EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 5cd081b0-cd14-11ea-adf7-01aa75ed71a1

Consolidated text: Kommissionens genomförandebeslut (EU) 2019/1765 av den 22 oktober 2019 om regler för inrättande, förvaltning och drift av ett nätverk av nationella myndigheter med ansvar för e-hälsa och om upphävande av genomförandebeslut 2011/890/EU [delgivet med nr C(2019) 7460] (Text av betydelse för EES)Text av betydelse för EES.

02019D1765 — SV — 17.07.2020 — 001.001


Den här texten är endast avsedd som ett dokumentationshjälpmedel och har ingen rättslig verkan. EU-institutionerna tar inget ansvar för innehållet. De autentiska versionerna av motsvarande rättsakter, inklusive ingresserna, publiceras i Europeiska unionens officiella tidning och finns i EUR-Lex. De officiella texterna är direkt tillgängliga via länkarna i det här dokumentet

►B

KOMMISSIONENS GENOMFÖRANDEBESLUT (EU) 2019/1765

av den 22 oktober 2019

om regler för inrättande, förvaltning och drift av ett nätverk av nationella myndigheter med ansvar för e-hälsa och om upphävande av genomförandebeslut 2011/890/EU

[delgivet med nr C(2019) 7460]

(Text av betydelse för EES)

(EGT L 270 24.10.2019, s. 83)

Ändrat genom:

 

 

Officiella tidningen

  nr

sida

datum

►M1

KOMMISSIONENS GENOMFÖRANDEBESLUT (EU) 2020/1023 Text av betydelse för EES av den 15 juli 2020

  L 227I

1

16.7.2020




▼B

KOMMISSIONENS GENOMFÖRANDEBESLUT (EU) 2019/1765

av den 22 oktober 2019

om regler för inrättande, förvaltning och drift av ett nätverk av nationella myndigheter med ansvar för e-hälsa och om upphävande av genomförandebeslut 2011/890/EU

[delgivet med nr C(2019) 7460]

(Text av betydelse för EES)



Artikel 1

Syfte

I detta beslut fastställs de regler som krävs för inrättande, förvaltning och drift av ett nätverk för e-hälsa av nationella myndigheter med ansvar för e-hälsa, i enlighet med artikel 14 i direktiv 2011/24/EU.

Artikel 2

Definitioner

1.  I detta beslut gäller följande definitioner:

a) 

nätverk för e-hälsa: ett frivilligt nätverk som kopplar ihop nationella myndigheter som är ansvariga för e-hälsa, utsedda av medlemsstaterna, och som arbetar för att uppnå målen i artikel 14 i direktiv 2011/24/EU.

b) 

nationella kontaktpunkter för e-hälsa: organisatoriska och tekniska portaler för tillhandahållande av gränsöverskridande informationstjänster för e-hälsa under medlemsstaternas ansvar.

c) 

gränsöverskridande informationstjänster för e-hälsa: befintliga tjänster som behandlas genom de nationella kontaktpunkterna för e-hälsa och genom en kärnplattform som kommissionen utvecklat för gränsöverskridande hälso- och sjukvård.

d) 

infrastruktur för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa: infrastruktur som gör det möjligt att tillhandahålla gränsöverskridande informationstjänster för e-hälsa genom nationella kontaktpunkter för e-hälsa och europeiska kärnplattformar. Denna infrastruktur omfattar både bastjänster i enlighet med definitionen i artikel 2.2 e i förordning (EU) nr 283/2014, som utvecklats av medlemsstaterna, och en kärnplattform, i enlighet med definitionen i artikel 2.2 d i samma förordning, som utvecklats av kommissionen.

e) 

andra delade europeiska e-hälsotjänster: digitala tjänster som kan utvecklas inom ramen för nätverket för e-hälsa och delas mellan medlemsstater.

f) 

styrningsmodell: regler för hur de organ ska utses som deltar i beslutsprocessen rörande infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa eller andra delade europeiska e-hälsotjänster som inrättats inom ramen för nätverket för e-hälsa samt beskrivning av dessa processer;

▼M1

g) 

applikationsanvändare: person som innehar en smart enhet och som har laddat ned och använder en godkänd mobilapplikation för kontaktspårning och varning.

h) 

kontaktspårning: åtgärder för att spåra personer som exponerats för en källa till ett allvarligt gränsöverskridande hot mot människors hälsa enligt artikel 3 c i Europaparlamentets och rådets beslut nr 1082/2013/EU ( 1 ).

i) 

nationell mobilapplikation för kontaktspårning och varning: programvaruapplikation som är godkänd på nationell nivå och används i smarta enheter, särskilt smarttelefoner, och som vanligen är avsedd för omfattande och riktad interaktion med webbresurser som behandlar närhetsdata och andra kontextuella data som samlas in av de många sensorer som finns i smarta enheter i syfte att spåra kontakter med personer som är infekterade med sars-cov-2 och varna personer som kan ha exponerats för sars-cov-2. Dessa mobilapplikationer kan upptäcka andra enheter genom bluetooth och utbyta uppgifter med backendservrar via internet.

j) 

samordnad nätsluss: nätverkssluss som drivs av kommissionen genom ett säkert it-verktyg, som tar emot, lagrar och tillhandahåller en minimiuppsättning personuppgifter mellan medlemsstaters backendservrar i syfte att säkerställa interoperabiliteten mellan nationella mobilapplikationer för kontaktspårning och varning.

k) 

nyckel: unik tillfällig identifierare avseende en applikationsanvändare som rapporterar att han eller hon har infekterats med sars-cov-2 eller som kan ha exponerats för sars-cov-2.

