseneksi hakevien terveydenhuollon tarjoajien on täytettävä (EUVL L 147, 17.5.2014, s. 71).

(4) Ks. delegoidun päätöksen 2014/286/EU johdanto-osan 14 kappale ja liitteessä I olevan 7 kohdan c alakohta sekä 10. lokakuuta 2017 annettu jäsenvaltioiden johtoryhmän lausuma, joka on saatavilla osoitteessa https://ec.europa.eu/health/sites/health/files/ern/docs/boms_affiliated_partners_en.pdf.

(5) Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1).

(6) Euroopan parlamentin ja neuvoston asetus (EU) 2018/1725, annettu 23 päivänä lokakuuta 2018, luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta (EUVL L 295, 21.11.2018, s. 39).

LIITE I

”LIITE III

VASTUUALUEIDEN JAKAMINEN YHTEISREKISTERINPITÄJIEN KESKEN

Komissio vastaa seuraavista:

i)	Se perustaa CPMS-järjestelmän ja huolehtii sen toiminnasta ja hallinnosta.

ii)

Se tarjoaa terveydenhuollon tarjoajille tarvittaessa teknisen välineen, jotta ne voivat antaa potilaille mahdollisuuden käyttää oikeuksiaan CPMS-järjestelmän kautta asetuksen (EU) 2018/1725 mukaisesti sekä vastata rekisteröityjen pyyntöihin ja toteuttaa ne, kun sitä sovellettavassa lainsäädännössä edellytetään.

iii)	Se varmistaa, että CPMS-järjestelmässä noudatetaan komission viestintä- ja tietojärjestelmiin sovellettavia vaatimuksia (1).

iv)	Se määrittelee ja toteuttaa teknisen välineen, jonka avulla potilaat voivat käyttää oikeuksiaan asetuksen (EU) 2018/1725 mukaisesti.

v)	Se ilmoittaa terveydenhuollon tarjoajille mahdollisista henkilötietojen tietoturvaloukkauksista CPMS-järjestelmässä.

vi)	Se siirtää henkilötietokokonaisuuksia CPMS-järjestelmästä, jos henkilötietojen käsittelijä vaihtuu.

vii)	Se kartoittaa ne henkilöstöryhmät ja muut henkilöt, joille voidaan myöntää CPMS-järjestelmän käyttöoikeus ja jotka ovat kytköksissä sellaiseen terveydenhuollon tarjoajaan, jolla on CPMS-järjestelmän käyttöoikeus.

viii)

Se varmistaa, että potilaiden nimi ja syntymäpaikka (ellei tarpeen diagnosoinnin ja hoidon vuoksi) ja tarkka syntymäaika salataan ja pseudonymisoidaan ja että muut diagnosointiin ja hoitoon tarvittavat tiedot pseudonymisoidaan CPMS-järjestelmässä

ix)	Se toteuttaa asianmukaiset suojatoimet, joilla voidaan varmistaa, että potilaiden henkilötietojen käsittely tapahtuu CPMS-järjestelmässä turvallisesti ja luottamuksellisesti.

Kukin terveydenhuollon tarjoaja, jolla on CPMS-järjestelmän käyttöoikeus, vastaa seuraavista:

i)	Se valitsee potilaat, joiden henkilötietoja käsitellään CPMS-järjestelmän kautta.

ii)	Se kerää ja ylläpitää nimenomaiset, tietoiset, vapaaehtoiset ja erityiset suostumukset niiltä potilailta, joiden tietoja käsitellään CPMS-järjestelmän kautta; tässä on noudatettava liitteessä IV vahvistettuja suostumuslomakkeeseen sovellettavia pakollisia vähimmäisvaatimuksia.

iii)

Se toimii potilaidensa yhteyspisteenä, myös näiden käyttäessä oikeuksiaan, vastaa potilaiden tai heidän edustajiensa pyyntöihin ja varmistaa, että potilaat, joiden tietoja käsitellään CPMS-järjestelmän kautta, pystyvät käyttämään oikeuksiaan tietosuojalainsäädännön mukaisesti, käyttäen tähän tarkoitukseen tarvittaessa komission 1 kohdan ii alakohdan mukaisesti tarjoamaa teknistä välinettä.

