Verordening 2025/327 - Europese ruimte voor gezondheidsgegevens - Hoofdinhoud

Publicatieblad

van de Europese Unie

NL

L-serie

2025/327

5.3.2025

Deze verordening beoogt de Europese ruimte voor gezondheidsgegevens (European Health Data Space, “EHDS”) tot stand te brengen om de toegang van natuurlijke personen tot hen betreffende persoonlijke elektronische gezondheidsgegevens en hun zeggenschap daarover in de context van gezondheidszorg te verbeteren, alsook met het oog op de betere verwezenlijking van andere doeleinden waarvoor wordt gebruikgemaakt van elektronische gezondheidsgegevens in de gezondheidszorg en in de zorg en waarbij de samenleving baat zou hebben, zoals onderzoek, innovatie, beleidsvorming, paraatheid voor en respons op gezondheidsbedreigingen, onder meer het voorkomen en het aanpakken van nieuwe pandemieën, patiëntveiligheid, gepersonaliseerde geneeskunde, officiële statistieken of regelgevingsactiviteiten. Daarnaast beoogt deze verordening de werking van de interne markt te verbeteren door een uniform rechtskader en technisch kader vast te stellen, met name voor de ontwikkeling, het op de markt aanbieden en het gebruik van systemen voor elektronische patiëntendossiers (de “EPD-systemen”) in overeenstemming met de waarden van de Unie. De EHDS zal een essentieel element vormen van de opzet van een sterke en veerkrachtige Europese gezondheidsunie.

De COVID-19-pandemie heeft duidelijk gemaakt dat het absoluut noodzakelijk is tijdige toegang te hebben tot hoogwaardige elektronische gezondheidsgegevens met het oog op de paraatheid voor en de respons op gezondheidsbedreigingen, alsook voor preventie, diagnose en behandeling en voor het secundaire gebruik van dergelijke elektronische gezondheidsgegevens. Dergelijke tijdige toegang kan mogelijk, door de doeltreffende bewaking en monitoring van de volksgezondheid, bijdragen tot doeltreffender beheer van nieuwe pandemieën, lagere kosten en een betere respons op gezondheidsbedreigingen, wat uiteindelijk kan helpen meer levens te redden. In 2020 heeft de Commissie haar bij Uitvoeringsbesluit (EU) 2019/1269 (4) opgezette systeem voor het beheer van klinische gegevens van patiënten (Clinical Patient Management System) met spoed aangepast, om de lidstaten in staat te stellen elektronische gezondheidsgegevens van COVID-19-patiënten die zich tijdens de piek van die pandemie tussen zorgaanbieders en lidstaten verplaatsten, te delen. Die aanpassing was evenwel slechts een noodoplossing, waaruit blijkt dat op het niveau van de lidstaten en de Unie behoefte is aan een structurele en consequente aanpak, om enerzijds de beschikbaarheid van elektronische gezondheidsgegevens voor de gezondheidszorg te verbeteren en anderzijds de toegang tot elektronische gezondheidsgegevens te vergemakkelijken, als leidraad voor een doeltreffende beleidsrespons en als bijdrage aan hoge normen op het gebied van de menselijke gezondheid.

Door de COVID-19-crisis zijn de werkzaamheden van het e-gezondheidsnetwerk, een vrijwillig netwerk van autoriteiten die verantwoordelijk zijn voor digitale gezondheid, vast verankerd als de belangrijkste pijler voor de ontwikkeling van mobiele contacttracerings- en waarschuwingsapps voor mobiele apparaten en de technische aspecten van de digitale EU-covidcertificaten. Ook is de noodzaak aan het licht gekomen om elektronische gezondheidsgegevens die vindbaar, toegankelijk, interoperabel en herbruikbaar (findable, accessible, interoperable and reusable, de zogenaamde “FAIR-beginselen”) zijn, te delen en om te verzekeren dat elektronische gezondheidsgegevens zo open mogelijk zijn, met inachtneming van het beginsel van minimale gegevensverwerking van Verordening (EU) 2016/679 van het Europees Parlement en de Raad (5). Er moet voor worden gezorgd dat synergieën tussen de EHDS, de Europese openwetenschapscloud (European Open Science Cloud, “EOSC”) en de Europese onderzoeksinfrastructuren tot stand komen, en dat lessen worden getrokken uit de oplossingen voor het delen van gegevens die zijn ontwikkeld in het kader van het Europees COVID-19-gegevensplatform.

Vanwege de gevoeligheid van persoonlijke elektronische gezondheidsgegevens beoogt deze verordening voldoende waarborgen te bieden op zowel Unieniveau als op nationaal niveau, om een hoge mate van gegevensbescherming, beveiliging, vertrouwelijkheid en ethisch gebruik te garanderen. Die waarborgen zijn noodzakelijk om het vertrouwen te bevorderen dat de behandeling van elektronische gezondheidsgegevens van natuurlijke personen voor primair gebruik en secundair gebruik als gedefinieerd in deze verordening veilig plaatsvindt.

Voor de verwerking van persoonlijke elektronische gezondheidsgegevens gelden de bepalingen van Verordening (EU) 2016/679 en, wat de instellingen, organen en instanties van de Unie betreft, van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad (6). Verwijzingen naar de bepalingen van Verordening (EU) 2016/679 moeten in voorkomend geval ook worden gelezen als verwijzingen naar de overeenkomstige bepalingen van Verordening (EU) 2018/1725 voor instellingen, organen en instanties van de Unie.

Steeds meer mensen die in de Unie wonen, steken de landsgrenzen over om te werken, te studeren, familieleden te bezoeken, of om andere redenen. Om de uitwisseling van gezondheidsgegevens te vergemakkelijken, en in overeenstemming met de noodzaak om de burgers meer zeggenschap te geven, moeten zij toegang kunnen krijgen tot hun gezondheidsgegevens in een elektronisch format dat in de hele Unie wordt erkend en aanvaard. Dergelijke persoonlijke elektronische gezondheidsgegevens kunnen persoonsgegevens omvatten die verband houden met de lichamelijke of geestelijke gezondheid van een natuurlijke persoon, waaronder gegevens in verband met verleende gezondheidsdiensten, waarmee informatie over de gezondheidstoestand van die natuurlijke persoon wordt gegeven, persoonsgegevens die verband houden met erfelijke of verworven genetische kenmerken van een natuurlijke persoon die unieke informatie verschaffen over de fysiologie of de gezondheid van die natuurlijke persoon en die met name voortkomen uit een analyse van een biologisch monster van de betrokken natuurlijke persoon, alsmede gegevens betreffende gezondheidsdeterminanten, zoals gedrags-, milieu-, onderwijs- of sociale factoren alsmede factoren in verband met fysieke invloeden en medische zorg. Elektronische gezondheidsgegevens omvatten ook gegevens die oorspronkelijk zijn verzameld met het oog op onderzoek, statistieken, beoordeling van gezondheidsbedreigingen, beleidsvorming of regelgeving, en het moet mogelijk zijn die gegevens beschikbaar te stellen overeenkomstig de in deze verordening vervatte regels. Elektronische gezondheidsgegevens bestaan uit alle categorieën van die gegevens, ongeacht of die gegevens worden verstrekt door de betrokkene of door andere natuurlijke of rechtspersonen, zoals gezondheidswerkers, of worden verwerkt in verband met de gezondheid of het welzijn van een natuurlijke persoon, en moeten ook afgeleide en ontleende gegevens, waaronder gegevens met betrekking tot diagnostische middelen, tests en medische onderzoeken, alsmede automatisch waargenomen en geregistreerde gegevens omvatten.

Persoonlijke elektronische gezondheidsgegevens worden in het kader van gezondheidsstelsels gewoonlijk verzameld in elektronische patiëntendossiers, die doorgaans de medische voorgeschiedenis, de diagnoses en behandelingen, de medicaties, allergieën, vaccinaties, radiologische beelden, laboratoriumresultaten en andere medische gegevens van een natuurlijke persoon bevatten, verspreid over verschillende actoren binnen het gezondheidsstelsel, zoals huisartsen, ziekenhuizen, apotheken of zorgdiensten. Om natuurlijke personen en gezondheidswerkers in staat te stellen de elektronische gezondheidsgegevens in te zien, te delen of te wijzigen, hebben sommige lidstaten de nodige juridische en technische maatregelen genomen en gecentraliseerde infrastructuren opgezet die de door zorgaanbieders en natuurlijke personen gebruikte EPD-systemen met elkaar verbinden. Een aantal lidstaten ondersteunt daarnaast publieke en particuliere zorgaanbieders bij het opzetten van ruimten voor persoonlijke elektronische gezondheidsgegevens om de interoperabiliteit tussen de verschillende zorgaanbieders mogelijk te maken. Verschillende lidstaten ondersteunen of verstrekken ook diensten voor toegang tot elektronische gezondheidsgegevens voor patiënten en gezondheidswerkers, bijvoorbeeld via patiënten- of gezondheidswerkersportalen. Die lidstaten hebben eveneens maatregelen genomen om te verzekeren dat de EPD-systemen of wellnessapps elektronische gezondheidsgegevens naar het centrale EPD-systeem kunnen doorsturen, bijvoorbeeld door te voorzien in een certificeringssysteem. Niet alle lidstaten hebben echter dergelijke systemen ingevoerd, en de lidstaten die deze wel hebben ingevoerd, hebben dat op versnipperde wijze gedaan. Om het vrij verkeer van persoonlijke elektronische gezondheidsgegevens in de hele Unie te vergemakkelijken en negatieve gevolgen voor patiënten die in een grensoverschrijdende context gezondheidszorg ontvangen, te voorkomen, is optreden van de Unie nodig om de toegang van natuurlijke personen tot hun eigen persoonlijke elektronische gezondheidsgegevens te verbeteren en om hen in staat te stellen die gegevens te delen. In dit verband moeten passende maatregelen op Unie- en nationaal niveau worden genomen als middel om versnippering, heterogeniteit en verdeeldheid te verminderen en in alle landen een systeem tot stand te brengen dat gebruikersvriendelijk en intuïtief is. Elke digitale transformatie in de gezondheidszorg moet ernaar streven inclusief te zijn en moet ook ten goede komen aan natuurlijke personen die over beperkte mogelijkheden beschikken om toegang te krijgen tot en gebruik te maken van digitale diensten, waaronder personen met een handicap.

Verordening (EU) 2016/679 bevat specifieke bepalingen betreffende de rechten van natuurlijke personen in verband met de verwerking van hun persoonsgegevens. De EHDS bouwt voort op die rechten en vult een aantal ervan aan zoals toegepast op persoonlijke elektronische gezondheidsgegevens. Die rechten zijn ongeacht de lidstaat waarin de persoonlijke elektronische gezondheidsgegevens worden verwerkt, het soort zorgaanbieder, de bronnen van die gegevens of de lidstaat van aansluiting van de natuurlijke persoon van toepassing. De rechten en regels in verband met het primaire gebruik van persoonlijke elektronische gezondheidsgegevens uit hoofde van de onderhavige verordening hebben betrekking op alle categorieën van die gegevens, ongeacht hoe ze zijn verzameld of wie ze heeft verstrekt, de rechtsgrondslag voor de verwerking uit hoofde van Verordening (EU) 2016/679 of de status van de verwerkingsverantwoordelijke als openbare of particuliere organisatie. Het aanvullende recht van inzage en het aanvullende recht op overdraagbaarheid van persoonlijke elektronische gezondheidsgegevens, waarin in deze verordening is voorzien, doen geen afbreuk aan het recht van inzage en het recht op overdraagbaarheid uit hoofde van Verordening (EU) 2016/679. Natuurlijke personen behouden deze rechten onder de in die verordening vastgestelde voorwaarden.

De bij Verordening (EU) 2016/679 verleende rechten moeten van toepassing blijven. Het recht van natuurlijke personen op inzage van gegevens, zoals vastgelegd in Verordening (EU) 2016/679, moet in de gezondheidszorg verder worden aangevuld. Op grond van die verordening hoeven verwerkingsverantwoordelijken niet onmiddellijk toegang te verlenen. Het recht van inzage in gezondheidsgegevens wordt op veel plaatsen gewoonlijk nog altijd ten uitvoering gelegd door de gevraagde gezondheidsgegevens op papier of als gescande documenten te verstrekken, wat tijdrovend is voor de verwerkingsverantwoordelijke, bijvoorbeeld een ziekenhuis dat of een andere zorgaanbieder die toegang verleent. Die situatie vertraagt de toegang van natuurlijke personen tot gezondheidsgegevens en kan negatieve gevolgen hebben voor hen indien zij deze om dringende redenen in verband met hun gezondheidstoestand onmiddellijk moeten inzien. Daarom moet natuurlijke personen een efficiëntere manier worden geboden om toegang te krijgen tot hun eigen persoonlijke elektronische gezondheidsgegevens. Zij moeten het recht hebben van kosteloze en onmiddellijke toegang — met inachtneming van de behoefte aan technologische uitvoerbaarheid — tot specifieke prioritaire categorieën persoonlijke elektronische gezondheidsgegevens, zoals de essentiële patiëntgegevens, via een dienst voor toegang tot elektronische gezondheidsgegevens. Dat recht moet gelden ongeacht de lidstaat waarin de persoonlijke elektronische gezondheidsgegevens worden verwerkt, het soort zorgaanbieder, de bronnen van die gegevens of de lidstaat van aansluiting van de natuurlijke persoon. Het toepassingsgebied van dat bij de onderhavige verordening vastgestelde aanvullende recht en de voorwaarden voor de uitoefening ervan verschillen op bepaalde vlakken van het recht van inzage van persoonsgegevens uit hoofde van Verordening (EU) 2016/679, dat betrekking heeft op alle persoonsgegevens die in het bezit zijn van een verwerkingsverantwoordelijke en wordt uitgeoefend tegen een individuele verwerkingsverantwoordelijke, die vervolgens maximaal een maand de tijd heeft om op het verzoek in te gaan. Het recht van inzage in persoonlijke elektronische gezondheidsgegevens uit hoofde van de onderhavige verordening moet beperkt zijn tot de categorieën gegevens die binnen het toepassingsgebied ervan vallen, moet worden uitgeoefend via een dienst voor toegang tot elektronische gezondheidsgegevens en moet onmiddellijk antwoord bieden. De rechten uit hoofde van Verordening (EU) 2016/679 moeten van toepassing blijven opdat natuurlijke personen zich kunnen beroepen op de rechten uit hoofde van beide rechtskaders, met name het recht op een papieren kopie van de elektronische gezondheidsgegevens.

