Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 32019D1765

Kommissionens genomförandebeslut (EU) 2019/1765 av den 22 oktober 2019 om regler för inrättande, förvaltning och drift av ett nätverk av nationella myndigheter med ansvar för e-hälsa och om upphävande av genomförandebeslut 2011/890/EU [delgivet med nr C(2019) 7460] (Text av betydelse för EES)

C/2019/7460

EUT L 270, 24.10.2019, p. 83–93 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force: This act has been changed. Current consolidated version: 17/07/2020

ELI: http://data.europa.eu/eli/dec_impl/2019/1765/oj

24.10.2019   

SV

Europeiska unionens officiella tidning

L 270/83


KOMMISSIONENS GENOMFÖRANDEBESLUT (EU) 2019/1765

av den 22 oktober 2019

om regler för inrättande, förvaltning och drift av ett nätverk av nationella myndigheter med ansvar för e-hälsa och om upphävande av genomförandebeslut 2011/890/EU

[delgivet med nr C(2019) 7460]

(Text av betydelse för EES)

EUROPEISKA KOMMISSIONEN HAR ANTAGIT DETTA BESLUT

med beaktande av fördraget om Europeiska unionens funktionssätt,

med beaktande av Europaparlamentets och rådets direktiv 2011/24/EU av den 9 mars 2011 om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård (1), särskilt artikel 14.3, och

av följande skäl:

(1)

Enligt artikel 14 i direktiv 2011/24/EU ska unionen stödja och främja samarbete om och utbyte av information mellan medlemsstaterna inom ramen för ett frivilligt nätverk som kopplar ihop nationella myndigheter som är ansvariga för e-hälsa (nedan kallat nätverket för e-hälsa), utsedda av medlemsstaterna.

(2)

I kommissionens genomförandebeslut 2011/890/EU (2) fastställs regler för inrättande, förvaltning och drift av nätverket för e-hälsa.

(3)

I det beslutet fastställs för närvarande inga ändamålsenliga regler för vissa aspekter som är nödvändiga för att nätverket för e-hälsa ska kunna drivas med tillräcklig insyn, framför allt när det gäller nätverkets och kommissionens roll i förhållande till infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa och de nya kraven på dataskydd i Europaparlamentets och rådets förordning (EU) 2016/679 (den allmänna dataskyddsförordningen) (3) och i Europaparlamentets och rådets förordning (EU) 2018/1725 (4).

(4)

För att säkerställa en transparent förvaltning av nätverket för e-hälsa bör regler fastställas för hur man blir medlem i och lämnar det. Eftersom det är frivilligt att delta i nätverket bör medlemsstaterna kunna ansluta sig när de vill. Av organisatoriska skäl bör de medlemsstater som vill delta meddela detta till kommissionen i förväg.

(5)

Elektroniska hjälpmedel är lämpliga att använda för ett snabbt och tillförlitligt informationsutbyte mellan de medlemsstater som deltar i nätverket för e-hälsa. På detta område har betydelsefulla framsteg gjorts. För att främja interoperabilitet för europeiska e-hälsosystem utvecklades infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa av de medlemsstater som deltar i nätverket för e-hälsa, vilka beslutade sig för att öka sitt samarbete på detta område med kommissionens stöd, med hjälp av ett it-verktyg för utbyte av hälsouppgifter inom ramen för Fonden för ett sammanlänkat Europa (5). Dessa framsteg bör återspeglas i detta beslut. Såsom framgår av kommissionens meddelande av den 25 april 2018 om en digital omvandling av vård och omsorg på den digitala inre marknaden, om medborgarinflytande och ett hälsosammare samhälle (6) bör de deltagande medlemsstaternas och kommissionens roll i förhållande till driften av infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa klargöras.

(6)

Syftet med infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa bör vara att främja gränsöverskridande utbyte av hälsouppgifter, bl.a. patientuppgifter i e-recept och patientöversikter och på sikt mer omfattande elektroniska patientjournaler, mellan de medlemsstater som deltar i nätverket för e-hälsa, i enlighet med rådets slutsatser från 2017 om hälsa i det digitala samhället (7), samt att ta fram andra användningsfall och hälsoinformationsområden.

(7)

Infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa består av de kärntjänster och de bastjänster som avses i Europaparlamentets och rådets förordning (EU) nr 283/2014 (8). Kärntjänsterna utvecklas, sätts i drift och underhålls av kommissionen. Tillsammans med bastjänsterna bör de möjliggöra och stödja transeuropeisk anslutbarhet. Bastjänsterna utvecklas, sätts i drift och underhålls av de nationella kontaktpunkterna för e-hälsa som utses av varje medlemsstat. De nationella kontaktpunkterna för e-hälsa använder bastjänsterna för att sammankoppla den nationella infrastrukturen med andra medlemsstaters kontaktpunkter genom kärnplattformarna.

