EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32020H0518

Kommissionens rekommendation (EU) 2020/518 av den 8 april 2020 om en unionsgemensam verktygslåda för användningen av teknik och data för att bekämpa och komma ut ur covid-19-krisen, särskilt när det gäller mobilapplikationer och användning av anonymiserade rörlighetsdata

C/2020/3300

OJ L 114, 14.4.2020, p. 7–15 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

ELI: http://data.europa.eu/eli/reco/2020/518/oj

14.4.2020   

SV

Europeiska unionens officiella tidning

L 114/7


KOMMISSIONENS REKOMMENDATION (EU) 2020/518

av den 8 april 2020

om en unionsgemensam verktygslåda för användningen av teknik och data för att bekämpa och komma ut ur covid-19-krisen, särskilt när det gäller mobilapplikationer och användning av anonymiserade rörlighetsdata

EUROPEISKA KOMMISSIONEN HAR ANTAGIT DENNA REKOMMENDATION

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 292, och

av följande skäl:

(1)

Den folkhälsokris som orsakats av den pågående covid-19-pandemin (nedan kallad covid-19-krisen) tvingar unionen och medlemsstaterna att hantera en aldrig tidigare skådad utmaning för dess hälso- och sjukvårdssystem, livsstil, ekonomiska stabilitet och värderingar. Ingen enskild medlemsstat kan på egen hand framgångsrikt bekämpa covid-19-krisen. En exceptionell krissituation av sådan omfattning kräver beslutsamma åtgärder från alla medlemsstater och EU:s institutioner och organ som arbetar tillsammans i en verklig anda av solidaritet.

(2)

Digital teknik och digitala data har en viktig roll att spela när det gäller att bekämpa covid-19-krisen, eftersom många människor i Europa är anslutna till internet via mobila enheter. Dessa tekniker och data utgör ett viktigt verktyg för att informera allmänheten och hjälpa relevanta offentliga myndigheter i deras arbete med att begränsa spridningen av viruset eller ge hälso- och sjukvårdsorganisationerna möjlighet att utbyta hälsouppgifter. En splittrad och okoordinerad strategi riskerar dock att hämma effektiviteten hos de åtgärder som syftar till att bekämpa covid-19-krisen, samtidigt som den allvarligt skadar den inre marknaden och de grundläggande rättigheterna och friheterna.

(3)

Det är därför nödvändigt att utarbeta en gemensam strategi för användningen av digital teknik och digitala data som svar på den nuvarande krisen. Denna strategi bör vara effektiv när det gäller att stödja behöriga nationella myndigheter, särskilt hälso- och sjukvårdsmyndigheter och beslutsfattare, genom att förse dem med tillräckliga och korrekta data för att förstå utvecklingen och spridningen av covid-19-viruset samt dess effekter. På samma sätt kan denna teknik göra det möjligt för medborgarna att vidta effektiva och mer målinriktade åtgärder för social distansering. Samtidigt syftar den föreslagna strategin till att upprätthålla den inre marknadens integritet och skydda de grundläggande rättigheterna och friheterna, särskilt rätten till integritet och skydd av personuppgifter.

(4)

Mobilapplikationer kan stödja hälso- och sjukvårdsmyndigheter på nationell nivå och EU-nivå vid övervakning och begränsning av den pågående covid-19-pandemin. De kan ge vägledning till medborgarna och underlätta organiseringen av den medicinska uppföljningen av patienter. Applikationer för varning och spårning kan spela en viktig roll vid kontaktspårning, för att begränsa sjukdomsspridningen och avbryta smittkedjorna. I kombination med lämpliga teststrategier och kontaktspårning kan applikationerna därför vara särskilt relevanta när det gäller att tillhandahålla information om nivån på virusets spridning, bedöma effektiviteten av åtgärder för fysisk distansering och isolering samt ligga till underlag för strategier för att lätta på restriktionerna.

(5)

I Europaparlamentets och rådets beslut nr 1082/2013/EU (1) fastställs regler för epidemiologisk övervakning av, monitorering av, tidig varning för och bekämpning av allvarliga gränsöverskridande hot mot människors hälsa. I artikel 2.5 i beslutet krävs att kommissionen, i samverkan med medlemsstaterna, ska sörja för samordning och informationsutbyte mellan de mekanismer och strukturer som inrättas inom ramen för det beslutet och liknande mekanismer och strukturer som inrättats på unionsnivå eller enligt Euratomfördraget och vars verksamhet är relevant för beredskaps- och insatsplanering för, övervakning av, tidig varning för och bekämpning av allvarliga gränsöverskridande hot mot människors hälsa. Forumet för samordning av insatser i samband med allvarliga gränsöverskridande hot mot människors hälsa är den hälsosäkerhetskommitté som inrättas genom artikel 17 i ovannämnda beslut. Samtidigt inrättas genom artikel 6.1 i beslutet ett nätverk för epidemiologisk övervakning av smittsamma sjukdomar, som drivs och samordnas av Europeiska centrumet för förebyggande och kontroll av sjukdomar (ECDC).