l) 

verifiering av infektion: metod som används för att bekräfta en infektion med sars-cov-2, dvs. om detta är självrapporterat av applikationsanvändaren eller om infektionen har bekräftats av en nationell hälso- och sjukvårdsmyndighet eller genom ett laboratorietest.

m) 

länder av intresse: den eller de medlemsstater där en applikationsanvändare har vistats under fjortondagarsperioden före datumet för uppladdning av nycklarna och där användaren har laddat ned den godkända nationella mobilapplikationen för kontaktspårning och varning och/eller där användaren har varit på resa.

n) 

ursprungsland för nycklarna: den medlemsstat där den backendserver som laddade upp nycklarna till den samordnade nätslussen är placerad.

o) 

logguppgifter: automatisk registrering av en aktivitet i samband med utbytet av, och tillgången till, uppgifter som behandlas genom den samordnade nätslussen, som framför allt visar typen av behandling, datum och tidpunkt för behandlingen och identifieraren för den person som behandlar uppgifterna.

▼B

2.  Definitionerna i artikel 4.1, 4.2, 4.7 och 4.8 i förordning (EU) 2016/679 ska tillämpas på lämpligt sätt.

Artikel 3

Medlemskap i nätverket för e-hälsa

1.  Medlemmarna av nätverket för e-hälsa ska utgöras av nationella myndigheter med ansvar för e-hälsa som har utsetts av de medlemsstater som deltar i nätverket för e-hälsa.

2.  Medlemsstater som vill delta i nätverket för e-hälsa ska skriftligen underrätta kommissionen om

a) 

beslutet att delta i nätverket för e-hälsa,

b) 

den nationella myndighet med ansvar för e-hälsa som ska bli medlem av nätverket för e-hälsa samt namnet på företrädaren och suppleanten.

3.  Medlemmar ska skriftligen underrätta kommissionen om

a) 

beslutet att lämna nätverket för e-hälsa,

b) 

samtliga ändringar av de uppgifter som avses i punkt 2 b.

4.  Kommissionen ska offentliggöra en förteckning över medlemmarna i nätverket för e-hälsa.

Artikel 4

Verksamheterna i nätverket för e-hälsa

1.  I syfte att uppnå målen i artikel 14.2 a i direktiv 2011/24/EU får nätverket för e-hälsa göra följande:

a) 

Främja större interoperabilitet mellan de nationella informations- och kommunikationstekniksystemen och gränsöverskridande överförbarhet för elektroniska hälsouppgifter vid gränsöverskridande hälso- och sjukvård.

b) 

Ge vägledning till medlemsstater, i samarbete med andra behöriga tillsynsmyndigheter, om delning av hälsouppgifter mellan medlemsstater och ge medborgarna möjlighet att skaffa sig tillgång till och dela sina hälsouppgifter.

c) 

Ge vägledning till medlemsstater och främja utbytet av god praxis om utveckling av olika digitala hälsotjänster, såsom telemedicin och m-hälsa eller ny teknik på området för stordata eller artificiell intelligens, med hänsyn tagen till pågående insatser på EU-nivå.

d) 

Ge vägledning till medlemsstater om stöd till hälsofrämjande, sjukdomsförebyggande och en förbättrad hälso- och sjukvård genom bättre användning av hälsouppgifter och förbättrade digitala färdigheter bland patienter och hälso- och sjukvårdspersonal.

e) 

Ge vägledning till medlemsstater och underlätta frivilligt utbyte av bästa praxis om investeringar i digital infrastruktur.

f) 

Ge vägledning, i samarbete med andra relevanta organ och aktörer, till medlemsstater om nödvändiga användningsfall för klinisk interoperabilitet och verktyg för att nå detta.

g) 

Ge vägledning till medlemmarna om säkerhetsfrågor rörande infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa eller andra delade europeiska e-hälsotjänster som utvecklats inom ramen för nätverket för e-hälsa, med beaktande av den lagstiftning och de dokument som utarbetats på unionsnivå, framför allt på säkerhetsområdet, samt rekommendationerna på området för cybersäkerhet, och bedriva ett nära samarbete med samarbetsgruppen för nät- och informationssäkerhet, Europeiska unionens byrå för nät- och informationssäkerhet och med nationella myndigheter, i förekommande fall;

▼M1

h) 

Ge vägledning till medlemsstaterna om gränsöverskridande utbyte av personuppgifter genom den samordnade nätslussen mellan nationella mobilapplikationer för kontaktspårning och varning.

▼B

2.  Vid utarbetandet av riktlinjer för effektiva metoder för utnyttjande av medicinsk information för folkhälsa och forskning som avses i artikel 14.2 b ii) i direktiv 2011/24/EU ska nätverket för e-hälsa ta hänsyn till de riktlinjer som antagits av Europeiska dataskyddsstyrelsen och vid behov samråda med den. Dessa riktlinjer får även ta upp frågan om informationsutbyte mellan infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa eller andra delade europeiska e-hälsotjänster.

Artikel 5

Driften av nätverket för e-hälsa

1.  Nätverket för e-hälsa ska fastställa sin arbetsordning med enkel majoritet av sina medlemmar.

2.  Nätverket för e-hälsa ska anta ett flerårigt arbetsprogram och ett verktyg för utvärdering av programmets genomförande.

3.  För att fullgöra sina uppgifter får nätverket för e-hälsa inrätta ständiga arbetsgrupper för vissa uppgifter, framför allt när det gäller infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa eller andra delade europeiska e-hälsotjänster som utvecklats inom ramen för nätverket för e-hälsa.

