6.6.2009   

SV

Europeiska unionens officiella tidning

C 128/20

1.

Den 2 juli 2008 antog kommissionen ett förslag till Europaparlamentets och rådets direktiv om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård (nedan kallat förslaget) (1). Kommissionen översände förslaget till datatillsynsmannen för samråd i enlighet med artikel 28.2 i förordning (EG) nr 45/2001.

2.

Syftet med förslaget är att inrätta en gemenskapsram för tillhandahållande av gränsöverskridande hälso- och sjukvård i EU i de fall då den vård patienterna söker ges i en annan medlemsstat än deras hemland. Ramen består av följande tre huvudområden:

3.

Det finns två syften med denna ram, nämligen att skapa tillräcklig klarhet när det gäller rätten till ersättning för hälso- och sjukvård som tillhandahålls i andra medlemsstater och att garantera att de nödvändiga kraven för högkvalitativ, säker och effektiv hälso- och sjukvård är uppfyllda när det gäller gränsöverskridande vård.

4.

En förutsättning för genomförandet av ett gränsöverskridande hälso- och sjukvårdssystem är att relevanta personuppgifter som rör patienternas hälsa (nedan kallade hälsouppgifter) kan utbytas mellan behöriga organisationer och yrkesverksamma på hälsoområdet i de olika medlemsstaterna. Dessa uppgifter anses vara känsliga och omfattas av strängare dataskyddsbestämmelser i enlighet med artikel 8 i direktiv 95/46/EG som rör särskilda kategorier av uppgifter.

5.

Datatillsynsmannen välkomnar att kommissionen samråder med honom om detta ärende och att det hänvisas till dessa samråd i förslagets ingress i enlighet med artikel 28 i förordning (EG) nr 45/2001.

6.

Detta är första gången som samråd formellt har hållits med datatillsynsmannen om ett förslag till direktiv på hälso- och sjukvårdsområdet. Detta yttrande innehåller därför ett antal mer generella synpunkter på allmänna frågor som rör skydd av personuppgifter på hälso- och sjukvårdsområdet, vilka även kan vara tillämpliga på andra relevanta (bindande och icke-bindande) rättsliga instrument.

7.

Datatillsynsmannen vill redan från början uttrycka sitt stöd för initiativen för att förbättra villkoren för gränsöverskridande hälso- och sjukvård. Detta förslag bör betraktas som ett inslag i EG:s övergripande program för att förbättra medborgarnas hälsa i informationssamhället. Andra initiativ på detta område är kommissionens planerade direktiv och meddelande om donation av mänskliga organ och transplantation (2) rekommendationen om interoperabilitet för elektroniska patientjournalsystem (3) samt det planerade meddelandet om telemedicin (4). Datatillsynsmannen är emellertid bekymrad över att alla dessa initiativ inom närliggande områden inte är nära sammankopplade och/eller sammanlänkade när det gäller integritet och datasäkerhet, vilket hindrar fastställandet av en enhetlig strategi för dataskydd inom hälso- och sjukvård, särskilt i fråga om användning av ny informations- och kommunikationsteknik. I det föreliggande förslaget till direktiv nämns exempelvis telemedicin uttryckligen i skäl 10, men förslaget innehåller ingen hänvisning till dataskyddsdimensionen i det relevanta kommissionsmeddelandet. Fastän elektroniska patientjournaler är ett möjligt sätt att utbyta hälsouppgifter över gränserna finns det vidare ingen koppling till de integritetsfrågor som tas upp i den relevanta rekommendationen från kommissionen (5). Detta ger intrycket att ett övergripande integritetsperspektiv inom hälso- och sjukvård ännu inte är tydligt fastställt och i vissa fall helt saknas.

8.

Samma sak gäller det föreliggande förslaget där dataskyddsaspekterna tyvärr inte tas upp på ett konkret sätt. Förslaget innehåller naturligtvis hänvisningar till dataskydd, men dessa är huvudsakligen av allmän karaktär och återspeglar inte i tillräcklig utsträckning de specifika behoven och kraven i fråga om integritet inom gränsöverskridande hälso- och sjukvård.

9.