(6)

Enligt Europaparlamentets och rådets direktiv 2011/24/EU (2) om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård ska nätverket för e-hälsa arbeta för att tillhandahålla hållbara ekonomiska och sociala nyttoeffekter genom europeiska system och tjänster som rör e-hälsa samt driftskompatibla applikationer i syfte att nå en hög tillförlitlighets- och säkerhetsnivå, förbättra kontinuiteten i vården och säkerställa tillgång till säker hälso- och sjukvård av hög kvalitet.

(7)

I Europaparlamentets och rådets förordning (EU) 2016/679 (3) om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter fastställs villkoren för behandling av personuppgifter, inklusive uppgifter om hälsa. Sådana uppgifter får behandlas bland annat när en registrerad ger sitt uttryckliga samtycke eller när behandlingen är i allmänhetens intresse enligt medlemsstatens lagstiftning eller unionslagstiftningen, särskilt när det gäller övervakning och varning, förebyggande eller kontroll av smittsamma sjukdomar och andra allvarliga hot mot hälsan.

(8)

Flera medlemsstater har infört särskild lagstiftning som gör det möjligt för dem att behandla hälsouppgifter av skäl av allmänt intresse (artikel 6.1 c eller e och artikel 9.2 i i förordning (EU) 2016/679). Syftet med och medlen för databehandlingen, vilka uppgifter som ska behandlas och av vem ska vara tydliga och specifika.

(9)

Kommissionen får samråda med Europeiska datatillsynsmannen och Europeiska dataskyddsstyrelsen i enlighet med artikel 42 i Europaparlamentets och rådets förordning (EU) 2018/1725 (4) och artikel 70 i förordning (EU) 2016/679.

(10)

I Europaparlamentets och rådets direktiv 2002/58/EG (5) fastställs regler för trafik- och lokaliseringsuppgifter samt för lagring av information och åtkomst till information som lagras i terminalutrustningen, t.ex. en mobil enhet, hos en användare eller en abonnent. Enligt artikel 5.3 i direktivet är sådan lagring eller erhållande av åtkomst endast tillåten under mycket begränsade omständigheter eller på grundval av användarens eller abonnentens samtycke, efter att ha fått tillgång till tydlig och fullständig information i enlighet med kraven i förordning (EU) 2016/679. Enligt artikel 15.1 i direktivet får medlemsstaterna dessutom anta lagstiftningsåtgärder för att begränsa tillämpningsområdet för vissa av de rättigheter och skyldigheter som fastställs i direktivet, inbegripet de som anges i artikel 5, när en sådan begränsning i ett demokratiskt samhälle är nödvändig, lämplig och proportionell för att nå vissa mål.

(11)

Europeiska kommissionen tillkännagav i sitt meddelande En EU-strategi för data (6) att EU skulle skapa en inre marknad där data kan flöda inom EU och mellan olika sektorer, till nytta för alla, där EU:s regler, särskilt regler om integritets- och uppgiftsskydd och konkurrenslagstiftningen, respekteras fullt ut och där reglerna för tillgång till och användning av data är rättvisa, praktiska och tydliga. Kommissionen angav särskilt att den skulle överväga behovet av lagstiftningsåtgärder för att främja datadelning mellan företag och myndigheter i allmänhetens intresse.

(12)

Sedan covid-19-krisen inleddes har en rad olika mobilapplikationer utvecklats, varav vissa av offentliga myndigheter, och medlemsstaterna och den privata sektorn har efterlyst samordning på unionsnivå, bland annat för att ta itu med cybersäkerhets-, säkerhets- och integritetsfrågor. Dessa applikationer tenderar att tjäna tre allmänna funktioner: i) informera och ge råd till medborgare och underlätta organiseringen av den medicinska uppföljningen av personer med symptom, ofta i kombination med ett självdiagnostiserande frågeformulär, ii) varna personer som har befunnit sig i närheten av en smittad person för att avbryta smittkedjor och förhindra att infektioner blossar upp på nytt när man lättar på restriktionerna och iii) övervakning och tillämpning av karantän för smittade personer, eventuellt i kombination med funktioner som gör det möjligt att bedöma deras hälsotillstånd under karantänperioden. Vissa applikationer är tillgängliga för allmänheten, medan andra endast är avsedda för slutna användargrupper för att spåra kontakter på arbetsplatsen. Dessa applikationers effektivitet har i allmänhet inte utvärderats. Information och applikationer för kontroll av symptom kan vara användbara för att öka medborgarnas medvetenhet. Expertutlåtanden tyder dock på att applikationer som syftar till att informera och varna användare verkar vara de mest lovande för att förhindra spridningen av viruset, även med beaktande av deras mer begränsade inverkan på integriteten, och flera medlemsstater håller för närvarande på att undersöka hur de kan användas.