Tegelijkertijd moet worden overwogen dat de onmiddellijke toegang van natuurlijke personen tot bepaalde categorieën van hen betreffendepersoonlijke elektronische gezondheidsgegevens schadelijk zou kunnen zijn voor de veiligheid van natuurlijke personen of onethisch. Het zou bijvoorbeeld onethisch kunnen zijn dat een patiënt via een elektronisch kanaal wordt geïnformeerd over een diagnose van een ongeneeslijke ziekte waaraan hij of zij waarschijnlijk zal overlijden, zonder die informatie eerst in een persoonlijk gesprek te verstrekken. Het moet daarom mogelijk zijn de verlening van deze toegang tot persoonlijke elektronische gezondheidsgegevens in dergelijke situaties voor beperkte tijd uit te stellen, bijvoorbeeld tot het moment waarop de gezondheidswerker de situatie kan uitleggen aan de patiënt. De lidstaten moeten deze uitzondering kunnen instellen wanneer ze een noodzakelijke en evenredige maatregel in een democratische samenleving is, met inachtneming van beperkingen die in artikel 23 van Verordening (EU) 2016/679 zijn bedoeld.

Deze verordening doet geen afbreuk aan de bevoegdheden van de lidstaten met betrekking tot de aanvankelijke registratie van persoonlijke elektronische gezondheidsgegevens, waaronder de bevoegdheid om de registratie van genetische gegevens afhankelijk te stellen van de toestemming van de natuurlijke persoon of van andere waarborgen. De lidstaten kunnen verlangen dat gegevens vóór de toepassing van deze verordening elektronisch beschikbaar worden gesteld. Dit mag geen afbreuk doen aan de verplichting om na de datum van toepassing van deze verordening geregistreerde persoonlijke elektronische gezondheidsgegevens elektronisch beschikbaar te stellen.

Ter aanvulling van de informatie waarover zij beschikken, moeten natuurlijke personen elektronische gezondheidsgegevens aan hun EPD’s kunnen toevoegen of aanvullende informatie kunnen opslaan in hun afzonderlijke persoonlijke gezondheidsdossier, dat door gezondheidswerkers kan worden ingezien. Door natuurlijke personen ingevoerde informatie is echter mogelijk niet zo betrouwbaar als elektronische gezondheidsgegevens die door gezondheidswerkers worden ingevoerd en geverifieerd en heeft niet dezelfde klinische of juridische waarde als informatie die door een gezondheidswerker wordt verstrekt. Daarom moeten door natuurlijke personen in hun EPD toegevoegde gegevens duidelijk te onderscheiden zijn van door gezondheidswerkers verstrekte gegevens. Die mogelijkheid voor natuurlijke personen om persoonlijke elektronische gezondheidsgegevens toe te voegen en aan te vullen mag hen niet het recht geven om door gezondheidswerkers verstrekte persoonlijke elektronische gezondheidsgegevens te wijzigen.

Door natuurlijke personen in staat te stellen gemakkelijker en sneller toegang te krijgen tot hen betreffende persoonlijke elektronische gezondheidsgegevens, zullen zij in staat worden gesteld eventuele fouten, zoals onjuiste informatie of ten onrechte toegeschreven patiëntendossiers, op te merken. In dergelijke gevallen moeten natuurlijke personen onmiddellijk en kosteloos online om rectificatie van de onjuiste persoonlijke elektronische gezondheidsgegevens kunnen verzoeken, via een dienst voor toegang tot elektronische gezondheidsgegevens. Verzoeken tot rectificatie van gegevens moeten vervolgens door de betrokken verwerkingsverantwoordelijken worden behandeld overeenkomstig Verordening (EU) 2016/679, zo nodig met inschakeling van gezondheidswerkers met een relevante specialisatie, die verantwoordelijk zijn voor de behandeling van de natuurlijke personen.

Krachtens Verordening (EU) 2016/679 is het recht op overdraagbaarheid van gegevens beperkt tot op basis van toestemming of een overeenkomst verwerkte gegevens en gegevens die door de betrokkene aan een verwerkingsverantwoordelijke worden verstrekt. Daarnaast hebben natuurlijke personen krachtens die verordening alleen het recht om de persoonsgegevens rechtstreeks van de ene verwerkingsverantwoordelijke naar de andere te laten overdragen wanneer dit technisch mogelijk is. Verordening (EU) 2016/679 legt echter geen verplichting op om die rechtstreekse overdracht technisch mogelijk te maken. Het recht op overdraagbaarheid van gegevens moet in het kader van deze verordening worden aangevuld om natuurlijke personen in staat te stellen toegang te verlenen tot ten minste prioritaire categorieën van hen betreffende persoonlijke elektronische gezondheidsgegevens aan de gezondheidswerkers van hun keuze, dergelijke gezondheidsgegevens met deze gezondheidswerkers uit te wisselen en dergelijke gezondheidsgegevens te downloaden. Verder moeten natuurlijke personen het recht hebben om een zorgaanbieder te verzoeken een deel van hun elektronische gezondheidsgegevens aan een duidelijk geïdentificeerde ontvanger uit de socialezekerheidssector of de sector van vergoedingsdiensten door te geven. Die doorgifte mag slechts in één richting plaatsvinden.

Het bij de onderhavige verordening vastgestelde kader moet voortbouwen op het recht op overdraagbaarheid van gegevens zoals vastgelegd in Verordening (EU) 2016/679, door te waarborgen dat natuurlijke personen als betrokkene hen betreffende persoonlijke elektronische gezondheidsgegevens, met inbegrip van afgeleide gegevens, kunnen doorgeven in het Europees uitwisselingsformat voor elektronische patiëntendossiers, ongeacht de rechtsgrondslag voor de verwerking van de elektronische gezondheidsgegevens. Gezondheidswerkers mogen de uitoefening van de rechten van natuurlijke personen niet belemmeren, bijvoorbeeld door te weigeren persoonlijke elektronische gezondheidsgegevens in aanmerking te nemen die afkomstig zijn uit een andere lidstaat en die in het interoperabel en betrouwbaar Europees uitwisselingsformat voor elektronische patiëntendossiers worden verstrekt.

Toegang van zorgaanbieders of andere personen tot elektronische gezondheidsdossiers moet voor de betrokken natuurlijke personen transparant zijn. Diensten voor toegang tot elektronische gezondheidsgegevens moeten gedetailleerde informatie verstrekken over de toegang tot gegeven, zoals wanneer en aan welke entiteit of natuurlijke persoon toegang is verleend en tot welke gegevens toegang is verleend. Natuurlijke personen moeten ook automatische kennisgevingen met betrekking tot de toegang tot persoonlijke elektronische gezondheidsgegevens die henzelf betreffen, kunnen in- en uitschakelen via de toegangsdiensten voor gezondheidswerkers.

Natuurlijke personen willen mogelijk geen toegang verlenen tot bepaalde onderdelen van hen betreffende persoonlijke elektronische gezondheidsgegevens, maar wel tot andere onderdelen. Dit zou met name relevant kunnen zijn in geval van gevoelige gezondheidsproblemen, zoals problemen in verband met de geestelijke of seksuele gezondheid, gevoelige procedures, zoals abortus, of gegevens met betrekking tot specifieke geneesmiddelen die andere gevoelige kwesties aan het licht zouden kunnen brengen. Dat selectief delen van persoonlijke elektronische gezondheidsgegevens moet daarom worden ondersteund en uitgevoerd door middel van beperkingen die door de betrokken natuurlijke persoon op dezelfde wijze worden vastgesteld binnen het grondgebied van een bepaalde lidstaat en voor grensoverschrijdende gegevensuitwisseling. Die beperkingen moeten voldoende granulariteit mogelijk maken om delen van datasets, zoals elementen van de essentiële patiëntgegevens, te beperken. Voordat de beperkingen worden vastgesteld moeten natuurlijke personen worden ingelicht over de risico’s die het beperken van de toegang tot gezondheidsgegevens met zich meebrengt voor de patiëntveiligheid. Aangezien de niet-beschikbaarheid van de aan beperkingen onderworpen persoonlijke elektronische gezondheidsgegevens gevolgen kan hebben voor de verstrekking of de kwaliteit van de gezondheidsdiensten die aan de natuurlijke persoon worden verleend, moet de natuurlijke persoon die van dergelijke toegangsbeperkingen gebruikmaakt de verantwoordelijkheid op zich nemen voor het feit dat de zorgaanbieder bij het verlenen van gezondheidsdiensten de gegevens niet in aanmerking kan nemen. De beperkingen op de toegang tot persoonlijke elektronische gezondheidsgegevens zouden levensbedreigende gevolgen kunnen hebben en daarom moeten die gegevens toch kunnen worden ingezien wanneer dat nodig is om vitale belangen in noodgevallen te beschermen. De lidstaten kunnen in hun nationale recht voorzien in specifiekere wettelijke bepalingen inzake de mechanismen voor beperkingen die natuurlijke personen opleggen voor bepaalde onderdelen van hen betreffende persoonlijke elektronische gezondheidsgegevens, met name met betrekking tot de medische aansprakelijkheid in gevallen waarin de betrokken personen beperkingen hebben opgelegd.

Bovendien moeten de lidstaten, gezien de uiteenlopende gevoeligheden in de lidstaten wat betreft de mate waarin patiënten zeggenschap hebben over hun gezondheidsgegevens, kunnen voorzien in een absoluut opt-out-recht wat de toegang tot hen betreffende persoonlijke elektronische gezondheidsgegevens betreft door anderen dan de oorspronkelijke verwerkingsverantwoordelijke, zonder enige mogelijkheid om die opt-out terzijde te schuiven in noodgevallen. In een dergelijk geval moeten de lidstaten de regels en specifieke waarborgen met betrekking tot een dergelijk opt-out-mechanismen vaststellen. Die regels en specifieke waarborgen zouden tevens betrekking kunnen hebben op specifieke categorieën persoonlijke elektronische gezondheidsgegevens, zoals genetische gegevens. Het opt-out-recht houdt in dat persoonlijke elektronische gezondheidsgegevens met betrekking tot de natuurlijke persoon die het uitoefent, niet beschikbaar zouden worden gesteld via de in het kader van de EHDS opgezette diensten aan andere entiteiten dan de zorgaanbieder die de behandeling heeft verricht. De lidstaten moeten kunnen vereisen dat persoonlijke elektronische gezondheidsgegevens worden geregistreerd en opgeslagen in een EPD-systeem dat wordt gebruikt door de zorgaanbieder die de gezondheidsdiensten heeft verleend en dat alleen toegankelijk is voor die zorgaanbieder. Indien een natuurlijke persoon het opt-out-recht heeft uitgeoefend, documenteren de zorgaanbieders nog altijd de verstrekte behandeling overeenkomstig de toepasselijke regels en hebben zij toegang tot de door hen geregistreerde gegevens. Natuurlijke personen die het opt-out-recht uitoefenen moeten hun besluit kunnen terugdraaien. In dergelijke gevallen zijn tijdens de opt-out-periode gegenereerde persoonlijke elektronische gezondheidsgegevens mogelijk niet beschikbaar via de diensten voor toegang tot persoonlijke gezondheidsgegevens en MyHealth@EU.

Tijdige en volledige toegang van gezondheidswerkers tot de medische dossiers van patiënten is van fundamenteel belang om de continuïteit van de zorg te waarborgen, dubbel werk en fouten te voorkomen en de kosten te drukken. Door een gebrek aan interoperabiliteit hebben gezondheidswerkers in veel gevallen echter geen toegang tot de volledige medische dossiers van hun patiënten en kunnen zij geen optimale medische beslissingen nemen wat diagnose en behandeling betreft, wat zowel voor de stelsels als voor de natuurlijke personen aanzienlijke kosten met zich meebrengt en tot slechtere gezondheidsresultaten voor natuurlijke personen kan leiden. In een interoperabel format beschikbaar gestelde elektronische gezondheidsgegevens die tussen de zorgaanbieders kunnen worden doorgegeven, kunnen ook de administratieve lasten voor de gezondheidswerkers bij het handmatig invoeren van gezondheidsgegevens of kopiëren daarvan tussen elektronische systemen verminderen. Daarom moeten gezondheidswerkers beschikking krijgen over passende elektronische middelen, zoals elektronische apparaten en gezondheidswerkersportalen of andere toegangsdiensten voor gezondheidswerkers, om bij de uitoefening van hun taken gebruik te kunnen maken van persoonlijke elektronische gezondheidsgegevens. Aangezien het moeilijk is om vooraf uitputtend vast te stellen welke gegevens van de bestaande gegevens in prioritaire categorieën vanuit medisch oogpunt relevant zijn in een specifieke zorgperiode, moeten gezondheidswerkers ruime gegevenstoegang hebben. Wanneer gezondheidswerkers gegevens van hun patiënten inzien, moeten zij het toepasselijk recht en toepasselijke gedragscodes, deontologische richtsnoeren en andere bepalingen inzake ethisch gedrag met betrekking tot het delen van of de toegang tot informatie naleven, met name in levensbedreigende of extreme situaties. Overeenkomstig Verordening (EU) 2016/679 moeten zorgaanbieders, opdat hun toegang beperkt blijft tot wat relevant is voor een specifieke zorgperiode, bij het gebruik van persoonlijke elektronische gezondheidsgegevens het beginsel van minimale gegevensverwerking in acht nemen en zich alleen toegang verschaffen tot gegevens waarvan het gebruik strikt noodzakelijk en gerechtvaardigd is voor een bepaalde dienst. Het verlenen van toegangsdiensten aan gezondheidswerkers is een uit hoofde van deze verordening toegewezen taak van algemeen belang waarvan de uitvoering de verwerking van persoonsgegevens als bedoeld in artikel 6, lid 1, punt e), van Verordening (EU) 2016/679 vereist. De onderhavige verordening voorziet in voorwaarden en waarborgen voor de verwerking van elektronische gezondheidsgegevens door de toegangsdiensten voor gezondheidswerkers in overeenstemming met artikel 9, lid 2, punt h), van Verordening (EU) 2016/679, bijvoorbeeld gedetailleerde bepalingen inzake logbestanden over toegang tot persoonlijke elektronische gezondheidsgegevens en die erop gericht zijn de betrokkenen transparantie te bieden. De onderhavige verordening mag echter geen afbreuk doen aan het nationale recht inzake de verwerking van gezondheidsgegevens met het oog op de verlening van gezondheidszorg, met inbegrip van het nationale recht tot vaststelling van de categorieën gezondheidswerkers die verschillende categorieën elektronische gezondheidsgegevens kunnen verwerken.