4.  Nätverket för e-hälsa får också inrätta tillfälliga arbetsgrupper, inklusive med experter, som ska granska särskilda frågor enligt direktiv från själva nätverket för e-hälsa. Sådana arbetsgrupper ska upplösas så snart de har fullgjort sitt uppdrag.

5.  När medlemmar av nätverket för e-hälsa beslutar att öka sitt samarbete på områden som omfattas av nätverkets verksamheter bör de komma överens om och följa reglerna för ökat samarbete.

6.  För att uppnå sina mål ska nätverket för e-hälsa samarbeta nära med de gemensamma åtgärder som stöder verksamheter inom nätverket för e-hälsa, om sådana gemensamma åtgärder finns, med aktörer eller andra berörda organ eller stödmekanismer, och ta hänsyn till de resultat som nåtts inom ramen för dessa verksamheter.

7.  Nätverket för e-hälsa ska, tillsammans med kommissionen, utarbeta styrningsmodeller för infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa och delta i styrningen genom att

i) 

fastställa prioriteringarna för infrastrukturen för digitala e-hälsotjänster och övervaka driften,

ii) 

utarbeta riktlinjer och krav för driften, inklusive välja de standarder som ska användas för infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa,

iii) 

fastställa huruvida medlemmarna av nätverket för e-hälsa bör tillåtas inleda och fortsätta utbyta elektroniska hälsouppgifter genom infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa via sina nationella kontaktpunkter för e-hälsa, förutsatt att de krav som fastställts av nätverket för e-hälsa är uppfyllda, vilket framgår av de test som tillhandahållits och de revisioner som gjorts av kommissionen,

iv) 

godkänna den årliga arbetsplanen för infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa.

8.  Nätverket för e-hälsa får tillsammans med kommissionen utarbeta styrningsmodeller för andra delade europeiska e-hälsotjänster som utvecklats inom ramen för nätverket för e-hälsa och delta i styrningen av dem. Nätverket får också tillsammans med kommissionen fastställa prioriteringar och utarbeta riktlinjer för driften av sådana delade europeiska e-hälsotjänster.

9.  I arbetsordningen får det fastställas att andra länder än medlemsstater som tillämpar direktiv 2011/24/EU får delta i möten som nätverket för e-hälsa anordnar som observatörer.

10.  Medlemmar av nätverket för e-hälsa och deras företrädare, liksom inbjudna experter och observatörer, ska omfattas av de bestämmelser om tystnadsplikt som följer av artikel 339 i fördraget, liksom av kommissionens säkerhetsbestämmelser för skydd av säkerhetsskyddsklassificerade EU-uppgifter enligt kommissionens beslut (EU, Euratom) 2015/444 ( 2 ). Vid överträdelse av dessa bestämmelser får ordföranden för nätverket för e-hälsa vidta lämpliga åtgärder i enlighet med arbetsordningen.

Artikel 6

Förhållandet mellan nätverket för e-hälsa och kommissionen

1.  Kommissionen ska

a) 

delta i och vara medordförande för de möten som nätverket för e-hälsa anordnar tillsammans med medlemmarnas företrädare,

b) 

samarbeta med och stödja nätverket för e-hälsa när det gäller dess verksamheter,

c) 

tillhandahålla sekretariatstjänster för nätverket för e-hälsa,

d) 

utveckla, implementera och upprätthålla ändamålsenliga tekniska och organisatoriska åtgärder för kärntjänster i infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa,

e) 

stödja nätverket för e-hälsa när det gäller att fastställa att de nationella kontaktpunkterna för e-hälsa tekniskt och organisatoriskt uppfyller kraven på gränsöverskridande utbyte av hälsouppgifter genom att tillhandahålla och utföra nödvändiga test och revisioner. Experter från medlemsstaterna får bistå kommissionens revisorer;

▼M1

f) 

utveckla, implementera och upprätthålla ändamålsenliga tekniska och organisatoriska åtgärder avseende säkerheten vid överföring av och värdtjänster för personuppgifter i den samordnade nätslussen i syfte att säkerställa interoperabiliteten mellan nationella mobilapplikationer för kontaktspårning och varning,

g) 

stödja nätverket för e-hälsa när det gäller att fastställa att de nationella myndigheterna tekniskt och organisatoriskt uppfyller kraven på gränsöverskridande utbyte av personuppgifter i den samordnade nätslussen genom att tillhandahålla och utföra nödvändiga test och revisioner. Experter från medlemsstaterna får bistå kommissionens revisorer.

▼B

2.  Kommissionen får delta i de möten som arbetsgrupperna i nätverket för e-hälsa anordnar.

3.  Kommissionen får rådfråga nätverket för e-hälsa om frågor som gäller e-hälsa på unionsnivå och utbyte av bästa praxis om e-hälsa.

4.  Kommissionen ska offentliggöra information om de verksamheter som nätverket för e-hälsa bedriver.

Artikel 7

▼M1

Skydd av personuppgifter som behandlas genom infrastrukturen för digitala e-hälsotjänster.

▼B

1.  Medlemsstaterna, företrädda av relevanta nationella myndigheter eller andra utsedda organ, ska betraktas som personuppgiftsansvariga för de personuppgifter som de behandlar genom infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa och ska på ett tydligt och transparent sätt fördela ansvarsområdena mellan de personuppgiftsansvariga.