(13)

Vissa av dessa mobilapplikationer skulle kunna betraktas som medicintekniska produkter när de av tillverkaren är avsedda att användas bland annat för diagnos, förebyggande, övervakning, prediktion, prognos, behandling eller lindring av sjukdom och skulle därför omfattas av tillämpningsområdet för Europaparlamentets och rådets förordning (EU) 2017/745 (7) eller rådets direktiv 93/42/EEG (8). För självdiagnoser och applikationer som kontrollerar symptom, där de tillhandahåller information avseende diagnos, prevention, övervakning, prediktion eller prognos, bör man bedöma deras potentiella status som medicintekniska produkter i enlighet med regelverket för medicintekniska produkter (direktiv 93/42/EEG eller förordning (EU) 2017/745).

(14)

Dessa mobilapplikationers effektivitet beror på ett antal faktorer. Sådana faktorer är bland annat användarpenetration, det vill säga den andel av befolkningen som använder en mobil enhet och andelen av dessa som har laddat ned applikationen och samtyckt till behandling av personuppgifter som rör dem och som inte har dragit tillbaka sitt samtycke. Andra viktiga faktorer är allmänhetens förtroende för att uppgifterna kommer att skyddas genom lämpliga säkerhetsåtgärder och användas uteslutande för att varna personer som kan ha exponerats för viruset, folkhälsomyndigheternas godkännande, hälso- och sjukvårdsmyndigheternas förmåga att vidta åtgärder på grundval av de data som genereras av applikationerna, integration och datadelning med andra system och applikationer samt gränsöverskridande och regionsövergripande interoperabilitet med andra system.

(15)

Applikationer för varning och spårning är användbara för medlemsstaterna vid kontaktspårning och kan spela en viktig roll i begränsningen när man lättar på restriktionerna. De kan också vara ett värdefullt verktyg för att medborgarna ska kunna utöva en effektiv och mer målinriktad social distansering. Deras genomslagskraft kan stärkas genom en strategi som stöder bredare testning. Kontaktspårning innebär att folkhälsomyndigheterna snabbt identifierar en bekräftad covid-19-patients samtliga kontakter, ber dem självisolera och snabbt testa och isolera dem om de utvecklar symptom. Dessutom skulle anonymiserade och aggregerade uppgifter från sådana applikationer, i kombination med information om sjukdomsfrekvens, kunna användas för att bedöma effektiviteten i lokala och fysiska distanseringssåtgärder. Även om dessa applikationer uppenbarligen är användbara för medlemsstaterna, har de också potentialen att ge ett mervärde till ECDC:s arbete.

(16)

Applikationer för självdiagnos och kontroll av symptom kan ge relevant information om antalet fall med covid-19-kompatibla symptom, per ålder och vecka, från väldefinierade områden där applikationen har stor täckning. Om de nationella folkhälsomyndigheterna lyckas, kan de besluta att använda applikationsdata för övervakning av covid-19-syndrombaserad primärvård. Dessa data kan lämnas till ECDC en gång i veckan, i aggregerad form (t.ex. antal influensaliknande sjukdomar (ILI) eller akuta luftvägsinfektioner (ARI) per vecka, per åldersgrupp, av den totala populationen som täcks av sentinelläkarna). Detta skulle göra det möjligt för nationella myndigheter och ECDC att uppskatta det positiva prediktionsvärdet av luftvägssymptomen i en viss gemenskap, vilket skulle ge information om virusets spridning på grundval av data från applikationen.

(17)

Med tanke på de funktioner hos smarttelefonapplikationer som beskrivs ovan, kan användningen av dem påverka utövandet av vissa grundläggande rättigheter, bland annat rätten till respekt för privat- och familjeliv. Eftersom varje ingrepp i de rättigheterna bör ske i enlighet med lagstiftningen bör medlemsstaternas lagstiftning som fastställer eller tillåter begränsningar av utövandet av vissa grundläggande rättigheter vara i linje med de allmänna principerna i unionsrätten i enlighet med artikel 6 i fördraget om Europeiska unionen, deras konstitutionella traditioner och skyldigheter enligt internationell rätt.