Om de uitoefening van het bij deze verordening vastgestelde aanvullende recht van inzage en het bij deze verordening vastgestelde aanvullende recht op overdraagbaarheid te vergemakkelijken, moeten de lidstaten een of meer diensten voor toegang tot elektronische gezondheidsgegevens opzetten. Die diensten zouden op nationaal, regionaal of lokaal niveau, of door zorgaanbieders, in de vorm van een online patiëntenportaal, een app voor mobiele apparaten of anderszins kunnen worden verleend. Bij de vormgeving ervan moet toegankelijkheid, met name voor personen met een handicap, in gedachten worden gehouden. De verlening van dergelijke diensten om natuurlijke personen gemakkelijke toegang te verlenen tot hen betreffende persoonlijke elektronische gezondheidsgegevens is van zwaarwegend algemeen belang. De verwerking van persoonlijke elektronische gezondheidsgegevens door die diensten is noodzakelijk voor de uitvoering van de bij deze verordening toegewezen taak in de zin van artikel 6, lid 1, punt e), en artikel 9, lid 2, punt g), van Verordening (EU) 2016/679. De onderhavige verordening voorziet in de nodige voorwaarden en waarborgen voor de verwerking van elektronische gezondheidsgegevens binnen diensten voor toegang tot elektronische gezondheidsgegevens, waaronder elektronische identificatie van natuurlijke personen die toegang hebben tot dergelijke diensten.

Natuurlijke personen moeten andere natuurlijke personen van hun keuze, zoals familieleden of andere naaste natuurlijke personen, kunnen machtigen om namens hen toegang te krijgen tot of zeggenschap uit te oefenen over de toegang tot de persoonlijke elektronische gezondheidsgegevens van de personen die de machtiging verlenen of gebruik te maken van digitale gezondheidsdiensten. Dergelijke machtigingen zouden ook praktisch kunnen zijn voor ander gebruik door natuurlijke personen die voorzien zijn van een dergelijke machtiging. De lidstaten moeten proxydiensten opzetten om dergelijke machtigingen mogelijk te maken en te implementeren, en die proxydiensten moeten worden gekoppeld aan diensten voor toegang tot persoonlijke elektronische gezondheidsgegevens, zoals patiëntenportalen of apps voor mobiele apparaten. Die proxydiensten moeten het ook mogelijk maken voor voogden om op te treden namens de personen te hunnen laste, waaronder minderjarigen; in dergelijke situaties zouden de machtigingen automatisch kunnen worden verleend. Naast die proxydiensten moeten de lidstaten ook gemakkelijk toegankelijke ondersteunende diensten opzetten die worden verleend door naar behoren opgeleid personeel dat natuurlijke personen moet bijstaan bij de uitoefening van hun rechten. Om rekening te houden met gevallen waarin het in strijd met de belangen of de wil van personen ten laste, waaronder minderjarigen, zou kunnen zijn dat bepaalde persoonlijke elektronische gezondheidsgegevens voor hun voogden zichtbaar zijn, moeten de lidstaten in hun nationale recht in dergelijke beperkingen en waarborgen, alsook in mechanismen voor de technische uitvoering daarvan kunnen voorzien. Diensten voor toegang tot persoonlijke elektronische gezondheidsgegevens, zoals patiëntenportalen of patiëntgerichte apps voor mobiele apparaten, moeten van dergelijke machtigingen gebruikmaken en het de gemachtigde natuurlijke personen derhalve mogelijk maken toegang te krijgen tot de persoonlijke elektronische gezondheidsgegevens die onder de machtiging vallen. Om te zorgen voor een gebruiksvriendelijkere horizontale oplossing, moeten digitale proxyoplossingen worden afgestemd op Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad (7) en de technische specificaties van de Europese portemonnee voor digitale identiteit. Die afstemming zou zowel de administratieve als de financiële lasten voor de lidstaten helpen verminderen door het risico te verlagen dat parallelle systemen worden ontwikkeld die niet in de hele Unie interoperabel zijn.

In bepaalde lidstaten wordt gezondheidszorg verleend door eerstelijnszorgmanagementteams, te weten groepen gezondheidswerkers die zich richten op eerstelijnszorg, namelijk huisartsen, en hun eerstelijnszorgactiviteiten uitvoeren op basis van een door hen opgesteld gezondheidszorgplan. In bepaalde lidstaten bestaan ook andere soorten gezondheidszorgteams voor andere zorgdoeleinden. In het kader van het primaire gebruik in de EHDS moet toegang worden verleend aan de gezondheidswerkers die behoren tot dergelijke teams.

De krachtens Verordening (EU) 2016/679 ingestelde toezichthoudende autoriteiten zijn bevoegd voor de monitoring en handhaving van de toepassing van die verordening, met name om de verwerking van persoonlijke elektronische gezondheidsgegevens te monitoren en om klachten van de betreffende natuurlijke personen te behandelen. Deze verordening stelt aanvullende rechten voor natuurlijke personen met betrekking tot primair gebruik vast, die verder gaan dan het recht van inzage en het recht op overdraagbaarheid als verankerd in Verordening (EU) 2016/679 en die rechten aanvullen. Aangezien die aanvullende rechten ook moeten worden gehandhaafd door de krachtens Verordening (EU) 2016/679 ingestelde toezichthoudende autoriteiten, moeten de lidstaten ervoor zorgen dat die toezichthoudende autoriteiten worden voorzien van de financiële en personele middelen, de gebouwen en de infrastructuur die nodig zijn voor de doeltreffende uitvoering van die aanvullende taken. De toezichthoudende autoriteit of autoriteiten die bevoegd is of zijn voor de monitoring en handhaving van de verwerking van persoonlijke elektronische gezondheidsgegevens voor primair gebruik overeenkomstig deze verordening moet of moeten bevoegd zijn om administratieve boeten op te leggen. Het rechtsstelsel van Denemarken laat de in deze verordening genoemde administratieve geldboetes niet toe. De regels inzake administratieve geldboetes kunnen op zodanige wijze worden toegepast dat de boeten in Denemarken als een strafrechtelijke sanctie worden opgelegd door een bevoegde nationale rechterlijke instantie, mits een dergelijke toepassing van de regels eenzelfde werking heeft als administratieve geldboetes die door toezichthoudende autoriteiten worden opgelegd. De boeten moeten in ieder geval doeltreffend, evenredig en afschrikkend zijn.

De lidstaten zouden er bij de toepassing van deze verordening naar moeten streven ethische beginselen na te leven, zoals de Europese ethische beginselen op het gebied van digitale gezondheid, die op 26 januari 2022 door het e-gezondheidsnetwerk zijn vastgesteld, en het beginsel van vertrouwelijkheid tussen gezondheidswerkers en patiënten. De Europese ethische beginselen op het gebied van digitale gezondheid, waarin het belang van ethische beginselen wordt erkend, bieden beroepsbeoefenaars, onderzoekers, innovatoren, beleidsmakers en regelgevers richtsnoeren.

De verschillende categorieën elektronische gezondheidsgegevens zijn niet voor alle scenario’s van gezondheidszorg even relevant. Verschillende categorieën hebben ook uiteenlopende niveaus van rijpheid op het gebied van normalisatie bereikt, waardoor de toepassing van mechanismen voor de uitwisseling ervan naargelang van de categorie meer of minder complex kan zijn. Daarom moet de verbetering van de interoperabiliteit en de uitwisseling van gegevens geleidelijk verlopen en moeten bepaalde categorieën elektronische gezondheidsgegevens worden geprioriteerd. Bepaalde categorieën elektronische gezondheidsgegevens zoals essentiële patiëntgegevens, elektronische recepten en verstrekkingen, medische beeldvormingsdiagnostiek en de bijbehorende beeldverslagen, resultaten van medische tests zoals laboratoriumresultaten en bijbehorende verslagen, en ontslagverslagen zijn door het e-gezondheidsnetwerk als de meest relevante gegevens voor de meeste zorgscenario’s aangemerkt en moeten worden beschouwd als prioritaire categorieën voor de lidstaten met het oog op de tenuitvoerlegging van de toegang tot die gegevens en de overdracht ervan. Wanneer dergelijke prioritaire gegevenscategorieën groepen elektronische gezondheidsgegevens vormen, moet deze verordening van toepassing zijn op de groepen als geheel en ook op de afzonderlijke invoer van gegevens binnen die groepen. Aangezien de vaccinatiestatus bijvoorbeeld deel uitmaakt van de essentiële patiëntgegevens, moeten de rechten en vereisten in verband met de essentiële patiëntgegevens ook van toepassing zijn op een dergelijke vaccinatiestatus, zelfs als deze los van de essentiële patiëntgegevens als geheel wordt verwerkt. Wanneer wordt vastgesteld dat er meer behoefte is aan de uitwisseling van aanvullende categorieën elektronische gezondheidsgegevens met het oog op de verlening van gezondheidszorg, moeten toegang tot en uitwisseling van die aanvullende categorieën mogelijk zijn in het kader van deze verordening. De aanvullende categorieën moeten eerst op nationaal niveau worden toegepast en deze richtlijn moet bepalen dat die gegevenscategorieën in grensoverschrijdende situaties op vrijwillige basis kunnen worden uitgewisseld tussen de samenwerkende lidstaten. Er moet bijzondere aandacht worden besteed aan de uitwisseling van gegevens in de grensregio’s van naburige lidstaten, waar frequenter grensoverschrijdende gezondheidsdiensten worden verleend en daarvoor nog snellere procedures nodig zijn dan in de Unie in het algemeen het geval is.

Het niveau van de beschikbaarheid van persoonlijke gezondheids- en genetische gegevens in elektronische vorm verschilt van lidstaat tot lidstaat. De EHDS moet het voor natuurlijke personen gemakkelijker maken om over die gegevens in elektronische vorm te beschikken en meer zeggenschap te hebben over de toegang tot en het delen van hen betreffende persoonlijke elektronische gezondheidsgegevens. Dit zou ook bijdragen tot de verwezenlijking van de doelstelling dat alle burgers van de Unie uiterlijk in 2030 toegang tot hun elektronische patiëntendossiers moeten hebben, als bedoeld in Besluit (EU) 2022/2481 van het Europees Parlement en de Raad (8). Om elektronische gezondheidsgegevens toegankelijk en overdraagbaar te maken, moet voor de toegang tot en de doorgifte van die gegevens een interoperabel gemeenschappelijk Europees uitwisselingsformat voor elektronische patiëntendossiers worden gebruikt, ten minste voor bepaalde categorieën elektronische gezondheidsgegevens zoals essentiële patiëntgegevens, elektronische recepten en verstrekkingen, medische beeldvormingsdiagnostiek en de bijbehorende beeldverslagen, resultaten van medische tests en ontslagverslagen, waarvoor overgangsperioden gelden. Wanneer persoonlijke elektronische gezondheidsgegevens door een natuurlijke persoon aan een zorgaanbieder of een apotheek ter beschikking worden gesteld dan wel door een andere verwerkingsverantwoordelijke worden doorgegeven in het Europees uitwisselingsformat voor elektronische patiëntendossiers, moet dat format worden aanvaard en moet de ontvanger de gegevens kunnen lezen en gebruiken ten behoeve van de verlening van gezondheidszorg of de verstrekking van een geneesmiddel, waarmee de verlening van gezondheidsdiensten of de verstrekking van het elektronische recept wordt ondersteund. Het Europees uitwisselingsformat voor elektronische patiëntendossiers moet zodanig worden vormgegeven dat de vertaling van de meegedeelde elektronische gezondheidsgegevens voor zover mogelijk wordt vergemakkelijkt bij gebruik van dat format in de officiële talen van de Unie. In Aanbeveling (EU) 2019/243 van de Commissie (9) wordt de basis gelegd voor een dergelijk gemeenschappelijk Europees uitwisselingsformat voor elektronische patiëntendossiers. De interoperabiliteit van de EHDS moet bijdragen tot de totstandbrenging van Europese gezondheidsdatasets van hoge kwaliteit. Het gebruik van het Europees uitwisselingsformat voor elektronische patiëntendossiers moet meer ingang vinden op Unie- en nationaal niveau. Het Europees uitwisselingsformat voor elektronische patiëntendossiers zou verschillende profielen kunnen toestaan voor het gebruik ervan op het niveau van EPD-systemen en op het niveau van de nationale contactpunten voor digitale gezondheid in MyHealth@EU voor grensoverschrijdende gegevensuitwisseling.

EPD-systemen zijn weliswaar wijdverbreid, maar de mate van digitalisering van gezondheidsgegevens varieert per lidstaat, afhankelijk van de gegevenscategorieën en het aantal zorgaanbieders die gezondheidsgegevens in elektronisch format registreren. Om de toepassing van de rechten van de betrokkenen op toegang tot en uitwisseling van elektronische gezondheidsgegevens te ondersteunen, is optreden van de Unie vereist teneinde verdere versnippering te voorkomen. Om bij te dragen tot een hoge kwaliteit en de continuïteit van de gezondheidszorg, moeten bepaalde categorieën gezondheidsgegevens systematisch en in overeenstemming met de specifieke vereisten inzake gegevenskwaliteit in elektronische vorm worden geregistreerd. Het Europees uitwisselingsformat voor elektronische patiëntendossiers moet de basis vormen voor specificaties met betrekking tot de registratie en de uitwisseling van elektronische gezondheidsgegevens.