Datatillsynsmannen vill betona att en enhetlig och genomtänkt strategi för dataskydd i samtliga föreslagna instrument inom hälso- och sjukvårdsområdet inte enbart kommer att skydda medborgarnas grundläggande rätt till skydd av personuppgifter utan även kommer att bidra till vidareutvecklingen av gränsöverskridande hälso- och sjukvård.

10.

Det främsta syftet med Europeiska gemenskapen har varit att upprätta en inre marknad, ett område utan inre gränser där fri rörlighet för varor, personer, tjänster och kapital garanteras. När det blev lättare för medborgarna att flytta till och vistas i andra medlemsstater än ursprungsstaten uppstod naturligtvis problem som rör hälso- och sjukvård. På 1990-talet behandlade därför domstolen, inom ramen för den inre marknaden, frågor om eventuell ersättning för sjukvårdskostnader som uppkommit i en annan medlemsstat. Domstolen erkände att friheten att tillhandahålla tjänster i enlighet med artikel 49 i EG-fördraget inbegriper friheten för personer att flytta till en annan medlemsstat för att erhålla sjukvård (6). Som en följd av detta kunde patienter som sökte gränsöverskridande sjukvård inte längre behandlas annorlunda än medborgare i deras ursprungsland som erhöll samma sjukvård utan att lämna landet.

11.

Dessa domar ligger till grund för det föreliggande förslaget. Eftersom domstolens praxis grundar sig på enskilda fall är avsikten med förslaget att öka tydligheten i syfte att säkerställa en mer allmän och effektivare tillämpning av friheten att erhålla och tillhandahålla hälso- och sjukvårdstjänster. Men som nämns ovan utgör förslaget också en del av ett mer ambitiöst program för att förbättra medborgarnas hälsa i informationssamhället, där EU ser stora möjligheter att förbättra den gränsöverskridande hälso- och sjukvården genom användning av informationsteknik.

12.

Av lättförklarliga skäl är fastställandet av regler för gränsöverskridande hälso- och sjukvård en känslig fråga. Det berör ett känsligt område där medlemsstaterna har inrättat olika nationella system, exempelvis när det gäller försäkringar och ersättningar för kostnader eller uppbyggnaden av hälso- och sjukvårdsinfrastrukturen, inklusive nätverk och tillämpningar för hälso- och sjukvårdsinformation. I det föreliggande förslaget inriktar sig gemenskapslagstiftaren enbart på gränsöverskridande hälso- och sjukvård, men bestämmelserna kommer åtminstone att påverka det sätt på vilket nationella hälso- och sjukvårdssystem organiseras.

13.

Medborgarna kommer att kunna dra nytta av förbättrade villkor för gränsöverskridande hälso- och sjukvård. Samtidigt kommer det emellertid också att medföra vissa risker för medborgarna. Många praktiska problem som uppstår vid gränsöverskridande samarbete mellan människor som kommer från olika länder och talar olika språk måste lösas. Eftersom god hälsa är av yttersta vikt för varje medborgare måste varje risk för missförstånd och felaktigheter till följd av detta elimineras. Förbättrad gränsöverskridande hälso- och sjukvård i kombination med användning av den senaste informationstekniken får naturligtvis stora följder när det gäller skyddet av personuppgifter. Ett effektivare och därmed ökande utbyte av hälsouppgifter, det ökande avståndet mellan berörda personer och instanser och de olika nationella lagar genom vilka dataskyddsbestämmelserna genomförs leder till frågor om datasäkerhet och rättslig säkerhet.

14.

Det måste betonas att hälsouppgifter anses vara en särskild kategori av uppgifter för vilka en högre skyddsnivå bör gälla. Europeiska domstolen för de mänskliga rättigheterna gjorde nyligen följande uttalande mot bakgrund av artikel 8 i den europeiska konventionen om de mänskliga rättigheterna: ”Skyddet av personuppgifter, särskilt hälsouppgifter, är av grundläggande betydelse för en persons åtnjutande av sin rätt till skydd för privat- och familjeliv i enlighet med artikel 8 i konventionen” (7). De strängare reglerna för behandling av hälsouppgifter enligt direktiv 95/46/EG förklaras nedan, men först följer en kort diskussion om begreppet ”hälsouppgifter”.