(18)

För godkännande av olika typer av applikationer (och underliggande informationssystem för smittspridningskedjor) och för att säkerställa att de uppfyller det angivna syftet med epidemiologisk övervakning, måste de underliggande strategierna, kraven och kontrollerna anpassas och genomföras på ett samordnat sätt av de ansvariga nationella hälsomyndigheterna. Erfarenheterna från flera medlemsstater som har börjat införa applikationer för kontaktspårning visar att det för att öka acceptansen är lämpligt med en integrerad förvaltning för att förbereda och genomföra åtgärderna, som omfattar inte bara hälsomyndigheter utan även andra myndigheter (inbegripet dataskyddsmyndigheter) samt den privata sektorn, experter, akademiker och intressenter, t.ex. patientgrupper. En omfattande kommunikation om applikationen är också viktig för dess införande och framgång.

(19)

För att upptäcka fall av närhet mellan användare av olika kontaktspårningsapplikationer (ett scenario som med största sannolikhet kommer att inträffa bland personer som flyttar över nationella/regionala gränser) bör interoperabilitet mellan applikationer övervägas. Nationella hälsomyndigheter som övervakar smittspridningskedjor bör kunna utbyta kompatibel information om användare som har testats positiva med andra medlemsstater eller regioner för att hantera gränsöverskridande smittspridningskedjor.

(20)

Vissa företag, bland annat telekomoperatörer och stora teknikplattformar, har offentliggjort anonymiserade och aggregerade lokaliseringsuppgifter eller gett offentliga myndigheter tillgång till dem. Sådana uppgifter behövs för forskning för att bekämpa viruset och för modellering för att förstå hur viruset kommer att spridas och vilka ekonomiska effekter krisen kommer att få. I synnerhet kommer uppgifterna att göra det lättare att förstå och modellera epidemins geografiska dynamik och bedöma hur sociala distanseringsåtgärder (t.ex. reserestriktioner, nedstängning av icke nödvändig verksamhet eller total nedstängning) påverkar rörligheten. Detta är viktigt dels för att begränsa virusets effekter och bedöma behoven av framför allt personlig skyddsutrustning och intensivvårdsavdelningar, dels för att stödja exitstrategin med datastyrda modeller som visar på vilka effekter en lättnad av de sociala distanseringsåtgärderna skulle kunna få.

(21)

Den rådande krisen har visat att folkhälsomyndigheter och forskningsinstitutioner skulle gynnas av ytterligare tillgång till väsentlig information för att analysera virusets utveckling och bedöma folkhälsoåtgärdernas effektivitet.

(22)

Vissa medlemsstater har vidtagit åtgärder för att underlätta tillgången till nödvändiga uppgifter. Men EU:s gemensamma insatser för att bekämpa viruset hämmas av fragmenteringen i de nuvarande strategierna.

(23)

En gemensam EU-strategi för bekämpning av covid-19-krisen har också blivit nödvändig eftersom de åtgärder som vidtagits i vissa länder – t.ex. geolokaliseringsbaserad spårning av enskilda personer, användning av teknik för att mäta individers hälsorisknivå och centralisering av känsliga uppgifter – kan ifrågasättas med hänsyn till flera av de grundläggande rättigheter och friheter som garanteras i EU:s rättsordning, bland annat rätten till integritet och rätten till skydd av personuppgifter. I alla händelser måste begränsningar av utövandet av de grundläggande rättigheter och friheter som fastställs i Europeiska unionens stadga om de grundläggande rättigheterna enligt stadgan vara motiverade och proportionerliga. Sådana begränsningar bör framför allt vara tillfälliga, såtillvida att de är strängt begränsade till vad som är nödvändigt för att bekämpa krisen och inte bibehålls utan tillräcklig motivering efter krisens slut.

(24)

Dessutom har Världshälsoorganisationen och andra organ varnat för risken för att applikationer och felaktiga uppgifter kan leda till att personer som delar vissa egenskaper stigmatiseras på grund av att de uppfattas ha en koppling till sjukdomen.

(25)

I enlighet med principen om uppgiftsminimering bör folkhälsomyndigheter och forskningsinstitutioner endast behandla personuppgifter när det är lämpligt, relevant och begränsat till vad som är nödvändigt, samt tillämpa lämpliga skyddsåtgärder såsom pseudonymisering, aggregering, kryptering och decentralisering.

(26)

Effektiva cyber- och datasäkerhetsåtgärder är nödvändiga för att skydda uppgifternas tillgänglighet, äkthet, integritet och konfidentialitet.

(27)

Samråd med dataskyddsmyndigheter, i enlighet med kraven i unionslagstiftningen om skydd av personuppgifter, är nödvändiga för att säkerställa att personuppgifter behandlas på ett lagligt sätt och att de berörda personernas rättigheter respekteras.

