EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 52022PC0197
Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the European Health Data Space
Voorstel voor een VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD betreffende de Europese ruimte voor gezondheidsgegevens
Voorstel voor een VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD betreffende de Europese ruimte voor gezondheidsgegevens
COM/2022/197 final
EUROPESE COMMISSIE
Straatsburg, 3.5.2022
COM(2022) 197 final
2022/0140(COD)
Voorstel voor een
VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD
betreffende de Europese ruimte voor gezondheidsgegevens
(Voor de EER relevante tekst)
{SEC(2022) 196 final} - {SWD(2022) 130 final} - {SWD(2022) 131 final} - {SWD(2022) 132 final}
TOELICHTING
1.ACHTERGROND VAN HET VOORSTEL
•Motivering en doel van het voorstel
In de Europese datastrategie 1 werd voorgesteld domeinspecifieke gemeenschappelijke Europese gegevensruimten op te zetten. De Europese ruimte voor gezondheidsgegevens (European Health Data Space, “EHDS”) is het eerste voorstel voor dergelijke domeinspecifieke gemeenschappelijke Europese gegevensruimten. Met de EHDS zullen gezondheidsspecifieke uitdagingen op het gebied van de toegang tot en de uitwisseling van elektronische gezondheidsgegevens worden aangepakt; zij is een van de prioriteiten van de Europese Commissie op het gebied van gezondheid 2 en zal een integraal onderdeel vormen van de opbouw van een Europese gezondheidsunie. Met de EHDS zal een gemeenschappelijke ruimte worden gecreëerd waar natuurlijke personen gemakkelijk zeggenschap over hun elektronische gezondheidsgegevens kunnen uitoefenen. Zij zal onderzoekers, innovatoren en beleidsmakers ook in staat stellen deze elektronische gezondheidsgegevens te gebruiken op een betrouwbare en veilige manier die de privacy waarborgt.
Momenteel ondervinden natuurlijke personen moeilijkheden bij de uitoefening van hun rechten met betrekking tot hun elektronische gezondheidsgegevens, onder meer wanneer zij in hun eigen of een ander land hun elektronische gezondheidsgegevens willen inzien en doorgeven. Dit ondanks de bepalingen van Verordening (EU) 2016/679 (“de AVG”) 3 , waarin de rechten van natuurlijke personen met betrekking tot hun gegevens, met inbegrip van gezondheidsgegevens, worden gewaarborgd. Zoals blijkt uit de studie ter beoordeling van de regels van de EU-lidstaten inzake gezondheidsgegevens in het licht van de AVG 4 , leidt de ongelijke uitvoering en interpretatie van de AVG door de lidstaten tot aanzienlijke rechtsonzekerheid, met belemmeringen voor het secundaire gebruik van elektronische gezondheidsgegevens tot gevolg. Hierdoor ontstaan dan ook bepaalde situaties waarin natuurlijke personen geen toegang hebben tot innovatieve behandelingen en beleidsmakers niet doeltreffend op een gezondheidscrisis kunnen reageren, omdat de toegang van onderzoekers, innovatoren, regelgevers en beleidsmakers tot de noodzakelijke elektronische gezondheidsgegevens wordt belemmerd. Bovendien worden de fabrikanten van digitale gezondheidsproducten en de aanbieders van digitale gezondheidsdiensten die in de ene lidstaat werkzaam zijn, wegens de verschillende normen en de beperkte interoperabiliteit met belemmeringen en extra kosten geconfronteerd wanneer zij in een andere lidstaat actief worden.
Voorts heeft de COVID-19-pandemie nog duidelijker aangetoond hoe belangrijk elektronische gezondheidsgegevens zijn voor de ontwikkeling van beleid als reactie op noodsituaties op gezondheidsgebied. Tevens is gebleken dat het absoluut noodzakelijk is de tijdige toegang tot persoonlijke elektronische gezondheidsgegevens te waarborgen in verband met de paraatheid voor en de respons op gezondheidsbedreigingen, maar ook met het oog op behandelingen, onderzoek, innovatie, patiëntveiligheid, regelgeving, beleidsvorming, statistieken of gepersonaliseerde geneeskunde. De Europese Raad heeft erkend dat er dringend vooruitgang moet worden geboekt ten aanzien van en prioriteit moet worden gegeven aan de EHDS.
De algemene doelstelling is te waarborgen dat natuurlijke personen in de EU in de praktijk meer zeggenschap over hun elektronische gezondheidsgegevens hebben. Ook wordt ernaar gestreefd te zorgen voor een rechtskader dat bestaat uit betrouwbare governancemechanismen van de EU en de lidstaten en uit een beveiligde verwerkingsomgeving. Hierdoor zouden onderzoekers, innovatoren, beleidsmakers en regelgevers op EU- en lidstaatniveau toegang hebben tot relevante elektronische gezondheidsgegevens teneinde op betere diagnoses, betere behandelingen en beter welzijn van natuurlijke personen aan te sturen, en zou beter en weloverwogen beleid tot stand komen. Het doel is voorts door harmonisatie van de regels bij te dragen tot een echte eengemaakte markt voor digitale gezondheidsproducten en -diensten en zo de efficiëntie van de gezondheidszorgstelsels te verbeteren.
In artikel 14 van Richtlijn 2011/24/EU betreffende de toepassing van de rechten van patiënten bij grensoverschrijdende gezondheidszorg (“de richtlijn grensoverschrijdende gezondheidszorg”) 5 was voor het eerst in de EU-wetgeving sprake van e-gezondheid. Zoals is geconstateerd in de effectbeoordeling bij deze EHDS-verordening, gaat het bij de desbetreffende bepalingen van de richtlijn grensoverschrijdende gezondheidszorg echter om facultatieve bepalingen. Dit verklaart ten dele waarom dit aspect van de richtlijn in beperkte mate doeltreffend is gebleken bij het ondersteunen van de zeggenschap van de natuurlijke personen over hun persoonlijke elektronische gezondheidsgegevens op nationaal en grensoverschrijdend niveau en zeer weinig effect heeft gesorteerd wat het secundaire gebruik van elektronische gezondheidsgegevens betreft. De COVID-19-pandemie heeft de dringende behoefte aan en het grote potentieel voor interoperabiliteit en harmonisatie aan het licht gebracht, voortbouwend op de bestaande technische expertise op nationaal niveau. Tegelijkertijd zijn digitale gezondheidsproducten en -diensten, waaronder telegeneeskunde, een intrinsiek onderdeel van de verstrekking van gezondheidszorg geworden.
De evaluatie van de digitale aspecten van de richtlijn grensoverschrijdende gezondheidszorg had betrekking op de COVID-19-pandemie en Verordening (EU) 2021/953 betreffende het digitale EU-covidcertificaat 6 . Deze verordening, die een beperkte geldigheidsduur heeft, handelt over de beperkingen van het vrije verkeer die zijn opgelegd wegens COVID-19. Uit de evaluatie blijkt dat wettelijke bepalingen ter ondersteuning van harmonisatie en een gemeenschappelijke EU-benadering van het gebruik van elektronische gezondheidsgegevens voor specifieke doeleinden (in tegenstelling tot alleen vrijwillige acties), en EU-inspanningen om juridische, semantische en technische interoperabiliteit te waarborgen 7 , voordelen kunnen bieden. Zij kunnen met name het vrij verkeer van natuurlijke personen aanzienlijk ondersteunen en de EU promoten als mondiale normsteller op het gebied van digitale gezondheid.
De EHDS zal ook verschillende soorten elektronische gezondheidsgegevens (onder meer elektronische patiëntendossiers, genomica-gegevens, patiëntenbestanden enz.) makkelijker uitwisselbaar en toegankelijker maken. Dit zal niet alleen de gezondheidszorg ondersteunen (bij het verlenen van gezondheidszorg betrokken diensten en personeel of het primaire gebruik van elektronische gezondheidsgegevens), maar ook gezondheidsonderzoek, innovatie, beleidsvorming, regelgeving en gepersonaliseerde geneeskunde (secundair gebruik van elektronische gezondheidsgegevens). Er zullen eveneens mechanismen voor gegevensaltruïsme in de gezondheidssector worden opgezet. De EHDS zal helpen bij het verwezenlijken van de visie van de Commissie voor de digitale transformatie van de EU in de periode tot 2030, bij het bereiken van de doelstelling van het digitale kompas 8 om alle natuurlijke personen toegang tot hun medische dossiers te bieden en bij de Verklaring over digitale beginselen 9 .
•Verenigbaarheid met bestaande bepalingen op het beleidsterrein
De grensoverschrijdende uitwisseling van elektronische gezondheidsgegevens komt tot op zekere hoogte aan bod in de richtlijn grensoverschrijdende gezondheidszorg, met name in artikel 14 over het e-gezondheidsnetwerk. Het netwerk is in 2011 opgezet als een vrijwillig orgaan op Europees niveau, dat bestaat uit deskundigen op het gebied van digitale gezondheidszorg uit alle lidstaten plus IJsland en Noorwegen. Zij houden zich bezig met de bevordering van de EU-brede interoperabiliteit van elektronische gezondheidsgegevens en werken aan de ontwikkeling van richtsnoeren, zoals semantische en technische normen, datasets en beschrijvingen van infrastructuren. Bij de evaluatie van de digitale aspecten van de richtlijn grensoverschrijdende gezondheidszorg werd gewezen op de vrijwillige aard van deze werkzaamheden en de richtsnoeren. Dit verklaart waarom zij een beperkt effect hebben gehad op de ondersteuning van de toegang van natuurlijke personen tot en hun zeggenschap over hun elektronische gezondheidsgegevens. De EHDS heeft tot doel deze kwesties aan te pakken.
De EHDS bouwt voort op wetgeving zoals de AVG, Verordening (EU) 2017/745 betreffende medische hulpmiddelen (de verordening medische hulpmiddelen) 10 , Verordening (EU) 2017/746 betreffende medische hulpmiddelen voor in-vitrodiagnostiek (de verordening in-vitrodiagnostiek) 11 , de voorgestelde verordening inzake artificiële intelligentie 12 , de voorgestelde datagovernanceverordening 13 , de voorgestelde dataverordening 14 , Richtlijn 2016/1148 betreffende de beveiliging van netwerk- en informatiesystemen (de NIS-richtlijn) 15 en de richtlijn grensoverschrijdende gezondheidszorg.
Aangezien een aanzienlijke hoeveelheid elektronische gegevens die in het kader van de EHDS kunnen worden geraadpleegd, persoonlijke gezondheidsgegevens betreffende natuurlijke personen in de EU zijn, is het voorstel zo opgezet dat het niet alleen volledig in overeenstemming met de AVG is, maar ook met Verordening (EU) 2018/1725 (de EU-gegevensbeschermingsverordening) 16 . De AVG voorziet in het recht op toegang tot, overdraagbaarheid van en toegankelijkheid tot/overdracht van gegevens aan een nieuwe verwerkingsverantwoordelijke. Ook worden daarin gegevens in verband met gezondheid aangewezen als een “speciale categorie van gegevens”, die bijzondere bescherming krijgt door middel van de vaststelling van aanvullende waarborgen voor de verwerking ervan. De EHDS ondersteunt de tenuitvoerlegging van de in de AVG verankerde rechten zoals die op elektronische gezondheidsgegevens worden toegepast. Dit geldt ongeacht de lidstaat, het soort zorgaanbieder, de bronnen van elektronische gezondheidsgegevens of de aansluiting van de natuurlijke persoon. De EHDS bouwt voort op de mogelijkheden die de AVG biedt voor EU-wetgeving inzake het gebruik van persoonlijke elektronische gezondheidsgegevens voor medische diagnose, de verstrekking van gezondheidszorg of medische behandeling of het beheer van gezondheidszorgstelsels en -diensten. Zij staat ook toe dat elektronische gezondheidsgegevens worden gebruikt voor wetenschappelijk of historisch onderzoek, voor officiële statistische doeleinden en met het oog op het algemeen belang in verband met de volksgezondheid, zoals voor de bescherming tegen ernstige grensoverschrijdende bedreigingen van de gezondheid of voor het waarborgen van hoge kwaliteits- en veiligheidsnormen voor de gezondheidszorg en voor geneesmiddelen of medische hulpmiddelen. De EHDS voorziet verder in bepalingen ter bevordering van de interoperabiliteit en versterkt het recht van natuurlijke personen op gegevensoverdraagbaarheid in de gezondheidssector.
In het kader van de Europese gezondheidsunie zal de EHDS de werkzaamheden van de EU-autoriteit voor paraatheid en respons inzake noodsituaties op gezondheidsgebied (HERA) 17 ondersteunen en zal zij bijdragen aan het Europees kankerbestrijdingsplan 18 , de EU-missie inzake kanker 19 alsmede de farmaceutische strategie voor Europa 20 . De EHDS zal een juridische en technische omgeving creëren ter ondersteuning van de ontwikkeling van innovatieve geneesmiddelen en vaccins alsmede van medische hulpmiddelen en in-vitrodiagnostiek. Dit zal helpen noodsituaties op gezondheidsgebied te voorkomen, op te sporen en snel aan te pakken. Daarnaast zal de EHDS ertoe bijdragen het inzicht in en de preventie, vroegtijdige opsporing, diagnose, behandeling en monitoring van kanker te verbeteren, door middel van veilige grensoverschrijdende toegang tot gegevens en uitwisseling daarvan tussen zorgaanbieders, met inbegrip van kankergerelateerde gegevens van natuurlijke personen. Door veilige toegang tot een breed scala aan elektronische gezondheidsgegevens te bieden, zal de EHDS derhalve nieuwe mogelijkheden voor de preventie en de behandeling van ziekten van natuurlijke personen opleveren.
Het EHDS-voorstel bouwt ook voort op de vereisten die via de verordening medische hulpmiddelen en de voorgestelde verordening inzake artificiële intelligentie aan de software zijn gesteld. De software voor medische hulpmiddelen moet reeds worden gecertificeerd in het kader van de verordening medische hulpmiddelen, en op AI gebaseerde medische hulpmiddelen en andere AI-systemen moeten ook aan de vereisten van de verordening artificiële intelligentie voldoen zodra deze van kracht is. Er is echter een leemte in de regelgeving vastgesteld met betrekking tot informatiesystemen die op het gebied van de gezondheid worden gebruikt, ook wel systemen voor elektronische patiëntendossiers (“EPD-systemen”) genoemd. De nadruk ligt daarom op deze EPD-systemen, die bedoeld zijn om elektronische gezondheidsgegevens van natuurlijke personen op te slaan en te delen. Daarom worden in de EHDS essentiële vereisten opgenomen die specifiek voor de EPD-systemen gelden, om de interoperabiliteit en gegevensoverdraagbaarheid van dergelijke systemen te bevorderen, waardoor natuurlijke personen doeltreffender zeggenschap over hun elektronische gezondheidsgegevens zouden kunnen uitoefenen. Wanneer de fabrikanten van medische hulpmiddelen en AI-systemen met een hoog risico verklaren dat er sprake is van interoperabiliteit met de EPD-systemen, moeten zij bovendien aan de essentiële vereisten inzake interoperabiliteit uit hoofde van de EHDS-verordening voldoen.
Bij het bieden van een kader voor het secundaire gebruik van elektronische gezondheidsgegevens bouwt de EHDS voort op de voorgestelde datagovernanceverordening en de voorgestelde dataverordening. Als horizontaal kader zijn in de datagovernanceverordening uitsluitend algemene voorwaarden voor het secundaire gebruik van overheidsgegevens vastgelegd, zonder dat daadwerkelijk een recht op het secundaire gebruik van dergelijke gegevens in het leven wordt geroepen. De voorgestelde dataverordening versterkt de overdraagbaarheid van bepaalde door gebruikers gegenereerde gegevens, die ook gezondheidsgegevens kunnen omvatten, maar bevat geen regels voor alle gezondheidsgegevens. Derhalve is de EHDS een aanvulling op deze voorgestelde wetgevingshandelingen en bevat zij specifiekere regels voor de gezondheidssector. Deze specifieke regels hebben betrekking op de uitwisseling van elektronische gezondheidsgegevens en kunnen gevolgen hebben voor de aanbieders van gegevensuitwisselingsdiensten, de formaten waarmee de overdraagbaarheid van gezondheidsgegevens wordt gewaarborgd, de samenwerkingsregels voor gegevensaltruïsme op het gebied van gezondheid en de complementariteit met betrekking tot de toegang tot private gegevens voor secundair gebruik.
De NIS-richtlijn bevat de eerste EU-brede regels inzake cyberbeveiliging. Deze richtlijn wordt momenteel herzien (het “NIS2-voorstel” 21 ) en is het voorwerp van onderhandelingen met de medewetgevers. De richtlijn beoogt het gemeenschappelijke ambitieniveau van het regelgevingskader voor cyberbeveiliging in de EU te verhogen door middel van een breder toepassingsgebied, duidelijkere regels en sterkere toezichtinstrumenten. Het voorstel van de Commissie behandelt deze kwesties binnen drie pijlers: 1) capaciteit van de lidstaten; 2) risicomanagement; 3) samenwerking en informatie-uitwisseling. De exploitanten in het gezondheidszorgstelsel blijven onder het toepassingsgebied vallen. De EHDS vergroot de veiligheid van en het vertrouwen in het technische kader waarmee de uitwisseling van elektronische gezondheidsgegevens voor zowel primair als secundair gebruik moet worden vergemakkelijkt.
Ook zal naar verwachting in 2022 een voorstel voor een cyberweerbaarheidsverordening door de Commissie worden goedgekeurd, met als doel horizontale cyberbeveiligingsvereisten voor digitale producten en ondersteunende diensten vast te stellen. De beoogde reeks essentiële cyberbeveiligingsvereisten die in de cyberweerbaarheidsverordening moeten worden vastgesteld, zal worden toegepast op alle sectoren en categorieën van digitale producten waarvan de producenten en verkopers aan die vereisten moeten voldoen voordat zij de producten in de handel mogen brengen of, in voorkomend geval, wanneer zij die producten in gebruik nemen, en wel gedurende de hele levenscyclus van de producten. Het zullen algemene en technologieneutrale vereisten zijn. Met name wat de EPD-systemen betreft, voorziet de EHDS op bepaalde gebieden, zoals de toegangscontrole, in specifiekere beveiligingsvereisten.
De EHDS bouwt voort op het nieuwe voorstel inzake de Europese digitale identiteit 22 met de verbeteringen op het gebied van elektronische identificatie, waaronder de portemonnee voor digitale identiteit. Dit zou betere mechanismen voor de online- en offline-identificatie van natuurlijke personen en gezondheidswerkers kunnen opleveren.
•Verenigbaarheid met andere beleidsterreinen van de Unie
Dit voorstel is in overeenstemming met de overkoepelende doelstellingen van de EU. Hierbij gaat het onder meer om het tot stand brengen van een sterkere Europese gezondheidsunie, het uitvoeren van de Europese pijler van sociale rechten, het verbeteren van de werking van de interne markt, het bevorderen van synergieën met de EU-agenda voor de digitale interne markt en het uitvoering geven aan een ambitieuze onderzoeks- en innovatieagenda. Daarnaast zal het voorstel een belangrijke reeks elementen opleveren die bijdragen tot de oprichting van de Europese gezondheidsunie, doordat innovatie en onderzoek worden gestimuleerd en toekomstige gezondheidscrises beter worden aangepakt.
Het voorstel is verenigbaar met de prioriteiten van de Commissie om Europa klaar te maken voor het digitale tijdperk en een toekomstbestendige economie op te bouwen die werkt voor de mensen. Het maakt het ook mogelijk het potentieel van grensoverschrijdende regio’s als proefprojecten voor innovatieve oplossingen voor de Europese integratie te verkennen, zoals wordt voorgesteld in het verslag van de Commissie met de titel “EU-grensregio’s: levende laboratoria van de Europese integratie” 23 . Het voorstel ondersteunt het herstelplan van de Commissie, waarbij lering uit de COVID-19-pandemie wordt getrokken, en levert waar nodig voordelen van gemakkelijker toegankelijke elektronische gezondheidsgegevens op.
2.RECHTSGRONDSLAG, SUBSIDIARITEIT EN EVENREDIGHEID
•Rechtsgrondslag
Het voorstel is gebaseerd op de artikelen 16 en 114 van het Verdrag betreffende de werking van de Europese Unie (VWEU). Een dergelijke dubbele rechtsgrondslag is mogelijk indien wordt aangetoond dat met de maatregel tegelijkertijd meerdere onlosmakelijk met elkaar verbonden doelstellingen worden nagestreefd, zonder dat de ene secundair is ten opzichte van de andere, of slechts indirect ermee verband houdt. Dat is het geval voor het onderhavige voorstel, zoals hieronder wordt uiteengezet. De procedures die voor elke rechtsgrondslag zijn vastgesteld, zijn onderling verenigbaar.
Ten eerste beoogt artikel 114 VWEU de werking van de interne markt te verbeteren door middel van maatregelen voor de onderlinge aanpassing van de nationale voorschriften. Sommige lidstaten hebben wetgevende maatregelen genomen om de hierboven beschreven problemen aan te pakken, door nationale certificeringssystemen voor EPD-systemen in te voeren, terwijl andere dat niet hebben gedaan. Dit kan leiden tot versnippering van de wetgeving op de interne markt en tot uiteenlopende regels en praktijken in de EU. Dit zou ook kunnen leiden tot kosten voor ondernemingen die aan verschillende regelingen zouden moeten voldoen.
Artikel 114 VWEU is de passende rechtsgrondslag, aangezien het merendeel van de bepalingen van deze verordening tot doel heeft de werking van de interne markt en het vrij verkeer van goederen en diensten te verbeteren. Artikel 114, lid 3, VWEU schrijft in dit verband uitdrukkelijk voor dat bij harmonisering een hoog niveau van bescherming van de volksgezondheid moet worden gewaarborgd, daarbij in het bijzonder rekening houdend met alle nieuwe ontwikkelingen die op wetenschappelijke gegevens zijn gebaseerd. Deze rechtsgrondslag is derhalve ook passend wanneer een maatregel verband houdt met de bescherming van de volksgezondheid. Dit strookt eveneens volledig met artikel 168, waarin is bepaald dat in elk beleid van de Unie een hoog niveau van bescherming van de menselijke gezondheid moet worden verzekerd, met eerbiediging van de verantwoordelijkheid van de lidstaten voor de bepaling van hun gezondheidsbeleid alsmede voor de organisatie en de verstrekking van gezondheidsdiensten en geneeskundige verzorging.
Het wetgevingsvoorstel zal de EU in staat stellen te profiteren van de omvang van de interne markt, aangezien producten en diensten op basis van gezondheidsgegevens vaak worden ontwikkeld met behulp van elektronische gezondheidsgegevens uit verschillende lidstaten en later in de hele EU worden gecommercialiseerd.
De tweede rechtsgrondslag van dit voorstel is artikel 16 VWEU. De AVG biedt belangrijke waarborgen met betrekking tot de rechten van natuurlijke personen op hun gezondheidsgegevens. Zoals uiteengezet in punt 1, kunnen deze rechten in de praktijk echter niet worden geïmplementeerd om redenen van interoperabiliteit en beperkte harmonisatie van de op nationaal en EU-niveau toegepaste vereisten en technische normen. Bovendien maakt de reikwijdte van het recht op overdraagbaarheid in het kader van de AVG dit recht in de gezondheidssector minder doeltreffend 24 . Daarom moeten er aanvullende juridisch bindende bepalingen en waarborgen worden ingevoerd. Om te profiteren van de waarde van gezondheidsgegevens voor de samenleving moeten er ook specifieke vereisten en normen worden opgesteld die voortbouwen op de waarborgen die op het gebied van de elektronische verwerking van gezondheidsgegevens zijn voorzien. Bovendien beoogt het voorstel het gebruik van elektronische gezondheidsgegevens uit te breiden en tegelijkertijd de uit artikel 16 VWEU voortvloeiende rechten te versterken. In het algemeen brengt de EHDS de door de AVG geboden mogelijkheid voor EU-wetgeving voor verschillende doeleinden in de praktijk. Hierbij gaat het onder meer om medische diagnosticering, de verstrekking van gezondheidszorg of medische behandelingen of het beheer van gezondheidszorgstelsels en -diensten. Zij maakt het ook mogelijk elektronische gezondheidsgegevens te gebruiken met het oog op het algemeen belang in verband met de volksgezondheid, zoals voor de bescherming tegen ernstige grensoverschrijdende bedreigingen van de gezondheid of voor het waarborgen van hoge kwaliteits- en veiligheidsnormen voor de gezondheidszorg en voor geneesmiddelen of medische hulpmiddelen. Zij ondersteunt ook wetenschappelijk of historisch onderzoek en dient statistische doeleinden.
•Subsidiariteit
Het huidige voorstel heeft tot doel de gegevensstromen te harmoniseren om natuurlijke personen te helpen van de bescherming te profiteren en de voordelen van het vrij verkeer van elektronische gezondheidsgegevens, met name persoonsgegevens, te benutten. Het voorstel beoogt niet de wijze waarop de gezondheidszorg door de lidstaten wordt verstrekt, te reguleren.
Bij de evaluatie van de digitale aspecten van de richtlijn grensoverschrijdende gezondheidszorg is gekeken naar de huidige versnippering, verschillen en belemmeringen voor de toegang tot en het gebruik van elektronische gezondheidsgegevens. Hieruit is gebleken dat maatregelen van de lidstaten alleen niet volstaan en de snelle ontwikkeling en toepassing van digitale gezondheidsproducten en -diensten, onder meer op basis van artificiële intelligentie, in de weg kunnen staan.
In de bovengenoemde studie over de uitvoering van de AVG in de gezondheidssector wordt opgemerkt dat de verordening voorziet in uitgebreide rechten van natuurlijke personen op toegang tot en overdracht van hun gegevens, waaronder gezondheidsgegevens. Toch wordt de praktische uitvoering ervan gehinderd door de geringe interoperabiliteit in de gezondheidszorg, die tot dusver voornamelijk met instrumenten van zachte wetgeving is aangepakt. Dergelijke verschillen in lokale, regionale en nationale normen en specificaties kunnen de fabrikanten van digitale gezondheidsproducten en de aanbieders van digitale gezondheidsdiensten ook ervan weerhouden nieuwe markten te betreden, waar zij zich aan nieuwe normen moeten aanpassen. Dit wetgevingsvoorstel is dus bedoeld als aanvulling op de rechten en waarborgen waarin de AVG voorziet, zodat de doelstellingen ervan daadwerkelijk verwezenlijkt kunnen worden.
In dezelfde studie is onderzoek gedaan naar het uitgebreide gebruik van de facultatieve specificatiebepalingen uit hoofde van de AVG op nationaal niveau. Dit had gezorgd voor versnippering en problemen bij de toegang tot elektronische gezondheidsgegevens, zowel op nationaal niveau als tussen de lidstaten onderling. Dit had een uitwerking op de mate waarin onderzoekers, innovatoren, beleidsmakers en regelgevers in staat waren hun taken uit te oefenen of onderzoek te verrichten dan wel innovatieve activiteiten uit te voeren. Uiteindelijk was het schadelijk voor de Europese economie.
In het kader van de effectbeoordeling blijkt uit de evaluatie van artikel 14 van de richtlijn grensoverschrijdende gezondheidszorg dat de tot dusver gevolgde benaderingen – bestaande uit laagintensieve/zachte instrumenten, zoals richtsnoeren en aanbevelingen, ter ondersteuning van de interoperabiliteit – niet de gewenste resultaten hebben opgeleverd. Natuurlijke personen hebben nog steeds beperkte toegang tot en zeggenschap over hun persoonlijke elektronische gezondheidsgegevens, en de interoperabiliteit van de op gezondheidsgebied gebruikte informatiesystemen schiet aanzienlijk tekort. Bovendien hebben nationale benaderingen voor de aanpak van de problemen slechts een beperkte reikwijdte en wordt de EU-brede kwestie daarin niet volledig aangepakt. Momenteel is de grensoverschrijdende uitwisseling van elektronische gezondheidsgegevens nog steeds zeer beperkt, wat deels te verklaren is door de grote verscheidenheid aan normen voor elektronische gezondheidsgegevens die in verschillende lidstaten worden toegepast. Veel lidstaten kennen aanzienlijke nationale, regionale en lokale problemen op het gebied van interoperabiliteit en gegevensoverdraagbaarheid, wat de continuïteit van de zorg en efficiënte gezondheidszorgstelsels in de weg staat. Zelfs als de gezondheidsgegevens in elektronische vorm beschikbaar zijn, kunnen zij gewoonlijk niet worden meegenomen wanneer de natuurlijke persoon gebruikmaakt van de diensten van een andere zorgaanbieder. Met het EHDS-voorstel zullen deze problemen op EU-niveau worden aangepakt, doordat wordt voorzien in mechanismen om de op nationaal, regionaal en lokaal niveau toegepaste interoperabiliteitsoplossingen te verbeteren en de rechten van natuurlijke personen te versterken.
Daarom is EU-brede actie met de aangegeven inhoud en in de aangegeven vorm nodig om de grensoverschrijdende stroom van elektronische gezondheidsgegevens te stimuleren en een echte interne markt voor elektronische gezondheidsgegevens en digitale gezondheidsproducten en -diensten te bevorderen.
•Evenredigheid
Het doel van dit initiatief is maatregelen vast te stellen die nodig zijn om de belangrijkste doelstellingen te verwezenlijken. Met het voorstel wordt een faciliterend kader tot stand gebracht dat niet verder gaat dan wat nodig is om de doelstellingen te bereiken. Hiermee worden bestaande belemmeringen aangepakt om zo bij te dragen aan de verwezenlijking van de potentiële waarde van elektronische gezondheidsgegevens. Er wordt een kader vastgesteld dat versnippering tegengaat en de rechtsonzekerheid verkleint. Bij dit initiatief zijn de nationale autoriteiten betrokken, en het initiatief is gebaseerd op de werkzaamheden van de nationale autoriteiten; het streeft voorts naar een sterke betrokkenheid van de relevante belanghebbenden.
De voorgestelde verordening zal financiële en administratieve kosten meebrengen, die moeten worden gedragen door zowel op het niveau van de lidstaten als op dat van de EU middelen toe te wijzen. Uit de effectbeoordeling blijkt dat de beleidsoptie die de voorkeur heeft, de beste voordelen oplevert tegen de laagste kosten. De voorkeursoptie gaat niet verder dan wat nodig is om de doelstellingen van de Verdragen te verwezenlijken.
•Keuze van het instrument
Het voorstel heeft de vorm van een nieuwe verordening. Dit wordt als het meest geschikte instrument beschouwd, gezien de behoefte aan een regelgevingskader dat rechtstreeks tegemoetkomt aan de rechten van natuurlijke personen en de versnippering op de digitale eengemaakte markt vermindert. Om de versnippering als gevolg van het inconsistente gebruik van de desbetreffende bepalingen van de AVG (bv. artikel 9, lid 4) te voorkomen, maakt de EHDS gebruik van de opties voor EU-wetgeving die de AVG biedt met betrekking tot het gebruik van gezondheidsgegevens voor verschillende doeleinden. Bij de voorbereiding van het voorstel is een zorgvuldige analyse gemaakt van de verschillende nationale rechtskaders die met de vaststelling van nationale wettelijke voorschriften op de AVG voortbouwen. Om grote verstoringen, maar ook inconsistente ontwikkelingen in de toekomst te voorkomen, wil de Commissie met de EHDS een initiatief voorstellen waarin rekening wordt gehouden met de belangrijkste gemeenschappelijke elementen van verschillende kaders. Er werd niet voor een richtlijn gekozen, aangezien die een uiteenlopende uitvoering en een gefragmenteerde markt in de hand zou werken die van invloed zouden kunnen zijn op de bescherming en het vrij verkeer van persoonsgegevens in de gezondheidssector. Het voorstel zal de gezondheidsgegevenseconomie van de EU versterken doordat het de rechtszekerheid vergroot en een volledig uniform en consistent sectoraal rechtskader waarborgt. De voorgestelde verordening dringt ook aan op de inbreng van belanghebbenden om ervoor te zorgen dat met de vereisten wordt voldaan aan de behoeften van gezondheidswerkers, natuurlijke personen, de academische wereld, het bedrijfsleven en andere relevante belanghebbenden.
3.EVALUATIE, RAADPLEGING VAN BELANGHEBBENDEN EN EFFECTBEOORDELING
•Evaluatie van bestaande wetgeving en controle van de resultaatgerichtheid ervan
De richtlijn grensoverschrijdende gezondheidszorg is in 2011 aangenomen en uiterlijk in 2015 door alle lidstaten omgezet. Artikel 14 van de richtlijn, waarbij het e-gezondheidsnetwerk wordt opgericht, is geëvalueerd om een beter inzicht te krijgen in het effect die het op de digitale gezondheid in de EU heeft gehad. Blijkens de evaluatie, die is opgenomen als bijlage bij het werkdocument van de diensten van de Commissie over de effectbeoordeling van de EHDS, is het effect ervan vrij beperkt geweest. Bij de evaluatie van de bepalingen van de richtlijn over e-gezondheid werd geconcludeerd dat de doeltreffendheid en efficiëntie ervan vrij beperkt waren en dat dit viel toe te schrijven aan de vrijwillige aard van de acties in het kader van het e-gezondheidsnetwerk.
Bij het gebruik van persoonlijke elektronische gezondheidsgegevens voor primaire doeleinden in het kader van de grensoverschrijdende gezondheidszorg is niet veel vooruitgang geboekt. Het MyHealth@EU-platform is slechts in tien lidstaten opgezet en ondersteunt momenteel slechts twee diensten (elektronische recepten en patiëntendossiers). De geringe en trage benutting houdt deels verband met het feit dat in de richtlijn weliswaar het recht van natuurlijke personen is vastgelegd om een schriftelijk verslag van de verrichte behandeling te ontvangen, maar niet wordt vereist dat dit in elektronische vorm wordt verstrekt. De toegang van natuurlijke personen tot hun persoonlijke elektronische gezondheidsgegevens blijft omslachtig, en natuurlijke personen hebben beperkte zeggenschap over hun eigen gezondheidsgegevens en het gebruik van deze gezondheidsgegevens voor medische diagnose en behandeling. Het e-gezondheidsnetwerk heeft de lidstaten aanbevolen om bij hun aanbestedingen gebruik te maken van de normen en specificaties van het Europees uitwisselingsformaat voor elektronische patiëntendossiers, met als doel interoperabiliteit op te bouwen. Er is in werkelijkheid echter beperkt gebruik van het formaat gemaakt, wat heeft geleid tot een versnipperd landschap en ongelijke toegang tot en overdraagbaarheid van elektronische gezondheidsgegevens.
De meeste lidstaten zullen het MyHealth@EU-platform naar verwachting tussen nu en 2025 opzetten. Pas wanneer meer lidstaten het MyHealth@EU-platform zullen hebben opgezet en de nodige instrumenten zullen hebben ontwikkeld, zullen het gebruik, de ontwikkeling en het onderhoud ervan in de hele EU efficiënter worden. De vooruitgang op het gebied van e-gezondheid in de afgelopen jaren vraagt echter om meer gecoördineerde actie op EU-niveau.
Niettemin is het e-gezondheidsnetwerk na de uitbraak van de COVID-19-pandemie in Europa zeer doeltreffend en efficiënt gebleken in tijden van een volksgezondheidscrisis, en dit heeft de politieke convergentie bevorderd.
Wat het secundaire gebruik van elektronische gezondheidsgegevens betreft, waren de activiteiten van het e-gezondheidsnetwerk zeer beperkt en niet erg doeltreffend. De weinige niet-bindende documenten over big data kregen geen follow-up in de vorm van verdere specifieke acties, en nog steeds wordt daaraan in de praktijk in zeer beperkte mate uitvoering gegeven. Nationaal gezien kwamen op het gebied van het secundaire gebruik van elektronische gezondheidsgegevens andere actoren naar voren dan de actoren die in het e-gezondheidsnetwerk zijn vertegenwoordigd. Een aantal lidstaten heeft verschillende organen opgericht die zich met deze kwestie bezighouden en heeft deelgenomen aan het gezamenlijk optreden “Naar een Europese ruimte voor gezondheidsgegevens” (Towards a European Health Data Space, TEHDAS). Noch dit gezamenlijk optreden, noch de talrijke middelen die de Commissie – bijvoorbeeld in het kader van Horizon Europa – heeft verstrekt ter ondersteuning van het secundaire gebruik van elektronische gezondheidsgegevens, zijn echter voldoende geïmplementeerd in samenhang met de activiteiten van het e-gezondheidsnetwerk.
Daarom werd geconcludeerd dat de huidige structuur van het e-gezondheidsnetwerk niet langer passend is. Het maakt slechts informele samenwerking op het gebied van het primaire gebruik van elektronische gezondheidsgegevens en interoperabiliteit mogelijk, waardoor de problemen met de toegang tot en de overdraagbaarheid van gegevens op nationaal en grensoverschrijdend niveau niet systematisch werden opgelost. Bovendien is het e-gezondheidsnetwerk niet in staat om op doeltreffende en efficiënte wijze tegemoet te komen aan de behoeften in verband met het secundaire gebruik van elektronische gezondheidsgegevens. De richtlijn grensoverschrijdende gezondheidszorg voorziet in bevoegdheden voor uitvoeringshandelingen inzake het gebruik van elektronische gezondheidsgegevens voor primair en secundair gebruik; deze bevoegdheden zijn beperkt.
De COVID-19-pandemie heeft het belang van beveiligde en veilige toegang tot gegevens over de volksgezondheid en de gezondheidszorg en van de beschikbaarheid daarvan over de grenzen van de lidstaten heen onderstreept en benadrukt, evenals de brede beschikbaarheid van elektronische gezondheidsgegevens voor de volksgezondheid in het kader van het vrij verkeer van personen binnen de EU tijdens de pandemie. Voortbouwend op een sterk regelgevingskader is de EU zeer doeltreffend gebleken wat betreft het vaststellen van normen en diensten op EU-niveau om het vrij verkeer van personen te vergemakkelijken, zoals het digitale EU-covidcertificaat. De algemene vorderingen lijken echter te worden belemmerd door het ontbreken van bindende of verplichte normen in de hele EU en de daaruit resulterende beperkte interoperabiliteit. Als deze kwestie wordt aangepakt, zou dat niet alleen ten goede komen aan natuurlijke personen, maar ook bijdragen tot het tot stand brengen van de digitale interne markt en het verminderen van de belemmeringen voor het vrij verkeer van digitale gezondheidsproducten en -diensten.
•Raadpleging van belanghebbenden
Bij de voorbereiding van dit EHDS-voorstel werden de belanghebbenden op verschillende manieren geraadpleegd. Tijdens de openbare raadpleging werden de standpunten van belanghebbenden over de opties voor de totstandbrenging van de EHDS verzameld 25 . Er is feedback ontvangen van verschillende groepen belanghebbenden. Hun standpunten worden uitvoerig beschreven in de bijlage bij het werkdocument van de diensten van de Commissie over de effectbeoordeling.
Er is tussen mei en juli 2021 een openbare raadpleging gehouden. De Commissie heeft in totaal 382 geldige reacties ontvangen. De respondenten spraken hun steun uit voor maatregelen op EU-niveau om het onderzoek op het gebied van gezondheid te versnellen (89 %), de zeggenschap van natuurlijke personen over hun eigen gezondheidsgegevens te bevorderen (88 %) en de verstrekking van gezondheidszorg over de grenzen heen te vergemakkelijken (83 %). Er was grote steun voor het bevorderen van de toegang tot en het delen van gezondheidsgegevens via een digitale infrastructuur (72 %) of een EU-infrastructuur (69 %). De meeste respondenten zijn ook van mening dat natuurlijke personen de uit m-gezondheidszorg en telegeneeskunde verzamelde gegevens moeten kunnen doorgeven aan de EPD-systemen (77 %). Een certificeringsregeling op EU-niveau ter bevordering van de interoperabiliteit kreeg 52 % steun.
Op het gebied van het secundaire gebruik van gezondheidsgegevens gaven de meeste respondenten aan dat een EU-orgaan de toegang tot gezondheidsgegevens voor secundaire doeleinden zou kunnen vergemakkelijken (87 %). Het verplichte gebruik van technische vereisten en normen wordt door 67 % gesteund.
De standpunten van belanghebbenden werden ook verzameld via de studie over de beoordeling van de regels van de EU-lidstaten inzake gezondheidsgegevens in het licht van de AVG. Tijdens de studie vonden vijf workshops plaats met vertegenwoordigers van de ministeries van volksgezondheid, deskundigen, vertegenwoordigers van de belanghebbenden en deskundigen van de nationale gegevensbeschermingsdiensten 26 . Er is ook een enquête onder belanghebbenden uitgevoerd met het oog op kruisvalidatie en aanvulling van de behandelde en vastgestelde onderwerpen. In totaal zijn op de online-enquête 543 reacties binnengekomen. Op basis van de online-enquête is 73 % van de respondenten van mening dat het opslaan van gezondheidsgegevens in een persoonlijke gegevensruimte of een patiëntenportaal de overdracht van gegevens tussen zorgaanbieders vergemakkelijkt. Bovendien is 87 % van mening dat een gebrek aan overdraagbaarheid van gegevens tot meer kosten in de gezondheidszorg leidt, terwijl 84 % van mening is dat een gebrek aan gegevensoverdraagbaarheid de diagnose en de behandeling vertraagt. Ongeveer 84 % vindt dat op EU-niveau aanvullende maatregelen moeten worden genomen om de zeggenschap van natuurlijke personen over hun gezondheidsgegevens te versterken. Ongeveer 81 % is de mening toegedaan dat het gebruik van een andere rechtsgrondslag van de AVG het moeilijk maakt om gezondheidsgegevens te delen. Ongeveer 81 % van de respondenten meent dat de EU het secundaire gebruik van gezondheidsgegevens op basis van dezelfde rechtsgrondslag moet ondersteunen.
Bij een studie over de lacunes in de regelgeving voor de grensoverschrijdende verstrekking van digitale gezondheidsdiensten en -producten, met inbegrip van artificiële intelligentie, lag de nadruk op de evaluatie van het bestaande kader voor de grensoverschrijdende uitwisseling van gezondheidsgegevens. Tussen september 2020 en augustus 2021 is een studie over gezondheidsgegevens, digitale gezondheid en artificiële intelligentie in de gezondheidszorg uitgevoerd. Deze studie levert gegevens op die nodig zijn voor gefundeerde beleidsvorming op het gebied van digitale gezondheidsproducten en -diensten, artificiële intelligentie, governance inzake het gebruik van gezondheidsgegevens en de evaluatie van artikel 14 van de richtlijn grensoverschrijdende gezondheidszorg. De raadplegingsactiviteiten omvatten interviews, focusgroepen en online-enquêtes. De belanghebbenden ondersteunen maatregelen op een aantal gebieden, variërend van richtsnoeren inzake de kwaliteit van digitale gezondheidsdiensten en -producten, interoperabiliteit, vergoedingen, identificatie en authenticatie tot digitale geletterdheid en vaardigheden. Wat het primaire gebruik betreft, zijn de belanghebbenden er voorstander van de nationale autoriteiten voor digitale gezondheid taken op te dragen ter ondersteuning van de grensoverschrijdende verstrekking van digitale gezondheid en toegang tot elektronische gezondheidsgegevens. Daarnaast ondersteunen zij ook de uitbreiding van de MyHealth@EU-diensten. Er is ook steun om natuurlijke personen het recht op overdraagbaarheid van hun elektronische patiëntendossiers in een interoperabel formaat te geven. Wat het secundaire gebruik betreft, is er steun voor het opzetten van een juridisch(e) en governancekader en -structuur, voortbouwend op de oprichting in een aantal lidstaten van instanties voor toegang tot gezondheidsgegevens, met samenwerking op EU-niveau via een netwerk of een adviesgroep. Met het oog op het verminderen van belemmeringen is er steun te vinden voor specificaties en normen.
Tussen april 2021 en december 2021 is er een studie uitgevoerd naar infrastructuren en data-ecosystemen ter ondersteuning van de effectbeoordeling van de EHDS 27 . In deze studie worden gegevensgebaseerde inzichten gepresenteerd ter onderbouwing van de effectbeoordeling van de opties voor een Europese digitale gezondheidsinfrastructuur. De studie identificeert, karakteriseert en beoordeelt de opties voor een digitale infrastructuur, schetst de kosteneffectiviteit en verschaft gegevens over de verwachte effecten, voor zowel het primaire als het secundaire gebruik van elektronische gezondheidsgegevens. Er zijn interactieve workshops gehouden met 65 belanghebbenden die actief betrokken zijn bij het gebruik van gezondheidsgegevens. Hun achtergrond varieert naargelang de ministeries van volksgezondheid, de autoriteiten voor digitale gezondheid, de nationale contactpunten voor e-gezondheid, de onderzoeksinfrastructuren voor gezondheidsgegevens, de regelgevende instanties, de instanties voor toegang tot gezondheidsgegevens, de zorgaanbieders, de patiënten en de belangengroepen. Daarnaast is er een enquête met de focus op de kosten ontwikkeld, met inbegrip van vragen over de waarde, voordelen, impact en kosten van de verschillende opties.
Ten slotte is tussen juni 2021 en december 2021 de effectbeoordeling uitgevoerd. Die was bedoeld om gegevensgebaseerde inzichten te presenteren ter ondersteuning van de effectbeoordeling van de opties voor de EHDS. In de effectbeoordeling worden de algemene beleidsopties voor de EHDS uiteengezet en beoordeeld, waarbij wordt voortgebouwd op de gegevens die in de eerdere effectbeoordelingen zijn verzameld. Uit de openbare raadpleging over het overwinnen van obstakels in grensregio’s 28 blijkt ook dat natuurlijke personen in de context van grensoverschrijdende regio’s met daarmee verband houdende belemmeringen worden geconfronteerd. Meer details over de onderzoeksresultaten zijn te vinden in de bijlage bij het werkdocument van de diensten van de Commissie.
•Bijeenbrengen en gebruik van expertise
De werkzaamheden in verband met de EHDS werden ondersteund door verschillende studies en bijdragen, waaronder:
●een studie met de titel “Assessment of the EU Member States’ rules on health data in the light of the GDPR” (Beoordeling van de regels van de EU-lidstaten inzake gezondheidsgegevens in het licht van de AVG) 29 ;
●een studie over de lacunes in de regelgeving voor de grensoverschrijdende verstrekking van digitale gezondheidsdiensten en -producten, met inbegrip van artificiële intelligentie, en de evaluatie van het bestaande kader voor de grensoverschrijdende uitwisseling van gezondheidsgegevens (binnenkort);
●een studie over een infrastructuur en data-ecosysteem ter ondersteuning van de effectbeoordeling van de EHDS (binnenkort);
●een studie ter ondersteuning van de effectbeoordeling van de beleidsopties voor een EU-initiatief inzake een EHDS (binnenkort);
●een studie over de interoperabiliteit van elektronische patiëntendossiers in de Europese Unie (MonitorEHR) 30 ;
●een studie over het gebruik van praktijkgegevens (real-world data, RWD) voor onderzoek, klinische zorg, besluitvorming op regelgevingsgebied, evaluatie van gezondheidstechnologie, beleidsvorming alsmede de samenvatting daarvan 31 ;
●een marktstudie over telegeneeskunde 32 ;
●het voorlopig advies van de Europese Toezichthouder voor gegevensbescherming (EDPS) over de EHDS 33 .
•Effectbeoordeling
Voor dit voorstel is een effectbeoordeling verricht. Op 26 november 2021 heeft de Raad voor regelgevingstoetsing bij de eerste indiening ervan een negatief advies uitgebracht. Na een grondige herziening van de effectbeoordeling om rekening te houden met de opmerkingen, werd de effectbeoordeling opnieuw ingediend en heeft de Raad voor regelgevingstoetsing op 26 januari 2022 een positief advies zonder voorbehouden uitgebracht. De adviezen van de Raad voor regelgevingstoetsing, de aanbevelingen en een toelichting over de manier waarop daarmee rekening is gehouden, zijn opgenomen in bijlage 1 bij het werkdocument van de diensten van de Commissie.
De Commissie heeft verschillende beleidsopties voor het verwezenlijken van de algemene doelstellingen van het voorstel onderzocht. Deze opties moeten waarborgen dat natuurlijke personen de zeggenschap over hun eigen elektronische gezondheidsgegevens hebben, dat zij kunnen profiteren van een reeks gezondheidsgerelateerde producten en diensten en dat onderzoekers, innovatoren, beleidsmakers en regelgevers optimaal gebruik kunnen maken van de beschikbare elektronische gezondheidsgegevens.
Er zijn drie beleidsopties met telkens een verschillende mate van regelgevend ingrijpen en twee bijkomende variaties van deze opties beoordeeld:
–optie 1: ingrijpen met lage intensiteit: deze optie is gebaseerd op een versterkt samenwerkingsmechanisme en vrijwillige instrumenten die digitale gezondheidsproducten en -diensten en het secundaire gebruik van elektronische gezondheidsgegevens zouden bestrijken. Deze optie zou worden ondersteund door verbeterde governance en een verbeterde digitale infrastructuur;
–opties 2 en 2+: ingrijpen met matige intensiteit: met deze opties zouden de rechten van natuurlijke personen op digitale zeggenschap over hun gezondheidsgegevens worden versterkt en zou een EU-kader voor het secundaire gebruik van elektronische gezondheidsgegevens worden geboden. De governance zou afhankelijk zijn van nationale instanties voor primair en secundair gebruik van elektronische gezondheidsgegevens die de beleidsmaatregelen op nationaal niveau zouden uitvoeren en op EU-niveau de ontwikkeling van passende vereisten zouden ondersteunen. Twee digitale infrastructuren zouden het grensoverschrijdend delen en het secundaire gebruik van elektronische gezondheidsgegevens ondersteunen. De uitvoering zou worden ondersteund door een verplichte certificering voor EPD-systemen en een facultatieve labeling voor wellnessapps, teneinde de transparantie voor de autoriteiten, aanbesteders en gebruikers te waarborgen;
–opties 3 en 3+: ingrijpen met hoge intensiteit: deze opties zouden verder gaan dan optie 2 doordat het aan een bestaand of nieuw EU-orgaan wordt overgelaten vereisten op EU-niveau en de toegang tot grensoverschrijdende elektronische gezondheidsgegevens vast te stellen. Ook zou het toepassingsgebied van de certificering worden uitgebreid.
De voorkeursoptie is optie 2+, die voortbouwt op optie 2. Hiermee zou worden gezorgd voor een certificering van EPD-systemen, een facultatieve labeling voor wellnessapps en een cascade-effect op medische hulpmiddelen die interoperabel met EPD-systemen moeten zijn. Hiermee zou een optimaal evenwicht tussen doeltreffendheid en efficiëntie bij het bereiken van de doelstellingen worden gewaarborgd. Optie 1 zou het basisscenario marginaal verbeteren, aangezien zij op vrijwilligheid berust. Optie 3 zou ook doeltreffend zijn, maar zou hogere kosten meebrengen, kan een grotere impact op kmo’s hebben en kan politiek gezien minder haalbaar zijn.
Met de voorkeursoptie zou worden gewaarborgd dat natuurlijke personen hun elektronische gezondheidsgegevens digitaal kunnen raadplegen en doorgeven, en zou de toegang tot die gegevens ongeacht de zorgaanbieder en de gegevensbron mogelijk worden gemaakt. MyHealth@EU zou verplicht worden en natuurlijke personen zouden hun persoonlijke elektronische gezondheidsgegevens over de grenzen heen in een vreemde taal kunnen uitwisselen. Verplichte vereisten en certificering (voor EPD-systemen en voor medische hulpmiddelen waarvoor aanspraak op interoperabiliteit met EPD-systemen wordt gemaakt) en een facultatieve labeling voor wellnessapps zouden transparantie voor gebruikers en aanbesteders waarborgen en grensoverschrijdende marktbelemmeringen voor fabrikanten verminderen.
De verplichte vereisten zijn gehandhaafd, maar de certificering door derden is gewijzigd in zelfcertificering in combinatie met een clausule inzake eerdere toetsing, om eventueel een latere overgang naar certificering door derden mogelijk te maken. Gezien het feit dat de certificering nieuw is, werd besloten tot een stapsgewijze benadering, die minder goed voorbereide lidstaten en fabrikanten meer tijd zou geven om het certificeringssysteem in te voeren en capaciteit op te bouwen. Tegelijkertijd kunnen meer geavanceerde lidstaten specifieke controles op nationaal niveau in het kader van de aanbesteding, financiering en vergoeding van EPD-systemen verlangen. Een dergelijke wijziging zou de geraamde certificeringskosten voor een individuele fabrikant van een EPD-systeem verlagen van 20 000-50 000 EUR tot 12 000-38 000 EUR, wat zou kunnen leiden tot een verlaging van de totale kosten voor fabrikanten met ongeveer 30 % (van 0,3-1,7 miljard EUR tot 0,2-1,2 miljard EUR).