15.

Direktiv 95/46/EG innehåller inte någon uttrycklig definition av hälsouppgifter. Allmänt tillämpas en bred tolkning där hälsouppgifter ofta definieras som ”personuppgifter som har ett tydligt och nära samband med beskrivningen av personens hälsotillstånd” (8). I detta sammanhang infattar hälsouppgifter vanligen medicinska uppgifter (t.ex. remisser och recept, rapporter om läkarundersökningar, laboratorietester, röntgenbilder osv.) samt administrativa och finansiella uppgifter som rör hälsa (t.ex. handlingar rörande sjukhusintagning, socialförsäkringsnummer, tider för läkarbesök, räkningar för tillhandahållande av vårdstjänster osv.) Det bör noteras att termen ”medicinska uppgifter” (9) ibland också avser uppgifter om hälsa, liksom termen ”sjukvårdsuppgifter” (10). I detta yttrande kommer begreppet ”hälsouppgifter” att användas.

16.

En användbar definition av ”hälsouppgifter” finns i ISO 27799: ”alla uppgifter som rör en persons fysiska eller mentala hälsa eller tillhandahållandet av hälso- och sjukvårdstjänster till personen, vilket kan innefatta: a) uppgifter om registrering av personen för tillhandahållande av hälso- och sjukvårdstjänster, b) uppgifter om betalning för eller rätt till hälso- och sjukvård avseende personen i fråga, c) ett nummer, en symbol eller ett kännetecken som personen tilldelats för att identifiera denne för hälso- och sjukvårdsändamål, d) alla uppgifter om personen som insamlats i samband med tillhandahållande av hälso- och sjukvårdstjänster till denne, e) uppgifter som härrör från tester eller undersökning av en kroppsdel eller kroppssubstans, och f) identifiering av en person (verksam inom hälso- och sjukvården) som tillhandahållare av hälso- och sjukvård till personen”.

17.

Datatillsynsmannen förordar bestämt att man ska fastställa en särskild definition för begreppet ”hälsouppgifter” i samband med det föreliggande förslaget, vilken i framtiden också skulle kunna användas i andra relevanta EG-rättsakter (se avsnitt III nedan).

18.

I artikel 8 i direktiv 95/46/EG fastställs bestämmelser för behandling av särskilda kategorier av uppgifter. Dessa bestämmelser är strängare än de som gäller för behandling av andra uppgifter i enlighet med artikel 7 i direktiv 95/46/EG. Detta framgår redan när det i artikel 8.1 uttryckligen anges att medlemsstaten ska förbjuda behandling av bl.a. personuppgifter som rör hälsa. I efterföljande punkter i artikeln anges flera undantag från detta förbud, men dessa är mer begränsade än grunderna för behandling av normala uppgifter enligt artikel 7. Förbudet gäller exempelvis inte om den registrerade har lämnat sitt uttryckliga samtycke (artikel 8.2 a), i motsats till det otvetydiga samtycke som krävs i artikel 7 a i direktiv 95/46/EG. Dessutom kan det i medlemsstaternas lagstiftning fastställas att förbudet i vissa fall inte kan upphävas ens genom den registrerades samtycke. Artikel 8.3 gäller endast behandling av uppgifter som rör hälsa. Enligt denna punkt gäller förbudet i punkt 1 inte när behandlingen av uppgifterna är nödvändig med hänsyn till förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- eller sjukvård eller när dessa uppgifter behandlas av någon som är yrkesmässigt verksam på hälso- och sjukvårdsområdet och som enligt nationell lagstiftning eller bestämmelser som antagits av behöriga nationella organ är underkastad tystnadsplikt eller av en annan person som är ålagd en liknande tystnadsplikt.

19.

I artikel 8 i direktiv 95/46/EG betonas starkt att medlemsstaterna bör sörja för lämpliga eller tillräckliga skyddsåtgärder. Enligt artikel 8.4 får exempelvis medlemsstaterna besluta om andra undantag från förbudet mot behandling av känsliga uppgifter av hänsyn till ett viktigt allmänt intresse, men under förutsättning av lämpliga skyddsåtgärder. Detta understryker allmänt medlemsstaternas ansvar för att känsliga uppgifter, t.ex. uppgifter som rör hälsa, behandlas med särskild försiktighet.