(8)

I syfte att förbättra ett gränsöverskridande utbyte av hälsouppgifter och åstadkomma teknisk, semantisk och organisatorisk interoperabilitet mellan nationella e-hälsosystem bör nätverket för e-hälsa, inom ramen för infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa, spela en ledande roll när det gäller att utarbeta och samordna nödvändiga gemensamma krav och specifikationer.

(9)

Nätverket för e-hälsa bedriver redan ett flertal verksamheter på e-hälsoområdet – för dessa redogörs i nätverkets fleråriga arbetsprogram – som i huvudsak syftar till att ge vägledning, utbyta god praxis och finna gemensamma samarbetssätt. Dessa verksamheter omfattar bland annat arbetet för att göra det möjligt för medborgarna att aktivt delta i hanteringen av sina hälsouppgifter, inklusive på områdena för e-hälsa, m-hälsa och telemedicin, patienternas åtkomst till och användning och delning av sina hälsouppgifter samt patienternas digitala kompetens på hälsoområdet. Till nätverkets verksamheter hör även en innovativ användning av hälsouppgifter, inklusive stordata, artificiell intelligens, kunskap om hälso- och sjukvårdspolitik, inklusive, i samarbete med berörda parter på nationell nivå och EU-nivå, vägledning om hälsofrämjande, sjukdomsförebyggande och en förbättrad hälso- och sjukvård genom bättre användning av hälsouppgifter. Nätverket hjälper medlemsstaterna att göra det möjligt att dela och använda hälsouppgifter och medicinska uppgifter för folkhälsa och forskning. I enlighet med artikel 14.2 c i direktiv 2011/24/EU stöder nätverket även medlemsstaterna vid utarbetande av system för elektronisk identifiering och autentisering för att underlätta uppgifternas överförbarhet i gränsöverskridande hälso- och sjukvård, framför allt när det gäller infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa, med beaktande av eIDAS-ramverket och andra pågående insatser på unionsnivå.

(10)

Nätverket för e-hälsa arbetar med att öka kontinuiteten i vården genom att förbättra spridningen av gränsöverskridande e-hälsotjänster, ta fram nya användningsfall och hälsoinformationsområden vid sidan av patientöversikter och e-recept samt övervinna utmaningar vid införandet av interoperabilitet, dataskydd och datasäkerhet eller vid utvecklandet av digitala färdigheter bland hälso- och sjukvårdspersonal. Det främjar även större interoperabilitet mellan de nationella informations- och kommunikationstekniksystemen och gränsöverskridande överförbarhet för elektroniska hälsouppgifter vid gränsöverskridande hälso- och sjukvård genom vägledning om vilka krav och specifikationer som bör användas för att uppnå teknisk, semantisk och organisatorisk interoperabilitet mellan nationella digitala hälso- och sjukvårdssystem. Nätverket arbetar med att främja ett starkare samarbete när det gäller att utveckla och utbyta god praxis om nationella strategier för digital hälsa, i syfte att skapa konvergens i ett interoperabelt e-hälsosystem.

(11)

När nätverket för e-hälsa utarbetar en vägledning för säkerhetsaspekter rörande utbyte av uppgifter bör det dra nytta av expertisen i samarbetsgruppen för nät- och informationssäkerhet som inrättats genom artikel 11 i Europaparlamentets och rådets direktiv (EU) 2016/1148 (9) och Europeiska unionens byrå för nät- och informationssäkerhet (Enisa).

(12)

Nätverket för e-hälsa främjar även utbyte av åsikter bland sina medlemmar om nationella strategiska utmaningar när det gäller ny teknik och användning av uppgifter, och det bör främja diskussioner med andra relevanta unionsforum (t.ex. styrgruppen för främjande av hälsa, förebyggande av sjukdomar och hantering av icke-överförbara sjukdomar eller styrelsen av medlemsstater för de europeiska referensnätverken) om prioriteringar, strategiska riktlinjer och genomförandet av dem.