2.  Kommissionen ska betraktas som personuppgiftsbiträde för patienters personuppgifter som behandlas genom infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa. I egenskap av personuppgiftsbiträde ska kommissionen förvalta kärntjänsterna i infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa och ska fullgöra sina skyldigheter som personuppgiftsbiträde i enlighet med ►M1  bilaga I ◄ till detta beslut. Kommissionen ska inte ha tillgång till patienters personuppgifter som behandlas genom infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa.

3.  Kommissionen ska betraktas som personuppgiftsansvarig för behandlingen av de personuppgifter som är nödvändiga för att bevilja och förvalta åtkomsträttigheter till kärntjänsterna i infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa. Med dessa uppgifter avses användarnas kontaktuppgifter, inklusive förnamn, efternamn, e-postadress och den organisation som denne tillhör.

▼M1

Artikel 7a

Gränsöverskridande utbyte av uppgifter mellan nationella mobilapplikationer för kontaktspårning och varning genom den samordnade nätslussen

1.  Vid utbyte av personuppgifter genom den samordnade nätslussen ska behandlingen vara begränsad till användning i syfte att underlätta interoperabiliteten mellan nationella mobilapplikationer för kontaktspårning och varning i den samordnade nätslussen och den fortsatta kontaktspårningen i ett gränsöverskridande sammanhang.

2.  De personuppgifter som avses i punkt 3 ska överföras till den samordnade nätslussen i pseudonymiserad form.

3.  Pseudonymiserade personuppgifter som utbyts genom och behandlas i den samordnade nätslussen ska endast bestå av följande information:

a) 

De nycklar som överförs av de nationella mobilapplikationerna för kontaktspårning och varning upp till 14 dagar före datumet för uppladdning av nycklarna.

b) 

Logguppgifter för nycklarna enligt det protokoll med tekniska specifikationer som används i ursprungslandet för nycklarna.

c) 

Verifiering av infektion.

d) 

Länder av intresse och ursprungsland för nycklarna.

4.  De utsedda nationella myndigheter eller offentliga organ som behandlar personuppgifter i den samordnade nätslussen ska vara gemensamt personuppgiftsansvariga för de uppgifter som behandlas i den. De gemensamt personuppgiftsansvarigas respektive ansvarsområden ska fördelas i enlighet med bilaga II. Varje medlemsstat som vill delta i det gränsöverskridande utbytet av uppgifter mellan nationella mobilapplikationer för kontaktspårning och varning ska innan den går med i utbytet underrätta kommissionen om sina avsikter och ange den nationella myndighet eller det offentliga organ som har utsetts till personuppgiftsansvarig.

5.  Kommissionen ska vara personuppgiftsbiträde för de personuppgifter som behandlas i den samordnade nätslussen. I egenskap av personuppgiftsbiträde ska kommissionen säkerställa säkerheten vid behandlingen av personuppgifter, vilket inbegriper överföring av och värdtjänster för personuppgifter, i den samordnade nätslussen och ska fullgöra sina skyldigheter som personuppgiftsbiträde i enlighet med bilaga III.

6.  De tekniska och organisatoriska åtgärdernas ändamålsenlighet vad gäller att trygga säkerheten i behandlingen av personuppgifter i den samordnade nätslussen ska regelbundet testas, bedömas och utvärderas av kommissionen och de nationella myndigheter som har behörighet att ansluta till den samordnade nätslussen.

7.  Utan att det påverkar de gemensamt personuppgiftsansvarigas beslut att avbryta behandlingen i den samordnade nätslussen ska driften av den samordnade nätslussen upphöra senast 14 dagar efter att alla anslutna nationella mobilapplikationer för kontaktspårning och varning har upphört att sända nycklar genom den samordnade nätslussen.

▼B

Artikel 8

Utgifter

1.  Deltagarna i nätverket för e-hälsa ska inte arvoderas av kommissionen för sina tjänster.

2.  Deltagarna i nätverket för e-hälsa ska få sina utgifter för resor och uppehälle ersatta av kommissionen i enlighet med kommissionens interna bestämmelser om ersättning för personer utanför kommissionen som har kallats i egenskap av experter. Dessa utgifter ska ersättas inom gränserna för de tillgängliga anslag som fördelats under det årliga förfarandet för tilldelning av medel.

Artikel 9

Upphävande

Genomförandebeslut 2011/890/EU ska upphöra att gälla. Hänvisningar till det upphävda beslutet ska anses som hänvisningar till det här beslutet.

Artikel 10

Adressater

Detta beslut riktar sig till medlemsstaterna.




▼M1

BILAGA I

▼B

Kommissionens ansvar som personuppgiftsbiträde för infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa

Kommissionen ska göra följande:

1. 

Inrätta och säkerställa en säker och tillförlitlig kommunikationsinfrastruktur som sammankopplar nätverken för de medlemmar i nätverket för e-hälsa som deltar i infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa (nedan kallad central säker kommunikationsinfrastruktur). För att fullgöra sina skyldigheter får kommissionen engagera tredje parter. Kommissionen ska säkerställa att dataskyddsskyldigheterna i detta beslut även tillämpas på dessa tredje parter.

2. 

Konfigurera en del av den centrala säkra kommunikationsinfrastrukturen så att de nationella kontaktpunkterna för e-hälsa kan utbyta information på ett säkert, tillförlitligt och effektivt sätt.

3. 

Behandla personuppgifter på basis av dokumenterade instruktioner av personuppgiftsansvariga.

4. 