iv)	Se tarkastelee vähintään viidentoista vuoden välein, onko potilaiden tiettyjen henkilötietojen käsittely CPMS-järjestelmän kautta tarpeellista.

v)	Se varmistaa, että asianomaisen terveydenhuollon tarjoajan tekemä potilaiden henkilötietojen käsittely CPMS-järjestelmän ulkopuolella tapahtuu turvallisesti ja luottamuksellisesti, kun näiden tietojen käsittely liittyy potilaiden henkilötietojen käsittelyyn CPMS-järjestelmän kautta.

vi)

Se ilmoittaa mahdollisista henkilötietojen tietoturvaloukkauksista, jotka liittyvät potilastietojen käsittelyyn CPMS-järjestelmän kautta, komissiolle, toimivaltaisille valvontaviranomaisille ja tarvittaessa potilaille asetuksen (EU) 2016/679 33 ja 34 artiklan mukaisesti tai jos komissio sitä pyytää.

vii)

Se kartoittaa tässä liitteessä olevan 1 kohdan vii alakohdassa tarkoitettujen käyttöoikeusperusteiden mukaisesti ne henkilökuntansa jäsenet ja muut niihin kytköksissä olevat henkilöt, joille on myönnettävä pääsy potilaiden henkilötietoihin CPMS-järjestelmässä, ja ilmoittaa nämä henkilöt komissiolle.

viii)

Se huolehtii siitä, että ne sen henkilökunnan jäsenet ja muut niihin kytköksissä olevat henkilöt, joilla on pääsy potilaiden henkilötietoihin CPMS-järjestelmän kautta, saavat asianmukaisen koulutuksen sen varmistamiseksi, että he noudattavat tehtäviään suorittaessaan henkilötietosuojaan sovellettavia sääntöjä ja että heille asetetaan salassapitovelvollisuus asetuksen (EU) 2016/679 9 artiklan 3 kohdan mukaisesti.

”.

(1) Komission päätös (EU, Euratom) 2017/46, annettu 10 päivänä tammikuuta 2017, viestintä- ja tietojärjestelmien turvallisuudesta Euroopan komissiossa (EUVL L 6, 11.1.2017, s.40) sekä tietojärjestelmien turvallisuudesta Euroopan komissiossa annetun päätöksen (EU, Euratom) 2017/46 3, 5, 7, 8, 9, 10, 11, 12, 14 ja 15 artiklan täytäntöönpanosäännöistä 13 päivänä joulukuuta 2017 annettu komission päätös (C(2017) 8841 final).

LIITE II

”LIITE IV

Pakolliset vähimmäisvaatimukset suostumuslomakkeelle, joka CPMS-järjestelmän käyttöoikeudella varustettujen terveydenhuollon tarjoajien on toimitettava

Suostumuslomakkeessa on kuvattava potilaiden oikeuksien soveltamisesta rajatylittävässä terveydenhuollossa annetulla direktiivillä 2011/24/EU perustettujen eurooppalaisten osaamisverkostojen, jäljempänä ”ERN-verkostot”, suorittamaan tietojen käsittelyyn, sen muotoon ja sen tarkoitukseen sovellettava oikeusperusta ja lainmukaisuus. Lomakkeessa on annettava tietoja käsittelymuodoista ja rekisteröidyn niitä vastaavista sovellettavan tietosuojalainsäädännön mukaisista oikeuksista. Siinä on selostettava, että osaamisverkostojen jäsenet ovat pitkälle erikoistuneita terveydenhuollon tarjoajia ja että verkostojen tarkoituksena on antaa terveydenhuollon ammattilaisille mahdollisuus tehdä yhteistyötä tukeakseen potilaita, jotka kärsivät harvinaisista tai esiintymistiheydeltään alhaisista monitekijäisistä sairauksista tai sairaudentiloista ja jotka tarvitsevat pitkälle erikoistunutta terveydenhoitoa.