Dit systeem lijkt voor fabrikanten het meest evenredig te zijn wat administratieve lasten en potentiële capaciteitsbeperkingen van de aangemelde instanties voor certificering door derden betreft. De feitelijke voordelen ervan voor de lidstaten, patiënten en aanbesteders zullen echter na vijf jaar zorgvuldig moeten worden geanalyseerd in het kader van de evaluatie van het rechtskader.
Wat het secundaire gebruik van elektronische gezondheidsgegevens betreft, zouden onderzoekers, innovatoren, beleidsmakers en regelgevers voor hun werkzaamheden op een veilige manier toegang tot hoogwaardige gegevens kunnen hebben, met een betrouwbare governance en tegen geringere kosten dan wanneer zij op toestemming zouden vertrouwen. Het gemeenschappelijk kader voor secundair gebruik zou de versnippering en de belemmeringen voor grensoverschrijdende toegang verminderen. De voorkeursoptie vereist dat de lidstaten – voortbouwend op de datagovernanceverordening en hetzij als nieuwe organisatie, hetzij als onderdeel van een bestaande organisatie – een of meer instanties voor toegang tot gezondheidsgegevens oprichten (met een coördinatieorgaan), die derden toegang tot elektronische gezondheidsgegevens kunnen verlenen. Een deel van de kosten zal worden gecompenseerd door vergoedingen die door de instanties voor toegang tot gezondheidsgegevens in rekening worden gebracht. De oprichting van instanties voor toegang tot gezondheidsgegevens zal naar verwachting leiden tot lagere kosten voor regelgevers en beleidsmakers om toegang tot elektronische gezondheidsgegevens te krijgen, dankzij een grotere transparantie van de werkzaamheid van geneesmiddelen, wat leidt tot lagere kosten in de regelgevingsprocessen en bij overheidsaanbestedingen op het gebied van gezondheid. Digitalisering kan ook het aantal onnodige tests terugdringen en zorgen voor transparantie bij de uitgaven, wat besparingen op de begroting voor gezondheid mogelijk maakt. De EU-fondsen zullen steun verlenen voor digitalisering.
Het doel is te zorgen voor transparantie van de informatie over datasets voor gegevensgebruikers, waarvoor ook een stapsgewijze aanpak is gevolgd. Dit zou betekenen dat de beschrijving van de dataset voor alle datasets verplicht zou zijn, met uitzondering van die welke in het bezit zijn van micro-ondernemingen, terwijl het kwaliteitslabel voor zelf verstrekte gegevens alleen voor gegevenshouders met uit openbare middelen gefinancierde datasets verplicht zou zijn en voor de overige facultatief zou zijn. Deze na de effectbeoordeling ingevoerde nuances leiden niet tot een ingrijpende wijziging van de berekening van de uit de effectbeoordeling voor de gegevenshouders voortvloeiende kosten.
De totale economische voordelen van deze optie zullen naar verwachting over een periode van 10 jaar meer dan 11 miljard EUR bedragen, vergeleken met het basisscenario. Dit bedrag zou voor een ongeveer even groot deel bestaan uit voordelen die voortvloeien uit maatregelen inzake primair gebruik van gezondheidsgegevens (5,6 miljard EUR) en uit maatregelen inzake secundair gebruik (5,4 miljard EUR) daarvan.
Op het gebied van het primaire gebruik van gezondheidsgegevens zullen de patiënten en de zorgaanbieders voor ongeveer 1,4 miljard EUR respectievelijk 4,0 miljard EUR profiteren van besparingen op gezondheidsdiensten door een grotere acceptatie van telegeneeskunde en efficiëntere uitwisselingen van gezondheidsgegevens, ook over de grenzen heen.
Op het gebied van het secundaire gebruik van gezondheidsgegevens zouden de onderzoekers en innovatoren op het gebied van digitale gezondheid, medische hulpmiddelen en geneesmiddelen voordelen van meer dan 3,4 miljard EUR hebben dankzij een efficiënter secundair gebruik van gezondheidsgegevens. Patiënten en de gezondheidszorg zouden van 0,3 miljard EUR respectievelijk 0,9 miljard EUR aan besparingen profiteren dankzij de toegang tot meer innovatieve medische producten en een betere besluitvorming. Het intensievere gebruik van empirisch bewijsmateriaal (real-world evidence) bij de beleidsvorming op gezondheidsgebied zou de beleidsmakers en regelgevende instanties extra besparingen van naar schatting 0,8 miljard EUR opleveren.
De totale kosten voor de voorkeursoptie worden, over een periode van 10 jaar, geraamd op 0,7-2,0 miljard EUR meer dan in het basisscenario. Het grootste deel van de kosten zou voortvloeien uit maatregelen inzake primair gebruik (0,3-1,3 miljard EUR) en maatregelen inzake secundair gebruik (0,4-0,7 miljard EUR) van gezondheidsgegevens.
Op het gebied van het primaire gebruik van gezondheidsgegevens zouden de fabrikanten van EPD-systemen en van producten die bedoeld zijn om op EPD-systemen te worden aangesloten, de meeste kosten dragen. Die zouden ongeveer 0,2-1,2 miljard EUR bedragen als gevolg van de stapsgewijze invoering van de certificering voor EPD-systemen, medische hulpmiddelen en AI-systemen met een hoog risico alsmede de facultatieve labeling voor wellnessapps. De rest (minder dan 0,1 miljard EUR) zou voor rekening van de overheden op nationaal en EU-niveau komen ter zake van de voltooiing van de dekking van MyHealth@EU.
Op het gebied van het secundaire gebruik van gezondheidsgegevens zouden de overheden, met inbegrip van de regelgevende instanties en beleidsmakers op het niveau van de lidstaten en de EU, de kosten (0,4-0,7 miljard EUR) dragen voor de uitrol van de instanties voor toegang tot gezondheidsgegevens en de noodzakelijke digitale infrastructuur die deze instanties, onderzoeksinfrastructuren en EU-organen met elkaar verbindt, alsmede voor de bevordering van de interoperabiliteit en gegevenskwaliteit.
De voorkeursoptie is beperkt tot de aspecten die de lidstaten niet op bevredigende wijze alleen kunnen bereiken, zoals blijkt uit de evaluatie van artikel 14 van de richtlijn grensoverschrijdende gezondheidszorg. De voorkeursoptie is evenredig, gezien de matige intensiteit van het voorstel en de verwachte voordelen voor natuurlijke personen en het bedrijfsleven.
Uit de beoordeling van de milieueffecten, in overeenstemming met de Europese klimaatverordening 34 , blijkt dat dit voorstel beperkte gevolgen voor het klimaat en het milieu zou hebben. Hoewel nieuwe digitale infrastructuren en de toegenomen omvang van het dataverkeer en de dataopslag de digitale vervuiling kunnen doen toenemen, zou een grotere interoperabiliteit op het gebied van gezondheid dergelijke negatieve gevolgen grotendeels compenseren door minder reisgerelateerde verontreiniging en minder energie- en papierverbruik.
•Resultaatgerichtheid en vereenvoudiging
Niet van toepassing.
•Grondrechten
Aangezien het gebruik van elektronische gezondheidsgegevens gepaard gaat met de verwerking van gevoelige persoonsgegevens, vallen sommige elementen van de voorgestelde verordening binnen het toepassingsgebied van de EU-wetgeving inzake gegevensbescherming. De bepalingen van dit voorstel zijn in overeenstemming met de EU-wetgeving inzake gegevensbescherming. Zij zijn bedoeld als aanvulling op de rechten uit hoofde van de EU-wetgeving inzake gegevensbescherming, doordat zij de zeggenschap van natuurlijke personen over hun elektronische gezondheidsgegevens en hun toegang daartoe versterken. Het voorstel zal naar verwachting een aanzienlijk positief effect op de grondrechten in verband met de bescherming van persoonsgegevens en het vrij verkeer hebben. De reden hiervoor is dat natuurlijke personen in het kader van MyHealth@EU hun persoonlijke elektronische gezondheidsgegevens doeltreffend kunnen delen in de taal van het land van bestemming wanneer zij naar het buitenland reizen of hun persoonlijke elektronische gezondheidsgegevens kunnen meenemen wanneer zij naar een ander land verhuizen. Natuurlijke personen krijgen extra mogelijkheden om hun elektronische gezondheidsgegevens digitaal te raadplegen en door te geven, daarbij voortbouwend op de bepalingen van de AVG. De marktdeelnemers in de gezondheidssector (zorgaanbieders of aanbieders van digitale diensten en producten) zullen worden verplicht elektronische gezondheidsgegevens te delen met door de gebruikers geselecteerde derde partijen uit de gezondheidssector. Het voorstel zal de middelen verschaffen om deze rechten te handhaven (door middel van gemeenschappelijke normen, specificaties en labeling) zonder afbreuk te doen aan de vereiste veiligheidsmaatregelen ter bescherming van de rechten van natuurlijke personen uit hoofde van de AVG. Het zou bijdragen tot een betere bescherming van gezondheidsgerelateerde persoonsgegevens en tot het vrij verkeer van die gegevens, zoals verankerd in artikel 16 VWEU en in de AVG.
Wat het secundaire gebruik van elektronische gezondheidsgegevens betreft, bijvoorbeeld voor innovatie, onderzoek, overheidsbeleid, patiëntveiligheid, regelgeving of gepersonaliseerde geneeskunde, zal het voorstel de EU-wetgeving inzake gegevensbescherming op dit gebied volgen en eraan voldoen. Er zullen krachtige waarborgen en veiligheidsmaatregelen worden ingevoerd om ervoor te zorgen dat de grondrechten inzake gegevensbescherming volledig worden beschermd, overeenkomstig artikel 8 van het Handvest van de grondrechten van de EU. Het voorstel stelt een EU-kader vast voor de toegang tot elektronische gezondheidsgegevens met het oog op wetenschappelijk en historisch onderzoek en voor statistische doeleinden, voortbouwend op de mogelijkheden die in dit verband worden geboden door de AVG en, voor de EU-instellingen en -organen, door de EU-gegevensbeschermingsverordening. Het zal passende en specifieke maatregelen omvatten die nodig zijn om de grondrechten en de belangen van natuurlijke personen te beschermen overeenkomstig artikel 9, lid 2, punten h), i) en j), van de AVG alsmede artikel 10, lid 2, punten h), i) en j), van de EU-gegevensbeschermingsverordening. De oprichting van de instanties voor toegang tot gezondheidsgegevens zal zorgen voor een voorspelbare en vereenvoudigde toegang tot elektronische gezondheidsgegevens en voor een hoger niveau van transparantie, verantwoordingsplicht en veiligheid bij de verwerking van gegevens. Door deze instanties op EU-niveau te coördineren en de werkzaamheden ervan in een gemeenschappelijk kader te verankeren, wordt gezorgd voor een gelijk speelveld. Dit zal de grensoverschrijdende analyse van elektronische gezondheidsgegevens met het oog op onderzoek, innovatie, officiële statistieken, beleidsvorming en regelgeving ondersteunen. Meer interoperabiliteit van elektronische gezondheidsgegevens en een groter secundair gebruik ervan zullen bijdragen tot de bevordering van een interne markt van de EU voor elektronische gezondheidsgegevens in overeenstemming met artikel 114 VWEU.
4.GEVOLGEN VOOR DE BEGROTING
Dit voorstel bevat een aantal verplichtingen voor de autoriteiten van de lidstaten en voor de Commissie, en vereist specifieke maatregelen ter bevordering van de oprichting en de werking van de EHDS. Deze hebben met name betrekking op de ontwikkeling, de aanleg en het onderhoud van infrastructuren voor het primaire en het secundaire gebruik van elektronische gezondheidsgegevens. De EHDS houdt nauw verband met verschillende andere acties van de Unie op het gebied van gezondheidszorg en sociale zorg, digitalisering, onderzoek, innovatie en grondrechten.
De EU4Health-werkprogramma’s voor 2021 en 2022 ondersteunen reeds de ontwikkeling en de oprichting van de EHDS met een substantiële initiële bijdrage van bijna 110 miljoen EUR. Hierbij gaat het onder meer om de werking van de bestaande infrastructuur voor het primaire gebruik van elektronische gezondheidsgegevens (MyHealth@EU) en het secundaire gebruik van elektronische gezondheidsgegevens (HealthData@EU), de invoering van internationale normen door de lidstaten, acties voor capaciteitsopbouw en andere voorbereidende acties, alsook een proefproject inzake de infrastructuur voor het secundaire gebruik van gezondheidsgegevens, een proefproject voor de toegang van patiënten tot hun gezondheidsgegevens via MyHealth@EU en de opschaling daarvan, en de ontwikkeling van de centrale diensten voor secundair gebruik van gezondheidsgegevens.
De nakoming van de verplichtingen door de Commissie en de bijbehorende ondersteunende acties in het kader van dit wetgevingsvoorstel zullen in de periode 2023-2027 220 miljoen EUR vereisen en zullen rechtstreeks worden gefinancierd uit het EU4Health-programma (170 miljoen EUR) met verdere steun uit het programma Digitaal Europa (50 miljoen EUR) 35 . In beide gevallen zullen de met dit voorstel verband houdende uitgaven worden gedekt met de geprogrammeerde bedragen van deze programma’s.
Voor de uitvoering van maatregelen voor de zeggenschap van natuurlijke personen over persoonlijke elektronische gezondheidsgegevens en hun toegang tot die gegevens met het oog op de verstrekking van gezondheidszorg (hoofdstuk II) zal 110 miljoen EUR nodig zijn. Deze maatregelen omvatten de exploitatie van de diensten van het Europees digitaal gezondheidsplatform voor MyHealth@EU, de audits door de lidstaten voor de nationale contactpunten voor digitale gezondheid als onderdeel van MyHealth@EU, steun voor de invoering van internationale normen en steun voor de toegang van patiënten tot gezondheidsgegevens via MyHealth@EU.
In het kader van de uitvoering van de zelfcertificeringsregeling voor EPD-systemen (hoofdstuk III) zal meer dan 14 miljoen EUR nodig zijn voor de ontwikkeling en het onderhoud van een Europese databank voor interoperabele EPD-systemen en wellnessapps. Daarnaast zullen de lidstaten markttoezichtautoriteiten moeten aanwijzen die belast zijn met de uitvoering van de wettelijke vereisten. Hun toezichtfunctie voor de zelfcertificering van EPD-systemen zou kunnen voortbouwen op bestaande regelingen, bijvoorbeeld op het gebied van markttoezicht, maar zou voldoende deskundigheid en personele en financiële middelen vereisen. Voor maatregelen voor het secundaire gebruik van elektronische gezondheidsgegevens met het oog op onderzoek, innovatie, beleidsvorming, regelgevingsbesluiten, patiëntveiligheid of gepersonaliseerde geneeskunde (hoofdstuk IV) zal 96 miljoen EUR nodig zijn. Deze financiering zal dienen ter dekking van het Europees platform en de audits van de lidstaten voor de verbindingsknooppunten, als onderdeel van de infrastructuur voor secundair gebruik van elektronische gezondheidsgegevens (HealthData@EU).
Daarnaast zullen de kosten voor de aansluiting van de lidstaten op de Europese infrastructuren in het kader van de EHDS gedeeltelijk worden gedekt door de financieringsprogramma’s van de EU ter aanvulling van EU4Health. Instrumenten zoals de herstel- en veerkrachtfaciliteit (Recovery and Resilience Facility – RRF) en het Europees Fonds voor regionale ontwikkeling (EFRO) zullen de aansluiting van de lidstaten op de Europese infrastructuren kunnen ondersteunen.
De uitvoering van de doelstellingen en de bepalingen van deze verordening zal worden aangevuld met andere maatregelen in het kader van het programma Digitaal Europa, de Connecting Europe Facility en Horizon Europa. Deze programma’s zijn onder meer gericht op het opbouwen en versterken van hoogwaardige gegevenshulpmiddelen en bijbehorende uitwisselingsmechanismen 36 (in het kader van de specifieke doelstelling “artificiële intelligentie”) respectievelijk het ontwikkelen, promoten en bevorderen van wetenschappelijke excellentie 37 , onder meer op het gebied van gezondheid. Voorbeelden van dergelijke complementariteit zijn onder meer de horizontale steun voor de ontwikkeling van en grootschalige proefprojecten voor een slim middleware platform voor gemeenschappelijke gegevensruimten, waarvoor in de periode 2021-2022 al 105 miljoen EUR uit het programma Digitaal Europa is vrijgemaakt; domeinspecifieke investeringen om de veilige grensoverschrijdende toegang tot kankerbeelden en kankergenomica te vergemakkelijken, die in de periode 2021-2022 met 38 miljoen EUR uit het programma Digitaal Europa wordt ondersteund; alsmede onderzoeks- en innovatieprojecten en coördinatie- en ondersteuningsacties op het gebied van de kwaliteit en de interoperabiliteit van gezondheidsgegevens, waarvoor reeds 108 miljoen EUR in 2021 en 2022 door Horizon Europa (cluster 1) is uitgetrokken en 59 miljoen EUR uit het programma onderzoeksinfrastructuren is vrijgemaakt. Horizon Europa heeft in 2021 en 2022 eveneens aanvullende steun verleend voor het secundaire gebruik van gezondheidsgegevens in verband met COVID-19 (42 miljoen EUR) en kanker (3 miljoen EUR).
Daarnaast zal de Connecting Europe Facility, wanneer fysieke connectiviteit in de gezondheidssector ontbreekt, ook bijdragen aan de ontwikkeling van projecten van gemeenschappelijk belang die verband houden met de uitrol van en de toegang tot veilige en beveiligde netwerken met zeer hoge capaciteit, waaronder 5G-systemen, en aan een grotere weerbaarheid en capaciteit van digitale backbonenetwerken op het grondgebied van de Unie 38 . In 2022 en 2023 is 130 miljoen EUR geprogrammeerd voor de interconnectie van cloudinfrastructuren, onder meer op het gebied van gezondheid.
De administratieve kosten van de Commissie worden geraamd op ongeveer 17 miljoen EUR, met inbegrip van de uitgaven voor personeel en andere administratieve uitgaven.
Het financieel memorandum dat bij dit voorstel is gevoegd, beschrijft de gevolgen voor de begroting en voor de personele en administratieve middelen.
5.OVERIGE ELEMENTEN
•Uitvoeringsplanning en regelingen betreffende controle, evaluatie en rapportage
Gezien de dynamische aard van de digitale transformatie op gezondheidsgebied zal het monitoren van de trend bij de gevolgen die de EHDS meebrengt, een essentieel onderdeel van de actie op dit gebied vormen. Om ervoor te zorgen dat de gekozen beleidsmaatregelen daadwerkelijk de beoogde resultaten opleveren en dat eventuele toekomstige herzieningen onderbouwd zijn, moet de uitvoering van dit voorstel worden gemonitord en geëvalueerd.
De specifieke doelstellingen en de regelgevingsverplichtingen zullen in de eerste plaats worden gemonitord door middel van rapportage door de autoriteiten voor digitale gezondheid en de instanties voor toegang tot gezondheidsgegevens. Daarnaast zal er monitoring plaatsvinden van de MyHealth@EU-indicatoren en de infrastructuur voor secundair gebruik van elektronische gezondheidsgegevens.
De implementatie van de infrastructuren, in het bijzonder de implementatie van het Europese platform van de nieuwe infrastructuur voor secundair gebruik van elektronische gezondheidsgegevens, zal plaatsvinden in samenhang met het algemene IT-governancekader van de Europese Commissie. Voor keuzes inzake IT-ontwikkeling en ‑overheidsopdrachten zal derhalve voorafgaande goedkeuring vereist zijn van de raad voor informatietechnologie en cyberbeveiliging van de Europese Commissie.
•Artikelsgewijze toelichting
Hoofdstuk I omschrijft het voorwerp en het toepassingsgebied van de verordening, bevat de definities die in de rechtshandeling worden gebruikt en licht het verband ervan met andere EU-instrumenten toe.
Hoofdstuk II ontwikkelt de bijkomende rechten en mechanismen die bedoeld zijn als aanvulling op de rechten van natuurlijke personen uit hoofde van de AVG met betrekking tot hun elektronische gezondheidsgegevens. Verder worden daarin de verplichtingen van verschillende gezondheidswerkers met betrekking tot elektronische gezondheidsgegevens beschreven. De stapsgewijze integratie van sommige soorten elektronische gezondheidsgegevens in de EHDS, waarvoor een overgangsperiode geldt, wordt als prioritair aangemerkt. De lidstaten zullen een autoriteit voor digitale gezondheid moeten oprichten die verantwoordelijk is voor het toezicht op deze rechten en mechanismen en die ervoor moet zorgen dat deze aanvullende rechten van natuurlijke personen naar behoren worden toegepast. Dit hoofdstuk omvat bepalingen met betrekking tot de interoperabiliteit van bepaalde gezondheidsgerelateerde datasets. De lidstaten moeten ook een nationaal contactpunt aanwijzen dat belast is met de handhaving van de verplichtingen en vereisten van dit hoofdstuk. Ten slotte wordt een gemeenschappelijke MyHealth@EU-infrastructuur ontworpen voor de grensoverschrijdende uitwisseling van elektronische gezondheidsgegevens.
In hoofdstuk III wordt de uitvoering van een verplichte zelfcertificeringsregeling voor EPD-systemen behandeld, voorzover dergelijke systemen moeten voldoen aan essentiële vereisten op het gebied van interoperabiliteit en beveiliging. Deze aanpak is nodig om ervoor te zorgen dat de elektronische patiëntendossiers compatibel zijn tussen de systemen en dat elektronische gezondheidsgegevens op eenvoudige wijze tussen die systemen doorgegeven kunnen worden. In dit hoofdstuk worden de verplichtingen van elke marktdeelnemer ten aanzien van EPD-systemen, de vereisten met betrekking tot de conformiteit van dergelijke EPD-systemen en de verplichtingen van de markttoezichtautoriteiten die verantwoordelijk zijn voor de EPD-systemen in het kader van hun markttoezichtactiviteiten, vastgesteld. Dit hoofdstuk omvat ook bepalingen over de facultatieve labeling van wellnessapps die interoperabel zijn met EPD-systemen, en voorziet in de oprichting van een EU-databank waarin gecertificeerde EPD-systemen en wellnessapps met label zullen worden geregistreerd.
Hoofdstuk IV vergemakkelijkt het secundaire gebruik van elektronische gezondheidsgegevens, bijvoorbeeld met het oog op onderzoek, innovatie, beleidsvorming, patiëntveiligheid of regelgevingswerkzaamheden. In dit hoofdstuk worden een reeks gegevenssoorten die voor welbepaalde doeleinden kunnen worden gebruikt, alsook verboden doeleinden (bv. gebruik van gegevens tegen personen, commerciële reclame, verhoging van de verzekering, ontwikkeling van gevaarlijke producten) vastgelegd. De lidstaten moeten een instantie voor toegang tot gezondheidsgegevens opzetten voor het secundaire gebruik van elektronische gezondheidsgegevens en moeten ervoor zorgen dat de gegevenshouders de elektronische gegevens beschikbaar stellen aan de gebruikers van de gegevens. Dit hoofdstuk bevat ook bepalingen over de toepassing van gegevensaltruïsme op gezondheidsgebied. De taken en verplichtingen van de instantie voor toegang tot gezondheidsgegevens, de gegevenshouders en de gegevensgebruikers worden eveneens hierin vastgelegd. De gegevenshouders moeten met name met de instantie voor toegang tot gezondheidsgegevens samenwerken om de beschikbaarheid van elektronische gezondheidsgegevens voor de gegevensgebruikers te waarborgen. Voorts worden de verantwoordelijkheden van de instanties voor toegang tot gezondheidsgegevens en de gegevensgebruikers als gezamenlijke verwerkingsverantwoordelijken voor de verwerkte elektronische gezondheidsgegevens vastgelegd.
Het secundaire gebruik van elektronische gezondheidsgegevens kan kosten meebrengen. Dit hoofdstuk omvat algemene bepalingen inzake de transparantie van de berekening van vergoedingen. Op praktisch niveau zijn met name vereisten met betrekking tot de veiligheid van de beveiligde verwerkingsomgeving opgenomen. Een dergelijke beveiligde verwerkingsomgeving is vereist voor de toegang tot en de verwerking van elektronische gezondheidsgegevens in het kader van dit hoofdstuk. De voorwaarden voor het verkrijgen van toegang tot elektronische gezondheidsgegevens en de informatie die in het gegevensaanvraagformulier moet worden vermeld, zijn opgenomen in afdeling 3. Ook worden de aan de afgifte van de gegevensvergunning verbonden voorwaarden beschreven.
Afdeling 4 van dit hoofdstuk bevat voornamelijk bepalingen over het opzetten en bevorderen van grensoverschrijdende toegang tot elektronische gezondheidsgegevens, zodat een gegevensgebruiker in de ene lidstaat toegang kan hebben tot elektronische gezondheidsgegevens voor secundair gebruik uit andere lidstaten, zonder bij al deze lidstaten een gegevensvergunning te hoeven aanvragen. De grensoverschrijdende infrastructuur die is ontworpen om een dergelijk procedé mogelijk te maken en de werking ervan worden eveneens beschreven.
Ten slotte bevat dit hoofdstuk bepalingen met betrekking tot de beschrijving van datasets en de kwaliteit ervan. Dit zou de gegevensgebruikers in staat stellen kennis te nemen van de inhoud en de potentiële kwaliteit van de gebruikte dataset en te beoordelen of deze datasets geschikt zijn voor het beoogde doel.
Hoofdstuk V is bedoeld om andere maatregelen ter bevordering van de capaciteitsopbouw door de lidstaten voor te stellen die de ontwikkeling van de EHDS kunnen flankeren. Hierbij gaat het onder meer om de uitwisseling van informatie over digitale overheidsdiensten, financiering enz. Daarnaast regelt dit hoofdstuk de internationale toegang tot niet-persoonsgebonden gegevens in de EHDS.
In hoofdstuk VI wordt de “Raad voor de Europese ruimte voor gezondheidsgegevens” (“EHDS-Raad”) opgericht, die de samenwerking tussen de autoriteiten voor digitale gezondheid en de instanties voor toegang tot gezondheidsgegevens zal vergemakkelijken, met name de verhouding tussen het primaire en het secundaire gebruik van elektronische gezondheidsgegevens. Er kunnen specifieke subgroepen, bijvoorbeeld voor het primaire gebruik van elektronische gezondheidsgegevens en voor het secundaire gebruik van elektronische gezondheidsgegevens, worden gevormd die zich op specifieke kwesties of processen richten. De EHDS-Raad zal tot taak krijgen de samenwerking tussen de autoriteiten voor digitale gezondheid en de instanties voor toegang tot gezondheidsgegevens te bevorderen. Dit hoofdstuk regelt ook de samenstelling van de EHDS-Raad en de werking ervan.
Daarnaast bevat dit hoofdstuk bepalingen met betrekking tot de groepen voor gezamenlijke verwerkingsverantwoordelijkheid voor de EU-infrastructuur die tot taak zullen hebben besluiten te nemen betreffende de grensoverschrijdende digitale infrastructuur die nodig is voor zowel het primaire als het secundaire gebruik van elektronische gezondheidsgegevens.
Hoofdstuk VII verleent de Commissie de bevoegdheid om gedelegeerde handelingen met betrekking tot de EHDS vast te stellen. Na de goedkeuring van het voorstel is de Commissie voornemens een deskundigengroep op te zetten in overeenstemming met Besluit C(2016) 3301, om haar te adviseren en bij te staan bij de voorbereiding van gedelegeerde handelingen, alsook bij kwesties die verband houden met de uitvoering van de verordening wat betreft:
–het halen van duurzame economische en sociale voordelen uit Europese digitalegezondheidsstelsels en -diensten en interoperabele toepassingen, teneinde een hoog vertrouwens- en veiligheidsniveau te bereiken, de zorgcontinuïteit te vergroten en toegang tot veilige en kwalitatief hoogwaardige gezondheidszorg te waarborgen;
–het verbeteren van de interoperabiliteit van elektronische gezondheidsgegevens voor de gezondheidszorg, voortbouwend op bestaande Europese, internationale of nationale normen en ervaringen met andere gegevensruimten;
–het harmoniseren van de implementatie van de toegang tot en het delen van elektronische gezondheidsgegevens voor primair gebruik, op nationaal en EU-niveau;
–de interoperabiliteit van EPD-systemen en van andere producten voor de overdracht van gegevens naar elektronische patiëntendossiers, met inbegrip van medische hulpmiddelen, AI-systemen en wellnessapps. In voorkomend geval werkt de deskundigengroep samen met de Coördinatiegroep voor medische hulpmiddelen en het Europees Comité voor artificiële intelligentie;
–de minimumcategorieën van elektronische gezondheidsgegevens voor secundair gebruik;
–het harmoniseren van de implementatie van de toegang tot elektronische gezondheidsgegevens voor secundair gebruik, op nationaal en EU-niveau;
–de activiteiten op het gebied van gegevensaltruïsme in de gezondheidssector;
–het harmoniseren van het beleid inzake vergoedingen voor het secundaire gebruik van elektronische gezondheidsgegevens;
–de sancties die worden toegepast door de instanties voor toegang tot gezondheidsgegevens;
–de minimale vereisten en technische specificaties voor HealthData@EU en voor beveiligde verwerkingsomgevingen;
–de vereisten en technische specificaties voor het gegevenskwaliteits- en bruikbaarheidslabel;
–de minimumdatasets;
–de technische vereisten ter ondersteuning van gegevensaltruïsme in de gezondheidssector;
–andere elementen in verband met het primaire en het secundaire gebruik van elektronische gezondheidsgegevens.
De deskundigengroep kan in voorkomend geval met de Coördinatiegroep voor medische hulpmiddelen en het Europees Comité voor artificiële intelligentie samenwerken en deze raadplegen.
Hoofdstuk VIII bevat bepalingen inzake samenwerking en sancties, en legt de slotbepalingen vast.
2022/0140 (COD)
Voorstel voor een
VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD
betreffende de Europese ruimte voor gezondheidsgegevens
(Voor de EER relevante tekst)
HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,
Gezien het Verdrag betreffende de werking van de Europese Unie, en met name de artikelen 16 en 114,
Gezien het voorstel van de Europese Commissie,
Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,
Gezien het advies van het Europees Economisch en Sociaal Comité 39 ,
Gezien het advies van het Comité van de Regio’s 40 ,
Handelend volgens de gewone wetgevingsprocedure,
Overwegende hetgeen volgt:
(1)Deze verordening beoogt de Europese ruimte voor gezondheidsgegevens (European Health Data Space, “EHDS”) tot stand te brengen, met het doel om de toegang van natuurlijke personen tot hun persoonlijke elektronische gezondheidsgegevens en hun zeggenschap daarover in de context van gezondheidszorg (primair gebruik van elektronische gezondheidsgegevens) te verbeteren, alsook met het oog op andere doeleinden waarbij de samenleving baat zou hebben, zoals onderzoek, innovatie, beleidsvorming, patiëntveiligheid, gepersonaliseerde geneeskunde, officiële statistieken of regelgevingsactiviteiten (secundair gebruik van elektronische gezondheidsgegevens). Daarnaast wil deze verordening de werking van de interne markt verbeteren door een uniform rechtskader vast te stellen, met name voor de ontwikkeling, het in de handel brengen en het gebruik van systemen voor elektronische patiëntendossiers (“EPD-systemen”) in overeenstemming met de waarden van de Unie.
(2)De COVID-19-pandemie heeft duidelijk gemaakt dat het absoluut noodzakelijk is tijdige toegang tot elektronische gezondheidsgegevens te hebben met het oog op de paraatheid voor en de respons op gezondheidsbedreigingen, alsook voor diagnose en behandeling en voor het secundaire gebruik van gezondheidsgegevens. Dergelijke tijdige toegang zou — door de doeltreffende bewaking en monitoring van de volksgezondheid — hebben bijgedragen tot een doeltreffender beheer van de pandemie, wat uiteindelijk zou hebben geholpen levens te redden. In 2020 heeft de Commissie haar bij Uitvoeringsbesluit (EU) 2019/1269 41 opgezette systeem voor het beheer van klinische gegevens van patiënten (Clinical Patient Management System) met spoed aangepast om de lidstaten in staat te stellen elektronische gezondheidsgegevens van COVID-19-patiënten die zich tijdens de piek van de pandemie tussen zorgaanbieders en lidstaten verplaatsten, te delen; dit was evenwel slechts een noodoplossing, waaruit blijkt dat er behoefte is aan een structurele aanpak op het niveau van de lidstaten en de Unie.
(3)Door de COVID-19-crisis zijn de werkzaamheden van het e-gezondheidsnetwerk, een vrijwillig netwerk van autoriteiten voor digitale gezondheid, vast verankerd als de belangrijkste pijler voor de ontwikkeling van mobiele contacttracerings- en waarschuwingsapps en de technische aspecten van de digitale EU-covidcertificaten. Ook is de noodzaak aan het licht gekomen om elektronische gezondheidsgegevens die vindbaar, toegankelijk, interoperabel en herbruikbaar (findable, accessible, interoperable and reusable, de “FAIR-beginselen”) zijn, te delen en om te verzekeren dat elektronische gezondheidsgegevens zo open als mogelijk en zo gesloten als nodig zijn. Er moet voor worden gezorgd dat synergieën tussen de EHDS, de Europese openwetenschapscloud 42 en de Europese onderzoeksinfrastructuren tot stand komen, alsook dat lessen worden getrokken uit de oplossingen voor het delen van gegevens die zijn ontwikkeld in het kader van het Europees COVID-19-gegevensplatform.
(4)Voor de verwerking van persoonlijke elektronische gezondheidsgegevens gelden de bepalingen van Verordening (EU) 2016/679 van het Europees Parlement en de Raad 43 en, wat de instellingen en organen van de Unie betreft, van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad 44 . Verwijzingen naar de bepalingen van Verordening (EU) 2016/679 moeten in voorkomend geval ook worden gelezen als verwijzingen naar de overeenkomstige bepalingen van Verordening (EU) 2018/1725 voor instellingen en organen van de Unie.
(5)Steeds meer Europeanen steken de landsgrenzen over om te werken, te studeren, familieleden te bezoeken of te reizen. Om de uitwisseling van gezondheidsgegevens te vergemakkelijken, en in overeenstemming met de noodzaak om de burgers meer zeggenschap te geven, moeten zij toegang kunnen krijgen tot hun gezondheidsgegevens in een elektronisch formaat dat in de hele Unie kan worden erkend en aanvaard. Dergelijke persoonlijke elektronische gezondheidsgegevens kunnen persoonsgegevens omvatten die verband houden met de lichamelijke of geestelijke gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over zijn of haar gezondheidstoestand wordt gegeven; persoonsgegevens die verband houden met de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon die unieke informatie verschaffen over de fysiologie of de gezondheid van die natuurlijke persoon en die met name voortkomen uit een analyse van een biologisch monster van de betrokken natuurlijke persoon, alsmede gegevens betreffende gezondheidsdeterminanten, zoals gedrags-, milieu-, onderwijs- of sociale factoren alsmede factoren in verband met fysieke invloeden en medische zorg. Elektronische gezondheidsgegevens omvatten ook gegevens die oorspronkelijk zijn verzameld met het oog op onderzoek, statistieken, beleidsvorming of regelgeving en die beschikbaar kunnen worden gesteld overeenkomstig de bepalingen van hoofdstuk IV. De elektronische gezondheidsgegevens betreffen alle categorieën van die gegevens, ongeacht of die worden verstrekt door het betrokken datasubject of door andere natuurlijke of rechtspersonen, zoals gezondheidswerkers, of worden verwerkt in verband met de gezondheid of het welzijn van een natuurlijke persoon, en moeten ook afgeleide en ontleende gegevens, zoals met betrekking tot diagnostische middelen, tests en medische onderzoeken, alsmede automatisch waargenomen en geregistreerde gegevens omvatten.
(6)Hoofdstuk III van Verordening (EU) 2016/679 bevat specifieke bepalingen betreffende de rechten van natuurlijke personen in verband met de verwerking van hun persoonsgegevens. De EHDS bouwt voort op deze rechten en ontwikkelt een aantal ervan verder. De EHDS moet de coherente tenuitvoerlegging van die rechten zoals toegepast op elektronische gezondheidsgegevens ondersteunen, ongeacht de lidstaat waarin de persoonlijke elektronische gezondheidsgegevens worden verwerkt, het soort zorgaanbieder, de gegevensbronnen of de lidstaat van aansluiting van de natuurlijke persoon. De rechten en regels in verband met het primaire gebruik van persoonlijke elektronische gezondheidsgegevens als bedoeld in de hoofdstukken II en III van de onderhavige verordening hebben betrekking op alle categorieën van die gegevens, ongeacht hoe ze zijn verzameld of wie ze heeft verstrekt, de rechtsgrondslag voor de verwerking uit hoofde van Verordening (EU) 2016/679 of de status van de verwerkingsverantwoordelijke als openbare of particuliere organisatie.
(7)Persoonlijke elektronische gezondheidsgegevens worden in het kader van gezondheidsstelsels gewoonlijk verzameld in elektronische patiëntendossiers, die doorgaans de medische voorgeschiedenis, de diagnoses en behandelingen, de medicaties, allergieën, immunisaties, radiologische beelden en laboratoriumresultaten van een natuurlijke persoon bevatten, verspreid over verschillende entiteiten van het gezondheidsstelsel (huisartsen, ziekenhuizen, apotheken, zorgdiensten). Om de natuurlijke personen of gezondheidswerkers in staat te stellen de elektronische gezondheidsgegevens in te zien, te delen of te wijzigen, hebben sommige lidstaten de nodige juridische en technische maatregelen genomen en gecentraliseerde infrastructuren opgezet die door de zorgaanbieders en natuurlijke personen gebruikte EPD-systemen met elkaar verbinden. Een aantal lidstaten ondersteunt daarentegen publieke en particuliere zorgaanbieders bij het opzetten van ruimten voor persoonlijke gezondheidsgegevens om de interoperabiliteit tussen de verschillende zorgaanbieders mogelijk te maken. Verschillende lidstaten hebben ook diensten voor toegang tot gezondheidsgegevens voor patiënten en gezondheidswerkers ondersteund of verstrekt (bijvoorbeeld via patiënten- of gezondheidswerkersportalen). Zij hebben eveneens maatregelen genomen om te verzekeren dat de EPD-systemen of wellnessapps elektronische gezondheidsgegevens naar het centrale EPD-systeem kunnen doorsturen (sommige lidstaten maken hiervoor bijvoorbeeld gebruik van een certificeringssysteem). Niet alle lidstaten hebben evenwel dergelijke systemen ingevoerd, en de lidstaten die deze wel hebben ingevoerd, hebben dat op versnipperde wijze gedaan. Om het vrij verkeer van persoonlijke gezondheidsgegevens in de hele Unie te vergemakkelijken en negatieve gevolgen voor patiënten die in een grensoverschrijdende context gezondheidszorg ontvangen, te voorkomen, is optreden van de Unie nodig om ervoor te zorgen dat de betrokkenen betere toegang tot hun eigen persoonlijke elektronische gezondheidsgegevens hebben en in staat worden gesteld deze te delen.
(8)Het recht van natuurlijke personen op toegang tot hen betreffende gegevens, zoals vastgelegd in artikel 15 van Verordening (EU) 2016/679, moet in de gezondheidssector verder worden ontwikkeld. Op grond van Verordening (EU) 2016/679 hoeven verwerkingsverantwoordelijken niet onmiddellijk toegang te verlenen. Hoewel er op veel plaatsen patiëntenportalen, mobiele apps en andere diensten voor toegang tot persoonlijke gezondheidsgegevens bestaan, waaronder in sommige lidstaten nationale oplossingen, wordt het recht op toegang tot gezondheidsgegevens op veel plaatsen gewoonlijk nog steeds geimplementeerd door de gevraagde gezondheidsgegevens op papier of als gescande documenten te verstrekken, wat tijdrovend is. Dit kan een ernstige belemmering vormen voor de tijdige toegang van natuurlijke personen tot gezondheidsgegevens en kan negatieve gevolgen hebben voor natuurlijke personen die om dringende redenen in verband met hun gezondheidstoestand onmiddellijk toegang daartoe moeten hebben.
(9)Tegelijkertijd moet worden overwogen dat de onmiddellijke toegang tot bepaalde soorten persoonlijke elektronische gezondheidsgegevens schadelijk voor de veiligheid van natuurlijke personen, onethisch of ongepast kan zijn. Het zou bijvoorbeeld onethisch kunnen zijn dat een patiënt via een elektronisch kanaal wordt geïnformeerd over een diagnose van een ongeneeslijke ziekte waaraan hij waarschijnlijk snel zal overlijden, zonder hem die informatie eerst in een persoonlijk gesprek te verstrekken. Daarom moet worden voorzien in de mogelijkheid van beperkte uitzonderingen op de toepassing van dit recht. Een dergelijke uitzondering kan door de lidstaten worden voorgeschreven wanneer deze uitzondering een noodzakelijke en evenredige maatregel in een democratische samenleving is, in overeenstemming met de vereisten van artikel 23 van Verordening (EU) 2016/679. Dergelijke beperkingen moeten worden toegepast door de betrokken persoonlijke elektronische gezondheidsgegevens pas na het verstrijken van een beperkte periode voor de natuurlijke persoon zichtbaar te maken. Zijn de gezondheidsgegevens alleen op papier beschikbaar, dan mogen de lidstaten, indien de inspanningen om de gegevens elektronisch beschikbaar te stellen onevenredig zijn, niet worden verplicht dergelijke gezondheidsgegevens in elektronisch formaat om te zetten. Elke digitale transformatie in de gezondheidszorgsector moet ernaar streven inclusief te zijn en ook ten gunste te werken van natuurlijke personen die over beperkte mogelijkheden beschikken om toegang te krijgen tot en gebruik te maken van digitale diensten. Natuurlijke personen moeten de natuurlijke personen van hun keuze, zoals familieleden of andere naaste natuurlijke personen, kunnen machtigen om namens hen toegang te krijgen tot of zeggenschap uit te oefenen over de toegang tot hun persoonlijke elektronische gezondheidsgegevens of gebruik te maken van digitale gezondheidsdiensten. Dergelijke machtigingen kunnen ook in andere situaties om praktische redenen nuttig zijn. De lidstaten moeten proxydiensten opzetten met het oog op de toepassing van deze machtigingen, die moeten worden gekoppeld aan diensten voor toegang tot persoonlijke gezondheidsgegevens, zoals patiëntenportalen of patiëntgerichte mobiele apps. De proxydiensten moeten het ook voor voogden mogelijk maken om op te treden namens de kinderen over wie zij het gezag uitoefenen; in dergelijke situaties zouden de machtigingen automatisch kunnen worden verleend. Om rekening te houden met gevallen waarin het in strijd met de belangen of de wil van minderjarigen zou kunnen zijn dat bepaalde persoonlijke elektronische gezondheidsgegevens voor hun voogden zichtbaar zijn, moeten de lidstaten in hun nationale recht in dergelijke beperkingen en waarborgen, alsook in de nodige technische uitvoering kunnen voorzien. De diensten voor toegang tot persoonlijke gezondheidsgegevens, zoals patiëntenportalen of mobiele apps, moeten van dergelijke machtigingen gebruikmaken en het de gemachtigde natuurlijke personen derhalve mogelijk maken toegang te krijgen tot de persoonlijke elektronische gezondheidsgegevens die onder de machtiging vallen, willen zij het gewenste effect kunnen sorteren.
(10)Sommige lidstaten staan natuurlijke personen toe elektronische gezondheidsgegevens aan hun EPD’s toe te voegen of aanvullende informatie in hun afzonderlijke persoonlijke gezondheidsdossier op te slaan dat door gezondheidswerkers kan worden ingezien. Aangezien dit echter niet in alle lidstaten een gangbare praktijk is, moet dit door de EHDS in de hele EU worden vastgesteld. Door natuurlijke personen ingevoegde informatie is mogelijk niet zo betrouwbaar als elektronische gezondheidsgegevens die door gezondheidswerkers worden ingevoerd en geverifieerd; daarom moet duidelijk worden aangegeven uit welke bron dergelijke aanvullende gegevens afkomstig zijn. Door natuurlijke personen in staat te stellen gemakkelijker en sneller toegang tot hun elektronische gezondheidsgegevens te krijgen, kunnen zij ook eventuele fouten, zoals onjuiste informatie of ten onrechte toegeschreven patiëntendossiers, opmerken en laten corrigeren met gebruikmaking van hun rechten uit hoofde van Verordening (EU) 2016/679. In dergelijke gevallen moet een natuurlijke persoon onmiddellijk en kosteloos online om rectificatie van de onjuiste elektronische gezondheidsgegevens kunnen verzoeken, bijvoorbeeld via de dienst voor toegang tot persoonlijke gezondheidsgegevens. Verzoeken om rectificatie van gegevens moeten door de verwerkingsverantwoordelijken voor de gegevens per geval worden beoordeeld en, in voorkomend geval, worden uitgevoerd, zo nodig met inschakeling van gezondheidswerkers.
(11)Natuurlijke personen moeten voorts bevoegd zijn om persoonlijke elektronische gezondheidsgegevens uit te wisselen met en toegankelijk te maken voor de gezondheidswerkers van hun keuze, wat verder gaat dan het recht op gegevensoverdraagbaarheid als bedoeld in artikel 20 van Verordening (EU) 2016/679. Dit is nodig om objectieve problemen en belemmeringen bij de huidige stand van zaken aan te pakken. Ingevolge Verordening (EU) 2016/679 is de overdraagbaarheid beperkt tot op basis van toestemming of een overeenkomst verwerkte gegevens, wat op andere rechtsgronden verwerkte gegevens uitsluit, zoals wanneer de verwerking op wettelijke voorschriften is gebaseerd, bijvoorbeeld wanneer de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend. Het betreft alleen de gegevens die door het betrokken datasubject aan een verwerkingsverantwoordelijke worden verstrekt, met uitsluiting van veel afgeleide of indirecte gegevens, zoals diagnoses of tests. Ten slotte heeft de natuurlijke persoon op grond van Verordening (EU) 2016/679 alleen het recht om de persoonsgegevens rechtstreeks van de ene verwerkingsverantwoordelijke naar de andere verwerkingsverantwoordelijke te laten overdragen wanneer dit technisch mogelijk is. Die verordening legt echter geen verplichting op om deze rechtstreekse overdracht technisch mogelijk te maken. Al deze elementen beperken de overdraagbaarheid van gegevens en kunnen de voordelen ervan voor de verstrekking van hoogwaardige, veilige en efficiënte gezondheidszorgdiensten aan de natuurlijke persoon beperken.
(12)Natuurlijke personen moeten zeggenschap kunnen uitoefenen over de overdracht van persoonlijke elektronische gezondheidsgegevens aan andere zorgaanbieders. Zorgaanbieders en andere organisaties die EPD’s verstrekken, moeten de uitoefening van dit recht vergemakkelijken. Belanghebbenden zoals zorgaanbieders, aanbieders van digitale gezondheidsdiensten en fabrikanten van EPD-systemen of medische hulpmiddelen mogen de uitoefening van het recht op overdraagbaarheid niet beperken of verhinderen op grond van het gebruik van propriëtaire normen of andere maatregelen ter beperking van de overdraagbaarheid. Om deze redenen bouwt het bij de onderhavige verordening vastgestelde kader voort op het recht op gegevensoverdraagbaarheid zoals vastgelegd in Verordening (EU) 2016/679, door te waarborgen dat natuurlijke personen als betrokken datasubject hun elektronische gezondheidsgegevens, met inbegrip van afgeleide gegevens, kunnen doorgeven, ongeacht de rechtsgrondslag voor de verwerking van de elektronische gezondheidsgegevens. Dit recht moet gelden voor elektronische gezondheidsgegevens die worden verwerkt door publieke of particuliere verwerkingsverantwoordelijken, ongeacht de rechtsgrondslag voor de verwerking van de gegevens overeenkomstig Verordening (EU) 2016/679. Dit recht moet gelden voor alle elektronische gezondheidsgegevens.
(13)Natuurlijke personen willen mogelijk geen toegang verlenen tot bepaalde onderdelen van hun persoonlijke elektronische gezondheidsgegevens, maar wel tot andere onderdelen. Dit selectief delen van persoonlijke elektronische gezondheidsgegevens moet worden ondersteund. Dergelijke beperkingen kunnen echter levensbedreigende gevolgen hebben, en daarom moet de toegang tot persoonlijke elektronische gezondheidsgegevens mogelijk zijn ter bescherming van vitale belangen in noodgevallen. Overeenkomstig Verordening (EU) 2016/679 verwijzen vitale belangen naar situaties waarin het noodzakelijk is een belang te beschermen dat voor het leven van de betrokken datasubjecten of dat van een andere natuurlijke persoon essentieel is. Verwerking van persoonlijke elektronische gezondheidsgegevens op grond van het vitale belang van een andere natuurlijke persoon is in beginsel alleen toegestaan indien de verwerking kennelijk niet op een andere rechtsgrond kan worden gebaseerd. De lidstaten moeten in hun nationale recht voorzien in specifiekere wettelijke bepalingen inzake de mechanismen voor beperkingen die natuurlijke personen opleggen in verband met bepaalde onderdelen van hun persoonlijke elektronische gezondheidsgegevens. Aangezien de niet-beschikbaarheid van de aan beperkingen onderworpen persoonlijke elektronische gezondheidsgegevens gevolgen kan hebben voor de verstrekking of de kwaliteit van de gezondheidsdiensten die aan de natuurlijke persoon worden verleend, moet hij/zij de verantwoordelijkheid op zich nemen voor het feit dat de zorgaanbieder bij het verlenen van gezondheidsdiensten de gegevens niet in aanmerking kan nemen.
(14)De natuurlijke personen moeten in het kader van de EHDS in staat zijn hun rechten uit te oefenen zoals die zijn vastgelegd in Verordening (EU) 2016/679. De overeenkomstig artikel 51 van Verordening (EU) 2016/679 ingestelde toezichthoudende autoriteiten moeten bevoegd blijven, met name om toezicht te houden op de verwerking van persoonlijke elektronische gezondheidsgegevens en om klachten van natuurlijke personen te behandelen. Om hun taken in de gezondheidssector te vervullen en de rechten van natuurlijke personen te eerbiedigen, moeten de autoriteiten voor digitale gezondheid samenwerken met de toezichthoudende autoriteiten in het kader van Verordening (EU) 2016/679.
(15)Artikel 9, lid 2, punt h), van Verordening (EU) 2016/679 voorziet in uitzonderingen wanneer de verwerking van gevoelige gegevens noodzakelijk is voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van gezondheidszorg of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten, op grond van Unierecht of lidstatelijk recht. De onderhavige verordening moet voorzien in voorwaarden en waarborgen voor de verwerking van elektronische gezondheidsgegevens door zorgaanbieders en gezondheidswerkers in overeenstemming met artikel 9, lid 2, punt h), van Verordening (EU) 2016/679, met het oog op het verkrijgen van toegang tot door de natuurlijke persoon verstrekte of door andere zorgaanbieders doorgegeven persoonlijke elektronische gezondheidsgegevens. De onderhavige verordening mag echter geen afbreuk doen aan de nationale wetgeving inzake de verwerking van gezondheidsgegevens, met inbegrip van de wetgeving tot vaststelling van de categorieën gezondheidswerkers die verschillende categorieën elektronische gezondheidsgegevens kunnen verwerken.
(16)Tijdige en volledige toegang van de gezondheidswerkers tot de medische dossiers van patiënten is van fundamenteel belang om de continuïteit van de zorg te waarborgen en dubbel werk en fouten te voorkomen. Door een gebrek aan interoperabiliteit hebben de gezondheidswerkers in veel gevallen echter geen toegang tot de volledige medische dossiers van hun patiënten en kunnen zij geen optimale medische beslissingen nemen wat diagnose en behandeling betreft, wat zowel voor de gezondheidsstelsels als voor de natuurlijke personen aanzienlijke kosten meebrengt en tot slechtere gezondheidsresultaten voor natuurlijke personen kan leiden. In een interoperabel formaat beschikbaar gestelde elektronische gezondheidsgegevens die tussen de zorgaanbieders kunnen worden doorgegeven, kunnen ook de administratieve lasten voor de gezondheidswerkers bij het handmatig invoeren van gezondheidsgegevens of kopiëren daarvan tussen elektronische systemen verminderen. Daarom moeten de gezondheidswerkers de beschikking krijgen over passende elektronische middelen, zoals gezondheidswerkersportalen, om bij de uitoefening van hun taken gebruik te kunnen maken van persoonlijke elektronische gezondheidsgegevens. Bovendien moet de toegang tot persoonlijke gezondheidsdossiers voor de natuurlijke personen transparant zijn en moeten zij volledige zeggenschap over die toegang kunnen uitoefenen, onder meer door de toegang tot alle of een gedeelte van de persoonlijke elektronische gezondheidsgegevens in hun dossier te beperken. De gezondheidswerkers mogen de uitoefening van de rechten van natuurlijke personen niet belemmeren, bijvoorbeeld door te weigeren elektronische gezondheidsgegevens in aanmerking te nemen die afkomstig zijn uit een andere lidstaat en die in het interoperabele en betrouwbare Europese uitwisselingsformaat voor elektronische patiëntendossiers worden verstrekt.