(28)

Enligt artikel 14 i direktiv 2011/24/EU ska unionen stödja och främja samarbete om och utbyte av information mellan medlemsstaterna inom ramen för ett frivilligt nätverk som kopplar ihop nationella myndigheter som är ansvariga för e-hälsa, utsedda av medlemsstaterna (nedan kallat nätverket för e-hälsa). Dess mål är bland annat att arbeta för att tillhandahålla hållbara ekonomiska och sociala nyttoeffekter genom europeiska system och tjänster som rör e-hälsa samt driftskompatibla applikationer i syfte att nå en hög tillförlitlighets- och säkerhetsnivå, förbättra kontinuiteten i vården och säkerställa tillgång till säker hälso- och sjukvård av hög kvalitet. I kommissionens genomförandebeslut (EU) 2019/1765 (9) fastställs reglerna för inrättande, förvaltning och transparent drift av nätverket för e-hälsa. På grund av dess sammansättning och kompetensområde bör nätverket för e-hälsa vara det främsta forumet för diskussioner om folkhälsomyndigheters och forskningsinstitutioners behov av uppgifter, samtidigt som man även involverar tjänstemän från nationella regleringsmyndigheter för elektronisk kommunikation, ministerier med ansvar för digitala frågor samt dataskyddsmyndigheter.

(29)

Nätverket för e-hälsa och kommissionen bör också samarbeta nära med andra organ och nätverk som kan ge den information som behövs för att ge verkan åt denna rekommendation, bland annat hälsosäkerhetskommittén, nätverket för epidemiologisk övervakning av smittsamma sjukdomar, ECDC, Europeiska dataskyddsstyrelsen, organet för europeiska regleringsmyndigheter för elektronisk kommunikation och samarbetsgruppen för nät- och informationssystem.

(30)

Transparens, tydlig och regelbunden kommunikation samt lyhördhet för de värst drabbade personernas och samhällenas synpunkter kommer att vara av största vikt för att säkerställa allmänhetens förtroende i hanteringen av covid-19-krisen.

(31)

Med tanke på den snabba utvecklingen av covid-19-situationen i olika medlemsstater är det viktigt att medlemsstaterna lämnar rapporter och att kommissionen ser över den strategi som beskrivs i denna rekommendation, snabbt och regelbundet så länge som krisen varar.

(32)

Denna rekommendation bör vid behov kompletteras av ytterligare vägledning från kommissionen, t.ex. om hur användningen av mobilapplikationer i varnande och förebyggande syfte inverkar på dataskyddet och integriteten.

HÄRIGENOM REKOMMENDERAS FÖLJANDE.

SYFTET MED REKOMMENDATIONEN

1.

I denna rekommendation fastställs en process för utarbetandet av en gemensam strategi, kallad verktygslådan, för att hantera krisen med digitala medel. Verktygslådan kommer att bestå av praktiska åtgärder för effektiv användning av teknik och data, med särskild inriktning på följande två områden:

1)

En alleuropeisk, EU-samordnad strategi för användningen av mobilapplikationer för att ge medborgarna möjlighet att vidta effektiva och mer riktade sociala distanseringsåtgärder samt för varning, förebyggande och spårning av kontakter i syfte att begränsa spridningen av covid-19-sjukdomen. Detta inbegriper en metod för att övervaka och dela bedömningar av applikationernas ändamålsenlighet, interoperabilitet och gränsöverskridande konsekvenser samt deras respekt för säkerhet, integritet och dataskydd.

2)

Ett gemensamt system för användning av anonymiserade och aggregerade uppgifter om befolkningens rörlighet för att i) modellera och förutsäga sjukdomens utveckling, ii) övervaka effektiviteten i medlemsstaternas myndigheters beslutsfattande när det gäller åtgärder som social distansering och isolering samt iii) ligga till grund för en samordnad exitstrategi för covid-19-krisen.

2.

Medlemsstaterna bör vidta dessa åtgärder snarast möjligt, i nära samordning med andra medlemsstater, kommissionen och andra berörda aktörer, utan att det påverkar medlemsstaternas befogenheter på folkhälsoområdet. De bör säkerställa att alla åtgärder vidtas i enlighet med unionsrätten, i synnerhet lagstiftningen om medicintekniska produkter och rätten till integritet och skydd av personuppgifter, liksom andra rättigheter och friheter som fastställs i Europeiska unionens stadga om de grundläggande rättigheterna. Verktygslådan kommer att kompletteras med vägledning från kommissionen, bland annat vägledning om hur användningen av mobilapplikationer i varnande och förebyggande syfte inverkar på dataskyddet och integriteten.

DEFINITIONER

3.

