Artikelen bij COM(2022)197 - Europese ruimte voor gezondheidsgegevens

Dit is een beperkte versie

U kijkt naar een beperkte versie van dit dossier in de EU Monitor.

dossier COM(2022)197 - Europese ruimte voor gezondheidsgegevens.
document COM(2022)197 EN
datum 3 mei 2022


Hoofdstuk I

Algemene bepalingen

Artikel 1

Onderwerp en toepassingsgebied

1. Bij deze verordening wordt de Europese ruimte voor gezondheidsgegevens (European Health Data Space — EHDS) vastgesteld door te voorzien in regels, gemeenschappelijke normen en praktijken, infrastructuren en een governancekader voor het primaire en secundaire gebruik van elektronische gezondheidsgegevens.

2. Deze verordening:

a) versterkt de rechten van natuurlijke personen met betrekking tot de beschikbaarheid van en zeggenschap over hun elektronische gezondheidsgegevens;

b) bevat voorschriften voor het in de handel brengen, het op de markt aanbieden en de ingebruikneming van systemen voor elektronische patiëntendossiers (EPD-systemen) in de Unie;

c) stelt regels en mechanismen vast ter ondersteuning van het secundaire gebruik van elektronische gezondheidsgegevens;

d) brengt een verplichte grensoverschrijdende infrastructuur tot stand die het primaire gebruik van elektronische gezondheidsgegevens in de hele Unie mogelijk maakt;

e) brengt een verplichte grensoverschrijdende infrastructuur tot stand voor het secundaire gebruik van elektronische gezondheidsgegevens.

3. Deze verordening is van toepassing op:

a) fabrikanten en leveranciers van EPD-systemen en wellnessapps die in de Unie in de handel worden gebracht en in gebruik worden genomen, en de gebruikers van dergelijke producten;

b) in de Unie gevestigde verwerkingsverantwoordelijken en verwerkers die elektronische gezondheidsgegevens verwerken van burgers van de Unie en onderdanen van derde landen die legaal op het grondgebied van de lidstaten verblijven;

c) in een derde land gevestigde verwerkingsverantwoordelijken en verwerkers die verbonden of interoperabel zijn met MyHealth@EU, overeenkomstig artikel 12, lid 5;

d) gegevensgebruikers aan wie elektronische gezondheidsgegevens door gegevenshouders in de Unie beschikbaar worden gesteld.

4. Deze verordening doet geen afbreuk aan andere rechtshandelingen van de Unie betreffende de toegang tot, het delen van of het secundaire gebruik van elektronische gezondheidsgegevens, noch aan vereisten voor de verwerking van gegevens in verband met elektronische gezondheidsgegevens, met name Verordeningen (EU) 2016/679, (EU) 2018/1725, [...] [datagovernanceverordening COM/2020/767 final] en [...] [dataverordening COM/2022/68 final].

5. Deze verordening doet geen afbreuk aan de Verordeningen (EU) 2017/745 en [...] [verordening artificiële intelligentie, COM/2021/206 final] wat betreft de veiligheid van medische hulpmiddelen en AI-systemen die interageren met EPD-systemen.

6. Deze verordening doet geen afbreuk aan de rechten en verplichtingen die zijn vastgelegd in het Unierecht of het nationale recht inzake gegevensverwerking met het oog op rapportage, het voldoen aan informatieverzoeken of het aantonen of verifiëren van de naleving van wettelijke verplichtingen.

Artikel 2

Definities

1. Voor de toepassing van deze verordening zijn de volgende definities van toepassing:

a) de definities in Verordening (EU) 2016/679;

b) de definities van “gezondheidszorg”, “lidstaat van aansluiting”, “lidstaat waar de behandeling plaatsvindt”, “gezondheidswerker”, “zorgaanbieder”, “geneesmiddel” en “recept” overeenkomstig artikel 3, punten a), c), d), f), g), i) en k), van Richtlijn 2011/24/EU;

c) de definities van “gegevens”, “toegang”, “gegevensaltruïsme”, “overheidsinstantie” en “beveiligde verwerkingsomgeving” overeenkomstig artikel 2, lid 1, punten 8), 10), 11) en 14) van [datagovernanceverordening COM/2020/767 final];

d) de definities van “op de markt aanbieden”, “in de handel brengen”, “markttoezicht”, “markttoezichtautoriteit”, “non-conformiteit”, “fabrikant”, “importeur”, “distributeur”, “marktdeelnemer”, “corrigerende maatregel”, “risico”, “terugroepen” en “uit de handel nemen” overeenkomstig artikel 2, punten 1, 2), 3), 4), 7), 8), 9), 10), 13), 16), 18), 22) en 23) van Verordening (EU) 2019/1020;

e) de definities van “medisch hulpmiddel”, “beoogd doeleind”, “gebruiksaanwijzing”, “prestaties”, “zorginstelling” en “gemeenschappelijke specificaties” overeenkomstig artikel 2, lid 1, 12), 14), 22), 36), en 71) van Verordening (EU) 2017/745;

f) de definities van “elektronische identificatie”, “elektronisch identificatiemiddel” en “persoonsidentificatiegegevens” overeenkomstig artikel 3, punten 1, 2) en 3) van Verordening (EU) nr. 910/2014.

2. Voorts gelden voor de toepassing van deze verordening de volgende definities:

a) “persoonlijke elektronische gezondheidsgegevens”: gegevens over gezondheid en genetische gegevens zoals gedefinieerd in Verordening (EU) 2016/679, alsmede gegevens die betrekking hebben op gezondheidsdeterminanten, of gegevens die worden verwerkt in verband met de verlening van gezondheidsdiensten, die in elektronische vorm worden verwerkt;

b) “niet-persoonsgebonden elektronische gezondheidsgegevens”: gegevens over gezondheid en genetische gegevens in elektronische vorm die buiten de definitie van persoonsgegevens in artikel 4, lid 1, van Verordening (EU) 2016/679 vallen;

c) “elektronische gezondheidsgegevens”: persoonlijke of niet-persoonsgebonden elektronische gezondheidsgegevens;

d) “primair gebruik van elektronische gezondheidsgegevens”: de verwerking van persoonlijke elektronische gezondheidsgegevens voor de verlening van gezondheidsdiensten om de gezondheidstoestand van de natuurlijke persoon op wie die gegevens betrekking hebben te beoordelen, te behouden of te herstellen, waaronder begrepen het voorschrijven en het verstrekken van geneesmiddelen en medische hulpmiddelen, alsmede voor relevante socialezekerheids-, administratieve of vergoedingsdiensten;

e) “secundair gebruik van elektronische gezondheidsgegevens”: de verwerking van elektronische gezondheidsgegevens voor de in hoofdstuk IV van deze verordening vermelde doeleinden. De gebruikte gegevens kunnen persoonlijke elektronische gezondheidsgegevens omvatten die aanvankelijk in het kader van primair gebruik zijn verzameld, maar ook elektronische gezondheidsgegevens die voor het secundaire gebruik zijn verzameld;

f) “interoperabiliteit”: het vermogen van zowel organisaties als softwaretoepassingen of -apparaten van dezelfde fabrikant of van verschillende fabrikanten om te interageren met het oog op doelstellingen die voor beide partijen voordelig zijn, met inbegrip van de uitwisseling van informatie en kennis zonder de inhoud van de gegevens tussen deze organisaties, softwaretoepassingen of -apparaten te wijzigen, via de processen die zij ondersteunen;

g) “Europees uitwisselingsformaat voor elektronische patiëntendossiers”: een gestructureerd, algemeen gebruikt en machineleesbaar formaat dat de doorgifte van persoonlijke elektronische gezondheidsgegevens tussen verschillende softwaretoepassingen, -apparaten en zorgaanbieders mogelijk maakt;

h) “registratie van elektronische gezondheidsgegevens”: het registreren van gezondheidsgegevens in elektronisch formaat, door het handmatig invoeren van gegevens, door het verzamelen van gegevens door middel van een apparaat, of door omzetting van niet-elektronische gezondheidsgegevens in een elektronisch formaat, die moeten worden verwerkt in een EPD-systeem of een wellnessapp;

i) “dienst voor toegang tot elektronische gezondheidsgegevens”: een onlinedienst, zoals een portaal of een mobiele applicatie waar natuurlijke personen die niet beroepshalve handelen, toegang kunnen krijgen tot hun eigen elektronische gezondheidsgegevens of tot de elektronische gezondheidsgegevens van andere natuurlijke personen, voor zover zij daartoe wettelijk bevoegd zijn;

j) “toegangsdienst voor gezondheidswerkers”: een door een EPD-systeem ondersteunde dienst die gezondheidswerkers toegang geeft tot gegevens van natuurlijke personen die onder hun behandeling staan;

k) “gegevensontvanger”: een natuurlijke of rechtspersoon die gegevens ontvangt van een andere verwerkingsverantwoordelijke in het kader van het primaire gebruik van elektronische gezondheidsgegevens;

l) “telegeneeskunde”: het verlenen van gezondheidsdiensten, met inbegrip van zorg op afstand en internetapotheken, door middel van informatie- en communicatietechnologieën, in situaties waarin de gezondheidswerker en de patiënt (of meerdere gezondheidswerkers) zich niet op dezelfde locatie bevinden;

m) “EPD” (elektronisch patiëntendossier): een verzameling elektronische gezondheidsgegevens van een natuurlijke persoon die in het gezondheidsstelsel worden verzameld en voor gezondheidszorgdoeleinden worden verwerkt;

n) “EPD-systeem” (systeem voor elektronische patiëntendossiers): elk apparaat of elke software die door de fabrikant is bedoeld om te worden gebruikt voor het opslaan, bemiddelen, invoeren, uitvoeren, omzetten, bewerken of bekijken van elektronische medische dossiers;

o) “wellnessapp”: elk apparaat of elke software die door de fabrikant is bedoeld om door een natuurlijke persoon te worden gebruikt voor de verwerking van elektronische gezondheidsgegevens voor andere doeleinden dan gezondheidszorg, zoals welzijn en het nastreven van een gezonde levensstijl;

p) “CE-conformiteitsmarkering”: een markering waarmee de fabrikant aangeeft dat het EPD-systeem conform is met de toepasselijke voorschriften van deze verordening en andere toepasselijke harmonisatiewetgeving van de Unie die in het aanbrengen ervan voorziet;

q) “ernstig incident”: een storing of verslechtering van de kenmerken of prestaties van een EPD-systeem dat op de markt wordt aangeboden en dat direct of indirect leidt, had kunnen leiden of kan leiden tot:

i) het overlijden van een natuurlijk persoon of ernstige schade aan de gezondheid van een natuurlijk persoon;

ii) een ernstige verstoring van het beheer en de exploitatie van kritieke infrastructuur in de gezondheidssector;

r) “nationaal contactpunt voor digitale gezondheid”: een organisatorische en technische toegangspoort voor de verlening van grensoverschrijdende digitale gezondheidsinformatiediensten voor primair gebruik van elektronische gezondheidsgegevens, onder de verantwoordelijkheid van de lidstaten;

s) “centraal platform voor digitale gezondheid”: een interoperabiliteitsplatform dat diensten verleent om de uitwisseling van elektronische gezondheidsgegevens tussen nationale contactpunten voor digitale gezondheid te ondersteunen en te vereenvoudigen;

t) “MyHealth@EU”: de grensoverschrijdende infrastructuur voor primair gebruik van elektronische gezondheidsgegevens, die wordt gevormd door de combinatie van nationale contactpunten voor digitale gezondheid en het centrale platform voor digitale gezondheid;

u) “nationaal contactpunt voor secundair gebruik van elektronische gezondheidsgegevens”: een organisatorische en technische toegangspoort die het grensoverschrijdende secundaire gebruik van elektronische gezondheidsgegevens mogelijk maakt, onder de verantwoordelijkheid van de lidstaten;

v) “centraal platform voor secundair gebruik van elektronische gezondheidsgegevens”: een door de Commissie opgericht interoperabiliteitsplatform dat diensten verleent om de uitwisseling van informatie tussen nationale contactpunten voor secundair gebruik van elektronische gezondheidsgegevens te ondersteunen en te vereenvoudigen;

x) “HealthData@EU”: de infrastructuur die de nationale contactpunten voor secundair gebruik van elektronische gezondheidsgegevens verbindt met het centrale platform;

y) “gegevenshouder”: een natuurlijke persoon of rechtspersoon die een entiteit of een orgaan in de gezondheids- of zorgsector is, of die onderzoek verricht met betrekking tot deze sectoren, of een instelling, orgaan of instantie van de Unie die het recht of de verplichting heeft om overeenkomstig deze verordening, het toepasselijke Unierecht of nationale wetgeving tot uitvoering van het recht van de Unie, of – in het geval van niet-persoonsgebonden gegevens – door controle op het technische ontwerp van een product en aanverwante diensten, en in staat is om bepaalde gegevens ter beschikking te stellen, te registreren, te verstrekken, te beperken of uit te wisselen;

z) “gegevensgebruiker”: een natuurlijke persoon of rechtspersoon die rechtmatige toegang heeft tot persoonlijke of niet-persoonsgebonden elektronische gezondheidsgegevens voor secundair gebruik;

aa) “gegevensvergunning”: een administratief besluit dat door een instantie voor toegang tot gezondheidsgegevens of een gegevenshouder aan een gegevensgebruiker wordt afgegeven om de in de gegevensvergunning gespecificeerde elektronische gezondheidsgegevens te verwerken voor de in de gegevensvergunning gespecificeerde secundaire gebruiksdoeleinden, op basis van de in deze verordening vastgestelde voorwaarden;

ab) “dataset”: een gestructureerde verzameling van elektronische gezondheidsgegevens;

ac) “catalogus van datasets”: een verzameling beschrijvingen van datasets, die op systematische wijze is geordend en bestaat uit een gebruikersgericht openbaar gedeelte waarin informatie over de parameters van individuele datasets langs elektronische weg toegankelijk is via een onlineportaal;

ad) “gegevenskwaliteit”: de mate waarin kenmerken van elektronische gezondheidsgegevens geschikt zijn voor secundair gebruik;

ae) “gegevenskwaliteits- en -bruikbaarheidslabel”: een grafisch diagram, met inbegrip van een schaal, waarin de gegevenskwaliteit en de gebruiksvoorwaarden van een dataset worden beschreven.

Hoofdstuk II

Primair gebruik van elektronische gezondheidsgegevens

Afdeling 1

Toegang tot en doorgifte van persoonlijke elektronische gezondheidsgegevens voor primair gebruik

Artikel 3

Rechten van natuurlijke personen met betrekking tot het primaire gebruik van hun persoonlijke elektronische gezondheidsgegevens

1. Natuurlijke personen hebben onmiddellijk, kosteloos en in een gemakkelijk leesbare, geconsolideerde en toegankelijke vorm recht op toegang tot hun persoonlijke elektronische gezondheidsgegevens die worden verwerkt in het kader van primair gebruik van elektronische gezondheidsgegevens.

2. Natuurlijke personen hebben het recht een elektronische kopie te ontvangen, in het in artikel 6 bedoelde Europese uitwisselingsformaat van elektronische patiëntendossiers, van ten minste hun elektronische gezondheidsgegevens in de prioritaire categorieën als bedoeld in artikel 5.

3. Overeenkomstig artikel 23 van Verordening (EU) 2016/679 kunnen de lidstaten de reikwijdte van dit recht beperken wanneer dat nodig is voor de bescherming van de natuurlijke persoon op basis van patiëntveiligheid en ethiek, door de toegang van deze personen tot hun persoonlijke elektronische gezondheidsgegevens voor een beperkte periode uit te stellen totdat een gezondheidswerker de natuurlijke persoon naar behoren informatie kan geven en toelichten die aanzienlijke gevolgen voor zijn gezondheid kan hebben.

4. Indien de persoonlijke gezondheidsgegevens vóór de toepassing van deze verordening niet elektronisch zijn geregistreerd, kunnen de lidstaten eisen dat die gegevens overeenkomstig dit artikel in elektronische vorm beschikbaar worden gesteld. Dit doet geen afbreuk aan de verplichting om na de toepassing van deze verordening geregistreerde persoonlijke elektronische gezondheidsgegevens in elektronische vorm beschikbaar te stellen overeenkomstig dit artikel.

5. De lidstaten:

a) zetten een of meer diensten voor toegang tot elektronische gezondheidsgegevens op nationaal, regionaal of lokaal niveau op die de uitoefening van de in de leden 1 en 2 bedoelde rechten mogelijk maken;

b) zetten een of meer proxydiensten op die natuurlijke personen in staat stellen andere natuurlijke personen van hun keuze toestemming te verlenen om namens hen toegang te krijgen tot hun elektronische gezondheidsgegevens.

De proxydiensten verlenen kosteloos vergunningen, in elektronische vorm of op papier. Zij stellen voogden of andere vertegenwoordigers in staat automatisch of op verzoek toegang te krijgen tot de elektronische gezondheidsgegevens van de natuurlijke personen wier zaken zij beheren. De lidstaten mogen bepalen dat een vergunning niet van toepassing is in gevallen waarin dit noodzakelijk is met het oog op de bescherming van de natuurlijke persoon, en met name in verband met patiëntveiligheid en ethiek. De proxydiensten zijn interoperabel tussen de lidstaten.

6. Natuurlijke personen kunnen hun elektronische gezondheidsgegevens invoeren in hun eigen EPD of in de EPD's van natuurlijke personen waartoe zij toegang hebben, via diensten voor toegang tot elektronische gezondheidsgegevens of toepassingen die verband houden met die diensten. Deze informatie wordt gemarkeerd als zijnde ingevoerd door de natuurlijke persoon of zijn of haar vertegenwoordiger.

7. De lidstaten zorgen ervoor dat natuurlijke personen bij de uitoefening van het recht op rectificatie uit hoofde van artikel 16 van Verordening (EU) 2016/679 gemakkelijk online om rectificatie kunnen verzoeken via de in lid 5, punt a), van dit artikel bedoelde diensten voor toegang tot elektronische gezondheidsgegevens.

8. Natuurlijke personen hebben het recht om toegang te verlenen tot hun elektronische gezondheidsgegevens of om een gegevenshouder uit de gezondheids- of socialezekerheidssector te verzoeken deze gegevens onmiddellijk, kosteloos en zonder belemmeringen van de gegevenshouder of van de fabrikanten van de door die houder gebruikte systemen door te geven aan een ontvanger van de gegevens van zijn keuze uit de gezondheids- of socialezekerheidssector.

Natuurlijke personen hebben het recht om, wanneer de gegevenshouder en de gegevensontvanger zich in verschillende lidstaten bevinden en dergelijke elektronische gezondheidsgegevens tot de in artikel 5 bedoelde categorieën behoren, de gegevens door te geven in het in artikel 6 bedoelde Europees uitwisselingsformaat voor elektronische patiëntendossiers en de gegevensontvanger moet deze gegevens lezen en aanvaarden.

In afwijking van artikel 9 van Verordening [...] [dataverordening COM/2022/68 final] is de gegevensontvanger niet verplicht de gegevenshouder te vergoeden voor het beschikbaar stellen van elektronische gezondheidsgegevens.

Natuurlijke personen hebben er recht op dat, wanneer de in artikel 5 bedoelde prioritaire categorieën van persoonlijke elektronische gezondheidsgegevens door de natuurlijke persoon worden toegezonden of beschikbaar gesteld overeenkomstig het in artikel 6 bedoelde Europese uitwisselingsformaat voor elektronische patiëntendossiers, die gegevens door andere zorgaanbieders worden gelezen en aanvaard.

9. Onverminderd artikel 6, lid 1, punt d), van Verordening (EU) 2016/679 hebben natuurlijke personen het recht de toegang van gezondheidswerkers tot alle of een deel van hun elektronische gezondheidsgegevens te beperken. De lidstaten stellen de regels en specifieke waarborgen met betrekking tot dergelijke beperkingsmechanismen vast.

10. Natuurlijke personen hebben het recht informatie te verkrijgen over de zorgaanbieders en gezondheidswerkers die in het kader van gezondheidszorg toegang hebben gehad tot hun elektronische gezondheidsgegevens. De informatie wordt onmiddellijk en kosteloos verstrekt via diensten voor toegang tot elektronische gezondheidsgegevens.

11. De toezichthoudende autoriteiten die verantwoordelijk zijn voor het toezicht op de toepassing van Verordening (EU) 2016/679, zijn ook verantwoordelijk voor het toezicht op de toepassing van dit artikel, overeenkomstig de desbetreffende bepalingen van de hoofdstukken VI, VII en VIII van Verordening (EU) 2016/679. Zij zijn bevoegd om administratieve geldboeten op te leggen tot het in artikel 83, lid 5, van die verordening bedoelde bedrag. De in artikel 10 van deze verordening bedoelde toezichthoudende autoriteiten en digitale gezondheidsautoriteiten werken in voorkomend geval samen bij de handhaving van deze verordening, binnen de grenzen van hun respectieve bevoegdheden.