(17)De verschillende categorieën elektronische gezondheidsgegevens zijn niet voor alle scenario’s van gezondheidszorg even relevant. Verschillende categorieën hebben ook uiteenlopende niveaus van rijpheid op het gebied van normalisatie bereikt, waardoor de toepassing van mechanismen voor de uitwisseling ervan naargelang van de categorie meer of minder complex kan zijn. Daarom moet de verbetering van de interoperabiliteit en de uitwisseling van gegevens geleidelijk verlopen en moeten de categorieën elektronische gezondheidsgegevens worden geprioriteerd. Bepaalde categorieën elektronische gezondheidsgegevens zoals patiëntendossiers, elektronische recepten en verstrekkingen, laboratoriumresultaten en -verslagen, verslagen over ziekenhuisontslag alsmede medische beelden en beeldverslagen zijn door het e-gezondheidsnetwerk als de meest relevante gegevens voor de meeste zorgscenario’s aangemerkt en moeten worden beschouwd als prioritaire categorieën voor de lidstaten met het oog op de implementatie van de toegang tot deze gegevens en de overdracht ervan. Wanneer wordt vastgesteld dat er meer behoefte aan de uitwisseling van meer categorieën elektronische gezondheidsgegevens voor doeleinden in verband met medische zorg bestaat, moet de lijst van prioritaire categorieën worden uitgebreid. De Commissie moet de bevoegdheid krijgen om de lijst van prioritaire categorieën uit te breiden, na een analyse te hebben gemaakt van de relevante aspecten in verband met de noodzaak en de mogelijkheid van de uitwisseling van nieuwe datasets, zoals de ondersteuning ervan door systemen die op nationaal of regionaal niveau door de lidstaten zijn opgezet. Er moet bijzondere aandacht worden besteed aan de uitwisseling van gegevens in de grensregio’s van naburige lidstaten, waar frequenter grensoverschrijdende gezondheidsdiensten worden verleend en daarvoor nog snellere procedures nodig zijn dan in de Unie in het algemeen het geval is.
(18)De toegang tot en de uitwisseling van elektronische gezondheidsgegevens moeten mogelijk worden gemaakt voor alle gegevens die in het EPD van een natuurlijke persoon zijn opgenomen, voor zover dit technisch haalbaar is. Sommige elektronische gezondheidsgegevens zijn echter mogelijk niet gestructureerd of gecodeerd, en de doorgifte tussen zorgaanbieders kan beperkt zijn of alleen mogelijk zijn in formaten die geen vertaling mogelijk maken (wanneer gegevens grensoverschrijdend worden gedeeld). Om voldoende tijd voor de voorbereiding van de uitvoering te bieden, moeten uitgestelde data van toepassing worden vastgesteld om de juridische, organisatorische, semantische en technische paraatheid voor de overdracht van verschillende categorieën elektronische gezondheidsgegevens mogelijk te maken. Wanneer wordt vastgesteld dat er behoefte is aan de uitwisseling van nieuwe categorieën elektronische gezondheidsgegevens, moeten de desbetreffende toepassingsdata worden vastgesteld om de implementatie van deze uitwisseling mogelijk te maken.
(19)Het niveau van de beschikbaarheid van persoonlijke gezondheids- en genetische gegevens in elektronisch vorm verschilt van lidstaat tot lidstaat. De EHDS moet het voor natuurlijke personen gemakkelijker maken om over deze gegevens in elektronische vorm te beschikken. Dit zou ook bijdragen tot de verwezenlijking van de doelstelling dat alle burgers van de Unie uiterlijk in 2030 toegang tot hun elektronische patiëntendossiers moeten hebben, als bedoeld in het beleidsprogramma “Traject naar het digitale decennium”. Om elektronische gezondheidsgegevens toegankelijk en overdraagbaar te maken, moet voor de inzage in en de doorgifte van die gegevens een interoperabel gemeenschappelijk Europees uitwisselingsformaat voor elektronische patiëntendossiers worden gebruikt, ten minste voor bepaalde categorieën elektronische gezondheidsgegevens, zoals patiëntendossiers, elektronische recepten en verstrekkingen, medische beelden en beeldverslagen, laboratoriumresultaten en verslagen over ziekenhuisontslag, waarvoor overgangsperioden gelden. Wanneer persoonlijke elektronische gezondheidsgegevens door een natuurlijke persoon aan een zorgaanbieder of een apotheek ter beschikking worden gesteld dan wel door een andere verwerkingsverantwoordelijke worden doorgegeven in het Europese uitwisselingsformaat voor elektronische patiëntendossiers, moeten de elektronische gezondheidsgegevens ten behoeve van de verlening van gezondheidszorg of de verstrekking van een geneesmiddel worden gelezen en aanvaard, waardoor de verlening van gezondheidszorgdiensten of de verstrekking van het elektronische recept wordt ondersteund. Aanbeveling (EU) 2019/243 van de Commissie 45 legt de basis voor een dergelijk gemeenschappelijk Europees uitwisselingsformaat voor elektronische patiëntendossiers. Het gebruik van het Europees uitwisselingsformaat voor elektronische patiëntendossiers moet op EU- en nationaal niveau meer ingang vinden. Hoewel het e-gezondheidsnetwerk als bedoeld in artikel 14 van Richtlijn 2011/24/EU van het Europees Parlement en de Raad 46 de lidstaten heeft aanbevolen bij aanbestedingen het Europese uitwisselingsformaat voor elektronische patiëntendossiers te gebruiken, om de interoperabiliteit te bevorderen, was de toepassing ervan in de praktijk beperkt, wat leidde tot een versnipperd landschap en ongelijke toegang tot en overdraagbaarheid van elektronische gezondheidsgegevens.
(20)EPD-systemen zijn weliswaar wijdverspreid, maar de mate van digitalisering van gezondheidsgegevens varieert per lidstaat, afhankelijk van de gegevenscategorieën en het aantal zorgaanbieders die gezondheidsgegevens in elektronisch formaat registreren. Om de toepassing van de rechten van de betrokken datasubjecten op toegang tot en uitwisseling van elektronische gezondheidsgegevens te ondersteunen, is optreden van de Unie vereist om verdere versnippering te voorkomen. Om bij te dragen tot een hoge kwaliteit en de continuïteit van de zorg, moeten bepaalde categorieën gezondheidsgegevens systematisch en in overeenstemming met de specifieke vereisten inzake gegevenskwaliteit in elektronische vorm worden geregistreerd. Het Europees uitwisselingsformaat voor elektronische patiëntendossiers moet de basis vormen voor specificaties met betrekking tot de registratie en de uitwisseling van elektronische gezondheidsgegevens. De Commissie moet de bevoegdheid krijgen om door middel van uitvoeringshandelingen aanvullende aspecten vast te stellen in verband met de registratie van elektronische gezondheidsgegevens, zoals de categorieën zorgaanbieders die gezondheidsgegevens elektronisch moeten registreren, de categorieën gegevens die elektronisch moeten worden geregistreerd of de vereisten inzake gegevenskwaliteit.
(21)Krachtens artikel 168 van het Verdrag zijn de lidstaten verantwoordelijk voor hun gezondheidsbeleid, met name voor de besluiten over de diensten (waaronder telegeneeskunde) die zij verstrekken en vergoeden. Uiteenlopende beleidsmaatregelen inzake vergoedingen mogen echter geen belemmering vormen voor het vrij verkeer van digitale gezondheidsdiensten zoals telegeneeskunde, met inbegrip van online apotheekdiensten. Wanneer de fysieke verlening van een gezondheidszorgdienst met digitale diensten gepaard gaat, maakt de digitale dienst deel uit van de algemene zorgverlening.
(22)Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad 47 stelt de voorwaarden vast waaronder de lidstaten natuurlijke personen in grensoverschrijdende situaties identificeren met behulp van door een andere lidstaat uitgegeven elektronische identificatiemiddelen, en legt de regels vast voor de wederzijdse erkenning van dergelijke elektronische identificatiemiddelen. De EHDS vereist een beveiligde toegang tot elektronische gezondheidsgegevens, ook in grensoverschrijdende scenario’s waarbij de gezondheidswerker en de natuurlijke persoon uit verschillende lidstaten afkomstig zijn, om gevallen van ongeoorloofde toegang te voorkomen. Tegelijkertijd mag het bestaan van uiteenlopende elektronische identificatiemiddelen geen belemmering vormen voor de uitoefening van de rechten van natuurlijke personen en gezondheidswerkers. De uitrol van interoperabele, grensoverschrijdende identificatie- en authenticatiemechanismen voor natuurlijke personen en gezondheidswerkers in de hele EHDS vereist nauwere samenwerking op het niveau van de Unie in het kader van de Raad voor de Europese ruimte voor gezondheidsgegevens (“EHDS-Raad”).Aangezien de rechten van de natuurlijke personen met betrekking tot de toegang tot en de overdracht van persoonlijke elektronische gezondheidsgegevens in de hele Unie op uniforme wijze moeten worden toegepast, zijn sterke governance en nauwe coördinatie op zowel het niveau van de Unie als op het niveau van de lidstaten noodzakelijk. De lidstaten moeten bevoegde autoriteiten voor digitale gezondheid oprichten voor de planning en de toepassing van normen voor de toegang tot elektronische gezondheidsgegevens, de overdracht en de handhaving van de rechten van natuurlijke personen en gezondheidswerkers. Daarnaast zijn governance-elementen in de lidstaten nodig om de deelname van nationale actoren aan de samenwerking op het niveau van de Unie te vergemakkelijken, waarbij expertise wordt gekanaliseerd en advies wordt verstrekt over het ontwikkelen van de oplossingen die nodig zijn om de doelstellingen van de EHDS te verwezenlijken. In de meeste lidstaten bestaan autoriteiten voor digitale gezondheid, die zich bezighouden met EPD’s, interoperabiliteit, beveiliging of normalisatie. Autoriteiten voor digitale gezondheid moeten in alle lidstaten worden opgericht, als afzonderlijke organisaties of als onderdeel van de momenteel bestaande autoriteiten.
(23)De autoriteiten voor digitale gezondheid moeten over voldoende technische vaardigheden beschikken, eventueel door deskundigen uit verschillende organisaties bijeen te brengen. De activiteiten van de autoriteiten voor digitale gezondheid moeten goed worden gepland en worden gemonitord om de doeltreffendheid ervan te waarborgen. De autoriteiten voor digitale gezondheid moeten de nodige maatregelen nemen om de rechten van natuurlijke personen te waarborgen door het ontwikkelen van nationale, regionale en lokale technische oplossingen, zoals nationale EPD’s, patiëntenportalen en gegevensbemiddelingssystemen. Daarbij moeten zij in het kader van dergelijke oplossingen gemeenschappelijke normen en specificaties toepassen, de toepassing van de normen en specificaties bij aanbestedingen bevorderen en andere innovatieve middelen gebruiken, waaronder de vergoeding van oplossingen die voldoen aan de interoperabiliteits- en beveiligingsvereisten van de EHDS. Om hun taken uit te voeren, moeten de autoriteiten voor digitale gezondheid op nationaal en Unieniveau samenwerken met andere entiteiten, waaronder verzekeringsinstellingen, zorgaanbieders, fabrikanten van EPD-systemen en wellnessapps, alsook met belanghebbenden uit de gezondheids- of informatietechnologiesector, entiteiten die belast zijn met vergoedingsregelingen, instanties voor de evaluatie van gezondheidstechnologie, regelgevende autoriteiten en agentschappen voor geneesmiddelen, autoriteiten voor medische hulpmiddelen, aanbesteders en autoriteiten op het gebied van cyberbeveiliging of e-ID.
(24)De toegang tot en de overdracht van elektronische gezondheidsgegevens zijn van belang voor de grensoverschrijdende gezondheidszorg, aangezien dit de continuïteit van de zorg kan ondersteunen wanneer natuurlijke personen naar andere lidstaten reizen of van woonplaats veranderen. Continuïteit van de zorg en snelle toegang tot persoonlijke elektronische gezondheidsgegevens zijn nog belangrijker voor de inwoners van grensregio’s, die de grens vaak oversteken om gezondheidszorg te krijgen. In veel grensregio’s zijn sommige gespecialiseerde gezondheidszorgdiensten mogelijk dichterbij over de grens beschikbaar dan in de eigen lidstaat. Er is een infrastructuur nodig voor de grensoverschrijdende overdracht van persoonlijke elektronische gezondheidsgegevens in situaties waarin een natuurlijke persoon gebruikmaakt van de diensten van een in een andere lidstaat gevestigde zorgaanbieder. Daartoe is een vrijwillige infrastructuur, MyHealth@EU, opgezet als onderdeel van de in artikel 14 van Richtlijn 2011/24/EU bedoelde acties. Via MyHealth@EU zijn de lidstaten ermee begonnen natuurlijke personen de mogelijkheid te bieden hun persoonlijke elektronische gezondheidsgegevens met zorgaanbieders te delen wanneer zij naar het buitenland reizen. Om dergelijke mogelijkheden verder te ondersteunen, moet de deelname van de lidstaten aan de digitale infrastructuur MyHealth@EU verplicht worden gesteld. Alle lidstaten moeten van de infrastructuur gebruikmaken en moeten de zorgaanbieders en apotheken op deze infrastructuur aansluiten, aangezien dit noodzakelijk is voor de toepassing van de rechten van natuurlijke personen om toegang te krijgen tot en gebruik te maken van hun persoonlijke elektronische gezondheidsgegevens, ongeacht de lidstaat. De infrastructuur moet geleidelijk worden uitgebreid om verdere categorieën elektronische gezondheidsgegevens te ondersteunen.
(25)In het kader van MyHealth@EU moet de lidstaten door middel van een centraal platform een gemeenschappelijke infrastructuur worden geboden om de connectiviteit en de interoperabiliteit op een doeltreffende en veilige manier te verzekeren. Om de naleving van de gegevensbeschermingsregels te waarborgen en in een kader voor risicobeheer voor de overdracht van persoonlijke elektronische gezondheidsgegevens te voorzien, moet de Commissie door middel van uitvoeringshandelingen specifieke verantwoordelijkheden onder de lidstaten als gezamenlijke verwerkingsverantwoordelijken verdelen en haar eigen verplichtingen als verwerker bepalen.
(26)Naast de MyHealth@EU-diensten voor de uitwisseling van persoonlijke elektronische gezondheidsgegevens op basis van het Europese uitwisselingsformaat voor elektronische patiëntendossiers, kunnen andere diensten of aanvullende infrastructuren nodig zijn, bijvoorbeeld in noodsituaties op het gebied van de volksgezondheid of wanneer de architectuur van MyHealth@EU niet geschikt is voor de implementatie van bepaalde gebruiksgevallen. Voorbeelden van dergelijke gebruiksgevallen zijn onder meer steun voor de functies van de vaccinatiekaart, met inbegrip van de uitwisseling van informatie over vaccinatieprogramma’s of de verificatie van vaccinatiecertificaten of andere gezondheidsgerelateerde certificaten. Dit is ook belangrijk met het oog op de invoering van extra functies voor de aanpak van volksgezondheidscrises, zoals steun voor het traceren van contacten ten behoeve van de indamming van infectieziekten. De aansluiting van de nationale contactpunten voor digitale gezondheid van derde landen of de interoperabiliteit met op internationaal niveau opgezette digitale systemen moet worden gecontroleerd om te verzekeren dat het nationale contactpunt voldoet aan de technische specificaties, de gegevensbeschermingsregels en andere vereisten van MyHealth@EU. Een besluit om een nationaal contactpunt van een derde land aan te sluiten, moet worden genomen door verwerkingsverantwoordelijken in de groep voor gezamenlijke verwerkingsverantwoordelijkheid voor MyHealth@EU.
(27)Met het oog op de eerbiediging van de rechten van natuurlijke personen en gezondheidswerkers moeten EPD-systemen die op de interne markt van de Unie in de handel worden gebracht, hoogwaardige elektronische gezondheidsgegevens veilig kunnen opslaan en doorgeven. Dit is een belangrijk beginsel van de EHDS om het veilig en vrij verkeer van elektronische gezondheidsgegevens in de hele Unie te waarborgen. Daartoe moet een verplichte zelfcertificeringsregeling worden ingevoerd voor EPD-systemen die een of meer prioritaire categorieën elektronische gezondheidsgegevens verwerken, om een einde aan de versnippering van de markt te maken en tegelijkertijd een evenredige aanpak te waarborgen. Door middel van deze zelfcertificering moeten EPD-systemen aantonen dat zij voldoen aan de essentiële vereisten inzake interoperabiliteit en beveiliging die op het niveau van de Unie zijn vastgesteld. Wat beveiliging betreft, moeten de essentiële vereisten betrekking hebben op elementen die specifiek zijn voor EPD-systemen, aangezien meer algemene beveiligingskenmerken moeten worden ondersteund door andere mechanismen, zoals cyberbeveiligingscertificeringsregelingen in het kader van Verordening (EU) 2019/881 van het Europees Parlement en de Raad 48 .
(28)Terwijl EPD-systemen die door de fabrikant specifiek zijn bedoeld om voor de verwerking van een of meer specifieke categorieën elektronische gezondheidsgegevens te worden gebruikt, aan verplichte zelfcertificering moeten worden onderworpen, mag software voor algemene doeleinden niet als een EPD-systeem worden beschouwd, zelfs niet wanneer die in een gezondheidszorgomgeving wordt gebruikt, en mag van die software dus niet worden geëist dat hij voldoet aan de bepalingen van hoofdstuk III.
(29)Software of (een) softwaremodule(s) die onder de definitie van medisch hulpmiddel of artificiële-intelligentiesysteem met een hoog risico valt (vallen), moet(en) worden gecertificeerd in overeenstemming met Verordening (EU) 2017/745 van het Europees Parlement en de Raad 49 en Verordening [...] van het Europees Parlement en de Raad [verordening artificiële intelligentie, COM(2021) 206 final], naargelang het geval. De essentiële vereisten inzake interoperabiliteit van de onderhavige verordening mogen alleen van toepassing zijn voor zover de fabrikant van een medisch hulpmiddel of AI-systeem met een hoog risico, dat elektronische gezondheidsgegevens verstrekt die moeten worden verwerkt als onderdeel van het EPD-systeem, interoperabiliteit met dat EPD-systeem claimt. In dat geval moeten de bepalingen inzake gemeenschappelijke specificaties voor EPD-systemen op die medische hulpmiddelen en AI-systemen met een hoog risico van toepassing zijn.
(30)Om de interoperabiliteit en de beveiliging verder te ondersteunen, kunnen de lidstaten specifieke regels handhaven of vaststellen voor de aanbesteding, vergoeding, financiering of het gebruik van EPD-systemen op nationaal niveau in het kader van de organisatie, verstrekking of financiering van gezondheidsdiensten. Dergelijke specifieke regels mogen het vrij verkeer van EPD-systemen in de Unie niet belemmeren. Sommige lidstaten hebben een verplichte certificering van EPD-systemen of verplichte interoperabiliteitstests voor de aansluiting daarvan op nationale digitale gezondheidsdiensten ingevoerd. Dergelijke vereisten komen doorgaans tot uitdrukking in aanbestedingen die door zorgaanbieders en nationale of regionale autoriteiten worden georganiseerd. Met de verplichte certificering van EPD-systemen op het niveau van de Unie moet een referentiekader worden vastgesteld dat bij aanbestedingen op nationaal niveau kan worden gebruikt.
(31)Om te garanderen dat patiënten hun rechten uit hoofde van deze verordening daadwerkelijk kunnen uitoefenen, moeten zorgaanbieders, wanneer zij een EPD-systeem “in house” ontwikkelen en gebruiken voor het uitvoeren van interne activiteiten zonder het systeem tegen betaling of vergoeding in de handel te brengen, ook aan deze verordening voldoen. In dat verband moeten die zorgaanbieders voldoen aan alle vereisten die voor de fabrikanten gelden.
(32)Er moet worden gezorgd voor een duidelijke en evenredige verdeling van de verplichtingen overeenkomstig de rol van elke marktdeelnemer in het toeleverings- en distributieproces van EPD-systemen. De marktdeelnemers moeten verantwoordelijk zijn voor de naleving met betrekking tot hun respectieve rollen in dat proces en moeten ervoor zorgen dat zij uitsluitend EPD-systemen op de markt aanbieden die aan de desbetreffende vereisten voldoen.
(33)De fabrikanten van EPD-systemen moeten de naleving van de essentiële vereisten inzake interoperabiliteit en beveiliging aantonen door middel van de toepassing van gemeenschappelijke specificaties. Daartoe moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend om dergelijke gemeenschappelijke specificaties vast te stellen met betrekking tot datasets, coderingssystemen, technische specificaties, met inbegrip van normen, specificaties en profielen voor gegevensuitwisseling, alsmede vereisten en beginselen met betrekking tot beveiliging, vertrouwelijkheid, integriteit, patiëntveiligheid en bescherming van persoonsgegevens, alsook specificaties en vereisten met betrekking tot identificatiebeheer en het gebruik van elektronische identificatie. De autoriteiten voor digitale gezondheid moeten bijdragen aan de ontwikkeling van dergelijke gemeenschappelijke specificaties.
(34)Teneinde een passende en doeltreffende handhaving te waarborgen van de in hoofdstuk III van deze verordening vastgelegde vereisten en verplichtingen, moet het systeem van markttoezicht en conformiteit van producten dat is vastgesteld bij Verordening (EU) 2019/1020, van toepassing zijn. Afhankelijk van de op nationaal niveau bepaalde organisatie kunnen dergelijke markttoezichtactiviteiten worden verricht door de autoriteiten voor digitale gezondheid die de correcte uitvoering van hoofdstuk II waarborgen of door een afzonderlijke markttoezichtautoriteit die verantwoordelijk is voor EPD-systemen. Hoewel het aanwijzen van de autoriteiten voor digitale gezondheid als markttoezichtautoriteiten belangrijke praktische voordelen kan hebben voor de uitvoering van gezondheids- en zorgmaatregelen, moeten belangenconflicten worden vermeden, bijvoorbeeld door verschillende taken te scheiden.
(35)De gebruikers van wellnessapps, zoals mobiele apps, moeten worden geïnformeerd over de capaciteit van dergelijke apps met het oog op aansluiting op EPD-systemen of nationale elektronische gezondheidsoplossingen en het leveren van gegevens daaraan, wanneer door wellnessapps geproduceerde gegevens nuttig zijn voor doeleinden in verband met medische zorg. Het vermogen van die apps om gegevens in een interoperabel formaat te exporteren, is ook van belang voor de gegevensoverdraagbaarheid. In voorkomend geval moeten de gebruikers worden geïnformeerd over de mate waarin dergelijke apps aan de interoperabiliteits- en beveiligingsvereisten voldoen. Gezien het grote aantal wellnessapps en de beperkte relevantie van de door veel van die apps geproduceerde gegevens voor doeleinden in verband met medische zorg, zou een certificeringsregeling voor deze apps echter niet evenredig zijn. Daarom moet een facultatieve labelingsregeling worden ingevoerd als een geschikt mechanisme om de gebruikers van wellnessapps transparantie te kunnen bieden met betrekking tot de naleving van de vereisten, en hen zo te ondersteunen bij hun keuze van geschikte wellnessapps met hoge normen op het gebied van interoperabiliteit en beveiliging. De Commissie kan door middel van uitvoeringshandelingen nadere bepalingen vaststellen met betrekking tot de vorm en de inhoud van een dergelijk label.
(36)De verspreiding van informatie over gecertificeerde EPD-systemen en wellnessapps met label is noodzakelijk om de aanbesteders en gebruikers van dergelijke producten in staat te stellen interoperabele oplossingen voor hun specifieke behoeften te vinden. Daarom moet op het niveau van de Unie een databank worden opgezet van interoperabele EPD-systemen en wellnessapps die niet binnen het toepassingsgebied van de Verordeningen (EU) 2017/745 en [...] [verordening artificiële intelligentie, COM(2021) 206 final] vallen, vergelijkbaar met de bij Verordening (EU) 2017/745 opgezette Europese databank voor medische hulpmiddelen (Eudamed). De doelstellingen van de EU-databank van interoperabele EPD-systemen en wellnessapps moeten erin bestaan de algehele transparantie te vergroten, een overlapping van rapportageverplichtingen te vermijden en de informatiestroom te stroomlijnen en te vergemakkelijken. Voor medische hulpmiddelen en AI-systemen moet de registratie in stand worden gehouden in het kader van de bestaande databanken die zijn opgezet op grond van de Verordeningen (EU) 2017/745 respectievelijk [...] [verordening artificiële intelligentie, COM(2021) 206 final], maar moet worden aangegeven of de interoperabiliteitsvereisten worden nageleefd wanneer de fabrikanten daarom verzoeken, met het oog op het verstrekken van informatie aan de aanbesteders.
(37)Voor het secundaire gebruik van de klinische gegevens met het oog op onderzoek, innovatie, beleidsvorming, regelgeving, patiëntveiligheid of de behandeling van andere natuurlijke personen moet worden gebruikgemaakt van de mogelijkheden die Verordening (EU) 2016/679 biedt voor wetgeving van de Unie als basis, met regels en mechanismen voor passende en specifieke maatregelen ter bescherming van de rechten en vrijheden van natuurlijke personen. De onderhavige verordening biedt de rechtsgrondslag overeenkomstig artikel 9, lid 2, punten g), h), i) en j), van Verordening (EU) 2016/679 voor het secundaire gebruik van gezondheidsgegevens, waarbij de waarborgen voor de verwerking worden vastgesteld wat de rechtmatige doeleinden, de betrouwbare governance voor het verlenen van toegang tot gezondheidsgegevens (via de instanties voor toegang tot gezondheidsgegevens) en de verwerking in een veilige omgeving, alsook de in de gegevensvergunning vastgestelde modaliteiten voor gegevensverwerking betreft. Tegelijkertijd moet de aanvrager van de gegevens een rechtsgrond als bedoeld in artikel 6 van Verordening (EU) 2016/679 aantonen, op basis waarvan hij uit hoofde van de onderhavige verordening om toegang tot gegevens kan verzoeken, en aan de voorwaarden van hoofdstuk IV voldoen. Meer in het bijzonder schept de onderhavige verordening in verband met de verwerking van elektronische gezondheidsgegevens waarover de gegevenshouder ingevolge deze verordening beschikt, de wettelijke verplichting in de zin van artikel 6, lid 1, punt c), van Verordening (EU) 2016/679 voor de gegevenshouder om de gegevens aan de instanties voor toegang tot gezondheidsgegevens te verstrekken, terwijl de rechtsgrondslag voor de initiële verwerking (bv. verstrekking van zorg) onverlet blijft. De onderhavige verordening voldoet ook aan de voorwaarden voor een dergelijke verwerking als bedoeld in artikel 9, lid 2, punten h), i) en j), van Verordening (EU) 2016/679. De onderhavige verordening wijst taken van algemeen belang als bedoeld in artikel 6, lid 1, punt e), van Verordening (EU) 2016/679 toe aan de instanties voor toegang tot gezondheidsgegevens (beheer van de beveiligde verwerkingsomgeving, verwerking van gegevens voordat deze worden gebruikt, enz.), en voldoet aan de vereisten van artikel 9, lid 2, punten h), i) en j), van Verordening (EU) 2016/679. Daarom biedt de onderhavige verordening in dit geval de rechtsgrondslag overeenkomstig artikel 6 en voldoet zij aan de vereisten van artikel 9 van die verordening betreffende de voorwaarden waaronder elektronische gezondheidsgegevens kunnen worden verwerkt. Indien de gegevensgebruiker toegang tot elektronische gezondheidsgegevens heeft (voor secundair gebruik van gegevens voor een van de in de onderhavige verordening omschreven doeleinden), moet hij daarvoor de rechtsgrondslag overeenkomstig artikel 6, lid 1), punten e) of f), van Verordening (EU) 2016/679 aantonen en toelichten op welke specifieke rechtsgrondslag hij zich baseert als onderdeel van de aanvraag voor toegang tot elektronische gezondheidsgegevens uit hoofde van de onderhavige verordening: op de toepasselijke wetgeving – wanneer de rechtsgrondslag uit hoofde van Verordening (EU) 2016/679 artikel 6, lid 1, punt e), is – of op artikel 6, lid 1, punt f), van Verordening (EU) 2016/679. Indien de gebruiker zich baseert op een rechtsgrondslag die wordt geboden door artikel 6, lid 1, punt e), moet hij verwijzen naar andere EU- of nationale wetgeving dan de onderhavige verordening waarbij hij wordt gemachtigd om persoonlijke gezondheidsgegevens te verwerken met het oog op de vervulling van zijn taken. Indien de rechtsgrond voor de verwerking door de gegevensgebruiker artikel 6, lid 1, punt f), van Verordening (EU) 2016/679 is, is het in dit geval de onderhavige verordening die de waarborgen biedt. In dit verband zijn de door de instanties voor toegang tot gezondheidsgegevens afgegeven gegevensvergunningen een administratief besluit waarin de voorwaarden voor de toegang tot de gegevens worden vastgesteld.
(38)In het kader van de EHDS bestaan reeds elektronische gezondheidsgegevens en deze worden door zorgaanbieders, beroepsverenigingen, overheidsinstellingen, regelgevers, onderzoekers, verzekeraars enz. in de loop van hun werkzaamheden verzameld. Sommige categorieën gegevens worden voornamelijk verzameld met het oog op de verlening van gezondheidszorg (bv. elektronische patiëntendossiers, genetische gegevens, gegevens met betrekking tot claims uit hoofde van ziektekostenverzekeringen enz.), terwijl andere categorieën gegevens eveneens worden verzameld voor andere doeleinden als onderzoek, statistieken, patiëntveiligheid, regelgevingsactiviteiten of beleidsvorming (bv. registers van ziekten, registers voor beleidsvorming, registers met betrekking tot de bijwerkingen van geneesmiddelen of medische hulpmiddelen, enz.). Zo zijn er op sommige gebieden Europese databanken beschikbaar die het (her)gebruik van gegevens vergemakkelijken, zoals op het gebied van kanker (Europees informatiesysteem voor kanker) of van zeldzame ziekten (Europees platform voor de registratie van zeldzame ziekten, ERN-registers, enz.). Deze gegevens moeten ook voor secundair gebruik beschikbaar worden gesteld. Een groot deel van de bestaande gezondheidsgerelateerde gegevens wordt echter niet beschikbaar gesteld voor andere doeleinden dan waarvoor zij zijn verzameld. Dit beperkt de mogelijkheden voor onderzoekers, innovatoren, beleidsmakers, regelgevers en artsen om die gegevens voor andere doeleinden te gebruiken, waaronder onderzoek, innovatie, beleidsvorming, regelgeving, patiëntveiligheid of gepersonaliseerde geneeskunde. Om de voordelen van het secundaire gebruik van elektronische gezondheidsgegevens te maximaliseren, moeten alle gegevenshouders een bijdrage leveren door de verschillende categorieën elektronische gezondheidsgegevens waarover zij beschikken, beschikbaar te stellen voor secundair gebruik.
(39)De categorieën elektronische gezondheidsgegevens die voor secundair gebruik kunnen worden verwerkt, moeten breed en flexibel genoeg zijn om aan de veranderende behoeften van de gegevensgebruikers tegemoet te komen, maar moeten beperkt blijven tot gegevens die verband houden met gezondheid of waarvan het bekend is dat zij effect hebben op de gezondheid. Zij kunnen ook relevante gegevens uit het gezondheidssysteem omvatten (elektronische patiëntendossiers, gegevens met betrekking tot claims, registers van ziekten, genomische gegevens enz.), alsook gegevens die van invloed zijn op de gezondheid (bijvoorbeeld consumptie van verschillende stoffen, dakloosheid, ziektekostenverzekering, minimuminkomen, beroepsstatus, gedrag), met inbegrip van milieufactoren (bijvoorbeeld verontreiniging, straling, gebruik van bepaalde chemische stoffen). Zij kunnen eveneens per persoon gegenereerde gegevens omvatten, zoals gegevens van medische hulpmiddelen, wellnessapps of andere draagbare apparaten (wearables) en digitalegezondheidsapps. De gegevensgebruiker die toegang heeft tot krachtens de onderhavige verordening verstrekte datasets, kan de gegevens verrijken met diverse correcties, annotaties en andere verbeteringen, bijvoorbeeld door ontbrekende of onvolledige gegevens aan te vullen, en aldus de nauwkeurigheid, de volledigheid of de kwaliteit van de gegevens in de dataset verbeteren. Om de verbetering van de oorspronkelijke databank en het verdere gebruik van de verrijkte dataset te ondersteunen, moet de dataset met die verbeteringen en een beschrijving van de wijzigingen kosteloos ter beschikking van de oorspronkelijke gegevenshouder worden gesteld. De gegevenshouder moet de nieuwe dataset ter beschikking stellen, tenzij hij bij de instantie voor toegang tot gezondheidsgegevens gemotiveerd aangeeft waarom dit niet mogelijk is, bijvoorbeeld in geval van kwalitatief slechte gegevensverrijking. Ook het secundaire gebruik van niet-persoonsgebonden elektronische gegevens moet worden gewaarborgd. Met name genomische gegevens van pathogenen zijn van aanzienlijke waarde voor de menselijke gezondheid, zoals tijdens de COVID-19-pandemie is gebleken. Tijdige toegang tot en uitwisseling van dergelijke gegevens is van essentieel belang gebleken voor de snelle ontwikkeling van detectie-instrumenten, medische tegenmaatregelen en de respons op bedreigingen voor de volksgezondheid. De inspanningen op het gebied van pathogeengenomica zullen de meeste baten opleveren wanneer in het kader van processen op het gebied van volksgezondheid en onderzoeksprocessen datasets worden gedeeld en samenwerking plaatsvindt om elkaar te informeren en te verbeteren.
(40)De gegevenshouders kunnen publieke, non-profit- of particuliere zorgaanbieders, publieke, non-profit- of particuliere organisaties, verenigingen of andere entiteiten, dan wel openbare en particuliere entiteiten die onderzoek met betrekking tot de gezondheidssector verrichten, zijn die de bovengenoemde categorieën gezondheids- en gezondheidsgerelateerde gegevens verwerken. Om onevenredige lasten voor kleine entiteiten te voorkomen, zijn micro-ondernemingen vrijgesteld van de verplichting om hun gegevens in het kader van de EHDS beschikbaar te stellen voor secundair gebruik. De publieke of particuliere entiteiten worden vaak door de lidstaten of de Unie gefinancierd om elektronische gezondheidsgegevens te verzamelen en te verwerken met het oog op onderzoek, (al dan niet officiële) statistieken of voor andere soortgelijke doeleinden, ook op gebieden waar het verzamelen van dergelijke gegevens gefragmenteerd of moeilijk is, zoals bij zeldzame ziekten, kanker enz. Dergelijke gegevens die door de gegevenshouders met financiële steun van de Unie of de lidstaten worden verzameld en verwerkt, moeten door deze ter beschikking van de instanties voor toegang tot gezondheidsgegevens worden gesteld, om het effect van de overheidsinvesteringen te maximaliseren en onderzoek, innovatie, patiëntveiligheid of beleidsvorming ten behoeve van de samenleving te ondersteunen. In enkele lidstaten spelen particuliere entiteiten, waaronder particuliere zorgaanbieders en beroepsverenigingen, een centrale rol in de gezondheidssector. De gezondheidsgegevens waarover dergelijke aanbieders beschikken, moeten ook voor secundair gebruik beschikbaar worden gesteld. Tegelijkertijd genieten gegevens die voor specifieke juridische bescherming in aanmerking komen, zoals die met betrekking tot de intellectuele eigendom van bedrijven die medische hulpmiddelen of farmaceutica produceren, vaak auteursrechtelijke of soortgelijke vormen van bescherming. Overheidsinstanties en regelgevers moeten echter toegang tot dergelijke gegevens hebben, bijvoorbeeld in geval van pandemieën, om defecte hulpmiddelen te controleren en de menselijke gezondheid te beschermen. In tijden van grote bezorgdheid over de volksgezondheid (bijvoorbeeld de fraude met PIP-borstimplantaten) bleek het voor de overheidsinstanties zeer moeilijk om toegang tot dergelijke gegevens te krijgen, om te weten te komen wat de oorzaken van de defecten van sommige hulpmiddelen waren en wat de fabrikant hieromtrent wist. De COVID-19-pandemie heeft ook aangetoond dat het voor beleidsmakers moeilijk is om toegang tot gezondheidsgegevens en andere gegevens in verband met de gezondheid te krijgen. Dergelijke gegevens moeten beschikbaar worden gesteld voor overheids- en regelgevingsactiviteiten, ter ondersteuning van de overheidsinstanties bij de vervulling van hun wettelijke mandaat, met inachtneming – voorzover relevant en mogelijk – van de bescherming van commerciële gegevens. Er moeten specifieke regels worden vastgesteld met betrekking tot het secundaire gebruik van gezondheidsgegevens. Activiteiten in verband met gegevensaltruïsme kunnen door verschillende entiteiten worden verricht, in het kader van Verordening [...] [datagovernanceverordening, COM(2020) 767 final] en rekening houdend met de specifieke kenmerken van de gezondheidssector.
(41)Het secundaire gebruik van gezondheidsgegevens in het kader van de EHDS moet publieke, particuliere en non-profitentiteiten alsmede individuele onderzoekers in staat stellen toegang tot gezondheidsgegevens te hebben met het oog op onderzoek, innovatie, beleidsvorming, educatieve activiteiten, patiëntveiligheid, regelgevingsactiviteiten of gepersonaliseerde geneeskunde, in overeenstemming met de doelstellingen van de onderhavige verordening. De toegang tot gegevens voor secundair gebruik moet bijdragen tot het algemeen belang van de samenleving. Activiteiten waarvoor de toegang in het kader van de onderhavige verordening rechtmatig is, kunnen onder meer zijn het gebruik van elektronische gezondheidsgegevens voor taken die door overheidsinstanties worden uitgevoerd, zoals de vervulling van hun openbare taak, met inbegrip van het volksgezondheidstoezicht, verplichtingen op het gebied van planning en verslaglegging, beleidsvorming op gezondheidsgebied alsmede het waarborgen van de veiligheid van de patiënt, de kwaliteit van de zorg en de duurzaamheid van de gezondheidszorgstelsels. Overheidsinstanties en instellingen, organen en instanties van de Unie kunnen eisen dat zij gedurende langere tijd regelmatig toegang tot elektronische gezondheidsgegevens hebben, onder meer om hun bij de onderhavige verordening vastgestelde mandaat te vervullen. Overheidsinstanties kunnen dergelijke onderzoeksactiviteiten uitvoeren door een beroep te doen op derden, met inbegrip van onderaannemers, zolang de overheidsinstantie te allen tijde de toezichthouder op deze activiteiten blijft. Met de verstrekking van de gegevens moeten ook activiteiten worden ondersteund die verband houden met wetenschappelijk onderzoek (met inbegrip van particulier onderzoek), ontwikkeling en innovatie, waarbij goederen en diensten voor de gezondheids- of zorgsector worden geproduceerd, zoals innovatieactiviteiten of het trainen van AI-algoritmen die de gezondheid van of de zorg voor natuurlijke personen kunnen beschermen. In sommige gevallen kunnen de gegevens van bepaalde natuurlijke personen (zoals genomische gegevens van natuurlijke personen met een bepaalde ziekte) de diagnose of behandeling van andere natuurlijke personen ondersteunen. Overheden moeten verder gaan dan het toepassingsgebied van hoofdstuk V van Verordening [...] [dataverordening, COM(2022) 68 final] voor noodsituaties. De overheidsinstanties kunnen echter verzoeken om ondersteuning van de instanties voor toegang tot gezondheidsgegevens voor de verwerking of koppeling van gegevens. De onderhavige verordening biedt een kanaal voor overheidsinstanties om toegang te krijgen tot informatie die zij nodig hebben voor de vervulling van de hun bij wet opgedragen taken, maar breidt het mandaat van dergelijke overheidsinstanties niet uit. Elke poging om de gegevens te gebruiken voor maatregelen die schadelijk zijn voor de natuurlijke persoon, om de verzekeringspremies te verhogen, om reclame te maken voor producten of behandelingen of om schadelijke producten te ontwikkelen, moet worden verboden.
(42)De oprichting van een of meer instanties voor toegang tot gezondheidsgegevens, ter ondersteuning van de toegang tot elektronische gezondheidsgegevens in de lidstaten, is van essentieel belang om het secundaire gebruik van gezondheidsgerelateerde gegevens te bevorderen. De lidstaten moeten daarom een of meer instanties voor toegang tot gezondheidsgegevens oprichten, bijvoorbeeld in aansluiting op hun grondwettelijke, organisatorische en administratieve structuur. Indien er meer dan één instantie voor gegevenstoegang is, moet een van deze instanties voor toegang tot gezondheidsgegevens echter als coördinerende instantie worden aangewezen. Wanneer een lidstaat meerdere instanties opricht, moet hij regels op nationaal niveau vaststellen om de gecoördineerde deelname van die instanties aan de EHDS-Raad te waarborgen. De lidstaat in kwestie dient met name één instantie voor toegang tot gezondheidsgegevens aan te wijzen die optreedt als enig contactpunt voor de effectieve deelname van die instanties en die moet zorgen voor een vlotte en soepele samenwerking met andere instanties voor toegang tot gezondheidsgegevens, de EHDS-Raad en de Commissie. De instanties voor toegang tot gezondheidsgegevens kunnen qua organisatie en omvang verschillen (variërend van een specifieke volwaardige organisatie tot een eenheid of afdeling binnen een bestaande organisatie), maar moeten dezelfde functies, verantwoordelijkheden en mogelijkheden hebben. De instanties voor toegang tot gezondheidsgegevens mogen niet worden beïnvloed bij hun besluiten over de toegang tot elektronische gegevens voor secundair gebruik. Deze onafhankelijkheid mag echter niet betekenen dat de instantie voor toegang tot gezondheidsgegevens vrijgesteld zou zijn van controles van of toezicht op haar financiële uitgaven of van rechterlijke toetsing. Iedere instantie voor toegang tot gezondheidsgegevens dient te beschikken over de financiële en personele middelen alsook de bedrijfsruimten en de infrastructuur die noodzakelijk zijn om haar taken, waaronder die in het kader van samenwerking met andere instanties voor toegang tot gezondheidsgegevens in de Unie, effectief uit te voeren. Iedere instantie voor toegang tot gezondheidsgegevens dient over een eigen, openbare jaarlijkse begroting te beschikken, die deel kan uitmaken van de algemene staats- of nationale begroting. Om een betere toegang tot gezondheidsgegevens mogelijk te maken en ter aanvulling van artikel 7, lid 3, van Verordening [...] van het Europees Parlement en de Raad [datagovernanceverordening, COM(2020) 767 final], moeten de lidstaten de instanties voor toegang tot gezondheidsgegevens bevoegdheden verlenen voor het nemen van besluiten over de toegang tot en het secundaire gebruik van gezondheidsgegevens. Hiertoe zouden nieuwe taken kunnen worden toegewezen aan de bevoegde organen die door de lidstaten worden aangewezen op grond van artikel 7, lid 1, van Verordening [...] [datagovernanceverordening, COM(2020) 767 final] dan wel bestaande of nieuwe sectorale organen kunnen worden aangewezen die belast worden met dergelijke taken met betrekking tot de toegang tot gezondheidsgegevens.
(43)De instanties voor toegang tot gezondheidsgegevens moeten toezicht houden op de toepassing van hoofdstuk IV van de onderhavige verordening en bijdragen tot de consistente toepassing ervan in de hele Unie. Daartoe dienen de instanties voor toegang tot gezondheidsgegevens onderling en met de Commissie samen te werken, zonder dat er een akkoord tussen de lidstaten nodig is over het verstrekken van wederzijdse bijstand of over zulke samenwerking. De instanties voor toegang tot gezondheidsgegevens moeten ook samenwerken met de belanghebbenden, waaronder patiëntenorganisaties. Aangezien het secundaire gebruik van gezondheidsgegevens de verwerking van persoonsgegevens over de gezondheid meebrengt, zijn de desbetreffende bepalingen van Verordening (EU) 2016/679 van toepassing en moeten de toezichthoudende autoriteiten uit hoofde van Verordening (EU) 2016/679 en Verordening (EU) 2018/1725 worden belast met de handhaving van deze regels. Omdat gezondheidsgegevens gevoelige gegevens zijn, moeten de instanties voor toegang tot gezondheidsgegevens met een loyale samenwerkingsplicht de gegevensbeschermingsautoriteiten bovendien in kennis stellen van alle kwesties in verband met de gegevensverwerking voor secundair gebruik, met inbegrip van sancties. Naast de taken die nodig zijn om een doeltreffend secundair gebruik van gezondheidsgegevens te waarborgen, moet de instantie voor toegang tot gezondheidsgegevens ernaar streven de beschikbaarheid van aanvullende gezondheidsdatasets uit te breiden, de ontwikkeling van AI op gezondheidsgebied te ondersteunen en de ontwikkeling van gemeenschappelijke normen te bevorderen. Zij moet beproefde technieken toepassen die garanderen dat de elektronische gezondheidsgegevens worden verwerkt zonder dat de privacy van de informatie in de gegevens waarvoor secundair gebruik wordt toegestaan, wordt geschonden, met inbegrip van technieken voor pseudonimisering, anonimisering, veralgemening, schrapping en randomisering van persoonsgegevens. De instanties voor toegang tot gezondheidsgegevens kunnen datasets opstellen overeenkomstig de behoeften van de gegevensgebruiker die gekoppeld zijn aan de afgegeven gegevensvergunning. Dit omvat regels voor de anonimisering van microdatasets.
(44)Gezien de administratieve lasten die voor de instanties voor toegang tot gezondheidsgegevens zijn gemoeid met het informeren van de natuurlijke personen van wie de gegevens worden gebruikt in gegevensprojecten binnen een beveiligde verwerkingsomgeving, moeten de uitzonderingen van artikel 14, lid 5, van Verordening (EU) 2016/679 van toepassing zijn. Daarom moeten de instanties voor toegang tot gezondheidsgegevens algemene informatie verstrekken over de voorwaarden voor het secundaire gebruik van hun gezondheidsgegevens die de informatie-elementen bevatten die worden genoemd in artikel 14, lid 1, en, indien nodig om een eerlijke en transparante verwerking te waarborgen, artikel 14, lid 2, van Verordening (EU) 2016/679, bijvoorbeeld informatie over het doel en de verwerkte gegevenscategorieën. Van deze regel moet worden afgeweken wanneer de resultaten van het onderzoek van nut kunnen zijn voor de behandeling van de betrokken natuurlijke persoon. In dat geval moet de gegevensgebruiker de instantie voor toegang tot gezondheidsgegevens informeren, die het betrokken datasubject of zijn gezondheidswerker in kennis moet stellen. Natuurlijke personen moeten op de website van de instantie voor toegang tot gezondheidsgegevens toegang kunnen krijgen tot de resultaten van verschillende onderzoeksprojecten, idealiter op een gemakkelijk doorzoekbare wijze. De lijst van de gegevensvergunningen moet ook openbaar worden gemaakt. Ter bevordering van de transparantie van haar werking moet elke instantie voor toegang tot gezondheidsgegevens een jaarlijks activiteitenverslag met een overzicht van haar activiteiten publiceren.
(45)Verordening [...] [datagovernanceverordening, COM(2020) 767 final] bevat de algemene regels voor het beheer van gegevensaltruïsme. Aangezien de gezondheidssector gevoelige gegevens beheert, moeten tegelijkertijd aanvullende criteria worden vastgesteld aan de hand van het regelgevingskader van Verordening [...] [datagovernanceverordening, COM(2020) 767 final]. Wanneer een dergelijk regelgevingskader voorziet in het gebruik van een beveiligde verwerkingsomgeving voor deze sector, moet die voldoen aan de in deze verordening vastgestelde criteria. De instanties voor toegang tot gezondheidsgegevens moeten samenwerken met de organen die krachtens Verordening [...] [datagovernanceverordening, COM(2020) 767 final] worden aangewezen om toezicht te houden op de activiteiten van gegevensaltruïsme-organisaties in de gezondheids- of zorgsector.
(46)Om het secundaire gebruik van elektronische gezondheidsgegevens te bevorderen, mogen de gegevenshouders de gegevens niet achterhouden, mogen zij geen ongerechtvaardigde vergoedingen verlangen die niet transparant zijn en niet in verhouding staan tot de kosten voor het beschikbaar stellen van de gegevens (en, in voorkomend geval, niet tot de marginale kosten voor gegevensverzameling), mogen zij de gegevensgebruikers niet verzoeken om co-publicatie van de onderzoeksresultaten of mogen zij geen andere praktijken erop nahouden die de gegevensgebruikers ervan zouden kunnen weerhouden de gegevens op te vragen. Wanneer de verlening van een gegevensvergunning uit ethisch oogpunt moet worden goedgekeurd, moet de vergunning op haar eigen verdiensten worden beoordeeld. Anderzijds beschikken de instellingen, organen en instanties van de Unie, waaronder het EMA, het ECDC en de Commissie, over zeer belangrijke en inzichtelijke gegevens. Toegang tot de gegevens van die instellingen, organen en instanties moet worden verleend via de instantie voor toegang tot gezondheidsgegevens waar de verwerkingsverantwoordelijke zich bevindt.
(47)De instanties voor toegang tot gezondheidsgegevens en de individuele gegevenshouders moeten in verband met hun taken vergoedingen kunnen aanrekenen op basis van de bepalingen van Verordening [...] [datagovernanceverordening, COM(2020) 767 final]. Bij dergelijke vergoedingen kan rekening worden gehouden met de situatie en de belangen van kmo’s, individuele onderzoekers of overheidsinstanties. De gegevenshouders moeten ook vergoedingen kunnen vragen voor het beschikbaar stellen van gegevens. Deze vergoedingen moeten de kosten voor het verlenen van dergelijke diensten weerspiegelen. Particuliere gegevenshouders kunnen ook vergoedingen in rekening brengen voor het verzamelen van gegevens. Om een geharmoniseerde aanpak van het vergoedingenbeleid en de vergoedingenstructuur te waarborgen, kan de Commissie uitvoeringshandelingen vaststellen. De bepalingen van artikel 10 van Verordening [dataverordening, COM(2022) 68 final] moeten van toepassing zijn op vergoedingen die uit hoofde van de onderhavige verordening in rekening worden gebracht.
(48)Om de handhaving van de regels inzake het secundaire gebruik van elektronische gezondheidsgegevens te verbeteren, zijn passende maatregelen nodig die aanleiding kunnen geven tot sancties of de tijdelijke of definitieve uitsluiting van het EHDS-kader van de gegevensgebruikers of gegevenshouders die hun verplichtingen niet naleven. De instantie voor toegang tot gezondheidsgegevens moet de bevoegdheid krijgen om de naleving te controleren en de gegevensgebruikers en gegevenshouders in de gelegenheid te stellen op eventuele bevindingen te reageren en eventuele niet-naleving te verhelpen. Het opleggen van sancties moet onderworpen zijn aan passende procedurele waarborgen overeenkomstig de algemene rechtsbeginselen van de desbetreffende lidstaat, waaronder een doeltreffende rechtsbescherming en een eerlijke rechtsgang.