(13)

Den 6 februari 2019 antog kommissionen en rekommendation om ett europeiskt format för utbyte av elektroniska patientjournaler (10) (nedan kallad kommissionens rekommendation). I syfte att stödja spridningen och vidareutvecklingen och underlätta användningen av det europeiska formatet för utbyte av elektroniska patientjournaler förväntas nätverket för e-hälsa i samarbete med kommissionen, berörda parter, läkare, företrädare för patienterna och andra relevanta myndigheter utarbeta vägledning, ytterligare stödja utvecklingen och övervakningen av formatet för utbyte av elektroniska patientjournaler och stödja medlemsstaterna när det gäller att säkerställa integritetsskyddet och säkerheten vid datautbyte. I syfte att öka interoperabiliteten utarbetade nätverket investeringsriktlinjer (11), där det rekommenderas att standarder och specifikationer i kommissionens rekommendation ska beaktas, framför allt vid upphandlingsförfaranden.

(14)

Eftersom infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa är en viktig del av driften av nätverket för e-hälsa bör nätverkets roll i infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa och i andra delade europeiska e-hälsotjänster klargöras för att nätverket ska kunna drivas med tillräcklig insyn.

(15)

I syfte att säkerställa ett effektivt utbyte av hälsouppgifter mellan medlemsstaterna bör det vara möjligt för nätverket för e-hälsa att arbeta för att medlemsstaterna ska kunna delta i detta utbyte. Om de förutbestämda kraven är uppfyllda och kommissionen, och i förekommande fall, andra experter tillhandahållit och utfört test och revisioner bör nätverket för e-hälsa framför allt kunna fatta beslut om kandidatmedlemsstaternas organisatoriska, semantiska och tekniska beredskap att, genom deras respektive nationella kontaktpunkt för e-hälsa, utbyta validerade heltäckande elektroniska hälsouppgifter för godkända användningsfall samt kontrollera att kraven även fortsättningsvis är uppfyllda.

(16)

För att nätverket ska kunna drivas effektivt och med tillräcklig insyn bör regler fastställas för hur arbetsordningen och det fleråriga arbetsprogrammet ska antas samt för hur arbetsgrupper ska inrättas i syfte att säkerställa att nätverket för e-hälsa drivs effektivt. I arbetsordningen bör man ange det förfarande som bör tillämpas vid beslut om utbyte av personuppgifter genom infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa, såsom beskrivs ovan.

(17)

Intresserade medlemmar av nätverket för e-hälsa får öka sitt samarbete på områden som omfattas av nätverkets verksamheter. Detta samarbete är medlemsstatsdrivet och frivilligt. Detta gäller infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa och också andra delade europeiska e-hälsotjänster som utarbetats inom ramen för nätverket för e-hälsa. Om medlemsstaterna väljer att öka sitt samarbete bör de komma överens om och respektera reglerna för det samarbetet.

(18)

I syfte att ytterligare säkerställa att nätverket för e-hälsa drivs med tillräcklig insyn bör dess förhållande till kommissionen fastställas, framför allt vad gäller nätverkets uppgifter och kommissionens roll i det gränsöverskridande utbytet av hälsouppgifter genom infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa.

(19)

Personuppgifter för patienter, medlemsstaternas företrädare, experter och observatörer som delar i nätverket för e-hälsa bör behandlas under ansvar av medlemsstaterna eller andra offentliga organisationer eller organ i medlemsstaterna i enlighet med den allmänna dataskyddsförordningen och Europaparlamentets och rådets direktiv 2002/58/EG (12). Personuppgifter för företrädare för nationella myndigheter med ansvar för e-hälsa, andra företrädare för medlemsstaterna, experter och observatörer som deltar i nätverket för e-hälsa ska behandlas av kommissionen i enlighet med förordning (EU) 2018/1725. Behandlingen av personuppgifter för förvaltning och säkerställande av kärntjänsternas säkerhet i infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa under kommissionens ansvar bör vara förenlig med förordning (EU) 2018/1725.

(20)

Medlemsstaterna, företrädda av relevanta nationella myndigheter eller andra utsedda organ fastställer tillsammans syftet med och metoderna för behandling av personuppgifter genom infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa och är därför personuppgiftsansvariga. De personuppgiftsansvarigas respektive ansvarsområde bör definieras separat. Kommissionen, i sin egenskap av tillhandahållare av tekniska och organisatoriska lösningar för infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa, behandlar krypterade personuppgifter för patienter för medlemsstaternas räkning mellan de nationella kontaktpunkterna för e-hälsa och är därför ett personuppgiftsbiträde. I artikel 28 i den allmänna dataskyddsförordningen och i artikel 29 i förordning (EU) 2018/1725 fastställs att när uppgifter behandlas av ett personuppgiftsbiträde ska behandlingen regleras genom ett avtal eller en annan rättsakt enligt unionsrätten eller enligt medlemsstaternas nationella rätt som är bindande för personuppgiftsbiträdet med avseende på den personuppgiftsansvarige och som specificerar behandlingen. I detta beslut fastställs regler för kommissionens behandling i egenskap av personuppgiftsbiträde.