Telegeneeskunde wordt een steeds belangrijker instrument om patiënten toegang tot zorg te bieden en ongelijkheden aan te pakken. Het heeft het potentieel om ongelijkheden op gezondheidsgebied te verminderen en het vrij verkeer van burgers van de Unie over de grenzen heen te bevorderen. Digitale en andere technologische instrumenten kunnen de verlening van zorg in afgelegen gebieden vergemakkelijken. Wanneer de fysieke verlening van een gezondheidsdienst met digitale diensten gepaard gaat, moet de digitale dienst deel uitmaken van de algemene zorgverlening. Krachtens artikel 168 van het Verdrag betreffende de werking van de Europese Unie (VWEU) zijn de lidstaten verantwoordelijk voor hun gezondheidsbeleid, en met name voor het organiseren en verlenen van gezondheidsdiensten en medische zorg, waaronder het regelen van activiteiten, zoals online apotheekdiensten, telegeneeskunde en andere diensten die zij verstrekken en waarvoor zij in vergoeding voorzien, in overeenstemming met hun nationale wetgeving. Uiteenlopend gezondheidsbeleid mag echter geen belemmering vormen voor het vrij verkeer van elektronische gezondheidsgegevens in het kader van grensoverschrijdende gezondheidszorg, bijvoorbeeld telegeneeskunde, en online apotheekdiensten.

In Verordening (EU) nr. 910/2014 zijn de voorwaarden vastgelegd waaronder de lidstaten natuurlijke personen in grensoverschrijdende situaties identificeren met behulp van door een andere lidstaat uitgegeven elektronische identificatiemiddelen, alsook de regels voor de wederzijdse erkenning van dergelijke elektronische identificatiemiddelen. De EHDS vereist een beveiligde toegang tot elektronische gezondheidsgegevens, ook in grensoverschrijdende scenario’s. Diensten voor toegang tot elektronische gezondheidsgegevens en telegeneeskundediensten moeten natuurlijke personen in staat stellen om, ongeacht hun lidstaat van aansluiting, hun rechten uit te oefenen en moeten de identificatie van natuurlijke personen daarom ondersteunen met op grond van Verordening (EU) nr. 910/2014 erkende elektronische identificatiemiddelen. Aangezien zich in grensoverschrijdende situaties problemen kunnen voordoen op het gebied van identiteitsmatching, zou het voor lidstaten waar de behandeling plaatsvindt nodig kunnen zijn om aanvullende toegangsmechanismen, zoals tokens of codes, af te geven aan natuurlijke personen die uit andere lidstaten aankomen en gezondheidszorg ontvangen. De Commissie moet de bevoegdheid krijgen om uitvoeringshandelingen vast te stellen teneinde de vereisten vast te stellen voor de interoperabele en grensoverschrijdende identificatie en authenticatie van natuurlijke personen en gezondheidswerkers, met inbegrip van de aanvullende mechanismen die nodig zijn om ervoor te zorgen dat natuurlijke personen hun rechten in verband met persoonlijke elektronische gezondheidsgegevens in grensoverschrijdende situaties kunnen uitoefenen.

De lidstaten moeten bevoegde autoriteiten voor digitale gezondheid aanwijzen voor de planning en toepassing van normen voor de toegang tot en overdracht van elektronische gezondheidsgegevens en de handhaving van de rechten van natuurlijke personen en gezondheidswerkers, als afzonderlijke organisaties of als onderdelen van reeds bestaande autoriteiten. De personeelsleden van de autoriteit voor digitale gezondheid mogen geen financiële of andere belangen in bedrijfstakken of economische activiteiten hebben waardoor hun onpartijdigheid in het gedrang zou kunnen komen. In de meeste lidstaten bestaan reeds autoriteiten voor digitale gezondheid, die zich bezighouden met EPD’s, interoperabiliteit, beveiliging of normalisatie. De autoriteiten voor digitale gezondheid moeten bij de uitvoering van hun taken met name samenwerken met de krachtens Verordening (EU) 2016/679 ingestelde toezichthoudende autoriteiten en de krachtens Verordening (EU) nr. 910/2014 ingestelde toezichthoudende organen. De autoriteiten voor digitale gezondheid kunnen eveneens samenwerken met het Europees Comité voor artificiële intelligentie, opgericht bij Verordening (EU) 2024/1689 van het Europees Parlement en de Raad (10), de Coördinatiegroep voor medische hulpmiddelen, opgericht bij Verordening (EU) 2017/745 van het Europees Parlement en de Raad (11), het Europees Comité voor gegevensinnovatie, opgericht krachtens Verordening (EU) 2022/868 van het Europees Parlement en de Raad (12), en de bevoegde autoriteiten in het kader van Verordening (EU) 2023/2854 van het Europees Parlement en de Raad (13). De lidstaten moeten de deelname van nationale actoren aan de samenwerking op het niveau van de Unie vergemakkelijken, waarbij expertise wordt overgedragen en advies wordt verstrekt inzake de ontwikkeling van de oplossingen die nodig zijn om de doelstellingen van de EHDS te verwezenlijken.

Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep, moet een natuurlijke of rechtspersoon het recht hebben om een doeltreffende voorziening in rechte in te stellen tegen een hem of haar betreffend juridisch bindend besluit van een autoriteit voor digitale gezondheid of indien een autoriteit voor digitale gezondheid een klacht niet behandelt of de natuurlijke of rechtspersoon niet binnen drie maanden over de voortgang of de resultaten van de klacht in kennis stelt. Procedures tegen een autoriteit voor digitale gezondheid moeten worden voorgelegd aan de rechterlijke instanties van de lidstaten waar de autoriteit voor digitale gezondheid is gevestigd.

De autoriteiten voor digitale gezondheid moeten over voldoende technische vaardigheden beschikken, eventueel door deskundigen uit verschillende organisaties bijeen te brengen. De activiteiten van de autoriteiten voor digitale gezondheid moeten goed worden gepland en worden gemonitord om de doeltreffendheid ervan te waarborgen. De autoriteiten voor digitale gezondheid moeten de nodige maatregelen nemen om de rechten van natuurlijke personen te beschermen door nationale, regionale en lokale technische oplossingen te ontwikkelen, zoals nationale EPD-bemiddelingsoplossingen en patiëntenportalen. Wanneer autoriteiten voor digitale gezondheid dergelijke noodzakelijke beschermingsmaatregelen nemen, moeten zij gemeenschappelijke normen en specificaties toepassen in het kader van die oplossingen, de toepassing van de normen en specificaties bij aanbestedingsprocedures bevorderen en andere innovatieve middelen gebruiken, waaronder de vergoeding van oplossingen die voldoen aan de interoperabiliteits- en beveiligingsvereisten van de EHDS. De lidstaten moeten ervoor zorgen dat er passende opleidingsinitiatieven worden genomen. Gezondheidswerkers moeten met name in kennis worden gesteld van en voorlichting krijgen over hun rechten en verplichtingen uit hoofde van de onderhavige verordening. Om hun taken uit te voeren, moeten de autoriteiten voor digitale gezondheid op Unie- en nationaal niveau samenwerken met andere entiteiten, waaronder verzekeringsinstellingen, zorgaanbieders, gezondheidswerkers, fabrikanten van EPD-systemen en van wellnessapps, alsook andere belanghebbenden uit de gezondheids- of informatietechnologiesector, entiteiten die belast zijn met vergoedingsregelingen, instanties voor de evaluatie van gezondheidstechnologie, regelgevende autoriteiten en agentschappen voor geneesmiddelen, autoriteiten voor medische hulpmiddelen, aanbesteders en autoriteiten op het gebied van cyberbeveiliging of e-ID.

De toegang tot en de overdracht van elektronische gezondheidsgegevens zijn van belang voor grensoverschrijdende gezondheidszorg, aangezien ze de continuïteit van gezondheidszorg kunnen ondersteunen wanneer natuurlijke personen naar andere lidstaten reizen of van woonplaats veranderen. Continuïteit van gezondheidszorg en snelle toegang tot persoonlijke elektronische gezondheidsgegevens zijn nog belangrijker voor de inwoners van grensregio’s, die de grens vaak oversteken met het oog op gezondheidszorg. In veel grensregio’s zijn sommige gespecialiseerde gezondheidsdiensten mogelijk dichterbij beschikbaar over de grens dan in de eigen lidstaat. Er is een infrastructuur nodig voor de grensoverschrijdende overdracht van persoonlijke elektronische gezondheidsgegevens in situaties waarin een natuurlijke persoon gebruikmaakt van de diensten van een in een andere lidstaat gevestigde zorgaanbieder. De geleidelijke uitbreiding van dergelijke infrastructuur en de financiering ervan moet worden overwogen. Daartoe is een vrijwillige infrastructuur, MyHealth@EU, opgezet als onderdeel van de maatregelen om de doelstellingen van Richtlijn 2011/24/EU van het Europees Parlement en de Raad (14) te verwezenlijken. Via MyHealth@EU zijn de lidstaten ermee begonnen natuurlijke personen de mogelijkheid te bieden hen betreffende persoonlijke elektronische gezondheidsgegevens met zorgaanbieders te delen wanneer zij naar het buitenland reizen. Voortbouwend op die ervaring moet de deelname van de lidstaten aan het bij deze verordening opgezette MyHealth@EU verplicht zijn. Technische specificaties voor MyHealth@EU moeten de uitwisseling mogelijk maken van prioritaire categorieën elektronische gezondheidsgegevens en aanvullende categorieën die door het Europees uitwisselingsformat voor elektronische patiëntendossiers worden ondersteund. Die specificaties moeten door middel van uitvoeringshandelingen worden vastgesteld en moeten gebaseerd zijn op de grensoverschrijdende specificaties van het Europees uitwisselingsformat voor elektronische patiëntendossiers, aangevuld met nadere specificaties inzake cyberbeveiliging, technische en semantische interoperabiliteit, werkzaamheden en dienstenbeheer. De lidstaten moeten worden verplicht aan MyHealth@EU deel te nemen, te voldoen aan de technische specificaties ervan, en zorgaanbieders, waaronder apotheken, op deze infrastructuur aan te sluiten, aangezien dit noodzakelijk is om natuurlijke personen de mogelijkheid te bieden hun rechten uit hoofde van deze verordening uit te oefenen en gebruik te maken van hen betreffende persoonlijke elektronische gezondheidsgegevens, ongeacht de lidstaat waar de natuurlijke personen zich bevinden.

MyHealth@EU voorziet in een gemeenschappelijke infrastructuur voor de lidstaten om de connectiviteit en de interoperabiliteit op een doeltreffende en veilige manier te verzekeren, teneinde grensoverschrijdende gezondheidszorg te ondersteunen zonder afbreuk te doen aan de verantwoordelijkheden van de lidstaten vóór en na de overdracht van persoonlijke elektronische gezondheidsgegevens via MyHealth@EU. De lidstaten zijn verantwoordelijk voor de organisatie van hun nationale contactpunten voor digitale gezondheid en voor de verwerking van persoonsgegevens met het oog op de verlening van gezondheidszorg, vóór en na de overdracht van die gegevens via MyHealth@EU. De Commissie moet er door middel van nalevingscontroles op toezien dat de nationale contactpunten voor digitale gezondheid de noodzakelijke vereisten met betrekking tot de technische ontwikkeling van MyHealth@EU alsook gedetailleerde regels betreffende de beveiliging, vertrouwelijkheid en bescherming van persoonlijke elektronische gezondheidsgegevens, naleven. In geval van ernstige niet-naleving door een nationaal contactpunt voor digitale gezondheid moet de Commissie in staat zijn de door de niet-naleving getroffen diensten die door dat nationale contactpunt voor digitale gezondheid worden verleend, op te schorten. De Commissie moet binnen MyHealth@EU namens de lidstaten optreden als verwerker en daarvoor centrale diensten verlenen. Om de naleving van de gegevensbeschermingsregels te waarborgen en in een kader voor risicobeheer voor de overdracht van persoonlijke elektronische gezondheidsgegevens te voorzien, moeten de specifieke verantwoordelijkheden van de lidstaten, als gezamenlijke verwerkingsverantwoordelijken, en de verplichtingen van de Commissie, als verwerker namens de lidstaten, door middel van uitvoeringshandelingen worden gespecificeerd. Elke lidstaat is als enige verantwoordelijk voor gegevens en diensten in die lidstaat. Deze verordening voorziet in de rechtsgrondslag voor de verwerking van persoonlijke elektronische gezondheidsgegevens in MyHealth@EU als een taak van algemeen belang die is toegewezen uit hoofde van het in artikel 6, lid 1, punt e), van Verordening (EU) 2016/679 bedoelde Unierecht. Die verwerking is noodzakelijk voor de verlening van gezondheidszorg in grensoverschrijdende situaties, zoals vermeld in artikel 9, lid 2, punt h), van die verordening.

Naast de MyHealth@EU-diensten voor de uitwisseling van persoonlijke elektronische gezondheidsgegevens op basis van het Europees uitwisselingsformat voor elektronische patiëntendossiers, zouden andere diensten of aanvullende infrastructuren nodig kunnen zijn, bijvoorbeeld in noodsituaties op het gebied van de volksgezondheid of wanneer de architectuur van MyHealth@EU niet geschikt is voor de implementatie van bepaalde gebruiksgevallen. Voorbeelden van dergelijke gebruiksgevallen zijn onder meer steun voor de functies van de vaccinatiekaart, met inbegrip van de uitwisseling van informatie over vaccinatieprogramma’s of de verificatie van vaccinatiecertificaten of andere gezondheidsgerelateerde certificaten. Dergelijke aanvullende gebruiksgevallen zouden ook belangrijk zijn met het oog op de invoering van extra functies voor de aanpak van volksgezondheidscrises, zoals steun voor het traceren van contacten ten behoeve van de indamming van infectieziekten. MyHealth@EU moet de uitwisseling van persoonlijke elektronische gezondheidsgegevens met nationale contactpunten voor digitale gezondheid van betrokken derde landen en op internationaal niveau door internationale organisaties opgezette systemen om bij te dragen tot de continuïteit van de gezondheidszorg. Dit is met name van belang voor personen die reizen van en naar aangrenzende derde landen, kandidaat-lidstaten en de geassocieerde landen en gebieden overzee. De aansluiting van dergelijke nationale contactpunten voor digitale gezondheid van derde landen bij MyHealth@EU en de interoperabiliteit met op internationaal niveau door internationale organisaties opgezette digitale systemen moet worden gecontroleerd om te verzekeren dat die contactpunten en digitale systemen voldoen aan de technische specificaties, de regels inzake gegevensbescherming en andere vereisten van MyHealth@EU. Aangezien de aansluiting bij MyHealth@EU gepaard gaat met de doorgifte van persoonlijke elektronische gezondheidsgegevens aan derde landen, zoals het delen van de essentiële patiëntgegevens als een patiënt zorg wil krijgen in een derde land, moeten er uit hoofde van hoofdstuk V van Verordening (EU) 2016/679 bovendien instrumenten voor doorgifte voorhanden zijn. De Commissie moet de bevoegdheid krijgen om uitvoeringshandelingen vast te stellen teneinde de aansluiting bij MyHealth@EU van dergelijke nationale contactpunten voor digitale gezondheid van derde landen en op internationaal niveau door internationale organisaties opgezette systemen te vergemakkelijken. Bij de opstelling van die uitvoeringshandelingen moet de Commissie rekening houden met de belangen van de lidstaten op het gebied van nationale veiligheid.