(49)Gezien de gevoeligheid van elektronische gezondheidsgegevens moeten de risico’s voor de persoonlijke levenssfeer van natuurlijke personen worden beperkt door toepassing van het beginsel van minimale gegevensverwerking als bedoeld in artikel 5, lid 1, punt c), van Verordening (EU) 2016/679. Daarom moet, indien haalbaar en op verzoek van de gegevensgebruiker, het gebruik van geanonimiseerde elektronische gezondheidsgegevens die geen persoonsgegevens bevatten mogelijk worden gemaakt. Indien de gegevensgebruiker van persoonlijke elektronische gezondheidsgegevens gebruik moet maken, moet hij het gebruik van dit soort gegevens voor de geplande gegevensverwerkingsactiviteit in zijn aanvraag duidelijk motiveren. De persoonlijke elektronische gezondheidsgegevens mogen alleen in gepseudonimiseerd formaat beschikbaar worden gesteld en de encryptiesleutel mag alleen in het bezit van de instantie voor toegang tot gezondheidsgegevens zijn. Gegevensgebruikers mogen niet proberen natuurlijke personen opnieuw te identificeren aan de hand van de krachtens de onderhavige verordening verstrekte dataset, op straffe van administratieve of mogelijke strafrechtelijke sancties, indien de nationale wetgeving daarin voorziet. Dit mag de gegevensgebruikers, in gevallen waarin de resultaten van een op basis van een gegevensvergunning uitgevoerd project een gezondheidsvoordeel of -effect voor een betrokken natuurlijke persoon hebben (bijvoorbeeld het ontdekken van behandelingen of risicofactoren voor het ontwikkelen van een bepaalde ziekte), echter niet beletten de instantie voor toegang tot gezondheidsgegevens te informeren, die op haar beurt de betrokken natuurlijke persoon of personen op de hoogte brengt. Bovendien kan de aanvrager de instanties voor toegang tot gezondheidsgegevens vragen een verzoek om gegevens te beantwoorden, ook in de vorm van statistieken. In dat geval is er geen sprake van verwerking van gezondheidsgegevens door de gegevensgebruikers en blijft de instantie voor toegang tot gezondheidsgegevens de enige verwerkingsverantwoordelijke voor de gegevens die nodig zijn om het verzoek om gegevens te beantwoorden.
(50)Om te verzekeren dat alle instanties voor toegang tot gezondheidsgegevens op vergelijkbare wijze vergunningen afgeven, moet een gemeenschappelijke standaardprocedure voor de afgifte van gegevensvergunningen worden vastgesteld, met soortgelijke aanvragen om toegang tot gegevens in de verschillende lidstaten. De aanvrager moet de instanties voor toegang tot gezondheidsgegevens diverse informatie-elementen verstrekken die de instantie helpen de aanvraag te beoordelen en te beslissen of de aanvrager een gegevensvergunning voor secundair gebruik van gegevens kan krijgen, waarbij ook de samenhang tussen de verschillende instanties voor toegang tot gezondheidsgegevens moet worden gewaarborgd. Deze informatie omvat: de rechtsgrondslag uit hoofde van Verordening (EU) 2016/679 voor een verzoek om toegang tot gegevens (vervulling van een bij wet toegewezen taak van algemeen belang of een rechtmatig belang), de doeleinden waarvoor de gegevens zouden worden gebruikt, een beschrijving van de benodigde gegevens en mogelijke gegevensbronnen, een beschrijving van de instrumenten die nodig zijn om de gegevens te verwerken, en de kenmerken van de veilige omgeving die noodzakelijk zijn. Wanneer de gegevens in gepseudonimiseerde vorm worden opgevraagd, moet de aanvrager van de gegevens toelichten waarom dit noodzakelijk is en waarom anonieme gegevens niet volstaan. Op basis van het nationale recht kan om een ethische beoordeling worden verzocht. De instanties voor toegang tot gezondheidsgegevens, en in voorkomend geval de gegevenshouders, moeten de gegevensgebruikers bijstaan bij de selectie van de geschikte datasets of gegevensbronnen voor het beoogde doel van secundair gebruik. Wanneer de aanvrager geanonimiseerde statistische gegevens nodig heeft, moet hij een gegevensverzoek indienen, waarin de instantie voor toegang tot gezondheidsgegevens wordt verzocht het resultaat rechtstreeks te verstrekken. Om een geharmoniseerde aanpak tussen de instanties voor toegang tot gezondheidsgegevens te waarborgen, moet de Commissie de harmonisatie van de aanvraag om toegang tot gegevens en het verzoek om gegevens ondersteunen.
(51)Aangezien de middelen van de instanties voor toegang tot gezondheidsgegevens beperkt zijn, kunnen zij prioriteringsregels toepassen, bijvoorbeeld door voorrang aan openbare instellingen boven particuliere entiteiten te geven, maar mogen zij binnen dezelfde categorie prioriteiten geen onderscheid maken tussen nationale organisaties en organisaties uit andere lidstaten. De gegevensgebruiker moet de geldigheidsduur van de gegevensvergunning kunnen verlengen, bijvoorbeeld om instanties voor de toetsing van wetenschappelijke publicaties toegang tot de datasets te verlenen of om een aanvullende analyse van de dataset op basis van de initiële bevindingen mogelijk te maken. Hiervoor is een wijziging van de gegevensvergunning vereist en kan een bijkomende vergoeding worden gevraagd. In alle gevallen moeten deze aanvullende toepassingen van de dataset echter in de gegevensvergunning tot uitdrukking komen. Bij voorkeur moet de gegevensgebruiker deze vermelden in zijn oorspronkelijke verzoek om afgifte van de gegevensvergunning. Om een geharmoniseerde aanpak tussen de instanties voor toegang tot gezondheidsgegevens te waarborgen, moet de Commissie de harmonisatie van de gegevensvergunningen ondersteunen.
(52)Zoals de COVID-19-crisis heeft aangetoond, moeten de instellingen, organen en instanties van de Unie, en met name de Commissie, voor langere perioden en op terugkerende basis toegang tot gezondheidsgegevens hebben. Dit kan niet alleen in specifieke omstandigheden in tijden van crisis het geval zijn, maar kan ook nodig zijn om op regelmatige basis wetenschappelijke gegevens en technische ondersteuning ten behoeve van het beleid van de Unie te verstrekken. Toegang tot dergelijke gegevens kan in bepaalde lidstaten of op het gehele grondgebied van de Unie zijn vereist.
(53)Voor verzoeken om toegang tot elektronische gezondheidsgegevens van één enkele gegevenshouder in één enkele lidstaat en om de administratieve lasten voor de instanties voor toegang tot gezondheidsgegevens in verband met de behandeling van een dergelijk verzoek te verlichten, moet de gegevensgebruiker deze gegevens rechtstreeks bij de gegevenshouder kunnen opvragen en moet de gegevenshouder een gegevensvergunning kunnen afgeven met inachtneming van alle vereisten en waarborgen die aan een dergelijk verzoek en een dergelijke vergunning zijn verbonden. Meerlandenverzoeken en verzoeken die een combinatie van datasets van meerdere gegevenshouders vereisen, moeten altijd via de instanties voor toegang tot gezondheidsgegevens worden gekanaliseerd. De gegevenshouder moet de instanties voor toegang tot gezondheidsgegevens informeren over alle afgegeven gegevensvergunningen of ingediende verzoeken om gegevens.
(54)Gezien de gevoeligheid van elektronische gezondheidsgegevens mogen gegevensgebruikers geen onbeperkte toegang tot dergelijke gegevens hebben. Elke toegang met het oog op het secundaire gebruik van de opgevraagde elektronische gezondheidsgegevens moet plaatsvinden via een beveiligde verwerkingsomgeving. Om te zorgen voor krachtige technische en veiligheidswaarborgen voor elektronische gezondheidsgegevens, moet de instantie voor toegang tot gezondheidsgegevens of, in voorkomend geval, de afzonderlijke gegevenshouder toegang tot dergelijke gegevens verlenen in een beveiligde verwerkingsomgeving, met inachtneming van de krachtens de onderhavige verordening vastgestelde strenge technische en veiligheidsnormen. Sommige lidstaten hebben maatregelen genomen om dergelijke beveiligde omgevingen in Europa op te zetten. De verwerking van persoonsgegevens in een dergelijke beveiligde omgeving moet in overeenstemming zijn met Verordening (EU) 2016/679, met inbegrip van, wanneer de beveiligde omgeving door een derde wordt beheerd, de vereisten van artikel 28 en, in voorkomend geval, hoofdstuk V. Een dergelijke beveiligde verwerkingsomgeving moet de privacyrisico’s in verband met die verwerkingsactiviteiten beperken en voorkomen dat de elektronische gezondheidsgegevens rechtstreeks aan de gegevensgebruikers worden doorgegeven. De instantie voor toegang tot gezondheidsgegevens of de gegevenshouder die deze dienst verleent, moet te allen tijde de zeggenschap over de toegang tot de elektronische gezondheidsgegevens behouden, waarbij de gegevensgebruikers toegang wordt verleend overeenkomstig de voorwaarden van de afgegeven gegevensvergunning. De gegevensgebruikers mogen uitsluitend niet-persoonsgebonden elektronische gezondheidsgegevens die geen enkele elektronische gezondheidsgegevens bevatten, uit een dergelijke beveiligde verwerkingsomgeving halen. Dit is dus een essentiële waarborg om de rechten en vrijheden van natuurlijke personen met betrekking tot de verwerking van hun elektronische gezondheidsgegevens voor secundair gebruik te beschermen. De Commissie moet de lidstaten bijstaan bij de ontwikkeling van gemeenschappelijke beveiligingsnormen om de veiligheid en de interoperabiliteit van de verschillende beveiligde omgevingen te bevorderen.
(55)Voor de verwerking van elektronische gezondheidsgegevens binnen het toepassingsgebied van een verleende vergunning moeten de instanties voor toegang tot gezondheidsgegevens en de gegevensgebruikers gezamenlijke verwerkingsverantwoordelijken zijn in de zin van artikel 26 van Verordening (EU) 2016/679, wat betekent dat de verplichtingen van gezamenlijke verwerkingsverantwoordelijken uit hoofde van die verordening van toepassing zullen zijn. Ter ondersteuning van de instanties voor toegang tot gezondheidsgegevens en de gegevensgebruikers moet de Commissie door middel van een uitvoeringshandeling een model verstrekken voor de regeling inzake gezamenlijke verwerkingsverantwoordelijkheid die de instanties voor toegang tot gezondheidsgegevens en de gegevensgebruikers moeten aangaan. Om een inclusief en duurzaam kader voor op meerdere landen gericht secundair gebruik van elektronische gezondheidsgegevens tot stand te brengen, moet een grensoverschrijdende infrastructuur worden opgezet. HealthData@EU moet het secundaire gebruik van elektronische gezondheidsgegevens versnellen en tegelijkertijd de rechtszekerheid vergroten, de privacy van natuurlijke personen eerbiedigen en interoperabel zijn. Gezien de gevoeligheid van gezondheidsgegevens moeten waar mogelijk beginselen als “privacy door ontwerp” en “breng de vragen naar de gegevens in plaats van de gegevens te verplaatsen” in acht worden genomen. Gemachtigde deelnemers aan HealthData@EU kunnen zijn de instanties voor toegang tot gezondheidsgegevens, onderzoeksinfrastructuren die zijn opgezet als een consortium voor een Europese onderzoeksinfrastructuur (“ERIC”) in het kader van Verordening (EG) nr. 723/2009 van de Raad 50 of soortgelijke structuren die krachtens andere wetgeving van de Unie zijn opgezet, alsook andere soorten entiteiten, waaronder infrastructuren in het kader van het Europees Strategieforum voor onderzoeksinfrastructuren (Esfri) of infrastructuren die zijn gefedereerd in het kader van de Europese openwetenschapscloud (EOSC). Andere gemachtigde deelnemers kunnen zich alleen met toestemming van de groep voor gezamenlijke verwerkingsverantwoordelijkheid bij HealthData@EU aansluiten. Anderzijds moet HealthData@EU het secundaire gebruik van uiteenlopende categorieën elektronische gezondheidsgegevens mogelijk maken, met inbegrip van het koppelen van de gezondheidsgegevens aan gegevens uit andere gegevensruimten zoals die betreffende milieu, landbouw, sociale kwesties enz. De Commissie zou een aantal diensten kunnen aanbieden binnen HealthData@EU, waaronder het ondersteunen van de uitwisseling van informatie tussen instanties voor toegang tot gezondheidsgegevens en gemachtigde deelnemers met het oog op de behandeling van grensoverschrijdende verzoeken om toegang, het bijhouden van catalogi van elektronische gezondheidsgegevens die beschikbaar zijn via de infrastructuur, de vindbaarheid van netwerken en opvragingen van metagegevens alsmede connectiviteits- en nalevingsdiensten. De Commissie kan ook een beveiligde omgeving opzetten, die het mogelijk maakt dat gegevens uit verschillende nationale infrastructuren op verzoek van de verwerkingsverantwoordelijken worden doorgegeven en geanalyseerd. De digitale strategie van de Commissie bevordert de koppeling van de verschillende gemeenschappelijke Europese gegevensruimten. Voor de gezondheidssector kan de interoperabiliteit met sectoren als de milieusector, de sociale sector of de landbouwsector van belang zijn met het oog op aanvullende inzichten in gezondheidsdeterminanten. Omwille van de IT-efficiëntie, de rationalisering en de interoperabiliteit van gegevensuitwisselingen moeten bestaande systemen voor het delen van gegevens zoveel mogelijk worden hergebruikt, zoals die welke zijn opgezet voor de uitwisseling van bewijsmateriaal in het kader van het technisch systeem voor de toepassing van het eenmaligheidsbeginsel van Verordening (EU) 2018/1724 van het Europees Parlement en de Raad 51 .
(56)In het geval van grensoverschrijdende registers of databanken, zoals de registers van de Europese referentienetwerken voor zeldzame ziekten, die gegevens ontvangen van verschillende zorgaanbieders in meerdere lidstaten, moet de instantie voor toegang tot gezondheidsgegevens waar de coördinator van het register zich bevindt, verantwoordelijk zijn voor het verlenen van toegang tot de gegevens.
(57)De procedure voor het verkrijgen van toestemming voor de toegang tot persoonlijke gezondheidsgegevens in verschillende lidstaten kan voor de gebruikers van de gegevens repetitief en omslachtig zijn. Waar mogelijk moeten synergieën tot stand worden gebracht om de lasten en belemmeringen voor gegevensgebruikers te verminderen. Een van de manieren om dit doel te bereiken is de toepassing van het beginsel van “één enkele aanvraag”, waarbij de gebruiker van de gegevens met één aanvraag toestemming krijgt van meerdere instanties voor toegang tot gezondheidsgegevens in verschillende lidstaten.
(58)De instanties voor toegang tot gezondheidsgegevens moeten informatie verstrekken over de beschikbare datasets en de kenmerken daarvan, zodat de gebruikers van de gegevens op de hoogte kunnen worden gebracht van elementaire feiten over de dataset en de mogelijke relevantie daarvan voor hen kunnen beoordelen. Om die reden moet elke dataset ten minste informatie bevatten over de bron en de aard van de gegevens en over de voorwaarden voor het beschikbaar stellen van gegevens. Daarom moet een EU-catalogus van datasets worden opgesteld om de vindbaarheid van de in de EHDS beschikbare datasets te vergemakkelijken; om de gegevenshouders te helpen bij de publicatie van hun datasets; om alle belanghebbenden, zoals het grote publiek (waaronder ook personen met een beperking), informatie te verstrekken over de datasets in de EHDS (zoals kwaliteits- en bruikbaarheidslabels, informatiebladen over datasets); en om de gegevensgebruikers te voorzien van actuele informatie over de kwaliteit en de bruikbaarheid van de gegevens in de datasets.
(59)Informatie over de kwaliteit en de bruikbaarheid van datasets verhoogt de waarde van de resultaten van gegevensintensief onderzoek en gegevensintensieve innovatie aanzienlijk, en bevordert tegelijkertijd empirisch onderbouwde regelgeving en beleidsvorming. Verbetering van de kwaliteit en de bruikbaarheid van datasets door middel van weloverwogen keuzes door de klant en harmonisering van de desbetreffende vereisten op het niveau van de Unie, met inaanmerkingneming van de bestaande Unie- en internationale normen, richtsnoeren en aanbevelingen voor de verzameling en uitwisseling van gegevens (d.w.z. de FAIR-beginselen: vindbaar, toegankelijk, interoperabel en herbruikbaar), komt ook de gegevenshouders, de gezondheidswerkers, de natuurlijke personen en de economie van de Unie in het algemeen ten goede. Een gegevenskwaliteits- en bruikbaarheidslabel voor datasets zou de gegevensgebruikers informeren over de kenmerken inzake kwaliteit en bruikbaarheid van een dataset en hen in staat stellen de datasets te kiezen die het best aan hun behoeften beantwoorden. Het gegevenskwaliteits- en bruikbaarheidslabel mag niet belemmeren dat datasets via de EHDS beschikbaar worden gesteld, maar moet voorzien in een transparantiemechanisme tussen gegevenshouders en -gebruikers. Zo moet een dataset die aan geen enkele vereiste inzake de kwaliteit en bruikbaarheid van gegevens beantwoordt, worden voorzien van het label voor de laagste kwaliteits- en bruikbaarheidsklasse, maar toch beschikbaar worden gesteld. Bij de ontwikkeling van het kader voor de kwaliteit en bruikbaarheid van gegevens moet rekening worden gehouden met de verwachtingen die worden gesteld aan de kaders als omschreven in artikel 10 van Verordening [...] [verordening artificiële intelligentie, COM(2021) 206 final] en de desbetreffende documentatie zoals gespecificeerd in bijlage IV. De lidstaten moeten door middel van communicatieactiviteiten de bekendheid met het gegevenskwaliteits- en bruikbaarheidslabel vergroten. De Commissie zou deze activiteiten kunnen ondersteunen.
(60)De EU-catalogus van datasets moet de administratieve lasten voor de gegevenshouders en andere gebruikers van databanken tot een minimum beperken, moet gebruikersvriendelijk, toegankelijk en kosteneffectief zijn, moet nationale gegevenscatalogi met elkaar verbinden en moet dubbele registratie van datasets vermijden. De EU-catalogus van datasets zou kunnen worden afgestemd op het initiatief data.europa.eu, onverminderd de vereisten van Verordening [...] [datagovernanceverordening, COM(2020) 767 final]. De lidstaten moeten ervoor zorgen dat de nationale gegevenscatalogi interoperabel zijn met de bestaande catalogi van datasets van de Europese onderzoeksinfrastructuren en andere relevante infrastructuren voor gegevensuitwisseling.
(61)Verschillende beroepsorganisaties, de Commissie en andere instellingen werken samen aan het vastleggen van minimale gegevensvelden en andere kenmerken van verschillende datasets (bijvoorbeeld registers). Deze werkzaamheden zijn op gebieden als kanker, zeldzame ziekten en statistieken verder gevorderd, en moeten bij de vaststelling van nieuwe normen in aanmerking worden genomen. Veel datasets zijn echter niet geharmoniseerd, wat problemen met de vergelijkbaarheid meebrengt en grensoverschrijdend onderzoek bemoeilijkt. Daarom moeten door middel van uitvoeringshandelingen gedetailleerdere regels worden vastgesteld om een geharmoniseerde verstrekking, codering en registratie van elektronische gezondheidsgegevens te waarborgen. De lidstaten moeten ernaar streven om duurzame economische en sociale voordelen uit Europese elektronische gezondheidsstelsels en -diensten en interoperabele toepassingen te halen, teneinde een hoog vertrouwens- en beveiligingsniveau te bereiken, de continuïteit van de zorg te verbeteren en de toegang tot veilige en kwalitatief hoogwaardige gezondheidszorg te waarborgen.
(62)De Commissie moet de lidstaten ondersteunen bij het opbouwen van capaciteit en doeltreffendheid op het gebied van digitale gezondheidszorgstelsels voor primair en secundair gebruik van elektronische gezondheidsgegevens. De lidstaten moeten worden ondersteund om hun capaciteit te versterken. Activiteiten op het niveau van de Unie, zoals benchmarking en de uitwisseling van beste praktijken, zijn in dit verband relevante maatregelen.
(63)Het gebruik van fondsen moet ook bijdragen tot de verwezenlijking van de doelstellingen van de EHDS. Bij het bepalen van de voorwaarden voor overheidsopdrachten, de oproepen tot het indienen van voorstellen en de toewijzing van middelen van de Unie, met inbegrip van de structuur- en cohesiefondsen, moeten de aanbestedende overheidsdiensten, de nationale bevoegde autoriteiten in de lidstaten, met inbegrip van de autoriteiten voor digitale gezondheidszorg en de instanties voor toegang tot gezondheidsgegevens, alsook de Commissie verwijzen naar de toepasselijke technische specificaties, normen en profielen inzake interoperabiliteit, beveiliging en gegevenskwaliteit, alsook naar andere vereisten die in het kader van deze verordening zijn ontwikkeld.
(64)Bepaalde categorieën elektronische gezondheidsgegevens kunnen bijzonder gevoelig blijven, zelfs wanneer zij in geanonimiseerde vorm en dus niet-persoonsgebonden zijn, zoals reeds specifiek in de datagovernanceverordening is vermeld. Zelfs in situaties waarin gebruik wordt gemaakt van geavanceerde anonimiseringstechnieken, is er nog altijd een risico dat de betrokken persoon opnieuw wordt of in de toekomst geïdentificeerd zal kunnen worden, met gebruikmaking van andere middelen dan die waarvan redelijkerwijs kan worden aangenomen dat zij zullen worden gebruikt. Een dergelijk overblijvend risico doet zich voor in verband met zeldzame ziekten (een levensbedreigende of chronisch invaliderende aandoening die niet meer dan vijf op de tienduizend personen in de Unie treft), waarbij het geringe aantal gevallen de mogelijkheid beperkt om de gepubliceerde gegevens volledig samen te voegen teneinde de privacy van natuurlijke personen te beschermen en tegelijkertijd een passend niveau van granulariteit te handhaven om zinvol te blijven. Dit risico kan gevolgen hebben voor verschillende soorten gezondheidsgegevens, afhankelijk van het niveau van granulariteit, de beschrijving van de kenmerken van de betrokken datasubjecten of het aantal getroffen personen; het kan bijvoorbeeld ook gevolgen hebben voor gegevens in elektronische patiëntendossiers, ziekteregisters, biobanken, door personen gegenereerde gegevens enz., waarbij de identificatiekenmerken breder zijn en waar, in combinatie met andere informatie (bv. in zeer kleine geografische gebieden) of via de technologische ontwikkeling van methoden die op het moment van anonimisering niet beschikbaar waren, de mogelijkheid bestaat dat de betrokken datasubjecten opnieuw worden geïdentificeerd met middelen die verder gaan dan de middelen waarvan redelijkerwijs kan worden aangenomen dat zij zullen worden gebruikt. Het intreden van een dergelijk risico van heridentificatie van natuurlijke personen zou een belangrijk punt van zorg vormen en zou de aanvaarding van het beleid en de regels inzake secundair gebruik waarin deze verordening voorziet, in gevaar kunnen brengen. Bovendien worden aggregatietechnieken minder getest voor niet-persoonsgebonden gegevens die bijvoorbeeld bedrijfsgeheimen bevatten, zoals bij de rapportage over klinische proeven, en kan bij gebrek aan een toereikende internationale beschermingsnorm moeilijker worden opgetreden tegen schendingen van bedrijfsgeheimen buiten de Unie. Daarom blijft er voor deze soorten gezondheidsgegevens een risico op heridentificatie na de anonimisering of aggregatie bestaan, dat redelijkerwijs niet van meet af aan kon worden beperkt. Dit valt onder de criteria van artikel 5, lid 13, van Verordening [...] [datagovernanceverordening, COM(2020) 767 final]. Deze soorten gezondheidsgegevens zouden dus onder de in artikel 5, lid 13, van Verordening [...] [datagovernanceverordening, COM(2020) 767 final] verleende machtiging voor doorgifte aan derde landen vallen. De beschermingsmaatregelen, die in verhouding staan tot het risico van heridentificatie, moeten rekening houden met de specifieke kenmerken van verschillende gegevenscategorieën of van verschillende anonimiserings- of aggregatietechnieken, en zullen nader worden uitgewerkt in de context van de gedelegeerde handeling op grond van de verleende machtiging in artikel 5, lid 13, van Verordening [...] [datagovernanceverordening, COM(2020) 767 final].
(65)Om de consistente toepassing van de onderhavige verordening te bevorderen, moet een Raad voor de Europese ruimte voor gezondheidsgegevens (EHDS-Raad) worden opgericht. De Commissie moet aan de activiteiten van die Raad deelnemen en deze voorzitten. De EHDS-Raad moet bijdragen tot de consistente toepassing van de onderhavige verordening in de hele Unie, onder meer door de lidstaten te helpen bij de coördinatie van het gebruik van elektronische gezondheidsgegevens met het oog op de gezondheidszorg en de certificering, maar ook met betrekking tot het secundaire gebruik van elektronische gezondheidsgegevens. Aangezien op nationaal niveau de autoriteiten voor digitale gezondheid die zich bezighouden met het primaire gebruik van elektronische gezondheidsgegevens kunnen verschillen van de instanties voor toegang tot gezondheidsgegevens die zich bezighouden met het secundaire gebruik van elektronische gezondheidsgegevens, de functies verschillend zijn en er behoefte is aan afzonderlijke samenwerking op elk van deze gebieden, moet de EHDS-Raad subgroepen kunnen oprichten die zich bezighouden met deze twee functies, alsook waar nodig andere subgroepen. Met het oog op een efficiënte werkmethode moeten de autoriteiten voor digitale gezondheid en de instanties voor toegang tot gezondheidsgegevens op nationaal niveau, maar ook op het niveau van de Unie, netwerken opzetten en koppelingen met verschillende andere autoriteiten en instanties tot stand brengen. Dergelijke instanties kunnen gegevensbeschermingsautoriteiten, cyberbeveiligings-, e-ID- en normalisatie-instanties, alsook organen en deskundigengroepen uit hoofde van de Verordeningen [...], [...], [...] en [...] [datagovernanceverordening, dataverordening, AI-verordening en cyberbeveiligingsverordening] omvatten.
(66)Om de grensoverschrijdende infrastructuren voor primair en secundair gebruik van elektronische gezondheidsgegevens te beheren, moet de groep voor gezamenlijke verwerkingsverantwoordelijkheid voor gemachtigde deelnemers worden opgericht (bv. om ervoor te zorgen dat de gegevensbeschermingsregels en de onderhavige verordening voor de in dergelijke infrastructuren verrichte verwerkingswerkzaamheden worden nageleefd).
(67)De doelstellingen van de onderhavige verordening – namelijk natuurlijke personen meer zeggenschap over hun persoonlijke gezondheidsgegevens geven en het vrij verkeer van gezondheidsgegevens ondersteunen door ervoor te zorgen dat die gegevens kunnen worden meegenomen; een echte eengemaakte markt voor digitale gezondheidsdiensten en -producten bevorderen; alsmede zorgen voor een consistent en efficiënt kader voor het hergebruik van de gezondheidsgegevens van natuurlijke personen met het oog op onderzoek, innovatie, beleidsvorming en regelgeving – kunnen niet voldoende door de lidstaten uitsluitend door middel van coördinatiemaatregelen worden bereikt, zoals blijkt uit de evaluatie van de digitale aspecten van Richtlijn 2011/24/EU, maar kunnen beter op het niveau van de Unie worden verwezenlijkt door middel van harmoniseringsmaatregelen voor de rechten van natuurlijke personen met betrekking tot hun elektronische gezondheidsgegevens, de interoperabiliteit van elektronische gezondheidsgegevens en een gemeenschappelijk kader en gemeenschappelijke waarborgen voor het primaire en secundaire gebruik van elektronische gezondheidsgegevens; daarom kan de Unie, overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel gaat de onderhavige verordening niet verder dan nodig is om die doelstellingen te verwezenlijken.
(68)Om ervoor te zorgen dat de EHDS haar doelstellingen verwezenlijkt, moet aan de Commissie de bevoegdheid worden overgedragen om overeenkomstig artikel 290 van het Verdrag betreffende de werking van de Europese Unie handelingen vast te stellen ten aanzien van verschillende bepalingen inzake primair en secundair gebruik van elektronische gezondheidsgegevens. Het is van bijzonder belang dat de Commissie bij haar voorbereidende werkzaamheden tot passende raadpleging overgaat, onder meer op deskundigenniveau, en dat die raadplegingen gebeuren in overeenstemming met de beginselen van het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven 52 . Met name om te zorgen voor gelijke deelname aan de voorbereiding van gedelegeerde handelingen, ontvangen het Europees Parlement en de Raad alle documenten op hetzelfde tijdstip als de deskundigen van de lidstaten, en hebben hun deskundigen systematisch toegang tot de vergaderingen van de deskundigengroepen van de Commissie die zich bezighouden met de voorbereiding van de gedelegeerde handelingen.
(69)Om eenvormige voorwaarden voor de uitvoering van de onderhavige verordening te waarborgen, moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend. Die bevoegdheden moeten worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad 53 .
(70)De lidstaten moeten alle nodige maatregelen treffen om ervoor te zorgen dat de bepalingen van de onderhavige verordening worden uitgevoerd, onder meer door te voorzien in doeltreffende, evenredige en afschrikkende sancties bij inbreuken daarop. Voor bepaalde specifieke inbreuken moeten de lidstaten de marges en criteria van deze verordening in aanmerking nemen.
(71)Om te beoordelen of deze verordening haar doelstellingen op doeltreffende en efficiënte wijze bereikt, coherent en nog van belang is en meerwaarde biedt op het niveau van de Unie, moet de Commissie een evaluatie van deze verordening uitvoeren. De Commissie moet 5 jaar na de inwerkingtreding van deze verordening een gedeeltelijke evaluatie van de zelfcertificering van EPD-systemen uitvoeren en 7 jaar na de inwerkingtreding van deze verordening een algemene evaluatie. De Commissie moet na elke evaluatie bij het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s een verslag over haar belangrijkste bevindingen indienen.
(72)Voor een succesvolle grensoverschrijdende implementatie van de EHDS moet het Europees interoperabiliteitskader 54 ter waarborging van de juridische, organisatorische, semantische en technische interoperabiliteit als gemeenschappelijke referentie worden beschouwd.
(73)De evaluatie van de digitale aspecten van Richtlijn 2011/24/EU wijst op een beperkte doeltreffendheid van het e-gezondheidsnetwerk, maar ook op een groot potentieel voor EU-werkzaamheden op dit gebied, zoals blijkt uit de werkzaamheden tijdens de pandemie. Daarom zal artikel 14 van de richtlijn bij de onderhavige verordening worden ingetrokken en vervangen, en zal de richtlijn dienovereenkomstig worden gewijzigd.
(74)Overeenkomstig artikel 42 van Verordening (EU) 2018/1725 zijn de Europese Toezichthouder voor gegevensbescherming en het Europees Comité voor gegevensbescherming geraadpleegd, en op […] hebben zij een advies uitgebracht.
(75)De onderhavige verordening mag geen afbreuk doen aan de toepassing van de mededingingsregels, met name niet aan de artikelen 101 en 102 van het Verdrag. De maatregelen van deze verordening mogen niet worden gebruikt om de mededinging te beperken op een wijze die strijdig is met het Verdrag.
(76)Gezien de noodzaak van technische voorbereiding moet deze verordening van toepassing zijn met ingang van [12 maanden na de inwerkingtreding],
HEBBEN DE VOLGENDE VERORDENING VASTGESTELD:
Hoofdstuk I
Algemene bepalingen
Artikel 1
Onderwerp en toepassingsgebied
1.Bij deze verordening wordt de Europese ruimte voor gezondheidsgegevens (European Health Data Space — EHDS) vastgesteld door te voorzien in regels, gemeenschappelijke normen en praktijken, infrastructuren en een governancekader voor het primaire en secundaire gebruik van elektronische gezondheidsgegevens.
2.Deze verordening:
a)versterkt de rechten van natuurlijke personen met betrekking tot de beschikbaarheid van en zeggenschap over hun elektronische gezondheidsgegevens;
b)bevat voorschriften voor het in de handel brengen, het op de markt aanbieden en de ingebruikneming van systemen voor elektronische patiëntendossiers (EPD-systemen) in de Unie;
c)stelt regels en mechanismen vast ter ondersteuning van het secundaire gebruik van elektronische gezondheidsgegevens;
d)brengt een verplichte grensoverschrijdende infrastructuur tot stand die het primaire gebruik van elektronische gezondheidsgegevens in de hele Unie mogelijk maakt;
e)brengt een verplichte grensoverschrijdende infrastructuur tot stand voor het secundaire gebruik van elektronische gezondheidsgegevens.
3.Deze verordening is van toepassing op:
a)fabrikanten en leveranciers van EPD-systemen en wellnessapps die in de Unie in de handel worden gebracht en in gebruik worden genomen, en de gebruikers van dergelijke producten;
b)in de Unie gevestigde verwerkingsverantwoordelijken en verwerkers die elektronische gezondheidsgegevens verwerken van burgers van de Unie en onderdanen van derde landen die legaal op het grondgebied van de lidstaten verblijven;
c)in een derde land gevestigde verwerkingsverantwoordelijken en verwerkers die verbonden of interoperabel zijn met MyHealth@EU, overeenkomstig artikel 12, lid 5;
d)gegevensgebruikers aan wie elektronische gezondheidsgegevens door gegevenshouders in de Unie beschikbaar worden gesteld.
4.Deze verordening doet geen afbreuk aan andere rechtshandelingen van de Unie betreffende de toegang tot, het delen van of het secundaire gebruik van elektronische gezondheidsgegevens, noch aan vereisten voor de verwerking van gegevens in verband met elektronische gezondheidsgegevens, met name Verordeningen (EU) 2016/679, (EU) 2018/1725, [...] [datagovernanceverordening COM/2020/767 final] en [...] [dataverordening COM/2022/68 final].
5.Deze verordening doet geen afbreuk aan de Verordeningen (EU) 2017/745 en [...] [verordening artificiële intelligentie, COM/2021/206 final] wat betreft de veiligheid van medische hulpmiddelen en AI-systemen die interageren met EPD-systemen.
6.Deze verordening doet geen afbreuk aan de rechten en verplichtingen die zijn vastgelegd in het Unierecht of het nationale recht inzake gegevensverwerking met het oog op rapportage, het voldoen aan informatieverzoeken of het aantonen of verifiëren van de naleving van wettelijke verplichtingen.
Artikel 2
Definities
1.Voor de toepassing van deze verordening zijn de volgende definities van toepassing:
a)de definities in Verordening (EU) 2016/679;
b)de definities van “gezondheidszorg”, “lidstaat van aansluiting”, “lidstaat waar de behandeling plaatsvindt”, “gezondheidswerker”, “zorgaanbieder”, “geneesmiddel” en “recept” overeenkomstig artikel 3, punten a), c), d), f), g), i) en k), van Richtlijn 2011/24/EU;
c)de definities van “gegevens”, “toegang”, “gegevensaltruïsme”, “overheidsinstantie” en “beveiligde verwerkingsomgeving” overeenkomstig artikel 2, lid 1, punten 8), 10), 11) en 14) van [datagovernanceverordening COM/2020/767 final];
d)de definities van “op de markt aanbieden”, “in de handel brengen”, “markttoezicht”, “markttoezichtautoriteit”, “non-conformiteit”, “fabrikant”, “importeur”, “distributeur”, “marktdeelnemer”, “corrigerende maatregel”, “risico”, “terugroepen” en “uit de handel nemen” overeenkomstig artikel 2, punten 1, 2), 3), 4), 7), 8), 9), 10), 13), 16), 18), 22) en 23) van Verordening (EU) 2019/1020;
e)de definities van “medisch hulpmiddel”, “beoogd doeleind”, “gebruiksaanwijzing”, “prestaties”, “zorginstelling” en “gemeenschappelijke specificaties” overeenkomstig artikel 2, lid 1, 12), 14), 22), 36), en 71) van Verordening (EU) 2017/745;
f)de definities van “elektronische identificatie”, “elektronisch identificatiemiddel” en “persoonsidentificatiegegevens” overeenkomstig artikel 3, punten 1, 2) en 3) van Verordening (EU) nr. 910/2014.
2.Voorts gelden voor de toepassing van deze verordening de volgende definities:
a)“persoonlijke elektronische gezondheidsgegevens”: gegevens over gezondheid en genetische gegevens zoals gedefinieerd in Verordening (EU) 2016/679, alsmede gegevens die betrekking hebben op gezondheidsdeterminanten, of gegevens die worden verwerkt in verband met de verlening van gezondheidsdiensten, die in elektronische vorm worden verwerkt;
b)“niet-persoonsgebonden elektronische gezondheidsgegevens”: gegevens over gezondheid en genetische gegevens in elektronische vorm die buiten de definitie van persoonsgegevens in artikel 4, lid 1, van Verordening (EU) 2016/679 vallen;
c)“elektronische gezondheidsgegevens”: persoonlijke of niet-persoonsgebonden elektronische gezondheidsgegevens;
d)“primair gebruik van elektronische gezondheidsgegevens”: de verwerking van persoonlijke elektronische gezondheidsgegevens voor de verlening van gezondheidsdiensten om de gezondheidstoestand van de natuurlijke persoon op wie die gegevens betrekking hebben te beoordelen, te behouden of te herstellen, waaronder begrepen het voorschrijven en het verstrekken van geneesmiddelen en medische hulpmiddelen, alsmede voor relevante socialezekerheids-, administratieve of vergoedingsdiensten;
e)“secundair gebruik van elektronische gezondheidsgegevens”: de verwerking van elektronische gezondheidsgegevens voor de in hoofdstuk IV van deze verordening vermelde doeleinden. De gebruikte gegevens kunnen persoonlijke elektronische gezondheidsgegevens omvatten die aanvankelijk in het kader van primair gebruik zijn verzameld, maar ook elektronische gezondheidsgegevens die voor het secundaire gebruik zijn verzameld;
f)“interoperabiliteit”: het vermogen van zowel organisaties als softwaretoepassingen of -apparaten van dezelfde fabrikant of van verschillende fabrikanten om te interageren met het oog op doelstellingen die voor beide partijen voordelig zijn, met inbegrip van de uitwisseling van informatie en kennis zonder de inhoud van de gegevens tussen deze organisaties, softwaretoepassingen of -apparaten te wijzigen, via de processen die zij ondersteunen;
g)“Europees uitwisselingsformaat voor elektronische patiëntendossiers”: een gestructureerd, algemeen gebruikt en machineleesbaar formaat dat de doorgifte van persoonlijke elektronische gezondheidsgegevens tussen verschillende softwaretoepassingen, -apparaten en zorgaanbieders mogelijk maakt;
h)“registratie van elektronische gezondheidsgegevens”: het registreren van gezondheidsgegevens in elektronisch formaat, door het handmatig invoeren van gegevens, door het verzamelen van gegevens door middel van een apparaat, of door omzetting van niet-elektronische gezondheidsgegevens in een elektronisch formaat, die moeten worden verwerkt in een EPD-systeem of een wellnessapp;
i)“dienst voor toegang tot elektronische gezondheidsgegevens”: een onlinedienst, zoals een portaal of een mobiele applicatie waar natuurlijke personen die niet beroepshalve handelen, toegang kunnen krijgen tot hun eigen elektronische gezondheidsgegevens of tot de elektronische gezondheidsgegevens van andere natuurlijke personen, voor zover zij daartoe wettelijk bevoegd zijn;
j)“toegangsdienst voor gezondheidswerkers”: een door een EPD-systeem ondersteunde dienst die gezondheidswerkers toegang geeft tot gegevens van natuurlijke personen die onder hun behandeling staan;
k)“gegevensontvanger”: een natuurlijke of rechtspersoon die gegevens ontvangt van een andere verwerkingsverantwoordelijke in het kader van het primaire gebruik van elektronische gezondheidsgegevens;
l)“telegeneeskunde”: het verlenen van gezondheidsdiensten, met inbegrip van zorg op afstand en internetapotheken, door middel van informatie- en communicatietechnologieën, in situaties waarin de gezondheidswerker en de patiënt (of meerdere gezondheidswerkers) zich niet op dezelfde locatie bevinden;
m)“EPD” (elektronisch patiëntendossier): een verzameling elektronische gezondheidsgegevens van een natuurlijke persoon die in het gezondheidsstelsel worden verzameld en voor gezondheidszorgdoeleinden worden verwerkt;
n)“EPD-systeem” (systeem voor elektronische patiëntendossiers): elk apparaat of elke software die door de fabrikant is bedoeld om te worden gebruikt voor het opslaan, bemiddelen, invoeren, uitvoeren, omzetten, bewerken of bekijken van elektronische medische dossiers;
o)“wellnessapp”: elk apparaat of elke software die door de fabrikant is bedoeld om door een natuurlijke persoon te worden gebruikt voor de verwerking van elektronische gezondheidsgegevens voor andere doeleinden dan gezondheidszorg, zoals welzijn en het nastreven van een gezonde levensstijl;
p)“CE-conformiteitsmarkering”: een markering waarmee de fabrikant aangeeft dat het EPD-systeem conform is met de toepasselijke voorschriften van deze verordening en andere toepasselijke harmonisatiewetgeving van de Unie die in het aanbrengen ervan voorziet;
q)“ernstig incident”: een storing of verslechtering van de kenmerken of prestaties van een EPD-systeem dat op de markt wordt aangeboden en dat direct of indirect leidt, had kunnen leiden of kan leiden tot:
i)het overlijden van een natuurlijk persoon of ernstige schade aan de gezondheid van een natuurlijk persoon;
ii)een ernstige verstoring van het beheer en de exploitatie van kritieke infrastructuur in de gezondheidssector;
r)“nationaal contactpunt voor digitale gezondheid”: een organisatorische en technische toegangspoort voor de verlening van grensoverschrijdende digitale gezondheidsinformatiediensten voor primair gebruik van elektronische gezondheidsgegevens, onder de verantwoordelijkheid van de lidstaten;
s)“centraal platform voor digitale gezondheid”: een interoperabiliteitsplatform dat diensten verleent om de uitwisseling van elektronische gezondheidsgegevens tussen nationale contactpunten voor digitale gezondheid te ondersteunen en te vereenvoudigen;
t)“MyHealth@EU”: de grensoverschrijdende infrastructuur voor primair gebruik van elektronische gezondheidsgegevens, die wordt gevormd door de combinatie van nationale contactpunten voor digitale gezondheid en het centrale platform voor digitale gezondheid;
u)“nationaal contactpunt voor secundair gebruik van elektronische gezondheidsgegevens”: een organisatorische en technische toegangspoort die het grensoverschrijdende secundaire gebruik van elektronische gezondheidsgegevens mogelijk maakt, onder de verantwoordelijkheid van de lidstaten;
v)“centraal platform voor secundair gebruik van elektronische gezondheidsgegevens”: een door de Commissie opgericht interoperabiliteitsplatform dat diensten verleent om de uitwisseling van informatie tussen nationale contactpunten voor secundair gebruik van elektronische gezondheidsgegevens te ondersteunen en te vereenvoudigen;
x)“HealthData@EU”: de infrastructuur die de nationale contactpunten voor secundair gebruik van elektronische gezondheidsgegevens verbindt met het centrale platform;
y)“gegevenshouder”: een natuurlijke persoon of rechtspersoon die een entiteit of een orgaan in de gezondheids- of zorgsector is, of die onderzoek verricht met betrekking tot deze sectoren, of een instelling, orgaan of instantie van de Unie die het recht of de verplichting heeft om overeenkomstig deze verordening, het toepasselijke Unierecht of nationale wetgeving tot uitvoering van het recht van de Unie, of – in het geval van niet-persoonsgebonden gegevens – door controle op het technische ontwerp van een product en aanverwante diensten, en in staat is om bepaalde gegevens ter beschikking te stellen, te registreren, te verstrekken, te beperken of uit te wisselen;
z)“gegevensgebruiker”: een natuurlijke persoon of rechtspersoon die rechtmatige toegang heeft tot persoonlijke of niet-persoonsgebonden elektronische gezondheidsgegevens voor secundair gebruik;
aa)“gegevensvergunning”: een administratief besluit dat door een instantie voor toegang tot gezondheidsgegevens of een gegevenshouder aan een gegevensgebruiker wordt afgegeven om de in de gegevensvergunning gespecificeerde elektronische gezondheidsgegevens te verwerken voor de in de gegevensvergunning gespecificeerde secundaire gebruiksdoeleinden, op basis van de in deze verordening vastgestelde voorwaarden;
ab)“dataset”: een gestructureerde verzameling van elektronische gezondheidsgegevens;
ac)“catalogus van datasets”: een verzameling beschrijvingen van datasets, die op systematische wijze is geordend en bestaat uit een gebruikersgericht openbaar gedeelte waarin informatie over de parameters van individuele datasets langs elektronische weg toegankelijk is via een onlineportaal;
ad)“gegevenskwaliteit”: de mate waarin kenmerken van elektronische gezondheidsgegevens geschikt zijn voor secundair gebruik;
ae)“gegevenskwaliteits- en -bruikbaarheidslabel”: een grafisch diagram, met inbegrip van een schaal, waarin de gegevenskwaliteit en de gebruiksvoorwaarden van een dataset worden beschreven.
Hoofdstuk II
Primair gebruik van elektronische gezondheidsgegevens
Afdeling 1
Toegang tot en doorgifte van persoonlijke elektronische gezondheidsgegevens voor primair gebruik
Artikel 3
Rechten van natuurlijke personen met betrekking tot het primaire gebruik van hun persoonlijke elektronische gezondheidsgegevens
1.Natuurlijke personen hebben onmiddellijk, kosteloos en in een gemakkelijk leesbare, geconsolideerde en toegankelijke vorm recht op toegang tot hun persoonlijke elektronische gezondheidsgegevens die worden verwerkt in het kader van primair gebruik van elektronische gezondheidsgegevens.
2.Natuurlijke personen hebben het recht een elektronische kopie te ontvangen, in het in artikel 6 bedoelde Europese uitwisselingsformaat van elektronische patiëntendossiers, van ten minste hun elektronische gezondheidsgegevens in de prioritaire categorieën als bedoeld in artikel 5.
3.Overeenkomstig artikel 23 van Verordening (EU) 2016/679 kunnen de lidstaten de reikwijdte van dit recht beperken wanneer dat nodig is voor de bescherming van de natuurlijke persoon op basis van patiëntveiligheid en ethiek, door de toegang van deze personen tot hun persoonlijke elektronische gezondheidsgegevens voor een beperkte periode uit te stellen totdat een gezondheidswerker de natuurlijke persoon naar behoren informatie kan geven en toelichten die aanzienlijke gevolgen voor zijn gezondheid kan hebben.
4.Indien de persoonlijke gezondheidsgegevens vóór de toepassing van deze verordening niet elektronisch zijn geregistreerd, kunnen de lidstaten eisen dat die gegevens overeenkomstig dit artikel in elektronische vorm beschikbaar worden gesteld. Dit doet geen afbreuk aan de verplichting om na de toepassing van deze verordening geregistreerde persoonlijke elektronische gezondheidsgegevens in elektronische vorm beschikbaar te stellen overeenkomstig dit artikel.
5.De lidstaten:
a)zetten een of meer diensten voor toegang tot elektronische gezondheidsgegevens op nationaal, regionaal of lokaal niveau op die de uitoefening van de in de leden 1 en 2 bedoelde rechten mogelijk maken;
b)zetten een of meer proxydiensten op die natuurlijke personen in staat stellen andere natuurlijke personen van hun keuze toestemming te verlenen om namens hen toegang te krijgen tot hun elektronische gezondheidsgegevens.
De proxydiensten verlenen kosteloos vergunningen, in elektronische vorm of op papier. Zij stellen voogden of andere vertegenwoordigers in staat automatisch of op verzoek toegang te krijgen tot de elektronische gezondheidsgegevens van de natuurlijke personen wier zaken zij beheren. De lidstaten mogen bepalen dat een vergunning niet van toepassing is in gevallen waarin dit noodzakelijk is met het oog op de bescherming van de natuurlijke persoon, en met name in verband met patiëntveiligheid en ethiek. De proxydiensten zijn interoperabel tussen de lidstaten.
6.Natuurlijke personen kunnen hun elektronische gezondheidsgegevens invoeren in hun eigen EPD of in de EPD's van natuurlijke personen waartoe zij toegang hebben, via diensten voor toegang tot elektronische gezondheidsgegevens of toepassingen die verband houden met die diensten. Deze informatie wordt gemarkeerd als zijnde ingevoerd door de natuurlijke persoon of zijn of haar vertegenwoordiger.
7.De lidstaten zorgen ervoor dat natuurlijke personen bij de uitoefening van het recht op rectificatie uit hoofde van artikel 16 van Verordening (EU) 2016/679 gemakkelijk online om rectificatie kunnen verzoeken via de in lid 5, punt a), van dit artikel bedoelde diensten voor toegang tot elektronische gezondheidsgegevens.
8.Natuurlijke personen hebben het recht om toegang te verlenen tot hun elektronische gezondheidsgegevens of om een gegevenshouder uit de gezondheids- of socialezekerheidssector te verzoeken deze gegevens onmiddellijk, kosteloos en zonder belemmeringen van de gegevenshouder of van de fabrikanten van de door die houder gebruikte systemen door te geven aan een ontvanger van de gegevens van zijn keuze uit de gezondheids- of socialezekerheidssector.
Natuurlijke personen hebben het recht om, wanneer de gegevenshouder en de gegevensontvanger zich in verschillende lidstaten bevinden en dergelijke elektronische gezondheidsgegevens tot de in artikel 5 bedoelde categorieën behoren, de gegevens door te geven in het in artikel 6 bedoelde Europees uitwisselingsformaat voor elektronische patiëntendossiers en de gegevensontvanger moet deze gegevens lezen en aanvaarden.
In afwijking van artikel 9 van Verordening [...] [dataverordening COM/2022/68 final] is de gegevensontvanger niet verplicht de gegevenshouder te vergoeden voor het beschikbaar stellen van elektronische gezondheidsgegevens.
Natuurlijke personen hebben er recht op dat, wanneer de in artikel 5 bedoelde prioritaire categorieën van persoonlijke elektronische gezondheidsgegevens door de natuurlijke persoon worden toegezonden of beschikbaar gesteld overeenkomstig het in artikel 6 bedoelde Europese uitwisselingsformaat voor elektronische patiëntendossiers, die gegevens door andere zorgaanbieders worden gelezen en aanvaard.
9.Onverminderd artikel 6, lid 1, punt d), van Verordening (EU) 2016/679 hebben natuurlijke personen het recht de toegang van gezondheidswerkers tot alle of een deel van hun elektronische gezondheidsgegevens te beperken. De lidstaten stellen de regels en specifieke waarborgen met betrekking tot dergelijke beperkingsmechanismen vast.
10.Natuurlijke personen hebben het recht informatie te verkrijgen over de zorgaanbieders en gezondheidswerkers die in het kader van gezondheidszorg toegang hebben gehad tot hun elektronische gezondheidsgegevens. De informatie wordt onmiddellijk en kosteloos verstrekt via diensten voor toegang tot elektronische gezondheidsgegevens.
11.De toezichthoudende autoriteiten die verantwoordelijk zijn voor het toezicht op de toepassing van Verordening (EU) 2016/679, zijn ook verantwoordelijk voor het toezicht op de toepassing van dit artikel, overeenkomstig de desbetreffende bepalingen van de hoofdstukken VI, VII en VIII van Verordening (EU) 2016/679. Zij zijn bevoegd om administratieve geldboeten op te leggen tot het in artikel 83, lid 5, van die verordening bedoelde bedrag. De in artikel 10 van deze verordening bedoelde toezichthoudende autoriteiten en digitale gezondheidsautoriteiten werken in voorkomend geval samen bij de handhaving van deze verordening, binnen de grenzen van hun respectieve bevoegdheden.
12.De Commissie bepaalt door middel van uitvoeringshandelingen de voorschriften voor de technische uitvoering van de in dit artikel vastgestelde rechten. Die uitvoeringshandelingen worden volgens de in artikel 68, lid 2, bedoelde raadplegingsprocedure vastgesteld.
Artikel 4
Toegang van gezondheidswerkers tot persoonlijke elektronische gezondheidsgegevens
1.Wanneer zij gegevens in een elektronisch formaat verwerken, moeten gezondheidswerkers:
a)toegang hebben tot de elektronische gezondheidsgegevens van natuurlijke personen die onder hun behandeling staan, ongeacht de lidstaat van aansluiting en de lidstaat waar de behandeling plaatsvindt;
b)ervoor zorgen dat de persoonlijke elektronische gezondheidsgegevens van de natuurlijke personen die zij behandelen, worden bijgewerkt met informatie over de verleende gezondheidsdiensten.
2.In overeenstemming met het beginsel van minimale gegevensverwerking waarin Verordening (EU) 2016/679 voorziet, kunnen de lidstaten regels vaststellen voor de categorieën van persoonlijke elektronische gezondheidsgegevens die de verschillende beroepen in de gezondheidszorg nodig hebben. Dergelijke regels mogen niet gebaseerd zijn op de bron van elektronische gezondheidsgegevens.