I denna rekommendation gäller följande definitioner:

a)

mobilapplikationer: programvaruapplikationer som används i smarta enheter, i synnerhet smarttelefoner, och som vanligtvis är avsedda för omfattande och riktad interaktion med webbresurser, som behandlar närhetsdata och andra kontextuella data insamlade av de många sensorer som finns i en smart enhet och som kan utbyta information via många nätverksgränssnitt med andra anslutna enheter.

b)

nätverket för e-hälsa: det nätverk som inrättats genom artikel 14 i direktiv 2011/24/EU och vars uppgifter har förtydligats genom genomförandebeslut (EU) 2019/1765.

c)

hälsosäkerhetskommittén: det organ bestående av företrädare för medlemsstaterna som inrättats genom artikel 17 i beslut nr 1082/2013/EU av den 22 oktober 2013.

d)

nätverket för epidemiologisk övervakning: det nätverk för epidemiologisk övervakning av smittsamma sjukdomar och relaterade särskilda hälsofrågor vilket drivs och samordnas av ECDC och sörjer för kontinuerlig kommunikation mellan kommissionen, ECDC och de behöriga myndigheter som på nationell nivå ansvarar för epidemiologisk övervakning, inrättat genom artikel 6 i beslut nr 1082/2013/EU.

PROCESS FÖR UTVECKLING AV EN VERKTYGSLÅDA FÖR ANVÄNDNING AV TEKNIK OCH DATA

4.

Denna process bör främja medlemsstaternas och kommissionens brådskande utveckling och antagande av en verktygslåda med praktiska åtgärder, bland annat en europeisk strategi för mobilapplikationer för covid-19 och för användning av rörlighetsdata för modellering och prediktion av virusets utveckling.

5.

För utvecklingen av verktygslådan bör medlemsstaterna, som företräds i nätverket för e-hälsa, sammanträda omedelbart och ofta därefter, tillsammans med företrädare för kommissionen och Europeiska centrumet för förebyggande och kontroll av sjukdomar. De bör utbyta åsikter om hur man på bästa sätt ska använda data från olika källor för att hantera covid-19-krisen och samtidigt uppnå en hög förtroende- och skyddsnivå på ett sätt som är förenligt med unionsrätten, särskilt när det gäller skydd av personuppgifter och integritetsskydd, samt för att utbyta bästa praxis och främja gemensamma strategier i detta avseende.

6.

Nätverket för e-hälsa bör sammanträda omedelbart för att praktiskt genomföra denna rekommendation.

7.

Medlemsstaterna, som företräds i nätverket för e-hälsa, bör när så är lämpligt informera och inhämta synpunkter från hälsosäkerhetskommittén, Berec (Organet för europeiska regleringsmyndigheter för elektronisk kommunikation), samarbetsgruppen för nät- och informationssäkerhet och berörda kommissionsorgan, inbegripet Enisa, Europol och rådets arbetsgrupper, när de verkställer denna rekommendation.

8.

Europeiska dataskyddsstyrelsen och Europeiska datatillsynsmannen bör också vara nära involverade för att säkerställa att principer om dataskydd och inbyggt integritetsskydd integreras i verktygslådan.

9.

Medlemsstaternas myndigheter och kommissionen bör säkerställa regelbunden, tydlig och omfattande kommunikation med allmänheten om de åtgärder som vidtas i enlighet med denna rekommendation och ge allmänheten möjlighet till interaktion och deltagande i diskussioner.

10.

Respekt för alla grundläggande rättigheter, särskilt integritetsskydd och dataskydd, förebyggande av övervakning och stigmatisering, bör vara av största vikt under hela processen. När det gäller dessa specifika frågor bör verktygslådan därför

1)

strikt begränsa behandlingen av personuppgifter vid bekämpning av covid-19-krisen och säkerställa att personuppgifterna inte används för andra ändamål, såsom brottsbekämpning eller kommersiella ändamål,

2)

säkerställa regelbunden översyn av det fortsatta behovet av behandling av personuppgifter för bekämpning av covid-19-krisen och fastställa lämpliga tidsfristklausuler, för att säkerställa att behandlingen inte går utöver vad som är absolut nödvändigt för dessa ändamål,

3)

vidta åtgärder för att säkerställa att behandlingen, när den inte längre är absolut nödvändig, avslutas och att de berörda personuppgifterna oåterkalleligen förstörs, såvida inte, utifrån råd från etiknämnder och dataskyddsmyndigheter, det vetenskapliga värdet av dessa data till gagn för allmänintresset uppväger konsekvenserna för de berörda rättigheterna, med förbehåll för lämpliga skyddsåtgärder.

11.