12. De Commissie bepaalt door middel van uitvoeringshandelingen de voorschriften voor de technische uitvoering van de in dit artikel vastgestelde rechten. Die uitvoeringshandelingen worden volgens de in artikel 68, lid 2, bedoelde raadplegingsprocedure vastgesteld.

Artikel 4

Toegang van gezondheidswerkers tot persoonlijke elektronische gezondheidsgegevens

1. Wanneer zij gegevens in een elektronisch formaat verwerken, moeten gezondheidswerkers:

a) toegang hebben tot de elektronische gezondheidsgegevens van natuurlijke personen die onder hun behandeling staan, ongeacht de lidstaat van aansluiting en de lidstaat waar de behandeling plaatsvindt;

b) ervoor zorgen dat de persoonlijke elektronische gezondheidsgegevens van de natuurlijke personen die zij behandelen, worden bijgewerkt met informatie over de verleende gezondheidsdiensten.

2. In overeenstemming met het beginsel van minimale gegevensverwerking waarin Verordening (EU) 2016/679 voorziet, kunnen de lidstaten regels vaststellen voor de categorieën van persoonlijke elektronische gezondheidsgegevens die de verschillende beroepen in de gezondheidszorg nodig hebben. Dergelijke regels mogen niet gebaseerd zijn op de bron van elektronische gezondheidsgegevens.

3. De lidstaten zorgen ervoor dat de toegang tot ten minste de prioritaire categorieën van elektronische gezondheidsgegevens als bedoeld in artikel 5 beschikbaar wordt gesteld aan gezondheidswerkers via toegangsdiensten voor gezondheidswerkers. Gezondheidswerkers die in het bezit zijn van erkende elektronische identificatiemiddelen hebben het recht om kosteloos gebruik te maken van die toegangsdiensten voor gezondheidswerkers.

4. Wanneer de toegang tot elektronische gezondheidsgegevens door de natuurlijke persoon is beperkt, worden de zorgaanbieder of gezondheidswerkers niet zonder voorafgaande toestemming van de natuurlijke persoon in kennis gesteld van de inhoud van de elektronische gezondheidsgegevens, ook niet wanneer de aanbieder of beroepsbeoefenaar in kennis wordt gesteld van het bestaan en de aard van de beperkte elektronische gezondheidsgegevens. Wanneer de verwerking noodzakelijk is ter bescherming van de vitale belangen van het betrokken datasubject of van een andere natuurlijke persoon, kan de zorgaanbieder of gezondheidswerker toegang krijgen tot de beperkte elektronische gezondheidsgegevens. Na deze toegang stelt de zorgaanbieder of gezondheidswerker de gegevenshouder en de betrokken natuurlijke persoon of zijn voogden ervan in kennis dat toegang tot elektronische gezondheidsgegevens is verleend. De wetgeving van de lidstaten kan aanvullende waarborgen toevoegen.

Artikel 5

Prioritaire categorieën van persoonlijke elektronische gezondheidsgegevens voor primair gebruik

1. Wanneer gegevens in elektronisch formaat worden verwerkt, voorzien de lidstaten in toegang tot en uitwisseling van persoonlijke elektronische gezondheidsgegevens voor primair gebruik die geheel of gedeeltelijk onder de volgende categorieën vallen:

a) patiëntendossiers;

b) elektronische recepten;

c) elektronische verstrekkingen;

d) medisch beelden en verslagen daarover;

e) laboratoriumresultaten;

f) ontslagverslagen.

De belangrijkste kenmerken van de in de eerste alinea bedoelde categorieën elektronische gezondheidsgegevens zijn die van bijlage I.

De toegang tot en de uitwisseling van elektronische gezondheidsgegevens voor primair gebruik kunnen mogelijk worden gemaakt voor andere categorieën van persoonlijke elektronische gezondheidsgegevens die beschikbaar zijn in het EPD van natuurlijke personen.

2. De Commissie is bevoegd om overeenkomstig artikel 67 gedelegeerde handelingen vast te stellen tot wijziging van de lijst van prioritaire categorieën van elektronische gezondheidsgegevens in lid 1. Dergelijke gedelegeerde handelingen kunnen ook bijlage I wijzigen door de belangrijkste kenmerken van de prioritaire categorieën van elektronische gezondheidsgegevens toe te voegen, te wijzigen of te verwijderen en, in voorkomend geval, een uitgestelde toepassingsdatum aan te geven. De categorieën elektronische gezondheidsgegevens die door middel van dergelijke gedelegeerde handelingen worden toegevoegd, voldoen aan de volgende criteria:

a) de categorie is relevant voor gezondheidsdiensten die aan natuurlijke personen worden verleend;

b) volgens de meest recente informatie wordt de categorie gebruikt in een aanzienlijk aantal EPD-systemen die in de lidstaten worden gebruikt;

c) er bestaan internationale normen voor de categorie die is onderzocht met het oog op de toepassing ervan in de Unie.

Artikel 6

Europees uitwisselingsformaat voor elektronische patiëntendossiers

1. De Commissie stelt door middel van uitvoeringshandelingen de technische specificaties vast voor de in artikel 5 bedoelde prioritaire categorieën van persoonlijke elektronische gezondheidsgegevens, en daarmee ook het Europees formaat voor de uitwisseling van elektronische patiëntendossiers. Het formaat omvat de volgende elementen:

a) datasets die elektronische gezondheidsgegevens en definiërende structuren bevatten, zoals gegevensvelden en gegevensgroepen voor de weergave van klinische inhoud en andere delen van de elektronische gezondheidsgegevens;

b) coderingssystemen en -waarden die moeten worden gebruikt in datasets die elektronische gezondheidsgegevens bevatten;

c) technische specificaties voor de uitwisseling van elektronische gezondheidsgegevens, met inbegrip van de weergave van de inhoud, normen en profielen.

2. Die uitvoeringshandelingen worden volgens de in artikel 68, lid 2, bedoelde raadplegingsprocedure vastgesteld. De lidstaten zorgen ervoor dat wanneer de in artikel 5 bedoelde prioritaire categorieën van persoonlijke elektronische gezondheidsgegevens door een natuurlijke persoon rechtstreeks of automatisch aan een zorgaanbieder worden verstrekt in het in lid 1 bedoelde formaat, deze gegevens door de gegevensontvanger worden gelezen en aanvaard.

3. De lidstaten zorgen ervoor dat de in artikel 5 bedoelde prioritaire categorieën van persoonlijke elektronische gezondheidsgegevens worden verstrekt in het in lid 1 bedoelde formaat en dat deze gegevens door de gegevensontvanger worden gelezen en aanvaard.

Artikel 7

Registratie van persoonlijke elektronische gezondheidsgegevens

1. De lidstaten zorgen ervoor dat, wanneer gegevens in elektronische vorm worden verwerkt, gezondheidswerkers de relevante gezondheidsgegevens die ten minste vallen onder de in artikel 5 bedoelde prioritaire categorieën betreffende de gezondheidsdiensten die zij aan natuurlijke personen verlenen, systematisch registreren in het elektronische formaat in een EPD-systeem.

2. Wanneer elektronische gezondheidsgegevens van een natuurlijke persoon zijn geregistreerd in een lidstaat die niet de lidstaat van aansluiting van die persoon is, zorgt de lidstaat waar de behandeling plaatsvindt ervoor dat de registratie wordt verricht op basis van de persoonsidentificatiegegevens van de natuurlijke persoon in de lidstaat van aansluiting.

3. De Commissie stelt door middel van uitvoeringshandelingen de voorschriften vast voor de registratie van elektronische gezondheidsgegevens door zorgaanbieders en natuurlijke personen, naargelang het geval. In die uitvoeringshandelingen wordt het volgende vastgesteld:

a) categorieën zorgaanbieders die gezondheidsgegevens elektronisch moeten registreren;

b) categorieën gezondheidsgegevens die door de onder a) bedoelde zorgaanbieders systematisch in elektronische vorm moeten worden geregistreerd;

c) vereisten inzake gegevenskwaliteit die betrekking hebben op de registratie van elektronische gezondheidsgegevens.

Die uitvoeringshandelingen worden volgens de in artikel 68, lid 2, bedoelde raadplegingsprocedure vastgesteld.

Artikel 8

Telegeneeskunde in het kader van grensoverschrijdende gezondheidszorg

Wanneer een lidstaat de verlening van telegeneeskundediensten aanvaardt, aanvaardt deze lidstaat de verlening van soortgelijke diensten door in andere lidstaten gevestigde zorgaanbieders onder dezelfde voorwaarden.

Artikel 9

Identificatiebeheer

1. Wanneer een natuurlijke persoon gebruikmaakt van telegeneeskundediensten of toegangsdiensten voor persoonlijke gezondheidsgegevens als bedoeld in artikel 3, lid 5, punt a), heeft die natuurlijke persoon het recht zich elektronisch te identificeren met behulp van elk elektronisch identificatiemiddel dat is erkend overeenkomstig artikel 6 van Verordening (EU) nr. 910/2014.

2. De Commissie stelt door middel van uitvoeringshandelingen de vereisten vast voor het interoperabele, grensoverschrijdende identificatie- en authenticatiemechanisme voor natuurlijke personen en gezondheidswerkers, overeenkomstig Verordening (EU) nr. 910/2014, zoals gewijzigd bij [COM(2021) 281 final]. Het mechanisme moet de overdraagbaarheid van elektronische gezondheidsgegevens in een grensoverschrijdende context vereenvoudigen. Die uitvoeringshandelingen worden volgens de in artikel 68, lid 2, bedoelde raadplegingsprocedure vastgesteld.

3. De Commissie voert de diensten uit die vereist zijn door het in lid 2 van dit artikel bedoelde interoperabele, grensoverschrijdende identificatie- en authenticatiemechanisme op het niveau van de Unie, als onderdeel van de in artikel 12, lid 3, bedoelde infrastructuur voor grensoverschrijdende digitale gezondheid.

4. De Commissie en de digitale gezondheidsautoriteiten passen het mechanisme voor grensoverschrijdende identificatie en authenticatie toe op respectievelijk het niveau van de Unie en dat van de lidstaten.

Artikel 10

Digitale gezondheidsautoriteit

1. Elke lidstaat wijst een digitale gezondheidsautoriteit aan die verantwoordelijk is voor de uitvoering en handhaving van dit hoofdstuk op nationaal niveau. De lidstaten delen de Commissie uiterlijk op de datum van toepassing van deze verordening de identiteit van de digitale gezondheidsautoriteit mee. Wanneer een aangewezen digitale gezondheidsautoriteit een entiteit is die uit meerdere organisaties bestaat, verstrekt de lidstaat de Commissie een beschrijving van de scheiding van taken tussen de organisaties. De Commissie maakt deze informatie bekend.

2. Elke digitale gezondheidsautoriteit wordt belast met de volgende taken:

a) waarborgen van de uitvoering van de in de hoofdstukken II en III bedoelde rechten en verplichtingen door de nodige nationale, regionale of lokale technische oplossingen in te voeren en door relevante regels en mechanismen vast te stellen;

b) ervoor zorgen dat volledige en actuele informatie over de uitvoering van de in de hoofdstukken II en III bedoelde rechten en verplichtingen gemakkelijk beschikbaar wordt gesteld aan natuurlijke personen, gezondheidswerkers en zorgaanbieders;

c) bij de uitvoering van de onder a) bedoelde technische oplossingen erop toezien dat deze voldoen aan de hoofdstukken II en III en bijlage II;

d) op het niveau van de Unie bijdragen tot de ontwikkeling van technische oplossingen die natuurlijke personen en gezondheidswerkers in staat stellen hun in dit hoofdstuk vastgestelde rechten en verplichtingen uit te oefenen;

e) personen met een handicap helpen hun in artikel 3 van deze verordening vermelde rechten uit te oefenen overeenkomstig Richtlijn (EU) 2019/882 van het Europees Parlement en de Raad0.

f) toezicht houden op de nationale contactpunten voor digitale gezondheid en samenwerken met andere digitale gezondheidsautoriteiten en de Commissie om MyHealth@EU verder te ontwikkelen;

g) zorgen voor de uitvoering, op nationaal niveau, van het Europees uitwisselingsformaat voor elektronische patiëntendossiers, in samenwerking met de nationale autoriteiten en belanghebbenden;

h) bijdragen op het niveau van de Unie aan de ontwikkeling van het Europees uitwisselingsformaat voor elektronische patiëntendossiers en aan de opstelling van gemeenschappelijke specificaties inzake interoperabiliteit, beveiliging, veiligheid of grondrechten overeenkomstig artikel 23, en van de specificaties van de EU-databank voor EPD-systemen en wellnessapps als bedoeld in artikel 32;

i) in voorkomend geval markttoezichtactiviteiten verrichten overeenkomstig artikel 28, en ervoor zorgen dat belangenconflicten worden vermeden;

j) nationale capaciteit opbouwen om interoperabiliteit en beveiliging van het primaire gebruik van elektronische gezondheidsgegevens tot stand te brengen en deel te nemen aan informatie-uitwisselingen en activiteiten voor capaciteitsopbouw op het niveau van de Unie;

k) telegeneeskundediensten aanbieden, in overeenstemming met de nationale wetgeving, en ervoor zorgen dat dergelijke diensten gemakkelijk te gebruiken zijn, toegankelijk zijn voor verschillende groepen natuurlijke personen en gezondheidswerkers, met inbegrip van natuurlijke personen met een handicap, dat deze niet discrimineren en de mogelijkheid bieden om te kiezen tussen persoonlijke en digitale diensten;

l) samenwerken met markttoezichtautoriteiten, deelnemen aan de activiteiten in verband met de aanpak van risico’s die samenhangen met EPD-systemen en van ernstige incidenten, en toezicht houden op de uitvoering van corrigerende maatregelen overeenkomstig artikel 29;

m) samenwerken met andere relevante entiteiten en organen op nationaal of Unieniveau om interoperabiliteit, gegevensoverdraagbaarheid en beveiliging van elektronische gezondheidsgegevens te waarborgen, alsook met vertegenwoordigers van belanghebbenden, waaronder vertegenwoordigers van patiënten, zorgaanbieders, gezondheidswerkers en brancheorganisaties;

n) samenwerken met toezichthoudende autoriteiten overeenkomstig Verordening (EU) nr. 910/2014, Verordening (EU) 2016/679 en Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad0, en met andere relevante autoriteiten, waaronder die welke bevoegd zijn voor cyberbeveiliging, elektronische identificatie, het Europees Comité voor kunstmatige intelligentie, de coördinatiegroep voor medische hulpmiddelen, de Europese raad voor gegevensinnovatie en de bevoegde autoriteiten uit hoofde van Verordening [...] [dataverordening COM/2022/68 final];

o) opstellen, in voorkomend geval in samenwerking met de markttoezichtautoriteiten, van een jaarlijks activiteitenverslag, dat een uitgebreid overzicht van haar activiteiten bevat. Het verslag wordt aan de Commissie toegezonden. Het jaarlijkse activiteitenverslag wordt opgesteld volgens een structuur die op Unieniveau is overeengekomen binnen de EHDS-raad, om benchmarking te ondersteunen overeenkomstig artikel 59. Het verslag bevat ten minste informatie over:

i) de ter uitvoering van deze verordening getroffen maatregelen;

ii) het percentage natuurlijke personen dat toegang heeft tot verschillende gegevenscategorieën van hun elektronische patiëntendossiers;

iii) informatie over de behandeling van verzoeken van natuurlijke personen over de uitoefening van hun rechten uit hoofde van deze verordening;

iv) het aantal zorgaanbieders van verschillende soorten, waaronder apotheken, ziekenhuizen en andere plaatsen waar zorg wordt aangeboden, verbonden aan MyHealth@EU, berekend a) in absolute aantallen, b) als aandeel van alle zorgaanbieders van hetzelfde type en c) als aandeel van natuurlijke personen die van de diensten gebruik kunnen maken;

v) de hoeveelheden elektronische gezondheidsgegevens van verschillende categorieën die over de grenzen heen worden gedeeld via MyHealth@EU;

vi) de mate van tevredenheid van natuurlijke personen over MyHealth@EU-diensten;

vii) het aantal gecertificeerde EPD-systemen en gelabelde wellnessapps die in de EU-databank zijn opgenomen;

viii) het aantal gevallen van niet-naleving van de dwingende eisen;

ix) een beschrijving van haar activiteiten in verband met de betrokkenheid en raadpleging van relevante belanghebbenden, waaronder vertegenwoordigers van natuurlijke personen, patiëntenorganisaties, gezondheidswerkers, onderzoekers en ethische commissies;

x) informatie over samenwerking met andere bevoegde instanties, met name op het gebied van gegevensbescherming, cyberbeveiliging en kunstmatige intelligentie.

3. De Commissie is bevoegd overeenkomstig artikel 67 gedelegeerde handelingen vast te stellen teneinde deze verordening aan te vullen door de digitale gezondheidsautoriteiten extra taken toe te vertrouwen die nodig zijn om de hun door deze verordening opgedragen taken te verrichten en de inhoud van het jaarverslag te wijzigen.

4. Elke lidstaat zorgt ervoor dat elke digitale gezondheidsautoriteit wordt voorzien van de personele, technische en financiële middelen, de gebouwen en de infrastructuur die nodig zijn voor de doeltreffende uitvoering van haar taken en de uitoefening van haar bevoegdheden.

5. Bij de verrichting van haar taken werkt de digitale gezondheidsautoriteit actief samen met vertegenwoordigers van belanghebbenden, waaronder patiëntenvertegenwoordigers. De leden van de digitale gezondheidsautoriteit moeten belangenconflicten vermijden.

Artikel 11

Recht om klachten in te dienen bij een digitale gezondheidsautoriteit

1. Onverminderd andere mogelijkheden van administratief beroep of beroep bij de rechter hebben natuurlijke en rechtspersonen het recht om individueel of, in voorkomend geval, collectief een klacht in te dienen bij de digitale gezondheidsautoriteit. Indien de klacht betrekking heeft op de rechten van natuurlijke personen op grond van artikel 3 van deze verordening, stelt de digitale gezondheidsautoriteit de toezichthoudende autoriteiten uit hoofde van Verordening (EU) 2016/679 hiervan in kennis.

2. De digitale gezondheidsautoriteit waarbij de klacht is ingediend, stelt de klager in kennis van het verloop van de procedure en van het genomen besluit.

3. De digitale gezondheidsautoriteiten werken samen om klachten zonder onnodige vertraging te behandelen en op te lossen, onder meer door alle relevante informatie elektronisch uit te wisselen.

Afdeling 2

Grensoverschrijdende infrastructuur voor primair gebruik van elektronische gezondheidsgegevens

Artikel 12

MyHealth@EU

1. De Commissie richt een centraal platform voor digitale gezondheid op om diensten te verlenen ter ondersteuning en vergemakkelijking van de uitwisseling van elektronische gezondheidsgegevens tussen de nationale contactpunten voor digitale gezondheid van de lidstaten.

2. Elke lidstaat wijst één nationaal contactpunt voor digitale gezondheid aan om de verbinding met alle andere nationale contactpunten voor digitale gezondheid en het centrale platform voor digitale gezondheid te waarborgen. Wanneer een aangewezen nationaal contactpunt een entiteit is die bestaat uit meerdere organisaties die verantwoordelijk zijn voor de uitvoering van verschillende diensten, verstrekt de lidstaat de Commissie een beschrijving van de taakverdeling tussen de organisaties. Het nationale contactpunt voor digitale gezondheid wordt beschouwd als een toegelaten deelnemer van de infrastructuur. Elke lidstaat deelt de identiteit van zijn nationale contactpunt uiterlijk op [de datum van toepassing van deze verordening] mee aan de Commissie. Een dergelijk contactpunt kan worden opgericht binnen de bij artikel 10 van deze verordening opgerichte digitale gezondheidsautoriteit. Lidstaten stellen de Commissie in kennis van elke latere wijziging in de identiteit van deze contactpunten. De Commissie en de lidstaten maken deze informatie beschikbaar voor het publiek.

3. Elk nationaal contactpunt voor digitale gezondheid maakt de uitwisseling van de in artikel 5 bedoelde persoonlijke elektronische gezondheidsgegevens met alle andere nationale contactpunten mogelijk. De uitwisseling is gebaseerd op het Europese uitwisselingsformaat voor elektronische patiëntendossiers.

4. De Commissie stelt door middel van uitvoeringshandelingen de nodige maatregelen vast voor de technische ontwikkeling van MyHealth@EU, gedetailleerde voorschriften betreffende de beveiliging, vertrouwelijkheid en bescherming van elektronische gezondheidsgegevens en de voorwaarden en nalevingscontroles die nodig zijn om zich aan te sluiten bij MyHealth@EU en ermee verbonden te blijven, en voorwaarden voor tijdelijke of definitieve loskoppeling van MyHealth@EU. Die uitvoeringshandelingen worden volgens de in artikel 68, lid 2, bedoelde raadplegingsprocedure vastgesteld.

5. De lidstaten zorgen ervoor dat alle zorgaanbieders worden aangesloten op hun nationale contactpunten voor digitale gezondheid en zorgen ervoor dat die verbonden personen in staat zijn elektronische gezondheidsgegevens in twee richtingen uit te wisselen met het nationale contactpunt voor digitale gezondheid.