3.De lidstaten zorgen ervoor dat de toegang tot ten minste de prioritaire categorieën van elektronische gezondheidsgegevens als bedoeld in artikel 5 beschikbaar wordt gesteld aan gezondheidswerkers via toegangsdiensten voor gezondheidswerkers. Gezondheidswerkers die in het bezit zijn van erkende elektronische identificatiemiddelen hebben het recht om kosteloos gebruik te maken van die toegangsdiensten voor gezondheidswerkers.
4.Wanneer de toegang tot elektronische gezondheidsgegevens door de natuurlijke persoon is beperkt, worden de zorgaanbieder of gezondheidswerkers niet zonder voorafgaande toestemming van de natuurlijke persoon in kennis gesteld van de inhoud van de elektronische gezondheidsgegevens, ook niet wanneer de aanbieder of beroepsbeoefenaar in kennis wordt gesteld van het bestaan en de aard van de beperkte elektronische gezondheidsgegevens. Wanneer de verwerking noodzakelijk is ter bescherming van de vitale belangen van het betrokken datasubject of van een andere natuurlijke persoon, kan de zorgaanbieder of gezondheidswerker toegang krijgen tot de beperkte elektronische gezondheidsgegevens. Na deze toegang stelt de zorgaanbieder of gezondheidswerker de gegevenshouder en de betrokken natuurlijke persoon of zijn voogden ervan in kennis dat toegang tot elektronische gezondheidsgegevens is verleend. De wetgeving van de lidstaten kan aanvullende waarborgen toevoegen.
Artikel 5
Prioritaire categorieën van persoonlijke elektronische gezondheidsgegevens voor primair gebruik
1.Wanneer gegevens in elektronisch formaat worden verwerkt, voorzien de lidstaten in toegang tot en uitwisseling van persoonlijke elektronische gezondheidsgegevens voor primair gebruik die geheel of gedeeltelijk onder de volgende categorieën vallen:
a)patiëntendossiers;
b)elektronische recepten;
c)elektronische verstrekkingen;
d)medisch beelden en verslagen daarover;
e)laboratoriumresultaten;
f)ontslagverslagen.
De belangrijkste kenmerken van de in de eerste alinea bedoelde categorieën elektronische gezondheidsgegevens zijn die van bijlage I.
De toegang tot en de uitwisseling van elektronische gezondheidsgegevens voor primair gebruik kunnen mogelijk worden gemaakt voor andere categorieën van persoonlijke elektronische gezondheidsgegevens die beschikbaar zijn in het EPD van natuurlijke personen.
2.De Commissie is bevoegd om overeenkomstig artikel 67 gedelegeerde handelingen vast te stellen tot wijziging van de lijst van prioritaire categorieën van elektronische gezondheidsgegevens in lid 1. Dergelijke gedelegeerde handelingen kunnen ook bijlage I wijzigen door de belangrijkste kenmerken van de prioritaire categorieën van elektronische gezondheidsgegevens toe te voegen, te wijzigen of te verwijderen en, in voorkomend geval, een uitgestelde toepassingsdatum aan te geven. De categorieën elektronische gezondheidsgegevens die door middel van dergelijke gedelegeerde handelingen worden toegevoegd, voldoen aan de volgende criteria:
a)de categorie is relevant voor gezondheidsdiensten die aan natuurlijke personen worden verleend;
b)volgens de meest recente informatie wordt de categorie gebruikt in een aanzienlijk aantal EPD-systemen die in de lidstaten worden gebruikt;
c)er bestaan internationale normen voor de categorie die is onderzocht met het oog op de toepassing ervan in de Unie.
Artikel 6
Europees uitwisselingsformaat voor elektronische patiëntendossiers
1.De Commissie stelt door middel van uitvoeringshandelingen de technische specificaties vast voor de in artikel 5 bedoelde prioritaire categorieën van persoonlijke elektronische gezondheidsgegevens, en daarmee ook het Europees formaat voor de uitwisseling van elektronische patiëntendossiers. Het formaat omvat de volgende elementen:
a)datasets die elektronische gezondheidsgegevens en definiërende structuren bevatten, zoals gegevensvelden en gegevensgroepen voor de weergave van klinische inhoud en andere delen van de elektronische gezondheidsgegevens;
b)coderingssystemen en -waarden die moeten worden gebruikt in datasets die elektronische gezondheidsgegevens bevatten;
c)technische specificaties voor de uitwisseling van elektronische gezondheidsgegevens, met inbegrip van de weergave van de inhoud, normen en profielen.
2.Die uitvoeringshandelingen worden volgens de in artikel 68, lid 2, bedoelde raadplegingsprocedure vastgesteld. De lidstaten zorgen ervoor dat wanneer de in artikel 5 bedoelde prioritaire categorieën van persoonlijke elektronische gezondheidsgegevens door een natuurlijke persoon rechtstreeks of automatisch aan een zorgaanbieder worden verstrekt in het in lid 1 bedoelde formaat, deze gegevens door de gegevensontvanger worden gelezen en aanvaard.
3.De lidstaten zorgen ervoor dat de in artikel 5 bedoelde prioritaire categorieën van persoonlijke elektronische gezondheidsgegevens worden verstrekt in het in lid 1 bedoelde formaat en dat deze gegevens door de gegevensontvanger worden gelezen en aanvaard.
Artikel 7
Registratie van persoonlijke elektronische gezondheidsgegevens
1.De lidstaten zorgen ervoor dat, wanneer gegevens in elektronische vorm worden verwerkt, gezondheidswerkers de relevante gezondheidsgegevens die ten minste vallen onder de in artikel 5 bedoelde prioritaire categorieën betreffende de gezondheidsdiensten die zij aan natuurlijke personen verlenen, systematisch registreren in het elektronische formaat in een EPD-systeem.
2.Wanneer elektronische gezondheidsgegevens van een natuurlijke persoon zijn geregistreerd in een lidstaat die niet de lidstaat van aansluiting van die persoon is, zorgt de lidstaat waar de behandeling plaatsvindt ervoor dat de registratie wordt verricht op basis van de persoonsidentificatiegegevens van de natuurlijke persoon in de lidstaat van aansluiting.
3.De Commissie stelt door middel van uitvoeringshandelingen de voorschriften vast voor de registratie van elektronische gezondheidsgegevens door zorgaanbieders en natuurlijke personen, naargelang het geval. In die uitvoeringshandelingen wordt het volgende vastgesteld:
a)categorieën zorgaanbieders die gezondheidsgegevens elektronisch moeten registreren;
b)categorieën gezondheidsgegevens die door de onder a) bedoelde zorgaanbieders systematisch in elektronische vorm moeten worden geregistreerd;
c)vereisten inzake gegevenskwaliteit die betrekking hebben op de registratie van elektronische gezondheidsgegevens.
Die uitvoeringshandelingen worden volgens de in artikel 68, lid 2, bedoelde raadplegingsprocedure vastgesteld.
Artikel 8
Telegeneeskunde in het kader van grensoverschrijdende gezondheidszorg
Wanneer een lidstaat de verlening van telegeneeskundediensten aanvaardt, aanvaardt deze lidstaat de verlening van soortgelijke diensten door in andere lidstaten gevestigde zorgaanbieders onder dezelfde voorwaarden.
Artikel 9
Identificatiebeheer
1.Wanneer een natuurlijke persoon gebruikmaakt van telegeneeskundediensten of toegangsdiensten voor persoonlijke gezondheidsgegevens als bedoeld in artikel 3, lid 5, punt a), heeft die natuurlijke persoon het recht zich elektronisch te identificeren met behulp van elk elektronisch identificatiemiddel dat is erkend overeenkomstig artikel 6 van Verordening (EU) nr. 910/2014.
2.De Commissie stelt door middel van uitvoeringshandelingen de vereisten vast voor het interoperabele, grensoverschrijdende identificatie- en authenticatiemechanisme voor natuurlijke personen en gezondheidswerkers, overeenkomstig Verordening (EU) nr. 910/2014, zoals gewijzigd bij [COM(2021) 281 final]. Het mechanisme moet de overdraagbaarheid van elektronische gezondheidsgegevens in een grensoverschrijdende context vereenvoudigen. Die uitvoeringshandelingen worden volgens de in artikel 68, lid 2, bedoelde raadplegingsprocedure vastgesteld.
3.De Commissie voert de diensten uit die vereist zijn door het in lid 2 van dit artikel bedoelde interoperabele, grensoverschrijdende identificatie- en authenticatiemechanisme op het niveau van de Unie, als onderdeel van de in artikel 12, lid 3, bedoelde infrastructuur voor grensoverschrijdende digitale gezondheid.
4.De Commissie en de digitale gezondheidsautoriteiten passen het mechanisme voor grensoverschrijdende identificatie en authenticatie toe op respectievelijk het niveau van de Unie en dat van de lidstaten.
Artikel 10
Digitale gezondheidsautoriteit
1.Elke lidstaat wijst een digitale gezondheidsautoriteit aan die verantwoordelijk is voor de uitvoering en handhaving van dit hoofdstuk op nationaal niveau. De lidstaten delen de Commissie uiterlijk op de datum van toepassing van deze verordening de identiteit van de digitale gezondheidsautoriteit mee. Wanneer een aangewezen digitale gezondheidsautoriteit een entiteit is die uit meerdere organisaties bestaat, verstrekt de lidstaat de Commissie een beschrijving van de scheiding van taken tussen de organisaties. De Commissie maakt deze informatie bekend.
2.Elke digitale gezondheidsautoriteit wordt belast met de volgende taken:
a)waarborgen van de uitvoering van de in de hoofdstukken II en III bedoelde rechten en verplichtingen door de nodige nationale, regionale of lokale technische oplossingen in te voeren en door relevante regels en mechanismen vast te stellen;
b)ervoor zorgen dat volledige en actuele informatie over de uitvoering van de in de hoofdstukken II en III bedoelde rechten en verplichtingen gemakkelijk beschikbaar wordt gesteld aan natuurlijke personen, gezondheidswerkers en zorgaanbieders;
c)bij de uitvoering van de onder a) bedoelde technische oplossingen erop toezien dat deze voldoen aan de hoofdstukken II en III en bijlage II;
d)op het niveau van de Unie bijdragen tot de ontwikkeling van technische oplossingen die natuurlijke personen en gezondheidswerkers in staat stellen hun in dit hoofdstuk vastgestelde rechten en verplichtingen uit te oefenen;
e)personen met een handicap helpen hun in artikel 3 van deze verordening vermelde rechten uit te oefenen overeenkomstig Richtlijn (EU) 2019/882 van het Europees Parlement en de Raad 55 .
f)toezicht houden op de nationale contactpunten voor digitale gezondheid en samenwerken met andere digitale gezondheidsautoriteiten en de Commissie om MyHealth@EU verder te ontwikkelen;
g)zorgen voor de uitvoering, op nationaal niveau, van het Europees uitwisselingsformaat voor elektronische patiëntendossiers, in samenwerking met de nationale autoriteiten en belanghebbenden;
h)bijdragen op het niveau van de Unie aan de ontwikkeling van het Europees uitwisselingsformaat voor elektronische patiëntendossiers en aan de opstelling van gemeenschappelijke specificaties inzake interoperabiliteit, beveiliging, veiligheid of grondrechten overeenkomstig artikel 23, en van de specificaties van de EU-databank voor EPD-systemen en wellnessapps als bedoeld in artikel 32;
i)in voorkomend geval markttoezichtactiviteiten verrichten overeenkomstig artikel 28, en ervoor zorgen dat belangenconflicten worden vermeden;
j)nationale capaciteit opbouwen om interoperabiliteit en beveiliging van het primaire gebruik van elektronische gezondheidsgegevens tot stand te brengen en deel te nemen aan informatie-uitwisselingen en activiteiten voor capaciteitsopbouw op het niveau van de Unie;
k)telegeneeskundediensten aanbieden, in overeenstemming met de nationale wetgeving, en ervoor zorgen dat dergelijke diensten gemakkelijk te gebruiken zijn, toegankelijk zijn voor verschillende groepen natuurlijke personen en gezondheidswerkers, met inbegrip van natuurlijke personen met een handicap, dat deze niet discrimineren en de mogelijkheid bieden om te kiezen tussen persoonlijke en digitale diensten;
l)samenwerken met markttoezichtautoriteiten, deelnemen aan de activiteiten in verband met de aanpak van risico’s die samenhangen met EPD-systemen en van ernstige incidenten, en toezicht houden op de uitvoering van corrigerende maatregelen overeenkomstig artikel 29;
m)samenwerken met andere relevante entiteiten en organen op nationaal of Unieniveau om interoperabiliteit, gegevensoverdraagbaarheid en beveiliging van elektronische gezondheidsgegevens te waarborgen, alsook met vertegenwoordigers van belanghebbenden, waaronder vertegenwoordigers van patiënten, zorgaanbieders, gezondheidswerkers en brancheorganisaties;
n)samenwerken met toezichthoudende autoriteiten overeenkomstig Verordening (EU) nr. 910/2014, Verordening (EU) 2016/679 en Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad 56 , en met andere relevante autoriteiten, waaronder die welke bevoegd zijn voor cyberbeveiliging, elektronische identificatie, het Europees Comité voor kunstmatige intelligentie, de coördinatiegroep voor medische hulpmiddelen, de Europese raad voor gegevensinnovatie en de bevoegde autoriteiten uit hoofde van Verordening [...] [dataverordening COM/2022/68 final];
o)opstellen, in voorkomend geval in samenwerking met de markttoezichtautoriteiten, van een jaarlijks activiteitenverslag, dat een uitgebreid overzicht van haar activiteiten bevat. Het verslag wordt aan de Commissie toegezonden. Het jaarlijkse activiteitenverslag wordt opgesteld volgens een structuur die op Unieniveau is overeengekomen binnen de EHDS-raad, om benchmarking te ondersteunen overeenkomstig artikel 59. Het verslag bevat ten minste informatie over:
i)de ter uitvoering van deze verordening getroffen maatregelen;
ii)het percentage natuurlijke personen dat toegang heeft tot verschillende gegevenscategorieën van hun elektronische patiëntendossiers;
iii)informatie over de behandeling van verzoeken van natuurlijke personen over de uitoefening van hun rechten uit hoofde van deze verordening;
iv)het aantal zorgaanbieders van verschillende soorten, waaronder apotheken, ziekenhuizen en andere plaatsen waar zorg wordt aangeboden, verbonden aan MyHealth@EU, berekend a) in absolute aantallen, b) als aandeel van alle zorgaanbieders van hetzelfde type en c) als aandeel van natuurlijke personen die van de diensten gebruik kunnen maken;
v)de hoeveelheden elektronische gezondheidsgegevens van verschillende categorieën die over de grenzen heen worden gedeeld via MyHealth@EU;
vi)de mate van tevredenheid van natuurlijke personen over MyHealth@EU-diensten;
vii)het aantal gecertificeerde EPD-systemen en gelabelde wellnessapps die in de EU-databank zijn opgenomen;
viii)het aantal gevallen van niet-naleving van de dwingende eisen;
ix)een beschrijving van haar activiteiten in verband met de betrokkenheid en raadpleging van relevante belanghebbenden, waaronder vertegenwoordigers van natuurlijke personen, patiëntenorganisaties, gezondheidswerkers, onderzoekers en ethische commissies;
x)informatie over samenwerking met andere bevoegde instanties, met name op het gebied van gegevensbescherming, cyberbeveiliging en kunstmatige intelligentie.
3.De Commissie is bevoegd overeenkomstig artikel 67 gedelegeerde handelingen vast te stellen teneinde deze verordening aan te vullen door de digitale gezondheidsautoriteiten extra taken toe te vertrouwen die nodig zijn om de hun door deze verordening opgedragen taken te verrichten en de inhoud van het jaarverslag te wijzigen.
4.Elke lidstaat zorgt ervoor dat elke digitale gezondheidsautoriteit wordt voorzien van de personele, technische en financiële middelen, de gebouwen en de infrastructuur die nodig zijn voor de doeltreffende uitvoering van haar taken en de uitoefening van haar bevoegdheden.
5.Bij de verrichting van haar taken werkt de digitale gezondheidsautoriteit actief samen met vertegenwoordigers van belanghebbenden, waaronder patiëntenvertegenwoordigers. De leden van de digitale gezondheidsautoriteit moeten belangenconflicten vermijden.
Artikel 11
Recht om klachten in te dienen bij een digitale gezondheidsautoriteit
1.Onverminderd andere mogelijkheden van administratief beroep of beroep bij de rechter hebben natuurlijke en rechtspersonen het recht om individueel of, in voorkomend geval, collectief een klacht in te dienen bij de digitale gezondheidsautoriteit. Indien de klacht betrekking heeft op de rechten van natuurlijke personen op grond van artikel 3 van deze verordening, stelt de digitale gezondheidsautoriteit de toezichthoudende autoriteiten uit hoofde van Verordening (EU) 2016/679 hiervan in kennis.
2.De digitale gezondheidsautoriteit waarbij de klacht is ingediend, stelt de klager in kennis van het verloop van de procedure en van het genomen besluit.
3.De digitale gezondheidsautoriteiten werken samen om klachten zonder onnodige vertraging te behandelen en op te lossen, onder meer door alle relevante informatie elektronisch uit te wisselen.
Afdeling 2
Grensoverschrijdende infrastructuur voor primair gebruik van elektronische gezondheidsgegevens
Artikel 12
MyHealth@EU
1.De Commissie richt een centraal platform voor digitale gezondheid op om diensten te verlenen ter ondersteuning en vergemakkelijking van de uitwisseling van elektronische gezondheidsgegevens tussen de nationale contactpunten voor digitale gezondheid van de lidstaten.
2.Elke lidstaat wijst één nationaal contactpunt voor digitale gezondheid aan om de verbinding met alle andere nationale contactpunten voor digitale gezondheid en het centrale platform voor digitale gezondheid te waarborgen. Wanneer een aangewezen nationaal contactpunt een entiteit is die bestaat uit meerdere organisaties die verantwoordelijk zijn voor de uitvoering van verschillende diensten, verstrekt de lidstaat de Commissie een beschrijving van de taakverdeling tussen de organisaties. Het nationale contactpunt voor digitale gezondheid wordt beschouwd als een toegelaten deelnemer van de infrastructuur. Elke lidstaat deelt de identiteit van zijn nationale contactpunt uiterlijk op [de datum van toepassing van deze verordening] mee aan de Commissie. Een dergelijk contactpunt kan worden opgericht binnen de bij artikel 10 van deze verordening opgerichte digitale gezondheidsautoriteit. Lidstaten stellen de Commissie in kennis van elke latere wijziging in de identiteit van deze contactpunten. De Commissie en de lidstaten maken deze informatie beschikbaar voor het publiek.
3.Elk nationaal contactpunt voor digitale gezondheid maakt de uitwisseling van de in artikel 5 bedoelde persoonlijke elektronische gezondheidsgegevens met alle andere nationale contactpunten mogelijk. De uitwisseling is gebaseerd op het Europese uitwisselingsformaat voor elektronische patiëntendossiers.
4.De Commissie stelt door middel van uitvoeringshandelingen de nodige maatregelen vast voor de technische ontwikkeling van MyHealth@EU, gedetailleerde voorschriften betreffende de beveiliging, vertrouwelijkheid en bescherming van elektronische gezondheidsgegevens en de voorwaarden en nalevingscontroles die nodig zijn om zich aan te sluiten bij MyHealth@EU en ermee verbonden te blijven, en voorwaarden voor tijdelijke of definitieve loskoppeling van MyHealth@EU. Die uitvoeringshandelingen worden volgens de in artikel 68, lid 2, bedoelde raadplegingsprocedure vastgesteld.
5.De lidstaten zorgen ervoor dat alle zorgaanbieders worden aangesloten op hun nationale contactpunten voor digitale gezondheid en zorgen ervoor dat die verbonden personen in staat zijn elektronische gezondheidsgegevens in twee richtingen uit te wisselen met het nationale contactpunt voor digitale gezondheid.
6.De lidstaten zorgen ervoor dat apotheken die op hun grondgebied actief zijn, met inbegrip van internetapotheken, onder de voorwaarden van artikel 11 van Richtlijn 2011/24/EU door andere lidstaten verstrekte elektronische recepten kunnen verstrekken. De apotheken hebben toegang tot en accepteren elektronische recepten van andere lidstaten via MyHealth@EU. Apotheken die geneesmiddelen op basis van een elektronisch recept van een andere lidstaat verstrekken, gebruiken MyHealth@EU om de lidstaat die het recept heeft afgegeven daarvan in kennis te stellen.
7.De nationale contactpunten voor digitale gezondheid treden op als gezamenlijke verwerkingsverantwoordelijken voor de elektronische gezondheidsgegevens die via “MyHealth@EU” worden doorgegeven voor de verwerkingen waarbij zij betrokken zijn. De Commissie treedt op als verwerker.
8.De Commissie verdeelt door middel van uitvoeringshandelingen de verantwoordelijkheden over de verwerkingsverantwoordelijken en met betrekking tot de verwerker als bedoeld in lid 7 van dit artikel, overeenkomstig hoofdstuk IV van Verordening (EU) 2016/679. Die uitvoeringshandelingen worden volgens de in artikel 68, lid 2, bedoelde raadplegingsprocedure vastgesteld.
9.De toestemming voor individuele gemachtigde deelnemers om zich bij MyHealth@EU aan te sluiten of om een deelnemer uit de infrastructuur los te koppelen, wordt verleend door de groep voor gezamenlijke verwerkingsverantwoordelijkheid op basis van de resultaten van de nalevingscontroles.
Artikel 13
Aanvullende grensoverschrijdende digitale gezondheidsdiensten en -infrastructuur
1.De lidstaten kunnen via MyHealth@EU aanvullende diensten aanbieden ter vergemakkelijking van telegeneeskunde, mobiele gezondheidszorg, toegang van natuurlijke personen tot hun vertaalde gezondheidsgegevens, uitwisseling of verificatie van gezondheidgerelateerde certificaten (met inbegrip van vaccinatiekaarten), diensten ter ondersteuning van de volksgezondheid en monitoring van de volksgezondheid of digitale gezondheidszorgstelsels, diensten en interoperabele toepassingen, teneinde een hoog niveau van vertrouwen en veiligheid te bereiken, de continuïteit van de zorg te vergroten en de toegang tot veilige en hoogwaardige gezondheidszorg te waarborgen. De Commissie stelt door middel van uitvoeringshandelingen de technische aspecten van die bepaling vast. Die uitvoeringshandelingen worden volgens de in artikel 68, lid 2, bedoelde raadplegingsprocedure vastgesteld.
2.De Commissie en de lidstaten kunnen de uitwisseling van elektronische gezondheidsgegevens met andere infrastructuren, zoals het Clinical Patient Management System of andere diensten of infrastructuren op het gebied van gezondheid, zorg of sociale zekerheid die kunnen worden toegelaten als deelnemers van MyHealth@EU. De Commissie stelt door middel van uitvoeringshandelingen de technische aspecten van dergelijke uitwisselingen vast. Die uitvoeringshandelingen worden volgens de in artikel 68, lid 2, bedoelde raadplegingsprocedure vastgesteld. De aansluiting van een andere infrastructuur op het centrale platform voor digitale gezondheid is onderworpen aan een besluit van de groep voor gezamenlijke verwerkingsverantwoordelijkheid voor MyHealth@EU als bedoeld in artikel 66.
3.De lidstaten en de Commissie streven naar interoperabiliteit van MyHealth@EU met op internationaal niveau opgezette technologische systemen voor de uitwisseling van elektronische gezondheidsgegevens. De Commissie kan een uitvoeringshandeling vaststellen waarin wordt bepaald dat een nationaal contactpunt van een derde land of een op internationaal niveau ingesteld systeem voldoet aan de vereisten van MyHealth@EU voor de uitwisseling van elektronische gezondheidsgegevens. Alvorens een dergelijke uitvoeringshandeling vast te stellen, wordt onder toezicht van de Commissie een nalevingscontrole van het nationale contactpunt van het derde land of van het op internationaal niveau ingestelde systeem verricht.
De in dit lid, eerste alinea, bedoelde uitvoeringshandelingen worden volgens de in artikel 68 bedoelde procedure vastgesteld. De aansluiting van het nationale contactpunt van het derde land of van het op internationaal niveau ingestelde systeem op het centrale platform voor digitale gezondheid, alsmede het besluit om te worden losgekoppeld, zijn onderworpen aan een besluit van de groep voor gezamenlijke verwerkingsverantwoordelijkheid voor MyHealth@EU als bedoeld in artikel 66.
De Commissie maakt de lijst van de op grond van dit lid aangenomen uitvoeringshandelingen openbaar.
HOOFDSTUK III
EPD-systemen en wellnessapps
Afdeling 1
Algemene bepalingen voor EPD-systemen
Artikel 14
Wisselwerking met wetgeving inzake medische hulpmiddelen en AI-systemen
1.EPD-systemen die door de fabrikant zijn bestemd voor primair gebruik van prioritaire categorieën elektronische gezondheidsgegevens als bedoeld in artikel 5, zijn onderworpen aan de bepalingen van dit hoofdstuk.
2.Dit hoofdstuk is niet van toepassing op algemene software die in een gezondheidszorgomgeving wordt gebruikt.
3.Fabrikanten van medische hulpmiddelen zoals gedefinieerd in artikel 2, lid 1, van Verordening (EU) 2017/745 die beweren dat die medische hulpmiddelen interoperabel zijn met EPD-systemen, moeten aantonen dat zij voldoen aan de essentiële eisen inzake interoperabiliteit in afdeling 2 van bijlage II bij deze verordening. Artikel 23 van dit hoofdstuk is van toepassing op die medische hulpmiddelen.
4.Aanbieders van AI-systemen met een hoog risico zoals gedefinieerd in artikel 6 van Verordening [...] [verordening artificiële intelligentie, COM/2021/206 final] die niet onder Verordening (EU) 2017/745 vallen, die beweren dat die AI-systemen interoperabel zijn met EPD-systemen, moeten aantonen dat deze voldoen aan de essentiële eisen inzake interoperabiliteit in afdeling 2 van bijlage II bij deze verordening. Artikel 23 van dit hoofdstuk is van toepassing op die AI-systemen met een hoog risico.
5.Lidstaten kunnen specifieke regels handhaven of vaststellen voor de aanbesteding, vergoeding of financiering van EPD-systemen in het kader van de organisatie, verstrekking of financiering van gezondheidsdiensten.
Artikel 15
In de handel brengen en ingebruikneming
1.EPD-systemen mogen alleen in de handel worden gebracht of in gebruik worden genomen indien zij voldoen aan de bepalingen van dit hoofdstuk.
2.EPD-systemen die worden vervaardigd en gebruikt binnen in de Unie gevestigde zorginstellingen en EPD-systemen die als dienst in de zin van artikel 1, lid 1, punt b), van Richtlijn (EU) 2015/1535 van het Europees Parlement en de Raad 57 worden aangeboden aan een in de Unie gevestigde natuurlijke of rechtspersoon, worden geacht in gebruik te zijn genomen.
Artikel 16
Beweringen
In het informatieblad, de gebruiksaanwijzing of andere informatie die bij de EPD-systemen zijn gevoegd, en in reclame voor EPD-systemen, is het verboden tekst, benamingen, handelsmerken, afbeeldingen en andere al dan niet figuratieve tekens te gebruiken die de gebruiker kunnen misleiden met betrekking tot het beoogde doel, de interoperabiliteit en de veiligheid ervan door:
a)het EPD-systeem functies en eigenschappen toe te schrijven die het niet bezit;
b)de gebruiker niet te informeren over waarschijnlijke beperkingen in verband met de interoperabiliteit of beveiligingskenmerken van het EPD-systeem in verband met het beoogde doel ervan;
c)het te doen voorkomen alsof het EPD-systeem voor andere doeleinden gebruikt zou kunnen worden dan het in de technische documentatie vermelde beoogde doel.
Afdeling 2
Verplichtingen van marktdeelnemers met betrekking tot EPD-systemen
Artikel 17
Verplichtingen van fabrikanten van EPD-systemen
1.Fabrikanten van EPD-systemen:
a)zorgen ervoor dat hun EPD-systemen in overeenstemming zijn met de essentiële eisen van bijlage II en met de gemeenschappelijke specificaties overeenkomstig artikel 23;
b)stellen de technische documentatie van hun EPD-systemen op overeenkomstig artikel 24;
c)zorgen ervoor dat hun EPD-systemen kosteloos voor de gebruiker vergezeld gaan van het in artikel 25 bedoelde informatieblad en van duidelijke en volledige gebruiksaanwijzingen;
d)stellen de in artikel 26 genoemde EU-conformiteitsverklaring op;
e)brengen overeenkomstig artikel 27 de CE-markering aan;
f)leven de in artikel 32 genoemde registratieverplichtingen na;
g)nemen onverwijld de nodige corrigerende maatregelen met betrekking tot hun EPD-systemen die niet in overeenstemming zijn met de essentiële eisen van bijlage II, of roepen die systemen terug of nemen ze uit de handel;
h)stellen de distributeurs van hun EPD-systemen en, indien van toepassing, de gemachtigde en importeurs in kennis van corrigerende maatregelen, terugroepacties of het uit de handel nemen;
i)informeren de markttoezichtautoriteiten van de lidstaten waarin zij het EPD-systeem beschikbaar hebben gemaakt of in gebruik hebben gesteld en, waar van toepassing, de aangemelde instantie over de non-conformiteit en over eventuele getroffen corrigerende maatregelen;
j)verstrekken markttoezichtautoriteiten op verzoek alle benodigde informatie en documentatie om aan te tonen dat het EPD-systeem in overeenstemming is met de essentiële eisen van bijlage II;
k)verlenen op verzoek van markttoezichtautoriteiten medewerking aan alle maatregelen die worden genomen om hun EPD-systemen in overeenstemming te brengen met de essentiële eisen van bijlage II.
2.Fabrikanten van EPD-systemen zorgen ervoor dat er procedures zijn om te waarborgen dat het ontwerp, de ontwikkeling en de uitrol van een EPD-systeem blijven voldoen aan de essentiële eisen van bijlage II en de in artikel 23 bedoelde gemeenschappelijke specificaties. Veranderingen in het ontwerp of in de kenmerken van het EPD-systeem wordt terdege in aanmerking genomen en in de technische documentatie weergegeven.
3.Fabrikanten van EPD-systemen bewaren de technische documentatie en de EU-conformiteitsverklaring gedurende tien jaar nadat het laatste EPD-systeem waarop de EU-conformiteitsverklaring betrekking heeft, in de handel is gebracht.
Artikel 18
Gemachtigden
1.Alvorens een EPD-systeem op de markt van de Unie aan te bieden, wijst een buiten de Unie gevestigde fabrikant van een EPD-systeem per schriftelijk mandaat een in de Unie gevestigde gemachtigde aan.
2.Gemachtigden voeren de taken uit die gespecificeerd zijn in het mandaat dat zij van de fabrikant hebben ontvangen. Het mandaat laat de gemachtigde toe ten minste de volgende taken te verrichten:
a)de EU-conformiteitsverklaring en de technische documentatie gedurende de in artikel 17, lid 3, bedoelde termijn ter beschikking houden van de markttoezichtautoriteiten;
b)op een met redenen omkleed verzoek van een markttoezichtautoriteit aan die autoriteit alle benodigde informatie en documentatie verstrekken om de conformiteit van een EPD-systeem met de essentiële eisen in bijlage II aan te tonen;
c)op verzoek van de markttoezichtautoriteiten medewerking verlenen aan corrigerende maatregelen die worden genomen met betrekking tot de EPD-systemen die onder hun mandaat vallen.
Artikel 19
Verplichtingen van importeurs
1.Importeurs brengen in de Unie uitsluitend EPD-systemen in de handel die in overeenstemming zijn met de essentiële eisen in bijlage II.
2.Alvorens een EPD-systeem op de markt aan te bieden, verifiëren de importeurs dat:
a)de fabrikant de technische documentatie en de EU-conformiteitsverklaring heeft opgesteld;
b)het EPD-systeem is voorzien van de CE-conformiteitsmarkering;
c)het EPD-systeem vergezeld gaat van het in artikel 25 bedoelde informatieblad en een passende gebruiksaanwijzing.
3.Importeurs vermelden hun naam, geregistreerde handelsnaam of geregistreerde handelsmerk en contactadres in een bij het EPD-systeem gevoegd document.
4.Zolang zij verantwoordelijk zijn voor een EPD-systeem zorgen de importeurs ervoor dat het EPD-systeem niet zodanig wordt gewijzigd dat de conformiteit ervan met de essentiële eisen in bijlage II in gevaar komt.
5.Indien een importeur van mening is of redenen heeft om aan te nemen dat een EPD-systeem niet in overeenstemming is met de essentiële eisen in bijlage II, mag hij dat systeem pas op de markt aanbieden nadat het in overeenstemming is gebracht. De importeur stelt in zulke gevallen de fabrikant van dat EPD-systeem en de markttoezichtautoriteiten van de lidstaat waar hij het EPD-systeem op de markt heeft aangeboden, onverwijld daarvan in kennis.
6.Importeurs houden gedurende de in artikel 17, lid 3, bedoelde periode een kopie van de EU-conformiteitsverklaring ter beschikking van de markttoezichtautoriteiten en zorgen ervoor dat de technische documentatie op verzoek aan die autoriteiten kan worden verstrekt.
7.Importeurs verstrekken op een met redenen omkleed verzoek van een markttoezichtautoriteit aan deze autoriteit alle benodigde informatie en documentatie om de conformiteit van een EPD-systeem aan te tonen, in de officiële taal van de lidstaat waar de markttoezichtautoriteit is gevestigd. Op verzoek van deze autoriteit verlenen zij medewerking aan alle maatregelen die worden genomen om hun EPD-systemen in overeenstemming te brengen met de essentiële eisen van bijlage II.
Artikel 20
Verplichtingen van distributeurs
1.Alvorens een EPD-systeem op de markt aan te bieden, verifiëren de distributeurs dat:
a)de fabrikant de EU-conformiteitsverklaring heeft opgesteld;
b)het EPD-systeem is voorzien van de CE-conformiteitsmarkering;
c)het EPD-systeem vergezeld gaat van het in artikel 25 bedoelde informatieblad en een passende gebruiksaanwijzing;
d)de importeur, voor zover van toepassing, heeft voldaan aan de vereisten van artikel 19, lid 3.
2.Importeurs zorgen gedurende de periode dat zij voor een EPD-systeem verantwoordelijk zijn, ervoor dat het EPD-systeem niet zodanig wordt gewijzigd dat de conformiteit ervan met de essentiële eisen in bijlage II in gevaar komt.
3.Indien een distributeur van mening is of redenen heeft om aan te nemen dat een EPD-systeem niet in overeenstemming is met de essentiële eisen in bijlage II, mag hij het EPD-systeem pas op de markt aanbieden nadat het in overeenstemming is gebracht. Bovendien stelt de distributeur de fabrikant of de importeur, alsmede de markttoezichtautoriteiten van de lidstaten waar het EPD-systeem op de markt is aangeboden, daarvan zonder onnodige vertraging in kennis.
4.Distributeurs verstrekken een markttoezichtautoriteit op haar met redenen omkleed verzoek alle benodigde informatie en documentatie ter staving van de conformiteit van een EPD-systeem. Op verzoek van deze autoriteit verlenen zij medewerking aan alle maatregelen die worden genomen om hun EPD-systemen in overeenstemming te brengen met de essentiële eisen van bijlage II.
Artikel 21
Gevallen waarin de verplichtingen van fabrikanten van een EPD-systeem van toepassing zijn op importeurs en distributeurs
Een importeur of distributeur wordt beschouwd als fabrikant voor de toepassing van deze verordening en is onderworpen aan de verplichtingen van artikel 17, wanneer zij een EPD-systeem onder hun naam of merknaam op de markt hebben aangeboden of een al in de handel gebracht EPD-systeem zodanig wijzigen dat de conformiteit met de toepasselijke eisen in het gedrang kan komen.
Artikel 22
Identificatie van marktdeelnemers
Marktdeelnemers delen de markttoezichtautoriteiten op verzoek gedurende tien jaar nadat het laatste EPD-systeem waarop de EU-conformiteitsverklaring betrekking heeft, in de handel is gebracht, het volgende mee:
a)welke marktdeelnemer(s) een EPD-systeem aan hen heeft/hebben geleverd;
b)aan welke marktdeelnemer(s) zij een EPD-systeem heeft/hebben geleverd.
Afdeling 3
Conformiteit van het EPD-systeem
Artikel 23
Gemeenschappelijke specificaties
1.De Commissie stelt door middel van uitvoeringshandelingen gemeenschappelijke specificaties vast met betrekking tot de essentiële eisen in bijlage II, met inbegrip van een termijn voor de uitvoering van die gemeenschappelijke specificaties. In voorkomend geval wordt in de gemeenschappelijke specificaties rekening gehouden met de specifieke kenmerken van medische hulpmiddelen en AI-systemen met een hoog risico als bedoeld in artikel 14, leden 3 en 4.
Die uitvoeringshandelingen worden volgens de in artikel 68, lid 2, bedoelde raadplegingsprocedure vastgesteld.
2.De in lid 1 bedoelde gemeenschappelijke specificaties zijn onder andere:
a)toepassingsgebied;
b)toepasbaarheid op verschillende categorieën EPD-systemen of -functies die erin zijn opgenomen;
c)versie;
d)geldigheidsduur;
e)normatief gedeelte;
f)toelichting, met inbegrip van eventuele relevante uitvoeringsrichtsnoeren.
3.De gemeenschappelijke specificaties kunnen elementen bevatten die verband houden met:
a)datasets die elektronische gezondheidsgegevens en definiërende structuren bevatten, zoals gegevensvelden en gegevensgroepen voor de weergave van klinische inhoud en andere delen van de elektronische gezondheidsgegevens;
b)coderingssystemen en -waarden die moeten worden gebruikt in datasets die elektronische gezondheidsgegevens bevatten;
c)andere vereisten in verband met de gegevenskwaliteit, zoals de volledigheid en nauwkeurigheid van elektronische gezondheidsgegevens;
d)technische specificaties, normen en profielen voor de uitwisseling van elektronische gezondheidsgegevens;
e)vereisten en beginselen met betrekking tot beveiliging, vertrouwelijkheid, integriteit, patiëntveiligheid en bescherming van elektronische gezondheidsgegevens;
f)specificaties en vereisten met betrekking tot het identificatiebeheer en het gebruik van elektronische identificatie.
4.De in artikel 14 bedoelde EPD-systemen, medische hulpmiddelen en AI-systemen met een hoog risico die in overeenstemming zijn met de in lid 1 bedoelde gemeenschappelijke specificaties, worden geacht in overeenstemming te zijn met de essentiële eisen die door die specificaties of delen daarvan worden bestreken, zoals vastgesteld in bijlage II die onder die gemeenschappelijke specificaties of de relevante delen van die gemeenschappelijke specificaties vallen.
5.Wanneer gemeenschappelijke specificaties betreffende de interoperabiliteits- en veiligheidseisen van EPD-systemen van invloed zijn op medische hulpmiddelen of AI-systemen met een hoog risico die vallen onder andere handelingen, zoals Verordening (EU) 2017/745 of [...] [verordening artificiële intelligentie, COM/2021/206 final], kan de vaststelling van die gemeenschappelijke specificaties worden voorafgegaan door een raadpleging van de Coördinatiegroep voor medische hulpmiddelen (MDCG) als bedoeld in artikel 103 van Verordening (EU) 2017/745 of de Europese raad voor artificiële intelligentie als bedoeld in artikel 56 van Verordening [...] [verordening artificiële intelligentie, COM/2021/206 final], naargelang het geval.
6.Wanneer gemeenschappelijke specificaties betreffende de interoperabiliteits- en veiligheidseisen voor medische hulpmiddelen of AI-systemen met een hoog risico die vallen onder andere handelingen, zoals Verordening (EU) 2017/745 of Verordening [...] [verordening artificiële intelligentie, COM/2021/206 final], gevolgen hebben voor EPD-systemen, kan de vaststelling van die gemeenschappelijke specificaties worden voorafgegaan door een raadpleging van de EHDS-raad, met name de subgroep voor de hoofdstukken II en III van deze verordening.
Artikel 24
Technische documentatie
1.De technische documentatie wordt opgesteld voordat het EPD-systeem in de handel wordt gebracht of in gebruikt wordt gesteld, en wordt geactualiseerd.
2.De technische documentatie wordt op zodanige wijze opgesteld dat wordt aangetoond dat het EPD-systeem in overeenstemming is met de essentiële eisen van bijlage II en dat markttoezichtautoriteiten over alle noodzakelijke informatie beschikken om de conformiteit van het EPD-systeem met deze voorschriften te kunnen beoordelen. De documentatie omvat ten minste de in bijlage III uiteengezette elementen.
3.De technische documentatie wordt opgesteld in een van de officiële talen van de Unie. Op een met redenen omkleed verzoek van de markttoezichtautoriteit van een lidstaat verstrekt de fabrikant een vertaling van de relevante delen van de technische documentatie in de officiële taal van die lidstaat.
4.Wanneer een markttoezichtautoriteit een fabrikant verzoekt haar de technische documentatie of een vertaling van delen daarvan te verstrekken, stelt zij hiervoor een termijn van 30 dagen vast voor ontvangst van een dergelijke documentatie of vertaling, tenzij een kortere termijn gerechtvaardigd is omdat er een ernstig en onmiddellijk risico bestaat. Indien de fabrikant niet voldoet aan de eisen van de leden 1, 2 en 3, kan de markttoezichtautoriteit eisen dat hij binnen een bepaalde termijn op eigen kosten een test laat uitvoeren door een onafhankelijke instantie om de conformiteit met de essentiële eisen in bijlage II en de in artikel 23 bedoelde gemeenschappelijke specificaties te controleren.
Artikel 25
Informatieblad bij het EPD-systeem
1.EPD-systemen gaan vergezeld van een informatieblad dat beknopte, volledige, juiste en duidelijke informatie bevat die relevant, toegankelijk en begrijpelijk is voor gebruikers.
2.Het in lid 1 bedoelde informatieblad omvat:
a)de identiteit, de geregistreerde handelsnaam of het geregistreerde handelsmerk en de contactgegevens van de fabrikant en, in voorkomend geval, van zijn gemachtigde;
b)de naam en versie van het EPD-systeem en de datum van vrijgave ervan;
c)het beoogde doel van dat systeem;
d)de categorieën elektronische gezondheidsgegevens voor de verwerking waarvan het EPD-systeem is ontworpen;
e)de door het EPD-systeem ondersteunde normen, formaten en specificaties en versies daarvan.
3.De Commissie is bevoegd overeenkomstig artikel 67 gedelegeerde handelingen ter aanvulling van deze verordening vast te stellen waarin fabrikanten wordt toegestaan de in lid 2 bedoelde informatie in te voeren in de EU-databank van EPD-systemen en wellnessapps als bedoeld in artikel 32, als alternatief voor het verstrekken van het in lid 1 bedoelde informatieblad bij het EPD-systeem.
Artikel 26
EU-conformiteitsverklaring
1.In de EU-conformiteitsverklaring moet worden vermeld dat de fabrikant van het EPD-systeem heeft aangetoond dat aan de essentiële eisen in bijlage II is voldaan.
2.Wanneer EMD-systemen onderworpen zijn aan andere wetgeving van de Unie met betrekking tot aspecten die niet onder deze verordening vallen, op grond waarvan eveneens een EU-conformiteitsverklaring van de fabrikant is vereist waaruit blijkt dat is aangetoond dat aan de vereisten van die wetgeving is voldaan, wordt er één EU-conformiteitsverklaring opgesteld ten aanzien van alle op het EPD-systeem van toepassing zijnde handelingen van de Unie. De verklaring bevat alle informatie die vereist is voor de identificatie van de wetgeving van de Unie waarop de verklaring betrekking heeft.
3.De EU-conformiteitsverklaring bevat minstens de informatie die is vervat in bijlage IV en wordt vertaald in een of meer officiële talen van de Unie, zoals vereist door de lidstaat (lidstaten) waarin het EPD-systeem wordt aangeboden.
4.Met het opstellen van de EU-conformiteitsverklaring neemt de fabrikant de verantwoordelijkheid op zich voor de conformiteit van het EPD-systeem.
Artikel 27
CE-markering
1.De CE-markering wordt zichtbaar, leesbaar en onuitwisbaar aangebracht op de begeleidende documenten van het EPD-systeem en, in voorkomend geval, op de verpakking.
2.De CE-markering is onderworpen aan de algemene beginselen van artikel 30 van Verordening (EG) nr. 765/2008 van het Europees Parlement en de Raad 58 .
Afdeling 4
Markttoezicht op EPD-systemen
Artikel 28
Markttoezichtautoriteiten
1.Verordening (EU) 2019/1020 is van toepassing op EPD-systemen die onder hoofdstuk III van deze verordening vallen.
2.Lidstaten wijzen de markttoezichtautoriteit of -autoriteiten aan die verantwoordelijk is/zijn voor de uitvoering van dit hoofdstuk. Zij verlenen aan hun markttoezichtautoriteiten de bevoegdheden, middelen, uitrusting en kennis die nodig zijn voor de behoorlijke uitvoering van hun taken overeenkomstig deze verordening. Lidstaten delen de identiteit van de markttoezichtautoriteiten mee aan de Commissie, die een lijst met die autoriteiten bekendmaakt.
3.De overeenkomstig dit artikel aangewezen markttoezichtautoriteiten kunnen de overeenkomstig artikel 10 aangewezen digitale gezondheidsautoriteiten zijn. Wanneer een digitale gezondheidsautoriteit taken van een markttoezichtautoriteit uitvoert, moeten belangenconflicten worden vermeden.
4.Markttoezichtautoriteiten brengen aan de Commissie regelmatig verslag uit over de resultaten van relevante markttoezichtactiviteiten.
5.De markttoezichtautoriteiten van de lidstaten werken samen met elkaar en met de Commissie. De Commissie organiseert de uitwisselingen van informatie die daartoe noodzakelijk zijn.
6.Voor medische hulpmiddelen of AI-systemen met een hoog risico als bedoeld in artikel 14, leden 3 en 4, zijn de markttoezichtautoriteiten de autoriteiten doe worden bedoeld in artikel 93 van Verordening (EU) 2017/745 of artikel 59 van Verordening [...] [verordening artificiële intelligentie, COM/2021/206 final], naargelang het geval.
Artikel 29
Omgaan met risico’s van EPD-systemen en met ernstige incidenten
1.Wanneer een markttoezichtautoriteit vaststelt dat een EPD-systeem een risico voor de gezondheid of veiligheid van natuurlijke personen of voor andere aspecten van de bescherming van algemene belangen vormt, verlangt zij van de fabrikant van het betrokken EPD-systeem, zijn gemachtigde en alle andere relevante marktdeelnemers dat zij alle passende maatregelen nemen om ervoor te zorgen dat het EPD-systeem dat risico niet langer inhoudt wanneer het in de handel wordt gebracht, of het EPD-systeem binnen een redelijke termijn uit de handel nemen of terugroepen.
2.De in lid 1 bedoelde marktdeelnemer zorgt ervoor dat alle betrokken EPD-systemen die hij in de Unie in de handel heeft gebracht, aan corrigerende maatregelen worden onderworpen.
3.De markttoezichtautoriteit stelt de Commissie en de markttoezichtautoriteiten van andere lidstaten onmiddellijk in kennis van overeenkomstig lid 1 opgelegde maatregelen. Die informatie omvat alle bekende bijzonderheden, met name de gegevens die nodig zijn om het betrokken EPD-systeem te identificeren en om de oorsprong en de toeleveringsketen van het EPD-systeem, de aard van het betrokken risico en de aard en de duur van de nationale maatregelen vast te stellen.
4.Fabrikanten van EPD-systemen die in de handel worden gebracht, melden elk ernstig incident met een EPD-systeem aan de markttoezichtautoriteiten van de lidstaten wanneer een dergelijk ernstig incident zich heeft voorgedaan, en de door de fabrikant genomen of voorgenomen corrigerende maatregelen.
Een dergelijke melding vindt, onverminderd de vereisten inzake melding van incidenten uit hoofde van Richtlijn (EU) 2016/1148, plaats onmiddellijk nadat de fabrikant een oorzakelijk verband tussen het EPD-systeem en het ernstige incident of de redelijke waarschijnlijkheid van een dergelijk verband heeft vastgesteld en in ieder geval uiterlijk 15 dagen nadat de fabrikant zich bewust wordt van het ernstige incident waarbij het EPD-systeem betrokken is.
5.De in lid 4 bedoelde markttoezichtautoriteiten stellen de andere markttoezichtautoriteiten onverwijld in kennis van het ernstige incident en van de corrigerende maatregelen die de fabrikant heeft genomen of voornemens is te nemen of die van hem worden verlangd om het risico op herhaling van het ernstige incident tot een minimum te beperken.
6.Wanneer de taken van de markttoezichtautoriteit niet door de digitale gezondheidsautoriteit worden verricht, werkt zij samen met de digitale gezondheidsautoriteit. Zij stelt de digitale gezondheidsautoriteit in kennis van ernstige incidenten en EPD-systemen die een risico vormen, met inbegrip van risico’s in verband met interoperabiliteit, beveiliging en patiëntveiligheid, en van corrigerende maatregelen, terugroepacties of het uit de handel nemen van dergelijke EPD-systemen.
Artikel 30
Behandeling van niet-naleving
1.Wanneer een markttoezichtautoriteit een van de volgende bevindingen vaststelt, verlangt zij van de fabrikant van het betrokken EPD-systeem, zijn gemachtigde en alle andere relevante marktdeelnemers dat zij een einde maken aan de non-conformiteit:
a)het EPD-systeem is niet in overeenstemming met de essentiële eisen van bijlage II;
b)de technische documentatie is niet beschikbaar of is onvolledig;
c)er is geen EU-conformiteitsverklaring opgesteld of ze is niet correct opgesteld;
d)de CE-markering is in strijd met artikel 27 aangebracht of is niet aangebracht.
2.Wanneer de in lid 1 bedoelde non-conformiteit voortduurt, neemt de betrokken lidstaat alle passende maatregelen om het in de handel brengen van het EPD-systeem te beperken of te verbieden, of om ervoor te zorgen dat het systeem wordt teruggeroepen of uit de handel wordt genomen.
Afdeling 5
Andere bepalingen inzake interoperabiliteit
Artikel 31
Facultatieve labeling van wellnessapps
1.Wanneer een fabrikant van een wellnessapp beweert dat deze app interoperabel is met een EPD-systeem en daarom voldoet aan de essentiële eisen van bijlage II en de gemeenschappelijke specificaties van artikel 23, mag een dergelijke wellnessapp vergezeld gaan van een label waarop duidelijk wordt aangegeven dat zij aan die eisen voldoet. Het label wordt afgegeven door de fabrikant van de wellnessapp.
2.Het label moet de volgende informatie bevatten:
a)de categorieën van elektronische gezondheidsgegevens waarvoor is bevestigd dat aan de essentiële eisen van bijlage II is voldaan;
b)een verwijzing naar gemeenschappelijke specificaties om naleving aan te tonen;
c)de geldigheidsduur van het label.
3.De Commissie kan door middel van uitvoeringshandelingen het formaat en de inhoud van het label bepalen. Die uitvoeringshandelingen worden volgens de in artikel 68, lid 2, bedoelde raadplegingsprocedure vastgesteld.
4.Het label wordt opgesteld in een of meer officiële talen van de Unie of talen die worden bepaald door de lidstaat of lidstaten waar de wellnessapp in de handel wordt gebracht.
5.Het label is niet langer dan vijf jaar geldig.
6.Indien de wellnessapp in een hulpmiddel is ingebouwd, moet het bijbehorende label op het hulpmiddel worden aangebracht. Ook mogen 2D-streepjescodes worden gebruikt om het label weer te geven.
7.De markttoezichtautoriteiten controleren of wellnessapps voldoen aan de essentiële eisen van bijlage II.
8.Elke leverancier van een wellnessapp waarvoor een label is afgegeven, zorgt ervoor dat de wellnessapp die in de handel wordt gebracht of in gebruik wordt genomen, kosteloos vergezeld gaat van het label voor elke afzonderlijke eenheid.
9.Elke distributeur van een wellnessapp waarvoor een label is afgegeven, stelt het label in elektronische vorm of, op verzoek, in fysieke vorm ter beschikking van de klanten op het verkooppunt.
10.De vereisten van dit artikel zijn niet van toepassing op wellnessapps die AI-systemen met een hoog risico zijn zoals gedefinieerd in Verordening [...] [verordening artificiële intelligentie, COM/2021/206 final].