Met het oog op de probleemloze uitwisseling van elektronische gezondheidsgegevens en de eerbiediging van de rechten van natuurlijke personen en gezondheidswerkers moeten EPD-systemen die op de interne markt worden aangeboden, hoogwaardige elektronische gezondheidsgegevens veilig kunnen opslaan en doorgeven. Het is een belangrijk doel van de EHDS om het veilig en vrij verkeer van elektronische gezondheidsgegevens in de hele Unie te waarborgen. Daartoe moet een verplichte regeling voor de zelfbeoordeling van de conformiteit worden ingevoerd voor EPD-systemen die een of meer prioritaire categorieën elektronische gezondheidsgegevens verwerken, om een einde aan de versnippering van de markt te maken en tegelijkertijd een evenredige aanpak te waarborgen. Door middel van de zelfbeoordeling zullen EPD-systemen aantonen dat ze voldoen aan de vereisten inzake interoperabiliteit, beveiliging en logbestanden met het oog op de kennisgeving van persoonlijke elektronische gezondheidsgegevens, die zijn vastgesteld bij de twee verplichte, bij deze verordening geharmoniseerde EPD-softwarecomponenten, namelijk de Europese interoperabiliteitssoftwarecomponent voor EPD-systemen en de Europese logsoftwarecomponent voor EPD-systemen (de “geharmoniseerde softwarecomponenten van EPD-systemen”). De geharmoniseerde softwarecomponenten van EPD-systemen betreffen voornamelijk gegevenstransformatie, maar kunnen niettemin met zich meebrengen dat er een noodzaak aan indirecte vereisten voor de registratie en presentatie van gegevens in EPD-systemen bestaat. De technische specificaties voor de geharmoniseerde softwarecomponenten van EPD-systemen moeten worden vastgesteld door middel van uitvoeringshandelingen op basis van het gebruik van het Europees uitwisselingsformat voor elektronische patiëntendossiers. De geharmoniseerde softwarecomponenten van EPD-systemen moeten zodanig worden ontworpen dat ze herbruikbaar zijn en naadloos in een groter softwaresysteem kunnen worden geïntegreerd met andere componenten. De beveiligingsvereisten van de geharmoniseerde softwarecomponenten van EPD-systemen moeten betrekking hebben op elementen die specifiek zijn voor EPD-systemen, aangezien meer algemene beveiligingskenmerken moeten worden ondersteund door andere mechanismen, zoals die uit hoofde van Verordening (EU) 2024/2847 van het Europees Parlement en de Raad (15). Om dat proces te ondersteunen, moeten Europese digitale testomgevingen worden opgezet om geautomatiseerde middelen te bieden teneinde te testen of de geharmoniseerde softwarecomponenten van een EPD-systeem functioneren conform de vereisten van deze verordening. Daartoe moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend voor de vaststelling van de gemeenschappelijke specificaties voor die omgevingen. De Commissie moet de nodige software voor de testomgevingen ontwikkelen en deze als openbronsoftware ter beschikking stellen. De lidstaten moeten verantwoordelijk zijn voor de werking van de digitale testomgevingen, aangezien zij dichter bij de fabrikanten staan en beter in staat zijn om hen te ondersteunen. Fabrikanten moeten die digitale testomgevingen gebruiken om hun producten te testen alvorens ze in de handel te brengen en blijven volledig verantwoordelijk voor de conformiteit van hun producten. De testresultaten moeten in de technische documentatie van de producten worden opgenomen. Wanneer het EPD-systeem of een onderdeel ervan in overeenstemming is met Europese normen of gemeenschappelijke specificaties moet in de technische documentatie ook de lijst van relevante Europese normen en gemeenschappelijke specificaties worden vermeld. Om de vergelijkbaarheid van EPD-systemen te ondersteunen moet de Commissie een uniform model opstellen voor de technische documentatie die deze systemen vergezelt.

EPD-systemen moeten vergezeld gaan van een informatieblad met informatie voor professionele gebruikers en van een duidelijke en volledige gebruiksaanwijzing, ook in formaten die toegankelijk zijn voor personen met een handicap. Indien een EPD-systeem niet vergezeld gaat van dergelijke informatie, moeten de fabrikant van het desbetreffende EPD-systeem, zijn gemachtigde vertegenwoordiger en alle andere relevante marktdeelnemers dat informatieblad en die gebruiksaanwijzing aan het EPD-systeem toevoegen.

EPD-systemen die door de fabrikant speciaal zijn ontwikkeld voor de verwerking van een of meer specifieke categorieën elektronische gezondheidsgegevens moeten aan verplichte zelfcertificering worden onderworpen, maar software voor algemene doeleinden mag niet als een EPD-systeem worden beschouwd, zelfs niet wanneer de software in een gezondheidszorgomgeving wordt gebruikt, en hoeft dus niet aan deze verordening te voldoen. Dat geldt bijvoorbeeld voor tekstverwerkingssoftware die gebruikt wordt voor het schrijven van verslagen die vervolgens deel zouden uitmaken van schriftelijke elektronische patiëntendossiers, alsook voor middleware voor algemeen gebruik of software voor databankbeheer die wordt gebruikt als onderdeel van oplossingen voor gegevensopslag.

Deze verordening legt een verplichte regeling voor de zelfbeoordeling van de conformiteit op voor de geharmoniseerde softwarecomponenten van EPD-systemen, om ervoor te zorgen dat EPD-systemen die in de Unie in de handel worden gebracht, gegevens kunnen uitwisselen in het Europees uitwisselingsformat voor elektronische patiëntendossiers en de vereiste logmogelijkheden bieden. Die verplichte zelfbeoordeling van de conformiteit, die zou gebeuren in de vorm van een EU-conformiteitsverklaring van de fabrikant, moet ervoor zorgen dat aan die vereisten op evenredige wijze wordt voldaan, zonder dat de lidstaten en fabrikanten onnodig worden belast.

De fabrikanten moeten in de begeleidende documenten van het EPD-systeem, en indien toepasselijk op de verpakking ervan, een CE-conformiteitsmarkering aanbrengen die aangeeft dat het EPD-systeem in overeenstemming is met deze verordening en, wat niet onder deze verordening vallende aspecten betreft, met ander toepasselijk Unierecht dat eveneens het aanbrengen van een dergelijke markering voorschrijft. De lidstaten moeten voortbouwen op bestaande mechanismen om te zorgen voor de juiste toepassing van de voorschriften inzake de CE-conformiteitsmarkering uit hoofde van relevant Unierecht en moeten passende maatregelen nemen in geval van oneigenlijk gebruik van die markering.

De lidstaten moeten bevoegd blijven om vereisten vast te stellen met betrekking tot andere softwarecomponenten van EPD-systemen en de voorwaarden voor de aansluiting van zorgaanbieders bij hun respectieve nationale infrastructuur, die op nationaal niveau aan een beoordeling door derden zouden kunnen worden onderworpen. Om de goede werking van de interne markt voor EPD-systemen voor elektronische patiëntendossiers, digitale gezondheidsproducten en bijbehorende diensten te vergemakkelijken, moet voor zo veel mogelijk transparantie worden gezorgd met betrekking tot het nationale recht tot vaststelling van vereisten voor EPD-systemen en bepalingen inzake de conformiteitsbeoordeling ervan wat betreft andere aspecten dan de geharmoniseerde softwarecomponenten van EPD-systemen. De lidstaten moeten de Commissie derhalve in kennis stellen van die nationale vereisten opdat de Commissie over de nodige informatie beschikt om ervoor te zorgen dat de vereisten geen ongunstige effecten hebben op de geharmoniseerde softwarecomponenten van EPD-systemen.

Bepaalde softwarecomponenten van EPD-systemen kunnen worden beschouwd als medische hulpmiddelen op grond van Verordening (EU) 2017/745 of als medische hulpmiddelen voor in-vitrodiagnostiek op grond van Verordening (EU) 2017/746 van het Europees Parlement en de Raad (16). Software of softwaremodules die vallen onder de definitie van medisch hulpmiddel, medisch hulpmiddel voor in-vitrodiagnostiek of een artificiële-intelligentiesysteem dat als een artificiële-intelligentiesysteem met een hoog risico wordt beschouwd (“AI-systeem met een hoog risico”), moeten worden gecertificeerd in overeenstemming met Verordeningen (EU) 2017/745, (EU) 2017/746 en (EU) 2024/1689, naargelang het geval. Hoewel dergelijke producten moeten voldoen aan de vereisten van de relevante verordening die een regeling voor die producten bevat, moeten de lidstaten passende maatregelen nemen om ervoor te zorgen dat de respectieve conformiteitsbeoordeling als een gezamenlijke of gecoördineerde procedure wordt uitgevoerd om de administratieve lasten voor fabrikanten en andere marktdeelnemers te beperken. De essentiële vereisten inzake interoperabiliteit van de onderhavige verordening mogen alleen van toepassing zijn voor zover de fabrikant van een medisch hulpmiddel, een medisch hulpmiddel voor in-vitrodiagnostiek of een AI-systeem met een hoog risico dat elektronische gezondheidsgegevens verstrekt die moeten worden verwerkt als onderdeel van het EPD-systeem, stelt dat zijn producten interoperabel zijn met dat EPD-systeem. In dat geval moeten de bepalingen inzake gemeenschappelijke specificaties voor EPD-systemen op die medische hulpmiddelen, medische hulpmiddelen voor in-vitrodiagnostiek en AI-systemen met een hoog risico van toepassing zijn.

Om de interoperabiliteit en de beveiliging verder te ondersteunen moeten de lidstaten specifieke regels kunnen handhaven of vaststellen voor de aanbesteding, vergoeding of financiering van EPD-systemen op nationaal niveau in het kader van de organisatie, verstrekking of financiering van gezondheidsdiensten. Dergelijke specifieke regels mogen het vrij verkeer van EPD-systemen in de Unie niet belemmeren. Sommige lidstaten hebben een verplichte certificering van EPD-systemen of verplichte interoperabiliteitstests voor de aansluiting daarvan op nationale digitale gezondheidsdiensten ingevoerd. Dergelijke vereisten komen doorgaans tot uitdrukking in aanbestedingsprocedures die door zorgaanbieders en nationale of regionale autoriteiten worden georganiseerd. Met de verplichte certificering van EPD-systemen op het niveau van de Unie moet een referentiekader worden vastgesteld dat bij aanbestedingsprocedures op nationaal niveau kan worden gebruikt.

Om te garanderen dat patiënten hun rechten uit hoofde van deze verordening daadwerkelijk kunnen uitoefenen, moeten zorgaanbieders die een EPD-systeem intern ontwikkelen en gebruiken voor het uitvoeren van interne activiteiten zonder het systeem tegen betaling of vergoeding in de handel te brengen, ook aan deze verordening voldoen. In dat verband moeten die zorgaanbieders voldoen aan alle vereisten die voor fabrikanten gelden wat betreft dergelijke intern ontwikkelde EPD-systemen die deze zorgaanbieders in gebruik nemen. Aangezien zorgaanbieders echter wellicht extra tijd nodig om zich voor te bereiden om aan deze verordening te voldoen, mogen die vereisten pas na een verlengde overgangsperiode op dergelijke systemen van toepassing worden.

Er moet worden gezorgd voor een duidelijke en evenredige verdeling van de verplichtingen overeenkomstig de rol van elke marktdeelnemer in het toeleverings- en distributieproces van EPD-systemen. De marktdeelnemers moeten verantwoordelijk zijn voor de naleving met betrekking tot hun respectieve rollen in dat proces en moeten ervoor zorgen dat zij uitsluitend EPD-systemen op de markt aanbieden die aan de desbetreffende vereisten voldoen.

De fabrikanten van EPD-systemen moeten de naleving van de essentiële vereisten inzake interoperabiliteit en beveiliging aantonen door middel van de toepassing van gemeenschappelijke specificaties. Daartoe moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend om dergelijke gemeenschappelijke specificaties vast te stellen met betrekking tot datasets, coderingssystemen, technische specificaties, normen, specificaties en profielen voor gegevensuitwisseling, alsmede vereisten en beginselen met betrekking tot patiëntveiligheid en de beveiliging, vertrouwelijkheid, integriteit en bescherming van persoonsgegevens, en specificaties en vereisten met betrekking tot identificatiebeheer en het gebruik van elektronische identificatie. De autoriteiten voor digitale gezondheid moeten bijdragen aan de ontwikkeling van dergelijke gemeenschappelijke specificaties. In voorkomend geval moeten die gemeenschappelijke specificaties gebaseerd zijn op bestaande geharmoniseerde normen voor de geharmoniseerde softwarecomponenten van EPD-systemen en verenigbaar zijn met de sectorale wetgeving. Wanneer gemeenschappelijke specificaties van bijzonder belang zijn voor de vereisten inzake bescherming van persoonsgegevens met betrekking tot EPD-systemen, moet de vaststelling ervan worden voorafgegaan door een raadpleging van het Europees Comité voor gegevensbescherming (EDPB) en de Europese Toezichthouder voor gegevensbescherming (EDPS), overeenkomstig artikel 42, lid 2, van Verordening (EU) 2018/1725.