(21)

I syfte att säkerställa lika åtkomsträttigheter på grundval av den allmänna dataskyddsförordningen och förordning (EU) 2018/1725 bör kommissionen betraktas som personuppgiftsansvarig för personuppgifter som gäller förvaltning av åtkomsträttigheterna för kärntjänsterna i infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa.

(22)

I syfte att skapa transparenta ersättningsförfaranden bör regler fastställas om utgifter för dem som deltar i de verksamheter som nätverket för e-hälsa anordnar.

(23)

Genomförandebeslut 2011/890/EU bör därför upphävas och ersättas med detta beslut av rättssäkerhetsskäl och tydlighetsskäl.

(24)

De åtgärder som föreskrivs i detta beslut är förenliga med yttrandet från den kommitté som inrättats genom artikel 16 i direktiv 2011/24/EU.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Syfte

I detta beslut fastställs de regler som krävs för inrättande, förvaltning och drift av ett nätverk för e-hälsa av nationella myndigheter med ansvar för e-hälsa, i enlighet med artikel 14 i direktiv 2011/24/EU.

Artikel 2

Definitioner

1.   I detta beslut gäller följande definitioner:

a)

nätverk för e-hälsa: ett frivilligt nätverk som kopplar ihop nationella myndigheter som är ansvariga för e-hälsa, utsedda av medlemsstaterna, och som arbetar för att uppnå målen i artikel 14 i direktiv 2011/24/EU.

b)

nationella kontaktpunkter för e-hälsa: organisatoriska och tekniska portaler för tillhandahållande av gränsöverskridande informationstjänster för e-hälsa under medlemsstaternas ansvar.

c)

gränsöverskridande informationstjänster för e-hälsa: befintliga tjänster som behandlas genom de nationella kontaktpunkterna för e-hälsa och genom en kärnplattform som kommissionen utvecklat för gränsöverskridande hälso- och sjukvård.

d)

infrastruktur för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa: infrastruktur som gör det möjligt att tillhandahålla gränsöverskridande informationstjänster för e-hälsa genom nationella kontaktpunkter för e-hälsa och europeiska kärnplattformar. Denna infrastruktur omfattar både bastjänster i enlighet med definitionen i artikel 2.2 e i förordning (EU) nr 283/2014, som utvecklats av medlemsstaterna, och en kärnplattform, i enlighet med definitionen i artikel 2.2 d i samma förordning, som utvecklats av kommissionen.

e)

andra delade europeiska e-hälsotjänster: digitala tjänster som kan utvecklas inom ramen för nätverket för e-hälsa och delas mellan medlemsstater.

f)

styrningsmodell: regler för hur de organ ska utses som deltar i beslutsprocessen rörande infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa eller andra delade europeiska e-hälsotjänster som inrättats inom ramen för nätverket för e-hälsa samt beskrivning av dessa processer.

2.   Definitionerna i artikel 4.1, 4.2, 4.7 och 4.8 i förordning (EU) 2016/679 ska tillämpas på lämpligt sätt.

Artikel 3

Medlemskap i nätverket för e-hälsa

1.   Medlemmarna av nätverket för e-hälsa ska utgöras av nationella myndigheter med ansvar för e-hälsa som har utsetts av de medlemsstater som deltar i nätverket för e-hälsa.

2.   Medlemsstater som vill delta i nätverket för e-hälsa ska skriftligen underrätta kommissionen om

a)

beslutet att delta i nätverket för e-hälsa,

b)

den nationella myndighet med ansvar för e-hälsa som ska bli medlem av nätverket för e-hälsa samt namnet på företrädaren och suppleanten.

3.   Medlemmar ska skriftligen underrätta kommissionen om

a)

beslutet att lämna nätverket för e-hälsa,

b)

samtliga ändringar av de uppgifter som avses i punkt 2 b.