6. De lidstaten zorgen ervoor dat apotheken die op hun grondgebied actief zijn, met inbegrip van internetapotheken, onder de voorwaarden van artikel 11 van Richtlijn 2011/24/EU door andere lidstaten verstrekte elektronische recepten kunnen verstrekken. De apotheken hebben toegang tot en accepteren elektronische recepten van andere lidstaten via MyHealth@EU. Apotheken die geneesmiddelen op basis van een elektronisch recept van een andere lidstaat verstrekken, gebruiken MyHealth@EU om de lidstaat die het recept heeft afgegeven daarvan in kennis te stellen.

7. De nationale contactpunten voor digitale gezondheid treden op als gezamenlijke verwerkingsverantwoordelijken voor de elektronische gezondheidsgegevens die via “MyHealth@EU” worden doorgegeven voor de verwerkingen waarbij zij betrokken zijn. De Commissie treedt op als verwerker.

8. De Commissie verdeelt door middel van uitvoeringshandelingen de verantwoordelijkheden over de verwerkingsverantwoordelijken en met betrekking tot de verwerker als bedoeld in lid 7 van dit artikel, overeenkomstig hoofdstuk IV van Verordening (EU) 2016/679. Die uitvoeringshandelingen worden volgens de in artikel 68, lid 2, bedoelde raadplegingsprocedure vastgesteld.

9. De toestemming voor individuele gemachtigde deelnemers om zich bij MyHealth@EU aan te sluiten of om een deelnemer uit de infrastructuur los te koppelen, wordt verleend door de groep voor gezamenlijke verwerkingsverantwoordelijkheid op basis van de resultaten van de nalevingscontroles.

Artikel 13

Aanvullende grensoverschrijdende digitale gezondheidsdiensten en -infrastructuur

1. De lidstaten kunnen via MyHealth@EU aanvullende diensten aanbieden ter vergemakkelijking van telegeneeskunde, mobiele gezondheidszorg, toegang van natuurlijke personen tot hun vertaalde gezondheidsgegevens, uitwisseling of verificatie van gezondheidgerelateerde certificaten (met inbegrip van vaccinatiekaarten), diensten ter ondersteuning van de volksgezondheid en monitoring van de volksgezondheid of digitale gezondheidszorgstelsels, diensten en interoperabele toepassingen, teneinde een hoog niveau van vertrouwen en veiligheid te bereiken, de continuïteit van de zorg te vergroten en de toegang tot veilige en hoogwaardige gezondheidszorg te waarborgen. De Commissie stelt door middel van uitvoeringshandelingen de technische aspecten van die bepaling vast. Die uitvoeringshandelingen worden volgens de in artikel 68, lid 2, bedoelde raadplegingsprocedure vastgesteld.

2. De Commissie en de lidstaten kunnen de uitwisseling van elektronische gezondheidsgegevens met andere infrastructuren, zoals het Clinical Patient Management System of andere diensten of infrastructuren op het gebied van gezondheid, zorg of sociale zekerheid die kunnen worden toegelaten als deelnemers van MyHealth@EU. De Commissie stelt door middel van uitvoeringshandelingen de technische aspecten van dergelijke uitwisselingen vast. Die uitvoeringshandelingen worden volgens de in artikel 68, lid 2, bedoelde raadplegingsprocedure vastgesteld. De aansluiting van een andere infrastructuur op het centrale platform voor digitale gezondheid is onderworpen aan een besluit van de groep voor gezamenlijke verwerkingsverantwoordelijkheid voor MyHealth@EU als bedoeld in artikel 66.

3. De lidstaten en de Commissie streven naar interoperabiliteit van MyHealth@EU met op internationaal niveau opgezette technologische systemen voor de uitwisseling van elektronische gezondheidsgegevens. De Commissie kan een uitvoeringshandeling vaststellen waarin wordt bepaald dat een nationaal contactpunt van een derde land of een op internationaal niveau ingesteld systeem voldoet aan de vereisten van MyHealth@EU voor de uitwisseling van elektronische gezondheidsgegevens. Alvorens een dergelijke uitvoeringshandeling vast te stellen, wordt onder toezicht van de Commissie een nalevingscontrole van het nationale contactpunt van het derde land of van het op internationaal niveau ingestelde systeem verricht.

De in dit lid, eerste alinea, bedoelde uitvoeringshandelingen worden volgens de in artikel 68 bedoelde procedure vastgesteld. De aansluiting van het nationale contactpunt van het derde land of van het op internationaal niveau ingestelde systeem op het centrale platform voor digitale gezondheid, alsmede het besluit om te worden losgekoppeld, zijn onderworpen aan een besluit van de groep voor gezamenlijke verwerkingsverantwoordelijkheid voor MyHealth@EU als bedoeld in artikel 66.

De Commissie maakt de lijst van de op grond van dit lid aangenomen uitvoeringshandelingen openbaar.

HOOFDSTUK III

EPD-systemen en wellnessapps

Afdeling 1

Algemene bepalingen voor EPD-systemen

Artikel 14

Wisselwerking met wetgeving inzake medische hulpmiddelen en AI-systemen

1. EPD-systemen die door de fabrikant zijn bestemd voor primair gebruik van prioritaire categorieën elektronische gezondheidsgegevens als bedoeld in artikel 5, zijn onderworpen aan de bepalingen van dit hoofdstuk.

2. Dit hoofdstuk is niet van toepassing op algemene software die in een gezondheidszorgomgeving wordt gebruikt.

3. Fabrikanten van medische hulpmiddelen zoals gedefinieerd in artikel 2, lid 1, van Verordening (EU) 2017/745 die beweren dat die medische hulpmiddelen interoperabel zijn met EPD-systemen, moeten aantonen dat zij voldoen aan de essentiële eisen inzake interoperabiliteit in afdeling 2 van bijlage II bij deze verordening. Artikel 23 van dit hoofdstuk is van toepassing op die medische hulpmiddelen.

4. Aanbieders van AI-systemen met een hoog risico zoals gedefinieerd in artikel 6 van Verordening [...] [verordening artificiële intelligentie, COM/2021/206 final] die niet onder Verordening (EU) 2017/745 vallen, die beweren dat die AI-systemen interoperabel zijn met EPD-systemen, moeten aantonen dat deze voldoen aan de essentiële eisen inzake interoperabiliteit in afdeling 2 van bijlage II bij deze verordening. Artikel 23 van dit hoofdstuk is van toepassing op die AI-systemen met een hoog risico.

5. Lidstaten kunnen specifieke regels handhaven of vaststellen voor de aanbesteding, vergoeding of financiering van EPD-systemen in het kader van de organisatie, verstrekking of financiering van gezondheidsdiensten.

Artikel 15

In de handel brengen en ingebruikneming

1. EPD-systemen mogen alleen in de handel worden gebracht of in gebruik worden genomen indien zij voldoen aan de bepalingen van dit hoofdstuk.

2. EPD-systemen die worden vervaardigd en gebruikt binnen in de Unie gevestigde zorginstellingen en EPD-systemen die als dienst in de zin van artikel 1, lid 1, punt b), van Richtlijn (EU) 2015/1535 van het Europees Parlement en de Raad0 worden aangeboden aan een in de Unie gevestigde natuurlijke of rechtspersoon, worden geacht in gebruik te zijn genomen.

Artikel 16

Beweringen

In het informatieblad, de gebruiksaanwijzing of andere informatie die bij de EPD-systemen zijn gevoegd, en in reclame voor EPD-systemen, is het verboden tekst, benamingen, handelsmerken, afbeeldingen en andere al dan niet figuratieve tekens te gebruiken die de gebruiker kunnen misleiden met betrekking tot het beoogde doel, de interoperabiliteit en de veiligheid ervan door:

a) het EPD-systeem functies en eigenschappen toe te schrijven die het niet bezit;

b) de gebruiker niet te informeren over waarschijnlijke beperkingen in verband met de interoperabiliteit of beveiligingskenmerken van het EPD-systeem in verband met het beoogde doel ervan;

c) het te doen voorkomen alsof het EPD-systeem voor andere doeleinden gebruikt zou kunnen worden dan het in de technische documentatie vermelde beoogde doel.

Afdeling 2

Verplichtingen van marktdeelnemers met betrekking tot EPD-systemen

Artikel 17

Verplichtingen van fabrikanten van EPD-systemen

1. Fabrikanten van EPD-systemen:

a) zorgen ervoor dat hun EPD-systemen in overeenstemming zijn met de essentiële eisen van bijlage II en met de gemeenschappelijke specificaties overeenkomstig artikel 23;

b) stellen de technische documentatie van hun EPD-systemen op overeenkomstig artikel 24;

c) zorgen ervoor dat hun EPD-systemen kosteloos voor de gebruiker vergezeld gaan van het in artikel 25 bedoelde informatieblad en van duidelijke en volledige gebruiksaanwijzingen;

d) stellen de in artikel 26 genoemde EU-conformiteitsverklaring op;

e) brengen overeenkomstig artikel 27 de CE-markering aan;

f) leven de in artikel 32 genoemde registratieverplichtingen na;

g) nemen onverwijld de nodige corrigerende maatregelen met betrekking tot hun EPD-systemen die niet in overeenstemming zijn met de essentiële eisen van bijlage II, of roepen die systemen terug of nemen ze uit de handel;

h) stellen de distributeurs van hun EPD-systemen en, indien van toepassing, de gemachtigde en importeurs in kennis van corrigerende maatregelen, terugroepacties of het uit de handel nemen;

i) informeren de markttoezichtautoriteiten van de lidstaten waarin zij het EPD-systeem beschikbaar hebben gemaakt of in gebruik hebben gesteld en, waar van toepassing, de aangemelde instantie over de non-conformiteit en over eventuele getroffen corrigerende maatregelen;

j) verstrekken markttoezichtautoriteiten op verzoek alle benodigde informatie en documentatie om aan te tonen dat het EPD-systeem in overeenstemming is met de essentiële eisen van bijlage II;

k) verlenen op verzoek van markttoezichtautoriteiten medewerking aan alle maatregelen die worden genomen om hun EPD-systemen in overeenstemming te brengen met de essentiële eisen van bijlage II.

2. Fabrikanten van EPD-systemen zorgen ervoor dat er procedures zijn om te waarborgen dat het ontwerp, de ontwikkeling en de uitrol van een EPD-systeem blijven voldoen aan de essentiële eisen van bijlage II en de in artikel 23 bedoelde gemeenschappelijke specificaties. Veranderingen in het ontwerp of in de kenmerken van het EPD-systeem wordt terdege in aanmerking genomen en in de technische documentatie weergegeven.

3. Fabrikanten van EPD-systemen bewaren de technische documentatie en de EU-conformiteitsverklaring gedurende tien jaar nadat het laatste EPD-systeem waarop de EU-conformiteitsverklaring betrekking heeft, in de handel is gebracht.

Artikel 18

Gemachtigden

1. Alvorens een EPD-systeem op de markt van de Unie aan te bieden, wijst een buiten de Unie gevestigde fabrikant van een EPD-systeem per schriftelijk mandaat een in de Unie gevestigde gemachtigde aan.

2. Gemachtigden voeren de taken uit die gespecificeerd zijn in het mandaat dat zij van de fabrikant hebben ontvangen. Het mandaat laat de gemachtigde toe ten minste de volgende taken te verrichten:

a) de EU-conformiteitsverklaring en de technische documentatie gedurende de in artikel 17, lid 3, bedoelde termijn ter beschikking houden van de markttoezichtautoriteiten;

b) op een met redenen omkleed verzoek van een markttoezichtautoriteit aan die autoriteit alle benodigde informatie en documentatie verstrekken om de conformiteit van een EPD-systeem met de essentiële eisen in bijlage II aan te tonen;

c) op verzoek van de markttoezichtautoriteiten medewerking verlenen aan corrigerende maatregelen die worden genomen met betrekking tot de EPD-systemen die onder hun mandaat vallen.

Artikel 19

Verplichtingen van importeurs

1. Importeurs brengen in de Unie uitsluitend EPD-systemen in de handel die in overeenstemming zijn met de essentiële eisen in bijlage II.

2. Alvorens een EPD-systeem op de markt aan te bieden, verifiëren de importeurs dat:

a) de fabrikant de technische documentatie en de EU-conformiteitsverklaring heeft opgesteld;

b) het EPD-systeem is voorzien van de CE-conformiteitsmarkering;

c) het EPD-systeem vergezeld gaat van het in artikel 25 bedoelde informatieblad en een passende gebruiksaanwijzing.

3. Importeurs vermelden hun naam, geregistreerde handelsnaam of geregistreerde handelsmerk en contactadres in een bij het EPD-systeem gevoegd document.

4. Zolang zij verantwoordelijk zijn voor een EPD-systeem zorgen de importeurs ervoor dat het EPD-systeem niet zodanig wordt gewijzigd dat de conformiteit ervan met de essentiële eisen in bijlage II in gevaar komt.

5. Indien een importeur van mening is of redenen heeft om aan te nemen dat een EPD-systeem niet in overeenstemming is met de essentiële eisen in bijlage II, mag hij dat systeem pas op de markt aanbieden nadat het in overeenstemming is gebracht. De importeur stelt in zulke gevallen de fabrikant van dat EPD-systeem en de markttoezichtautoriteiten van de lidstaat waar hij het EPD-systeem op de markt heeft aangeboden, onverwijld daarvan in kennis.

6. Importeurs houden gedurende de in artikel 17, lid 3, bedoelde periode een kopie van de EU-conformiteitsverklaring ter beschikking van de markttoezichtautoriteiten en zorgen ervoor dat de technische documentatie op verzoek aan die autoriteiten kan worden verstrekt.

7. Importeurs verstrekken op een met redenen omkleed verzoek van een markttoezichtautoriteit aan deze autoriteit alle benodigde informatie en documentatie om de conformiteit van een EPD-systeem aan te tonen, in de officiële taal van de lidstaat waar de markttoezichtautoriteit is gevestigd. Op verzoek van deze autoriteit verlenen zij medewerking aan alle maatregelen die worden genomen om hun EPD-systemen in overeenstemming te brengen met de essentiële eisen van bijlage II.

Artikel 20

Verplichtingen van distributeurs

1. Alvorens een EPD-systeem op de markt aan te bieden, verifiëren de distributeurs dat:

a) de fabrikant de EU-conformiteitsverklaring heeft opgesteld;

b) het EPD-systeem is voorzien van de CE-conformiteitsmarkering;

c) het EPD-systeem vergezeld gaat van het in artikel 25 bedoelde informatieblad en een passende gebruiksaanwijzing;

d) de importeur, voor zover van toepassing, heeft voldaan aan de vereisten van artikel 19, lid 3.

2. Importeurs zorgen gedurende de periode dat zij voor een EPD-systeem verantwoordelijk zijn, ervoor dat het EPD-systeem niet zodanig wordt gewijzigd dat de conformiteit ervan met de essentiële eisen in bijlage II in gevaar komt.

3. Indien een distributeur van mening is of redenen heeft om aan te nemen dat een EPD-systeem niet in overeenstemming is met de essentiële eisen in bijlage II, mag hij het EPD-systeem pas op de markt aanbieden nadat het in overeenstemming is gebracht. Bovendien stelt de distributeur de fabrikant of de importeur, alsmede de markttoezichtautoriteiten van de lidstaten waar het EPD-systeem op de markt is aangeboden, daarvan zonder onnodige vertraging in kennis.

4. Distributeurs verstrekken een markttoezichtautoriteit op haar met redenen omkleed verzoek alle benodigde informatie en documentatie ter staving van de conformiteit van een EPD-systeem. Op verzoek van deze autoriteit verlenen zij medewerking aan alle maatregelen die worden genomen om hun EPD-systemen in overeenstemming te brengen met de essentiële eisen van bijlage II.

Artikel 21

Gevallen waarin de verplichtingen van fabrikanten van een EPD-systeem van toepassing zijn op importeurs en distributeurs

Een importeur of distributeur wordt beschouwd als fabrikant voor de toepassing van deze verordening en is onderworpen aan de verplichtingen van artikel 17, wanneer zij een EPD-systeem onder hun naam of merknaam op de markt hebben aangeboden of een al in de handel gebracht EPD-systeem zodanig wijzigen dat de conformiteit met de toepasselijke eisen in het gedrang kan komen.

Artikel 22

Identificatie van marktdeelnemers

Marktdeelnemers delen de markttoezichtautoriteiten op verzoek gedurende tien jaar nadat het laatste EPD-systeem waarop de EU-conformiteitsverklaring betrekking heeft, in de handel is gebracht, het volgende mee:

a) welke marktdeelnemer(s) een EPD-systeem aan hen heeft/hebben geleverd;

b) aan welke marktdeelnemer(s) zij een EPD-systeem heeft/hebben geleverd.

Afdeling 3

Conformiteit van het EPD-systeem

Artikel 23

Gemeenschappelijke specificaties

1. De Commissie stelt door middel van uitvoeringshandelingen gemeenschappelijke specificaties vast met betrekking tot de essentiële eisen in bijlage II, met inbegrip van een termijn voor de uitvoering van die gemeenschappelijke specificaties. In voorkomend geval wordt in de gemeenschappelijke specificaties rekening gehouden met de specifieke kenmerken van medische hulpmiddelen en AI-systemen met een hoog risico als bedoeld in artikel 14, leden 3 en 4.

Die uitvoeringshandelingen worden volgens de in artikel 68, lid 2, bedoelde raadplegingsprocedure vastgesteld.

2. De in lid 1 bedoelde gemeenschappelijke specificaties zijn onder andere:

a) toepassingsgebied;

b) toepasbaarheid op verschillende categorieën EPD-systemen of -functies die erin zijn opgenomen;

c) versie;

d) geldigheidsduur;

e) normatief gedeelte;

f) toelichting, met inbegrip van eventuele relevante uitvoeringsrichtsnoeren.

3. De gemeenschappelijke specificaties kunnen elementen bevatten die verband houden met:

a) datasets die elektronische gezondheidsgegevens en definiërende structuren bevatten, zoals gegevensvelden en gegevensgroepen voor de weergave van klinische inhoud en andere delen van de elektronische gezondheidsgegevens;

b) coderingssystemen en -waarden die moeten worden gebruikt in datasets die elektronische gezondheidsgegevens bevatten;

c) andere vereisten in verband met de gegevenskwaliteit, zoals de volledigheid en nauwkeurigheid van elektronische gezondheidsgegevens;

d) technische specificaties, normen en profielen voor de uitwisseling van elektronische gezondheidsgegevens;

e) vereisten en beginselen met betrekking tot beveiliging, vertrouwelijkheid, integriteit, patiëntveiligheid en bescherming van elektronische gezondheidsgegevens;

f) specificaties en vereisten met betrekking tot het identificatiebeheer en het gebruik van elektronische identificatie.

4. De in artikel 14 bedoelde EPD-systemen, medische hulpmiddelen en AI-systemen met een hoog risico die in overeenstemming zijn met de in lid 1 bedoelde gemeenschappelijke specificaties, worden geacht in overeenstemming te zijn met de essentiële eisen die door die specificaties of delen daarvan worden bestreken, zoals vastgesteld in bijlage II die onder die gemeenschappelijke specificaties of de relevante delen van die gemeenschappelijke specificaties vallen.

5. Wanneer gemeenschappelijke specificaties betreffende de interoperabiliteits- en veiligheidseisen van EPD-systemen van invloed zijn op medische hulpmiddelen of AI-systemen met een hoog risico die vallen onder andere handelingen, zoals Verordening (EU) 2017/745 of [...] [verordening artificiële intelligentie, COM/2021/206 final], kan de vaststelling van die gemeenschappelijke specificaties worden voorafgegaan door een raadpleging van de Coördinatiegroep voor medische hulpmiddelen (MDCG) als bedoeld in artikel 103 van Verordening (EU) 2017/745 of de Europese raad voor artificiële intelligentie als bedoeld in artikel 56 van Verordening [...] [verordening artificiële intelligentie, COM/2021/206 final], naargelang het geval.

6. Wanneer gemeenschappelijke specificaties betreffende de interoperabiliteits- en veiligheidseisen voor medische hulpmiddelen of AI-systemen met een hoog risico die vallen onder andere handelingen, zoals Verordening (EU) 2017/745 of Verordening [...] [verordening artificiële intelligentie, COM/2021/206 final], gevolgen hebben voor EPD-systemen, kan de vaststelling van die gemeenschappelijke specificaties worden voorafgegaan door een raadpleging van de EHDS-raad, met name de subgroep voor de hoofdstukken II en III van deze verordening.

Artikel 24

Technische documentatie

1. De technische documentatie wordt opgesteld voordat het EPD-systeem in de handel wordt gebracht of in gebruikt wordt gesteld, en wordt geactualiseerd.

2. De technische documentatie wordt op zodanige wijze opgesteld dat wordt aangetoond dat het EPD-systeem in overeenstemming is met de essentiële eisen van bijlage II en dat markttoezichtautoriteiten over alle noodzakelijke informatie beschikken om de conformiteit van het EPD-systeem met deze voorschriften te kunnen beoordelen. De documentatie omvat ten minste de in bijlage III uiteengezette elementen.