Om te zorgen voor een passende en doeltreffende handhaving van de in deze verordening vastgelegde vereisten en verplichtingen moet het bij Verordening (EU) 2019/1020 van het Europees Parlement en de Raad (17) vastgestelde systeem van markttoezicht en conformiteit van producten van toepassing zijn. Afhankelijk van de op nationaal niveau bepaalde organisatie kunnen dergelijke markttoezichtactiviteiten worden verricht door de autoriteiten voor digitale gezondheid die de correcte uitvoering van hoofdstuk II van deze verordening waarborgen of door een afzonderlijke markttoezichtautoriteit die verantwoordelijk is voor EPD-systemen. Hoewel het aanwijzen van autoriteiten voor digitale gezondheid als markttoezichtautoriteiten significante praktische voordelen kan hebben voor de uitvoering van gezondheids- en zorgmaatregelen, moeten belangenconflicten worden vermeden, bijvoorbeeld door verschillende taken te scheiden.

Personeelsleden van de markttoezichtautoriteiten mogen geen directe of indirecte economische, financiële of persoonlijke belangenconflicten hebben die als nadelig kunnen worden beschouwd voor hun onafhankelijkheid, en mogen in het bijzonder niet in een situatie verkeren die direct of indirect van invloed zou kunnen zijn op de onpartijdigheid van hun professionele gedrag. De lidstaten moeten de selectieprocedure voor markttoezichtautoriteiten vaststellen en bekendmaken. Zij moeten ervoor zorgen dat de procedure transparant is en geen ruimte laat voor belangenconflicten.

De gebruikers van wellnessapps, zoals apps voor mobiele apparaten, moeten worden geïnformeerd over de capaciteit van dergelijke apps om te worden aangesloten op EPD-systemen of nationale elektronische gezondheidsoplossingen en daaraan gegevens te leveren wanneer door wellnessapps geproduceerde gegevens nuttig zijn voor doeleinden in verband met gezondheidszorg. Het vermogen van die wellnessapps om gegevens in een interoperabel format te exporteren, is ook van belang voor de overdraagbaarheid van gegevens. In voorkomend geval moeten gebruikers ook worden geïnformeerd over de mate waarin dergelijke apps aan de interoperabiliteits- en beveiligingsvereisten voldoen. Gezien het grote aantal wellnessapps en de beperkte relevantie van de door veel van die apps geproduceerde gegevens voor doeleinden in verband met gezondheidszorg, zou een certificeringsregeling voor deze apps echter niet evenredig zijn. Daarom moet een verplichte labelingsregeling worden ingevoerd voor wellnessapps waarvan geclaimd wordt dat zij interoperabel zijn met EPD-systemen, als een geschikt mechanisme om de gebruikers van wellnessapps transparantie te bieden met betrekking tot de naleving van vereisten uit hoofde van deze verordening, en die gebruikers aldus te ondersteunen bij hun keuze van geschikte wellnessapps met hoge normen op het gebied van interoperabiliteit en beveiliging. De Commissie moet door middel van uitvoeringshandelingen nadere bepalingen vaststellen met betrekking tot de vorm en de inhoud van een dergelijk label.

Het moet de lidstaten vrijstaan om andere aspecten van het gebruik van wellnessapps te regelen, mits de desbetreffende regels in overeenstemming zijn met het Unierecht.

De verspreiding van informatie over gecertificeerde EPD-systemen en wellnessapps met label is noodzakelijk om de aanbesteders en gebruikers van dergelijke producten in staat te stellen interoperabele oplossingen voor hun specifieke behoeften te vinden. Daarom moet op het niveau van de Unie een databank worden opgezet van interoperabele EPD-systemen en wellnessapps die niet binnen het toepassingsgebied van Verordeningen (EU) 2017/745 en (EU) 2024/1689 vallen, die vergelijkbaar is met de bij Verordening (EU) 2017/745 opgezette Europese databank voor medische hulpmiddelen (Eudamed). De doelstellingen van de EU-databank voor de registratie van EPD-systemen en wellnessapps moeten erin bestaan de algehele transparantie te vergroten, een overlapping van rapportageverplichtingen te vermijden en de informatiestroom te stroomlijnen en te vergemakkelijken. Voor medische hulpmiddelen en AI-systemen moet de registratie in stand worden gehouden in het kader van de bestaande databanken die zijn opgezet op grond van Verordening (EU) 2017/745 respectievelijk Verordening (EU) 2024/1689, maar de naleving van de interoperabiliteitsvereisten moet worden aangegeven door de fabrikanten indien zij beweren dat die eisen worden nageleefd, met het oog op het verstrekken van informatie aan de aanbesteders.

Deze verordening beoogt een gemeenschappelijk mechanisme voor toegang tot elektronische gezondheidsgegevens voor secundair gebruik in de hele Unie in te stellen zonder contractuele regelingen of andere bestaande mechanismen te belemmeren of te vervangen. Houders van gezondheidsgegevens moeten de gegevens waarover zij beschikken in het kader van dat mechanisme beschikbaar stellen op basis van een gegevensvergunning of een verzoek om gezondheidsgegevens. Voor de verwerking van elektronische gezondheidsgegevens voor secundair gebruik is een van de rechtsgrondslagen bedoeld in artikel 6, lid 1, punt a), c), e) of f), van Verordening (EU) 2016/679, in samenhang gelezen met artikel 9, lid 2, van die verordening, vereist. Dienovereenkomstig biedt de onderhavige verordening een rechtsgrondslag voor het secundaire gebruik van persoonlijke elektronische gezondheidsgegevens, met inbegrip van de waarborgen die vereist zijn krachtens artikel 9, lid 2, punten g) tot en met j), van Verordening (EU) 2016/679 om de verwerking van speciale gegevenscategorieën mogelijk te maken, wat betreft de rechtmatige doeleinden, de betrouwbare governance voor het verlenen van toegang tot gezondheidsgegevens, via de betrokkenheid van instanties voor toegang tot gezondheidsgegevens, en de verwerking in een beveiligde verwerkingsomgeving, alsook de in de gegevensvergunning vastgestelde regelingen voor gegevensverwerking. Bijgevolg mogen de lidstaten op grond van artikel 9, lid 4, van Verordening (EU) 2016/679 geen verdere voorwaarden meer kunnen handhaven of invoeren, waaronder beperkingen en specifieke bepalingen waarbij natuurlijke personen om toestemming wordt verzocht, met betrekking tot de verwerking van persoonlijke elektronische gezondheidsgegevens voor secundair gebruik in het kader van deze verordening, met uitzondering van de invoering van strengere maatregelen en aanvullende waarborgen op nationaal niveau ter waarborging van de gevoeligheid en waarde van bepaalde gegevens zoals verankerd in deze verordening. Aanvragers van gezondheidsgegevens moeten ook een rechtsgrondslag bedoeld in artikel 6 van Verordening (EU) 2016/679 aantonen die hen in staat stelt te verzoeken om toegang tot elektronische gezondheidsgegevens op grond van deze verordening, en zij moeten aan de voorwaarden van hoofdstuk IV van deze verordening voldoen. Daarnaast moet de instantie voor toegang tot gezondheidsgegevens de door de aanvrager van gezondheidsgegevens verstrekte informatie beoordelen en op basis daarvan een gegevensvergunning kunnen afgeven voor de verwerking van persoonlijke elektronische gezondheidsgegevens overeenkomstig de onderhavige verordening, die moet voldoen aan de vereisten en voorwaarden van hoofdstuk IV van de onderhavige verordening. Wat betreft de verwerking van elektronische gezondheidsgegevens waarover de houders van gezondheidsgegevens beschikken, schept deze verordening overeenkomstig artikel 9, lid 2, punten i) en j), van Verordening (EU) 2016/679 de wettelijke verplichting in de zin van artikel 6, lid 1, punt c), van die verordening, voor de houder van gezondheidsgegevens om de persoonlijke elektronische gezondheidsgegevens beschikbaar te stellen voor instanties voor toegang tot gezondheidsgegevens, terwijl de rechtsgrondslag voor de initiële verwerking, bijvoorbeeld de verlening van gezondheidszorg, onverlet blijft. De onderhavige verordening wijst tevens taken van algemeen belang in de zin van artikel 6, lid 1, punt e), van Verordening (EU) 2016/679 toe aan de instanties voor toegang tot gezondheidsgegevens en voldoet aan de vereisten van artikel 9, lid 2, punten g) tot en met j), van die Verordening, naargelang het geval. Indien de gebruiker van gezondheidsgegevens zich baseert op een rechtsgrondslag vastgelegd in artikel 6, lid 1, punt e) of punt f), van Verordening (EU) 2016/679, moet de onderhavige verordening de uit hoofde van artikel 9, lid 2, van Verordening (EU) 2016/679 vereiste waarborgen bieden.

Elektronische gezondheidsgegevens die worden aangewend voor secundair gebruik kunnen grote maatschappelijke voordelen met zich meebrengen. Het gebruik van praktijkgegevens en empirisch bewijsmateriaal, waaronder door patiënten gemelde resultaten, voor empirisch onderbouwde regelgevings- en beleidsdoeleinden, alsook voor onderzoek, voor de beoordeling van gezondheidstechnologie en voor klinische doeleinden, moet worden aangemoedigd. Praktijkgegevens en empirisch bewijsmateriaal kunnen gezondheidsgegevens die momenteel beschikbaar worden gesteld, aanvullen. Om dat doel te bereiken is het van belang dat de datasets die op grond van deze verordening voor secundair gebruik beschikbaar worden gesteld, zo volledig mogelijk zijn. Deze verordening voorziet in de nodige waarborgen om bepaalde risico’s in verband met de verwezenlijking van die voordelen te beperken. Het secundaire gebruik van elektronische gezondheidsgegevens is gebaseerd op gepseudonimiseerde of geanonimiseerde gegevens ter voorkoming van de identificatie van de betrokkenen.

Om een evenwicht te vinden tussen de behoefte van gebruikers van gezondheidsgegevens aan volledige en representatieve datasets en de behoefte aan autonomie van natuurlijke personen over hen betreffende persoonlijke elektronische gezondheidsgegevens die als bijzonder gevoelig worden beschouwd, moeten natuurlijke personen kunnen beslissen of hen betreffende persoonlijke elektronische gezondheidsgegevens mogen worden verwerkt voor secundair gebruik in het kader van deze verordening, in de vorm van een opt-out-recht met betrekking tot de beschikbaarstelling van die gegevens voor secundair gebruik. Er moet worden voorzien in een gemakkelijk te begrijpen en toegankelijk mechanisme om dat opt-out-recht uit te oefenen. Bovendien is het van essentieel belang dat natuurlijke personen voldoende en volledige informatie krijgen over hun opt-out-recht, onder meer over de voor- en nadelen van de uitoefening van dat recht. Van natuurlijke personen mag niet worden verlangd dat zij hun keuze motiveren en zij moeten de mogelijkheid krijgen om te allen tijde van gedachten te veranderen. Voor bepaalde doeleinden die nauw verband houden met het algemeen belang, zoals activiteiten ter bescherming tegen ernstige grensoverschrijdende bedreigingen van de gezondheid of wetenschappelijk onderzoek om belangrijke redenen van algemeen belang, is het echter passend te voorzien in de mogelijkheid voor de lidstaten om, rekening houdend met hun nationale context, een mechanisme in te stellen om toegang te verlenen tot persoonlijke elektronische gezondheidsgegevens van natuurlijke personen die hun opt-out-recht hebben uitgeoefend, om ervoor te zorgen dat in die situaties volledige datasets beschikbaar kunnen worden gesteld. Dergelijke mechanismen moeten voldoen aan de vereisten die in het kader van deze verordening voor secundair gebruik zijn vastgesteld. Wetenschappelijk onderzoek om belangrijke redenen van algemeen belang kan bijvoorbeeld onderzoek omvatten naar onvervulde medische behoeften, onder meer op het gebied van zeldzame ziekten, of nieuwe gezondheidsbedreigingen. De regels met betrekking tot dit voorbijgaan moeten stroken met de wezenlijke inhoud van de grondrechten en fundamentele vrijheden en moeten in een democratische samenleving een noodzakelijke en evenredige maatregel zijn om taken van algemeen belang voor legitieme wetenschappelijke en maatschappelijke doeleinden uit te voeren. Dergelijk voorbijgaan mag enkel ter beschikking staan van gebruikers van gezondheidsgegevens die openbare lichamen zijn, of relevante instellingen, organen en instanties van de Unie die belast zijn met de uitvoering van taken op het gebied van volksgezondheid, of van een andere entiteit die belast is met de uitvoering van overheidstaken op het gebied van volksgezondheid of die optreedt namens of in opdracht van een openbaar lichaam, en uitsluitend mits de gegevens niet anderszins tijdig en op doeltreffende wijze kunnen worden verkregen. Die gebruikers van gezondheidsgegevens moeten per afzonderlijke aanvraag voor toegang tot gezondheidsgegevens en per afzonderlijk verzoek om gezondheidsgegevens motiveren dat het voorbijgaan noodzakelijk is. Wanneer een dergelijk voorbijgaan wordt toegepast, moeten de waarborgen van hoofdstuk IV nog steeds worden toegepast door gebruikers van gezondheidsgegevens, in het bijzonder het verbod op heridentificatie of pogingen tot heridentificatie van de betrokken natuurlijke personen.

In het kader van de EHDS bestaan reeds elektronische gezondheidsgegevens en deze worden door onder andere zorgaanbieders, beroepsverenigingen, overheidsinstellingen, regelgevers, onderzoekers en verzekeraars in de loop van hun werkzaamheden verzameld. Die gegevens moeten ook voor secundair gebruik beschikbaar worden gesteld, dat wil zeggen voor het verwerken van gegevens voor andere doeleinden dan voor die waarvoor zij zijn verzameld of geproduceerd. Veel dergelijke gegevens worden echter niet voor verwerking voor dergelijke doeleinden beschikbaar gesteld. Dit beperkt de mogelijkheden voor onderzoekers, innovatoren, beleidsmakers, regelgevers en artsen om die gegevens voor andere doeleinden te gebruiken, waaronder onderzoek, innovatie, beleidsvorming, regelgeving, patiëntveiligheid of gepersonaliseerde geneeskunde. Om de voordelen van secundair gebruik ten volle te benutten, moeten alle houders van gezondheidsgegevens een bijdrage leveren door de verschillende categorieën elektronische gezondheidsgegevens waarover zij beschikken, beschikbaar te stellen voor secundair gebruik, mits die bijdrage te allen tijde wordt geleverd door middel van doeltreffende en veilige processen, en met inachtneming van professionele verplichtingen, bijvoorbeeld op het gebied van vertrouwelijkheid.