4.   Kommissionen ska offentliggöra en förteckning över medlemmarna i nätverket för e-hälsa.

Artikel 4

Verksamheterna i nätverket för e-hälsa

1.   I syfte att uppnå målen i artikel 14.2 a i direktiv 2011/24/EU får nätverket för e-hälsa göra följande:

a)

Främja större interoperabilitet mellan de nationella informations- och kommunikationstekniksystemen och gränsöverskridande överförbarhet för elektroniska hälsouppgifter vid gränsöverskridande hälso- och sjukvård.

b)

Ge vägledning till medlemsstater, i samarbete med andra behöriga tillsynsmyndigheter, om delning av hälsouppgifter mellan medlemsstater och ge medborgarna möjlighet att skaffa sig tillgång till och dela sina hälsouppgifter.

c)

Ge vägledning till medlemsstater och främja utbytet av god praxis om utveckling av olika digitala hälsotjänster, såsom telemedicin och m-hälsa eller ny teknik på området för stordata eller artificiell intelligens, med hänsyn tagen till pågående insatser på EU-nivå.

d)

Ge vägledning till medlemsstater om stöd till hälsofrämjande, sjukdomsförebyggande och en förbättrad hälso- och sjukvård genom bättre användning av hälsouppgifter och förbättrade digitala färdigheter bland patienter och hälso- och sjukvårdspersonal.

e)

Ge vägledning till medlemsstater och underlätta frivilligt utbyte av bästa praxis om investeringar i digital infrastruktur.

f)

Ge vägledning, i samarbete med andra relevanta organ och aktörer, till medlemsstater om nödvändiga användningsfall för klinisk interoperabilitet och verktyg för att nå detta.

g)

Ge vägledning till medlemmarna om säkerhetsfrågor rörande infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa eller andra delade europeiska e-hälsotjänster som utvecklats inom ramen för nätverket för e-hälsa, med beaktande av den lagstiftning och de dokument som utarbetats på unionsnivå, framför allt på säkerhetsområdet, samt rekommendationerna på området för cybersäkerhet, och bedriva ett nära samarbete med samarbetsgruppen för nät- och informationssäkerhet, Europeiska unionens byrå för nät- och informationssäkerhet och med nationella myndigheter, i förekommande fall.

2.   Vid utarbetandet av riktlinjer för effektiva metoder för utnyttjande av medicinsk information för folkhälsa och forskning som avses i artikel 14.2 b ii) i direktiv 2011/24/EU ska nätverket för e-hälsa ta hänsyn till de riktlinjer som antagits av Europeiska dataskyddsstyrelsen och vid behov samråda med den. Dessa riktlinjer får även ta upp frågan om informationsutbyte mellan infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa eller andra delade europeiska e-hälsotjänster.

Artikel 5

Driften av nätverket för e-hälsa

1.   Nätverket för e-hälsa ska fastställa sin arbetsordning med enkel majoritet av sina medlemmar.

2.   Nätverket för e-hälsa ska anta ett flerårigt arbetsprogram och ett verktyg för utvärdering av programmets genomförande.

3.   För att fullgöra sina uppgifter får nätverket för e-hälsa inrätta ständiga arbetsgrupper för vissa uppgifter, framför allt när det gäller infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa eller andra delade europeiska e-hälsotjänster som utvecklats inom ramen för nätverket för e-hälsa.

4.   Nätverket för e-hälsa får också inrätta tillfälliga arbetsgrupper, inklusive med experter, som ska granska särskilda frågor enligt direktiv från själva nätverket för e-hälsa. Sådana arbetsgrupper ska upplösas så snart de har fullgjort sitt uppdrag.

5.   När medlemmar av nätverket för e-hälsa beslutar att öka sitt samarbete på områden som omfattas av nätverkets verksamheter bör de komma överens om och följa reglerna för ökat samarbete.

6.   För att uppnå sina mål ska nätverket för e-hälsa samarbeta nära med de gemensamma åtgärder som stöder verksamheter inom nätverket för e-hälsa, om sådana gemensamma åtgärder finns, med aktörer eller andra berörda organ eller stödmekanismer, och ta hänsyn till de resultat som nåtts inom ramen för dessa verksamheter.

7.   Nätverket för e-hälsa ska, tillsammans med kommissionen, utarbeta styrningsmodeller för infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa och delta i styrningen genom att

i)

fastställa prioriteringarna för infrastrukturen för digitala e-hälsotjänster och övervaka driften,

ii)

utarbeta riktlinjer och krav för driften, inklusive välja de standarder som ska användas för infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa,

iii)

fastställa huruvida medlemmarna av nätverket för e-hälsa bör tillåtas inleda och fortsätta utbyta elektroniska hälsouppgifter genom infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa via sina nationella kontaktpunkter för e-hälsa, förutsatt att de krav som fastställts av nätverket för e-hälsa är uppfyllda, vilket framgår av de test som tillhandahållits och de revisioner som gjorts av kommissionen,

iv)

godkänna den årliga arbetsplanen för infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa.