Vidta samtliga organisatoriska, fysiska och logiska säkerhetsåtgärder för att upprätthålla den centrala säkra kommunikationsinfrastrukturen. Kommissionen ska därför göra följande:

a) 

Utse en enhet som ansvarar för den centrala säkra kommunikationsinfrastrukturens säkerhetsförvaltning, meddela de personuppgiftsansvariga enhetens kontaktuppgifter och säkerställa att den kan hantera säkerhetshot.

b) 

Ansvara för den centrala säkra kommunikationsinfrastrukturens säkerhet.

c) 

Säkerställa att alla personer som beviljas tillgång till den centrala säkra kommunikationsinfrastrukturen omfattas av avtalsenlig, yrkesmässig eller lagstadgad tystnadsplikt.

d) 

Säkerställa att personal som har tillgång till sekretessbelagda uppgifter uppfyller kriterierna för säkerhet och tystnadsplikt.

5. 

Vidta alla nödvändiga säkerhetsåtgärder så att den andres domän fungerar smidigt. Kommissionen ska därför införa de specifika förfarandena för anslutning till den centrala säkra kommunikationsinfrastrukturen. Den informationen omfattar följande:

a) 

Ett riskbedömningsförfarande, för att identifiera och utvärdera potentiella hot mot systemet.

b) 

Ett revisions- och granskningsförfarande för att

i) 

kontrollera sambandet mellan de genomförda säkerhetsåtgärderna och den säkerhetspolitik som tillämpas,

ii) 

regelbundet kontrollera systemfilernas, säkerhetsparametrarnas och de beviljade tillståndens integritet,

iii) 

övervaka att säkerhetsöverträdelser och intrång upptäcks,

iv) 

genomföra ändringar för att åtgärda befintliga säkerhetsbrister samt

v) 

definiera villkoren för oberoende kontroller, inklusive inspektioner och översyn av säkerhetsåtgärder, även på begäran av personuppgiftsansvariga, samt bidra till dem.

c) 

Ett ändringskontrollförfarande för att dokumentera och mäta effekten av en ändring innan den genomförs och hålla de nationella kontaktpunkterna för e-hälsa informerade om samtliga ändringar som kan påverka kommunikationen med och/eller säkerheten i andra nationella infrastrukturer.

d) 

Ett underhålls- och reparationsförfarande för att fastställa de regler och villkor som ska tillämpas vid underhåll och/eller reparation av utrustningen.

e) 

Ett förfarande för it-incidenter för att fastställa ett rapporterings- och eskaleringssystem, omedelbart informera den ansvariga nationella administrationen samt Europeiska datatillsynsmannen om säkerhetsöverträdelser och fastställa ett disciplinärt förfarande för att åtgärda dessa.

6. 

Vidta fysiska och/eller logiska säkerhetsåtgärder för de anläggningar där utrustningen för den centrala säkra kommunikationsinfrastrukturen finns och för kontroller av tillgången till logiska data och säkerhet. Kommissionen ska därför göra följande:

a) 

Införa fysiska säkerhetsåtgärder för att upprätta tydliga säkerhetsperimetrar och möjliggöra att överträdelser upptäcks.

b) 

Kontrollera tillträdet till anläggningar och upprätthålla ett besöksregister för spårning.

c) 

Säkerställa att externa personer som beviljas tillträde till lokaler åtföljs av vederbörligen bemyndigad personal från respektive organisation.

d) 

Säkerställa att utrustning inte kan läggas till, ersättas eller avlägsnas utan förhandstillstånd från utsedda ansvariga organ.

e) 

Kontrollera tillgången från och till andra nätverk som är sammankopplade med den centrala säkra kommunikationsinfrastrukturen.

f) 

Säkerställa att personer som får tillgång till den centrala säkra kommunikationsinfrastrukturen identifieras och autentiseras.

g) 

Se över de tillståndsrättigheter som gäller tillgång till den centrala säkra kommunikationsinfrastrukturen vid säkerhetsöverträdelser som drabbar den.

h) 

Bevara integriteten för den information som överförs genom den centrala säkra kommunikationsinfrastrukturen.

i) 

Vidta tekniska och organisatoriska säkerhetsåtgärder för att förhindra obehörigt tillträde till personuppgifter.

j) 

Vid behov genomföra åtgärder för att blockera obehörig tillgång till den centrala säkra kommunikationsinfrastrukturen från domänen för de nationella kontaktpunkterna för e-hälsa (t.ex. blockera en plats/en IP-adress).

7. 

Vidta åtgärder för att skydda sin domän, inklusive genom frånkoppling, vid betydande avvikelser från principerna och koncepten för kvalitet eller säkerhet.

8. 

Upprätthålla en riskhanteringsplan för sitt ansvarsområde.

9. 

Övervaka – i realtid – prestandan för alla tjänstekomponenter i sina tjänster i den centrala säkra kommunikationsinfrastrukturen, ta fram regelbunden statistik och upprätthålla register.

10. 

Ge stöd för alla tjänster i centrala säkra kommunikationsinfrastrukturer dygnet runt och året runt på engelska via telefon, e-post eller webbportalen och godta samtal från godkända personer som ringer upp: samordnare vid centrala säkra kommunikationsinfrastrukturer och deras respektive helpdeskar, projektledare och utsedda personer från kommissionen.

11. 

Stödja de personuppgiftsansvariga genom att tillhandahålla information om den centrala säkra kommunikationsinfrastrukturen för infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa i syfte att fullgöra sina skyldigheter i artiklarna 35 och 36 i förordning (EU) 2016/679.

12. 

Säkerställa att uppgifter som överförs inom den centrala säkra kommunikationsinfrastrukturen är krypterade.

13. 