20.

Medlemsstaterna bör var särskilt medvetna om det ansvar som nämns ovan när det gäller frågan om gränsöverskridande utbyte av hälsouppgifter. Såsom anges ovan leder gränsöverskridande utbyte av hälsouppgifter till att risken för felaktig eller otillåten databehandling ökar. Detta kan naturligtvis få enorma negativa konsekvenser för den registrerade. Både den medlemsstat där patienten är försäkrad och den behandlande medlemsstaten (där den gränsöverskridande vården faktiskt tillhandahålls) deltar i denna process och delar därför ansvaret.

21.

Säkerheten för hälsouppgifter är i detta sammanhang en viktig fråga. I det mål som nämns ovan fäste Europeiska domstolen för de mänskliga rättigheterna särskild vikt vid hälsouppgifternas konfidentialitet: ”Respekten för hälsouppgifters konfidentialitet är en mycket viktig princip i de rättsliga systemen i alla länder som är parter i konventionen. Den är av avgörande betydelse inte enbart för patientens integritet utan även när det gäller att upprätthålla dennes förtroende för läkaryrket och hälso- och sjukvården i allmänhet” (11).

22.

Dataskyddsbestämmelserna i direktiv 95/46/EG kräver dessutom att den medlemsstat där patienten är försäkrad ger patienten tillräcklig, korrekt och uppdaterad information om överföringen av dennes personuppgifter till en annan medlemsstat samt sörjer för säker överföring av uppgifterna till denna medlemsstat. Den behandlande medlemsstaten ska också sörja för säker mottagning av dessa uppgifter och för en lämplig skyddsnivå när uppgifterna faktiskt behandlas, i enlighet med dess nationella dataskyddslagstiftning.

23.

Datatillsynsmannen föreslår att medlemsstaternas gemensamma ansvarsområden ska klargöras i förslaget, även med hänsyn till elektronisk datakommunikation, särskilt i samband med nya IKT-tillämpningar, såsom anges nedan.

24.

Det gränsöverskridande utbytet av hälsouppgifter förbättras främst genom användning av informationsteknik. Även om utbytet av uppgifter i ett gränsöverskridande hälso- och sjukvårdssystem fortfarande kan ske i pappersform (t.ex. när patienten flyttar till en annan medlemsstat och tar med sig alla relevanta hälsouppgifter som laboratorieresultat, remisser etc.) är avsikten helt klart att elektroniska metoder ska användas. Elektronisk överföring av hälsouppgifter kommer att stödjas av vårdinformationssystem som har upprättats (eller kommer att upprättas) i medlemsstaterna (på sjukhus, kliniker osv.) samt användning av ny teknik, som tillämpningar för elektroniska patientjournaler (eventuellt via Internet) och andra verktyg som hälsokort för patienter och läkare. Det är naturligtvis också möjligt att använda en kombination av pappersbaserat och elektroniskt utbyte, beroende på medlemsstaternas sjukvårdssystem.

25.

Tillämpningar för e-hälsa och telemedicin, som omfattas av förslaget till direktiv, kommer att vara helt beroende av elektroniskt utbyte av hälsouppgifter (t.ex. vitalparametrar, bilder osv.), vanligen i kombination med andra befintliga elektroniska vårdinformationssystem i den behandlande medlemsstaten och den medlemsstat där patienten är försäkrad. Detta innefattar system som används både för utbyte mellan patient och läkare (t.ex. fjärrövervakning och fjärrdiagnostik) och för utbyte mellan läkare (t.ex. distanskonsultation mellan sjukvårdpersonal för expertråd om specifika sjukvårdsfall). Andra mer specifika sjukvårdstillämpningar som stöder gränsöverskridande tillhandahållande av hälso- och sjukvård i allmänhet kan även vara helt beroende av elektroniskt uppgiftsutbyte, t.ex. elektroniska recept (e-recept) eller elektroniska remisser (e-remiss), som redan har genomförts i vissa medlemsstater (12).

26.