8.   Nätverket för e-hälsa får tillsammans med kommissionen utarbeta styrningsmodeller för andra delade europeiska e-hälsotjänster som utvecklats inom ramen för nätverket för e-hälsa och delta i styrningen av dem. Nätverket får också tillsammans med kommissionen fastställa prioriteringar och utarbeta riktlinjer för driften av sådana delade europeiska e-hälsotjänster.

9.   I arbetsordningen får det fastställas att andra länder än medlemsstater som tillämpar direktiv 2011/24/EU får delta i möten som nätverket för e-hälsa anordnar som observatörer.

10.   Medlemmar av nätverket för e-hälsa och deras företrädare, liksom inbjudna experter och observatörer, ska omfattas av de bestämmelser om tystnadsplikt som följer av artikel 339 i fördraget, liksom av kommissionens säkerhetsbestämmelser för skydd av säkerhetsskyddsklassificerade EU-uppgifter enligt kommissionens beslut (EU, Euratom) 2015/444 (13). Vid överträdelse av dessa bestämmelser får ordföranden för nätverket för e-hälsa vidta lämpliga åtgärder i enlighet med arbetsordningen.

Artikel 6

Förhållandet mellan nätverket för e-hälsa och kommissionen

1.   Kommissionen ska

a)

delta i och vara medordförande för de möten som nätverket för e-hälsa anordnar tillsammans med medlemmarnas företrädare,

b)

samarbeta med och stödja nätverket för e-hälsa när det gäller dess verksamheter,

c)

tillhandahålla sekretariatstjänster för nätverket för e-hälsa,

d)

utveckla, implementera och upprätthålla ändamålsenliga tekniska och organisatoriska åtgärder för kärntjänster i infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa,

e)

stödja nätverket för e-hälsa när det gäller att fastställa att de nationella kontaktpunkterna för e-hälsa tekniskt och organisatoriskt uppfyller kraven på gränsöverskridande utbyte av hälsouppgifter genom att tillhandahålla och utföra nödvändiga test och revisioner. Experter från medlemsstaterna får bistå kommissionens revisorer.

2.   Kommissionen får delta i de möten som arbetsgrupperna i nätverket för e-hälsa anordnar.

3.   Kommissionen får rådfråga nätverket för e-hälsa om frågor som gäller e-hälsa på unionsnivå och utbyte av bästa praxis om e-hälsa.

4.   Kommissionen ska offentliggöra information om de verksamheter som nätverket för e-hälsa bedriver.

Artikel 7

Dataskydd

1.   Medlemsstaterna, företrädda av relevanta nationella myndigheter eller andra utsedda organ, ska betraktas som personuppgiftsansvariga för de personuppgifter som de behandlar genom infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa och ska på ett tydligt och transparent sätt fördela ansvarsområdena mellan de personuppgiftsansvariga.

2.   Kommissionen ska betraktas som personuppgiftsbiträde för patienters personuppgifter som behandlas genom infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa. I egenskap av personuppgiftsbiträde ska kommissionen förvalta kärntjänsterna i infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa och ska fullgöra sina skyldigheter som personuppgiftsbiträde i enlighet med bilagan till detta beslut. Kommissionen ska inte ha tillgång till patienters personuppgifter som behandlas genom infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa.

3.   Kommissionen ska betraktas som personuppgiftsansvarig för behandlingen av de personuppgifter som är nödvändiga för att bevilja och förvalta åtkomsträttigheter till kärntjänsterna i infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa. Med dessa uppgifter avses användarnas kontaktuppgifter, inklusive förnamn, efternamn, e-postadress och den organisation som denne tillhör.

Artikel 8

Utgifter

1.   Deltagarna i nätverket för e-hälsa ska inte arvoderas av kommissionen för sina tjänster.

2.   Deltagarna i nätverket för e-hälsa ska få sina utgifter för resor och uppehälle ersatta av kommissionen i enlighet med kommissionens interna bestämmelser om ersättning för personer utanför kommissionen som har kallats i egenskap av experter. Dessa utgifter ska ersättas inom gränserna för de tillgängliga anslag som fördelats under det årliga förfarandet för tilldelning av medel.

Artikel 9

Upphävande

Genomförandebeslut 2011/890/EU ska upphöra att gälla. Hänvisningar till det upphävda beslutet ska anses som hänvisningar till det här beslutet.

Artikel 10

Adressater

Detta beslut riktar sig till medlemsstaterna.

Utfärdat i Bryssel den 22 oktober 2019.