3. De technische documentatie wordt opgesteld in een van de officiële talen van de Unie. Op een met redenen omkleed verzoek van de markttoezichtautoriteit van een lidstaat verstrekt de fabrikant een vertaling van de relevante delen van de technische documentatie in de officiële taal van die lidstaat.

4. Wanneer een markttoezichtautoriteit een fabrikant verzoekt haar de technische documentatie of een vertaling van delen daarvan te verstrekken, stelt zij hiervoor een termijn van 30 dagen vast voor ontvangst van een dergelijke documentatie of vertaling, tenzij een kortere termijn gerechtvaardigd is omdat er een ernstig en onmiddellijk risico bestaat. Indien de fabrikant niet voldoet aan de eisen van de leden 1, 2 en 3, kan de markttoezichtautoriteit eisen dat hij binnen een bepaalde termijn op eigen kosten een test laat uitvoeren door een onafhankelijke instantie om de conformiteit met de essentiële eisen in bijlage II en de in artikel 23 bedoelde gemeenschappelijke specificaties te controleren.

Artikel 25

Informatieblad bij het EPD-systeem

1. EPD-systemen gaan vergezeld van een informatieblad dat beknopte, volledige, juiste en duidelijke informatie bevat die relevant, toegankelijk en begrijpelijk is voor gebruikers.

2. Het in lid 1 bedoelde informatieblad omvat:

a) de identiteit, de geregistreerde handelsnaam of het geregistreerde handelsmerk en de contactgegevens van de fabrikant en, in voorkomend geval, van zijn gemachtigde;

b) de naam en versie van het EPD-systeem en de datum van vrijgave ervan;

c) het beoogde doel van dat systeem;

d) de categorieën elektronische gezondheidsgegevens voor de verwerking waarvan het EPD-systeem is ontworpen;

e) de door het EPD-systeem ondersteunde normen, formaten en specificaties en versies daarvan.

3. De Commissie is bevoegd overeenkomstig artikel 67 gedelegeerde handelingen ter aanvulling van deze verordening vast te stellen waarin fabrikanten wordt toegestaan de in lid 2 bedoelde informatie in te voeren in de EU-databank van EPD-systemen en wellnessapps als bedoeld in artikel 32, als alternatief voor het verstrekken van het in lid 1 bedoelde informatieblad bij het EPD-systeem.

Artikel 26

EU-conformiteitsverklaring

1. In de EU-conformiteitsverklaring moet worden vermeld dat de fabrikant van het EPD-systeem heeft aangetoond dat aan de essentiële eisen in bijlage II is voldaan.

2. Wanneer EMD-systemen onderworpen zijn aan andere wetgeving van de Unie met betrekking tot aspecten die niet onder deze verordening vallen, op grond waarvan eveneens een EU-conformiteitsverklaring van de fabrikant is vereist waaruit blijkt dat is aangetoond dat aan de vereisten van die wetgeving is voldaan, wordt er één EU-conformiteitsverklaring opgesteld ten aanzien van alle op het EPD-systeem van toepassing zijnde handelingen van de Unie. De verklaring bevat alle informatie die vereist is voor de identificatie van de wetgeving van de Unie waarop de verklaring betrekking heeft.

3. De EU-conformiteitsverklaring bevat minstens de informatie die is vervat in bijlage IV en wordt vertaald in een of meer officiële talen van de Unie, zoals vereist door de lidstaat (lidstaten) waarin het EPD-systeem wordt aangeboden.

4. Met het opstellen van de EU-conformiteitsverklaring neemt de fabrikant de verantwoordelijkheid op zich voor de conformiteit van het EPD-systeem.

Artikel 27

CE-markering

1. De CE-markering wordt zichtbaar, leesbaar en onuitwisbaar aangebracht op de begeleidende documenten van het EPD-systeem en, in voorkomend geval, op de verpakking.

2. De CE-markering is onderworpen aan de algemene beginselen van artikel 30 van Verordening (EG) nr. 765/2008 van het Europees Parlement en de Raad0.

Afdeling 4

Markttoezicht op EPD-systemen

Artikel 28

Markttoezichtautoriteiten

1. Verordening (EU) 2019/1020 is van toepassing op EPD-systemen die onder hoofdstuk III van deze verordening vallen.

2. Lidstaten wijzen de markttoezichtautoriteit of -autoriteiten aan die verantwoordelijk is/zijn voor de uitvoering van dit hoofdstuk. Zij verlenen aan hun markttoezichtautoriteiten de bevoegdheden, middelen, uitrusting en kennis die nodig zijn voor de behoorlijke uitvoering van hun taken overeenkomstig deze verordening. Lidstaten delen de identiteit van de markttoezichtautoriteiten mee aan de Commissie, die een lijst met die autoriteiten bekendmaakt.

3. De overeenkomstig dit artikel aangewezen markttoezichtautoriteiten kunnen de overeenkomstig artikel 10 aangewezen digitale gezondheidsautoriteiten zijn. Wanneer een digitale gezondheidsautoriteit taken van een markttoezichtautoriteit uitvoert, moeten belangenconflicten worden vermeden.

4. Markttoezichtautoriteiten brengen aan de Commissie regelmatig verslag uit over de resultaten van relevante markttoezichtactiviteiten.

5. De markttoezichtautoriteiten van de lidstaten werken samen met elkaar en met de Commissie. De Commissie organiseert de uitwisselingen van informatie die daartoe noodzakelijk zijn.

6. Voor medische hulpmiddelen of AI-systemen met een hoog risico als bedoeld in artikel 14, leden 3 en 4, zijn de markttoezichtautoriteiten de autoriteiten doe worden bedoeld in artikel 93 van Verordening (EU) 2017/745 of artikel 59 van Verordening [...] [verordening artificiële intelligentie, COM/2021/206 final], naargelang het geval.

Artikel 29

Omgaan met risico’s van EPD-systemen en met ernstige incidenten

1. Wanneer een markttoezichtautoriteit vaststelt dat een EPD-systeem een risico voor de gezondheid of veiligheid van natuurlijke personen of voor andere aspecten van de bescherming van algemene belangen vormt, verlangt zij van de fabrikant van het betrokken EPD-systeem, zijn gemachtigde en alle andere relevante marktdeelnemers dat zij alle passende maatregelen nemen om ervoor te zorgen dat het EPD-systeem dat risico niet langer inhoudt wanneer het in de handel wordt gebracht, of het EPD-systeem binnen een redelijke termijn uit de handel nemen of terugroepen.

2. De in lid 1 bedoelde marktdeelnemer zorgt ervoor dat alle betrokken EPD-systemen die hij in de Unie in de handel heeft gebracht, aan corrigerende maatregelen worden onderworpen.

3. De markttoezichtautoriteit stelt de Commissie en de markttoezichtautoriteiten van andere lidstaten onmiddellijk in kennis van overeenkomstig lid 1 opgelegde maatregelen. Die informatie omvat alle bekende bijzonderheden, met name de gegevens die nodig zijn om het betrokken EPD-systeem te identificeren en om de oorsprong en de toeleveringsketen van het EPD-systeem, de aard van het betrokken risico en de aard en de duur van de nationale maatregelen vast te stellen.

4. Fabrikanten van EPD-systemen die in de handel worden gebracht, melden elk ernstig incident met een EPD-systeem aan de markttoezichtautoriteiten van de lidstaten wanneer een dergelijk ernstig incident zich heeft voorgedaan, en de door de fabrikant genomen of voorgenomen corrigerende maatregelen.

Een dergelijke melding vindt, onverminderd de vereisten inzake melding van incidenten uit hoofde van Richtlijn (EU) 2016/1148, plaats onmiddellijk nadat de fabrikant een oorzakelijk verband tussen het EPD-systeem en het ernstige incident of de redelijke waarschijnlijkheid van een dergelijk verband heeft vastgesteld en in ieder geval uiterlijk 15 dagen nadat de fabrikant zich bewust wordt van het ernstige incident waarbij het EPD-systeem betrokken is.

5. De in lid 4 bedoelde markttoezichtautoriteiten stellen de andere markttoezichtautoriteiten onverwijld in kennis van het ernstige incident en van de corrigerende maatregelen die de fabrikant heeft genomen of voornemens is te nemen of die van hem worden verlangd om het risico op herhaling van het ernstige incident tot een minimum te beperken.

6. Wanneer de taken van de markttoezichtautoriteit niet door de digitale gezondheidsautoriteit worden verricht, werkt zij samen met de digitale gezondheidsautoriteit. Zij stelt de digitale gezondheidsautoriteit in kennis van ernstige incidenten en EPD-systemen die een risico vormen, met inbegrip van risico’s in verband met interoperabiliteit, beveiliging en patiëntveiligheid, en van corrigerende maatregelen, terugroepacties of het uit de handel nemen van dergelijke EPD-systemen.

Artikel 30

Behandeling van niet-naleving

1. Wanneer een markttoezichtautoriteit een van de volgende bevindingen vaststelt, verlangt zij van de fabrikant van het betrokken EPD-systeem, zijn gemachtigde en alle andere relevante marktdeelnemers dat zij een einde maken aan de non-conformiteit:

a) het EPD-systeem is niet in overeenstemming met de essentiële eisen van bijlage II;

b) de technische documentatie is niet beschikbaar of is onvolledig;

c) er is geen EU-conformiteitsverklaring opgesteld of ze is niet correct opgesteld;

d) de CE-markering is in strijd met artikel 27 aangebracht of is niet aangebracht.

2. Wanneer de in lid 1 bedoelde non-conformiteit voortduurt, neemt de betrokken lidstaat alle passende maatregelen om het in de handel brengen van het EPD-systeem te beperken of te verbieden, of om ervoor te zorgen dat het systeem wordt teruggeroepen of uit de handel wordt genomen.

Afdeling 5

Andere bepalingen inzake interoperabiliteit

Artikel 31

Facultatieve labeling van wellnessapps

1. Wanneer een fabrikant van een wellnessapp beweert dat deze app interoperabel is met een EPD-systeem en daarom voldoet aan de essentiële eisen van bijlage II en de gemeenschappelijke specificaties van artikel 23, mag een dergelijke wellnessapp vergezeld gaan van een label waarop duidelijk wordt aangegeven dat zij aan die eisen voldoet. Het label wordt afgegeven door de fabrikant van de wellnessapp.

2. Het label moet de volgende informatie bevatten:

a) de categorieën van elektronische gezondheidsgegevens waarvoor is bevestigd dat aan de essentiële eisen van bijlage II is voldaan;

b) een verwijzing naar gemeenschappelijke specificaties om naleving aan te tonen;

c) de geldigheidsduur van het label.

3. De Commissie kan door middel van uitvoeringshandelingen het formaat en de inhoud van het label bepalen. Die uitvoeringshandelingen worden volgens de in artikel 68, lid 2, bedoelde raadplegingsprocedure vastgesteld.

4. Het label wordt opgesteld in een of meer officiële talen van de Unie of talen die worden bepaald door de lidstaat of lidstaten waar de wellnessapp in de handel wordt gebracht.

5. Het label is niet langer dan vijf jaar geldig.

6. Indien de wellnessapp in een hulpmiddel is ingebouwd, moet het bijbehorende label op het hulpmiddel worden aangebracht. Ook mogen 2D-streepjescodes worden gebruikt om het label weer te geven.

7. De markttoezichtautoriteiten controleren of wellnessapps voldoen aan de essentiële eisen van bijlage II.

8. Elke leverancier van een wellnessapp waarvoor een label is afgegeven, zorgt ervoor dat de wellnessapp die in de handel wordt gebracht of in gebruik wordt genomen, kosteloos vergezeld gaat van het label voor elke afzonderlijke eenheid.

9. Elke distributeur van een wellnessapp waarvoor een label is afgegeven, stelt het label in elektronische vorm of, op verzoek, in fysieke vorm ter beschikking van de klanten op het verkooppunt.

10. De vereisten van dit artikel zijn niet van toepassing op wellnessapps die AI-systemen met een hoog risico zijn zoals gedefinieerd in Verordening [...] [verordening artificiële intelligentie, COM/2021/206 final].

Artikel 32

Registratie van EPD-systemen en wellnessapps

1. De Commissie zet een openbaar toegankelijke databank op met informatie over EPD-systemen waarvoor overeenkomstig artikel 26 een EU-conformiteitsverklaring is afgegeven en wellnessapps waarvoor overeenkomstig artikel 31 een label is afgegeven, en houdt deze databank bij.

2. Voordat een EPD-systeem als bedoeld in artikel 14 of een in artikel 31 bedoelde wellnessapp in de handel wordt gebracht of in gebruik wordt genomen, worden de vereiste gegevens door de fabrikant van dat EPD-systeem of die wellnesstoepassing of, indien van toepassing, zijn gemachtigde in de in lid 1 bedoelde EU-databank geregistreerd.

3. Medische hulpmiddelen of AI-systemen met een hoog risico als bedoeld in artikel 14, leden 3 en 4, van deze verordening worden geregistreerd in de databank die is opgezet krachtens Verordening (EU) 2017/745 of [...] [verordening artificiële intelligentie, COM/2021/206 final], naargelang het geval.

4. De Commissie is bevoegd overeenkomstig artikel 67 gedelegeerde handelingen vast te stellen ter bepaling van de lijst van vereiste gegevens die overeenkomstig lid 2 door de fabrikanten van EPD-systemen en wellnessapps moeten worden geregistreerd.

HOOFDSTUK IV

Secundair gebruik van elektronische gezondheidsgegevens

Afdeling 1

Algemene voorwaarden met betrekking tot het secundaire gebruik van elektronische gezondheidsgegevens

Artikel 33

Minimumcategorieën van elektronische gezondheidsgegevens voor secundair gebruik

1. Gegevenshouders stellen de volgende categorieën elektronische gegevens beschikbaar voor secundair gebruik overeenkomstig de bepalingen van dit hoofdstuk:

a) EPD’s;

b) gegevens die van invloed zijn op de gezondheid, met inbegrip van sociale en milieu- en gedragsdeterminanten van gezondheid;

c) relevante pathogeengenomische gegevens die van invloed zijn op de gezondheid van de mens;

d) administratieve gegevens op gezondheidsgebied, met inbegrip van gegevens over claims en vergoedingen;

e) humaan-genetische, genomische en proteomische gegevens;

f) door personen gegenereerde elektronische gezondheidsgegevens, met inbegrip van gegevens in medische hulpmiddelen, wellnessapps of andere digitale gezondheidstoepassingen;

g) identificatiegegevens met betrekking tot gezondheidswerkers die betrokken zijn bij de behandeling van een natuurlijke persoon;

h) registers van gezondheidsgegevens van de hele bevolking (volksgezondheidsregisters);

i) elektronische gezondheidsgegevens uit medische registers voor specifieke ziekten;

j) elektronische gezondheidsgegevens afkomstig van klinische proeven;

k) elektronische gezondheidsgegevens uit medische hulpmiddelen en van registers voor geneesmiddelen en medische hulpmiddelen;

l) onderzoekscohorten, vragenlijsten en enquêtes in verband met gezondheid;

m) elektronische gezondheidsgegevens uit biobanken en speciale databanken;

n) elektronische gegevens met betrekking tot verzekeringsstatus, beroepsstatus, opleiding, levensstijl, welzijn en gedrag die relevant zijn voor de gezondheid;

o) elektronische gezondheidsgegevens die verschillende verbeteringen bevatten, zoals correctie, annotatie en verrijking die de gegevenshouder ontvangt na verwerking op basis van een gegevensvergunning.

2. Het vereiste in de eerste alinea is niet van toepassing op gegevenshouders die een micro-onderneming zijn in de zin van artikel 2 van de bijlage bij Aanbeveling 2003/361/EG van de Commissie0.

3. De in lid 1 bedoelde elektronische gezondheidsgegevens hebben betrekking op gegevens die worden verwerkt voor de verstrekking van gezondheidsdiensten of -zorg of voor doeleinden op het gebied van volksgezondheid, onderzoek, innovatie, beleidsvorming, officiële statistieken, patiëntveiligheid of regelgeving, verzameld door entiteiten en organen in de gezondheids- of zorgsector, met inbegrip van publieke en private aanbieders van gezondheidsdiensten of zorg, entiteiten of organen die onderzoek in verband met deze sectoren verrichten, en instellingen, organen en instanties van de Unie.

4. Elektronische gezondheidsgegevens met beschermde intellectuele eigendom en bedrijfsgeheimen van particuliere ondernemingen worden beschikbaar gesteld voor secundair gebruik. Wanneer dergelijke gegevens beschikbaar worden gesteld voor secundair gebruik, worden alle nodige maatregelen genomen om de vertrouwelijkheid van intellectuele-eigendomsrechten en bedrijfsgeheimen te waarborgen.

5. Indien het nationale recht de toestemming van de natuurlijke persoon vereist, baseren de instanties voor toegang tot gezondheidsgegevens zich op de in dit hoofdstuk vastgestelde verplichtingen om toegang te verlenen tot elektronische gezondheidsgegevens.

6. Wanneer een openbaar lichaam gegevens verkrijgt in noodsituaties als gedefinieerd in artikel 15, punt a) of b), van Verordening [...] [dataverordening COM/2022/68 final], overeenkomstig de voorschriften van die verordening, kan het worden ondersteund door een instantie voor toegang tot gezondheidsgegevens om technische ondersteuning te bieden bij de verwerking van de gegevens of om deze met andere gegevens voor gezamenlijke analyse te combineren.

7. De Commissie is bevoegd om overeenkomstig artikel 67 gedelegeerde handelingen vast te stellen om de lijst in lid 1 te wijzigen teneinde deze aan te passen aan de ontwikkeling van de beschikbare elektronische gezondheidsgegevens.

8. Instanties voor toegang tot gezondheidsgegevens kunnen toegang verlenen tot aanvullende categorieën van elektronische gezondheidsgegevens waarmee zij op grond van nationaal recht of op basis van vrijwillige samenwerking met de betrokken gegevenshouders op nationaal niveau zijn belast, met name tot elektronische gezondheidsgegevens die in het bezit zijn van particuliere entiteiten in de gezondheidssector.

Artikel 34

Doeleinden waarvoor elektronische gezondheidsgegevens voor secundair gebruik kunnen worden verwerkt

1. De instanties voor toegang tot gezondheidsgegevens verlenen alleen toegang tot de in artikel 33 bedoelde elektronische gezondheidsgegevens indien het beoogde doel van de door de aanvrager nagestreefde verwerking overeenstemt met:

a) activiteiten om redenen van algemeen belang op het gebied van de volksgezondheid en de gezondheid op het werk, zoals bescherming tegen ernstige grensoverschrijdende bedreigingen van de gezondheid, toezicht op de volksgezondheid of het waarborgen van een hoog kwaliteits- en veiligheidsniveau van de gezondheidszorg en van geneesmiddelen of medische hulpmiddelen;

b) ondersteunen van openbare lichamen of instellingen, agentschappen en organen van de Unie, met inbegrip van regelgevende autoriteiten, in de gezondheids- of zorgsector bij de uitvoering van de in hun mandaat omschreven taken;

c) het produceren van officiële statistieken op nationaal, multinationaal en Unieniveau over de gezondheids- of zorgsector;

d) het ontvangen of geven van onderwijs in de gezondheids- of zorgsector;

e) wetenschappelijk onderzoek in verband met de gezondheids- of zorgsector;

f) ontwikkelings- en innovatieactiviteiten voor producten of diensten die bijdragen tot de volksgezondheid of de sociale zekerheid, of tot het waarborgen van een hoog kwaliteits- en veiligheidsniveau van de gezondheidszorg, geneesmiddelen of medische hulpmiddelen;

g) het trainen, testen en evalueren van algoritmen, onder meer in medische hulpmiddelen, AI-systemen en digitale gezondheidstoepassingen, die bijdragen tot de volksgezondheid of de sociale zekerheid, of die zorgen voor een hoog kwaliteits- en veiligheidsniveau van de gezondheidszorg, van geneesmiddelen of van medische hulpmiddelen;

h) het verlenen van gepersonaliseerde gezondheidszorg die bestaat uit het beoordelen, in stand houden of herstellen van de gezondheidstoestand van natuurlijke personen, op basis van de gezondheidsgegevens van andere natuurlijke personen.

2. Toegang tot de in artikel 33 bedoelde elektronische gezondheidsgegevens wordt alleen verleend aan openbare lichamen en instellingen, organen en instanties van de Unie bij de uitoefening van de hun bij het Unierecht of het nationale recht opgedragen taken, indien de door de aanvrager beoogde verwerking beantwoordt aan een van de in lid 1, punten a) tot en met c), genoemde doeleinden, ook wanneer de verwerking van gegevens voor de uitvoering van deze taken wordt verricht door een derde partij namens dat openbare lichaam of namens instellingen, agentschappen en organen van de Unie.

3. De toegang tot gegevens in particulier bezit om openbare noodsituaties te voorkomen, erop te reageren of bij te dragen aan de bestrijding ervan, wordt gewaarborgd overeenkomstig artikel 15 van Verordening [...] [dataverordening COM/2022/68 final].