Med beaktande av ovannämnda faktorer, tillsammans med de nuvarande olikheterna i medlemsstaternas sjukvårdssystem och den tilltagande utvecklingen av e-hälsa, framträder följande två huvudsakliga områden av intresse när det gäller skydd av personuppgifter i samband med gränsöverskridande vård: a) de olika skyddsnivåer som kan tillämpas av medlemsstaterna för skydd av personuppgifter (i form av tekniska och organisatoriska åtgärder) och b) införlivande av integritet i e-hälsa, särskilt när det gäller ny utveckling. Även andra aspekter såsom sekundär användning av uppgifter om hälsa, särskilt när det gäller statistikproduktion, kan behöva särskild uppmärksamhet. Dessa frågor analyseras närmare i resten av detta avsnitt.

27.

Trots att direktiven 95/46/EG och 2002/58/EG tillämpas på ett enhetligt sätt i Europa kan tolkningen och genomförandet av vissa inslag variera mellan länderna, särskilt när det gäller områden där de rättsliga bestämmelserna är allmänna och överlåts till medlemsstaterna. I detta avseende är säkerheten i behandlingen det viktigaste området, dvs. de åtgärder (tekniska och organisatoriska) som medlemsstaterna vidtar för att trygga hälsouppgifternas säkerhet.

28.

Även om alla medlemsstater har ansvar för att hälsouppgifter strikt skyddas finns det för närvarande inte någon allmänt godtagen definition av ”lämplig” säkerhetsnivå när det gäller hälso- och sjukvård inom EU och som skulle kunna tillämpas i fråga om gränsöverskridande vård. Således kan ett sjukhus i en medlemsstat, enligt nationellt införda dataskyddsbestämmelser, vara skyldigt att vidta särskilda säkerhetsåtgärder (t.ex. att fastställa en säkerhetspolitik och etiska regler, särskilda bestämmelser för utläggande på entreprenad och anlitande av utomstående uppdragstagare, redovisningskrav etc), medan detta i andra medlemsstater kanske inte är fallet. Denna inkonsekvens kan ha inverkan på det gränsöverskridande informationsutbytet, särskilt när det sker i elektronisk form, eftersom man inte kan garantera att uppgifterna är säkrade (ur teknisk och organisatorisk synvinkel) på samma nivå mellan olika medlemsstater.

29.

Det finns därför ett behov av att ytterligare harmonisera detta område och utforma en gemensam uppsättning säkerhetskrav när det gäller hälso- och sjukvård, vilka bör antas gemensamt av medlemsstaternas leverantörer av hälso- och sjukvårdstjänster. Detta behov är helt klart i linje med det övergripande behovet av att fastställa gemensamma principer i EU:s hälso-och sjukvårdssystem, vilket anges i förslaget.

30.

Detta bör göras rent allmänt utan att ålägga medlemsstaterna några särskilda tekniska lösningar. Det bör dock fastställas en grund för ömsesidigt erkännande och godtagande, t.ex. när det gäller fastställande av säkerhetspolitik, identifiering och autentisering av patienter och vårdpersonal etc. Gällande europeiska och internationella standarder (t.ex. ISO och CEN) när det gäller vård och säkerhet, liksom allmänt accepterade och rättsligt grundade tekniska begrepp (t.ex. elektroniska signaturer (13) skulle kunna användas som en färdplan i ett sådant försök.

31.

Datatillsynsmannen stöder idén om harmonisering av säkerheten när det gäller hälso- och sjukvård på gemenskapsnivå och anser att kommissionen, redan inom ramen för det aktuella förslaget, bör ta relevanta initiativ (se avsnitt III nedan).

32.

Integritet och säkerhet bör utgöra en del av utformningen och genomförandet av alla vårdssystem, och särskilt när det gäller e-hälsa såsom nämns i detta förslag (inbyggda skyddsmekanismer). Detta odiskutabla krav har redan fått stöd i andra relevanta policydokument (14), såväl allmänna som vårdspecifika (15).

33.

I samband med den kompatibilitet för e-hälsa som diskuteras i förslaget bör begreppet ”inbyggda skyddsmekanismer” återigen framhävas som en grund för all planerad utveckling. Detta begrepp gäller för flera olika nivåer: organisatorisk, semantisk och teknisk nivå.

