1.   Eudamed ska vara tillgänglig för behöriga användare via en begränsad webbplats (nedan kallad den begränsade webbplatsen) och för oidentifierade användare via en offentlig webbplats (nedan kallad den offentliga webbplatsen).

2.   De behöriga myndigheter som avses i artikel 101 i förordning (EU) 2017/745 och artikel 96 i förordning (EU) 2017/746 (nedan kallade behöriga myndigheter) och anmälda organ som registrerats i Eudamed i enlighet med artikel 3 i den här förordningen ska ha åtkomst till Eudamed genom tjänster för utbyte av uppgifter maskin-till-maskin. Kommissionen ska på begäran ge alla medlemsstater och anmälda organ åtkomstpunkter för utbyte av uppgifter så att de kan använda dessa tjänster för utbyte av uppgifter.

Genom tjänster för utbyte av uppgifter maskin-till-maskin ska andra aktörer än behöriga myndigheter och anmälda organ ges åtkomst till Eudamed, förutsatt att den berörda aktörens LAA lämnar in en begäran om sådan åtkomst i enlighet med artikel 3.8 första stycket. Kommissionen ska godkänna begäran på de villkor som anges i artikel 3.8 andra stycket.

1.   För att få åtkomst till Eudamed via den begränsade webbplatsen ska en fysisk person skapa ett konto hos kommissionens autentiseringstjänst.

2.   Kommissionen ska registrera de behöriga myndigheterna och myndigheterna med ansvar för anmälda organ och ska ge en första fysisk person åtkomst till den begränsade webbplatsen för att agera på deras uppdrag. För det ändamålet ska medlemsstaterna ge kommissionen information om sina behöriga myndigheter, myndigheterna med ansvar för anmälda organ och de fysiska personer som ska bli dessa myndigheters första behöriga användare.

3.   Kommissionen ska registrera de anmälda organen i Eudamed på grundval av informationen i den databas för anmälda organ som utvecklats och förvaltas av kommissionen (Nando):

För att få åtkomst till Eudamed via den begränsade webbplatsen ska den första fysiska person som agerar på uppdrag av en aktör som är ett anmält organ lämna in en begäran om åtkomst via den begränsade webbplatsen. Myndigheten med ansvar för det anmälda organet ska godkänna begäran.

4.   För att andra enheter än de som nämns i punkterna 2 och 3 ska kunna registreras i Eudamed ska en fysisk person som agerar på uppdrag av den tilltänkta aktören lämna in en begäran om registrering av aktör, via den begränsade webbplatsen. Begäran om registrering av aktörer ska innehålla den undertecknade försäkran om ansvar för informationssäkerhet som avses i artikel 10.1. En nationell behörig myndighet ska godkänna begäran om registrering av aktörer, utom när begäran gäller en sponsor för en klinisk prövning eller en prestandastudie.

När begäran om registrering av aktörer har godkänts eller, om det gäller en sponsor, när begäran om registrering av aktörer har lämnats in ska den fysiska person som lämnade in den begäran som avses i första stycket automatiskt ges åtkomst till den begränsade webbplatsen och bli den första behöriga användaren, förutsatt att villkoren i punkt 6 är uppfyllda.

Vid tillämpning av denna punkt ska den nationella behöriga myndigheten vara myndigheten i det land där den tilltänkta aktören är etablerad. När det gäller tillverkare som är etablerade utanför unionen ska den nationella behöriga myndigheten vara myndigheten med ansvar för den auktoriserade representant som är angiven i begäran om registrering av aktörer. När det gäller tillverkare av modulsammansatta produkter eller vårdset som är etablerade utanför unionen ska den nationella behöriga myndigheten vara myndigheten i den medlemsstat där den tillverkarens första modulsammansatta produkter eller vårdset ska släppas ut på marknaden.

5.   För att en fysisk person ska få åtkomst till Eudamed via den begränsade webbplatsen för att agera på uppdrag av en aktör ska personen lämna in en begäran om åtkomst via den begränsade webbplatsen. Aktörens LAA eller LUA ska godkänna begäran om åtkomst.

6.   För att bli behöriga användare ska fysiska personer godkänna villkoren för användares rättigheter och skyldigheter i det dokument som avses i artikel 10.1 a och ta del av det meddelande om skydd av personuppgifter som avses i led c i den artikeln.