4. Openbare lichamen of instellingen, agentschappen en organen van de Unie die bij de uitoefening van de hun bij het Unierecht of het nationale recht opgedragen taken toegang krijgen tot elektronische gezondheidsgegevens die intellectuele-eigendomsrechten en bedrijfsgeheimen omvatten, nemen alle specifieke maatregelen die nodig zijn om de vertrouwelijkheid van die gegevens te waarborgen.

Artikel 35

Verboden secundair gebruik van elektronische gezondheidsgegevens

Het is verboden toegang te krijgen tot elektronische gezondheidsgegevens die zijn verkregen via een overeenkomstig artikel 46 afgegeven gegevensvergunning om deze te verwerken voor de volgende doeleinden:

a) besluiten nemen die nadelig zijn voor een natuurlijke persoon op basis van zijn of haar elektronische gezondheidsgegevens; om als “besluiten” te kunnen worden aangemerkt, moeten zij rechtsgevolgen hebben of deze natuurlijke personen op vergelijkbare wijze aanmerkelijk treffen;

b) besluiten nemen met betrekking tot een natuurlijke persoon of groepen natuurlijke personen om hun een verzekeringsovereenkomst te ontzeggen of om hun bijdragen en verzekeringspremies te wijzigen;

c) reclame- of marketingactiviteiten ten behoeve van gezondheidswerkers, gezondheidsorganisaties of natuurlijke personen;

d) toegang verlenen tot of het op andere wijze beschikbaar stellen van de elektronische gezondheidsgegevens aan derden die niet in de gegevensvergunning worden vermeld;

e) producten of diensten ontwikkelen die schadelijk kunnen zijn voor personen en samenlevingen in het algemeen, met inbegrip van, maar niet beperkt tot, illegale drugs, alcoholhoudende dranken, tabaksproducten of goederen of diensten die zodanig zijn ontworpen of gewijzigd dat zij in strijd zijn met de openbare orde of de goede zeden.

Afdeling 2

Governance en mechanismen voor het secundaire gebruik van elektronische gezondheidsgegevens

Artikel 36

Instanties voor toegang tot gezondheidsgegevens

1. De lidstaten wijzen een of meer instanties voor toegang tot gezondheidsgegevens aan die verantwoordelijk zijn voor het verlenen van toegang tot elektronische gezondheidsgegevens voor secundair gebruik. De lidstaten kunnen een of meer nieuwe openbare lichamen oprichten of een beroep doen op bestaande openbare lichamen of op interne diensten van openbare lichamen die aan de voorwaarden van dit artikel voldoen. Wanneer een lidstaat meerdere instanties voor toegang tot gezondheidsgegevens aanwijst, wijst hij één instantie voor toegang tot gezondheidsgegevens aan die als coördinator optreedt en verantwoordelijk is voor de coördinatie van verzoeken met de andere instanties voor toegang tot gezondheidsgegevens.

2. Lidstaten zorgen ervoor dat elke digitale instantie voor toegang tot gezondheidsgegevens wordt voorzien van de personele, technische en financiële middelen, de gebouwen en de infrastructuur die nodig zijn voor de doeltreffende uitvoering van haar taken en de uitoefening van haar bevoegdheden.

3. Bij de uitvoering van hun taken werken de instanties voor toegang tot gezondheidsgegevens actief samen met vertegenwoordigers van belanghebbenden, met name vertegenwoordigers van patiënten, gegevenshouders en gegevensgebruikers. Het personeel van de instanties voor toegang tot gezondheidsgegevens moet belangenconflicten vermijden. Instanties voor toegang tot gezondheidsgegevens zijn bij het nemen van hun beslissingen niet gebonden aan instructies.

4. Lidstaten delen de Commissie uiterlijk op de datum van toepassing van deze verordening de identiteit van de op grond van lid 1 aangewezen instanties voor toegang tot gezondheidsgegevens mee. Zij stellen de Commissie tevens in kennis van elke latere wijziging in de identiteit van deze organen. De Commissie en de lidstaten maken deze informatie beschikbaar voor het publiek.

Artikel 37

Taken van de instanties voor toegang tot gezondheidsgegevens

1. De instanties voor toegang tot gezondheidsgegevens verrichten de volgende taken:

a) zij beslissen over aanvragen voor gegevenstoegang overeenkomstig artikel 45, verlenen gegevensvergunningen overeenkomstig artikel 46 voor de toegang tot onder hun nationale bevoegdheid vallende elektronische gezondheidsgegevens voor secundair gebruik en beslissen over verzoeken om gegevens overeenkomstig hoofdstuk II van Verordening [...] [datagovernanceverordening COM/2020/767 final] en dit hoofdstuk;

b) zij ondersteunen openbare lichamen bij de uitvoering van de in hun mandaat vastgelegde taken, op basis van het nationale recht of het recht van de Unie;

c) zij ondersteunen de instellingen, organen en instanties van de Unie bij de verrichting van taken die zijn vastgelegd in hun mandaat op basis van het nationale recht of het recht van de Unie;

d) zij verwerken elektronische gezondheidsgegevens voor de in artikel 34 genoemde doeleinden, met inbegrip van het verzamelen, combineren, voorbereiden en openbaar maken van die gegevens voor secundair gebruik op basis van een gegevensvergunning;

e) zij verwerken elektronische gezondheidsgegevens van andere relevante gegevenshouders op basis van een gegevensvergunning of een verzoek om gegevens voor een van de in artikel 34 vastgelegde doeleinden;

f) zij nemen alle nodige maatregelen om de vertrouwelijkheid van intellectuele-eigendomsrechten en bedrijfsgeheimen te waarborgen;

g) zij verzamelen, en verschaffen toegang tot, de nodige elektronische gezondheidsgegevens bij de verschillende gegevenshouders van wie de elektronische gezondheidsgegevens binnen de werkingssfeer van deze verordening vallen, en stellen deze gegevens ter beschikking van gegevensgebruikers in een beveiligde verwerkingsomgeving overeenkomstig de vereisten van artikel 50;

h) zij dragen bij aan gegevensaltruïsme-activiteiten overeenkomstig artikel 40;

i) zij ondersteunen de ontwikkeling van AI-systemen, het trainen, het testen en de validering van AI-systemen en de ontwikkeling van geharmoniseerde normen en richtsnoeren in het kader van Verordening [...] [verordening artificiële intelligentie, COM/2021/206 final] voor het trainen, het testen en de validering van AI-systemen in de gezondheidszorg;

j) zij werken samen met en houden toezicht op gegevenshouders om te zorgen voor een consistente en nauwkeurige toepassing van het in artikel 56 bedoelde gegevenskwaliteits- en -bruikbaarheidslabel;

k) zij onderhouden een beheersysteem voor het registreren en verwerken van aanvragen voor gegevenstoegang, verzoeken om gegevens, afgegeven gegevensvergunningen en beantwoorde verzoeken om gegevens, waarbij ten minste informatie wordt verstrekt over de naam van de aanvrager van gegevenstoegang, het doel van de toegang tot de gegevens, de datum van afgifte, de duur van de gegevensvergunning en een beschrijving van de aanvraag voor gegevenstoegang of het verzoek om gegevens;

l) zij houden een openbaar informatiesysteem bij om te voldoen aan de verplichtingen van artikel 38;

m) zij werken samen op het niveau van de Unie en op nationaal niveau om passende maatregelen en vereisten vast te stellen voor de toegang tot elektronische gezondheidsgegevens in een beveiligde verwerkingsomgeving;

n) zij werken op Unie- en nationaal niveau samen en geven de Commissie advies over technieken en beste praktijken voor het gebruik en beheer van elektronische gezondheidsgegevens;

o) zij vergemakkelijken de grensoverschrijdende toegang tot elektronische gezondheidsgegevens voor secundair gebruik in andere lidstaten via HealthData@EU en werken nauw samen met elkaar en met de Commissie.

p) zij zenden de gegevenshouder, vóór het verstrijken van de gegevensvergunning, kosteloos een kopie toe van de gecorrigeerde, geannoteerde of verrijkte dataset, naargelang het geval, en een beschrijving van de activiteiten die met de oorspronkelijke dataset zijn verricht;

q) zij maken langs elektronische weg het volgende openbaar:

i) catalogussen van nationale datasets die bijzonderheden bevatten over de bron en de aard van elektronische gezondheidsgegevens, overeenkomstig de artikelen 56 en 58, en de voorwaarden voor het beschikbaar stellen van elektronische gezondheidsgegevens. De catalogussen van nationale datasets worden ook ter beschikking gesteld van de centrale informatiepunten overeenkomstig artikel 8 van Verordening [...] [datagovernanceverordening COM/2020/767 final];

ii) alle gegevensvergunningen, -verzoeken en -aanvragen op hun websites binnen 30 werkdagen na de afgifte van de gegevensvergunning of het antwoord op een verzoek om gegevens;

iii) de krachtens artikel 43 toegepaste sancties;

iv) resultaten die door gegevensgebruikers zijn meegedeeld overeenkomstig artikel 46, lid 11;

r) zij komen verplichtingen ten aanzien van natuurlijke personen uit hoofde van artikel 38 na;

s) zij verzoeken gegevensgebruikers en gegevenshouders om alle relevante informatie om de uitvoering van dit hoofdstuk te verifiëren;

t) zij vervullen alle andere taken in verband met het ter beschikking stellen van het secundaire gebruik van elektronische gezondheidsgegevens in het kader van deze verordening.

2. Bij de uitoefening van hun taken moeten de instanties voor toegang tot gezondheidsgegevens:

a) samenwerken met toezichthoudende autoriteiten uit hoofde van Verordening (EU) 2016/679 en Verordening (EU) 2018/1725 met betrekking tot persoonlijke elektronische gezondheidsgegevens en het EHDS-comité;

b) de betrokken toezichthoudende autoriteiten uit hoofde van Verordening (EU) 2016/679 en Verordening (EU) 2018/1725 in kennis stellen wanneer een orgaan voor toegang tot gezondheidsgegevens sancties of andere maatregelen heeft opgelegd overeenkomstig artikel 43 in verband met de verwerking van persoonlijke elektronische gezondheidsgegevens en wanneer die verwerking betrekking heeft op een poging tot heridentificatie van een persoon of op onrechtmatige verwerking van persoonlijke elektronische gezondheidsgegevens;

c) samenwerken met belanghebbenden, waaronder patiëntenorganisaties, vertegenwoordigers van natuurlijke personen, gezondheidswerkers, onderzoekers en ethische comités, indien van toepassing overeenkomstig het Unierecht en het nationale recht;

d) samenwerken met andere nationale bevoegde instanties, waaronder de nationale bevoegde organen die toezicht houden op gegevensaltruïsme-organisaties uit hoofde van Verordening [...] [datagovernanceverordening COM/2020/767 final], de bevoegde autoriteiten uit hoofde van Verordening [...] [dataverordening COM/2022/68 final] en de nationale bevoegde autoriteiten voor de Verordeningen (EU) 2017/745 en [...] [verordening artificiële intelligentie, COM/2021/206 final].

3. De instanties voor toegang tot gezondheidsgegevens kunnen bijstand verlenen aan openbare lichamen wanneer die openbare lichamen toegang hebben tot elektronische gezondheidsgegevens op grond van artikel 14 van Verordening [...] [dataverordening COM/2022/68 final].

4. De Commissie is bevoegd overeenkomstig artikel 67 gedelegeerde handelingen vast te stellen tot wijziging van de lijst van taken in lid 1 van dit artikel, teneinde rekening te houden met de ontwikkeling van de activiteiten van instanties voor toegang tot gezondheidsgegevens.

Artikel 38

Verplichtingen van instanties voor toegang tot gezondheidsgegevens ten aanzien van natuurlijke personen

1. De instanties voor toegang tot gezondheidsgegevens maken de voorwaarden waaronder elektronische gezondheidsgegevens voor secundair gebruik beschikbaar worden gesteld, openbaar en gemakkelijk te doorzoeken, met informatie over:

a) de rechtsgrondslag op grond waarvan toegang wordt verleend;

b) de technische en organisatorische maatregelen die zijn genomen om de rechten van natuurlijke personen te beschermen;

c) de toepasselijke rechten van natuurlijke personen met betrekking tot het secundaire gebruik van elektronische gezondheidsgegevens;

d) de regelingen voor natuurlijke personen om hun rechten uit te oefenen overeenkomstig hoofdstuk III van Verordening (EU) 2016/679;

e) de resultaten van de projecten waarvoor de elektronische gezondheidsgegevens zijn gebruikt.

2. Instanties voor toegang tot gezondheidsgegevens zijn niet verplicht om aan elke natuurlijke persoon de specifieke informatie uit hoofde van artikel 14 van Verordening (EU) 2016/679 te verstrekken over het gebruik van hun gegevens voor projecten waarvoor een gegevensvergunning vereist is, en zij verstrekken het grote publiek informatie over alle overeenkomstig artikel 46 afgegeven gegevensvergunningen.

3. Wanneer een instantie voor toegang tot gezondheidsgegevens door een gegevensgebruiker in kennis wordt gesteld van een bevinding die gevolgen kan hebben voor de gezondheid van een natuurlijke persoon, kan de instantie voor toegang tot gezondheidsgegevens de natuurlijke persoon en zijn behandelende gezondheidswerker van die bevinding in kennis stellen.

4. De lidstaten informeren het grote publiek regelmatig over de taak en het nut van instanties voor toegang tot gezondheidsgegevens.

Artikel 39

Rapportage door instanties voor toegang tot gezondheidsgegevens

1. Elke instantie voor toegang tot gezondheidsgegevens publiceert een jaarlijks activiteitenverslag dat ten minste het volgende bevat:

a) informatie met betrekking tot de ingediende aanvragen voor toegang tot elektronische gezondheidsgegevens, zoals de soorten aanvragers, het aantal verleende of geweigerde gegevensvergunningen, toegangsdoeleinden en categorieën elektronische gezondheidsgegevens waartoe toegang is verkregen, en een samenvatting van de resultaten van het gebruik van elektronische gezondheidsgegevens, indien van toepassing;

b) een lijst van vergunningen voor de toegang tot elektronische gezondheidsgegevens die door de instantie voor toegang tot gezondheidsgegevens worden verwerkt op basis van gegevensaltruïsme en een beknopte beschrijving van de nagestreefde doelen van algemeen belang, indien van toepassing, met inbegrip van de resultaten van de verleende gegevensvergunningen;

c) informatie over de nakoming van wettelijke en contractuele verplichtingen door gegevensgebruikers en gegevenshouders, alsmede opgelegde sancties;

d) informatie over audits van gegevensgebruikers om te waarborgen dat de verwerking in overeenstemming is met deze verordening;

e) informatie over audits met betrekking tot de conformiteit van beveiligde verwerkingsomgevingen met de vastgestelde normen, specificaties en vereisten;

f) informatie over de behandeling van verzoeken van natuurlijke personen over de uitoefening van hun gegevensbeschermingsrechten;

g) een beschrijving van haar activiteiten in verband met de betrokkenheid en raadpleging van relevante belanghebbenden, waaronder vertegenwoordigers van natuurlijke personen, patiëntenorganisaties, gezondheidswerkers, onderzoekers en ethische commissies;

h) informatie over samenwerking met andere bevoegde instanties, vooral op het gebied van gegevensbescherming, cyberbeveiliging, gegevensaltruïsme en kunstmatige intelligentie;

i) inkomsten uit gegevensvergunningen en verzoeken om gegevens;

j) tevredenheid van aanvragers die om toegang tot gegevens verzoeken;

k) gemiddeld aantal dagen tussen de indiening van een aanvraag en de verlening van toegang tot gegevens;

l) aantal afgegeven gegevenskwaliteitslabels, uitgesplitst naar kwaliteitscategorie;

m) aantal collegiaal getoetste onderzoekspublicaties, beleidsdocumenten, regelgevingsprocedures met gebruikmaking van gegevens waartoe via de EHDS toegang is verkregen;

n) aantal digitale gezondheidsproducten en -diensten, met inbegrip van AI-toepassingen, ontwikkeld met gebruikmaking van gegevens waartoe via de EHDS toegang is verkregen.

2. Het verslag wordt aan de Commissie toegezonden.

3. De Commissie is bevoegd overeenkomstig artikel 67 gedelegeerde handelingen vast te stellen om de inhoud van het jaarlijkse activiteitenverslag te wijzigen.

Artikel 40

Gegevensaltruïsme in de gezondheidszorg

1. Bij de verwerking van persoonlijke elektronische gezondheidsgegevens moeten gegevensaltruïsme-organisaties voldoen aan de voorschriften van hoofdstuk IV van Verordening [...] [datagovernanceverordening COM/2020/767 final]. Wanneer gegevensaltruïsme-organisaties persoonlijke elektronische gezondheidsgegevens verwerken met gebruikmaking van een beveiligde verwerkingsomgeving, voldoen die omgevingen ook aan de vereisten van artikel 50 van deze verordening.

2. De instanties voor toegang tot gezondheidsgegevens ondersteunen de overeenkomstig artikel 23 van Verordening [...] [datagovernanceverordening COM/2020/767 final] aangewezen bevoegde autoriteiten bij het toezicht op entiteiten die gegevensaltruïsme-activiteiten uitvoeren.

Artikel 41

Verplichtingen van de gegevenshouders

1. Wanneer een gegevenshouder verplicht is elektronische gezondheidsgegevens beschikbaar te stellen krachtens artikel 33 of krachtens andere Uniewetgeving of nationale wetgeving tot uitvoering van het Unierecht, werkt hij in voorkomend geval te goeder trouw samen met de instanties voor toegang tot gezondheidsgegevens.

2. De gegevenshouder verstrekt de instantie voor toegang tot gezondheidsgegevens een algemene beschrijving van de dataset waarover hij beschikt overeenkomstig artikel 55.

3 Wanneer de dataset overeenkomstig artikel 56 vergezeld gaat van een gegevenskwaliteits- en -bruikbaarheidslabel, verstrekt de gegevenshouder de instantie voor toegang tot gezondheidsgegevens voldoende documentatie om de juistheid van het label te bevestigen.

4. De gegevenshouder stelt de elektronische gezondheidsgegevens binnen twee maanden na ontvangst van het verzoek van de instantie voor toegang tot gezondheidsgegevens ter beschikking van de instantie voor toegang tot gezondheidsgegevens. In uitzonderlijke gevallen kan de instantie voor toegang tot gezondheidsgegevens deze periode met nog eens twee maanden verlengen.

5. Wanneer een gegevenshouder verrijkte datasets heeft ontvangen na een verwerking op basis van een gegevensvergunning, stelt hij de nieuwe dataset ter beschikking, tenzij hij deze ongeschikt acht en de instantie voor toegang tot gezondheidsgegevens daarvan in kennis stelt.

6. Gegevenshouders van niet-persoonsgebonden elektronische gezondheidsgegevens zorgen voor toegang tot gegevens via betrouwbare open databanken om onbeperkte toegang voor alle gebruikers en de opslag en bewaring van gegevens te waarborgen. Betrouwbare open openbare databanken moeten beschikken over een robuust, transparant en duurzaam bestuur en een transparant model voor gebruikerstoegang.

7. De Commissie is bevoegd overeenkomstig artikel 67 gedelegeerde handelingen vast te stellen om de verplichtingen van de gegevenshouders in dit artikel te wijzigen, teneinde rekening te houden met de ontwikkeling van de activiteiten van gegevenshouders.

Artikel 42

Vergoedingen

1. Instanties voor toegang tot gezondheidsgegevens en individuele gegevenshouders kunnen een vergoeding vragen voor het beschikbaar stellen van elektronische gezondheidsgegevens voor secundair gebruik. Overeenkomstig artikel 6 van Verordening [...] [datagovernanceverordening (COM (2020) 767 final)] omvatten alle vergoedingen de kosten in verband met de uitvoering van de procedure voor verzoeken, onder meer voor het beoordelen van een aanvraag voor gegevenstoegang of een verzoek om gegevens, het verlenen, weigeren of wijzigen van een gegevensvergunning overeenkomstig de artikelen 45 en 46 of het geven van een antwoord op een verzoek om gegevens op grond van artikel 47, en worden daarop gebaseerd.

2. Indien de gegevens in kwestie niet in het bezit zijn van de instantie voor gegevenstoegang of een openbaar lichaam, kunnen de vergoedingen ook een compensatie omvatten voor een deel van de kosten voor het verzamelen van de elektronische gezondheidsgegevens, specifiek uit hoofde van deze verordening, naast de vergoedingen die overeenkomstig lid 1 in rekening kunnen worden gebracht. Het deel van de vergoedingen dat verband houdt met de kosten van de gegevenshouder wordt aan de gegevenshouder betaald.

3. De in artikel 33, lid 1, punt o), bedoelde elektronische gezondheidsgegevens worden kosteloos of tegen een vergoeding ter hoogte van de vergoeding voor de kosten van de personele en technische middelen die worden gebruikt om de elektronische gezondheidsgegevens te verrijken, ter beschikking gesteld van een nieuwe gebruiker. Die vergoeding wordt betaald aan de entiteit die de elektronische gezondheidsgegevens heeft verrijkt.