Verktygslådan bör utvecklas successivt mot bakgrund av diskussioner med alla berörda parter och övervakning av situationen, bästa praxis, frågeställningar och lösningar vad gäller de datakällor och datatyper som är nödvändiga och tillgängliga för folkhälsomyndigheter och forskningsinstitutioner på folkhälsoområdet för bekämpning av covid-19-pandemin.

12.

Verktygslådan bör delas med Europeiska unionens internationella partner för att utbyta bästa praxis och bidra till att bekämpa spridningen av viruset i hela världen.

EN ALLEUROPEISK STRATEGI FÖR MOBILAPPLIKATIONER FÖR COVID-19

13.

Den första prioriteringen för verktygslådan bör vara en alleuropeisk strategi för mobilapplikationer för covid-19, som ska utvecklas gemensamt av medlemsstaterna och kommissionen, senast den 15 april 2020. Europeiska dataskyddsstyrelsen och Europeiska datatillsynsmannen kommer att knytas till processen. Denna strategi bör bestå av

1)

specifikationer för att säkerställa effektiviteten hos mobilapplikationer för information, varning och spårning för bekämpning av covid-19 ur medicinsk och teknisk synpunkt,

2)

åtgärder för att förhindra spridning av applikationer som inte är förenliga med unionsrätten, för att stödja krav på tillgänglighet för personer med funktionsnedsättning, och krav på interoperabilitet och främjande av gemensamma lösningar, utan att utesluta en potentiell alleuropeisk applikation,

3)

styrningsmekanismer som ska tillämpas av folkhälsomyndigheter samt samarbete med ECDC,

4)

kartläggning av god praxis och mekanismer för utbyte av information om hur applikationerna fungerar, och

5)

delning av data med relevanta epidemiologiska offentliga organ och forskningsinstitutioner på folkhälsoområdet, inbegripet aggregerade data till ECDC.

14.

Medlemsstaternas myndigheter, som företräds i nätverket för e-hälsa, bör inrätta en process för informationsutbyte och säkerställa driftskompatibilitet mellan applikationer när gränsöverskridande scenarier planeras.

ASPEKTER AVSEENDE INTEGRITETS- OCH DATASKYDD VID ANVÄNDNING AV MOBILAPPLIKATIONER

15.

Principer om integritets- och dataskydd bör ligga till grund för utvecklingen av verktygslådan.

16.

Med särskild hänsyn till användningen av mobilapplikationer för varning och förebyggande åtgärder för bekämpning av covid-19, bör följande principer iakttas:

1)

Skyddsåtgärder som garanterar respekt för grundläggande rättigheter och förebyggande av stigmatisering, särskilt tillämpliga regler för skydd av personuppgifter och konfidentialitet vid kommunikation.

2)

Företräde för de minst inkräktande men ändå effektiva åtgärderna, inbegripet användning av närhetsdata och undvikande av behandling av uppgifter om enskilda personers lokalisering eller förflyttningar, samt användning av anonymiserade och aggregerade data där det är möjligt.

3)

Tekniska krav för lämpliga tekniska lösningar (t.ex. Bluetooth Low Energy) för fastställande av enheters närhet, kryptering, datasäkerhet, lagring av data på den mobila enheten, hälsomyndigheters eventuella åtkomst och datalagring.

4)

Effektiva cybersäkerhetskrav för att skydda uppgifternas tillgänglighet, äkthet, integritet och konfidentialitet.

5)

Upphörande av vidtagna åtgärder och radering av personuppgifter som erhållits genom dessa åtgärder, senast när pandemin förklaras vara under kontroll.

6)

Uppladdning av närhetsdata vid bekräftad infektion och lämpliga metoder för att varna personer som varit i nära kontakt med den smittade personen, som ska förbli anonym.

7)

Krav på insyn i integritetsinställningarna för att säkerställa förtroende för applikationerna.

17.

Kommissionen kommer att offentliggöra vägledning som ytterligare specificerar integritets- och dataskyddsprinciper mot bakgrund av praktiska överväganden som följer av utvecklingen och ibruktagandet av verktygslådan.

ANVÄNDNING AV RÖRLIGHETSDATA TILL STÖD FÖR ÅTGÄRDER SAMT EXITSTRATEGI

18.

Den andra prioriteringen för verktygslådan bör vara en gemensam strategi för användning av anonymiserade och aggregerade rörlighetsdata som är nödvändiga för

1)

modellering för att kartlägga och förutsäga utbredningen av sjukdomen och inverkan på behoven i hälso- och sjukvårdssystemen i medlemsstaterna, till exempel, men inte begränsat till, intensivvårdsavdelningar på sjukhus och personlig skyddsutrustning, och

2)

optimering av effektiviteten hos åtgärderna för att begränsa spridningen av covid-19-viruset och för att hantera dess effekter, inbegripet isolering (och upphävande av isolering) och för att ta fram och använda dessa data.