Vidta alla relevanta åtgärder för att förhindra att operatörerna vid den centrala säkra kommunikationsinfrastrukturen får obehörig tillgång till överförda uppgifter.

14. 

Vidta åtgärder för att underlätta interoperabiliteten och kommunikationen mellan de utsedda nationella behöriga administrationerna för den centrala säkra kommunikationsinfrastrukturen.

▼M1




BILAGA II

DE DELTAGANDE MEDLEMSSTATERNAS ANSVAR I EGENSKAP AV GEMENSAMT PERSONUPPGIFTSANSVARIGA FÖR DEN SAMORDNADE NÄTSLUSSEN FÖR GRÄNSÖVERSKRIDANDE BEHANDLING MELLAN NATIONELLA MOBILAPPLIKATIONER FÖR KONTAKTSPÅRNING OCH VARNING

AVSNITT 1

Underavsnitt 1

Ansvarsfördelning

(1) De gemensamt personuppgiftsansvariga ska behandla personuppgifter via den samordnade nätslussen i enlighet med de tekniska specifikationer som fastställs av nätverket för e-hälsa ( 3 ).

(2) Varje personuppgiftsansvarig ska ansvara för behandlingen av personuppgifter i den samordnade nätslussen i enlighet med den allmänna dataskyddsförordningen och direktiv 2002/58/EG.

(3) Varje personuppgiftsansvarig ska inrätta en kontaktpunkt med en funktionsbrevlåda för kommunikationen mellan de gemensamt personuppgiftsansvariga och mellan de gemensamt personuppgiftsansvariga och personuppgiftsbiträdet.

(4) En tillfällig arbetsgrupp som inrättats av nätverket för e-hälsa i enlighet med artikel 5.4 ska ges i uppdrag att undersöka eventuella problem med interoperabiliteten mellan de nationella mobilapplikationerna för kontaktspårning och varning och med det gemensamma personuppgiftsansvaret för berörd behandling av personuppgifter samt att underlätta samordnade instruktioner till kommissionen i egenskap av personuppgiftsbiträde. Bland annat kan de personuppgiftsansvariga, inom ramen för den tillfälliga arbetsgruppen, arbeta för att komma fram till en gemensam strategi för lagring av uppgifter på nationella backendservrar, med beaktande av den lagringstid som anges i den samordnade nätslussen.

(5) Instruktioner till personuppgiftsbiträdet ska skickas genom någon av de gemensamt personuppgiftsansvarigas kontaktpunkt, i samförstånd med övriga gemensamt personuppgiftsansvariga i den arbetsgrupp som avses ovan.

(6) Endast personer som är behöriga enligt de utsedda nationella myndigheterna eller offentliga organen kan få tillgång till användares personuppgifter som utbyts i den samordnade nätslussen.

(7) Varje utsedd nationell myndighet eller utsett offentligt organ ska upphöra att vara gemensamt personuppgiftsansvarig från det datum myndigheten eller organet inte längre deltar i den samordnade nätslussen. Myndigheten eller organet ska dock ha fortsatt ansvar för den behandling i den samordnade nätslussen som utfördes innan deltagandet upphörde.

Underavsnitt 2

Ansvarsområden och roller vid hantering av förfrågningar från och information till registrerade

(1) Varje personuppgiftsansvarig ska ge användarna av dess nationella mobilapplikation för kontaktspårning och varning (nedan kallade de registrerade) information om behandlingen av deras personuppgifter i den samordnade nätslussen för gränsöverskridande interoperabilitet mellan de nationella mobilapplikationerna för kontaktspårning och varning, i enlighet med artiklarna 13 och 14 i den allmänna dataskyddsförordningen.

(2) Varje personuppgiftsansvarig ska fungera som kontaktpunkt för användarna av dess nationella mobilapplikation för kontaktspårning och varning och ska hantera förfrågningar rörande utnyttjandet av registrerades rättigheter i enlighet med den allmänna dataskyddsförordningen som inlämnas av dessa användare eller deras företrädare. Varje personuppgiftsansvarig ska utse en särskild kontaktpunkt för förfrågningar från registrerade. Om en gemensamt personuppgiftsansvarig får en förfrågan från en registrerad, som inte omfattas av dess ansvar, ska den gemensamt personuppgiftsansvariga omedelbart vidarebefordra denna förfrågan till den berörda gemensamt personuppgiftsansvariga parten. De gemensamt personuppgiftsansvariga ska på begäran bistå varandra i hanteringen av registrerades förfrågningar och ska svara varandra utan onödigt dröjsmål, senast inom 15 dagar från mottagandet av en begäran om bistånd.

(3) Varje personuppgiftsansvarig ska ge de registrerade tillgång till innehållet i denna bilaga, inbegripet de arrangemang som fastställs i punkterna 1 och 2.

AVSNITT 2

Hantering av säkerhetsincidenter, inbegripet personuppgiftsincidenter

(1) De gemensamt personuppgiftsansvariga ska bistå varandra i identifiering och hantering av alla säkerhetsincidenter, inbegripet personuppgiftsincidenter, som har koppling till behandlingen i den samordnade nätslussen.

(2) De gemensamt personuppgiftsansvariga ska särskilt underrätta varandra om följande:

a) 

Varje potentiell eller faktisk risk för tillgängligheten till samt sekretessen och/eller integriteten hos de personuppgifter som behandlas i den samordnade nätslussen.

b) 

Varje säkerhetsincident som har koppling till behandlingen i den samordnade nätslussen.

c) 

Varje personuppgiftsincident, de sannolika konsekvenserna av personuppgiftsincidenten och bedömningen av risken för fysiska personers rättigheter och friheter samt alla åtgärder som vidtagits för att åtgärda personuppgiftsincidenten och minska risken för fysiska personers rättigheter och friheter.

d) 

Varje överträdelse av tekniska och/eller organisatoriska skyddsåtgärder avseende behandlingen i den samordnade nätslussen.