4. De vergoedingen die de instanties voor toegang tot gezondheidsgegevens of de gegevenshouders overeenkomstig dit artikel aan gebruikers van gegevens in rekening brengen, moeten transparant zijn en in verhouding staan tot de kosten van het verzamelen en beschikbaar stellen van elektronische gezondheidsgegevens voor secundair gebruik, objectief gerechtvaardigd zijn en de mededinging niet beperken. De steun die de gegevenshouder uit schenkingen, openbare nationale middelen of fondsen van de Unie ontvangt voor het opzetten, ontwikkelen of bijwerken van die dataset, wordt van deze berekening uitgesloten. Bij de vaststelling van de vergoedingen wordt rekening gehouden met de specifieke belangen en behoeften van kmo’s, overheidsorganen, instellingen, organen en instanties van de Unie die betrokken zijn bij onderzoek, gezondheidsbeleid of -analyse, onderwijsinstellingen en zorgaanbieders, door deze vergoedingen evenredig met hun omvang of budget.te verlagen.

5. Indien gegevenshouders en gegevensgebruikers binnen 1 maand na de verlening van de gegevensvergunning geen overeenstemming bereiken over de hoogte van de vergoedingen, kan de instantie voor toegang tot gezondheidsgegevens de vergoedingen vaststellen in evenredigheid met de kosten van het beschikbaar stellen van elektronische gezondheidsgegevens voor secundair gebruik. Gegevenshouders of gegevensgebruikers die het niet eens zijn met de door de instantie voor toegang tot gezondheidsgegevens vastgestelde vergoeding, kunnen zich wenden tot de overeenkomstig artikel 10 van Verordening [...] [dataverordening COM/2022/68 final] ingestelde geschillenbeslechtingsorganen.

6. De Commissie kan door middel van uitvoeringshandelingen beginselen en regels voor het vergoedingsbeleid en de vergoedingsstructuren vaststellen. Die uitvoeringshandelingen worden volgens de in artikel 68, lid 2, bedoelde raadplegingsprocedure vastgesteld.

Artikel 43

Sancties van de instanties voor toegang tot gezondheidsgegevens

1. De instanties voor toegang tot gezondheidsgegevens houden toezicht op de naleving van de in dit hoofdstuk vastgestelde voorschriften door gegevensgebruikers en gegevenshouders.

2. De informatie die instanties voor toegang tot gezondheidsgegevens van gebruikers en gegevenshouders opvragen om de naleving van dit hoofdstuk te controleren, moet in verhouding staan tot de uitvoering van de nalevingscontroletaak.

3. Wanneer instanties voor toegang tot gezondheidsgegevens vaststellen dat een gegevensgebruiker of gegevenshouder niet aan de voorschriften van dit hoofdstuk voldoet, stellen zij de gegevensgebruiker of gegevenshouder onmiddellijk in kennis van die bevindingen en geven zij deze de gelegenheid om binnen twee maanden zijn standpunt kenbaar te maken.

4. Instanties voor toegang tot gezondheidsgegevens hebben de bevoegdheid om de overeenkomstig artikel 46 afgegeven gegevensvergunning in te trekken en de betrokken elektronische verwerking van gezondheidsgegevens door de gegevensgebruiker stop te zetten om ervoor te zorgen dat de in lid 3 bedoelde niet-naleving onmiddellijk of binnen een redelijke termijn wordt beëindigd, en nemen passende en evenredige maatregelen om een conforme verwerking door de gegevensgebruikers te waarborgen. In dit verband moeten de instanties voor toegang tot gezondheidsgegevens in voorkomend geval de gegevensvergunning kunnen intrekken en de gegevensgebruiker gedurende een periode van maximaal vijf jaar kunnen uitsluiten van elke toegang tot elektronische gezondheidsgegevens.

5. Wanneer gegevenshouders de elektronische gezondheidsgegevens van instanties voor toegang tot gezondheidsgegevens achterhouden met de duidelijke bedoeling het gebruik van elektronische gezondheidsgegevens te belemmeren of de in artikel 41 vastgestelde termijnen niet in acht nemen, heeft de instantie voor toegang tot gezondheidsgegevens de bevoegdheid om de gegevenshouder boetes op te leggen voor elke dag vertraging, die transparant en evenredig moeten zijn. De hoogte van de boetes wordt vastgesteld door de instantie voor toegang tot gezondheidsgegevens. In geval van herhaalde schendingen door de gegevenshouder van de verplichting tot loyale samenwerking met de instantie voor toegang tot gezondheidsgegevens, kan die instantie de gegevenshouder gedurende een periode van maximaal vijf jaar uitsluiten van deelname aan de EHDS. Wanneer een gegevenshouder op grond van dit artikel van deelname aan de EHDS is uitgesloten omdat hij kennelijk voornemens is het secundaire gebruik van elektronische gezondheidsgegevens te belemmeren, heeft hij niet het recht om toegang te verlenen tot gezondheidsgegevens overeenkomstig artikel 49.

6. De instantie voor toegang tot gezondheidsgegevens deelt de krachtens lid 4 opgelegde maatregelen en de redenen daarvoor onverwijld mee aan de betrokken gegevensgebruiker of -houder en stelt een redelijke termijn vast waarbinnen de gegevensgebruiker of -houder aan die maatregelen moet voldoen.

7. Alle sancties en maatregelen die uit hoofde van lid 4 worden opgelegd, worden ter beschikking gesteld van andere instanties voor toegang tot gezondheidsgegevens.

8. De Commissie kan door middel van een uitvoeringshandeling de architectuur vaststellen van een IT-instrument dat tot doel heeft de in dit artikel bedoelde activiteiten te ondersteunen en transparant te maken voor andere instanties voor toegang tot gezondheidsgegevens, met name sancties en uitsluitingen. Die uitvoeringshandelingen worden volgens de in artikel 68, lid 2, bedoelde raadplegingsprocedure vastgesteld.

9. Elke natuurlijke of rechtspersoon die getroffen wordt door een besluit van een instantie voor toegang tot gezondheidsgegevens heeft het recht tegen een dergelijk besluit een doeltreffende voorziening in rechte in te stellen.

10. De Commissie kan richtsnoeren opstellen over sancties die door de instanties voor toegang tot gezondheidsgegevens moeten worden toegepast.

Afdeling 3

Vergunning voor het secundaire gebruik van elektronische gezondheidsgegevens

Artikel 44

Minimale gegevensverwerking en doelbinding

1. De instantie voor toegang tot gezondheidsgegevens zorgt ervoor dat alleen toegang wordt verleend tot gevraagde elektronische gezondheidsgegevens die relevant zijn voor het door de gegevensgebruiker in de aanvraag voor toegang tot gegevens vermelde verwerkingsdoel en in overeenstemming met de verleende gegevensvergunning.

2. De instanties voor toegang tot gezondheidsgegevens verstrekken de elektronische gezondheidsgegevens in een geanonimiseerd formaat, wanneer het doel van de verwerking door de gegevensgebruiker met die gegevens kan worden bereikt, rekening houdend met de door de gegevensgebruiker verstrekte informatie.

3. Wanneer het doel van de verwerking van de gegevensgebruiker niet kan worden bereikt met geanonimiseerde gegevens, rekening houdend met de door de gegevensgebruiker verstrekte informatie, verlenen de instanties voor toegang tot gezondheidsgegevens toegang tot elektronische gezondheidsgegevens in gepseudonimiseerde vorm. De informatie die nodig is om de pseudonimisering terug te draaien, is alleen beschikbaar voor de instantie voor toegang tot gezondheidsgegevens. Gegevensgebruikers mogen de elektronische gezondheidsgegevens die hun in gepseudonimiseerde vorm zijn verstrekt niet heridentificeren. Indien de gegevensgebruiker zich niet houdt aan de maatregelen van de instantie voor toegang tot gezondheidsgegevens om pseudonimisering te waarborgen, worden passende sancties opgelegd.

Artikel 45

Aanvragen voor gegevenstoegang

1. Elke natuurlijke of rechtspersoon kan een aanvraag voor toegang tot gegevens indienen voor de in artikel 34 genoemde doeleinden.

2. De aanvraag voor gegevenstoegang omvat:

a) een gedetailleerde toelichting bij het beoogde gebruik van de elektronische gezondheidsgegevens, met inbegrip van de vraag voor welke van de in artikel 34, lid 1, bedoelde doeleinden toegang wordt gevraagd;

b) een beschrijving van de gevraagde elektronische gezondheidsgegevens, hun formaat en gegevensbronnen, indien mogelijk, met inbegrip van de geografische dekking wanneer gegevens van verschillende lidstaten worden opgevraagd;

c) een vermelding of elektronische gezondheidsgegevens in geanonimiseerde vorm beschikbaar moeten worden gesteld;

d) indien van toepassing, een toelichting van de redenen voor het verzoeken om toegang tot elektronische gezondheidsgegevens in gepseudonimiseerd formaat;

e) een beschrijving van de voorgenomen waarborgen om elk ander gebruik van de elektronische gezondheidsgegevens te voorkomen;

f) een beschrijving van de voorgenomen waarborgen ter bescherming van de rechten en belangen van de gegevenshouder en van de betrokken natuurlijke personen;

g) een raming van de periode gedurende welke de elektronische gezondheidsgegevens nodig zijn voor de verwerking;

h) een beschrijving van de instrumenten en computermiddelen die nodig zijn voor een veilige omgeving.

3. Gegevensgebruikers die toegang wensen tot elektronische gezondheidsgegevens van meer dan één lidstaat dienen één aanvraag in bij een van de betrokken instanties voor toegang tot gezondheidsgegevens van hun keuze, die verantwoordelijk is voor het delen van het verzoek met andere instanties voor toegang tot gezondheidsgegevens en gemachtigde deelnemers aan HealthData@EU als bedoeld in artikel 52, die in de aanvraag voor toegang tot gegevens zijn geïdentificeerd. Voor verzoeken om toegang tot elektronische gezondheidsgegevens van meer dan één lidstaat stelt de instantie voor toegang tot gezondheidsgegevens de andere relevante instanties voor toegang tot gezondheidsgegevens in kennis van de ontvangst van een voor hen relevante aanvraag binnen 15 dagen na de datum van ontvangst van de aanvraag voor toegang tot gegevens.

4. Indien de aanvrager voornemens is toegang te krijgen tot de persoonlijke elektronische gezondheidsgegevens in een gepseudonimiseerd formaat, wordt samen met de aanvraag voor gegevenstoegang de volgende aanvullende informatie verstrekt:

a) een beschrijving van de wijze waarop de verwerking in overeenstemming zou zijn met artikel 6, lid 1, van Verordening (EU) 2016/679;

b) informatie over de beoordeling van ethische aspecten van de verwerking, indien van toepassing en in overeenstemming met de nationale wetgeving.

5. Voor de uitvoering van de in artikel 37, lid 1, punten b) en c), bedoelde taken verstrekken de openbare lichamen en de instellingen, organen en instanties van de Unie dezelfde informatie als vereist op grond van artikel 45, lid 2, met uitzondering van punt g), waar zij informatie verstrekken over de periode waarvoor toegang tot de gegevens kan worden verkregen, de frequentie van die toegang of de frequentie waarmee de gegevens worden bijgewerkt.

Wanneer de openbare lichamen en de instellingen, organen en instanties van de Unie voornemens zijn toegang te krijgen tot de elektronische gezondheidsgegevens in gepseudonimiseerde vorm, wordt ook een beschrijving verstrekt van de wijze waarop de verwerking in overeenstemming zou zijn met artikel 6, lid 1, van Verordening (EU) 2016/679 of artikel 5, lid 1, van Verordening (EU) 2018/1725, naargelang het geval.

6. De Commissie kan door middel van uitvoeringshandelingen de templates vaststellen voor de in dit artikel bedoelde aanvraag voor toegang tot gegevens, de in artikel 46 bedoelde gegevensvergunning en het in artikel 47 bedoelde verzoek om gegevens. Die uitvoeringshandelingen worden volgens de in artikel 68, lid 2, bedoelde procedure vastgesteld.

7. De Commissie is bevoegd overeenkomstig artikel 67 gedelegeerde handelingen vast te stellen om de lijst van informatie in de leden 2, 4, 5 en 6 van dit artikel te wijzigen teneinde ervoor te zorgen dat de lijst geschikt is voor de verwerking van een aanvraag voor toegang tot gegevens op nationaal of grensoverschrijdend niveau.

Artikel 46

Gegevensvergunning

1. De instanties voor toegang tot gezondheidsgegevens beoordelen of de aanvraag voldoet aan een van de in artikel 34, lid 1, van deze verordening genoemde doeleinden, of de gevraagde gegevens noodzakelijk zijn voor het in de aanvraag vermelde doel en of de aanvrager aan de voorschriften van dit hoofdstuk voldoet. Indien dat het geval is, geeft de instantie voor toegang tot gezondheidsgegevens een gegevensvergunning af.

2. Instanties voor toegang tot gezondheidsgegevens wijzen alle aanvragen af die een of meer van de in artikel 35 genoemde doeleinden omvatten, of wanneer niet aan de vereisten van dit hoofdstuk is voldaan.

3. Een instantie voor toegang tot gezondheidsgegevens geeft een gegevensvergunning af of weigert deze binnen twee maanden na ontvangst van de aanvraag voor toegang tot de gegevens. In afwijking van verordening [...] [datagovernanceverordening COM/2020/767 final] kan de instantie voor toegang tot gezondheidsgegevens de termijn voor het beantwoorden van een aanvraag voor toegang tot gegevens zo nodig met twee maanden verlengen, rekening houdend met de complexiteit van het verzoek. In dergelijke gevallen deelt de instantie voor toegang tot gezondheidsgegevens de aanvrager zo spoedig mogelijk mee dat er meer tijd nodig is voor de behandeling van de aanvraag, samen met de redenen voor de vertraging. Indien een instantie voor de toegang tot gezondheidsgegevens niet binnen de gestelde termijn een besluit neemt, wordt de gegevensvergunning afgegeven.

4. Na de afgifte van de gegevensvergunning vraagt de instantie voor toegang tot gezondheidsgegevens de gegevenshouder onmiddellijk om de elektronische gezondheidsgegevens. De instantie voor toegang tot gezondheidsgegevens stelt de elektronische gezondheidsgegevens ter beschikking van de gegevensgebruiker binnen twee maanden na ontvangst ervan van de gegevenshouders, tenzij de instantie voor toegang tot gezondheidsgegevens aangeeft dat zij de gegevens binnen een langere termijn zal verstrekken.

5. Wanneer de instantie voor toegang tot gezondheidsgegevens weigert een gegevensvergunning af te geven, motiveert zij deze weigering aan de aanvrager.

6. De gegevensvergunning bevat de algemene voorwaarden die van toepassing zijn op de gegevensgebruiker, met name:

a) de soorten en het formaat van de elektronische gezondheidsgegevens waartoe toegang is verkregen en waarop de gegevensvergunning betrekking heeft, met inbegrip van de bronnen ervan;

b) het doel waarvoor gegevens beschikbaar worden gesteld;

c) de geldigheidsduur van de gegevensvergunning;

d) informatie over de technische kenmerken en instrumenten waarover de gegevensgebruiker in de beveiligde verwerkingsomgeving beschikt;

e) de door de gegevensgebruiker te betalen vergoedingen;

f) eventuele aanvullende specifieke voorwaarden in de verleende gegevensvergunning.

7. Gegevensgebruikers hebben het recht om de elektronische gezondheidsgegevens in te zien en te verwerken in overeenstemming met de op grond van deze verordening aan hen verstrekte gegevensvergunning.

8. De Commissie is bevoegd gedelegeerde handelingen vast te stellen tot wijziging van de in lid 7 van dit artikel bedoelde lijst van aspecten die onder een gegevensvergunning moeten vallen, overeenkomstig de procedure van artikel 67.

9. Een gegevensvergunning wordt afgegeven voor de duur die nodig is om de gevraagde doeleinden te vervullen, die niet langer mag zijn dan vijf jaar. Deze termijn kan, op verzoek van de gegevensgebruiker, eenmaal worden verlengd en wel voor een periode van ten hoogste vijf jaar, mits de verlengingsaanvraag een maand voor het verstrijken van de gegevensvergunning wordt ingediend, en de verlening op basis van argumenten en documenten wordt gerechtvaardigd. In afwijking van artikel 42 kan de instantie voor toegang tot gezondheidsgegevens hogere vergoedingen in rekening brengen om rekening te houden met de kosten en risico’s van de opslag van elektronische gezondheidsgegevens voor een langere periode dan de eerste vijf jaar. Om deze kosten en vergoedingen te beperken, kan de instantie voor toegang tot gezondheidsgegevens de gegevensgebruiker ook voorstellen de dataset op te slaan in een opslagsysteem met beperkte mogelijkheden. De gegevens in de beveiligde verwerkingsomgeving worden binnen 6 maanden na het verstrijken van de gegevensvergunning gewist. Op verzoek van de gegevensgebruiker wordt de formule voor het aanmaken van de gevraagde dataset opgeslagen door de instantie voor toegang tot gezondheidsgegevens.

10. Indien de gegevensvergunning moet worden bijgewerkt, dient de gegevensgebruiker een verzoek tot wijziging van de gegevensvergunning in.

11. Gegevensgebruikers maken de resultaten of outputs van het secundaire gebruik van elektronische gezondheidsgegevens, met inbegrip van informatie die relevant is voor de verstrekking van gezondheidszorg, uiterlijk 18 maanden na voltooiing van de elektronische verwerking van gezondheidsgegevens of na ontvangst van het antwoord op het in artikel 47 bedoelde verzoek om gegevens openbaar. Deze resultaten of outputs bevatten alleen geanonimiseerde gegevens. De gegevensgebruiker informeert de instanties voor toegang tot gezondheidsgegevens die de gegevensvergunning hebben afgegeven en ondersteunt hen bij het openbaar maken van de informatie op de websites van de instanties voor toegang tot gezondheidsgegevens. Wanneer de gegevensgebruikers elektronische gezondheidsgegevens overeenkomstig dit hoofdstuk hebben gebruikt, erkennen zij de bronnen van de elektronische gezondheidsgegevens en het feit dat elektronische gezondheidsgegevens zijn verkregen in het kader van de EHDS.

12. De gegevensgebruikers stellen de instantie voor toegang tot gezondheidsgegevens in kennis van alle klinisch significante bevindingen die van invloed kunnen zijn op de gezondheidstoestand van de natuurlijke personen wier gegevens in de dataset zijn opgenomen.

13. De Commissie kan door middel van een uitvoeringshandeling een logo ontwikkelen om de bijdrage van de EHDS te erkennen. De uitvoeringshandeling wordt vastgesteld volgens de in artikel 68, lid 2, bedoelde adviesprocedure.

14. De aansprakelijkheid van de instanties voor toegang tot gezondheidsgegevens als gezamenlijke verwerkingsverantwoordelijke is beperkt tot de reikwijdte van de afgegeven gegevensvergunning tot de voltooiing van de verwerkingsactiviteit.

Artikel 47

Verzoek om gegevens

1. Elke natuurlijke of rechtspersoon kan een verzoek om gegevens indienen voor de in artikel 34 genoemde doeleinden. Een instantie voor toegang tot gezondheidsgegevens verstrekt alleen een antwoord op een verzoek om gegevens in een geanonimiseerd statistisch formaat en de gegevensgebruiker heeft geen toegang tot de elektronische gezondheidsgegevens die worden gebruikt om dit antwoord te geven.

2. Een verzoek om gegevens bevat de in artikel 45, lid 2, punten a) en b), genoemde elementen en kan, indien nodig, ook het volgende omvatten:

a) een beschrijving van het van de instantie voor toegang tot gezondheidsgegevens verwachte resultaat;

b) een beschrijving van de inhoud van de statistiek.

3. Wanneer een aanvrager op basis van een verzoek om gegevens om een resultaat in geanonimiseerde vorm, met inbegrip van een statistisch formaat, heeft verzocht, wordt dit binnen twee maanden door de instantie voor toegang tot gezondheidsgegevens beoordeelden verstrekt zij het resultaat indien mogelijk binnen twee maanden aan de gegevensgebruiker.

Artikel 48

Gegevens beschikbaar stellen voor openbare lichamen en instellingen, organen, bureaus en agentschappen van de Unie zonder gegevensvergunning

In afwijking van artikel 46 van deze verordening is een gegevensvergunning niet vereist om toegang te krijgen tot de elektronische gezondheidsgegevens uit hoofde van dit artikel. Bij de uitvoering van die taken uit hoofde van artikel 37, lid 1, punten b) en c), informeert de instantie voor toegang tot gezondheidsgegevens overeenkomstig artikel 9 van Verordening [...] [datagovernanceverordening COM/2020/767 final] de openbare lichamen en de instellingen, bureaus, agentschappen en organen van de Unie binnen twee maanden na de aanvraag voor toegang tot gegevens over de beschikbaarheid van gegevens. In afwijking van die verordening [...] [datagovernanceverordening COM/2020/767 final] kan de instantie voor toegang tot gezondheidsgegevens de termijn indien nodig met twee maanden verlengen, rekening houdend met de complexiteit van het verzoek. De instantie voor toegang tot gezondheidsgegevens stelt de elektronische gezondheidsgegevens binnen twee maanden na ontvangst ervan van de gegevenshouders ter beschikking van de gegevensgebruiker, tenzij zij bepaalt dat zij de gegevens binnen een langere termijn zal verstrekken.