På kommissionens vägnar

Vytenis ANDRIUKAITIS

Ledamot av kommissionen


(1)  EUT L 88, 4.4.2011, s. 45.

(2)  Kommissionens genomförandebeslut 2011/890/EU av den 22 december 2011 om regler för inrättande, förvaltning och drift av ett nätverk av nationella myndigheter med ansvar för e-hälsa (EUT L 344, 28.12.2011, s. 48).

(3)  Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1).

(4)  Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39).

(5)  Europaparlamentets och rådets förordning (EU) nr 1316/2013 av den 11 december 2013 om inrättande av Fonden för ett sammanlänkat Europa, om ändring av förordning (EU) nr 913/2010 och om upphävande av förordningarna (EG) nr 680/2007 och (EG) nr 67/2010 (EUT L 348, 20.12.2013, s. 129).

(6)  Meddelande från kommissionen om en digital omvandling av vård och omsorg på den digitala inre marknaden, om medborgarinflytande och ett hälsosammare samhälle, COM(2018) 233 final, s. 7.

(7)  Rådets slutsatser om hälsa i det digitala samhället – framsteg för datadriven innovation på hälsoområdet, 2017/C 440/05, punkt 30.

(8)  Europaparlamentets och rådets förordning (EU) nr 283/2014 av den 11 mars 2014 om riktlinjer för transeuropeiska nät på området för telekommunikationsinfrastruktur och om upphävande av beslut nr 1336/97/EG (EUT L 86, 21.3.2014, s. 14).

(9)  Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen (EUT L 194, 19.7.2016, s. 1).

(10)  Kommissionens rekommendation (EU) 2019/243 av den 6 februari 2019 om ett europeiskt format för utbyte av elektroniska patientjournaler (C(2019) 800) (EUT L 39, 11.2.2019, s. 18).

(11)  https://ec.europa.eu/health/sites/health/files/ehealth/docs/ev_20190611_co922_en.pdf

(12)  Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 31.7.2002, s. 37).

(13)  Kommissionens beslut (EU, Euratom) 2015/444 av den 13 mars 2015 om säkerhetsbestämmelser för skydd av säkerhetsskyddsklassificerade EU-uppgifter (EUT L 72, 17.3.2015, s. 53).


BILAGA

Kommissionens ansvar som personuppgiftsbiträde för infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa

Kommissionen ska göra följande:

1.

Inrätta och säkerställa en säker och tillförlitlig kommunikationsinfrastruktur som sammankopplar nätverken för de medlemmar i nätverket för e-hälsa som deltar i infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa (nedan kallad central säker kommunikationsinfrastruktur). För att fullgöra sina skyldigheter får kommissionen engagera tredje parter. Kommissionen ska säkerställa att dataskyddsskyldigheterna i detta beslut även tillämpas på dessa tredje parter.

2.

Konfigurera en del av den centrala säkra kommunikationsinfrastrukturen så att de nationella kontaktpunkterna för e-hälsa kan utbyta information på ett säkert, tillförlitligt och effektivt sätt.

3.

Behandla personuppgifter på basis av dokumenterade instruktioner av personuppgiftsansvariga.

4.

Vidta samtliga organisatoriska, fysiska och logiska säkerhetsåtgärder för att upprätthålla den centrala säkra kommunikationsinfrastrukturen. Kommissionen ska därför göra följande:

a)

Utse en enhet som ansvarar för den centrala säkra kommunikationsinfrastrukturens säkerhetsförvaltning, meddela de personuppgiftsansvariga enhetens kontaktuppgifter och säkerställa att den kan hantera säkerhetshot.

b)

Ansvara för den centrala säkra kommunikationsinfrastrukturens säkerhet.

c)

Säkerställa att alla personer som beviljas tillgång till den centrala säkra kommunikationsinfrastrukturen omfattas av avtalsenlig, yrkesmässig eller lagstadgad tystnadsplikt.

d)

Säkerställa att personal som har tillgång till sekretessbelagda uppgifter uppfyller kriterierna för säkerhet och tystnadsplikt.

5.