34.

Datatillsynsmannen anser att elektroniska recept skulle kunna utgöra utgångspunkten för att införliva integritets- och säkerhetskrav från och med det inledande utvecklingsstadiet (se avsnitt III nedan).

35.

Ytterligare en aspekt som skulle kunna övervägas inom ramen för gränsöverskridande utbyte av hälsouppgifter är sekundär användning av hälsouppgifter och i synnerhet användning av uppgifter för statistiska ändamål, såsom redan fastställs i det nuvarande förslaget.

36.

Som tidigare nämnts i punkt 18 föreskrivs det i artikel 8.4 i direktiv 95/46 en möjlighet till sekundär användning av hälsouppgifter. Denna ytterligare behandling får dock endast göras av hänsyn till ett ”viktigt allmänt intresse” och ska vara föremål för ”lämpliga skyddsåtgärder” som föreskrivs i nationell lag eller efter beslut av tillsynsmyndigheten (16). I händelse av statistisk uppgiftsbehandling uppstår det, vilket också nämns i datatillsynsmannens yttrande om förslaget till förordning om gemenskapsstatistik om folkhälsa och hälsa och säkerhet i arbetet (17), dessutom ytterligare en risk på grund av de olika innebörder som begreppen ”sekretess” och ”uppgiftsskydd” kan ha vid tillämpningen av dataskyddslagstiftningen å ena sidan och lagstiftningen om statistik å andra sidan.

37.

Datatillsynsmannen vill framhäva ovanstående faktorer i samband med det aktuella förslaget. Det bör införas mer uttryckliga hänvisningar till dataskyddskraven om senare användning av hälsouppgifter (se avsnitt III nedan).

38.

Förslaget innehåller ett antal hänvisningar till dataskydd och integritet i följande delar av dokumentet:

39.

Datatillsynsmannen välkomnar att uppgiftsskydd beaktades när förslaget utformades och att det har gjorts försök att påvisa det övergripande behovet av integritet i samband med gränsöverskridande hälso-och sjukvård. De befintliga bestämmelserna i förslaget om uppgiftsskydd är dock antingen för allmänna eller hänvisar till medlemsstaternas ansvar på ett ganska selektivt och uppsplittrat sätt:

Såsom redan nämnts i inledningen i detta yttrande finns det dessutom inte någon koppling och/eller hänvisning till de integritetsaspekter som tas upp i andra (bindande eller icke bindande) gemenskapsrättsakter i fråga om hälso- och sjukvård, särskilt när det gäller användning av nya IKT-tillämpningar (t.ex. telemedicin eller elektroniska patientjournaler).

40.

Trots att integritet i allmänhet anges som ett krav för gränsöverskridande hälso- och sjukvård saknas det sålunda fortfarande en övergripande bild, både i fråga om medlemsstaternas skyldigheter och de särdrag som införs till följd av vårdtjänsternas gränsöverskridande karaktär (i motsats till nationella vårdtjänster). Närmare bestämt:

41.

Artikel 18, som handlar om insamling av uppgifter för statistik- och övervakningsändamål, ger dessutom anledning till särskilda farhågor. I punkt 1 hänvisas det till ”statistiska och andra kompletterande uppgifter”. Vidare hänvisas det i pluralis till ”övervakningsändamål” och därefter förtecknas de områden som omfattas av dessa övervakningsändamål, nämligen tillhandahållande av gränsöverskridande hälso- och sjukvård, den vård som givits, uppgifter om vårdgivare och patienter samt kostnader och resultat. I detta, redan mycket oklara, sammanhang görs det en allmän hänvisning till dataskyddslagstiftningen men det fastställs inte några särskilda krav för senare användning av hälsouppgifter enligt artikel 8.4 i direktiv 95/46/EG. Punkt 2 innehåller dessutom en ovillkorlig skyldighet att överföra stora mängder uppgifter till kommissionen minst en gång om året. Eftersom det inte uttryckligen hänvisas till någon bedömning av huruvida denna överföring är nödvändig verkar det som om gemenskapslagstiftaren själv redan har fastställt att dessa överföringar till kommissionen är nödvändiga.