Suostumuslomakkeella on pyydettävä potilaalta nimenomainen suostumus siihen, että hänen henkilötietojaan jaetaan yhden tai useamman ERN-verkoston kesken siten, että tarkoituksena on ainoastaan parantaa potilaan mahdollisuuksia saada diagnoosi ja hoitoa ja laadukkaita terveydenhoitopalveluita. Sitä varten lomakkeessa on tehtävä selväksi seuraavat seikat:

Jos potilas antaa suostumuksensa, terveydenhuollon tarjoajat, joilla on oikeus käyttää CPMS-järjestelmää, voivat käsitellä hänen henkilötietojaan seuraavin edellytyksin:

i)	Potilaan nimeä, syntymäpaikkaa ja tarkkaa syntymäaikaa ei sisällytetä jaettuihin tietoihin. Potilaan tunnistustiedot korvataan yksilöllisellä tunnisteella, jonka perusteella häntä eivät voi tunnistaa ketkään muut kuin asianomainen terveydenhuollon tarjoaja (pseudonymisointi).

ii)

Jaettavissa olevia tietoja ovat vain ne, jotka ovat merkityksellisiä diagnosoinnin ja hoidon kannalta. Tällaisia tietoja voivat olla syntymäalue, asuinalue, sukupuoli, syntymävuosi ja -kuukausi, lääketieteelliset kuvat, laboratorioselosteet ja biologiset näytetiedot. Jakaa voidaan myös potilasta aiemmin hoitaneiden terveydenhuollon ammattilaisten kirjeitä ja raportteja.

iii)	Potilaan tietoja jaetaan turvallisen sähköisen tietojärjestelmän, kliinisen potilashoidon asiantuntijajärjestelmän (CPMS) kautta.

iv)	Pääsy potilastietoihin on vain terveydenhuollon ammattilaisilla ja muilla henkilöillä, jotka ovat kytköksissä tällaisiin terveydenhuollon tarjoajiin ja joilla on salassapitovelvollisuus ja oikeus päästä potilastietoihin verkostoissa.

v)	Terveydenhuollon ammattilaiset ja muut terveydenhuollon tarjoajiin kytköksissä olevat henkilöt, joilla on päästy potilastietoihin, voivat tehdä hakuja CPMS-järjestelmässä ja laatia raportteja vastaavien potilastapauksien tunnistamiseksi.

b)	Suostumuksen antamatta jättäminen ei vaikuta millään tavalla asianomaisen terveydenhuollon tarjoajan potilaalle antamaan hoitoon.

Suostumuslomakkeessa voidaan pyytää lisäksi potilaan suostumusta siihen, että heidän tietonsa syötetään harvinaisia tai esiintymistiheydeltään alhaisia monitekijäisiä sairauksia koskeviin rekistereihin tai muihin tietokantoihin, jotka palvelevat tieteellistä tutkimusta taikka kliinisiä tai toimintapoliittisia tarkoituksia. Jos suostumusta pyydetään tähän tarkoitukseen, suostumuslomakkeessa on kuvattava harvinaisten sairauksien rekisterien tai tietokantojen muoto ja tarkoitus sekä selitettävä seuraavat seikat:

Jos potilas antaa suostumuksensa, terveydenhuollon tarjoajat, joilla on oikeus käyttää CPMS-järjestelmää, voivat käsitellä hänen henkilötietojaan seuraavin edellytyksin:

i)	Järjestelmässä jaetaan vain potilaan lääketieteellisen tilan kannalta merkityksellisiä tietoja.

ii)	Terveydenhuollon ammattilaiset ja muut terveydenhuollon tarjoajiin kytköksissä olevat henkilöt, joilla on päästy potilastietoihin, voivat tehdä hakuja CPMS-järjestelmässä ja laatia raportteja vastaavien potilastapauksien tunnistamiseksi.

b)	Suostumuksen antamatta jättäminen ei vaikuta millään tavalla asianomaisen terveydenhuollon tarjoajan potilaalle antamaan hoitoon, ja verkosto joka tapauksessa tarjoaa potilaalle hänen pyynnöstään diagnooseihin ja hoitoon liittyviä neuvoja.