Artikel 49

Toegang tot elektronische gezondheidsgegevens van één gegevenshouder

1. Wanneer een aanvrager slechts van één gegevenshouder in één enkele lidstaat toegang tot elektronische gezondheidsgegevens vraagt, kan die aanvrager, in afwijking van artikel 45, lid 1, een aanvraag voor gegevenstoegang of een verzoek om gegevens rechtstreeks bij de gegevenshouder indienen. De aanvraag voor toegang tot gegevens voldoet aan de vereisten van artikel 45 en het verzoek om gegevens voldoet aan de vereisten van artikel 47. Meerlandenverzoeken en verzoeken die een combinatie van datasets van meerdere gegevenshouders vereisen, moeten altijd tot de instanties voor toegang tot gezondheidsgegevens worden gericht.

2. In dat geval kan de gegevenshouder een gegevensvergunning afgeven overeenkomstig artikel 46 of een antwoord geven op een verzoek om gegevens overeenkomstig artikel 47. De gegevenshouder verleent vervolgens toegang tot de elektronische gezondheidsgegevens in een beveiligde verwerkingsomgeving overeenkomstig artikel 50 en kan overeenkomstig artikel 42 een vergoeding aanrekenen.

3. In afwijking van artikel 51 worden de enige gegevensverstrekker en de gegevensgebruiker beschouwd als gezamenlijke verwerkingsverantwoordelijken.

4. Binnen drie maanden stelt de gegevenshouder de relevante instantie voor toegang tot gezondheidsgegevens langs elektronische weg in kennis van alle ingediende aanvragen voor toegang tot gegevens, alle afgegeven gegevensvergunningen en de krachtens dit artikel ingediende verzoeken om gegevens, teneinde de instantie voor toegang tot gezondheidsgegevens in staat te stellen haar verplichtingen uit hoofde van artikel 37, lid 1, en artikel 39 na te komen.

Artikel 50

Beveiligde verwerkingsomgeving

1. De instanties voor toegang tot gezondheidsgegevens verlenen uitsluitend toegang tot elektronische gezondheidsgegevens via een beveiligde verwerkingsomgeving, met technische en organisatorische maatregelen en beveiligings- en interoperabiliteitsvereisten. Zij nemen met name de volgende beveiligingsmaatregelen:

a) zij beperken de toegang tot de beveiligde verwerkingsomgeving tot bevoegde personen die in de respectieve gegevensvergunning worden vermeld;

b) zij beperken het risico van het onrechtmatig lezen, kopiëren, wijzigen of weghalen van elektronische gezondheidsgegevens die in de beveiligde verwerkingsomgeving worden gehost, met behulp van geavanceerde technologische middelen tot een minimum;

c) zij beperken de bevoegdheid voor input van elektronische gezondheidsgegevens en voor inspectie, wijziging of verwijdering van elektronische gezondheidsgegevens in de beveiligde verwerkingsomgeving tot een beperkt aantal gemachtigde identificeerbare personen;

d) zij zorgen ervoor dat gegevensgebruikers alleen toegang hebben tot de elektronische gezondheidsgegevens waarop hun gegevensvergunning betrekking heeft, uitsluitend door middel van individuele en unieke gebruikersidentiteiten en vertrouwelijke toegangsprocedures;

e) zij houden identificeerbare toegangslogs tot de beveiligde verwerkingsomgeving bij, gedurende de periode die nodig is om alle verwerkingsactiviteiten in die omgeving te verifiëren en te controleren;

f) zij zorgen voor naleving en houden toezicht op de in dit artikel bedoelde beveiligingsmaatregelen om potentiële veiligheidsdreigingen te beperken.

2. De instanties voor toegang tot gezondheidsgegevens zorgen ervoor dat elektronische gezondheidsgegevens door gegevenshouders kunnen worden geüpload in een beveiligde verwerkingsomgeving en daar toegankelijk zijn voor de gegevensgebruiker. De gegevensgebruikers zijn alleen in staat niet-persoonsgebonden elektronische gezondheidsgegevens van de beveiligde verwerkingsomgeving te downloaden.

3. De instanties voor toegang tot gezondheidsgegevens zorgen voor regelmatige audits van de beveiligde verwerkingsomgevingen.

4. De Commissie stelt door middel van uitvoeringshandelingen de technische, informatiebeveiligings- en interoperabiliteitsvereisten voor de beveiligde verwerkingsomgevingen vast. Die uitvoeringshandelingen worden volgens de in artikel 68, lid 2, bedoelde raadplegingsprocedure vastgesteld.

Artikel 51

Gezamenlijke verwerkingsverantwoordelijken

1. De instanties voor toegang tot gezondheidsgegevens en de gegevensgebruikers, met inbegrip van de instellingen, organen en instanties van de Unie, worden beschouwd als gezamenlijke verwerkingsverantwoordelijken voor elektronische gezondheidsgegevens die overeenkomstig de gegevensvergunning worden verwerkt.

2. De Commissie stelt door middel van uitvoeringshandelingen een model vast voor de regeling voor de gezamenlijke verwerkingsverantwoordelijken. Deze uitvoeringshandelingen worden vastgesteld volgens de in artikel 68, lid 2, bedoelde adviesprocedure.

Afdeling 4

Grensoverschrijdende toegang tot elektronische gezondheidsgegevens voor secundair gebruik

Artikel 52

Grensoverschrijdende infrastructuur voor secundair gebruik van elektronische gezondheidsgegevens (HealthData@EU)

1. Elke lidstaat wijst een nationaal contactpunt voor secundair gebruik van elektronische gezondheidsgegevens aan, dat verantwoordelijk is voor het beschikbaar stellen van elektronische gezondheidsgegevens voor secundair gebruik in een grensoverschrijdende context, en deelt de bijbehorende namen en contactgegevens aan de Commissie mee. Het nationale contactpunt kan de uit hoofde van artikel 36 aangewezen coördinerende instantie voor toegang tot gezondheidsgegevens zijn. De Commissie en de lidstaten maken deze informatie openbaar toegankelijk.

2. De in lid 1 bedoelde nationale contactpunten worden gemachtigd tot deelname aan de grensoverschrijdende infrastructuur voor secundair gebruik van elektronische gezondheidsgegevens (HealthData@EU). De nationale contactpunten vergemakkelijken de grensoverschrijdende toegang tot elektronische gezondheidsgegevens voor secundair gebruik voor andere gemachtigde deelnemers aan de infrastructuur, en werken nauw met elkaar en met de Commissie samen.

3. Instellingen, organen, bureaus en agentschappen van de Unie die betrokken zijn bij onderzoek, gezondheidsbeleid of analyse, zijn gemachtigde deelnemers van HealthData@EU.

4. Onderzoeksinfrastructuren op het gebied van gezondheid of soortgelijke structuren waarvan de werking is gebaseerd op het Unierecht en die het gebruik van elektronische gezondheidsgegevens voor onderzoek, beleidsvorming, statistiek, patiëntveiligheid of regelgeving ondersteunen, zijn gemachtigde deelnemers van HealthData@EU.

5. Derde landen of internationale organisaties kunnen gemachtigde deelnemers worden wanneer zij voldoen aan de regels van hoofdstuk IV van deze verordening en aan in de Unie gevestigde gegevensgebruikers onder gelijkwaardige voorwaarden toegang verlenen tot de elektronische gezondheidsgegevens die beschikbaar zijn voor hun instanties voor toegang tot gezondheidsgegevens. De Commissie kan uitvoeringshandelingen vaststellen waarin wordt bepaald dat een nationaal contactpunt van een derde land of een op internationaal niveau ingesteld systeem voldoet aan de vereisten van HealthData@EU voor het secundaire gebruik van gezondheidsgegevens, voldoet aan hoofdstuk IV van deze verordening en gegevensgebruikers in de Unie onder gelijkwaardige voorwaarden toegang verleent tot de elektronische gezondheidsgegevens waartoe het toegang heeft. De naleving van deze wettelijke, organisatorische, technische en veiligheidseisen, met inbegrip van de normen voor beveiligde verwerkingsomgevingen overeenkomstig artikel 50, wordt gecontroleerd onder toezicht van de Commissie. Deze uitvoeringshandelingen worden volgens de in artikel 68, lid 2, bedoelde raadplegingsprocedure vastgesteld. De Commissie maakt de lijst van de op grond van dit lid aangenomen uitvoeringshandelingen openbaar.

6. Elke gemachtigde deelnemer zorgt ervoor te beschikken over de vereiste technische capaciteit om verbinding te maken met en deel te nemen aan HealthData@EU. Elke deelnemer voldoet aan de vereisten en technische specificaties die nodig zijn om de grensoverschrijdende infrastructuur te exploiteren en de gemachtigde deelnemers in staat te stellen binnen die infrastructuur met elkaar verbinding te maken.

7. De Commissie is bevoegd overeenkomstig artikel 67 gedelegeerde handelingen tot wijziging van dit artikel vast te stellen om categorieën gemachtigde deelnemers voor HealthData@EU toe te voegen of te schrappen, rekening houdend met het advies van de groep voor gezamenlijke verwerkingsverantwoordelijkheid overeenkomstig artikel 66 van deze verordening.

8. De lidstaten en de Commissie zetten HealthData@EU op om de grensoverschrijdende toegang tot elektronische gezondheidsgegevens voor secundair gebruik te ondersteunen en te vergemakkelijken door de nationale contactpunten voor secundair gebruik van elektronische gezondheidsgegevens van alle lidstaten en gemachtigde deelnemers aan die infrastructuur met elkaar te verbinden.

9. De Commissie ontwikkelt, installeert en beheert een kernplatform voor HealthData@EU door, als onderdeel van de grensoverschrijdende infrastructuur voor het secundaire gebruik van elektronische gezondheidsgegevens, informatietechnologiediensten te verlenen die nodig zijn om de verbinding tussen instanties voor toegang tot gezondheidsgegevens te vergemakkelijken. De Commissie verwerkt elektronische gezondheidsgegevens uitsluitend als een verwerker namens de gezamenlijke verwerkingsverantwoordelijken.

10. Op verzoek van twee of meer instanties voor toegang tot gezondheidsgegevens kan de Commissie voorzien in een beveiligde verwerkingsomgeving voor gegevens uit meer dan één lidstaat, die voldoet aan de vereisten van artikel 50. Wanneer twee of meer instanties voor toegang tot gezondheidsgegevens elektronische gezondheidsgegevens in de door de Commissie beheerde beveiligde verwerkingsomgeving plaatsen, zijn zij de gezamenlijke verwerkingsverantwoordelijken en is de Commissie de verwerker.

11. De gemachtigde deelnemers treden op als gezamenlijke verwerkingsverantwoordelijken voor de in HealthData@EU uitgevoerde verwerkingen waarbij zij betrokken zijn, en de Commissie treedt op als verwerker.

12. De lidstaten en de Commissie streven naar interoperabiliteit van HealthData@EU met andere relevante gemeenschappelijke Europese dataruimten als bedoeld in de Verordeningen […] [datagovernanceverordening COM(2020) 767 final] en […] [dataverordening COM(2022) 68 final].

13. De Commissie kan door middel van uitvoeringshandelingen de volgende elementen vaststellen:

a) vereisten, technische specificaties, de IT-architectuur van HealthData@EU, voorwaarden en nalevingscontroles voor gemachtigde deelnemers om verbinding te maken en verbonden te blijven met HealthData@EU, en voorwaarden voor tijdelijke of definitieve uitsluiting van HealthData@EU;

b) de minimumcriteria waaraan de gemachtigde deelnemers aan de infrastructuur moeten voldoen;

c) de verantwoordelijkheden van de gezamenlijke verwerkingsverantwoordelijken en verwerker(s) die deelnemen aan de grensoverschrijdende infrastructuur;

d) de verantwoordelijkheden van de gezamenlijke verwerkingsverantwoordelijken en verwerker(s) voor de beveiligde omgeving die door de Commissie wordt beheerd;

e) gemeenschappelijke specificaties voor de interoperabiliteit en architectuur van HealthData@EU met andere gemeenschappelijke Europese dataruimten.

Die uitvoeringshandelingen worden volgens de in artikel 68, lid 2, bedoelde raadplegingsprocedure vastgesteld.

14. De toestemming voor individuele gemachtigde deelnemers om zich bij HealthData@EU aan te sluiten of om de aansluiting van een deelnemer op de infrastructuur te beëindigen, wordt gegeven door de groep voor gezamenlijke verwerkingsverantwoordelijkheid op basis van de resultaten van de nalevingscontroles.

Artikel 53

Toegang tot grensoverschrijdende bronnen van elektronische gezondheidsgegevens voor secundair gebruik

1. In het geval van grensoverschrijdende registers en databanken is de instantie voor toegang tot gezondheidsgegevens waarbij de gegevenshouder geregistreerd is, bevoegd om te beslissen over aanvragen voor toegang tot elektronische gezondheidsgegevens. Indien het register gezamenlijke verwerkingsverantwoordelijken kent, is de instantie voor toegang tot gezondheidsgegevens die de toegang tot elektronische gezondheidsgegevens verleent de instantie in de lidstaat waar een van de gezamenlijke verwerkingsverantwoordelijken gevestigd is.

2. Wanneer registers of databanken van een aantal lidstaten zich organiseren tot één netwerk van registers of databanken op het niveau van de Unie, kunnen de betrokken registers een van hun leden als coördinator aanwijzen met het oog op het verstrekken van gegevens van het netwerk van registers voor secundair gebruik. De instantie voor toegang tot gezondheidsgegevens van de lidstaat waar de coördinator van het netwerk gevestigd is, is bevoegd om voor het netwerk van registers of databanken te beslissen over de aanvragen voor toegang tot elektronische gezondheidsgegevens.

3. De Commissie kan door middel van uitvoeringshandelingen de nodige regels vaststellen om de behandeling van aanvragen voor toegang tot gegevens voor HealthData@EU te vergemakkelijken, onder meer met een gemeenschappelijk aanvraagformulier, een gemeenschappelijk gegevensvergunningsmodel, standaardformulieren voor gemeenschappelijke contractuele regelingen voor toegang tot elektronische gezondheidsgegevens en uniforme procedures voor de behandeling van grensoverschrijdende verzoeken overeenkomstig de artikelen 45, 46, 47 en 48. Die uitvoeringshandelingen worden volgens de in artikel 68, lid 2, bedoelde raadplegingsprocedure vastgesteld.

Artikel 54

Wederzijdse erkenning

1. Bij de behandeling van een aanvraag voor grensoverschrijdende toegang tot elektronische gezondheidsgegevens voor secundair gebruik blijven de instanties voor toegang tot gezondheidsgegevens en de betrokken gemachtigde deelnemers verantwoordelijk voor het besluit om de toegang tot elektronische gezondheidsgegevens die onder hun bevoegdheid vallen te verlenen of te weigeren, overeenkomstig de in dit hoofdstuk vastgestelde toegangsvereisten.

2. Een door een betrokken instantie voor toegang tot gezondheidsgegevens afgegeven gegevensvergunning kan in aanmerking komen voor wederzijdse erkenning door de andere betrokken instanties voor toegang tot gezondheidsgegevens.

Afdeling 5

Kwaliteit en bruikbaarheid van gezondheidsgegevens voor secundair gebruik

Artikel 55

Beschrijving van de dataset

1. De instanties voor toegang tot gezondheidsgegevens informeren de gegevensgebruikers over de beschikbare datasets en hun kenmerken via een metagegevenscatalogus. Elke dataset bevat informatie over de bron, de reikwijdte, de belangrijkste kenmerken, de aard van de elektronische gezondheidsgegevens en de voorwaarden voor het beschikbaar stellen ervan.

2. De Commissie stelt door middel van uitvoeringshandelingen vast wat de informatie-elementen zijn die gegevenshouders op zijn minst voor de datasets moeten verstrekken en de kenmerken daarvan. Die uitvoeringshandelingen worden volgens de in artikel 68, lid 2, bedoelde raadplegingsprocedure vastgesteld.

Artikel 56

Gegevenskwaliteits- en bruikbaarheidslabel

1. Datasets die via instanties voor toegang tot gezondheidsgegevens beschikbaar worden gesteld, kunnen voorzien zijn van een door de gegevenshouders verstrekt EU-label inzake gegevenskwaliteit en bruikbaarheid.

2. Datasets met elektronische gezondheidsgegevens die met steun van de Unie of nationale overheidsfinanciering worden verzameld en verwerkt, hebben een gegevenskwaliteits- en bruikbaarheidslabel, in overeenstemming met de in lid 3 vastgestelde beginselen.

3. Het gegevenskwaliteits- en bruikbaarheidslabel voldoet aan de volgende elementen:

a) voor de documentatie van de gegevens: metagegevens, ondersteunende documentatie, gegevensmodel, gegevenswoordenboek, gebruikte normen, herkomst;

b) technische kwaliteit, waaruit de volledigheid, het unieke karakter, de nauwkeurigheid, geldigheid, tijdigheid en consistentie van de gegevens blijken;

c) voor processen voor het beheer van de gegevenskwaliteit: rijpheid van de processen voor het beheer van de gegevenskwaliteit, met inbegrip van evaluatie- en auditprocessen, onderzoek naar vertekeningen (bias);

d) dekking: weergave van multidisciplinaire elektronische gezondheidsgegevens, representativiteit van de bemonsterde populatie, gemiddelde tijdspanne waarin een natuurlijke persoon in een dataset voorkomt;

e) informatie over toegang en verstrekking: tijd tussen het verzamelen van de elektronische gezondheidsgegevens en de toevoeging ervan aan de dataset, tijd voor het verstrekken van elektronische gezondheidsgegevens nadat de aanvraag voor toegang tot elektronische gezondheidsgegevens is goedgekeurd;

f) informatie over de verrijking van gegevens: samenvoegen van datasets en toevoegen van gegevens aan een bestaande dataset, met inbegrip van koppelingen met andere datasets.

4. De Commissie is bevoegd om overeenkomstig artikel 67 gedelegeerde handelingen vast te stellen tot wijziging van de lijst van beginselen voor het gegevenskwaliteits- en bruikbaarheidslabel. Dergelijke gedelegeerde handelingen kunnen ook de in lid 3 bedoelde lijst wijzigen door vereisten voor het gegevenskwaliteits- en bruikbaarheidslabel toe te voegen, te wijzigen of te schrappen.

5. De Commissie stelt door middel van uitvoeringshandelingen de visuele kenmerken en de technische specificaties van het gegevenskwaliteits- en bruikbaarheidslabel vast op basis van de in lid 3 bedoelde elementen. Die uitvoeringshandelingen worden volgens de in artikel 68, lid 2, bedoelde raadplegingsprocedure vastgesteld. In die uitvoeringshandelingen wordt rekening gehouden met de vereisten van artikel 10 van Verordening […] [AI-verordening COM(2021) 206 final] en met alle vastgestelde gemeenschappelijke specificaties of geharmoniseerde normen ter ondersteuning van die vereisten.

Artikel 57

EU-catalogus van datasets

1. De Commissie stelt een EU-catalogus van datasets op die de nationale catalogi van datasets, opgesteld door de instanties voor toegang tot gezondheidsgegevens en andere gemachtigde deelnemers aan HealthData@EU, met elkaar verbindt.

2. De EU-catalogus van datasets en de nationale catalogi van datasets worden openbaar toegankelijk gemaakt.

Artikel 58

Minimumspecificaties van de datasets

De Commissie kan door middel van uitvoeringshandelingen de minimumspecificaties voor grensoverschrijdende datasets voor secundair gebruik van elektronische gezondheidsgegevens vaststellen, rekening houdend met bestaande infrastructuren, normen, richtsnoeren en aanbevelingen van de Unie. Die uitvoeringshandelingen worden volgens de in artikel 68, lid 2, bedoelde raadplegingsprocedure vastgesteld.

Hoofdstuk V

Aanvullende acties

Artikel 59

Capaciteitsopbouw

De Commissie ondersteunt de uitwisseling van beste praktijken en expertise voor de opbouw van de capaciteit van de lidstaten om de digitale gezondheidszorgstelsels voor primair en secundair gebruik van elektronische gezondheidsgegevens te versterken. Ter ondersteuning van de capaciteitsopbouw stelt de Commissie benchmarkingrichtsnoeren voor het primaire en secundaire gebruik van elektronische gezondheidsgegevens op.