De categorieën elektronische gezondheidsgegevens die voor secundair gebruik kunnen worden verwerkt, moeten breed en flexibel genoeg zijn om aan de veranderende behoeften van de gebruikers van gezondheidsgegevens tegemoet te komen, maar moeten beperkt blijven tot gegevens die verband houden met gezondheid of waarvan het bekend is dat ze een effect hebben op de gezondheid. Ze kunnen ook relevante gegevens uit het gezondheidsstelsel omvatten, zoals elektronische patiëntendossiers, gegevens met betrekking tot claims, gegevens met betrekking tot de verstrekking van geneesmiddelen, gegevens uit registers van ziekten of genomische gegevens, alsook gegevens die van invloed zijn op de gezondheid, bijvoorbeeld gegevens inzake consumptie van verschillende stoffen, sociaal-economische status of gedrag, en gegevens inzake milieufactoren zoals verontreiniging, straling of het gebruik van bepaalde chemische stoffen. De categorieën elektronische gezondheidsgegevens voor secundair gebruik omvatten bepaalde categorieën gegevens die aanvankelijk voor andere doeleinden waren verzameld, waaronder onderzoek, statistieken, patiëntveiligheid, regelgevingsactiviteiten of beleidsvorming, bijvoorbeeld registers voor beleidsvorming of registers met betrekking tot de bijwerkingen van geneesmiddelen of medische hulpmiddelen. Europese databanken die het gebruik of hergebruik van gegevens vergemakkelijken zijn beschikbaar op sommige gebieden, onder meer op het gebied van kanker (Europees informatiesysteem voor kanker) of zeldzame ziekten (bijvoorbeeld het Europees platform voor de registratie van zeldzame ziekten, en registers van de Europese referentienetwerken (ERN). De categorieën van elektronische gezondheidsgegevens die voor secundair gebruik kunnen worden verwerkt moeten ook automatisch gegenereerde gegevens van medische hulpmiddelen en door personen gegenereerde gegevens omvatten, zoals gegevens van wellnessapps. Gegevens over klinische proeven en klinische onderzoeken moeten na afloop van de klinische proef of het klinische onderzoek ook worden opgenomen in de categorieën elektronische gezondheidsgegevens voor secundair gebruik, zonder dat dit gevolgen heeft voor de vrijwillige uitwisseling van gegevens door de opdrachtgevers van lopende proeven en onderzoeken. Elektronische gezondheidsgegevens voor secundair gebruik moeten bij voorkeur beschikbaar worden gesteld in een gestructureerd elektronisch format dat de verwerking ervan door computersystemen vergemakkelijkt. Voorbeelden van gestructureerde elektronische formaten zijn gegevens uit relationele databanken, XML-documenten of CSV-bestanden en vrije tekst, audio- en videobestanden en afbeeldingen die als computerleesbare bestanden worden verstrekt.

Gebruikers van gezondheidsgegevens die toegang hebben tot datasets waarin overeenkomstig de onderhavige verordening wordt voorzien, kunnen de gegevens in die datasets verrijken met diverse correcties, annotaties en andere verbeteringen, bijvoorbeeld door ontbrekende of onvolledige gegevens aan te vullen, en aldus de nauwkeurigheid, de volledigheid of de kwaliteit van de gegevens in de datasets verbeteren. Gebruikers van gezondheidsgegevens moeten ertoe worden aangespoord kritieke fouten in datasets te melden aan instanties voor toegang tot gezondheidsgegevens. Om de verbetering van de oorspronkelijke databank en het verdere gebruik van de verrijkte dataset te ondersteunen, moeten de lidstaten in staat zijn regels vast te stellen voor het verwerken en het gebruik van elektronische gezondheidsgegevens die verbeteringen bevatten in verband met het verwerken van die data. De verbeterde dataset kosteloos ter beschikking van de oorspronkelijke houder van gezondheidsgegevens worden gesteld, samen met een beschrijving van de verbeteringen. De houder van gezondheidsgegevens moet de nieuwe dataset ter beschikking stellen, tenzij hij of zij bij de instantie voor toegang tot gezondheidsgegevens gemotiveerd aangeeft waarom hij of zij dit niet doet, bijvoorbeeld als de gegevensverrijking door de gebruiker van gezondheidsgegevens van lage kwaliteit is. De beschikbaarheid van niet-persoonsgebonden elektronische gezondheidsgegevens voor secundair gebruik moet worden gewaarborgd. Met name genomische gegevens over pathogenen zijn van aanzienlijke waarde voor de menselijke gezondheid, zoals is aangetoond tijdens de COVID-19-pandemie, toen tijdige toegang tot en uitwisseling van dergelijke gegevens van essentieel belang bleek voor de snelle ontwikkeling van detectie-instrumenten, medische tegenmaatregelen en de respons op bedreigingen voor de volksgezondheid. De inspanningen op het gebied van pathogeengenomica zullen de meeste voordelen opleveren wanneer in het kader van processen op het gebied van volksgezondheid en onderzoek datasets worden gedeeld en onderlinge samenwerking plaatsvindt, opdat deze processen informatie uitwisselen en elkaar verbeteren.

Om het secundaire gebruik van persoonlijke elektronische gezondheidsgegevens doeltreffender te maken en de mogelijkheden die deze verordening biedt ten volle te benutten, moet de beschikbaarheid in de EHDS van de in hoofdstuk IV beschreven elektronische gezondheidsgegevens van dien aard zijn dat de gegevens zo toegankelijk, hoogwaardig, gereed en geschikt voor de totstandbrenging van wetenschappelijke, innovatieve en maatschappelijke waarde en kwaliteit zijn als mogelijk. Bij de werkzaamheden in het kader van de uitvoering van de EHDS en verdere verbeteringen van datasets moet prioriteit worden gegeven aan de datasets die het meest geschikt zijn om die waarde en kwaliteit tot stand te brengen.

Publieke en particuliere entiteiten worden vaak door de lidstaten of de Unie gefinancierd om elektronische gezondheidsgegevens te verzamelen en te verwerken met het oog op onderzoek, officiële of niet-officiële statistieken of voor andere soortgelijke doeleinden, ook op gebieden waar het verzamelen van dergelijke gegevens gefragmenteerd of moeilijk is, zoals in verband met zeldzame ziekten of kanker. Dergelijke gegevens die door houders van gezondheidsgegevens met financiële steun van de Unie of de lidstaten worden verzameld en verwerkt, moeten ter beschikking worden gesteld van de instanties voor toegang tot gezondheidsgegevens om het effect van de overheidsinvesteringen te maximaliseren en onderzoek, innovatie, patiëntveiligheid of beleidsvorming ten behoeve van de samenleving te ondersteunen. In enkele lidstaten spelen particuliere entiteiten, waaronder particuliere zorgaanbieders en beroepsverenigingen, een centrale rol in de gezondheidssector. De gezondheidsgegevens waarover dergelijke aanbieders beschikken, moeten ook voor secundair gebruik beschikbaar worden gesteld. De houders van gezondheidsgegevens in het kader van secundair gebruik moeten daarom entiteiten zijn die gezondheidszorg- of zorgaanbieders zijn of entiteiten die onderzoek met betrekking tot de gezondheidzorg of de zorg verrichten of producten of diensten ontwikkelen die bestemd zijn voor de gezondheidszorg of de zorg. Dit kunnen publieke, non-profit- of particuliere entiteiten zijn. Overeenkomstig deze definitie moeten verpleeghuizen, centra voor dagopvang, entiteiten die diensten verlenen aan personen met een handicap, entiteiten die zakelijke en technologische activiteiten in verband met zorg verrichten, zoals orthopedie, en bedrijven die zorgdiensten verlenen, worden beschouwd als houders van gezondheidsgegevens. Rechtspersonen die wellnessapps ontwikkelen, moeten ook worden beschouwd als houders van gezondheidsgegevens. De instellingen, organen en instanties van de Unie die deze categorieën gezondheids- en gezondheidszorggegevens alsmede sterftecijfers verwerken, moeten ook als houders van gezondheidsgegevens worden beschouwd. Om onevenredige lasten te vermijden voor natuurlijke personen en micro-ondernemingen, moeten zij in de regel worden vrijgesteld van de verplichtingen van houders van gezondheidsgegevens. De lidstaten moeten de verplichtingen van houders van gezondheidsgegevens in hun nationale recht echter kunnen uitbreiden tot natuurlijke personen en micro-ondernemingen. Om de administratieve lasten te verminderen, en in het licht van het beginsel van doeltreffendheid en het beginsel van efficiëntie, moeten de lidstaten in hun nationale recht kunnen voorschrijven dat bemiddelingsentiteiten voor gezondheidsgegevens de taken van bepaalde categorieën houders van gezondheidsgegevens uitvoeren. Dergelijke bemiddelingsentiteiten voor gezondheidsgegevens moeten rechtspersonen zijn die door houders van gezondheidsgegevens verstrekte elektronische gezondheidsgegevens voor secundair gebruik kunnen verwerken en beschikbaar kunnen stellen, de toegang ertoe kunnen verbieden, en die gegevens kunnen uitwisselen. Die bemiddelingsentiteiten voor gezondheidsgegevens verrichten andere taken dan de in het kader van Verordening (EU) 2022/868 bedoelde databemiddelingsdiensten.

Elektronische gezondheidsgegevens waarop intellectuele-eigendomsrechten of bedrijfsgeheimen rusten, waaronder gegevens over klinische proeven, onderzoeken en studies, kunnen zeer nuttig zijn voor secundair gebruik en kunnen innovatie binnen de Unie bevorderen ten behoeve van patiënten in de Unie. Om een voortdurend leiderschap van de Unie op dit gebied te stimuleren, is het van belang dat het delen van gegevens over klinische proeven en klinische onderzoeken via de EHDS voor secundair gebruik wordt aangemoedigd. Gegevens over klinische proeven en klinische onderzoeken moeten voor zover mogelijk beschikbaar worden gesteld en alle nodige maatregelen moeten worden genomen om intellectuele-eigendomsrechten en bedrijfsgeheimen te beschermen. Deze verordening mag niet worden gebruikt om dergelijke bescherming in te perken of te omzeilen en moet in overeenstemming zijn met de desbetreffende transparantiebepalingen van het Unierecht, onder meer voor gegevens inzake klinische proeven en klinische onderzoeken. De instanties voor toegang tot gezondheidsgegevens moeten nagaan hoe die bescherming kan worden behouden en hoe gebruikers van gezondheidsgegevens daarbij voor zover mogelijk ook toegang kan worden gegeven tot die gegevens. Indien een instantie voor toegang tot gezondheidsgegevens niet in staat is om toegang tot dergelijke gegevens te verlenen, moet zij de gebruiker van gezondheidsgegevens daarvan in kennis stellen en moet ze uitleggen waarom geen toegang kan worden verleend. Juridische, organisatorische en technische maatregelen ter bescherming van intellectuele-eigendomsrechten of bedrijfsgeheimen kunnen bestaan uit gemeenschappelijke contractuele regelingen voor toegang tot elektronische gezondheidsgegevens, specifieke verplichtingen binnen de gegevensvergunning met betrekking tot dergelijke rechten, voorbewerking van de gegevens om afgeleide gegevens te genereren die een bedrijfsgeheim beschermen maar niettemin nuttig zijn voor de gebruiker van gezondheidsgegevens, of configuratie van de beveiligde verwerkingsomgeving, zodat dergelijke gegevens niet toegankelijk zijn voor de gebruiker van gezondheidsgegevens.

Het secundaire gebruik van gezondheidsgegevens in het kader van de EHDS moet publieke, particuliere en non-profitentiteiten alsmede individuele onderzoekers in staat stellen toegang tot gezondheidsgegevens te hebben met het oog op onderzoek, innovatie, beleidsvorming, educatieve activiteiten, patiëntveiligheid, regelgevingsactiviteiten of gepersonaliseerde geneeskunde, in overeenstemming met de doelstellingen zoals vervat in de onderhavige verordening. De toegang tot gegevens voor secundair gebruik moet bijdragen tot het algemeen belang van de samenleving. In het bijzonder moet het secundaire gebruik van gezondheidsgegevens voor onderzoeks- en ontwikkelingsdoeleinden maatschappelijke voordelen met zich meebrengen in de vorm van nieuwe geneesmiddelen, medische hulpmiddelen en gezondheidszorgproducten en -diensten tegen betaalbare en billijke prijzen voor burgers van de Unie, alsmede een betere toegang tot en beschikbaarheid van dergelijke producten en diensten in alle lidstaten. Activiteiten waarvoor de toegang in het kader van de onderhavige verordening rechtmatig is, zouden onder meer het gebruik van elektronische gezondheidsgegevens voor taken die door openbare lichamen worden uitgevoerd, zoals de vervulling van hun openbare taak, met inbegrip van de bewaking van de volksgezondheid, verplichtingen op het gebied van planning en verslaglegging, beleidsvorming op gezondheidsgebied, en het waarborgen van de veiligheid van de patiënt, de kwaliteit van de zorg en de duurzaamheid van de gezondheidszorgstelsels kunnen omvatten. Openbare lichamen en instellingen, organen en instanties van de Unie zouden gedurende langere tijd regelmatig toegang tot elektronische gezondheidsgegevens nodig kunnen hebben, onder meer om hun mandaat te vervullen, zoals dit bij de onderhavige verordening is vastgesteld. Openbare lichamen zouden dergelijke onderzoeksactiviteiten kunnen uitvoeren door een beroep te doen op derden, met inbegrip van onderaannemers, zolang het openbaar lichaam te allen tijde de toezichthouder op die activiteiten blijft. Met de verstrekking van de gegevens moeten ook activiteiten worden ondersteund die verband houden met wetenschappelijk onderzoek. Het begrip “doeleinden in verband met wetenschappelijk onderzoek” moet ruim worden geïnterpreteerd en moet ook technologische ontwikkeling en demonstratie, fundamenteel onderzoek, toegepast onderzoek en particulier gefinancierd onderzoek omvatten. Onder activiteiten die verband houden met wetenschappelijk onderzoek vallen innovatieactiviteiten zoals het trainen van AI-algoritmen die kunnen worden gebruikt in de gezondheidszorg of bij de zorg voor natuurlijke personen, alsook de evaluatie en verdere ontwikkeling van bestaande algoritmen en producten voor dergelijke doeleinden. Het is noodzakelijk dat de EHDS ook bijdraagt aan fundamenteel onderzoek, en dergelijk fundamenteel onderzoek levert, hoewel het minder directe voordelen zou kunnen bieden aan eindgebruikers en patiënten, op langere termijn cruciale maatschappelijke voordelen op. In sommige gevallen kunnen de gegevens van bepaalde natuurlijke personen, zoals genomische gegevens van natuurlijke personen met een bepaalde ziekte, bijdragen tot de diagnose of behandeling van andere natuurlijke personen. Openbare lichamen moeten verder kunnen gaan dan het toepassingsgebied van hoofdstuk V van Verordening (EU) 2023/2854 voor “uitzonderlijke noodzaak”. Het moet instanties voor toegang tot gezondheidsgegevens echter worden toegestaan openbare lichamen bij de verwerking of koppeling van gegevens bij te staan. De onderhavige verordening biedt een kanaal met behulp waarvan openbare lichamen toegang kunnen krijgen tot de informatie die ze nodig hebben voor de vervulling van de hun bij wet toegewezen taken, maar breidt het mandaat van dergelijke openbare lichamen niet uit.