Vidta alla nödvändiga säkerhetsåtgärder så att den andres domän fungerar smidigt. Kommissionen ska därför införa de specifika förfarandena för anslutning till den centrala säkra kommunikationsinfrastrukturen. Den informationen omfattar följande:

a)

Ett riskbedömningsförfarande, för att identifiera och utvärdera potentiella hot mot systemet.

b)

Ett revisions- och granskningsförfarande för att

i)

kontrollera sambandet mellan de genomförda säkerhetsåtgärderna och den säkerhetspolitik som tillämpas,

ii)

regelbundet kontrollera systemfilernas, säkerhetsparametrarnas och de beviljade tillståndens integritet,

iii)

övervaka att säkerhetsöverträdelser och intrång upptäcks,

iv)

genomföra ändringar för att åtgärda befintliga säkerhetsbrister samt

v)

definiera villkoren för oberoende kontroller, inklusive inspektioner och översyn av säkerhetsåtgärder, även på begäran av personuppgiftsansvariga, samt bidra till dem.

c)

Ett ändringskontrollförfarande för att dokumentera och mäta effekten av en ändring innan den genomförs och hålla de nationella kontaktpunkterna för e-hälsa informerade om samtliga ändringar som kan påverka kommunikationen med och/eller säkerheten i andra nationella infrastrukturer.

d)

Ett underhålls- och reparationsförfarande för att fastställa de regler och villkor som ska tillämpas vid underhåll och/eller reparation av utrustningen.

e)

Ett förfarande för it-incidenter för att fastställa ett rapporterings- och eskaleringssystem, omedelbart informera den ansvariga nationella administrationen samt Europeiska datatillsynsmannen om säkerhetsöverträdelser och fastställa ett disciplinärt förfarande för att åtgärda dessa.

6.

Vidta fysiska och/eller logiska säkerhetsåtgärder för de anläggningar där utrustningen för den centrala säkra kommunikationsinfrastrukturen finns och för kontroller av tillgången till logiska data och säkerhet. Kommissionen ska därför göra följande:

a)

Införa fysiska säkerhetsåtgärder för att upprätta tydliga säkerhetsperimetrar och möjliggöra att överträdelser upptäcks.

b)

Kontrollera tillträdet till anläggningar och upprätthålla ett besöksregister för spårning.

c)

Säkerställa att externa personer som beviljas tillträde till lokaler åtföljs av vederbörligen bemyndigad personal från respektive organisation.

d)

Säkerställa att utrustning inte kan läggas till, ersättas eller avlägsnas utan förhandstillstånd från utsedda ansvariga organ.

e)

Kontrollera tillgången från och till andra nätverk som är sammankopplade med den centrala säkra kommunikationsinfrastrukturen.

f)

Säkerställa att personer som får tillgång till den centrala säkra kommunikationsinfrastrukturen identifieras och autentiseras.

g)

Se över de tillståndsrättigheter som gäller tillgång till den centrala säkra kommunikationsinfrastrukturen vid säkerhetsöverträdelser som drabbar den.

h)

Bevara integriteten för den information som överförs genom den centrala säkra kommunikationsinfrastrukturen.

i)

Vidta tekniska och organisatoriska säkerhetsåtgärder för att förhindra obehörigt tillträde till personuppgifter.

j)

Vid behov genomföra åtgärder för att blockera obehörig tillgång till den centrala säkra kommunikationsinfrastrukturen från domänen för de nationella kontaktpunkterna för e-hälsa (t.ex. blockera en plats/en IP-adress).

7.

Vidta åtgärder för att skydda sin domän, inklusive genom frånkoppling, vid betydande avvikelser från principerna och koncepten för kvalitet eller säkerhet.

8.

Upprätthålla en riskhanteringsplan för sitt ansvarsområde.

9.

Övervaka – i realtid – prestandan för alla tjänstekomponenter i sina tjänster i den centrala säkra kommunikationsinfrastrukturen, ta fram regelbunden statistik och upprätthålla register.

10.

Ge stöd för alla tjänster i centrala säkra kommunikationsinfrastrukturer dygnet runt och året runt på engelska via telefon, e-post eller webbportalen och godta samtal från godkända personer som ringer upp: samordnare vid centrala säkra kommunikationsinfrastrukturer och deras respektive helpdeskar, projektledare och utsedda personer från kommissionen.

11.

Stödja de personuppgiftsansvariga genom att tillhandahålla information om den centrala säkra kommunikationsinfrastrukturen för infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa i syfte att fullgöra sina skyldigheter i artiklarna 35 och 36 i förordning (EU) 2016/679.

12.

Säkerställa att uppgifter som överförs inom den centrala säkra kommunikationsinfrastrukturen är krypterade.

13.

Vidta alla relevanta åtgärder för att förhindra att operatörerna vid den centrala säkra kommunikationsinfrastrukturen får obehörig tillgång till överförda uppgifter.

14.

Vidta åtgärder för att underlätta interoperabiliteten och kommunikationen mellan de utsedda nationella behöriga administrationerna för den centrala säkra kommunikationsinfrastrukturen.


Top