Artikel 60

Aanvullende vereisten voor overheidsopdrachten en financiering door de Unie

1. Aanbestedende overheidsdiensten, nationale bevoegde autoriteiten, met inbegrip van autoriteiten voor digitale gezondheid en instanties voor toegang tot gezondheidsgegevens, en de Commissie verwijzen naar de toepasselijke technische specificaties, normen en profielen als bedoeld in de artikelen 6, 23, 50 en 56, naargelang het geval, als oriëntatiepunten voor overheidsopdrachten en bij het opstellen van hun aanbestedingsdocumenten of oproepen tot het indienen van voorstellen, alsook bij het bepalen van de voorwaarden voor financiering door de Unie in verband met deze verordening, met inbegrip van randvoorwaarden voor de structuur- en cohesiefondsen.

2. Bij de ex-antevoorwaarden voor financiering door de Unie wordt rekening gehouden met de vereisten die in het kader van de hoofdstukken II, III en IV zijn ontwikkeld.

Artikel 61

Doorgifte aan derde landen van niet-persoonsgebonden elektronische gegevens

1. Niet-persoonsgebonden elektronische gegevens die beschikbaar worden gesteld door instanties voor toegang tot gezondheidsgegevens en die gebaseerd zijn op elektronische gegevens van een natuurlijke persoon die onder een van de categorieën van artikel 33 [punten a), e), f), i), j), k), m)] vallen, worden beschouwd als zeer gevoelig in de zin van artikel 5, lid 13, van Verordening […] [datagovernanceverordening COM(2020) 767 final], mits de doorgifte ervan naar derde landen een risico op heridentificatie met middelen die de redelijkerwijs te gebruiken middelen overstijgen met zich meebrengt, in het licht van het beperkte aantal natuurlijke personen waarop die gegevens betrekking hebben, het feit dat zij geografisch verspreid zijn of de technologische ontwikkelingen die in de nabije toekomst worden verwacht.

2. De beschermingsmaatregelen voor de in lid 1 bedoelde gegevenscategorieën zijn afhankelijk van de aard van de gegevens en anonimiseringstechnieken en worden nader uitgewerkt in de context van de gedelegeerde handeling op grond van de in artikel 5, lid 13, van Verordening [...] [datagovernanceverordening, COM(2020) 767 final] verleende machtiging.

Artikel 62

Internationale toegang tot en doorgifte van niet-persoonsgebonden elektronische gezondheidsgegevens

1. Onverminderd lid 2 of lid 3 van dit artikel nemen de autoriteiten voor digitale gezondheid, de instanties voor toegang tot gezondheidsgegevens en de gemachtigde deelnemers aan de grensoverschrijdende infrastructuur als bedoeld in de artikelen 12 en 52 en gegevensgebruikers alle redelijke technische, juridische en organisatorische maatregelen, met inbegrip van contractuele regelingen, om de internationale doorgifte van of de toegang van overheden tot in de Unie bewaarde niet-persoonsgebonden elektronische gezondheidsgegevens te voorkomen, indien een dergelijke doorgifte of toegang in strijd zou zijn met het Unierecht of het nationale recht van de betrokken lidstaat.

2. Elke uitspraak van een rechterlijke instantie van een derde land en elke beslissing van een administratieve autoriteit van een derde land op grond waarvan een autoriteit voor digitale gezondheid, een instantie voor toegang tot gezondheidsgegevens of gegevensgebruikers niet-persoonsgebonden elektronische gezondheidsgegevens die binnen de werkingssfeer van deze verordening vallen en in de EU zijn opgeslagen, moet overdragen of er toegang toe moet verlenen, wordt alleen op enigerlei wijze erkend of is alleen afdwingbaar indien de uitspraak of beslissing gebaseerd is op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand, die van kracht is tussen het verzoekende derde land en de EU of op een dergelijke overeenkomst tussen het verzoekende derde land en een lidstaat.

3. Bij ontstentenis van een internationale overeenkomst als bedoeld in lid 2 van dit artikel, wanneer een autoriteit voor digitale gezondheid, een instantie voor toegang tot gezondheidsgegevens of een gegevensgebruiker de adressaat is van een beslissing of uitspraak van een rechterlijke instantie van een derde land of een besluit van een administratieve autoriteit van een derde land om niet-persoonsgebonden gegevens die binnen het toepassingsgebied van deze verordening vallen en die in de Unie worden bewaard, door te geven of er toegang toe te verlenen, en de naleving van een dergelijk besluit de adressaat in strijd zou kunnen brengen met het Unierecht of met het nationale recht van de betrokken lidstaat, vindt de doorgifte van of de toegang tot dergelijke gegevens door die autoriteit van het derde land alleen plaats indien:

a) het systeem van het derde land vereist dat de redenen en evenredigheid van een dergelijk besluit of een dergelijke uitspraak worden uiteengezet en dat een dergelijk besluit of een dergelijke uitspraak een specifiek karakter heeft, bijvoorbeeld door een voldoende sterk verband met bepaalde verdachten of inbreuken vast te stellen;

b) het met redenen omklede bezwaar van de adressaat is onderworpen aan een toetsing door een bevoegde rechterlijke instantie van een derde land, en

c) de bevoegde rechterlijke instantie van een derde land waar de beslissing of uitspraak van afkomstig is of die het besluit van een administratieve autoriteit herziet, is krachtens het recht van dat derde land bevoegd om naar behoren rekening te houden met de relevante juridische belangen van de aanbieder van de krachtens het Unierecht of het nationale recht van de betrokken lidstaat beschermde gegevens.

4. Indien aan de voorwaarden van lid 2 of lid 3 is voldaan, verstrekt de autoriteit voor digitale gezondheid, een instantie voor toegang tot gezondheidsgegevens of een gegevensaltruïsme-instantie de minimale hoeveelheid gegevens die in antwoord op een aanvraag is toegestaan, op basis van een redelijke interpretatie van de aanvraag.

5. De autoriteiten voor digitale gezondheid, de instanties voor toegang tot gezondheidsgegevens en de gegevensgebruikers stellen de gegevenshouder in kennis van het bestaan van een aanvraag van een administratieve autoriteit van een derde land tot het verkrijgen van toegang tot hun data alvorens aan deze aanvraag te voldoen, behalve wanneer de aanvraag rechtshandhavingsdoeleinden dient en zolang dit noodzakelijk is om de doeltreffendheid van de rechtshandhavingsactiviteiten te waarborgen.

Artikel 63

Internationale toegang tot en doorgifte van persoonlijke elektronische gezondheidsgegevens

In de context van internationale toegang tot en doorgifte van persoonlijke gezondheidsgegevens in elektronische vorm kunnen de lidstaten verdere voorwaarden, waaronder beperkingen, handhaven of invoeren overeenkomstig en onder de voorwaarden van artikel 9, lid 4, van Verordening (EU) 2016/679.

Hoofdstuk VI

Europese governance en coördinatie

Artikel 64

Raad voor de Europese ruimte voor gezondheidsgegevens (EHDS-raad)

1. Hierbij wordt een Raad voor de Europese ruimte voor gezondheidsgegevens (EHDS-raad) opgericht om de samenwerking en de uitwisseling van informatie tussen de lidstaten te vergemakkelijken. De EHDS-raad bestaat uit vertegenwoordigers op hoog niveau van de autoriteiten voor digitale gezondheid en de instanties voor toegang tot gezondheidsgegevens van alle lidstaten. Andere nationale autoriteiten, waaronder de in artikel 28 bedoelde markttoezichtautoriteiten, het Europees Comité voor gegevensbescherming en de Europese Toezichthouder voor gegevensbescherming, kunnen worden uitgenodigd voor de vergaderingen wanneer de besproken kwesties voor hen relevant zijn. De Raad kan ook deskundigen en waarnemers uitnodigen om zijn vergaderingen bij te wonen en kan in voorkomend geval samenwerken met andere externe deskundigen. Andere instellingen, organen, bureaus en agentschappen van de Unie, onderzoeksinfrastructuren en andere soortgelijke structuren hebben een waarnemersrol.

2. Afhankelijk van de functies die verband houden met het gebruik van elektronische gezondheidsgegevens, kan de EHDS-raad in subgroepen werken, wanneer autoriteiten voor digitale gezondheid of instanties voor toegang tot gezondheidsgegevens voor een bepaald gebied vertegenwoordigd moeten zijn. De subgroepen kunnen indien nodig gezamenlijke vergaderingen houden.

3. De samenstelling, organisatie, werking en samenwerking van de subgroepen worden vastgelegd in het door de Commissie voorgestelde reglement van orde.

4. Afhankelijk van de besproken onderwerpen en de mate van gevoeligheid ervan worden belanghebbenden en relevante derden, waaronder patiëntenvertegenwoordigers, uitgenodigd om de vergaderingen van de EHDS-raad bij te wonen en aan de werkzaamheden ervan deel te nemen.

5. De EHDS-raad werkt samen met andere relevante organen, entiteiten en deskundigen, zoals de in artikel 26 van Verordening […] [datagovernanceverordening COM(2020) 767 final] bedoelde Europese raad voor gegevensinnovatie, de krachtens artikel 7 van Verordening […] [dataverordening COM(2022) 68 final] opgerichte bevoegde instanties, de krachtens artikel 17 van Verordening […] [eID-verordening] opgerichte toezichthoudende organen, het in artikel 68 van Verordening (EU) 2016/679 bedoelde Europees Comité voor gegevensbescherming en de cyberbeveiligingsorganen.

6. De Commissie zit de vergaderingen van de EHDS-raad voor.

7. De EHDS-raad wordt bijgestaan door een secretariaat, dat door de Commissie wordt verzorgd.

8. De Commissie stelt door middel van uitvoeringshandelingen de nodige maatregelen vast voor de oprichting, het beheer en de werking van de EHDS-raad. Die uitvoeringshandelingen worden volgens de in artikel 68, lid 2, bedoelde raadplegingsprocedure vastgesteld.

Artikel 65

Taken van de EHDS-raad

1. De EHDS-raad heeft de volgende taken in verband met het primaire gebruik van elektronische gezondheidsgegevens overeenkomstig de hoofdstukken II en III:

a) de lidstaten bijstaan bij het coördineren van de praktijken van autoriteiten voor digitale gezondheid;

b) schriftelijke bijdragen uitbrengen en beste praktijken uitwisselen over aangelegenheden die verband houden met de coördinatie van de uitvoering op het niveau van de lidstaten van deze verordening en van de op grond daarvan vastgestelde gedelegeerde handelingen en uitvoeringshandelingen, met name wat betreft:

i) de bepalingen van de hoofdstukken II en III;

ii) de ontwikkeling van onlinediensten die de beveiligde toegang tot elektronische gezondheidsgegevens voor gezondheidswerkers en natuurlijke personen mogelijk maken, met inbegrip van beveiligde elektronische identificatie;

iii) andere aspecten van het primaire gebruik van elektronische gezondheidsgegevens;

c) de samenwerking tussen autoriteiten voor digitale gezondheid vergemakkelijken door middel van capaciteitsopbouw, het opzetten van een structuur voor jaarlijkse activiteitenrapportage, collegiale toetsing van jaarlijkse activiteitenverslagen en uitwisseling van informatie;

d) informatie uitwisselen over de risico’s van EPD-systemen, alsmede over ernstige incidenten en de manier waarop daarmee is of wordt omgegaan;

e) faciliteren van de uitwisseling van standpunten over het primaire gebruik van elektronische gezondheidsgegevens met de relevante belanghebbenden, waaronder vertegenwoordigers van patiënten, gezondheidswerkers, onderzoekers, regelgevers en beleidsmakers in de gezondheidssector.

2. De EHDS-raad wordt belast met de volgende taken in verband met het secundaire gebruik van elektronische gezondheidsgegevens overeenkomstig hoofdstuk IV:

a) de lidstaten bijstaan bij de coördinatie van de praktijken van instanties voor toegang tot gezondheidsgegevens bij de uitvoering van de bepalingen van hoofdstuk IV om een consistente toepassing van deze verordening te waarborgen;

b) schriftelijke bijdragen uitbrengen en beste praktijken uitwisselen over aangelegenheden die verband houden met de coördinatie van de uitvoering op het niveau van de lidstaten van deze verordening en van de op grond daarvan vastgestelde gedelegeerde handelingen en uitvoeringshandelingen, met name wat betreft:

i) de invoering van regels voor de toegang tot elektronische gezondheidsgegevens;

ii) technische specificaties of bestaande normen ten aanzien van de in hoofdstuk IV beschreven vereisten;

iii) stimuleringsbeleid ter bevordering van de gegevenskwaliteit en verbetering van de interoperabiliteit;

iv) beleid met betrekking tot de vergoedingen die door de instanties voor toegang tot gezondheidsgegevens en de gegevenshouders in rekening moeten worden gebracht;

v) de vaststelling en toepassing van sancties;

vi) andere aspecten van het secundaire gebruik van elektronische gezondheidsgegevens;

c) de samenwerking tussen instanties voor toegang tot gezondheidsgegevens vergemakkelijken door middel van capaciteitsopbouw, het opzetten van een structuur voor jaarlijkse activiteitenrapportage, collegiale toetsing van jaarlijkse activiteitenverslagen en uitwisseling van informatie;

d) informatie uitwisselen over risico’s, alsmede over incidenten op het gebied van de gegevensbescherming in verband met het secundaire gebruik van elektronische gezondheidsgegevens en de manier waarop daarmee is of wordt omgegaan;

e) bijdragen aan de werkzaamheden van de overeenkomstig artikel 29 van Verordening [...] [datagovernanceverordening COM(2020) 767 final] op te richten Europese raad voor gegevensinnovatie;

f) faciliteren van de uitwisseling van standpunten over het secundaire gebruik van elektronische gezondheidsgegevens met de relevante belanghebbenden, waaronder vertegenwoordigers van patiënten, gezondheidswerkers, onderzoekers, regelgevers en beleidsmakers in de gezondheidssector.

Artikel 66

Groepen voor gezamenlijke verwerkingverantwoordelijkheid met betrekking tot de infrastructuren van de Unie

1. De Commissie richt twee groepen op die de gezamenlijke verwerkingsverantwoordelijkheid dragen voor de in de artikelen 12 en 52 bedoelde grensoverschrijdende infrastructuren. De groepen bestaan uit vertegenwoordigers van de nationale contactpunten en andere gemachtigde deelnemers aan die infrastructuren.

2. De samenstelling, organisatie, werking en samenwerking van de subgroepen worden vastgelegd in het door die groepen vastgestelde reglement van orde.

3. Belanghebbenden en relevante derden, waaronder patiëntenvertegenwoordigers, kunnen worden uitgenodigd om de vergaderingen van de groepen bij te wonen en aan de werkzaamheden ervan deel te nemen.

4. De groepen kiezen voorzitters voor hun vergaderingen.

5. De groepen worden bijgestaan door een secretariaat, dat door de Commissie wordt verzorgd.

6. De groepen nemen besluiten over de ontwikkeling en exploitatie van de grensoverschrijdende infrastructuren overeenkomstig de hoofdstukken II en IV, over wijzigingen van de infrastructuur, het toevoegen van extra infrastructuur of diensten of het waarborgen van de interoperabiliteit met andere infrastructuren, digitale systemen of gegevensruimten. De groep neemt ook besluiten over de aansluiting van individuele gemachtigde deelnemers op de infrastructuren of over de beëindiging van hun aansluiting.

HOOFDSTUK VII

Delegatie en comité

Artikel 67

Uitoefening van de bevoegdheidsdelegatie

1. De bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend onder de in dit artikel neergelegde voorwaarden.

2. De in artikel 5, lid 2, artikel 10, lid 3, artikel 25, lid 3, artikel 32, lid 4, artikel 33, lid 7, artikel 37, lid 4, artikel 39, lid 3, artikel 41, lid 7, artikel 45, lid 7, artikel 46, lid 8, artikel 52, lid 7, en artikel 56, lid 4, bedoelde bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie overgedragen voor een onbepaalde termijn vanaf de datum van inwerkingtreding van deze verordening.

3. De in artikel 5, lid 2, artikel 10, lid 3, artikel 25, lid 3, artikel 32, lid 4, artikel 33, lid 7, artikel 37, lid 4, artikel 39, lid 3, artikel 41, lid 7, artikel 45, lid 7, artikel 46, lid 8, artikel 52, lid 7, en artikel 56, lid 4, bedoelde bevoegdheid om gedelegeerde handelingen vast te stellen kan te allen tijde door het Europees Parlement of door de Raad worden ingetrokken. Het besluit tot intrekking beëindigt de delegatie van de in dat besluit genoemde bevoegdheid. Het wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie of op een daarin genoemde latere datum. Het laat de geldigheid van de reeds van kracht zijnde gedelegeerde handelingen onverlet.

4. Vóór de vaststelling van een gedelegeerde handeling raadpleegt de Commissie de door elke lidstaat aangewezen deskundigen overeenkomstig de beginselen die zijn neergelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven.

5. Zodra de Commissie een gedelegeerde handeling heeft vastgesteld, doet zij daarvan gelijktijdig kennisgeving aan het Europees Parlement en de Raad.

6. Een krachtens artikel 5, lid 2, artikel 10, lid 3, artikel 25, lid 3, artikel 32, lid 4, artikel 33, lid 7, artikel 37, lid 4, artikel 39, lid 3, artikel 41, lid 7, artikel 45, lid 7, artikel 46, lid 8, artikel 52, lid 7, en artikel 56, lid 4, vastgestelde gedelegeerde handeling treedt alleen in werking indien het Europees Parlement noch de Raad daartegen binnen een termijn van drie maanden na de kennisgeving van de handeling aan het Europees Parlement en de Raad bezwaar hebben gemaakt, of indien zowel het Europees Parlement als de Raad de Commissie vóór het verstrijken van die termijn hebben meegedeeld dat zij daartegen geen bezwaar zullen maken. Die termijn wordt op initiatief van het Europees Parlement of de Raad met drie maanden verlengd.

Artikel 68

Comitéprocedure

1. De Commissie wordt bijgestaan door een comité. Dat comité is een comité in de zin van Verordening (EU) nr. 182/2011.

2. Wanneer naar dit lid wordt verwezen, is artikel 4 van Verordening (EU) nr. 182/2011 van toepassing.

Hoofdstuk VIII

Diversen

Artikel 69

Sancties

De lidstaten stellen voorschriften vast ten aanzien van de sancties die van toepassing zijn op overtredingen van deze verordening en nemen alle nodige maatregelen om ervoor te zorgen dat deze sancties worden uitgevoerd. De sancties moeten doeltreffend, evenredig en afschrikkend zijn. De lidstaten delen die regels en maatregelen uiterlijk op de datum van toepassing van deze verordening aan de Commissie mee en stellen haar onverwijld in kennis van eventuele latere wijzigingen.

Artikel 70

Evaluatie en toetsing

1. Na 5 jaar na de inwerkingtreding van deze verordening voert de Commissie een gerichte evaluatie van deze verordening uit, met name met betrekking tot hoofdstuk III, en dient zij bij het Europees Parlement en de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s een verslag over haar belangrijkste bevindingen in, in voorkomend geval vergezeld van een voorstel tot wijziging ervan. De evaluatie omvat een beoordeling van de zelfcertificering van EPD-systemen en onderzoekt of het nodig is een door aangemelde instanties uitgevoerde conformiteitsbeoordelingsprocedure in te voeren.

2. Na 7 jaar na de inwerkingtreding van deze verordening voert de Commissie een algemene evaluatie van deze verordening uit en dient zij bij het Europees Parlement en de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s een verslag in over haar belangrijkste bevindingen, in voorkomend geval vergezeld van een voorstel tot wijziging ervan.

3. De lidstaten verstrekken de Commissie de nodige informatie voor het opstellen van dit verslag.

Artikel 71

Wijziging van Richtlijn 2011/24/EU

Artikel 14 van Richtlijn 2011/24/EU wordt geschrapt.

Hoofdstuk IX

Uitgestelde toepassing en slotbepalingen

Artikel 72

Inwerkingtreding en toepassing

Deze verordening treedt in werking op de twintigste dag na de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Zij wordt 12 maanden na haar inwerkingtreding van toepassing.

De artikelen 3, 4, 5, 6, 7, 12, 14, 23 en 31 worden evenwel als volgt van toepassing:

a) 1 jaar na de toepassingsdatum op de in artikel 5, lid 1, punten a), b) en c), bedoelde categorieën persoonlijke elektronische gezondheidsgegevens en op EPD-systemen die door de fabrikant zijn bedoeld om gegevens uit die categorieën te verwerken;

b) 3 jaar na de toepassingsdatum op de in artikel 5, lid 1, punten d), e) en f), bedoelde categorieën persoonlijke elektronische gezondheidsgegevens en op EPD-systemen die door de fabrikant zijn bedoeld om gegevens uit die categorieën te verwerken;

c) vanaf de datum zoals vastgelegd in gedelegeerde handelingen die overeenkomstig artikel 5, lid 2, zijn vastgesteld voor andere categorieën persoonlijke elektronische gezondheidsgegevens.

Hoofdstuk III is van toepassing op EPD-systemen die vanaf 3 jaar na de toepassingsdatum overeenkomstig artikel 15, lid 2, in de Unie in gebruik worden genomen.

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.