Artikel 32
Registratie van EPD-systemen en wellnessapps
1.De Commissie zet een openbaar toegankelijke databank op met informatie over EPD-systemen waarvoor overeenkomstig artikel 26 een EU-conformiteitsverklaring is afgegeven en wellnessapps waarvoor overeenkomstig artikel 31 een label is afgegeven, en houdt deze databank bij.
2.Voordat een EPD-systeem als bedoeld in artikel 14 of een in artikel 31 bedoelde wellnessapp in de handel wordt gebracht of in gebruik wordt genomen, worden de vereiste gegevens door de fabrikant van dat EPD-systeem of die wellnesstoepassing of, indien van toepassing, zijn gemachtigde in de in lid 1 bedoelde EU-databank geregistreerd.
3.Medische hulpmiddelen of AI-systemen met een hoog risico als bedoeld in artikel 14, leden 3 en 4, van deze verordening worden geregistreerd in de databank die is opgezet krachtens Verordening (EU) 2017/745 of [...] [verordening artificiële intelligentie, COM/2021/206 final], naargelang het geval.
4.De Commissie is bevoegd overeenkomstig artikel 67 gedelegeerde handelingen vast te stellen ter bepaling van de lijst van vereiste gegevens die overeenkomstig lid 2 door de fabrikanten van EPD-systemen en wellnessapps moeten worden geregistreerd.
HOOFDSTUK IV
Secundair gebruik van elektronische gezondheidsgegevens
Afdeling 1
Algemene voorwaarden met betrekking tot het secundaire gebruik van elektronische gezondheidsgegevens
Artikel 33
Minimumcategorieën van elektronische gezondheidsgegevens voor secundair gebruik
1.Gegevenshouders stellen de volgende categorieën elektronische gegevens beschikbaar voor secundair gebruik overeenkomstig de bepalingen van dit hoofdstuk:
a)EPD’s;
b)gegevens die van invloed zijn op de gezondheid, met inbegrip van sociale en milieu- en gedragsdeterminanten van gezondheid;
c)relevante pathogeengenomische gegevens die van invloed zijn op de gezondheid van de mens;
d)administratieve gegevens op gezondheidsgebied, met inbegrip van gegevens over claims en vergoedingen;
e)humaan-genetische, genomische en proteomische gegevens;
f)door personen gegenereerde elektronische gezondheidsgegevens, met inbegrip van gegevens in medische hulpmiddelen, wellnessapps of andere digitale gezondheidstoepassingen;
g)identificatiegegevens met betrekking tot gezondheidswerkers die betrokken zijn bij de behandeling van een natuurlijke persoon;
h)registers van gezondheidsgegevens van de hele bevolking (volksgezondheidsregisters);
i)elektronische gezondheidsgegevens uit medische registers voor specifieke ziekten;
j)elektronische gezondheidsgegevens afkomstig van klinische proeven;
k)elektronische gezondheidsgegevens uit medische hulpmiddelen en van registers voor geneesmiddelen en medische hulpmiddelen;
l)onderzoekscohorten, vragenlijsten en enquêtes in verband met gezondheid;
m)elektronische gezondheidsgegevens uit biobanken en speciale databanken;
n)elektronische gegevens met betrekking tot verzekeringsstatus, beroepsstatus, opleiding, levensstijl, welzijn en gedrag die relevant zijn voor de gezondheid;
o)elektronische gezondheidsgegevens die verschillende verbeteringen bevatten, zoals correctie, annotatie en verrijking die de gegevenshouder ontvangt na verwerking op basis van een gegevensvergunning.
2.Het vereiste in de eerste alinea is niet van toepassing op gegevenshouders die een micro-onderneming zijn in de zin van artikel 2 van de bijlage bij Aanbeveling 2003/361/EG van de Commissie 59 .
3.De in lid 1 bedoelde elektronische gezondheidsgegevens hebben betrekking op gegevens die worden verwerkt voor de verstrekking van gezondheidsdiensten of -zorg of voor doeleinden op het gebied van volksgezondheid, onderzoek, innovatie, beleidsvorming, officiële statistieken, patiëntveiligheid of regelgeving, verzameld door entiteiten en organen in de gezondheids- of zorgsector, met inbegrip van publieke en private aanbieders van gezondheidsdiensten of zorg, entiteiten of organen die onderzoek in verband met deze sectoren verrichten, en instellingen, organen en instanties van de Unie.
4.Elektronische gezondheidsgegevens met beschermde intellectuele eigendom en bedrijfsgeheimen van particuliere ondernemingen worden beschikbaar gesteld voor secundair gebruik. Wanneer dergelijke gegevens beschikbaar worden gesteld voor secundair gebruik, worden alle nodige maatregelen genomen om de vertrouwelijkheid van intellectuele-eigendomsrechten en bedrijfsgeheimen te waarborgen.
5.Indien het nationale recht de toestemming van de natuurlijke persoon vereist, baseren de instanties voor toegang tot gezondheidsgegevens zich op de in dit hoofdstuk vastgestelde verplichtingen om toegang te verlenen tot elektronische gezondheidsgegevens.
6.Wanneer een openbaar lichaam gegevens verkrijgt in noodsituaties als gedefinieerd in artikel 15, punt a) of b), van Verordening [...] [dataverordening COM/2022/68 final], overeenkomstig de voorschriften van die verordening, kan het worden ondersteund door een instantie voor toegang tot gezondheidsgegevens om technische ondersteuning te bieden bij de verwerking van de gegevens of om deze met andere gegevens voor gezamenlijke analyse te combineren.
7.De Commissie is bevoegd om overeenkomstig artikel 67 gedelegeerde handelingen vast te stellen om de lijst in lid 1 te wijzigen teneinde deze aan te passen aan de ontwikkeling van de beschikbare elektronische gezondheidsgegevens.
8.Instanties voor toegang tot gezondheidsgegevens kunnen toegang verlenen tot aanvullende categorieën van elektronische gezondheidsgegevens waarmee zij op grond van nationaal recht of op basis van vrijwillige samenwerking met de betrokken gegevenshouders op nationaal niveau zijn belast, met name tot elektronische gezondheidsgegevens die in het bezit zijn van particuliere entiteiten in de gezondheidssector.
Artikel 34
Doeleinden waarvoor elektronische gezondheidsgegevens voor secundair gebruik kunnen worden verwerkt
1.De instanties voor toegang tot gezondheidsgegevens verlenen alleen toegang tot de in artikel 33 bedoelde elektronische gezondheidsgegevens indien het beoogde doel van de door de aanvrager nagestreefde verwerking overeenstemt met:
a)activiteiten om redenen van algemeen belang op het gebied van de volksgezondheid en de gezondheid op het werk, zoals bescherming tegen ernstige grensoverschrijdende bedreigingen van de gezondheid, toezicht op de volksgezondheid of het waarborgen van een hoog kwaliteits- en veiligheidsniveau van de gezondheidszorg en van geneesmiddelen of medische hulpmiddelen;
b)ondersteunen van openbare lichamen of instellingen, agentschappen en organen van de Unie, met inbegrip van regelgevende autoriteiten, in de gezondheids- of zorgsector bij de uitvoering van de in hun mandaat omschreven taken;
c)het produceren van officiële statistieken op nationaal, multinationaal en Unieniveau over de gezondheids- of zorgsector;
d)het ontvangen of geven van onderwijs in de gezondheids- of zorgsector;
e)wetenschappelijk onderzoek in verband met de gezondheids- of zorgsector;
f)ontwikkelings- en innovatieactiviteiten voor producten of diensten die bijdragen tot de volksgezondheid of de sociale zekerheid, of tot het waarborgen van een hoog kwaliteits- en veiligheidsniveau van de gezondheidszorg, geneesmiddelen of medische hulpmiddelen;
g)het trainen, testen en evalueren van algoritmen, onder meer in medische hulpmiddelen, AI-systemen en digitale gezondheidstoepassingen, die bijdragen tot de volksgezondheid of de sociale zekerheid, of die zorgen voor een hoog kwaliteits- en veiligheidsniveau van de gezondheidszorg, van geneesmiddelen of van medische hulpmiddelen;
h)het verlenen van gepersonaliseerde gezondheidszorg die bestaat uit het beoordelen, in stand houden of herstellen van de gezondheidstoestand van natuurlijke personen, op basis van de gezondheidsgegevens van andere natuurlijke personen.
2.Toegang tot de in artikel 33 bedoelde elektronische gezondheidsgegevens wordt alleen verleend aan openbare lichamen en instellingen, organen en instanties van de Unie bij de uitoefening van de hun bij het Unierecht of het nationale recht opgedragen taken, indien de door de aanvrager beoogde verwerking beantwoordt aan een van de in lid 1, punten a) tot en met c), genoemde doeleinden, ook wanneer de verwerking van gegevens voor de uitvoering van deze taken wordt verricht door een derde partij namens dat openbare lichaam of namens instellingen, agentschappen en organen van de Unie.
3.De toegang tot gegevens in particulier bezit om openbare noodsituaties te voorkomen, erop te reageren of bij te dragen aan de bestrijding ervan, wordt gewaarborgd overeenkomstig artikel 15 van Verordening [...] [dataverordening COM/2022/68 final].
4.Openbare lichamen of instellingen, agentschappen en organen van de Unie die bij de uitoefening van de hun bij het Unierecht of het nationale recht opgedragen taken toegang krijgen tot elektronische gezondheidsgegevens die intellectuele-eigendomsrechten en bedrijfsgeheimen omvatten, nemen alle specifieke maatregelen die nodig zijn om de vertrouwelijkheid van die gegevens te waarborgen.
Artikel 35
Verboden secundair gebruik van elektronische gezondheidsgegevens
Het is verboden toegang te krijgen tot elektronische gezondheidsgegevens die zijn verkregen via een overeenkomstig artikel 46 afgegeven gegevensvergunning om deze te verwerken voor de volgende doeleinden:
a)besluiten nemen die nadelig zijn voor een natuurlijke persoon op basis van zijn of haar elektronische gezondheidsgegevens; om als “besluiten” te kunnen worden aangemerkt, moeten zij rechtsgevolgen hebben of deze natuurlijke personen op vergelijkbare wijze aanmerkelijk treffen;
b)besluiten nemen met betrekking tot een natuurlijke persoon of groepen natuurlijke personen om hun een verzekeringsovereenkomst te ontzeggen of om hun bijdragen en verzekeringspremies te wijzigen;
c)reclame- of marketingactiviteiten ten behoeve van gezondheidswerkers, gezondheidsorganisaties of natuurlijke personen;
d)toegang verlenen tot of het op andere wijze beschikbaar stellen van de elektronische gezondheidsgegevens aan derden die niet in de gegevensvergunning worden vermeld;
e)producten of diensten ontwikkelen die schadelijk kunnen zijn voor personen en samenlevingen in het algemeen, met inbegrip van, maar niet beperkt tot, illegale drugs, alcoholhoudende dranken, tabaksproducten of goederen of diensten die zodanig zijn ontworpen of gewijzigd dat zij in strijd zijn met de openbare orde of de goede zeden.
Afdeling 2
Governance en mechanismen voor het secundaire gebruik van elektronische gezondheidsgegevens
Artikel 36
Instanties voor toegang tot gezondheidsgegevens
1.De lidstaten wijzen een of meer instanties voor toegang tot gezondheidsgegevens aan die verantwoordelijk zijn voor het verlenen van toegang tot elektronische gezondheidsgegevens voor secundair gebruik. De lidstaten kunnen een of meer nieuwe openbare lichamen oprichten of een beroep doen op bestaande openbare lichamen of op interne diensten van openbare lichamen die aan de voorwaarden van dit artikel voldoen. Wanneer een lidstaat meerdere instanties voor toegang tot gezondheidsgegevens aanwijst, wijst hij één instantie voor toegang tot gezondheidsgegevens aan die als coördinator optreedt en verantwoordelijk is voor de coördinatie van verzoeken met de andere instanties voor toegang tot gezondheidsgegevens.
2.Lidstaten zorgen ervoor dat elke digitale instantie voor toegang tot gezondheidsgegevens wordt voorzien van de personele, technische en financiële middelen, de gebouwen en de infrastructuur die nodig zijn voor de doeltreffende uitvoering van haar taken en de uitoefening van haar bevoegdheden.
3.Bij de uitvoering van hun taken werken de instanties voor toegang tot gezondheidsgegevens actief samen met vertegenwoordigers van belanghebbenden, met name vertegenwoordigers van patiënten, gegevenshouders en gegevensgebruikers. Het personeel van de instanties voor toegang tot gezondheidsgegevens moet belangenconflicten vermijden. Instanties voor toegang tot gezondheidsgegevens zijn bij het nemen van hun beslissingen niet gebonden aan instructies.
4.Lidstaten delen de Commissie uiterlijk op de datum van toepassing van deze verordening de identiteit van de op grond van lid 1 aangewezen instanties voor toegang tot gezondheidsgegevens mee. Zij stellen de Commissie tevens in kennis van elke latere wijziging in de identiteit van deze organen. De Commissie en de lidstaten maken deze informatie beschikbaar voor het publiek.
Artikel 37
Taken van de instanties voor toegang tot gezondheidsgegevens
1.De instanties voor toegang tot gezondheidsgegevens verrichten de volgende taken:
a)zij beslissen over aanvragen voor gegevenstoegang overeenkomstig artikel 45, verlenen gegevensvergunningen overeenkomstig artikel 46 voor de toegang tot onder hun nationale bevoegdheid vallende elektronische gezondheidsgegevens voor secundair gebruik en beslissen over verzoeken om gegevens overeenkomstig hoofdstuk II van Verordening [...] [datagovernanceverordening COM/2020/767 final] en dit hoofdstuk;
b)zij ondersteunen openbare lichamen bij de uitvoering van de in hun mandaat vastgelegde taken, op basis van het nationale recht of het recht van de Unie;
c)zij ondersteunen de instellingen, organen en instanties van de Unie bij de verrichting van taken die zijn vastgelegd in hun mandaat op basis van het nationale recht of het recht van de Unie;
d)zij verwerken elektronische gezondheidsgegevens voor de in artikel 34 genoemde doeleinden, met inbegrip van het verzamelen, combineren, voorbereiden en openbaar maken van die gegevens voor secundair gebruik op basis van een gegevensvergunning;
e)zij verwerken elektronische gezondheidsgegevens van andere relevante gegevenshouders op basis van een gegevensvergunning of een verzoek om gegevens voor een van de in artikel 34 vastgelegde doeleinden;
f)zij nemen alle nodige maatregelen om de vertrouwelijkheid van intellectuele-eigendomsrechten en bedrijfsgeheimen te waarborgen;
g)zij verzamelen, en verschaffen toegang tot, de nodige elektronische gezondheidsgegevens bij de verschillende gegevenshouders van wie de elektronische gezondheidsgegevens binnen de werkingssfeer van deze verordening vallen, en stellen deze gegevens ter beschikking van gegevensgebruikers in een beveiligde verwerkingsomgeving overeenkomstig de vereisten van artikel 50;
h)zij dragen bij aan gegevensaltruïsme-activiteiten overeenkomstig artikel 40;
i)zij ondersteunen de ontwikkeling van AI-systemen, het trainen, het testen en de validering van AI-systemen en de ontwikkeling van geharmoniseerde normen en richtsnoeren in het kader van Verordening [...] [verordening artificiële intelligentie, COM/2021/206 final] voor het trainen, het testen en de validering van AI-systemen in de gezondheidszorg;
j)zij werken samen met en houden toezicht op gegevenshouders om te zorgen voor een consistente en nauwkeurige toepassing van het in artikel 56 bedoelde gegevenskwaliteits- en -bruikbaarheidslabel;
k)zij onderhouden een beheersysteem voor het registreren en verwerken van aanvragen voor gegevenstoegang, verzoeken om gegevens, afgegeven gegevensvergunningen en beantwoorde verzoeken om gegevens, waarbij ten minste informatie wordt verstrekt over de naam van de aanvrager van gegevenstoegang, het doel van de toegang tot de gegevens, de datum van afgifte, de duur van de gegevensvergunning en een beschrijving van de aanvraag voor gegevenstoegang of het verzoek om gegevens;
l)zij houden een openbaar informatiesysteem bij om te voldoen aan de verplichtingen van artikel 38;
m)zij werken samen op het niveau van de Unie en op nationaal niveau om passende maatregelen en vereisten vast te stellen voor de toegang tot elektronische gezondheidsgegevens in een beveiligde verwerkingsomgeving;
n)zij werken op Unie- en nationaal niveau samen en geven de Commissie advies over technieken en beste praktijken voor het gebruik en beheer van elektronische gezondheidsgegevens;
o)zij vergemakkelijken de grensoverschrijdende toegang tot elektronische gezondheidsgegevens voor secundair gebruik in andere lidstaten via HealthData@EU en werken nauw samen met elkaar en met de Commissie.
p)zij zenden de gegevenshouder, vóór het verstrijken van de gegevensvergunning, kosteloos een kopie toe van de gecorrigeerde, geannoteerde of verrijkte dataset, naargelang het geval, en een beschrijving van de activiteiten die met de oorspronkelijke dataset zijn verricht;
q)zij maken langs elektronische weg het volgende openbaar:
i)catalogussen van nationale datasets die bijzonderheden bevatten over de bron en de aard van elektronische gezondheidsgegevens, overeenkomstig de artikelen 56 en 58, en de voorwaarden voor het beschikbaar stellen van elektronische gezondheidsgegevens. De catalogussen van nationale datasets worden ook ter beschikking gesteld van de centrale informatiepunten overeenkomstig artikel 8 van Verordening [...] [datagovernanceverordening COM/2020/767 final];
ii)alle gegevensvergunningen, -verzoeken en -aanvragen op hun websites binnen 30 werkdagen na de afgifte van de gegevensvergunning of het antwoord op een verzoek om gegevens;
iii)de krachtens artikel 43 toegepaste sancties;
iv)resultaten die door gegevensgebruikers zijn meegedeeld overeenkomstig artikel 46, lid 11;
r)zij komen verplichtingen ten aanzien van natuurlijke personen uit hoofde van artikel 38 na;
s)zij verzoeken gegevensgebruikers en gegevenshouders om alle relevante informatie om de uitvoering van dit hoofdstuk te verifiëren;
t)zij vervullen alle andere taken in verband met het ter beschikking stellen van het secundaire gebruik van elektronische gezondheidsgegevens in het kader van deze verordening.
2.Bij de uitoefening van hun taken moeten de instanties voor toegang tot gezondheidsgegevens:
a)samenwerken met toezichthoudende autoriteiten uit hoofde van Verordening (EU) 2016/679 en Verordening (EU) 2018/1725 met betrekking tot persoonlijke elektronische gezondheidsgegevens en het EHDS-comité;
b)de betrokken toezichthoudende autoriteiten uit hoofde van Verordening (EU) 2016/679 en Verordening (EU) 2018/1725 in kennis stellen wanneer een orgaan voor toegang tot gezondheidsgegevens sancties of andere maatregelen heeft opgelegd overeenkomstig artikel 43 in verband met de verwerking van persoonlijke elektronische gezondheidsgegevens en wanneer die verwerking betrekking heeft op een poging tot heridentificatie van een persoon of op onrechtmatige verwerking van persoonlijke elektronische gezondheidsgegevens;
c)samenwerken met belanghebbenden, waaronder patiëntenorganisaties, vertegenwoordigers van natuurlijke personen, gezondheidswerkers, onderzoekers en ethische comités, indien van toepassing overeenkomstig het Unierecht en het nationale recht;
d)samenwerken met andere nationale bevoegde instanties, waaronder de nationale bevoegde organen die toezicht houden op gegevensaltruïsme-organisaties uit hoofde van Verordening [...] [datagovernanceverordening COM/2020/767 final], de bevoegde autoriteiten uit hoofde van Verordening [...] [dataverordening COM/2022/68 final] en de nationale bevoegde autoriteiten voor de Verordeningen (EU) 2017/745 en [...] [verordening artificiële intelligentie, COM/2021/206 final].
3.De instanties voor toegang tot gezondheidsgegevens kunnen bijstand verlenen aan openbare lichamen wanneer die openbare lichamen toegang hebben tot elektronische gezondheidsgegevens op grond van artikel 14 van Verordening [...] [dataverordening COM/2022/68 final].
4.De Commissie is bevoegd overeenkomstig artikel 67 gedelegeerde handelingen vast te stellen tot wijziging van de lijst van taken in lid 1 van dit artikel, teneinde rekening te houden met de ontwikkeling van de activiteiten van instanties voor toegang tot gezondheidsgegevens.
Artikel 38
Verplichtingen van instanties voor toegang tot gezondheidsgegevens ten aanzien van natuurlijke personen
1.De instanties voor toegang tot gezondheidsgegevens maken de voorwaarden waaronder elektronische gezondheidsgegevens voor secundair gebruik beschikbaar worden gesteld, openbaar en gemakkelijk te doorzoeken, met informatie over:
a)de rechtsgrondslag op grond waarvan toegang wordt verleend;
b)de technische en organisatorische maatregelen die zijn genomen om de rechten van natuurlijke personen te beschermen;
c)de toepasselijke rechten van natuurlijke personen met betrekking tot het secundaire gebruik van elektronische gezondheidsgegevens;
d)de regelingen voor natuurlijke personen om hun rechten uit te oefenen overeenkomstig hoofdstuk III van Verordening (EU) 2016/679;
e)de resultaten van de projecten waarvoor de elektronische gezondheidsgegevens zijn gebruikt.
2.Instanties voor toegang tot gezondheidsgegevens zijn niet verplicht om aan elke natuurlijke persoon de specifieke informatie uit hoofde van artikel 14 van Verordening (EU) 2016/679 te verstrekken over het gebruik van hun gegevens voor projecten waarvoor een gegevensvergunning vereist is, en zij verstrekken het grote publiek informatie over alle overeenkomstig artikel 46 afgegeven gegevensvergunningen.
3.Wanneer een instantie voor toegang tot gezondheidsgegevens door een gegevensgebruiker in kennis wordt gesteld van een bevinding die gevolgen kan hebben voor de gezondheid van een natuurlijke persoon, kan de instantie voor toegang tot gezondheidsgegevens de natuurlijke persoon en zijn behandelende gezondheidswerker van die bevinding in kennis stellen.
4.De lidstaten informeren het grote publiek regelmatig over de taak en het nut van instanties voor toegang tot gezondheidsgegevens.
Artikel 39
Rapportage door instanties voor toegang tot gezondheidsgegevens
1.Elke instantie voor toegang tot gezondheidsgegevens publiceert een jaarlijks activiteitenverslag dat ten minste het volgende bevat:
a)informatie met betrekking tot de ingediende aanvragen voor toegang tot elektronische gezondheidsgegevens, zoals de soorten aanvragers, het aantal verleende of geweigerde gegevensvergunningen, toegangsdoeleinden en categorieën elektronische gezondheidsgegevens waartoe toegang is verkregen, en een samenvatting van de resultaten van het gebruik van elektronische gezondheidsgegevens, indien van toepassing;
b)een lijst van vergunningen voor de toegang tot elektronische gezondheidsgegevens die door de instantie voor toegang tot gezondheidsgegevens worden verwerkt op basis van gegevensaltruïsme en een beknopte beschrijving van de nagestreefde doelen van algemeen belang, indien van toepassing, met inbegrip van de resultaten van de verleende gegevensvergunningen;
c)informatie over de nakoming van wettelijke en contractuele verplichtingen door gegevensgebruikers en gegevenshouders, alsmede opgelegde sancties;
d)informatie over audits van gegevensgebruikers om te waarborgen dat de verwerking in overeenstemming is met deze verordening;
e)informatie over audits met betrekking tot de conformiteit van beveiligde verwerkingsomgevingen met de vastgestelde normen, specificaties en vereisten;
f)informatie over de behandeling van verzoeken van natuurlijke personen over de uitoefening van hun gegevensbeschermingsrechten;
g)een beschrijving van haar activiteiten in verband met de betrokkenheid en raadpleging van relevante belanghebbenden, waaronder vertegenwoordigers van natuurlijke personen, patiëntenorganisaties, gezondheidswerkers, onderzoekers en ethische commissies;
h)informatie over samenwerking met andere bevoegde instanties, vooral op het gebied van gegevensbescherming, cyberbeveiliging, gegevensaltruïsme en kunstmatige intelligentie;
i)inkomsten uit gegevensvergunningen en verzoeken om gegevens;
j)tevredenheid van aanvragers die om toegang tot gegevens verzoeken;
k)gemiddeld aantal dagen tussen de indiening van een aanvraag en de verlening van toegang tot gegevens;
l)aantal afgegeven gegevenskwaliteitslabels, uitgesplitst naar kwaliteitscategorie;
m)aantal collegiaal getoetste onderzoekspublicaties, beleidsdocumenten, regelgevingsprocedures met gebruikmaking van gegevens waartoe via de EHDS toegang is verkregen;
n)aantal digitale gezondheidsproducten en -diensten, met inbegrip van AI-toepassingen, ontwikkeld met gebruikmaking van gegevens waartoe via de EHDS toegang is verkregen.
2.Het verslag wordt aan de Commissie toegezonden.
3.De Commissie is bevoegd overeenkomstig artikel 67 gedelegeerde handelingen vast te stellen om de inhoud van het jaarlijkse activiteitenverslag te wijzigen.
Artikel 40
Gegevensaltruïsme in de gezondheidszorg
1.Bij de verwerking van persoonlijke elektronische gezondheidsgegevens moeten gegevensaltruïsme-organisaties voldoen aan de voorschriften van hoofdstuk IV van Verordening [...] [datagovernanceverordening COM/2020/767 final]. Wanneer gegevensaltruïsme-organisaties persoonlijke elektronische gezondheidsgegevens verwerken met gebruikmaking van een beveiligde verwerkingsomgeving, voldoen die omgevingen ook aan de vereisten van artikel 50 van deze verordening.
2.De instanties voor toegang tot gezondheidsgegevens ondersteunen de overeenkomstig artikel 23 van Verordening [...] [datagovernanceverordening COM/2020/767 final] aangewezen bevoegde autoriteiten bij het toezicht op entiteiten die gegevensaltruïsme-activiteiten uitvoeren.
Artikel 41
Verplichtingen van de gegevenshouders
1.Wanneer een gegevenshouder verplicht is elektronische gezondheidsgegevens beschikbaar te stellen krachtens artikel 33 of krachtens andere Uniewetgeving of nationale wetgeving tot uitvoering van het Unierecht, werkt hij in voorkomend geval te goeder trouw samen met de instanties voor toegang tot gezondheidsgegevens.
2.De gegevenshouder verstrekt de instantie voor toegang tot gezondheidsgegevens een algemene beschrijving van de dataset waarover hij beschikt overeenkomstig artikel 55.
3Wanneer de dataset overeenkomstig artikel 56 vergezeld gaat van een gegevenskwaliteits- en -bruikbaarheidslabel, verstrekt de gegevenshouder de instantie voor toegang tot gezondheidsgegevens voldoende documentatie om de juistheid van het label te bevestigen.
4.De gegevenshouder stelt de elektronische gezondheidsgegevens binnen twee maanden na ontvangst van het verzoek van de instantie voor toegang tot gezondheidsgegevens ter beschikking van de instantie voor toegang tot gezondheidsgegevens. In uitzonderlijke gevallen kan de instantie voor toegang tot gezondheidsgegevens deze periode met nog eens twee maanden verlengen.
5.Wanneer een gegevenshouder verrijkte datasets heeft ontvangen na een verwerking op basis van een gegevensvergunning, stelt hij de nieuwe dataset ter beschikking, tenzij hij deze ongeschikt acht en de instantie voor toegang tot gezondheidsgegevens daarvan in kennis stelt.
6.Gegevenshouders van niet-persoonsgebonden elektronische gezondheidsgegevens zorgen voor toegang tot gegevens via betrouwbare open databanken om onbeperkte toegang voor alle gebruikers en de opslag en bewaring van gegevens te waarborgen. Betrouwbare open openbare databanken moeten beschikken over een robuust, transparant en duurzaam bestuur en een transparant model voor gebruikerstoegang.
7.De Commissie is bevoegd overeenkomstig artikel 67 gedelegeerde handelingen vast te stellen om de verplichtingen van de gegevenshouders in dit artikel te wijzigen, teneinde rekening te houden met de ontwikkeling van de activiteiten van gegevenshouders.
Artikel 42
Vergoedingen
1.Instanties voor toegang tot gezondheidsgegevens en individuele gegevenshouders kunnen een vergoeding vragen voor het beschikbaar stellen van elektronische gezondheidsgegevens voor secundair gebruik. Overeenkomstig artikel 6 van Verordening [...] [datagovernanceverordening (COM (2020) 767 final)] omvatten alle vergoedingen de kosten in verband met de uitvoering van de procedure voor verzoeken, onder meer voor het beoordelen van een aanvraag voor gegevenstoegang of een verzoek om gegevens, het verlenen, weigeren of wijzigen van een gegevensvergunning overeenkomstig de artikelen 45 en 46 of het geven van een antwoord op een verzoek om gegevens op grond van artikel 47, en worden daarop gebaseerd.
2.Indien de gegevens in kwestie niet in het bezit zijn van de instantie voor gegevenstoegang of een openbaar lichaam, kunnen de vergoedingen ook een compensatie omvatten voor een deel van de kosten voor het verzamelen van de elektronische gezondheidsgegevens, specifiek uit hoofde van deze verordening, naast de vergoedingen die overeenkomstig lid 1 in rekening kunnen worden gebracht. Het deel van de vergoedingen dat verband houdt met de kosten van de gegevenshouder wordt aan de gegevenshouder betaald.
3.De in artikel 33, lid 1, punt o), bedoelde elektronische gezondheidsgegevens worden kosteloos of tegen een vergoeding ter hoogte van de vergoeding voor de kosten van de personele en technische middelen die worden gebruikt om de elektronische gezondheidsgegevens te verrijken, ter beschikking gesteld van een nieuwe gebruiker. Die vergoeding wordt betaald aan de entiteit die de elektronische gezondheidsgegevens heeft verrijkt.
4.De vergoedingen die de instanties voor toegang tot gezondheidsgegevens of de gegevenshouders overeenkomstig dit artikel aan gebruikers van gegevens in rekening brengen, moeten transparant zijn en in verhouding staan tot de kosten van het verzamelen en beschikbaar stellen van elektronische gezondheidsgegevens voor secundair gebruik, objectief gerechtvaardigd zijn en de mededinging niet beperken. De steun die de gegevenshouder uit schenkingen, openbare nationale middelen of fondsen van de Unie ontvangt voor het opzetten, ontwikkelen of bijwerken van die dataset, wordt van deze berekening uitgesloten. Bij de vaststelling van de vergoedingen wordt rekening gehouden met de specifieke belangen en behoeften van kmo’s, overheidsorganen, instellingen, organen en instanties van de Unie die betrokken zijn bij onderzoek, gezondheidsbeleid of -analyse, onderwijsinstellingen en zorgaanbieders, door deze vergoedingen evenredig met hun omvang of budget.te verlagen.
5.Indien gegevenshouders en gegevensgebruikers binnen 1 maand na de verlening van de gegevensvergunning geen overeenstemming bereiken over de hoogte van de vergoedingen, kan de instantie voor toegang tot gezondheidsgegevens de vergoedingen vaststellen in evenredigheid met de kosten van het beschikbaar stellen van elektronische gezondheidsgegevens voor secundair gebruik. Gegevenshouders of gegevensgebruikers die het niet eens zijn met de door de instantie voor toegang tot gezondheidsgegevens vastgestelde vergoeding, kunnen zich wenden tot de overeenkomstig artikel 10 van Verordening [...] [dataverordening COM/2022/68 final] ingestelde geschillenbeslechtingsorganen.
6.De Commissie kan door middel van uitvoeringshandelingen beginselen en regels voor het vergoedingsbeleid en de vergoedingsstructuren vaststellen. Die uitvoeringshandelingen worden volgens de in artikel 68, lid 2, bedoelde raadplegingsprocedure vastgesteld.
Artikel 43
Sancties van de instanties voor toegang tot gezondheidsgegevens
1.De instanties voor toegang tot gezondheidsgegevens houden toezicht op de naleving van de in dit hoofdstuk vastgestelde voorschriften door gegevensgebruikers en gegevenshouders.
2.De informatie die instanties voor toegang tot gezondheidsgegevens van gebruikers en gegevenshouders opvragen om de naleving van dit hoofdstuk te controleren, moet in verhouding staan tot de uitvoering van de nalevingscontroletaak.
3.Wanneer instanties voor toegang tot gezondheidsgegevens vaststellen dat een gegevensgebruiker of gegevenshouder niet aan de voorschriften van dit hoofdstuk voldoet, stellen zij de gegevensgebruiker of gegevenshouder onmiddellijk in kennis van die bevindingen en geven zij deze de gelegenheid om binnen twee maanden zijn standpunt kenbaar te maken.
4.Instanties voor toegang tot gezondheidsgegevens hebben de bevoegdheid om de overeenkomstig artikel 46 afgegeven gegevensvergunning in te trekken en de betrokken elektronische verwerking van gezondheidsgegevens door de gegevensgebruiker stop te zetten om ervoor te zorgen dat de in lid 3 bedoelde niet-naleving onmiddellijk of binnen een redelijke termijn wordt beëindigd, en nemen passende en evenredige maatregelen om een conforme verwerking door de gegevensgebruikers te waarborgen. In dit verband moeten de instanties voor toegang tot gezondheidsgegevens in voorkomend geval de gegevensvergunning kunnen intrekken en de gegevensgebruiker gedurende een periode van maximaal vijf jaar kunnen uitsluiten van elke toegang tot elektronische gezondheidsgegevens.
5.Wanneer gegevenshouders de elektronische gezondheidsgegevens van instanties voor toegang tot gezondheidsgegevens achterhouden met de duidelijke bedoeling het gebruik van elektronische gezondheidsgegevens te belemmeren of de in artikel 41 vastgestelde termijnen niet in acht nemen, heeft de instantie voor toegang tot gezondheidsgegevens de bevoegdheid om de gegevenshouder boetes op te leggen voor elke dag vertraging, die transparant en evenredig moeten zijn. De hoogte van de boetes wordt vastgesteld door de instantie voor toegang tot gezondheidsgegevens. In geval van herhaalde schendingen door de gegevenshouder van de verplichting tot loyale samenwerking met de instantie voor toegang tot gezondheidsgegevens, kan die instantie de gegevenshouder gedurende een periode van maximaal vijf jaar uitsluiten van deelname aan de EHDS. Wanneer een gegevenshouder op grond van dit artikel van deelname aan de EHDS is uitgesloten omdat hij kennelijk voornemens is het secundaire gebruik van elektronische gezondheidsgegevens te belemmeren, heeft hij niet het recht om toegang te verlenen tot gezondheidsgegevens overeenkomstig artikel 49.
6.De instantie voor toegang tot gezondheidsgegevens deelt de krachtens lid 4 opgelegde maatregelen en de redenen daarvoor onverwijld mee aan de betrokken gegevensgebruiker of -houder en stelt een redelijke termijn vast waarbinnen de gegevensgebruiker of -houder aan die maatregelen moet voldoen.
7.Alle sancties en maatregelen die uit hoofde van lid 4 worden opgelegd, worden ter beschikking gesteld van andere instanties voor toegang tot gezondheidsgegevens.
8.De Commissie kan door middel van een uitvoeringshandeling de architectuur vaststellen van een IT-instrument dat tot doel heeft de in dit artikel bedoelde activiteiten te ondersteunen en transparant te maken voor andere instanties voor toegang tot gezondheidsgegevens, met name sancties en uitsluitingen. Die uitvoeringshandelingen worden volgens de in artikel 68, lid 2, bedoelde raadplegingsprocedure vastgesteld.
9.Elke natuurlijke of rechtspersoon die getroffen wordt door een besluit van een instantie voor toegang tot gezondheidsgegevens heeft het recht tegen een dergelijk besluit een doeltreffende voorziening in rechte in te stellen.
10.De Commissie kan richtsnoeren opstellen over sancties die door de instanties voor toegang tot gezondheidsgegevens moeten worden toegepast.
Afdeling 3
Vergunning voor het secundaire gebruik van elektronische gezondheidsgegevens
Artikel 44
Minimale gegevensverwerking en doelbinding
1.De instantie voor toegang tot gezondheidsgegevens zorgt ervoor dat alleen toegang wordt verleend tot gevraagde elektronische gezondheidsgegevens die relevant zijn voor het door de gegevensgebruiker in de aanvraag voor toegang tot gegevens vermelde verwerkingsdoel en in overeenstemming met de verleende gegevensvergunning.
2.De instanties voor toegang tot gezondheidsgegevens verstrekken de elektronische gezondheidsgegevens in een geanonimiseerd formaat, wanneer het doel van de verwerking door de gegevensgebruiker met die gegevens kan worden bereikt, rekening houdend met de door de gegevensgebruiker verstrekte informatie.
3.Wanneer het doel van de verwerking van de gegevensgebruiker niet kan worden bereikt met geanonimiseerde gegevens, rekening houdend met de door de gegevensgebruiker verstrekte informatie, verlenen de instanties voor toegang tot gezondheidsgegevens toegang tot elektronische gezondheidsgegevens in gepseudonimiseerde vorm. De informatie die nodig is om de pseudonimisering terug te draaien, is alleen beschikbaar voor de instantie voor toegang tot gezondheidsgegevens. Gegevensgebruikers mogen de elektronische gezondheidsgegevens die hun in gepseudonimiseerde vorm zijn verstrekt niet heridentificeren. Indien de gegevensgebruiker zich niet houdt aan de maatregelen van de instantie voor toegang tot gezondheidsgegevens om pseudonimisering te waarborgen, worden passende sancties opgelegd.
Artikel 45
Aanvragen voor gegevenstoegang
1.Elke natuurlijke of rechtspersoon kan een aanvraag voor toegang tot gegevens indienen voor de in artikel 34 genoemde doeleinden.
2.De aanvraag voor gegevenstoegang omvat:
a)een gedetailleerde toelichting bij het beoogde gebruik van de elektronische gezondheidsgegevens, met inbegrip van de vraag voor welke van de in artikel 34, lid 1, bedoelde doeleinden toegang wordt gevraagd;
b)een beschrijving van de gevraagde elektronische gezondheidsgegevens, hun formaat en gegevensbronnen, indien mogelijk, met inbegrip van de geografische dekking wanneer gegevens van verschillende lidstaten worden opgevraagd;
c)een vermelding of elektronische gezondheidsgegevens in geanonimiseerde vorm beschikbaar moeten worden gesteld;
d)indien van toepassing, een toelichting van de redenen voor het verzoeken om toegang tot elektronische gezondheidsgegevens in gepseudonimiseerd formaat;
e)een beschrijving van de voorgenomen waarborgen om elk ander gebruik van de elektronische gezondheidsgegevens te voorkomen;
f)een beschrijving van de voorgenomen waarborgen ter bescherming van de rechten en belangen van de gegevenshouder en van de betrokken natuurlijke personen;
g)een raming van de periode gedurende welke de elektronische gezondheidsgegevens nodig zijn voor de verwerking;
h)een beschrijving van de instrumenten en computermiddelen die nodig zijn voor een veilige omgeving.
3.Gegevensgebruikers die toegang wensen tot elektronische gezondheidsgegevens van meer dan één lidstaat dienen één aanvraag in bij een van de betrokken instanties voor toegang tot gezondheidsgegevens van hun keuze, die verantwoordelijk is voor het delen van het verzoek met andere instanties voor toegang tot gezondheidsgegevens en gemachtigde deelnemers aan HealthData@EU als bedoeld in artikel 52, die in de aanvraag voor toegang tot gegevens zijn geïdentificeerd. Voor verzoeken om toegang tot elektronische gezondheidsgegevens van meer dan één lidstaat stelt de instantie voor toegang tot gezondheidsgegevens de andere relevante instanties voor toegang tot gezondheidsgegevens in kennis van de ontvangst van een voor hen relevante aanvraag binnen 15 dagen na de datum van ontvangst van de aanvraag voor toegang tot gegevens.
4.Indien de aanvrager voornemens is toegang te krijgen tot de persoonlijke elektronische gezondheidsgegevens in een gepseudonimiseerd formaat, wordt samen met de aanvraag voor gegevenstoegang de volgende aanvullende informatie verstrekt:
a)een beschrijving van de wijze waarop de verwerking in overeenstemming zou zijn met artikel 6, lid 1, van Verordening (EU) 2016/679;
b)informatie over de beoordeling van ethische aspecten van de verwerking, indien van toepassing en in overeenstemming met de nationale wetgeving.
5.Voor de uitvoering van de in artikel 37, lid 1, punten b) en c), bedoelde taken verstrekken de openbare lichamen en de instellingen, organen en instanties van de Unie dezelfde informatie als vereist op grond van artikel 45, lid 2, met uitzondering van punt g), waar zij informatie verstrekken over de periode waarvoor toegang tot de gegevens kan worden verkregen, de frequentie van die toegang of de frequentie waarmee de gegevens worden bijgewerkt.
Wanneer de openbare lichamen en de instellingen, organen en instanties van de Unie voornemens zijn toegang te krijgen tot de elektronische gezondheidsgegevens in gepseudonimiseerde vorm, wordt ook een beschrijving verstrekt van de wijze waarop de verwerking in overeenstemming zou zijn met artikel 6, lid 1, van Verordening (EU) 2016/679 of artikel 5, lid 1, van Verordening (EU) 2018/1725, naargelang het geval.
6.De Commissie kan door middel van uitvoeringshandelingen de templates vaststellen voor de in dit artikel bedoelde aanvraag voor toegang tot gegevens, de in artikel 46 bedoelde gegevensvergunning en het in artikel 47 bedoelde verzoek om gegevens. Die uitvoeringshandelingen worden volgens de in artikel 68, lid 2, bedoelde procedure vastgesteld.
7.De Commissie is bevoegd overeenkomstig artikel 67 gedelegeerde handelingen vast te stellen om de lijst van informatie in de leden 2, 4, 5 en 6 van dit artikel te wijzigen teneinde ervoor te zorgen dat de lijst geschikt is voor de verwerking van een aanvraag voor toegang tot gegevens op nationaal of grensoverschrijdend niveau.
Artikel 46
Gegevensvergunning
1.De instanties voor toegang tot gezondheidsgegevens beoordelen of de aanvraag voldoet aan een van de in artikel 34, lid 1, van deze verordening genoemde doeleinden, of de gevraagde gegevens noodzakelijk zijn voor het in de aanvraag vermelde doel en of de aanvrager aan de voorschriften van dit hoofdstuk voldoet. Indien dat het geval is, geeft de instantie voor toegang tot gezondheidsgegevens een gegevensvergunning af.
2.Instanties voor toegang tot gezondheidsgegevens wijzen alle aanvragen af die een of meer van de in artikel 35 genoemde doeleinden omvatten, of wanneer niet aan de vereisten van dit hoofdstuk is voldaan.
3.Een instantie voor toegang tot gezondheidsgegevens geeft een gegevensvergunning af of weigert deze binnen twee maanden na ontvangst van de aanvraag voor toegang tot de gegevens. In afwijking van verordening [...] [datagovernanceverordening COM/2020/767 final] kan de instantie voor toegang tot gezondheidsgegevens de termijn voor het beantwoorden van een aanvraag voor toegang tot gegevens zo nodig met twee maanden verlengen, rekening houdend met de complexiteit van het verzoek. In dergelijke gevallen deelt de instantie voor toegang tot gezondheidsgegevens de aanvrager zo spoedig mogelijk mee dat er meer tijd nodig is voor de behandeling van de aanvraag, samen met de redenen voor de vertraging. Indien een instantie voor de toegang tot gezondheidsgegevens niet binnen de gestelde termijn een besluit neemt, wordt de gegevensvergunning afgegeven.
4.Na de afgifte van de gegevensvergunning vraagt de instantie voor toegang tot gezondheidsgegevens de gegevenshouder onmiddellijk om de elektronische gezondheidsgegevens. De instantie voor toegang tot gezondheidsgegevens stelt de elektronische gezondheidsgegevens ter beschikking van de gegevensgebruiker binnen twee maanden na ontvangst ervan van de gegevenshouders, tenzij de instantie voor toegang tot gezondheidsgegevens aangeeft dat zij de gegevens binnen een langere termijn zal verstrekken.
5.Wanneer de instantie voor toegang tot gezondheidsgegevens weigert een gegevensvergunning af te geven, motiveert zij deze weigering aan de aanvrager.
6.De gegevensvergunning bevat de algemene voorwaarden die van toepassing zijn op de gegevensgebruiker, met name:
a)de soorten en het formaat van de elektronische gezondheidsgegevens waartoe toegang is verkregen en waarop de gegevensvergunning betrekking heeft, met inbegrip van de bronnen ervan;
b)het doel waarvoor gegevens beschikbaar worden gesteld;
c)de geldigheidsduur van de gegevensvergunning;
d)informatie over de technische kenmerken en instrumenten waarover de gegevensgebruiker in de beveiligde verwerkingsomgeving beschikt;
e)de door de gegevensgebruiker te betalen vergoedingen;
f)eventuele aanvullende specifieke voorwaarden in de verleende gegevensvergunning.
7.Gegevensgebruikers hebben het recht om de elektronische gezondheidsgegevens in te zien en te verwerken in overeenstemming met de op grond van deze verordening aan hen verstrekte gegevensvergunning.
8.De Commissie is bevoegd gedelegeerde handelingen vast te stellen tot wijziging van de in lid 7 van dit artikel bedoelde lijst van aspecten die onder een gegevensvergunning moeten vallen, overeenkomstig de procedure van artikel 67.
9.Een gegevensvergunning wordt afgegeven voor de duur die nodig is om de gevraagde doeleinden te vervullen, die niet langer mag zijn dan vijf jaar. Deze termijn kan, op verzoek van de gegevensgebruiker, eenmaal worden verlengd en wel voor een periode van ten hoogste vijf jaar, mits de verlengingsaanvraag een maand voor het verstrijken van de gegevensvergunning wordt ingediend, en de verlening op basis van argumenten en documenten wordt gerechtvaardigd. In afwijking van artikel 42 kan de instantie voor toegang tot gezondheidsgegevens hogere vergoedingen in rekening brengen om rekening te houden met de kosten en risico’s van de opslag van elektronische gezondheidsgegevens voor een langere periode dan de eerste vijf jaar. Om deze kosten en vergoedingen te beperken, kan de instantie voor toegang tot gezondheidsgegevens de gegevensgebruiker ook voorstellen de dataset op te slaan in een opslagsysteem met beperkte mogelijkheden. De gegevens in de beveiligde verwerkingsomgeving worden binnen 6 maanden na het verstrijken van de gegevensvergunning gewist. Op verzoek van de gegevensgebruiker wordt de formule voor het aanmaken van de gevraagde dataset opgeslagen door de instantie voor toegang tot gezondheidsgegevens.
10.Indien de gegevensvergunning moet worden bijgewerkt, dient de gegevensgebruiker een verzoek tot wijziging van de gegevensvergunning in.
11.Gegevensgebruikers maken de resultaten of outputs van het secundaire gebruik van elektronische gezondheidsgegevens, met inbegrip van informatie die relevant is voor de verstrekking van gezondheidszorg, uiterlijk 18 maanden na voltooiing van de elektronische verwerking van gezondheidsgegevens of na ontvangst van het antwoord op het in artikel 47 bedoelde verzoek om gegevens openbaar. Deze resultaten of outputs bevatten alleen geanonimiseerde gegevens. De gegevensgebruiker informeert de instanties voor toegang tot gezondheidsgegevens die de gegevensvergunning hebben afgegeven en ondersteunt hen bij het openbaar maken van de informatie op de websites van de instanties voor toegang tot gezondheidsgegevens. Wanneer de gegevensgebruikers elektronische gezondheidsgegevens overeenkomstig dit hoofdstuk hebben gebruikt, erkennen zij de bronnen van de elektronische gezondheidsgegevens en het feit dat elektronische gezondheidsgegevens zijn verkregen in het kader van de EHDS.
12.De gegevensgebruikers stellen de instantie voor toegang tot gezondheidsgegevens in kennis van alle klinisch significante bevindingen die van invloed kunnen zijn op de gezondheidstoestand van de natuurlijke personen wier gegevens in de dataset zijn opgenomen.
13.De Commissie kan door middel van een uitvoeringshandeling een logo ontwikkelen om de bijdrage van de EHDS te erkennen. De uitvoeringshandeling wordt vastgesteld volgens de in artikel 68, lid 2, bedoelde adviesprocedure.
14.De aansprakelijkheid van de instanties voor toegang tot gezondheidsgegevens als gezamenlijke verwerkingsverantwoordelijke is beperkt tot de reikwijdte van de afgegeven gegevensvergunning tot de voltooiing van de verwerkingsactiviteit.
Artikel 47
Verzoek om gegevens
1.Elke natuurlijke of rechtspersoon kan een verzoek om gegevens indienen voor de in artikel 34 genoemde doeleinden. Een instantie voor toegang tot gezondheidsgegevens verstrekt alleen een antwoord op een verzoek om gegevens in een geanonimiseerd statistisch formaat en de gegevensgebruiker heeft geen toegang tot de elektronische gezondheidsgegevens die worden gebruikt om dit antwoord te geven.
2.Een verzoek om gegevens bevat de in artikel 45, lid 2, punten a) en b), genoemde elementen en kan, indien nodig, ook het volgende omvatten:
a)een beschrijving van het van de instantie voor toegang tot gezondheidsgegevens verwachte resultaat;
b)een beschrijving van de inhoud van de statistiek.
3.Wanneer een aanvrager op basis van een verzoek om gegevens om een resultaat in geanonimiseerde vorm, met inbegrip van een statistisch formaat, heeft verzocht, wordt dit binnen twee maanden door de instantie voor toegang tot gezondheidsgegevens beoordeelden verstrekt zij het resultaat indien mogelijk binnen twee maanden aan de gegevensgebruiker.
Artikel 48
Gegevens beschikbaar stellen voor openbare lichamen en instellingen, organen, bureaus en agentschappen van de Unie zonder gegevensvergunning
In afwijking van artikel 46 van deze verordening is een gegevensvergunning niet vereist om toegang te krijgen tot de elektronische gezondheidsgegevens uit hoofde van dit artikel. Bij de uitvoering van die taken uit hoofde van artikel 37, lid 1, punten b) en c), informeert de instantie voor toegang tot gezondheidsgegevens overeenkomstig artikel 9 van Verordening [...] [datagovernanceverordening COM/2020/767 final] de openbare lichamen en de instellingen, bureaus, agentschappen en organen van de Unie binnen twee maanden na de aanvraag voor toegang tot gegevens over de beschikbaarheid van gegevens. In afwijking van die verordening [...] [datagovernanceverordening COM/2020/767 final] kan de instantie voor toegang tot gezondheidsgegevens de termijn indien nodig met twee maanden verlengen, rekening houdend met de complexiteit van het verzoek. De instantie voor toegang tot gezondheidsgegevens stelt de elektronische gezondheidsgegevens binnen twee maanden na ontvangst ervan van de gegevenshouders ter beschikking van de gegevensgebruiker, tenzij zij bepaalt dat zij de gegevens binnen een langere termijn zal verstrekken.
Artikel 49
Toegang tot elektronische gezondheidsgegevens van één gegevenshouder
1.Wanneer een aanvrager slechts van één gegevenshouder in één enkele lidstaat toegang tot elektronische gezondheidsgegevens vraagt, kan die aanvrager, in afwijking van artikel 45, lid 1, een aanvraag voor gegevenstoegang of een verzoek om gegevens rechtstreeks bij de gegevenshouder indienen. De aanvraag voor toegang tot gegevens voldoet aan de vereisten van artikel 45 en het verzoek om gegevens voldoet aan de vereisten van artikel 47. Meerlandenverzoeken en verzoeken die een combinatie van datasets van meerdere gegevenshouders vereisen, moeten altijd tot de instanties voor toegang tot gezondheidsgegevens worden gericht.
2.In dat geval kan de gegevenshouder een gegevensvergunning afgeven overeenkomstig artikel 46 of een antwoord geven op een verzoek om gegevens overeenkomstig artikel 47. De gegevenshouder verleent vervolgens toegang tot de elektronische gezondheidsgegevens in een beveiligde verwerkingsomgeving overeenkomstig artikel 50 en kan overeenkomstig artikel 42 een vergoeding aanrekenen.
3.In afwijking van artikel 51 worden de enige gegevensverstrekker en de gegevensgebruiker beschouwd als gezamenlijke verwerkingsverantwoordelijken.