7.   En aktörs första behöriga användare ska automatiskt bli den aktörens första LAA.

8.   En LAA kan via den begränsade webbplatsen göra en begäran till kommissionen om en maskin-till-maskin-anslutning för utbyte av uppgifter mellan aktörens databas och Eudamed.

Kommissionen får godkänna den begäran som avses i första stycket förutsatt att LAA har bekräftat att aktören uppfyller de informationssäkerhetskrav för utbyte av uppgifter som avses i artikel 10.1.

1.   Till stöd för Eudameds användare ska kommissionen inrätta en supportavdelning som kan nås via en särskild funktionsbrevlåda.

2.   Kommissionen ska ge Eudameds användare tillgång till relevant teknisk dokumentation om Eudamed, vanliga frågor om Eudamed och dokumentation till stöd för tjänsterna för utbyte av uppgifter maskin-till-maskin.

1.   Kommissionen ska äga Eudamed och ha fullständiga administratörsrättigheter.

2.   Personuppgifter ska behandlas i Eudamed på ett sådant sätt att skyldigheterna enligt förordningarna (EU) 2017/745 och (EU) 2017/746 fullgörs.

3.   Följande kategorier av personuppgifter ska behandlas:

1.   Inlämningen av uppgifter i Eudamed ska anses vara genomförd vid det datum och den tidpunkt som uppgifterna har registrerats i Eudamed. Datum och tidpunkt för inlämning ska fastställas enligt centraleuropeisk tid (CET) eller centraleuropeisk sommartid (CEST), beroende på vad som är tillämpligt.

2.   Eudamed ska vara tillgänglig vid alla tidpunkter, utom vid nödvändiga och aviserade driftavbrott för underhåll, inklusive nya versioner. Kommissionen ska på förhand publicera ett meddelande om detta på den begränsade webbplatsen eller den offentliga webbplatsen, beroende på vad som är tillämpligt.

1.   Kommissionen ska vidta alla nödvändiga åtgärder för att förhindra funktionsfel och för att utan onödigt dröjsmål identifiera felet när det inträffar.

2.   En aktör eller behörig användare som misstänker funktionsfel ska omedelbart underrätta kommissionen.

3.   Om kommissionen identifierar ett funktionsfel ska den vidta följande åtgärder:

Om kommissionen förlänger fristerna för att lämna uppgifter till Eudamed i enlighet med första stycket led b ska det i felmeddelandet anges vilken tid meddelandet publiceras och hur långvarig avstängningen väntas bli.

4.   Förutom den förlängning av fristerna som avses i punkt 3 första stycket b i denna artikel och om ett funktionsfel innebär att det inte går att fullgöra någon av de skyldigheter som avses i artiklarna 80, 87.1, 89.5, 89.7, 89.8, 89.9, 95.2, 95.4 och 95.6 eller artikel 98.2 i förordning (EU) 2017/745 eller i artiklarna 76, 82.1, 84.5, 84.7, 84.8, 84.9, 90.2, 90.4 och 90.6 eller artikel 93.2 i förordning (EU) 2017/746, ska något av följande förfaranden tillämpas:

5.   Förutom den förlängning av fristerna som avses i punkt 3 första stycket b i denna artikel, och om ett funktionsfel gör det omöjligt att fullgöra någon annan av skyldigheterna i förordning (EU) 2017/745 eller förordning (EU) 2017/746 än de skyldigheter som avses i punkt 4 i denna artikel, ska följande förfarande tillämpas:

6.   När kommissionen har fastställt att funktionsfelet inte längre föreligger ska den underrätta de behöriga myndigheterna om detta. Dessutom ska kommissionen publicera ett meddelande om detta på den begränsade webbplatsen och/eller den offentliga webbplatsen, beroende på vad som är tillämpligt. Både underrättelsen och meddelandet ska ange varaktighet för funktionsfelet och den förlängning av tidsfrister som avses i punkt 3 b.

7.   När kommissionen har publicerat det meddelande som avses i punkt 6 ska aktörerna utan dröjsmål lägga in de uppgifter som de inte kunde lämna medan funktionsfelet i Eudamed varade.