19.

Vid utarbetandet av denna strategi bör medlemsstaterna (som företräds i nätverket för e-hälsa, som kommer att samordna arbetet med hälsosäkerhetskommittén, nätverket för epidemiologisk övervakning, ECDC och, om nödvändigt, Enisa) utbyta bästa praxis om användning av rörlighetsdata, dela och jämföra modellering och prediktioner av virusets spridning och övervaka effekterna av åtgärder för att begränsa dess spridning.

20.

Detta bör inbegripa

1)

lämplig användning av anonymiserade och aggregerade rörlighetsdata för modellering för att förstå hur viruset kommer att spridas och modellering av krisens ekonomiska effekter,

2)

råd till myndigheter när det gäller att be dataleverantörerna om information om den metod som de har tillämpat för anonymisering av uppgifterna och genomförande av ett rimlighetstest avseende den metod som tillämpats,

3)

skyddsåtgärder som ska vidtas för att förhindra avanonymisering och undvika återidentifiering av individer, inbegripet garantier för adekvata nivåer av data- och it-skydd, och bedömning av risker för återidentifiering vid korrelering av anonymiserade data med andra data,

4)

omedelbar och oåterkallelig radering av alla oavsiktligt behandlade data som gör det möjligt att identifiera enskilda personer, och information till dataleverantörerna samt behöriga myndigheter om den oavsiktliga behandlingen och om raderingen,

5)

radering av data i princip efter en period på 90 dagar, eller under alla omständigheter senast när pandemin förklaras vara under kontroll, och

6)

begränsning av databehandlingen så att den uteslutande används för de ändamål som anges ovan och så att delning av data med någon tredje part utesluts.

RAPPORTERING OCH UTVÄRDERING

21.

Den alleuropeiska strategin för mobilapplikationer för covid-19 kommer att offentliggöras den 15 april och kommer att kompletteras med kommissionens vägledning om integritets- och dataskydd.

22.

Medlemsstaterna bör senast den 31 maj 2020 rapportera till kommissionen om de åtgärder som vidtagits i enlighet med denna rekommendation. Sådana rapporter bör lämnas regelbundet så länge covid-19-krisen varar.

23.

Från och med den 8 april 2020 bör medlemsstaterna göra de åtgärder som tillämpas inom de områden som omfattas av denna rekommendation tillgängliga för övriga medlemsstater och kommissionen för inbördes utvärdering. Inom en vecka får medlemsstaterna och kommissionen lämna yttranden om dessa åtgärder. Den berörda medlemsstaten bör ta största möjliga hänsyn till sådana yttranden.

24.

Med start i juni 2020 kommer kommissionen, på grundval av dessa rapporter från medlemsstaterna, att bedöma de framsteg som gjorts och effekterna av denna rekommendation. Kommissionen får lämna ytterligare rekommendationer till medlemsstaterna, bland annat om tidpunkten för de åtgärder som tillämpas på de områden som omfattas av denna rekommendation.

Utfärdad i Bryssel den 8 april 2020.

På kommissionens vägnar

Thierry BRETON

Ledamot av kommissionen


(1)  Europaparlamentets och rådets beslut nr 1082/2013/EU av den 22 oktober 2013 om allvarliga gränsöverskridande hot mot människors hälsa och om upphävande av beslut nr 2119/98/EG (EUT L 293, 5.11.2013, s. 1).

(2)  Europaparlamentets och rådets direktiv 2011/24/EU av den 9 mars 2011 om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård (EUT L 88, 4.4.2011, s. 45).

(3)  Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (den allmänna dataskyddsförordningen) (EUT L 119, 4.5.2016, s. 1).

(4)  Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39).

(5)  Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 31.7.2002, s. 37).

(6)  Meddelande från kommissionen till Europaparlamentet, rådet, Europeiska ekonomiska och sociala kommittén och Regionkommittén, En EU-strategi för data, COM(2020) 66 final.

(7)  Europaparlamentets och rådets förordning (EU) 2017/745 av den 5 april 2017 om medicintekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och förordning (EG) nr 1223/2009 och om upphävande av rådets direktiv 90/385/EEG och 93/42/EEG (EUT L 117, 5.5.2017, s. 1).

(8)  Rådets direktiv 93/42/EEG av den 14 juni 1993 om medicintekniska produkter (EGT L 169, 12.7.1993, s. 1).

(9)  Kommissionens genomförandebeslut (EU) 2019/1765 av den 22 oktober 2019 om regler för inrättande, förvaltning och drift av ett nätverk av nationella myndigheter med ansvar för e-hälsa och om upphävande av genomförandebeslut 2011/890/EU (EUT L 270, 24.10.2019, s. 83).


Top