4.Binnen drie maanden stelt de gegevenshouder de relevante instantie voor toegang tot gezondheidsgegevens langs elektronische weg in kennis van alle ingediende aanvragen voor toegang tot gegevens, alle afgegeven gegevensvergunningen en de krachtens dit artikel ingediende verzoeken om gegevens, teneinde de instantie voor toegang tot gezondheidsgegevens in staat te stellen haar verplichtingen uit hoofde van artikel 37, lid 1, en artikel 39 na te komen.
Artikel 50
Beveiligde verwerkingsomgeving
1.De instanties voor toegang tot gezondheidsgegevens verlenen uitsluitend toegang tot elektronische gezondheidsgegevens via een beveiligde verwerkingsomgeving, met technische en organisatorische maatregelen en beveiligings- en interoperabiliteitsvereisten. Zij nemen met name de volgende beveiligingsmaatregelen:
a)zij beperken de toegang tot de beveiligde verwerkingsomgeving tot bevoegde personen die in de respectieve gegevensvergunning worden vermeld;
b)zij beperken het risico van het onrechtmatig lezen, kopiëren, wijzigen of weghalen van elektronische gezondheidsgegevens die in de beveiligde verwerkingsomgeving worden gehost, met behulp van geavanceerde technologische middelen tot een minimum;
c)zij beperken de bevoegdheid voor input van elektronische gezondheidsgegevens en voor inspectie, wijziging of verwijdering van elektronische gezondheidsgegevens in de beveiligde verwerkingsomgeving tot een beperkt aantal gemachtigde identificeerbare personen;
d)zij zorgen ervoor dat gegevensgebruikers alleen toegang hebben tot de elektronische gezondheidsgegevens waarop hun gegevensvergunning betrekking heeft, uitsluitend door middel van individuele en unieke gebruikersidentiteiten en vertrouwelijke toegangsprocedures;
e)zij houden identificeerbare toegangslogs tot de beveiligde verwerkingsomgeving bij, gedurende de periode die nodig is om alle verwerkingsactiviteiten in die omgeving te verifiëren en te controleren;
f)zij zorgen voor naleving en houden toezicht op de in dit artikel bedoelde beveiligingsmaatregelen om potentiële veiligheidsdreigingen te beperken.
2.De instanties voor toegang tot gezondheidsgegevens zorgen ervoor dat elektronische gezondheidsgegevens door gegevenshouders kunnen worden geüpload in een beveiligde verwerkingsomgeving en daar toegankelijk zijn voor de gegevensgebruiker. De gegevensgebruikers zijn alleen in staat niet-persoonsgebonden elektronische gezondheidsgegevens van de beveiligde verwerkingsomgeving te downloaden.
3.De instanties voor toegang tot gezondheidsgegevens zorgen voor regelmatige audits van de beveiligde verwerkingsomgevingen.
4.De Commissie stelt door middel van uitvoeringshandelingen de technische, informatiebeveiligings- en interoperabiliteitsvereisten voor de beveiligde verwerkingsomgevingen vast. Die uitvoeringshandelingen worden volgens de in artikel 68, lid 2, bedoelde raadplegingsprocedure vastgesteld.
Artikel 51
Gezamenlijke verwerkingsverantwoordelijken
1.De instanties voor toegang tot gezondheidsgegevens en de gegevensgebruikers, met inbegrip van de instellingen, organen en instanties van de Unie, worden beschouwd als gezamenlijke verwerkingsverantwoordelijken voor elektronische gezondheidsgegevens die overeenkomstig de gegevensvergunning worden verwerkt.
2.De Commissie stelt door middel van uitvoeringshandelingen een model vast voor de regeling voor de gezamenlijke verwerkingsverantwoordelijken. Deze uitvoeringshandelingen worden vastgesteld volgens de in artikel 68, lid 2, bedoelde adviesprocedure.
Afdeling 4
Grensoverschrijdende toegang tot elektronische gezondheidsgegevens voor secundair gebruik
Artikel 52
Grensoverschrijdende infrastructuur voor secundair gebruik van elektronische gezondheidsgegevens (HealthData@EU)
1.Elke lidstaat wijst een nationaal contactpunt voor secundair gebruik van elektronische gezondheidsgegevens aan, dat verantwoordelijk is voor het beschikbaar stellen van elektronische gezondheidsgegevens voor secundair gebruik in een grensoverschrijdende context, en deelt de bijbehorende namen en contactgegevens aan de Commissie mee. Het nationale contactpunt kan de uit hoofde van artikel 36 aangewezen coördinerende instantie voor toegang tot gezondheidsgegevens zijn. De Commissie en de lidstaten maken deze informatie openbaar toegankelijk.
2.De in lid 1 bedoelde nationale contactpunten worden gemachtigd tot deelname aan de grensoverschrijdende infrastructuur voor secundair gebruik van elektronische gezondheidsgegevens (HealthData@EU). De nationale contactpunten vergemakkelijken de grensoverschrijdende toegang tot elektronische gezondheidsgegevens voor secundair gebruik voor andere gemachtigde deelnemers aan de infrastructuur, en werken nauw met elkaar en met de Commissie samen.
3.Instellingen, organen, bureaus en agentschappen van de Unie die betrokken zijn bij onderzoek, gezondheidsbeleid of analyse, zijn gemachtigde deelnemers van HealthData@EU.
4.Onderzoeksinfrastructuren op het gebied van gezondheid of soortgelijke structuren waarvan de werking is gebaseerd op het Unierecht en die het gebruik van elektronische gezondheidsgegevens voor onderzoek, beleidsvorming, statistiek, patiëntveiligheid of regelgeving ondersteunen, zijn gemachtigde deelnemers van HealthData@EU.
5.Derde landen of internationale organisaties kunnen gemachtigde deelnemers worden wanneer zij voldoen aan de regels van hoofdstuk IV van deze verordening en aan in de Unie gevestigde gegevensgebruikers onder gelijkwaardige voorwaarden toegang verlenen tot de elektronische gezondheidsgegevens die beschikbaar zijn voor hun instanties voor toegang tot gezondheidsgegevens. De Commissie kan uitvoeringshandelingen vaststellen waarin wordt bepaald dat een nationaal contactpunt van een derde land of een op internationaal niveau ingesteld systeem voldoet aan de vereisten van HealthData@EU voor het secundaire gebruik van gezondheidsgegevens, voldoet aan hoofdstuk IV van deze verordening en gegevensgebruikers in de Unie onder gelijkwaardige voorwaarden toegang verleent tot de elektronische gezondheidsgegevens waartoe het toegang heeft. De naleving van deze wettelijke, organisatorische, technische en veiligheidseisen, met inbegrip van de normen voor beveiligde verwerkingsomgevingen overeenkomstig artikel 50, wordt gecontroleerd onder toezicht van de Commissie. Deze uitvoeringshandelingen worden volgens de in artikel 68, lid 2, bedoelde raadplegingsprocedure vastgesteld. De Commissie maakt de lijst van de op grond van dit lid aangenomen uitvoeringshandelingen openbaar.
6.Elke gemachtigde deelnemer zorgt ervoor te beschikken over de vereiste technische capaciteit om verbinding te maken met en deel te nemen aan HealthData@EU. Elke deelnemer voldoet aan de vereisten en technische specificaties die nodig zijn om de grensoverschrijdende infrastructuur te exploiteren en de gemachtigde deelnemers in staat te stellen binnen die infrastructuur met elkaar verbinding te maken.
7.De Commissie is bevoegd overeenkomstig artikel 67 gedelegeerde handelingen tot wijziging van dit artikel vast te stellen om categorieën gemachtigde deelnemers voor HealthData@EU toe te voegen of te schrappen, rekening houdend met het advies van de groep voor gezamenlijke verwerkingsverantwoordelijkheid overeenkomstig artikel 66 van deze verordening.
8.De lidstaten en de Commissie zetten HealthData@EU op om de grensoverschrijdende toegang tot elektronische gezondheidsgegevens voor secundair gebruik te ondersteunen en te vergemakkelijken door de nationale contactpunten voor secundair gebruik van elektronische gezondheidsgegevens van alle lidstaten en gemachtigde deelnemers aan die infrastructuur met elkaar te verbinden.
9.De Commissie ontwikkelt, installeert en beheert een kernplatform voor HealthData@EU door, als onderdeel van de grensoverschrijdende infrastructuur voor het secundaire gebruik van elektronische gezondheidsgegevens, informatietechnologiediensten te verlenen die nodig zijn om de verbinding tussen instanties voor toegang tot gezondheidsgegevens te vergemakkelijken. De Commissie verwerkt elektronische gezondheidsgegevens uitsluitend als een verwerker namens de gezamenlijke verwerkingsverantwoordelijken.
10.Op verzoek van twee of meer instanties voor toegang tot gezondheidsgegevens kan de Commissie voorzien in een beveiligde verwerkingsomgeving voor gegevens uit meer dan één lidstaat, die voldoet aan de vereisten van artikel 50. Wanneer twee of meer instanties voor toegang tot gezondheidsgegevens elektronische gezondheidsgegevens in de door de Commissie beheerde beveiligde verwerkingsomgeving plaatsen, zijn zij de gezamenlijke verwerkingsverantwoordelijken en is de Commissie de verwerker.
11.De gemachtigde deelnemers treden op als gezamenlijke verwerkingsverantwoordelijken voor de in HealthData@EU uitgevoerde verwerkingen waarbij zij betrokken zijn, en de Commissie treedt op als verwerker.
12.De lidstaten en de Commissie streven naar interoperabiliteit van HealthData@EU met andere relevante gemeenschappelijke Europese dataruimten als bedoeld in de Verordeningen […] [datagovernanceverordening COM(2020) 767 final] en […] [dataverordening COM(2022) 68 final].
13.De Commissie kan door middel van uitvoeringshandelingen de volgende elementen vaststellen:
a)vereisten, technische specificaties, de IT-architectuur van HealthData@EU, voorwaarden en nalevingscontroles voor gemachtigde deelnemers om verbinding te maken en verbonden te blijven met HealthData@EU, en voorwaarden voor tijdelijke of definitieve uitsluiting van HealthData@EU;
b)de minimumcriteria waaraan de gemachtigde deelnemers aan de infrastructuur moeten voldoen;
c)de verantwoordelijkheden van de gezamenlijke verwerkingsverantwoordelijken en verwerker(s) die deelnemen aan de grensoverschrijdende infrastructuur;
d)de verantwoordelijkheden van de gezamenlijke verwerkingsverantwoordelijken en verwerker(s) voor de beveiligde omgeving die door de Commissie wordt beheerd;
e)gemeenschappelijke specificaties voor de interoperabiliteit en architectuur van HealthData@EU met andere gemeenschappelijke Europese dataruimten.
Die uitvoeringshandelingen worden volgens de in artikel 68, lid 2, bedoelde raadplegingsprocedure vastgesteld.
14.De toestemming voor individuele gemachtigde deelnemers om zich bij HealthData@EU aan te sluiten of om de aansluiting van een deelnemer op de infrastructuur te beëindigen, wordt gegeven door de groep voor gezamenlijke verwerkingsverantwoordelijkheid op basis van de resultaten van de nalevingscontroles.
Artikel 53
Toegang tot grensoverschrijdende bronnen van elektronische gezondheidsgegevens voor secundair gebruik
1.In het geval van grensoverschrijdende registers en databanken is de instantie voor toegang tot gezondheidsgegevens waarbij de gegevenshouder geregistreerd is, bevoegd om te beslissen over aanvragen voor toegang tot elektronische gezondheidsgegevens. Indien het register gezamenlijke verwerkingsverantwoordelijken kent, is de instantie voor toegang tot gezondheidsgegevens die de toegang tot elektronische gezondheidsgegevens verleent de instantie in de lidstaat waar een van de gezamenlijke verwerkingsverantwoordelijken gevestigd is.
2.Wanneer registers of databanken van een aantal lidstaten zich organiseren tot één netwerk van registers of databanken op het niveau van de Unie, kunnen de betrokken registers een van hun leden als coördinator aanwijzen met het oog op het verstrekken van gegevens van het netwerk van registers voor secundair gebruik. De instantie voor toegang tot gezondheidsgegevens van de lidstaat waar de coördinator van het netwerk gevestigd is, is bevoegd om voor het netwerk van registers of databanken te beslissen over de aanvragen voor toegang tot elektronische gezondheidsgegevens.
3.De Commissie kan door middel van uitvoeringshandelingen de nodige regels vaststellen om de behandeling van aanvragen voor toegang tot gegevens voor HealthData@EU te vergemakkelijken, onder meer met een gemeenschappelijk aanvraagformulier, een gemeenschappelijk gegevensvergunningsmodel, standaardformulieren voor gemeenschappelijke contractuele regelingen voor toegang tot elektronische gezondheidsgegevens en uniforme procedures voor de behandeling van grensoverschrijdende verzoeken overeenkomstig de artikelen 45, 46, 47 en 48. Die uitvoeringshandelingen worden volgens de in artikel 68, lid 2, bedoelde raadplegingsprocedure vastgesteld.
Artikel 54
Wederzijdse erkenning
1.Bij de behandeling van een aanvraag voor grensoverschrijdende toegang tot elektronische gezondheidsgegevens voor secundair gebruik blijven de instanties voor toegang tot gezondheidsgegevens en de betrokken gemachtigde deelnemers verantwoordelijk voor het besluit om de toegang tot elektronische gezondheidsgegevens die onder hun bevoegdheid vallen te verlenen of te weigeren, overeenkomstig de in dit hoofdstuk vastgestelde toegangsvereisten.
2.Een door een betrokken instantie voor toegang tot gezondheidsgegevens afgegeven gegevensvergunning kan in aanmerking komen voor wederzijdse erkenning door de andere betrokken instanties voor toegang tot gezondheidsgegevens.
Afdeling 5
Kwaliteit en bruikbaarheid van gezondheidsgegevens voor secundair gebruik
Artikel 55
Beschrijving van de dataset
1.De instanties voor toegang tot gezondheidsgegevens informeren de gegevensgebruikers over de beschikbare datasets en hun kenmerken via een metagegevenscatalogus. Elke dataset bevat informatie over de bron, de reikwijdte, de belangrijkste kenmerken, de aard van de elektronische gezondheidsgegevens en de voorwaarden voor het beschikbaar stellen ervan.
2.De Commissie stelt door middel van uitvoeringshandelingen vast wat de informatie-elementen zijn die gegevenshouders op zijn minst voor de datasets moeten verstrekken en de kenmerken daarvan. Die uitvoeringshandelingen worden volgens de in artikel 68, lid 2, bedoelde raadplegingsprocedure vastgesteld.
Artikel 56
Gegevenskwaliteits- en bruikbaarheidslabel
1.Datasets die via instanties voor toegang tot gezondheidsgegevens beschikbaar worden gesteld, kunnen voorzien zijn van een door de gegevenshouders verstrekt EU-label inzake gegevenskwaliteit en bruikbaarheid.
2.Datasets met elektronische gezondheidsgegevens die met steun van de Unie of nationale overheidsfinanciering worden verzameld en verwerkt, hebben een gegevenskwaliteits- en bruikbaarheidslabel, in overeenstemming met de in lid 3 vastgestelde beginselen.
3.Het gegevenskwaliteits- en bruikbaarheidslabel voldoet aan de volgende elementen:
a)voor de documentatie van de gegevens: metagegevens, ondersteunende documentatie, gegevensmodel, gegevenswoordenboek, gebruikte normen, herkomst;
b)technische kwaliteit, waaruit de volledigheid, het unieke karakter, de nauwkeurigheid, geldigheid, tijdigheid en consistentie van de gegevens blijken;
c)voor processen voor het beheer van de gegevenskwaliteit: rijpheid van de processen voor het beheer van de gegevenskwaliteit, met inbegrip van evaluatie- en auditprocessen, onderzoek naar vertekeningen (bias);
d)dekking: weergave van multidisciplinaire elektronische gezondheidsgegevens, representativiteit van de bemonsterde populatie, gemiddelde tijdspanne waarin een natuurlijke persoon in een dataset voorkomt;
e)informatie over toegang en verstrekking: tijd tussen het verzamelen van de elektronische gezondheidsgegevens en de toevoeging ervan aan de dataset, tijd voor het verstrekken van elektronische gezondheidsgegevens nadat de aanvraag voor toegang tot elektronische gezondheidsgegevens is goedgekeurd;
f)informatie over de verrijking van gegevens: samenvoegen van datasets en toevoegen van gegevens aan een bestaande dataset, met inbegrip van koppelingen met andere datasets.
4.De Commissie is bevoegd om overeenkomstig artikel 67 gedelegeerde handelingen vast te stellen tot wijziging van de lijst van beginselen voor het gegevenskwaliteits- en bruikbaarheidslabel. Dergelijke gedelegeerde handelingen kunnen ook de in lid 3 bedoelde lijst wijzigen door vereisten voor het gegevenskwaliteits- en bruikbaarheidslabel toe te voegen, te wijzigen of te schrappen.
5.De Commissie stelt door middel van uitvoeringshandelingen de visuele kenmerken en de technische specificaties van het gegevenskwaliteits- en bruikbaarheidslabel vast op basis van de in lid 3 bedoelde elementen. Die uitvoeringshandelingen worden volgens de in artikel 68, lid 2, bedoelde raadplegingsprocedure vastgesteld. In die uitvoeringshandelingen wordt rekening gehouden met de vereisten van artikel 10 van Verordening […] [AI-verordening COM(2021) 206 final] en met alle vastgestelde gemeenschappelijke specificaties of geharmoniseerde normen ter ondersteuning van die vereisten.
Artikel 57
EU-catalogus van datasets
1.De Commissie stelt een EU-catalogus van datasets op die de nationale catalogi van datasets, opgesteld door de instanties voor toegang tot gezondheidsgegevens en andere gemachtigde deelnemers aan HealthData@EU, met elkaar verbindt.
2.De EU-catalogus van datasets en de nationale catalogi van datasets worden openbaar toegankelijk gemaakt.
Artikel 58
Minimumspecificaties van de datasets
De Commissie kan door middel van uitvoeringshandelingen de minimumspecificaties voor grensoverschrijdende datasets voor secundair gebruik van elektronische gezondheidsgegevens vaststellen, rekening houdend met bestaande infrastructuren, normen, richtsnoeren en aanbevelingen van de Unie. Die uitvoeringshandelingen worden volgens de in artikel 68, lid 2, bedoelde raadplegingsprocedure vastgesteld.
Hoofdstuk V
Aanvullende acties
Artikel 59
Capaciteitsopbouw
De Commissie ondersteunt de uitwisseling van beste praktijken en expertise voor de opbouw van de capaciteit van de lidstaten om de digitale gezondheidszorgstelsels voor primair en secundair gebruik van elektronische gezondheidsgegevens te versterken. Ter ondersteuning van de capaciteitsopbouw stelt de Commissie benchmarkingrichtsnoeren voor het primaire en secundaire gebruik van elektronische gezondheidsgegevens op.
Artikel 60
Aanvullende vereisten voor overheidsopdrachten en financiering door de Unie
1.Aanbestedende overheidsdiensten, nationale bevoegde autoriteiten, met inbegrip van autoriteiten voor digitale gezondheid en instanties voor toegang tot gezondheidsgegevens, en de Commissie verwijzen naar de toepasselijke technische specificaties, normen en profielen als bedoeld in de artikelen 6, 23, 50 en 56, naargelang het geval, als oriëntatiepunten voor overheidsopdrachten en bij het opstellen van hun aanbestedingsdocumenten of oproepen tot het indienen van voorstellen, alsook bij het bepalen van de voorwaarden voor financiering door de Unie in verband met deze verordening, met inbegrip van randvoorwaarden voor de structuur- en cohesiefondsen.
2.Bij de ex-antevoorwaarden voor financiering door de Unie wordt rekening gehouden met de vereisten die in het kader van de hoofdstukken II, III en IV zijn ontwikkeld.
Artikel 61
Doorgifte aan derde landen van niet-persoonsgebonden elektronische gegevens
1.Niet-persoonsgebonden elektronische gegevens die beschikbaar worden gesteld door instanties voor toegang tot gezondheidsgegevens en die gebaseerd zijn op elektronische gegevens van een natuurlijke persoon die onder een van de categorieën van artikel 33 [punten a), e), f), i), j), k), m)] vallen, worden beschouwd als zeer gevoelig in de zin van artikel 5, lid 13, van Verordening […] [datagovernanceverordening COM(2020) 767 final], mits de doorgifte ervan naar derde landen een risico op heridentificatie met middelen die de redelijkerwijs te gebruiken middelen overstijgen met zich meebrengt, in het licht van het beperkte aantal natuurlijke personen waarop die gegevens betrekking hebben, het feit dat zij geografisch verspreid zijn of de technologische ontwikkelingen die in de nabije toekomst worden verwacht.
2.De beschermingsmaatregelen voor de in lid 1 bedoelde gegevenscategorieën zijn afhankelijk van de aard van de gegevens en anonimiseringstechnieken en worden nader uitgewerkt in de context van de gedelegeerde handeling op grond van de in artikel 5, lid 13, van Verordening [...] [datagovernanceverordening, COM(2020) 767 final] verleende machtiging.
Artikel 62
Internationale toegang tot en doorgifte van niet-persoonsgebonden elektronische gezondheidsgegevens
1.Onverminderd lid 2 of lid 3 van dit artikel nemen de autoriteiten voor digitale gezondheid, de instanties voor toegang tot gezondheidsgegevens en de gemachtigde deelnemers aan de grensoverschrijdende infrastructuur als bedoeld in de artikelen 12 en 52 en gegevensgebruikers alle redelijke technische, juridische en organisatorische maatregelen, met inbegrip van contractuele regelingen, om de internationale doorgifte van of de toegang van overheden tot in de Unie bewaarde niet-persoonsgebonden elektronische gezondheidsgegevens te voorkomen, indien een dergelijke doorgifte of toegang in strijd zou zijn met het Unierecht of het nationale recht van de betrokken lidstaat.
2.Elke uitspraak van een rechterlijke instantie van een derde land en elke beslissing van een administratieve autoriteit van een derde land op grond waarvan een autoriteit voor digitale gezondheid, een instantie voor toegang tot gezondheidsgegevens of gegevensgebruikers niet-persoonsgebonden elektronische gezondheidsgegevens die binnen de werkingssfeer van deze verordening vallen en in de EU zijn opgeslagen, moet overdragen of er toegang toe moet verlenen, wordt alleen op enigerlei wijze erkend of is alleen afdwingbaar indien de uitspraak of beslissing gebaseerd is op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand, die van kracht is tussen het verzoekende derde land en de EU of op een dergelijke overeenkomst tussen het verzoekende derde land en een lidstaat.
3.Bij ontstentenis van een internationale overeenkomst als bedoeld in lid 2 van dit artikel, wanneer een autoriteit voor digitale gezondheid, een instantie voor toegang tot gezondheidsgegevens of een gegevensgebruiker de adressaat is van een beslissing of uitspraak van een rechterlijke instantie van een derde land of een besluit van een administratieve autoriteit van een derde land om niet-persoonsgebonden gegevens die binnen het toepassingsgebied van deze verordening vallen en die in de Unie worden bewaard, door te geven of er toegang toe te verlenen, en de naleving van een dergelijk besluit de adressaat in strijd zou kunnen brengen met het Unierecht of met het nationale recht van de betrokken lidstaat, vindt de doorgifte van of de toegang tot dergelijke gegevens door die autoriteit van het derde land alleen plaats indien:
a)het systeem van het derde land vereist dat de redenen en evenredigheid van een dergelijk besluit of een dergelijke uitspraak worden uiteengezet en dat een dergelijk besluit of een dergelijke uitspraak een specifiek karakter heeft, bijvoorbeeld door een voldoende sterk verband met bepaalde verdachten of inbreuken vast te stellen;
b)het met redenen omklede bezwaar van de adressaat is onderworpen aan een toetsing door een bevoegde rechterlijke instantie van een derde land, en
c)de bevoegde rechterlijke instantie van een derde land waar de beslissing of uitspraak van afkomstig is of die het besluit van een administratieve autoriteit herziet, is krachtens het recht van dat derde land bevoegd om naar behoren rekening te houden met de relevante juridische belangen van de aanbieder van de krachtens het Unierecht of het nationale recht van de betrokken lidstaat beschermde gegevens.
4.Indien aan de voorwaarden van lid 2 of lid 3 is voldaan, verstrekt de autoriteit voor digitale gezondheid, een instantie voor toegang tot gezondheidsgegevens of een gegevensaltruïsme-instantie de minimale hoeveelheid gegevens die in antwoord op een aanvraag is toegestaan, op basis van een redelijke interpretatie van de aanvraag.
5.De autoriteiten voor digitale gezondheid, de instanties voor toegang tot gezondheidsgegevens en de gegevensgebruikers stellen de gegevenshouder in kennis van het bestaan van een aanvraag van een administratieve autoriteit van een derde land tot het verkrijgen van toegang tot hun data alvorens aan deze aanvraag te voldoen, behalve wanneer de aanvraag rechtshandhavingsdoeleinden dient en zolang dit noodzakelijk is om de doeltreffendheid van de rechtshandhavingsactiviteiten te waarborgen.
Artikel 63
Internationale toegang tot en doorgifte van persoonlijke elektronische gezondheidsgegevens
In de context van internationale toegang tot en doorgifte van persoonlijke gezondheidsgegevens in elektronische vorm kunnen de lidstaten verdere voorwaarden, waaronder beperkingen, handhaven of invoeren overeenkomstig en onder de voorwaarden van artikel 9, lid 4, van Verordening (EU) 2016/679.
Hoofdstuk VI
Europese governance en coördinatie
Artikel 64
Raad voor de Europese ruimte voor gezondheidsgegevens (EHDS-raad)
1.Hierbij wordt een Raad voor de Europese ruimte voor gezondheidsgegevens (EHDS-raad) opgericht om de samenwerking en de uitwisseling van informatie tussen de lidstaten te vergemakkelijken. De EHDS-raad bestaat uit vertegenwoordigers op hoog niveau van de autoriteiten voor digitale gezondheid en de instanties voor toegang tot gezondheidsgegevens van alle lidstaten. Andere nationale autoriteiten, waaronder de in artikel 28 bedoelde markttoezichtautoriteiten, het Europees Comité voor gegevensbescherming en de Europese Toezichthouder voor gegevensbescherming, kunnen worden uitgenodigd voor de vergaderingen wanneer de besproken kwesties voor hen relevant zijn. De Raad kan ook deskundigen en waarnemers uitnodigen om zijn vergaderingen bij te wonen en kan in voorkomend geval samenwerken met andere externe deskundigen. Andere instellingen, organen, bureaus en agentschappen van de Unie, onderzoeksinfrastructuren en andere soortgelijke structuren hebben een waarnemersrol.
2.Afhankelijk van de functies die verband houden met het gebruik van elektronische gezondheidsgegevens, kan de EHDS-raad in subgroepen werken, wanneer autoriteiten voor digitale gezondheid of instanties voor toegang tot gezondheidsgegevens voor een bepaald gebied vertegenwoordigd moeten zijn. De subgroepen kunnen indien nodig gezamenlijke vergaderingen houden.
3.De samenstelling, organisatie, werking en samenwerking van de subgroepen worden vastgelegd in het door de Commissie voorgestelde reglement van orde.
4.Afhankelijk van de besproken onderwerpen en de mate van gevoeligheid ervan worden belanghebbenden en relevante derden, waaronder patiëntenvertegenwoordigers, uitgenodigd om de vergaderingen van de EHDS-raad bij te wonen en aan de werkzaamheden ervan deel te nemen.
5.De EHDS-raad werkt samen met andere relevante organen, entiteiten en deskundigen, zoals de in artikel 26 van Verordening […] [datagovernanceverordening COM(2020) 767 final] bedoelde Europese raad voor gegevensinnovatie, de krachtens artikel 7 van Verordening […] [dataverordening COM(2022) 68 final] opgerichte bevoegde instanties, de krachtens artikel 17 van Verordening […] [eID-verordening] opgerichte toezichthoudende organen, het in artikel 68 van Verordening (EU) 2016/679 bedoelde Europees Comité voor gegevensbescherming en de cyberbeveiligingsorganen.
6.De Commissie zit de vergaderingen van de EHDS-raad voor.
7.De EHDS-raad wordt bijgestaan door een secretariaat, dat door de Commissie wordt verzorgd.
8.De Commissie stelt door middel van uitvoeringshandelingen de nodige maatregelen vast voor de oprichting, het beheer en de werking van de EHDS-raad. Die uitvoeringshandelingen worden volgens de in artikel 68, lid 2, bedoelde raadplegingsprocedure vastgesteld.
Artikel 65
Taken van de EHDS-raad
1.De EHDS-raad heeft de volgende taken in verband met het primaire gebruik van elektronische gezondheidsgegevens overeenkomstig de hoofdstukken II en III:
a)de lidstaten bijstaan bij het coördineren van de praktijken van autoriteiten voor digitale gezondheid;
b)schriftelijke bijdragen uitbrengen en beste praktijken uitwisselen over aangelegenheden die verband houden met de coördinatie van de uitvoering op het niveau van de lidstaten van deze verordening en van de op grond daarvan vastgestelde gedelegeerde handelingen en uitvoeringshandelingen, met name wat betreft:
i)de bepalingen van de hoofdstukken II en III;
ii)de ontwikkeling van onlinediensten die de beveiligde toegang tot elektronische gezondheidsgegevens voor gezondheidswerkers en natuurlijke personen mogelijk maken, met inbegrip van beveiligde elektronische identificatie;
iii)andere aspecten van het primaire gebruik van elektronische gezondheidsgegevens;
c)de samenwerking tussen autoriteiten voor digitale gezondheid vergemakkelijken door middel van capaciteitsopbouw, het opzetten van een structuur voor jaarlijkse activiteitenrapportage, collegiale toetsing van jaarlijkse activiteitenverslagen en uitwisseling van informatie;
d)informatie uitwisselen over de risico’s van EPD-systemen, alsmede over ernstige incidenten en de manier waarop daarmee is of wordt omgegaan;
e)faciliteren van de uitwisseling van standpunten over het primaire gebruik van elektronische gezondheidsgegevens met de relevante belanghebbenden, waaronder vertegenwoordigers van patiënten, gezondheidswerkers, onderzoekers, regelgevers en beleidsmakers in de gezondheidssector.
2.De EHDS-raad wordt belast met de volgende taken in verband met het secundaire gebruik van elektronische gezondheidsgegevens overeenkomstig hoofdstuk IV:
a)de lidstaten bijstaan bij de coördinatie van de praktijken van instanties voor toegang tot gezondheidsgegevens bij de uitvoering van de bepalingen van hoofdstuk IV om een consistente toepassing van deze verordening te waarborgen;
b)schriftelijke bijdragen uitbrengen en beste praktijken uitwisselen over aangelegenheden die verband houden met de coördinatie van de uitvoering op het niveau van de lidstaten van deze verordening en van de op grond daarvan vastgestelde gedelegeerde handelingen en uitvoeringshandelingen, met name wat betreft:
i)de invoering van regels voor de toegang tot elektronische gezondheidsgegevens;
ii)technische specificaties of bestaande normen ten aanzien van de in hoofdstuk IV beschreven vereisten;
iii)stimuleringsbeleid ter bevordering van de gegevenskwaliteit en verbetering van de interoperabiliteit;
iv)beleid met betrekking tot de vergoedingen die door de instanties voor toegang tot gezondheidsgegevens en de gegevenshouders in rekening moeten worden gebracht;
v)de vaststelling en toepassing van sancties;
vi)andere aspecten van het secundaire gebruik van elektronische gezondheidsgegevens;
c)de samenwerking tussen instanties voor toegang tot gezondheidsgegevens vergemakkelijken door middel van capaciteitsopbouw, het opzetten van een structuur voor jaarlijkse activiteitenrapportage, collegiale toetsing van jaarlijkse activiteitenverslagen en uitwisseling van informatie;
d)informatie uitwisselen over risico’s, alsmede over incidenten op het gebied van de gegevensbescherming in verband met het secundaire gebruik van elektronische gezondheidsgegevens en de manier waarop daarmee is of wordt omgegaan;
e)bijdragen aan de werkzaamheden van de overeenkomstig artikel 29 van Verordening [...] [datagovernanceverordening COM(2020) 767 final] op te richten Europese raad voor gegevensinnovatie;
f)faciliteren van de uitwisseling van standpunten over het secundaire gebruik van elektronische gezondheidsgegevens met de relevante belanghebbenden, waaronder vertegenwoordigers van patiënten, gezondheidswerkers, onderzoekers, regelgevers en beleidsmakers in de gezondheidssector.
Artikel 66
Groepen voor gezamenlijke verwerkingverantwoordelijkheid met betrekking tot de infrastructuren van de Unie
1.De Commissie richt twee groepen op die de gezamenlijke verwerkingsverantwoordelijkheid dragen voor de in de artikelen 12 en 52 bedoelde grensoverschrijdende infrastructuren. De groepen bestaan uit vertegenwoordigers van de nationale contactpunten en andere gemachtigde deelnemers aan die infrastructuren.
2.De samenstelling, organisatie, werking en samenwerking van de subgroepen worden vastgelegd in het door die groepen vastgestelde reglement van orde.
3.Belanghebbenden en relevante derden, waaronder patiëntenvertegenwoordigers, kunnen worden uitgenodigd om de vergaderingen van de groepen bij te wonen en aan de werkzaamheden ervan deel te nemen.
4.De groepen kiezen voorzitters voor hun vergaderingen.
5.De groepen worden bijgestaan door een secretariaat, dat door de Commissie wordt verzorgd.
6.De groepen nemen besluiten over de ontwikkeling en exploitatie van de grensoverschrijdende infrastructuren overeenkomstig de hoofdstukken II en IV, over wijzigingen van de infrastructuur, het toevoegen van extra infrastructuur of diensten of het waarborgen van de interoperabiliteit met andere infrastructuren, digitale systemen of gegevensruimten. De groep neemt ook besluiten over de aansluiting van individuele gemachtigde deelnemers op de infrastructuren of over de beëindiging van hun aansluiting.
HOOFDSTUK VII
Delegatie en comité
Artikel 67
Uitoefening van de bevoegdheidsdelegatie
1.De bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend onder de in dit artikel neergelegde voorwaarden.
2.De in artikel 5, lid 2, artikel 10, lid 3, artikel 25, lid 3, artikel 32, lid 4, artikel 33, lid 7, artikel 37, lid 4, artikel 39, lid 3, artikel 41, lid 7, artikel 45, lid 7, artikel 46, lid 8, artikel 52, lid 7, en artikel 56, lid 4, bedoelde bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie overgedragen voor een onbepaalde termijn vanaf de datum van inwerkingtreding van deze verordening.
3.De in artikel 5, lid 2, artikel 10, lid 3, artikel 25, lid 3, artikel 32, lid 4, artikel 33, lid 7, artikel 37, lid 4, artikel 39, lid 3, artikel 41, lid 7, artikel 45, lid 7, artikel 46, lid 8, artikel 52, lid 7, en artikel 56, lid 4, bedoelde bevoegdheid om gedelegeerde handelingen vast te stellen kan te allen tijde door het Europees Parlement of door de Raad worden ingetrokken. Het besluit tot intrekking beëindigt de delegatie van de in dat besluit genoemde bevoegdheid. Het wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie of op een daarin genoemde latere datum. Het laat de geldigheid van de reeds van kracht zijnde gedelegeerde handelingen onverlet.
4.Vóór de vaststelling van een gedelegeerde handeling raadpleegt de Commissie de door elke lidstaat aangewezen deskundigen overeenkomstig de beginselen die zijn neergelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven.
5.Zodra de Commissie een gedelegeerde handeling heeft vastgesteld, doet zij daarvan gelijktijdig kennisgeving aan het Europees Parlement en de Raad.
6.Een krachtens artikel 5, lid 2, artikel 10, lid 3, artikel 25, lid 3, artikel 32, lid 4, artikel 33, lid 7, artikel 37, lid 4, artikel 39, lid 3, artikel 41, lid 7, artikel 45, lid 7, artikel 46, lid 8, artikel 52, lid 7, en artikel 56, lid 4, vastgestelde gedelegeerde handeling treedt alleen in werking indien het Europees Parlement noch de Raad daartegen binnen een termijn van drie maanden na de kennisgeving van de handeling aan het Europees Parlement en de Raad bezwaar hebben gemaakt, of indien zowel het Europees Parlement als de Raad de Commissie vóór het verstrijken van die termijn hebben meegedeeld dat zij daartegen geen bezwaar zullen maken. Die termijn wordt op initiatief van het Europees Parlement of de Raad met drie maanden verlengd.
Artikel 68
Comitéprocedure
1.De Commissie wordt bijgestaan door een comité. Dat comité is een comité in de zin van Verordening (EU) nr. 182/2011.
2.Wanneer naar dit lid wordt verwezen, is artikel 4 van Verordening (EU) nr. 182/2011 van toepassing.
Hoofdstuk VIII
Diversen
Artikel 69
Sancties
De lidstaten stellen voorschriften vast ten aanzien van de sancties die van toepassing zijn op overtredingen van deze verordening en nemen alle nodige maatregelen om ervoor te zorgen dat deze sancties worden uitgevoerd. De sancties moeten doeltreffend, evenredig en afschrikkend zijn. De lidstaten delen die regels en maatregelen uiterlijk op de datum van toepassing van deze verordening aan de Commissie mee en stellen haar onverwijld in kennis van eventuele latere wijzigingen.
Artikel 70
Evaluatie en toetsing
1.Na 5 jaar na de inwerkingtreding van deze verordening voert de Commissie een gerichte evaluatie van deze verordening uit, met name met betrekking tot hoofdstuk III, en dient zij bij het Europees Parlement en de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s een verslag over haar belangrijkste bevindingen in, in voorkomend geval vergezeld van een voorstel tot wijziging ervan. De evaluatie omvat een beoordeling van de zelfcertificering van EPD-systemen en onderzoekt of het nodig is een door aangemelde instanties uitgevoerde conformiteitsbeoordelingsprocedure in te voeren.
2.Na 7 jaar na de inwerkingtreding van deze verordening voert de Commissie een algemene evaluatie van deze verordening uit en dient zij bij het Europees Parlement en de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s een verslag in over haar belangrijkste bevindingen, in voorkomend geval vergezeld van een voorstel tot wijziging ervan.
3.De lidstaten verstrekken de Commissie de nodige informatie voor het opstellen van dit verslag.
Artikel 71
Wijziging van Richtlijn 2011/24/EU
Artikel 14 van Richtlijn 2011/24/EU wordt geschrapt.
Hoofdstuk IX
Uitgestelde toepassing en slotbepalingen
Artikel 72
Inwerkingtreding en toepassing
Deze verordening treedt in werking op de twintigste dag na de bekendmaking ervan in het Publicatieblad van de Europese Unie.
Zij wordt 12 maanden na haar inwerkingtreding van toepassing.
De artikelen 3, 4, 5, 6, 7, 12, 14, 23 en 31 worden evenwel als volgt van toepassing:
a)1 jaar na de toepassingsdatum op de in artikel 5, lid 1, punten a), b) en c), bedoelde categorieën persoonlijke elektronische gezondheidsgegevens en op EPD-systemen die door de fabrikant zijn bedoeld om gegevens uit die categorieën te verwerken;
b)3 jaar na de toepassingsdatum op de in artikel 5, lid 1, punten d), e) en f), bedoelde categorieën persoonlijke elektronische gezondheidsgegevens en op EPD-systemen die door de fabrikant zijn bedoeld om gegevens uit die categorieën te verwerken;
c)vanaf de datum zoals vastgelegd in gedelegeerde handelingen die overeenkomstig artikel 5, lid 2, zijn vastgesteld voor andere categorieën persoonlijke elektronische gezondheidsgegevens.
Hoofdstuk III is van toepassing op EPD-systemen die vanaf 3 jaar na de toepassingsdatum overeenkomstig artikel 15, lid 2, in de Unie in gebruik worden genomen.
Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.
Gedaan te Straatsburg,
Voor het Europees Parlement Voor de Raad
De voorzitter De voorzitter
FINANCIEEL MEMORANDUM
1.KADER VAN HET VOORSTEL/INITIATIEF
1.1.Benaming van het voorstel/initiatief
1.2.Betrokken beleidsterrein(en)
1.3.Het voorstel/initiatief betreft:
1.4.Doelstelling(en)
1.4.1.Algemene doelstelling(en)
1.4.2.Specifieke doelstelling(en)
1.4.3.Verwachte resulta(a)t(en) en gevolg(en)
1.4.4.Prestatie-indicatoren
1.5.Motivering van het voorstel/initiatief
1.5.1.Behoefte(n) waarin op korte of lange termijn moet worden voorzien, met een gedetailleerd tijdschema voor de uitrol van het initiatief
1.5.2.Toegevoegde waarde van de deelname van de Unie (deze kan het resultaat zijn van verschillende factoren, bijvoorbeeld coördinatiewinst, rechtszekerheid, grotere doeltreffendheid of complementariteit). Voor de toepassing van dit punt wordt onder “toegevoegde waarde van de deelname van de Unie” verstaan de waarde die een optreden van de Unie oplevert bovenop de waarde die door een optreden van alleen de lidstaat zou zijn gecreëerd.
1.5.3.Nuttige ervaring die bij soortgelijke activiteiten in het verleden is opgedaan
1.5.4.Verenigbaarheid met het meerjarig financieel kader en eventuele synergie met andere passende instrumenten
1.5.5.Beoordeling van de verschillende beschikbare financieringsopties, waaronder mogelijkheden voor herschikking
1.6.Duur en financiële gevolgen van het voorstel/initiatief
1.7.Beheersvorm(en)
2.BEHEERSMAATREGELEN
2.1.Regels inzake het toezicht en de verslagen
2.2.Beheers- en controlesyste(e)m(en)
2.2.1.Rechtvaardiging van de voorgestelde beheersvorm(en), uitvoeringsmechanisme(n) voor financiering, betalingsvoorwaarden en controlestrategie
2.2.2.Informatie over de geïdentificeerde risico’s en het (de) systeem (systemen) voor interne controle dat is (die zijn) opgezet om die risico’s te beperken
2.2.3.Raming en motivering van de kosteneffectiviteit van de controles (verhouding van de controlekosten tot de waarde van de desbetreffende financiële middelen) en evaluatie van het verwachte foutenrisico (bij betaling en bij afsluiting).
2.3.Maatregelen ter voorkoming van fraude en onregelmatigheden
3.GERAAMDE FINANCIËLE GEVOLGEN VAN HET VOORSTEL/INITIATIEF
3.1.Rubriek(en) van het meerjarig financieel kader en betrokken begrotingsonderde(e)l(en) voor uitgaven
3.2.Geraamde financiële gevolgen van het voorstel inzake kredieten
3.2.1.Samenvatting van de geraamde gevolgen voor de beleidskredieten
3.2.2.Geraamde output, gefinancierd met beleidskredieten
3.2.3.Samenvatting van de geraamde gevolgen voor de administratieve kredieten
3.2.4.Verenigbaarheid met het huidige meerjarig financieel kader
3.2.5.Bijdragen van derden
3.3.Geraamde gevolgen voor de ontvangsten
FINANCIEEL MEMORANDUM
1.KADER VAN HET VOORSTEL/INITIATIEF
1.1.Benaming van het voorstel/initiatief
Verordening van het Europees Parlement en de Raad betreffende de Europese ruimte voor gezondheidsgegevens
1.2.Betrokken beleidsterrein(en)
Rubriek 1: Eengemaakte markt, innovatie en digitaal beleid
Rubriek 2: Cohesie, veerkracht en waarden
1.3.Het voorstel/initiatief betreft:
◻ een nieuwe actie
◻ een nieuwe actie na een proefproject / voorbereidende actie 60
◻ de verlenging van een bestaande actie
de samenvoeging of ombuiging van een of meer acties naar een andere/een nieuwe actie
1.4.Doelstelling(en)
1.4.1.Algemene doelstelling(en)
Het algemene doel van de actie is het vaststellen van de regels voor de Europese ruimte voor gezondheidsgegevens om te waarborgen dat natuurlijke personen toegang tot en zeggenschap over hun eigen gezondheidsgegevens hebben, de werking van de eengemaakte markt voor de ontwikkeling en het gebruik van innovatieve gezondheidsproducten en -diensten op basis van gezondheidsgegevens te verbeteren en ervoor te zorgen dat onderzoekers, innovators, beleidsmakers en regelgevers de beschikbare gezondheidsgegevens optimaal kunnen benutten voor hun werk, met behoud van vertrouwen en veiligheid.
1.4.2.Specifieke doelstelling(en)
Specifieke doelstelling nr. 1
Natuurlijke personen meer zeggenschap over hun persoonlijke gezondheidsgegevens geven en het vrij verkeer van gezondheidsgegevens ondersteunen, door verbeterde digitale toegang;
Specifieke doelstelling nr. 2
Specifieke eisen en verplichtingen voor systemen voor elektronische patiëntendossiers (EPD’s) vaststellen om ervoor te zorgen dat de EPD-systemen die in de handel worden gebracht en worden gebruikt interoperabel en veilig zijn en de rechten van natuurlijke personen met betrekking tot hun gezondheidsgegevens eerbiedigen;
Specifieke doelstelling nr. 3
Zorgen voor een consistent en efficiënt kader voor het secundair gebruik van de gezondheidsgegevens van natuurlijke personen met het oog op onderzoek, innovatie, beleidsvorming, officiële statistieken, patiëntveiligheid of regelgeving.
1.4.3.Verwachte resulta(a)t(en) en gevolg(en)
Vermeld de gevolgen die het voorstel/initiatief zou moeten hebben op de begunstigden/doelgroepen.
Specifieke doelstelling nr. 1
Natuurlijke personen moeten gemakkelijker toegang hebben tot en zeggenschap hebben over hun eigen gezondheidsgegevens, ook over de grenzen heen.
Specifieke doelstelling nr. 2
Leveranciers en fabrikanten van EPD-systemen moeten voor die systemen kunnen uitgaan van een minimale, maar duidelijke verzameling eisen inzake interoperabiliteit en beveiliging, zodat belemmeringen voor de levering van dergelijke systemen in de hele eengemaakte markt worden weggenomen.
Specifieke doelstelling nr. 3
Natuurlijke personen moeten kunnen profiteren van een schat aan innovatieve gezondheidsproducten en -diensten die worden aangeboden en ontwikkeld op basis van primair en secundair gebruikte gezondheidsgegevens, met behoud van vertrouwen en veiligheid.
De gebruikers van gezondheidsgegevens, namelijk onderzoekers, innovators, beleidsmakers en regelgevers, moeten kunnen profiteren van een efficiënter secundair gebruik van gezondheidsgegevens.
1.4.4.Prestatie-indicatoren
Vermeld de indicatoren voor de monitoring van de voortgang en de beoordeling van de resultaten
Specifieke doelstelling nr. 1
a)aantal zorgaanbieders van verschillende soorten die aangesloten zijn op MyHealth@EU, berekend a) in absolute waarden, b) als aandeel van alle zorgaanbieders en c) als aandeel van de natuurlijke personen die gebruik kunnen maken van de diensten in MyHealth@EU;
b)hoeveelheid persoonlijke elektronische gezondheidsgegevens van verschillende categorieën die over de grenzen heen worden gedeeld via MyHealth@EU;
c)percentage natuurlijke personen dat toegang heeft tot hun elektronische patiëntendossiers;
d)mate van tevredenheid van natuurlijke personen over MyHealth@EU-diensten;
Deze zullen worden verzameld via jaarlijkse verslagen van de autoriteiten voor digitale gezondheid.
Specifieke doelstelling nr. 2
e)aantal gecertificeerde EPD-systemen en wellnessapps met label die in de EU-databank zijn opgenomen;
f)aantal gevallen van niet-naleving van de verplichte vereisten;
Deze zullen worden verzameld via jaarlijkse verslagen van de autoriteiten voor digitale gezondheid.
Specifieke doelstelling nr. 3
g)aantal datasets dat in de Europese gegevenscatalogus is gepubliceerd;
h)aantal verzoeken om toegang tot gegevens, uitgesplitst in nationale en meerlandenverzoeken, dat door instanties voor toegang tot gezondheidsgegevens is verwerkt, aanvaard of afgewezen.
Deze zullen worden verzameld via jaarlijkse verslagen van de instanties voor toegang tot gezondheidsgegevens.
1.5.Motivering van het voorstel/initiatief
1.5.1.Behoefte(n) waarin op korte of lange termijn moet worden voorzien, met een gedetailleerd tijdschema voor de uitrol van het initiatief
De verordening zal vier jaar na haar inwerkingtreding volledig van toepassing zijn, zodra de uitgestelde toepassing is verstreken. Bepalingen betreffende de rechten van natuurlijke personen (hoofdstuk II), certificering van EPD-systemen (hoofdstuk III), secundair gebruik van gezondheidsgegevens (hoofdstuk IV) en governance (hoofdstuk V) moeten vóór die datum van kracht zijn. Met name moeten de lidstaten al eerder bestaande autoriteiten hebben aangewezen en/of nieuwe autoriteiten hebben opgericht die de in de wetgeving gestelde taken vervullen, zodat de Raad voor de Europese ruimte voor gezondheidsgegevens (EHDS-raad) eerder opgezet en operationeel is. De infrastructuur voor primair en secundair gebruik van gezondheidsgegevens moet ook al eerder operationeel zijn zodat alle lidstaten zich aan kunnen sluiten voordat deze verordening volledig van toepassing wordt.
1.5.2.Toegevoegde waarde van de deelname van de Unie (deze kan het resultaat zijn van verschillende factoren, bijvoorbeeld coördinatiewinst, rechtszekerheid, grotere doeltreffendheid of complementariteit). Voor de toepassing van dit punt wordt onder “toegevoegde waarde van de deelname van de Unie” verstaan de waarde die een optreden van de Unie oplevert bovenop de waarde die door een optreden van alleen de lidstaat zou zijn gecreëerd.
Redenen voor maatregelen op EU-niveau (ex ante)
Zoals blijkt uit de evaluatie van artikel 14 van Richtlijn 2011/24/EU betreffende grensoverschrijdende gezondheidszorg, hebben de tot dusver gevolgde benaderingen – bestaande uit laagintensieve/zachte instrumenten, zoals richtsnoeren en aanbevelingen, ter ondersteuning van de interoperabiliteit – niet de gewenste resultaten opgeleverd. Nationale benaderingen voor de aanpak van de problemen hebben slechts een beperkte reikwijdte en pakken de EU-brede kwestie niet volledig aan: de grensoverschrijdende uitwisseling van gezondheidsgegevens is nu nog zeer beperkt, wat deels te verklaren is door de grote verscheidenheid aan normen voor gezondheidsgegevens die in verschillende lidstaten worden toegepast. Veel lidstaten kennen aanzienlijke nationale, regionale en lokale problemen op het gebied van interoperabiliteit en gegevensoverdraagbaarheid, wat de continuïteit van de zorg en efficiënte gezondheidszorgstelsels in de weg staat. Zelfs als gezondheidsgegevens in elektronische vorm beschikbaar zijn, worden die niet automatische overgedragen aan nieuwe zorgaanbieders wanner de desbetreffende natuurlijke persoon van zorgaanbieder verandert.
Verwachte gegenereerde toegevoegde waarde van de Unie (ex post)
Maatregelen op Europees niveau uit hoofde van deze verordening zullen de doeltreffendheid van de maatregelen die worden genomen om deze uitdagingen aan te pakken, vergroten. De vaststelling van gemeenschappelijke rechten voor natuurlijke personen bij de toegang tot en het uitoefenen van zeggenschap over het gebruik van hun gezondheidsgegevens en de vaststelling van gemeenschappelijke regels en verplichtingen voor de interoperabiliteit en veiligheid van EPD-systemen zullen de kosten voor de doorgifte van gezondheidsgegevens in de hele EU verlagen. Een gemeenschappelijke rechtsgrondslag voor het secundaire gebruik van gezondheidsgegevens zal ook efficiëntiewinst opleveren voor gegevensgebruikers in het gezondheidsdomein. De totstandbrenging van een uniform governancekader voor het primaire en secundaire gebruik van gezondheidsgegevens zal de coördinatie vergemakkelijken.