42.

För att på ett lämpligt sätt ta itu med ovan nämnda faktorer ger datatillsynsmannens ett antal rekommendationer i form av fem grundläggande steg för ändringar, enligt nedanstående.

43.

I artikel 4 definieras de grundläggande termer som används i förslaget. Datatillsynsmannen rekommenderar starkt att en definition av hälsouppgifter införs i denna artikel. Det bör tillämpas en bred tolkning av hälsouppgifter, i likhet med den som beskrivs i avsnitt II i detta yttrande (punkterna 14 och 15).

44.

Datatillsynsmannen rekommenderar också starkt att det införs en särskild artikel om dataskydd i förslaget där de övergripande aspekterna på integritet kan fastställas på ett klart och begripligt sätt. Man bör i denna artikel a) beskriva ansvaret för den medlemsstat där patienten är försäkrad respektive ansvaret för den behandlande medlemsstaten, bland annat behovet av behandlingssäkerhet, och b) fastställa de viktigaste områdena för vidareutveckling, dvs. harmonisering av säkerheten och införlivande av integritet i e-hälsa. För dessa frågor kan det fastställas särskilda bestämmelser (i den föreslagna artikeln), såsom anges i stegen 3 och 4 nedan.

45.

Efter ändringen i steg 2 rekommenderar datatillsynsmannen att kommissionen antar en mekanism för fastställande av en allmänt godtagbar skyddsnivå för hälsouppgifter på nationell nivå, med beaktande av befintliga tekniska standarder på området. Detta bör återspeglas i förslaget. Ett tänkbart genomförande skulle kunna vara att utnyttja kommittéförfarandet eftersom detta redan anges i artikel 19 och gäller för andra delar av förslaget. Även kompletterande instrument skulle kunna användas för att utarbeta relevanta riktlinjer där alla berörda aktörer deltar, t.ex. arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter och datatillsynsmannen.

46.

I artikel 14 om erkännande av recept som utfärdas i en annan medlemsstat föreskrivs det att en EU-modell för recept ska utvecklas för att främja att e-recept blir kompatibla. Denna åtgärd ska antas genom kommittéförfarande eftersom detta fastställs i artikel 19.2 i förslaget.

47.

Datatillsynsmannen rekommenderar att den föreslagna EU-modellen för recept ska inbegripa integritet och säkerhet, även i den mycket grundläggande semantiska definitionen av modellen. Detta bör uttryckligen anges i artikel 14.2 a. Återigen är medverkan av alla berörda aktörer av stor betydelse. I detta avseende vill datatillsynsmannen bli informerad om och delta i ytterligare åtgärder när det gäller denna fråga genom det föreslagna kommittéförfarandet.

48.

För att undvika missförstånd önskar datatillsynsmannen att begreppet ”andra kompletterande uppgifter” i artikel 18.1 klargörs. Artikeln ska dessutom ändras så att den mer uttryckligen hänvisar till kraven när det gäller senare användning av hälsouppgifter i enlighet med artikel 8.4 i direktiv 95/46/EG. Skyldigheten i andra stycket att överföra alla uppgifter till kommissionen bör dessutom underställas en bedömning av behovet av sådana överföringar för lagliga ändamål som vederbörligen anges i förväg.

49.

Datatillsynsmannen uttrycker sitt stöd för initiativen för att förbättra villkoren för gränsöverskridande hälso- och sjukvård, men är emellertid bekymrad över att initiativ kopplade till hälso- och sjukvård i gemenskapen inte alltid är väl samordnade när det gäller användning av informations- och kommunikationsteknik, integritet och säkerhet, vilket hindrar att man inför en enhetlig strategi för dataskydd inom hälso- och sjukvård.

50.

Datatillsynsmannen välkomnar hänvisningen till integritet i det föreliggande förslaget. Det krävs emellertid ett antal ändringar vilka förklaras i avsnitt III i detta yttrande i syfte att fastställa tydliga krav, såväl för den behandlande medlemsstaten som för medlemsstaten där patienten är försäkrad, samt att man på lämpligt sätt behandlar frågan om dataskydd i samband med gränsöverskridande vård.