(3) De gemensamt personuppgiftsansvariga ska anmäla alla personuppgiftsincidenter vad gäller behandlingen i den samordnade nätslussen till kommissionen, till behöriga tillsynsmyndigheter och, där så krävs, till registrerade, i enlighet med artiklarna 33 och 34 i förordning (EU) 2016/679 eller efter anmälan av kommissionen.

AVSNITT 3

Konsekvensbedömning avseende dataskydd

Om en personuppgiftsansvarig behöver information från en annan personuppgiftsansvarig, för att kunna uppfylla sina skyldigheter enligt artiklarna 35 och 36 i den allmänna dataskyddsförordningen, ska en särskild begäran skickas till den funktionsbrevlåda som avses i avsnitt 1 underavsnitt 1.3. Den andra personuppgiftsansvarige ska göra sitt yttersta för att tillhandahålla sådan information.




BILAGA III

KOMMISSIONENS ANSVAR I EGENSKAP AV PERSONUPPGIFTSBITRÄDE FÖR DEN SAMORDNADE NÄTSLUSSEN FÖR GRÄNSÖVERSKRIDANDE BEHANDLING MELLAN NATIONELLA MOBILAPPLIKATIONER FÖR KONTAKTSPÅRNING OCH VARNING

Kommissionen ska göra följande:

(1) 

Inrätta och säkerställa en säker och tillförlitlig kommunikationsinfrastruktur som kopplar samman nationella mobilapplikationer för kontaktspårning och varning i de medlemsstater som deltar i den samordnade nätslussen. För att fullgöra sina skyldigheter som personuppgiftsbiträde för den samordnade nätslussen får kommissionen anlita tredje parter som underleverantörer. Kommissionen ska informera de gemensamt personuppgiftsansvariga om eventuella avsiktliga förändringar rörande tillägg eller byte av underleverantörer och därmed ge de personuppgiftsansvariga möjlighet att gemensamt invända mot sådana förändringar enligt avsnitt 1 underavsnitt 1.4 i bilaga II. Kommissionen ska säkerställa att dataskyddsskyldigheterna i detta beslut även tillämpas på dessa underleverantörer.

(2) 

Endast behandla personuppgifter på grundval av dokumenterade instruktioner från de personuppgiftsansvariga, såvida inte denna behandling krävs enligt unionsrätten eller en medlemsstats nationella rätt; i sådant fall ska kommissionen informera de personuppgiftsansvariga om det rättsliga kravet innan uppgifterna behandlas, såvida det inte är förbjudet att lämna sådana uppgifter med hänvisning till ett viktigt allmänintresse enligt denna rätt.

(3) 

Kommissionens behandling omfattar följande:

a) 

Autentisering av nationella backendservrar, baserat på certifikat för nationella backendservrar.

b) 

Mottagande av de uppgifter som avses i artikel 7a.3 i genomförandebeslutet och som laddas upp av nationella backendservrar genom tillhandahållande av ett programmeringsgränssnitt som möjliggör att nationella backendservrar kan ladda upp de relevanta uppgifterna.

c) 

Lagring av uppgifterna i den samordnade nätslussen, när de tas emot från nationella backendservrar.

d) 

Göra uppgifterna tillgängliga för nedladdning av nationella backendservrar.

e) 

Radering av uppgifterna när alla deltagande backendservrar har laddat ned dem eller 14 dagar efter mottagandet, beroende på vad som inträffar först.

f) 

När tillhandahållandet av tjänsten har avslutats, radering av alla kvarvarande uppgifter såvida inte lagring av personuppgifterna krävs enligt unionsrätten eller medlemsstaternas nationella rätt.

Personuppgiftsbiträdet ska vidta de åtgärder som krävs för att bevara de behandlade uppgifternas integritet.

(4) 

Vidta alla förstklassiga organisatoriska, fysiska och logiska säkerhetsåtgärder som krävs för att upprätthålla den samordnade nätslussen. Kommissionen ska därför göra följande:

a) 

Utse en enhet som ansvarar för den samordnade nätslussens säkerhetsförvaltning, meddela de personuppgiftsansvariga enhetens kontaktuppgifter och säkerställa att den kan hantera säkerhetshot.

b) 

Ansvara för den samordnade nätslussens säkerhet.

c) 

Säkerställa att alla personer som beviljas tillgång till den samordnade nätslussen omfattas av avtalsenlig, yrkesmässig eller lagstadgad tystnadsplikt.