1.5.3.Nuttige ervaring die bij soortgelijke activiteiten in het verleden is opgedaan
In de evaluatie van de bepalingen van de richtlijn betreffende grensoverschrijdende gezondheidszorg met betrekking tot digitale gezondheid werd geconcludeerd dat, gezien het vrijwillige karakter van de acties van het e-gezondheidsnetwerk, de doeltreffendheid en efficiëntie bij het opvoeren van de grensoverschrijdende uitwisseling van gezondheidsgegevens vrij beperkt waren. De invoering van MyHealth@EU verloopt traag. Hoewel het e-gezondheidsnetwerk de lidstaten heeft aanbevolen om bij aanbestedingen om interoperabele systemen op te zetten, gebruik te maken van de normen, profielen en specificaties uit het elektronische uitwisselingsformaat voor elektronisch patiëntendossiers, is het gebruik ervan beperkt gebleven, wat heeft geleid tot een versnipperd landschap en ongelijke toegang tot en overdraagbaarheid van gezondheidsgegevens. Daarom moeten specifieke regels, rechten en verplichtingen worden vastgesteld met betrekking tot de toegang van natuurlijke personen tot hun eigen gezondheidsgegevens en het uitoefenen van hun zeggenschap daarover en met betrekking tot de grensoverschrijdende uitwisseling van dergelijke gegevens voor primair en secundair gebruik, met een governancestructuur die de coördinatie van specifieke verantwoordelijke instanties op het niveau van de Unie waarborgt.
1.5.4.Verenigbaarheid met het meerjarig financieel kader en eventuele synergie met andere passende instrumenten
De Europese ruimte voor gezondheidsgegevens houdt nauw verband met verschillende andere acties van de Unie op het gebied van gezondheidszorg en sociale zorg, digitalisering, onderzoek, innovatie en grondrechten.
In deze verordening worden de regels, rechten en verplichtingen vastgesteld voor de werking van de Europese ruimte voor gezondheidsgegevens, alsook de uitrol van de benodigde infrastructuur, regelingen voor certificering/labeling en governancekaders. Deze maatregelen vormen een aanvulling op de horizontale bepalingen in de datagovernanceverordening, de dataverordening en de algemene verordening gegevensbescherming.
Voor de nakoming van de verplichtingen door de Commissie en de bijbehorende ondersteunende maatregelen in het kader van dit wetgevingsvoorstel zal tussen 2023 en 2027 220 miljoen EUR nodig zijn. Het grootste deel van de kosten van deze verordening (170 miljoen EUR) zal worden gefinancierd uit het EU4Health-programma overeenkomstig artikel 4, punt f), van de EU4Health-verordening 61 . De geplande acties dragen ook bij tot de verwezenlijking van de specifieke doelstellingen van artikel 4, punten a), b) en h). Het programma Digitaal Europa zal de toegang van patiënten tot hun gezondheidsgegevens via MyHealth@EU, met nog eens 50 miljoen EUR ondersteunen. In beide gevallen zullen de met dit voorstel verband houdende uitgaven worden gedekt met de geprogrammeerde bedragen van deze programma’s.
De EU4Health-werkprogramma’s voor 2021 en 2022 ondersteunen de ontwikkeling en de oprichting van de Europese ruimte voor gezondheidsgegevens reeds met een substantiële initiële bijdrage van bijna 110 miljoen EUR. Hierbij gaat het onder meer om de werking van de bestaande infrastructuur voor het primaire gebruik van elektronische gezondheidsgegevens (MyHealth@EU), de invoering van internationale normen door de lidstaten, acties voor capaciteitsopbouw en andere voorbereidende acties, alsook een proefproject inzake de infrastructuur voor het secundaire gebruik van gezondheidsgegevens, een proefproject voor de toegang van patiënten tot hun gezondheidsgegevens via MyHealth@EU en de opschaling daarvan, en de ontwikkeling van de centrale diensten voor het secundaire gebruik van gezondheidsgegevens.
Naast de zojuist beschreven 330 miljoen EUR in het kader van het programma EU4Health en Digitaal Europa zullen andere acties in het kader van het programma Digitaal Europa, de Connecting Europe Facility en Horizon Europa de uitvoering van de Europese ruimte voor gezondheidsgegevens aanvullen en vergemakkelijken. Bovendien kan de Commissie de lidstaten – op verzoek – ondersteunen bij de verwezenlijking van de doelstellingen van dit voorstel door rechtstreekse technische ondersteuning te verlenen uit het instrument voor technische ondersteuning. Deze programma’s zijn onder meer gericht op het opbouwen en versterken van hoogwaardige gegevenshulpmiddelen en bijbehorende uitwisselingsmechanismen 62 respectievelijk het ontwikkelen, promoten en bevorderen van wetenschappelijke excellentie 63 , onder meer op het gebied van gezondheid. Voorbeelden van dergelijke complementariteit zijn onder meer de horizontale steun voor de ontwikkeling van en grootschalige proefprojecten voor een slim middlewareplatform voor gemeenschappelijke gegevensruimten, waarvoor in de periode 2021-2022 al 105 miljoen EUR uit het programma Digitaal Europa is vrijgemaakt; domeinspecifieke investeringen om de veilige grensoverschrijdende toegang tot kankerbeelden en genomica te vergemakkelijken, die in de periode 2021-2022 met 38 miljoen EUR uit het programma Digitaal Europa wordt ondersteund; alsmede onderzoeks- en innovatieprojecten en coördinatie- en ondersteuningsacties op het gebied van de kwaliteit en de interoperabiliteit van gezondheidsgegevens, waarvoor in 2021 en 2022 reeds 108 miljoen EUR door Horizon Europa (cluster 1) is uitgetrokken en 59 miljoen EUR uit het programma onderzoeksinfrastructuren is vrijgemaakt. Horizon Europa heeft in 2021 en 2022 eveneens aanvullende steun verleend voor het secundaire gebruik van gezondheidsgegevens in verband met COVID-19 (42 miljoen EUR) en kanker (3 miljoen EUR).
Daarnaast zal de Connecting Europe Facility, wanneer fysieke connectiviteit in de gezondheidssector ontbreekt, bijdragen aan de ontwikkeling van projecten van gemeenschappelijk belang die verband houden met de uitrol van en de toegang tot veilige en beveiligde netwerken met zeer hoge capaciteit, waaronder 5G-systemen, en aan een grotere weerbaarheid en capaciteit van digitale backbonenetwerken op het grondgebied van de Unie 64 . In 2022 en 2023 is 130 miljoen EUR geprogrammeerd voor de interconnectie van cloudinfrastructuren, onder meer op het gebied van gezondheid.
Daarnaast zullen de kosten voor de aansluiting van de lidstaten op de Europese infrastructuren in het kader van de Europese ruimte voor gezondheidsgegevens gedeeltelijk worden gedekt door de financieringsprogramma’s van de EU ter aanvulling van EU4Health. Instrumenten zoals de herstel- en veerkrachtfaciliteit (Recovery and Resilience Facility – RRF) en het Europees Fonds voor regionale ontwikkeling (EFRO) zullen de aansluiting van de lidstaten op de Europese infrastructuren kunnen ondersteunen.
1.5.5.Beoordeling van de verschillende beschikbare financieringsopties, waaronder mogelijkheden voor herschikking
De nakoming van de verplichtingen door de Commissie en de bijbehorende ondersteunende acties in het kader van dit wetgevingsvoorstel zullen rechtstreeks worden gefinancierd uit het EU4Health-programma en verder worden ondersteund door het programma Digitaal Europa.
Herschikte acties in het kader van het programma Digitaal Europa en Horizon Europa op het gebied van gezondheid en digitale gezondheid zullen ook een aanvulling kunnen vormen op de uitvoeringsacties ter ondersteuning van deze verordening in het kader van EU4Health.
1.6.Duur en financiële gevolgen van het voorstel/initiatief
◻ beperkte geldigheidsduur
–◻ van kracht vanaf [DD/MM]JJJJ tot en met [DD/MM]JJJJ
–◻ financiële gevolgen vanaf JJJJ tot en met JJJJ voor vastleggingskredieten en vanaf JJJJ tot en met JJJJ voor betalingskredieten.
onbeperkte geldigheidsduur
–Uitvoering met een opstartperiode vanaf januari 2023,
–gevolgd door een volledige uitvoering.
1.7.Beheersvorm(en) 65
Direct beheer door de Commissie
–door haar diensten, waaronder het personeel in de delegaties van de Unie;
–door de uitvoerende agentschappen;
◻ Gedeeld beheer met lidstaten
◻ Indirect beheer door begrotingsuitvoeringstaken te delegeren aan:
–◻ derde landen of de door hen aangewezen organen;
–◻ internationale organisaties en hun agentschappen (geef aan welke);
–◻ de EIB en het Europees Investeringsfonds;
–◻ de in de artikelen 70 en 71 van het Financieel Reglement bedoelde organen;
–◻ publiekrechtelijke organen;
–◻ privaatrechtelijke organen met een openbare dienstverleningstaak, voor zover zij zijn voorzien van voldoende financiële garanties;
–◻ privaatrechtelijke organen van een lidstaat, waaraan de uitvoering van een publiek-privaat partnerschap is toevertrouwd en die voldoende financiële garanties bieden;
–◻ personen aan wie de uitvoering van specifieke maatregelen op het gebied van het GBVB in het kader van titel V van het VEU is toevertrouwd en die worden genoemd in de betrokken basishandeling.
–Verstrek, indien meer dan een beheersvorm is aangekruist, extra informatie onder “Opmerkingen”.
Opmerkingen
2.BEHEERSMAATREGELEN
2.1.Regels inzake het toezicht en de verslagen
Vermeld frequentie en voorwaarden.
De verordening zal zeven jaar na de inwerkingtreding ervan worden getoetst en geëvalueerd. Vijf jaar na de inwerkingtreding van de verordening wordt een gerichte evaluatie van de zelfcertificering van EPD-systemen uitgevoerd en wordt bekeken of de invoering van een door aangemelde instanties uit te voeren conformiteitsbeoordelingsprocedure nodig is. De Commissie zal over de bevindingen van de evaluatie verslag uitbrengen aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s.
Het voorstel omvat de uitbreiding en uitrol van de grensoverschrijdende digitale infrastructuren voor het primaire en secundaire gebruik van gezondheidsgegevens, waardoor het toezicht op verschillende indicatoren makkelijker zal worden.
2.2.Beheers- en controlesyste(e)m(en)
2.2.1.Rechtvaardiging van de voorgestelde beheersvorm(en), uitvoeringsmechanisme(n) voor financiering, betalingsvoorwaarden en controlestrategie
Bij de verordening wordt een nieuw beleid vastgesteld met betrekking tot de bescherming van elektronische gezondheidsgegevens, geharmoniseerde regels voor systemen voor elektronische patiëntendossiers (EPD) en regels en governance voor hergebruik van gezondheidsgegevens. Deze nieuwe regels vereisen een gemeenschappelijk coördinatiemechanisme voor de grensoverschrijdende toepassing van de uit deze verordening voortvloeiende verplichtingen in de vorm van een nieuwe adviesgroep die de activiteiten van nationale autoriteiten coördineert.
De acties waarin deze verordening voorziet, zullen worden uitgevoerd via direct beheer, met gebruikmaking van de in het Financieel Reglement voorziene vormen, voornamelijk subsidies en aanbestedingen. Dankzij direct beheer kunnen subsidieovereenkomsten en contracten worden afgesloten met begunstigden en contractanten die rechtstreeks betrokken zijn bij activiteiten ter bevordering van het beleid van de Unie. De Commissie zal zorgen voor rechtstreekse monitoring van de resultaten van de gefinancierde acties. De betalingsvoorwaarden van de gefinancierde acties zullen worden aangepast aan de risico’s van de financiële transacties.
Met het oog op de doeltreffendheid, doelmatigheid en zuinigheid van de controles van de Commissie zal de strategie streven naar een evenwicht tussen controles vooraf en achteraf en zich toespitsen op drie belangrijke fasen van de uitvoering van subsidieverleningen/contracten, conform het Financieel Reglement:
a)de selectie van voorstellen die aan de beleidsdoelstellingen van de verordening beantwoorden;
b)operationele controles, controles vooraf en monitoringcontroles van de uitvoering van projecten, overheidsopdrachten, voorschotten, tussentijdse en saldobetalingen, beheer van zekerheden;
bij de begunstigden/contractanten zullen ook ter plekke controles achteraf worden uitgevoerd op een steekproef van transacties. De selectie van deze transacties is gebaseerd op een combinatie van een risicobeoordeling en een aselecte steekproef.
2.2.2.Informatie over de geïdentificeerde risico’s en het (de) systeem (systemen) voor interne controle dat is (die zijn) opgezet om die risico’s te beperken
De uitvoering van deze verordening is gericht op de toekenning van overheidsopdrachten en subsidies voor specifieke activiteiten en organisaties.
De overheidsopdrachten zullen voornamelijk worden gesloten voor de levering van Europese platforms voor digitale infrastructuren en bijbehorende diensten, en voor technische bijstand voor het governancekader.
Er zullen voornamelijk subsidies worden toegekend ter ondersteuning van de aansluiting van de lidstaten op de Europese infrastructuur, ter ondersteuning van interoperabiliteitsprojecten en ter uitvoering van gezamenlijke acties. De duur van de gesubsidieerde projecten en activiteiten varieert meestal van één tot drie jaar.
De belangrijkste risico’s zijn:
a)onvolledige verwezenlijking van de doelstellingen van de verordening door onvoldoende toepassing of kwaliteit/vertragingen bij de uitvoering van de geselecteerde projecten of contracten;
b)inefficiënt of niet-economisch gebruik van de toegekende middelen, zowel voor subsidies (complexiteit van de financieringsvoorschriften) als aanbestedingen (een beperkt aantal economische actoren met de vereiste gespecialiseerde kennis, waardoor in sommige sectoren onvoldoende mogelijkheden bestaan om prijsoffertes te vergelijken);
c)reputatieschade voor de Commissie wanneer er fraude of criminele activiteiten worden ontdekt; de interne controlesystemen van derden kunnen geen volledige zekerheid bieden, gezien het vrij grote aantal heterogene contractanten en begunstigden, elk met een eigen controlesysteem.
De Commissie heeft voor interne procedures gezorgd om de bovenstaande risico’s aan te pakken. De interne procedures zijn volledig in overeenstemming met het Financieel Reglement en omvatten kosten-batenoverwegingen en fraudebestrijdingsmaatregelen. Binnen dit kader blijft de Commissie mogelijkheden verkennen om het beheer te verbeteren en efficiëntiewinst te boeken. De voornaamste kenmerken van het controlekader zijn:
1)Controles vóór en tijdens de uitvoering van de projecten:
a)er zal een passend projectbeheersysteem worden opgezet waarin de nadruk wordt gelegd op de bijdrage van die projecten en contracten aan de beleidsdoelstellingen, dat zorgt voor een systematische betrokkenheid van alle actoren, een regelmatige verslaglegging over het projectbeheer, van geval tot geval aangevuld met bezoeken ter plekke, met inbegrip van risicoverslagen aan het hogere management, en dat de nodige budgettaire flexibiliteit waarborgt.
b)De gebruikte modelsubsidieovereenkomsten en modeldienstencontracten worden door de Commissie ontwikkeld. Zij bevatten een aantal controlevoorzieningen zoals auditcertificaten, financiële garanties, audits ter plekke en inspecties door OLAF. De regels inzake de subsidiabiliteit van kosten worden vereenvoudigd, bijvoorbeeld door gebruik te maken van eenheidskosten, vaste bedragen, niet aan de kosten gekoppelde bijdragen en andere mogelijkheden waarin het Financieel Reglement voorziet. Hierdoor worden de kosten van controles verminderd en komt de nadruk te liggen op controles op gebieden met een hoog risico.
c)Al het personeel ondertekent de code van goed administratief gedrag. Personeelsleden die bij de selectieprocedure of bij het beheer van subsidieovereenkomsten/-contracten betrokken zijn, ondertekenen (ook) een verklaring inzake de afwezigheid van belangenconflicten. Het personeel wordt regelmatig bijgeschoold en gebruikt netwerken om beste praktijken uit te wisselen.
d)De technische uitvoering van een project wordt geregeld aan de hand van documenten gecontroleerd op basis van de technische voortgangsverslagen van de contractanten en begunstigden; bovendien vinden per geval vergaderingen met de contractanten/begunstigden en bezoeken ter plekke plaats.
2)Controles aan het einde van het project:
er worden controles achteraf uitgevoerd op een steekproef van transacties om de subsidiabiliteit van kostenclaims ter plekke te verifiëren. Het doel van deze controles is materiële fouten in verband met de wettigheid en de regelmatigheid van de financiële transacties te voorkomen, op te sporen en te corrigeren. Om de controles een grote impact te geven, voorziet de selectie van de aan een audit te onderwerpen begunstigden in de combinatie van een risicogebaseerde selectie met een aselecte steekproef en in zoveel mogelijk aandacht voor de operationele aspecten tijdens de audit ter plekke.
2.2.3.Raming en motivering van de kosteneffectiviteit van de controles (verhouding van de controlekosten tot de waarde van de desbetreffende financiële middelen) en evaluatie van het verwachte foutenrisico (bij betaling en bij afsluiting).
De jaarlijkse kosten van het voorgestelde controleniveau in het kader van het derde gezondheidsprogramma 2014-2020 vertegenwoordigden ongeveer 4 % tot 7 % van het jaarlijkse budget van de beleidsuitgaven. Dit is gerechtvaardigd door de verscheidenheid aan te controleren transacties. Ten aanzien van gezondheid houdt direct beheer in dat een groot aantal opdrachten en subsidies voor acties van zeer kleine tot zeer grote omvang wordt toegekend en dat veel exploitatiesubsidies aan niet-gouvernementele organisaties worden uitbetaald. Het risico in verband met deze activiteiten heeft betrekking op het vermogen van (vooral) kleinere organisaties om de uitgaven daadwerkelijk te controleren.
De Commissie is van oordeel dat de gemiddelde kosten van de controles voor de uit hoofde van deze verordening voorgestelde acties waarschijnlijk hetzelfde zijn.
In het kader van het derde gezondheidsprogramma 2014-2020 bedroeg het foutenpercentage over een periode van vijf jaar voor de audits ter plaatse van subsidies onder direct beheer 1,8 %, en voor aanbestedingsovereenkomsten voor overheidsopdrachten minder dan 1 %. Deze foutenpercentages worden aanvaardbaar geacht, aangezien zij onder de foutentolerantie van 2 % liggen.
De voorgestelde acties zullen geen gevolgen hebben voor de wijze waarop de kredieten worden beheerd. Het huidige controlesysteem is in staat fouten en/of onregelmatigheden te voorkomen en/of op te sporen en te corrigeren. Het zal worden aangepast om er de nieuwe acties in op te nemen en ervoor te zorgen dat de restfoutenpercentages (na correctie) onder de drempel van 2 % blijven.
2.3.Maatregelen ter voorkoming van fraude en onregelmatigheden
Vermeld de bestaande en geplande preventie- en beschermingsmaatregelen, bijvoorbeeld in het kader van de fraudebestrijdingsstrategie.
Met betrekking tot haar activiteiten onder direct beheer neemt de Commissie passende maatregelen om ervoor te zorgen dat de financiële belangen van de Europese Unie worden gevrijwaard door de toepassing van maatregelen ter voorkoming van fraude, corruptie en andere onwettige activiteiten, door doeltreffende controles en, indien er onregelmatigheden worden vastgesteld, de terugvordering van ten onrechte betaalde bedragen en, waar nodig, door doeltreffende, evenredige en afschrikkende sancties. Daartoe heeft de Commissie een fraudebestrijdingsstrategie vastgesteld, meest recentelijk bijgewerkt in april 2019 (COM(2019) 196), waarin met name de volgende preventieve, opsporings- en correctiecontroles zijn opgenomen:
De Commissie of haar vertegenwoordigers en de Rekenkamer hebben de bevoegdheid om op basis van documenten of ter plaatse audits uit te voeren bij alle begunstigden van subsidies, contractanten en subcontractanten die middelen van de Unie hebben ontvangen. OLAF is gemachtigd om controles en verificaties ter plaatse uit te voeren bij marktdeelnemers die direct of indirect bij deze financiering betrokken zijn.
De Commissie past ook een aantal maatregelen toe zoals:
a)besluiten, overeenkomsten en contracten die voortvloeien uit de uitvoering van de verordening zullen de Commissie, inclusief OLAF, en de Rekenkamer uitdrukkelijk machtigen tot uitvoering van audits, controles ter plaatse en inspecties en tot terugvordering van ten onrechte uitbetaalde bedragen en, in voorkomend geval, oplegging van administratieve sancties;
b)tijdens de evaluatiefase van een oproep tot het indienen van voorstellen/aanbesteding wordt aan de hand van verklaringen en het systeem voor vroegtijdige opsporing en uitsluiting (EDES) gecontroleerd of de bekendgemaakte uitsluitingscriteria niet op de aanvragers en de inschrijvers van toepassing zijn;
c)de regels in verband met de subsidiabiliteit van de kosten zullen worden vereenvoudigd overeenkomstig de bepalingen van het Financieel Reglement;
d)alle personeelsleden die betrokken zijn bij het contractbeheer, alsook auditors en controleurs die de verklaringen van de begunstigden ter plaatse onderzoeken, krijgen geregeld opleiding over thema’s die verband houden met fraude en onregelmatigheden.
3.GERAAMDE FINANCIËLE GEVOLGEN VAN HET VOORSTEL/INITIATIEF
3.1.Rubriek(en) van het meerjarig financieel kader en betrokken begrotingsonderde(e)l(en) voor uitgaven
·Bestaande begrotingsonderdelen
In volgorde van de rubrieken van het meerjarig financieel kader en de begrotingsonderdelen.
|
Rubriek van het meerjarig financieel kader |
Begrotingsonderdeel |
Soort
|
Bijdrage |
|||
|
Nummer
|
GK/NGK 66 |
van EVA-landen 67 |
van kandidaat-lidstaten 68 |
van derde landen |
in de zin van artikel 21, lid 2, punt b), van het Financieel Reglement |
|
|
1 |
02 04 03 — programma Digitaal Europa — Kunstmatige intelligentie |
GK |
JA |
JA |
JA |
NEE |
|
2b |
06 06 01 — EU4Health-programma |
GK |
JA |
JA |
JA |
NEE |
|
7 |
20 02 06 Administratieve uitgaven |
NGK |
NEE |
NEE |
NEE |
NEE |
3.2.Geraamde financiële gevolgen van het voorstel inzake kredieten
3.2.1.Samenvatting van de geraamde gevolgen voor de beleidskredieten
–◻ Voor het voorstel/initiatief zijn geen beleidskredieten nodig
– Voor het voorstel/initiatief zijn beleidskredieten nodig, zoals hieronder nader wordt beschreven:
in miljoenen euro’s (tot op drie decimalen)
|
Rubriek van het meerjarig financieel kader |
1 |
Eengemaakte markt, innovatie en digitaal beleid |
|
DG CNECT |
Jaar
|
Jaar
|
Jaar
|
Jaar
|
Jaar
|
Jaar
|
Volgende jaren (jaarlijks) |
TOTAAL 2023-2027 |
||
|
•Beleidskredieten |
||||||||||
|
02 04 03 — programma Digitaal Europa — Kunstmatige intelligentie |
Vastleggingen |
(1a) |
10 000 |
20 000 |
20 000 |
50 000 |
||||
|
Betalingen |
(2a) |
5 000 |
15 000 |
10 000 |
10 000 |
10 000 70 |
50 000 |
|||
|
Uit het budget van specifieke programma’s gefinancierde administratieve kredieten 71 |
||||||||||
|
Begrotingsonderdeel |
(3) |
|||||||||
|
TOTAAL kredieten
|
Vastleggingen |
= 1a + 1b + 1c + 3 |
10 000 |
20 000 |
20 000 |
50 000 |
||||
|
Betalingen |
= 2a + 2b + 2c + 3 |
5 000 |
15 000 |
10 000 |
10 000 |
10 000 |
50 000 |
|||
|
De bijdragen uit het programma Digitaal Europa vanaf 2023 zijn indicatief en zullen in aanmerking worden genomen in het kader van de voorbereiding van de respectieve werkprogramma’s. De uiteindelijke toekenning daarvan zal afhangen van de prioritering voor financiering in het kader van de onderliggende vaststellingsprocedure en de instemming van het betrokken programmacomité. |
||||||||||
|
|
Vastleggingen |
(4) |
10 000 |
20 000 |
20 000 |
50 000 |
||||
|
Betalingen |
(5) |
5 000 |
15 000 |
10 000 |
10 000 |
10 000 |
50 000 |
|||
|
• TOTAAL uit het budget van specifieke programma’s gefinancierde administratieve kredieten |
(6) |
|||||||||
|
TOTAAL kredieten
|
Vastleggingen |
= 4 + 6 |
10 000 |
20 000 |
20 000 |
50 000 |
||||
|
Betalingen |
= 5 + 6 |
5 000 |
15 000 |
10 000 |
10 000 |
10 000 |
50 000 |
|||
|
Rubriek van het meerjarig financieel kader |
2b |
Cohesie, veerkracht en waarden |
|
DG SANTE |
Jaar
|
Jaar
|
Jaar
|
Jaar
|
Jaar
|
Jaar
|
Volgende jaren (jaarlijks) |
TOTAAL 2023-2027 |
||
|
•Beleidskredieten |
||||||||||
|
06 06 01 — EU4Health-programma |
Vastleggingen |
(1a) |
26 000 |
25 000 |
34 000 |
35 000 |
50 000 |
15 000 |
170 000 |
|
|
Betalingen |
(2a) |
13 000 |
25 500 |
29 500 |
34 500 |
67 500 |
15 000 |
170 000 |
||
|
Uit het budget van specifieke programma’s gefinancierde administratieve kredieten 73 |
||||||||||
|
Begrotingsonderdeel |
(3) |
|||||||||
|
TOTAAL kredieten
|
Vastleggingen |
= 1a + 1b + 1c + 3 |
26 000 |
25 000 |
34 000 |
35 000 |
50 000 |
15 000 |
170 000 |
|
|
Betalingen |
= 2a + 2b + 2c + 3 |
13 000 |
25 500 |
29 500 |
34 500 |
67 500 |
15 000 |
170 000 |
||
|
|
Vastleggingen |
(4) |
26 000 |
25 000 |
34 000 |
35 000 |
50 000 |
15 000 |
170 000 |
|
|
Betalingen |
(5) |
13 000 |
25 500 |
29 500 |
34 500 |
67 500 |
15 000 |
170 000 |
||
|
• TOTAAL uit het budget van specifieke programma’s gefinancierde administratieve kredieten |
(6) |
|||||||||
|
TOTAAL kredieten
|
Vastleggingen |
= 4 + 6 |
26 000 |
25 000 |
34 000 |
35 000 |
50 000 |
15 000 |
170 000 |
|
|
Betalingen |
= 5 + 6 |
13 000 |
25 500 |
29 500 |
34 500 |
67 500 |
15 000 |
170 000 |
||
|
|
7 |
Administratieve uitgaven |
Dit deel moet worden ingevuld aan de hand van de “administratieve begrotingsgegevens”, die eerst moeten worden opgenomen in de bijlage bij het financieel memorandum (Bijlage V bij de interne voorschriften), te uploaden in DECIDE met het oog op overleg tussen de diensten.
in miljoenen euro’s (tot op drie decimalen)
|
Jaar
|
Jaar
|
Jaar
|
Jaar
|
Jaar
|
Jaar
|
Volgende jaren (jaarlijks) |
TOTAAL 2023-2027 |
||||
|
DG SANTE |
|||||||||||
|
• Personele middelen |
3,289 |
3,289 |
3,289 |
3,289 |
3,289 |
3,289 |
16,445 |
||||
|
• Andere administratieve uitgaven |
0,150 |
0,150 |
0,250 |
0,250 |
0,250 |
0,250 |
1,050 |
||||
|
TOTAAL DG SANTE |
Kredieten |
3,439 |
3,439 |
3,539 |
3,539 |
3,539 |
3,539 |
17,495 |
|||
|
TOTAAL kredieten
|
(totaal vastleggingen = totaal betalingen) |
3,439 |
3,439 |
3,539 |
3,539 |
3,539 |
3,539 |
17,495 |
in miljoenen euro’s (tot op drie decimalen)
|
Jaar
|
Jaar
|
Jaar
|
Jaar
|
Jaar
|
Jaar
|
Volgende jaren (jaarlijks) |
TOTAAL 2023-2027 |
|||
|
TOTAAL kredieten
|
Vastleggingen |
29,439 |
38,439 |
57,539 |
38,539 |
73,539 |
18,539 |
237,495 |
||
|
Betalingen |
16,439 |
33,939 |
48,039 |
48,039 |
91,039 |
18,539 |
237,495 |
|||
3.2.2.Geraamde output, gefinancierd met beleidskredieten
Vastleggingskredieten, in miljoenen euro’s (tot op drie decimalen)
|
Vermeld doelstellingen en outputs ⇩ |
Jaar
|
Jaar
|
Jaar
|
Jaar
|
Jaar
|
Jaar
|
Volgende jaren (jaarlijks) |
TOTAAL 2023-2027 |
||||||||||
|
OUTPUTS |
||||||||||||||||||
|
Soort 74 |
Gem. kosten |
Aantal |
Kosten |
Aantal |
Kosten |
Aantal |
Kosten |
Aantal |
Kosten |
Aantal |
Kosten |
Aantal |
Kosten |
Aantal |
Kosten |
Totaal aantal |
Totale kosten |
|
|
SPECIFIEKE DOELSTELLING 1 |
||||||||||||||||||
|
Ontwikkeling en onderhoud van het Europese kernplatform voor MyHealth@EU en ondersteuning van de lidstaten |
16 400 |
|
18 000 |
|
28 000 |
|
10 000 |
|
38 000 |
|
8 000 |
|
110 400 |
|||||
|
Subtotaal voor specifieke doelstelling 1 |
16 400 |
|
18 000 |
|
28 000 |
|
10 000 |
|
38 000 |
|
8 000 |
|
110 400 |
|||||
|
SPECIFIEKE DOELSTELLING 2 |
||||||||||||||||||
|
Databank voor EPD-systemen en wellnessapps |
3 100 |
|
3 000 |
|
3 000 |
|
3 000 |
|
2 000 |
|
2 000 |
|
14 100 |
|||||
|
Subtotaal voor specifieke doelstelling nr. 2 |
3 100 |
|
3 000 |
|
3 000 |
|
3 000 |
|
2 000 |
|
2 000 |
|
14 100 |
|||||
|
SPECIFIEKE DOELSTELLING 3 |
||||||||||||||||||
|
Ontwikkeling en onderhoud van het Europese kernplatform voor HealthData@EU en ondersteuning van de lidstaten |
6 500 |
|
14 000 |
|
23 000 |
|
22 000 |
|
30 000 |
|
5 000 |
|
95 500 |
|||||
|
Subtotaal voor specifieke doelstelling 3 |
6 500 |
|
14 000 |
|
23 000 |
|
22 000 |
|
30 000 |
|
5 000 |
|
95 500 |
|||||
|
TOTAAL |
26 000 |
|
35 000 |
|
54 000 |
|
35 000 |
|
70 000 |
|
15 000 |
|
220 000 |
|||||
3.2.3.Samenvatting van de geraamde gevolgen voor de administratieve kredieten
–◻ Voor het voorstel/initiatief zijn geen administratieve kredieten nodig
–Voor het voorstel/initiatief zijn administratieve kredieten nodig, zoals hieronder nader wordt beschreven:
in miljoenen euro’s (tot op drie decimalen)
|
Jaar
|
Jaar
|
Jaar
|
Jaar
|
Jaar
|
Jaar
|
TOTAAL |
|
|
RUBRIEK 7
|
|||||||
|
Personele middelen |
3,289 |
3,289 |
3,289 |
3,289 |
3,289 |
16,445 |
|
|
Andere administratieve uitgaven |
0,150 |
0,150 |
0,250 |
0,250 |
0,250 |
1,050 |
|
|
Subtotaal RUBRIEK 7
|
3,439 |
3,439 |
3,539 |
3,539 |
3,539 |
17,495 |
|
Jaar
|
Jaar
|
Jaar
|
Jaar
|
Jaar
|
Jaar
|
TOTAAL |
|
|
Buiten RUBRIEK 7
75
|
|||||||
|
Personele middelen |
|||||||
|
Andere administratieve uitgaven |
|||||||
|
Subtotaal
|
|
Jaar
|
Jaar
|
Jaar
|
Jaar
|
Jaar
|
Jaar
|
TOTAAL |
|
|
TOTAAL |
3,439 |
3,439 |
3,539 |
3,539 |
3,539 |
17,495 |
De benodigde kredieten voor personeel en andere administratieve uitgaven zullen worden gefinancierd uit de kredieten van het DG die reeds voor het beheer van deze actie zijn toegewezen en/of binnen het DG zijn herverdeeld, eventueel aangevuld met middelen die in het kader van de jaarlijkse toewijzingsprocedure met inachtneming van de budgettaire beperkingen aan het beherende DG kunnen worden toegewezen.
3.2.3.1.Geraamde personeelsbehoeften
–◻ Voor het voorstel/initiatief zijn geen personele middelen nodig
– Voor het voorstel/initiatief zijn personele middelen nodig, zoals hieronder nader wordt beschreven:
Raming in voltijdequivalenten
|
Jaar
|
Jaar
|
Jaar 2024 |
Jaar 2025 |
Jaar
|
Jaar 2027 en volgende |
||
|
• Posten opgenomen in de lijst van het aantal ambten (ambtenaren en tijdelijke functionarissen) |
|||||||
|
20 01 02 01 (centrale diensten en vertegenwoordigingen van de Commissie) |
16 |
16 |
16 |
16 |
16 |
||
|
20 01 02 03 (delegaties) |
|||||||
|
01 01 01 01 (onderzoek onder contract) |
|||||||
|
01 01 01 11 (eigen onderzoek) |
|||||||
|
Ander begrotingsonderdeel (te vermelden) |
|||||||
|
20 02 01 (AC, END, INT van de “totale financiële middelen”) |
9 |
9 |
9 |
9 |
9 |
||
|
20 02 03 (AC, AL, END, INT en JPD in de delegaties) |
|||||||
|
XX 01 xx yy zz 76 |
- centrale diensten |
||||||
|
- delegaties |
|||||||
|
01 01 01 02 (AC, END, INT – onderzoek onder contract) |
|||||||
|
01 01 01 12 (AC, END, INT – eigen onderzoek) |
|||||||
|
Ander begrotingsonderdeel (te vermelden) |
|||||||
|
TOTAAL |
25 |
25 |
25 |
25 |
25 |
||
06 is het beleidsterrein of de begrotingstitel.
Voor de benodigde personele middelen zal een beroep worden gedaan op het personeel van het DG dat reeds voor het beheer van deze actie is toegewezen en/of binnen het DG is herverdeeld, eventueel aangevuld met middelen die in het kader van de jaarlijkse toewijzingsprocedure met inachtneming van de budgettaire beperkingen aan het beherende DG kunnen worden toegewezen.
Beschrijving van de uit te voeren taken:
|
Ambtenaren en tijdelijk personeel |
Er zullen 12 AD-vte’s (10 in de beleidseenheid en 2 in de IT-eenheid van DG SANTE) en 4 AST-vte’s (3 in de beleidseenheid en 1 in de IT-eenheid van DG SANTE) nodig zijn om de taken in verband met de ontwikkeling en werking van de EHDS uit te voeren, namelijk voor: a)het beheer van de grensoverschrijdende digitale infrastructuur MyHealth@EU; b)het beheer van de grensoverschrijdende digitale infrastructuur voor secundair gebruik; c)normalisatie ten aanzien van elektronische patiëntendossiers en de uitwisseling van gezondheidsgegevens; d)de gegevenskwaliteit van elektronische patiëntendossiers en bij de uitwisseling van gezondheidsgegevens; e)toegang tot gezondheidsgegevens voor secundair gebruik; f)klachten, inbreuken en nalevingscontroles; g)logistieke ondersteuning voor het governancekader (fysieke en onlinevergaderingen); h)horizontale taken op het gebied van communicatie, beheer van belanghebbenden en interinstitutionele betrekkingen; i)interne coördinatie; j)beheer van de activiteiten. 6,5 AD-vte’s en 4 AST-vte’s zullen worden vervuld met personeel dat momenteel werkt aan digitale gezondheid en de uitwisseling van gezondheidsgegevens uit hoofde van artikel 14 van Richtlijn 2011/24/EU en aan de voorbereiding van de EHDS-verordening. De resterende 5,5 AD-vte’s zullen worden vervuld middels een interne herschikking binnen DG SANTE. |
|
Extern personeel |
Voor de uitvoering van de hierboven genoemde taken zullen de AD- en AST-personeelsleden worden ondersteund door 5 AC’s en 4 END’s bij DG SANTE. 4 AC-vte’s en 3 END-vte’s zullen worden vervuld met personeel dat momenteel werkt aan digitale gezondheid en de uitwisseling van gezondheidsgegevens uit hoofde van artikel 14 van Richtlijn 2011/24/EU en aan de voorbereiding van de EHDS-verordening. De resterende 1 AC-vte en 1 END-vte zullen worden vervuld middels een interne herschikking binnen DG SANTE. |
3.2.4.Verenigbaarheid met het huidige meerjarig financieel kader
Het voorstel/initiatief:
– kan volledig worden gefinancierd door middel van herschikking binnen de relevante rubriek van het meerjarig financieel kader (MFK).
De kredieten zullen worden herschikt binnen de financiële middelen die in het MFK 2021-2027 zijn toegewezen aan het EU4Health-programma en het programma Digitaal Europa.
–◻ hiervoor moet een beroep worden gedaan op de niet-toegewezen marge in de desbetreffende rubriek van het MFK en/of op de speciale instrumenten zoals gedefinieerd in de MFK-verordening.
–◻ hiervoor is een herziening van het MFK nodig.
3.2.5.Bijdragen van derden
Het voorstel/initiatief:
– voorziet niet in medefinanciering door derden
–◻ voorziet in medefinanciering door derden, zoals hieronder wordt geraamd:
Kredieten in miljoenen euro’s (tot op drie decimalen)
|
Jaar
|
Jaar
|
Jaar
|
Jaar
|
zoveel jaren als nodig om de duur van de gevolgen weer te geven (zie punt 1.6) |
Totaal |
|||
|
Medefinancieringsbron |
||||||||
|
TOTAAL medegefinancierde kredieten |
||||||||
3.3.Geraamde gevolgen voor de ontvangsten
– Het voorstel/initiatief heeft geen financiële gevolgen voor de ontvangsten
–◻ Het voorstel/initiatief heeft de hieronder beschreven financiële gevolgen:
–◻ voor de eigen middelen
–◻ voor overige ontvangsten
–Geef aan of de ontvangsten worden toegewezen aan de begrotingsonderdelen voor uitgaven ◻
in miljoenen euro’s (tot op drie decimalen)
|
Begrotingsonderdeel voor ontvangsten: |
Voor het lopende begrotingsjaar beschikbare kredieten |
Gevolgen van het voorstel/initiatief 78 |
||||||
|
Jaar
|
Jaar
|
Jaar
|
Jaar
|
zoveel jaren als nodig om de duur van de gevolgen weer te geven (zie punt 1.6) |
||||
|
Artikel …………. |
||||||||
Vermeld voor de toegewezen ontvangsten het (de) betrokken begrotingsonderde(e)l(en) voor uitgaven.
Andere opmerkingen (bv. over de methode/formule voor de berekening van de gevolgen voor de ontvangsten of andere informatie).
EUROPESE COMMISSIE
Straatsburg, 3.5.2022
COM(2022) 197 final
BIJLAGEN
bij
VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD
betreffende de Europese ruimte voor gezondheidsgegevens
{SEC(2022) 196 final} - {SWD(2022) 130 final} - {SWD(2022) 131 final} - {SWD(2022) 132 final}
BIJLAGE I
Belangrijkste kenmerken van categorieën elektronische gezondheidsgegevens
|
Categorie elektronische gezondheidsgegevens |
Belangrijkste kenmerken van de elektronische gezondheidsgegevens in de categorie |
|
1.Patiëntendossier |
Elektronische gezondheidsgegevens die belangrijke klinische feiten in verband met een geïdentificeerde persoon omvatten en die essentieel zijn voor de verlening van veilige en efficiënte gezondheidszorg aan die persoon. De volgende informatie maakt deel uit van een patiëntendossier: 1.Persoonsgegevens 2.Contactinformatie 3.Informatie over verzekeringen 4.Allergieën 5.Medische waarschuwingen 6.Informatie over vaccinatie/profylaxe, eventueel in de vorm van een vaccinatiekaart 7.Huidige, opgeloste, gesloten of inactieve problemen 8.Tekstuele informatie over medische anamnese 9.Medische hulpmiddelen en implantaten 10.Procedures 11.Functionele status 12.Huidige geneesmiddelen en relevante geneesmiddelen uit het verleden 13.Observaties over de sociale geschiedenis met betrekking tot gezondheid 14.Zwangerschapsgeschiedenis 15.Door de patiënt verstrekte gegevens 16.Resultaten van observaties met betrekking tot de gezondheidstoestand 17.Zorgplan 18.Informatie over een zeldzame ziekte, zoals bijzonderheden over de gevolgen of kenmerken van de ziekte |
|
2.Elektronische recepten |
Elektronische gezondheidsgegevens die een recept voor een geneesmiddel vormen als omschreven in artikel 3, punt k), van Richtlijn 2011/24/EU. |
|
3.Elektronische verstrekking |
Informatie over de levering door een apotheek van een geneesmiddel aan een natuurlijke persoon op basis van een elektronisch recept. |
|
4.Medisch beeld en verslag daarover |
Elektronische gezondheidsgegevens die verband houden met het gebruik van of verkregen zijn met behulp van technologieën waarmee het menselijk lichaam in beeld wordt gebracht met het oog op het voorkomen, diagnosticeren, monitoren of behandelen van medische aandoeningen. |
|
5.Laboratoriumresultaten |
Elektronische gezondheidsgegevens die de resultaten weergeven van studies die met name zijn uitgevoerd via in-vitrodiagnostiek zoals klinische biochemie, hematologie, transfusiegeneeskunde, microbiologie, immunologie enz., en met inbegrip van, in voorkomend geval, verslagen ter ondersteuning van de interpretatie van de resultaten. |
|
6.Ontslagverslag |
Elektronische gezondheidsgegevens met betrekking tot een gezondheidscontact of zorgepisode, met inbegrip van essentiële informatie over de toelating, de behandeling en het ontslag van een natuurlijke persoon. |
BIJLAGE II
Essentiële vereisten voor EPD-systemen en producten die aanspraak maken op interoperabiliteit met EPD-systemen
De in deze bijlage vastgestelde essentiële vereisten zijn van overeenkomstige toepassing op producten die aanspraak maken op interoperabiliteit met EPD-systemen.
1.Algemene vereisten
1.1.Systemen voor elektronische patiëntendossiers (EPD-systemen) moeten de door de fabrikant beoogde prestaties leveren en zodanig zijn ontworpen en vervaardigd dat zij onder normale gebruiksomstandigheden geschikt zijn voor het beoogde doel en de veiligheid van de patiënt niet in gevaar brengen.
1.2.EPD-systemen moeten zodanig zijn ontworpen en ontwikkeld dat zij kunnen worden geleverd en geïnstalleerd, met inachtneming van de instructies en informatie van de fabrikant, zonder dat dit negatieve gevolgen heeft voor de kenmerken en prestaties ervan tijdens het beoogde gebruik.
1.3.EPD-systemen moeten zodanig zijn ontworpen en ontwikkeld dat zij de interoperabiliteits-, veiligheids- en beveiligingskenmerken de rechten van natuurlijke personen waarborgen, in overeenstemming met het beoogde doel van het EPD-systeem, zoals uiteengezet in hoofdstuk II van deze verordening.
1.4.EPD-systemen die bedoeld zijn om samen met andere producten, waaronder medische hulpmiddelen, te worden gebruikt, moeten zodanig zijn ontworpen en vervaardigd dat de interoperabiliteit en compatibiliteit betrouwbaar en veilig zijn, en dat persoonlijke elektronische gezondheidsgegevens tussen het hulpmiddel en het EPD-systeem kunnen worden gedeeld.
2.Vereisten inzake interoperabiliteit
2.1.EPD-systemen moeten het mogelijk maken om persoonlijke elektronische gezondheidsgegevens te delen tussen gezondheidswerkers of andere entiteiten van het gezondheidsstelsel, en tussen gezondheidswerkers en patiëntenportalen of portalen voor gezondheidswerkers in een algemeen gebruikt, interoperabel elektronisch formaat, dat onder meer de inhoud van de datasets, gegevensstructuren, formaten, vocabularia, taxonomieën, uitwisselingsformaten, normen, specificaties, profielen voor uitwisseling en codelijsten omvat, zodat de systemen onderling kunnen communiceren.
2.2.EPD-systemen moeten interoperabel en compatibel zijn met de in deze verordening vastgestelde Europese infrastructuren voor de grensoverschrijdende uitwisseling van elektronische gezondheidsgegevens.
2.3.EPD-systemen met een functionaliteit voor het invoeren van gestructureerde persoonlijke elektronische gezondheidsgegevens moeten het mogelijk maken gegevens in te voeren die zodanig gestructureerd zijn dat het delen van gegevens in een gestructureerd, algemeen gebruikt en machineleesbaar formaat wordt ondersteund, zodat de systemen onderling kunnen communiceren.
2.4.EPD-systemen mogen geen kenmerken bevatten die de rechtmatige toegang, het delen van persoonlijke elektronische gezondheidsgegevens of het gebruik van persoonlijke elektronische gezondheidsgegevens voor toegestane doeleinden verbieden, beperken of onnodig belasten.
2.5.EPD-systemen mogen geen kenmerken bevatten die de rechtmatige export van persoonlijke elektronische gezondheidsgegevens met het oog op de overstap op een ander EPD-systeem verbieden, beperken of onnodig belasten.
3.Vereisten inzake beveiliging
3.1.EPD-systemen moeten zodanig zijn ontworpen en ontwikkeld dat een veilige en beveiligde verwerking van elektronische gezondheidsgegevens wordt gewaarborgd en ongeoorloofde toegang tot dergelijke gegevens wordt voorkomen.
3.2.EPD-systemen die zijn ontworpen om door gezondheidswerkers te worden gebruikt, moeten voorzien in betrouwbare mechanismen voor de identificatie en authenticatie van gezondheidswerkers, met inbegrip van controles van hun beroepsrechten en -kwalificaties.
3.3.EPD-systemen die zijn ontworpen om door gezondheidswerkers te worden gebruikt, moeten het gebruik van informatie over beroepsrechten en -kwalificaties, zoals toegangscontrole op basis van functie, als onderdeel van de toegangscontrolemechanismen ondersteunen.
3.4.EPD-systemen die zijn ontworpen om gezondheidswerkers of andere personen toegang te bieden tot persoonlijke elektronische gezondheidsgegevens, moeten voldoende registratiemechanismen bieden om ten minste de volgende informatie over elke toegangsgebeurtenis of groep van gebeurtenissen in een logbestand te registreren:
a)identificatie van de gezondheidswerker of andere persoon die toegang heeft gehad tot elektronische gezondheidsgegevens;
b)identificatie van de persoon;
c)categorieën gegevens waartoe toegang is verkregen;
d)tijdstip en datum van toegang;
e)herkomst van de gegevens.
3.5.EPD-systemen moeten instrumenten en mechanismen bevatten die natuurlijke personen in staat stellen de toegang van gezondheidswerkers tot hun persoonlijke elektronische gezondheidsgegevens te beperken. Zij moeten ook voorzien in mechanismen die de toegang tot persoonlijke elektronische gezondheidsgegevens in noodsituaties mogelijk maken en ervoor zorgen dat de toegang nauwkeurig in een logbestand wordt geregistreerd.
3.6.EPD-systemen moeten instrumenten of mechanismen bevatten om de gegevens in het logbestand te evalueren en te analyseren, of de verbinding met en het gebruik van externe software voor dezelfde doeleinden ondersteunen.
3.7.EPD-systemen die zijn ontworpen om door gezondheidswerkers te worden gebruikt, moeten digitale handtekeningen of soortgelijke onweerlegbaarheidsmechanismen ondersteunen.
3.8.EPD-systemen die zijn ontworpen voor de opslag van elektronische gezondheidsgegevens moeten verschillende bewaringstermijnen ondersteunen, alsmede toegangsrechten die rekening houden met de oorsprong en categorieën van de elektronische gezondheidsgegevens.
3.9.EPD-systemen die zijn ontworpen om door natuurlijke personen te worden gebruikt, moeten identificatie toestaan met elk erkend elektronisch identificatiemiddel zoals gedefinieerd in Verordening (EU) nr. 910/2014, ongeacht de lidstaat die het heeft afgegeven. Als de dienst andere elektronische identificatiemiddelen ondersteunt, moet het betrouwbaarheidsniveau daarvan “substantieel” of “hoog” zijn.
BIJLAGE III
Technische documentatie
De technische documentatie als bedoeld in artikel 24 bevat ten minste de volgende informatie, zoals van toepassing op het betreffende EPD-systeem:
1.Een algemene beschrijving van het EPD-systeem, waaronder:
a)het beoogde doel, de datum en de versie van het EPD-systeem;
b)de categorieën elektronische gezondheidsgegevens voor de verwerking waarvan het EPD-systeem is ontworpen;
c)hoe het EPD-systeem interageert of kan worden gebruikt om te interageren met hardware of software die geen deel uitmaakt van het EPD-systeem zelf;
d)de versies van de betreffende software of firmware en eventuele eisen met betrekking tot versie-updates;
e)de beschrijving van alle vormen waarin het EPD-systeem in de handel wordt gebracht of in bedrijf wordt gesteld;
f)de beschrijving van de hardware waarop het EPD-systeem moet worden uitgevoerd;
g)een beschrijving van de systeemarchitectuur waarin wordt uitgelegd hoe softwarecomponenten met elkaar samenhangen of in elkaar grijpen en in de algehele verwerking geïntegreerd zijn, met inbegrip van, in voorkomend geval, afbeeldingen (bv. schema’s en tekeningen) waarbij de belangrijkste onderdelen/componenten duidelijk zijn aangegeven en voldoende uitleg wordt gegeven om de tekeningen en schema’s te begrijpen;
h)de technische specificaties, zoals eigenschappen, afmetingen en prestatie-eigenschappen van het EPD-systeem en van eventuele varianten/configuraties en toebehoren die doorgaans deel uitmaken van de aan de gebruiker aangeboden productspecificatie, bijvoorbeeld in de vorm van brochures, catalogi en soortgelijke publicaties, met inbegrip van een gedetailleerde beschrijving van de gegevensstructuren, de opslag en de input/output van gegevens;
i)een beschrijving van alle wijzigingen die tijdens de levensduur van het systeem worden aangebracht;
j)de gebruiksaanwijzing voor de gebruiker en, indien van toepassing, installatie-instructies.
2.Een gedetailleerde beschrijving van het systeem dat beschikbaar is om de prestaties van het EPD-systeem te evalueren, indien van toepassing.
3.Verwijzingen naar alle gemeenschappelijke specificaties die overeenkomstig artikel 23 zijn gebruikt en op grond waarvan de conformiteitsverklaring is opgesteld.
4.De resultaten en kritische analyses van alle verificaties en valideringstests die zijn uitgevoerd om aan te tonen dat het EPD-systeem voldoet aan de vereisten van hoofdstuk III van deze verordening, met name de toepasselijke essentiële vereisten.
5.Een exemplaar van het in artikel 25 bedoelde informatieblad.
6.Een exemplaar van de EU-conformiteitsverklaring.
BIJLAGE IV
EU-conformiteitsverklaring
De EU-conformiteitsverklaring moet de volgende informatie bevatten:
1.de naam van het EPD-systeem, de versie en eventuele aanvullende ondubbelzinnige verwijzingen aan de hand waarvan het EPD-systeem kan worden geïdentificeerd;
2.de naam en het adres van de fabrikant en, indien van toepassing, diens gemachtigde;
3.een vermelding dat de EU-conformiteitsverklaring wordt verstrekt onder de uitsluitende verantwoordelijkheid van de fabrikant;
4.een vermelding dat het EPD-systeem in overeenstemming is met deze bepalingen in hoofdstuk III van deze verordening en, in voorkomend geval, met eventuele andere desbetreffende EU-wetgeving die voorziet in de afgifte van een EU-conformiteitsverklaring;
5.vermelding van alle relevante geharmoniseerde normen die zijn gebruikt en waarop de conformiteitsverklaring betrekking heeft;
6.vermelding van alle gemeenschappelijke specificaties die zijn gebruikt en waarop de conformiteitsverklaring betrekking heeft;
7.plaats en datum van afgifte van de verklaring, handtekening en naam en functie van de persoon die de verklaring heeft ondertekend en, indien van toepassing, een vermelding van de persoon namens wie de verklaring is ondertekend;
8.aanvullende informatie, indien van toepassing.