Suostumuslomakkeessa voidaan pyytää lisäksi potilaan suostumusta siihen, että häneen voi ottaa yhteyttä sellainen verkoston jäsen, joka katsoo, että potilas voisi soveltua osallistumaan tieteellisen tutkimustoimeen taikka tiettyyn tieteelliseen tutkimushankkeeseen tai sellaisen osiin. Jos suostumusta pyydetään tähän tarkoitukseen, suostumuslomakkeessa on kerrottava, että tässä vaiheessa annettu suostumus yhteydenottoon tieteellisen tutkimuksen tarkoituksessa ei merkitse suostumusta siihen, että potilaan tietoja käytetään tiettyyn tieteelliseen tutkimustoimeen, eikä sitä, että potilaaseen otetaan joka tapauksessa yhteyttä tietyn tieteellisen tutkimushankkeen tiimoilta tai että hän osallistuu sellaiseen. Lisäksi on kerrottava seuraavat seikat:

Jos potilas antaa suostumuksensa, terveydenhuollon tarjoajat, joilla on oikeus käyttää CPMS-järjestelmää, voivat käsitellä hänen henkilötietojaan seuraavin edellytyksin:

i)	Terveydenhuollon ammattilaiset ja muut terveydenhuollon tarjoajiin kytköksissä olevat henkilöt, joilla on pääsy potilastietoihin, voivat tehdä hakuja CPMS-järjestelmässä ja laatia raportteja sellaisten potilaiden löytämiseksi, jotka soveltuisivat osallistumaan tieteelliseen tutkimukseen.

ii)

Jos potilaan sairaudella tai sairaudentilalla katsotaan olevan merkitystä tietyn tieteellisen tutkimushankkeen kannalta, potilaaseen voidaan ottaa tämän tieteellisen tutkimushankkeen tiimoilta yhteyttä ja pyytää hänen suostumustaan siihen, että hänen tietojaan käytetään kyseiseen tieteelliseen tutkimushankkeeseen.

b)	Suostumuksen antamatta jättäminen ei vaikuta millään tavalla asianomaisen terveydenhuollon tarjoajan potilaalle antamaan hoitoon, ja verkosto joka tapauksessa tarjoaa potilaalle hänen pyynnöstään diagnooseihin ja hoitoon liittyviä neuvoja.

Suostumuslomakkeessa on selitettävä potilaan oikeudet, jotka liittyvät hänen antamaansa henkilötietojen jakamista koskevaan suostumukseen, ja annettava erityisesti seuraavat tiedot:

a)	Potilaalla on oikeus antaa suostumus tai olla antamatta sitä, eikä tämä vaikuta hänen hoitoonsa.

b)	Potilas voi milloin tahansa peruuttaa aiemmin antamansa suostumuksen.

c)	Potilaalla on oikeus tietää, mitä tietoja verkostossa jaetaan, oikeus päästä tutustumaan hänestä pidettyihin tietoihin ja oikeus pyytää mahdollisten virheiden korjaamista.

d)	Potilas voi pyytää henkilötietojensa käyttömahdollisuuden sulkemista tai tietojen poistamista, ja hänellä on oikeus tietojen siirrettävyyteen.

Suostumuslomakkeessa on kerrottava potilaalle, että terveydenhuollon tarjoaja säilyttää henkilötietoja vain niin kauan kuin on tarpeen niihin tarkoituksiin, joihin potilas on antanut suostumuksensa, ja että tarjoaja tarkastelee vähintään viidentoista vuoden välein, onko tietyn potilaan henkilötietoja tarpeen säilyttää CPMS-järjestelmässä.

Suostumuslomakkeessa on ilmoitettava potilaalle rekisterinpitäjien henkilöllisyys ja yhteystiedot ja täsmennettävä selkeästi, että kun potilas haluaa käyttää oikeuksiaan, yhteyspisteenä on asianomainen terveydenhuollon tarjoaja, jolla on oikeus käyttää CPMS-järjestelmää. Lisäksi on annettava tietosuojavastaavien yhteystiedot ja soveltuvissa tapauksissa kerrottava tietosuojaan liittyvistä muutoksenhakukeinoista ja annettava kansallisen tietosuojaviranomaisen yhteystiedot.

Suostumuslomakkeeseen on kirjattava täsmällisesti, yksilöidysti ja yksiselitteisesti erikseen erilliset suostumukset, jotka koskevat tietojen jakamisen kolmea eri muotoa:

a)	Suostumus on osoitettava toteuttamalla selkeästi suostumusta ilmaiseva toimi esimerkiksi rastittamalla asiaa koskeva ruutu ja allekirjoittamalla lomake.

b)	Lomakkeessa on esitettävä molemmat vaihtoehdot (suostumuksen antaminen ja epääminen)

”.