1.   Kommissionen ska ge aktörerna tillgång till webbplatser avsedda för testning och utbildning om hur man använder Eudamed (nedan kallade webbplatser avsedda för testning och utbildning).

Uppgifter som läggs in i Eudamed för testning och utbildning ska anses vara fiktiva och får inte göras allmänt tillgängliga.

2.   Innan en aktör för första gången använder tjänsterna för utbyte av uppgifter maskin-till-maskin ska aktören göra minst ett framgångsrikt försök att lämna in uppgifter genom tjänsten för maskin-till-maskin på en webbplats avsedd för testning och utbildning.

3.   Alla ändringar som kommissionen avser att genomföra av Eudameds tjänster för utbyte av uppgifter maskin-till-maskin ska den först införa på webbplatserna avsedda för testning och utbildning, och de ska vara tillgängliga på dessa webbplatser under en tidsperiod som fastställts på förhand av kommissionen i samarbete med den samordningsgrupp för medicintekniska produkter som inrättats genom artikel 103 i förordning (EU) 2017/745.

Kommissionen ska via Eudamed underrätta de berörda aktörerna i förväg om de planerade ändringarna och om hur länge de kommer att vara tillgängliga på webbplatserna avsedda för testning och utbildning.

1.   Kommissionen ska göra följande dokument tillgängliga på den begränsade webbplatsen:

2.   Aktörerna ska uppfylla villkoren i de dokument som avses i punkt 1 b och, i tillämpliga fall, i punkt 1 d.

3.   Om kommissionen misstänker att en säkerhetsincident på it-området, en it-säkerhetsrisk eller ett it-säkerhetshot enligt definitionerna i artikel 2.15, 2.22 respektive 2.25 i beslut (EU, Euratom) 2017/46 som den anser kan skada Eudamed, uppgifterna däri eller deras konfidentialitet (säkerhetsincident på it-området, it-säkerhetsrisk eller it-säkerhetshot) har ägt rum eller föreligger får kommissionen stänga av all åtkomst till Eudamed.

4.   Kommissionen får helt eller delvis stänga av funktionerna i Eudameds elektroniska system om den identifierar en säkerhetsincident på it-området, en it-säkerhetsrisk eller ett it-säkerhetshot.

Om den avstängning som avses i första stycket gör det omöjligt att lägga in uppgifter i Eudamed ska artikel 8.3, 8.4 och 8.5 gälla i tillämpliga delar.

5.   Varje aktör eller behörig användare som får kännedom om eller misstänker en säkerhetsincident på it-området, en it-säkerhetsrisk eller ett it-säkerhetshot ska omedelbart underrätta kommissionen och de berörda medlemsstaterna om detta.

1.   Om en behörig myndighet, en LAA eller en LUA misstänker bedrägeri vid en begäran om åtkomst till Eudamed ska de avvisa begäran och omedelbart underrätta kommissionen om detta via den supportavdelning som avses i artikel 5.1, med angivande av att det gäller en misstänkt bedräglig begäran om åtkomst.

2.   Om kommissionen har en skälig misstanke om att en behörig användare ägnar sig åt bedräglig aktivitet som påverkar Eudameds it-säkerhet ska den tillfälligt stänga av den behöriga användarens åtkomst till Eudamed. I det fallet ska kommissionen utan dröjsmål underrätta alla medlemsstater och de berörda aktörerna om avstängningen och motiveringen till den.

3.   Varje aktör eller behörig användare som misstänker att en behörig användare ägnar sig åt bedräglig aktivitet ska utan dröjsmål underrätta kommissionen och medlemsstaterna om den misstänkt bedrägliga aktiviteten via den supportavdelning som avses i artikel 5.1.

4.   Om kommissionen fastställer att det förekommer bedräglig aktivitet i Eudamed ska den omedelbart stänga av de berörda behöriga användarnas åtkomst till Eudamed och vidta de åtgärder som är nödvändiga, även i förekommande fall förhindra all framtida åtkomst till Eudamed från de konton som skapats hos kommissionens autentiseringstjänst. Kommissionen ska utan dröjsmål underrätta de berörda nationella behöriga myndigheterna och de berörda aktörerna om alla åtgärder som vidtagits i enlighet med denna punkt.