(5) 

Vidta alla nödvändiga säkerhetsåtgärder så att de nationella backendservrarna fungerar smidigt. Kommissionen ska därför införa särskilda förfaranden för anslutning från backendservrarna till den samordnade nätslussen. Detta omfattar följande:

a) 

Ett riskbedömningsförfarande, för att identifiera och utvärdera potentiella hot mot systemet.

b) 

Ett revisions- och granskningsförfarande för att

i) 

kontrollera sambandet mellan de genomförda säkerhetsåtgärderna och den tillämpliga säkerhetspolitiken,

ii) 

regelbundet kontrollera systemfilernas, säkerhetsparametrarnas och de beviljade tillståndens integritet,

iii) 

övervaka att säkerhetsöverträdelser och intrång upptäcks,

iv) 

genomföra ändringar för att minska befintliga säkerhetsbrister,

v) 

möjliggöra, även på begäran av personuppgiftsansvariga, och bidra till oberoende revisioner, inbegripet inspektioner, och översyner av säkerhetsåtgärder, på villkor som följer protokoll nr 7 till EUF-fördraget om Europeiska unionens immunitet och privilegier ( 4 ),

c) 

ändra kontrollförfarandet för att dokumentera och mäta effekten av en ändring innan den genomförs och hålla de personuppgiftsansvariga informerade om samtliga ändringar som kan påverka kommunikationen med och/eller säkerheten i deras infrastrukturer,

d) 

inrätta ett underhålls- och reparationsförfarande för att fastställa de regler och villkor som ska följas vid underhåll och/eller reparation av utrustning, och

e) 

inrätta ett förfarande för it-incidenter för att fastställa ett rapporterings- och eskaleringssystem, omedelbart informera de personuppgiftsansvariga samt Europeiska datatillsynsmannen om personuppgiftsincidenter och fastställa ett disciplinärt förfarande för att åtgärda dessa.

(6) 

Vidta förstklassiga fysiska och/eller logiska säkerhetsåtgärder för de anläggningar där utrustningen för den samordnade nätslussen finns och för kontroller av tillgången till logiska data och säkerhet. Kommissionen ska därför göra följande:

a) 

Införa fysiska säkerhetsåtgärder för att upprätta tydliga säkerhetsperimetrar och möjliggöra att överträdelser upptäcks.

b) 

Kontrollera tillträdet till anläggningar och upprätthålla ett besöksregister för spårning.

c) 

Säkerställa att externa personer som beviljas tillträde till lokaler åtföljs av vederbörligen bemyndigad personal.

d) 

Säkerställa att utrustning inte kan läggas till, ersättas eller avlägsnas utan förhandstillstånd från utsedda ansvariga organ.

e) 

Kontrollera åtkomst från och till de nationella backendservrarna till den samordnade nätslussen.

f) 

Säkerställa att personer som får tillgång till den samordnade nätslussen identifieras och autentiseras.

g) 

Se över de tillståndsrättigheter som gäller tillgång till den samordnade nätslussen vid säkerhetsöverträdelser som påverkar denna infrastruktur.

h) 

Bevara integriteten hos den information som överförs via den samordnade nätslussen.

i) 

Vidta tekniska och organisatoriska säkerhetsåtgärder för att förhindra obehörigt tillträde till personuppgifter.

j) 

Vid behov vidta åtgärder för att blockera obehörig tillgång till den samordnade nätslussen från de nationella myndigheternas domän (dvs. blockera en plats/en IP-adress).

(7) 

Vidta åtgärder för att skydda sin domän, inklusive genom frånkoppling, vid betydande avvikelser från principerna och koncepten för kvalitet eller säkerhet.

(8) 

Upprätthålla en riskhanteringsplan för sitt ansvarsområde.

(9) 

Övervaka – i realtid – prestandan för alla tjänstekomponenter i sina tjänster i den samordnade nätslussen, ta fram regelbunden statistik och upprätthålla register.

(10) 

Ge stöd för alla tjänster i den samordnade nätslussen dygnet runt och året runt på engelska via telefon, e-post eller webbportalen och godta samtal från godkända personer som ringer upp: samordnare vid den samordnade nätslussen och deras respektive helpdeskar, projektledare och utsedda personer från kommissionen.

(11) 

Bistå de personuppgiftsansvariga med lämpliga tekniska och organisatoriska åtgärder, när detta är möjligt, i syfte att fullgöra den personuppgiftsansvariges skyldigheter att besvara begäran om utövande av den registrerades rättigheter enligt kapitel III i den allmänna dataskyddsförordningen.

(12) 

Stödja de personuppgiftsansvariga genom att tillhandahålla information om den samordnade nätslussen, i syfte att fullgöra sina skyldigheter enligt artiklarna 32, 35 och 36 i den allmänna dataskyddsförordningen.

(13) 

Säkerställa att de uppgifter som behandlas i den samordnade nätslussen är oläsbara för personer som inte är behöriga att få tillgång till den.

(14) 

Vidta alla relevanta åtgärder för att förhindra att den samordnade nätslussens operatörer får obehörig tillgång till överförda uppgifter.

(15) 

Vidta åtgärder för att underlätta interoperabiliteten och kommunikationen mellan den samordnade nätslussens utsedda personuppgiftsansvariga.

(16) 

Föra ett register över behandling som utförts för de personuppgiftsansvarigas räkning i enlighet med artikel 31.2 i förordning (EU) 2018/1725.



( 1 ) Europaparlamentets och rådets beslut nr 1082/2013/EU av den 22 oktober 2013 om allvarliga gränsöverskridande hot mot människors hälsa och om upphävande av beslut nr 2119/98/EG (EUT L 293, 5.11.2013, s. 1).

( 2 ) Kommissionens beslut (EU, Euratom) 2015/444 av den 13 mars 2015 om säkerhetsbestämmelser för skydd av säkerhetsskyddsklassificerade EU-uppgifter (EUT L 72, 17.3.2015, s. 53).

( 3 ) I synnerhet interoperabilitetsspecifikationerna för gränsöverskridande överföringskedjor mellan godkända appar, av den 16 juni 2020, tillgängliga på https://ec.europa.eu/health/ehealth/key_documents_en#anchor0

( 4 ) Protokoll nr 7 om Europeiska unionens immunitet och privilegier (EUT C 326, 26.10.2012, s. 266).

Top