Elke poging om elektronische gezondheidsgegevens te gebruiken voor maatregelen die schadelijk zijn voor natuurlijke persoon, bijvoorbeeld om verzekeringspremies te verhogen, om activiteiten uit te voeren die nadelig kunnen zijn voor natuurlijke persoon op het gebied van werkgelegenheid, pensioenen of bankieren, alsook om onroerend goed te hypothekeren, om reclame te maken voor producten of behandelingen, om individuele besluitvorming te automatiseren, om natuurlijke personen opnieuw te identificeren, of om schadelijke producten te ontwikkelen, moet worden verboden. Dat verbod moet ook van toepassing zijn op activiteiten die in strijd zijn met ethische bepalingen van het nationale recht, met uitzondering van ethische bepalingen met betrekking tot toestemming voor de verwerking van persoonsgegevens en ethische bepalingen met betrekking tot het opt-out-recht, aangezien deze verordening, overeenkomstig het algemene beginsel van voorrang van het Unierecht, voorrang heeft op het nationale recht. Het moet bovendien verboden zijn om toegang te verlenen tot de elektronische gezondheidsgegevens of deze anderszins beschikbaar te stellen aan derden die niet in de gegevensvergunning worden vermeld. De identiteit van gemachtigden, en met name van de hoofdonderzoeker, die op grond van deze verordening het recht hebben op toegang tot elektronische gezondheidsgegevens in de beveiligde verwerkingsomgeving, moet in de gegevensvergunning worden vermeld. De hoofdonderzoekers zijn de personen die hoofdzakelijk verantwoordelijk zijn voor het verzoeken om toegang tot elektronische gezondheidsgegevens en voor de verwerking van de gevraagde gegevens in de beveiligde verwerkingsomgeving namens de gebruiker van gezondheidsgegevens.

Deze verordening brengt geen machtiging tot stand voor het secundaire gebruik van gezondheidsgegevens voor rechtshandhavingsdoeleinden. Het onderzoek naar en de voorkoming, opsporing en vervolging van strafbare feiten of de tenuitvoerlegging van straffen door de bevoegde autoriteiten mogen niet behoren tot de onder deze verordening vallende doeleinden van secundair gebruik. Daarom mogen rechterlijke instanties en andere entiteiten uit het rechtsstelsel niet worden beschouwd als gebruikers van gezondheidsgegevens voor het secundaire gebruik van gezondheidsgegevens in het kader van deze verordening. Bovendien mogen rechterlijke instanties en andere entiteiten uit het rechtsstelsel niet onder de definitie van “houder van gezondheidsgegevens” vallen en mogen zij derhalve ook niet worden onderworpen aan verplichtingen voor houders van gezondheidsgegevens uit hoofde van deze verordening. Bovendien worden de bevoegdheden van de bij wet ingestelde bevoegde autoriteiten voor het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten om elektronische gezondheidsgegevens te verkrijgen, door deze verordening onverlet gelaten. Ook elektronische gezondheidsgegevens waarover rechterlijke instanties in verband met gerechtelijke procedures beschikken vallen buiten het toepassingsgebied van deze verordening.

De oprichting van een of meer instanties voor toegang tot gezondheidsgegevens, ter ondersteuning van de toegang tot elektronische gezondheidsgegevens in de lidstaten, is van essentieel belang voor de bevordering van het secundaire gebruik van gezondheidsgerelateerde gegevens. De lidstaten moeten daarom een of meer instanties voor toegang tot gezondheidsgegevens oprichten, in aansluiting op onder meer hun grondwettelijke, organisatorische en administratieve structuur. Indien er meer dan één instantie voor toegang tot gezondheidsgegevens is, moet een van die instanties voor toegang tot gezondheidsgegevens echter als coördinerende instantie worden aangewezen. Wanneer een lidstaat meerdere instanties voor toegang tot gezondheidsgegevens opricht, moeten op nationaal niveau regels worden vastgesteld om de gecoördineerde deelname van die instanties aan de Raad voor de Europese ruimte voor gezondheidsgegevens (de “EHDS-raad”) te waarborgen. De lidstaat in kwestie moet met name één instantie voor toegang tot gezondheidsgegevens aanwijzen die optreedt als enig contactpunt voor de doeltreffende deelname van die instanties en die moet zorgen voor een vlotte en soepele samenwerking met andere instanties voor toegang tot gezondheidsgegevens, de EHDS-raad en de Commissie. De instanties voor toegang tot gezondheidsgegevens kunnen qua organisatie en omvang verschillen, variërend van een specifieke volwaardige organisatie tot een eenheid of afdeling binnen een bestaande organisatie. De instanties voor toegang tot gezondheidsgegevens mogen niet worden beïnvloed bij hun besluiten over de toegang tot elektronische gegevens voor secundair gebruik en moeten alle belangenconflicten uit de weg gaan. De leden van de bestuurs- en besluitvormingsorganen van de instanties voor toegang tot gezondheidsgegevens en hun personeelsleden moeten zich daarom onthouden van handelingen die onverenigbaar zijn met hun taken, en mogen geen beroepswerkzaamheden uitoefenen die onverenigbaar zijn met hun taken. De onafhankelijkheid van de instanties voor toegang tot gezondheidsgegevens mag echter niet betekenen dat die instanties vrijgesteld zouden zijn van controles van of toezicht op hun financiële uitgaven of van rechterlijke toetsing. Iedere instantie voor toegang tot gezondheidsgegevens dient te beschikken over de financiële, technische en personele middelen alsook de bedrijfsruimten en de infrastructuur die noodzakelijk zijn om haar taken, waaronder die in verband met de samenwerking met andere instanties voor toegang tot gezondheidsgegevens in de Unie, doeltreffend uit te voeren. De leden van de bestuurs- en besluitvormingsorganen van instanties voor toegang tot gezondheidsgegevens en hun personeelsleden moeten over de vereiste kwalificaties, ervaring en vaardigheden beschikken. Iedere instantie voor toegang tot gezondheidsgegevens moet over een eigen openbare jaarlijkse begroting beschikken, die deel kan uitmaken van de algemene staats- of nationale begroting. Om een betere toegang tot gezondheidsgegevens mogelijk te maken en artikel 7, lid 2, van Verordening (EU) 2022/868 aan te vullen, moeten de lidstaten de instanties voor toegang tot gezondheidsgegevens bevoegdheden verlenen voor het nemen van besluiten over de toegang tot en het secundaire gebruik van gezondheidsgegevens. Hiertoe zouden nieuwe taken kunnen worden toegewezen aan de bevoegde organen die door de lidstaten worden aangewezen op grond van artikel 7, lid 1, van Verordening (EU) 2022/868, dan wel bestaande of nieuwe sectorale organen die belast worden met dergelijke taken met betrekking tot de toegang tot gezondheidsgegevens.

De instanties voor toegang tot gezondheidsgegevens moeten toezicht houden op de toepassing van hoofdstuk IV van de onderhavige verordening en bijdragen tot de consistente toepassing ervan in de hele Unie. Daartoe moeten de instanties voor toegang tot gezondheidsgegevens samenwerken met elkaar en met de Commissie. De instanties voor toegang tot gezondheidsgegevens moeten ook samenwerken met belanghebbenden, waaronder patiëntenorganisaties. De instanties voor toegang tot gezondheidsgegevens moeten houders van gezondheidsgegevens die overeenkomstig Aanbeveling 2003/361/EG van de Commissie (18) kleine ondernemingen zijn, en met name artsen en apotheken, ondersteunen. Aangezien het secundaire gebruik van gezondheidsgegevens de verwerking van persoonsgegevens over gezondheid met zich meebrengt, zijn de desbetreffende bepalingen van Verordeningen (EU) 2016/679 en (EU) 2018/1725 van toepassing en moeten de toezichthoudende autoriteiten uit hoofde van die verordeningen de enige autoriteiten blijven die bevoegd zijn voor de handhaving van die bepalingen. De instanties voor toegang tot gezondheidsgegevens moeten de gegevensbeschermingsautoriteiten in kennis stellen van eventuele opgelegde boeten en kwesties in verband met de gegevensverwerking voor secundair gebruik, en moeten de relevante informatie waarover zij beschikken uitwisselen om de handhaving van de desbetreffende regels te waarborgen. Naast de taken die nodig zijn om een doeltreffend secundair gebruik van gezondheidsgegevens te waarborgen, moet de instantie voor toegang tot gezondheidsgegevens ernaar streven de beschikbaarheid van aanvullende gezondheidsdatasets uit te breiden en de ontwikkeling van gemeenschappelijke normen te bevorderen. Ze moet beproefde, geavanceerde technieken toepassen die garanderen dat de elektronische gezondheidsgegevens worden verwerkt zonder dat de privacy van de informatie in de gegevens waarvoor secundair gebruik wordt toegestaan, wordt geschonden, met inbegrip van technieken voor pseudonimisering, anonimisering, veralgemening, schrapping en randomisering van persoonsgegevens. De instanties voor toegang tot gezondheidsgegevens kunnen datasets opstellen voor de gebruiker van gezondheidsgegevens zoals vereist op grond van de afgegeven gegevensvergunning. In dat verband moeten instanties voor toegang tot gezondheidsgegevens grensoverschrijdend samenwerken om optimale werkmethoden en technieken te ontwikkelen en uit te wisselen. Dit omvat regels voor de pseudonimisering en de anonimisering van microdatasets. In voorkomend geval moet de Commissie de procedures en vereisten vaststellen en voorzien in de technische instrumenten voor een eenvormige procedure voor de pseudonimisering en de anonimisering van elektronische gezondheidsgegevens.

De instanties voor toegang tot gezondheidsgegevens moeten zorgen voor transparantie van secundair gebruik door openbare informatie te verstrekken over de verleende gegevensvergunningen en de motivering daarvan, de maatregelen die zijn genomen om de rechten van natuurlijke personen te beschermen, de wijze waarop natuurlijke personen hun rechten met betrekking tot secundair gebruik kunnen uitoefenen, en de resultaten van secundair gebruik, zoals links naar wetenschappelijke publicaties. In voorkomend geval moet die informatie over de resultaten van secundair gebruik ook een door de gebruiker van gezondheidsgegevens te verstrekken samenvatting voor het publiek omvatten. Die transparantievereisten vormen een aanvulling op de in artikel 14 van Verordening (EU) 2016/679 vastgestelde verplichtingen. De uitzonderingen van artikel 14, lid 5, van die verordening kunnen van toepassing zijn. Wanneer dergelijke uitzonderingen van toepassing zijn, moeten de in deze verordening vastgestelde transparantievereisten bijdragen tot het waarborgen van een eerlijke en transparante verwerking als bedoeld in artikel 14, lid 2, van Verordening (EU) 2016/679, bijvoorbeeld door informatie te verstrekken over het doel van de verwerking en de verwerkte gegevenscategorieën, zodat natuurlijke personen kunnen zien of hun gegevens op grond van gegevensvergunningen beschikbaar worden gesteld voor secundair gebruik.

Natuurlijke personen moeten door de houders van gezondheidsgegevens worden geïnformeerd over significante bevindingen in verband met hun gezondheid waartoe gebruikers van gezondheidsgegevens zijn gekomen. Natuurlijke personen moeten het recht hebben te verzoeken om niet van dergelijke bevindingen in kennis te worden gesteld. De lidstaten kunnen voorwaarden vaststellen over de precieze wijze waarop de houders van gezondheidsgegevens dergelijke informatie aan de betrokken natuurlijke personen moeten verstrekken en over de uitoefening van het recht om niet in kennis te worden gesteld. Overeenkomstig artikel 23, lid 1, punt i), van Verordening (EU) 2016/679 moeten de lidstaten in staat zijn de reikwijdte van de verplichting om natuurlijke personen in kennis te stellen, te beperken wanneer dat nodig is voor de bescherming van de natuurlijke personen in verband met de veiligheid van de patiënt en uit ethische overwegingen, door de informatie over hen pas te verstrekken wanneer een gezondheidswerker de betrokken natuurlijke personen informatie kan verstrekken en toelichten die gevolgen voor hun gezondheid zou kunnen hebben.

Ter bevordering van de transparantie moeten instanties voor toegang tot gezondheidsgegevens om de twee jaar activiteitenverslagen met een overzicht van hun activiteiten publiceren. Wanneer een lidstaat meer dan één instantie voor toegang tot gezondheidsgegevens heeft aangewezen, moet de coördinerende instantie om de twee jaar een gemeenschappelijk verslag opstellen en publiceren. De activiteitenverslagen moeten een door de EHDS-raad overeengekomen structuur volgen en een overzicht geven van activiteiten, met inbegrip van informatie over besluiten over aanvragen, audits en contacten met relevante belanghebbenden. Deze belanghebbenden kunnen vertegenwoordigers van natuurlijke personen, patiëntenorganisaties, gezondheidswerkers, onderzoekers en ethische comités omvatten.

Om secundair gebruik te bevorderen, mogen de houders van gezondheidsgegevens de gegevens niet achterhouden, mogen zij geen ongerechtvaardigde vergoedingen verlangen die niet transparant zijn en niet in verhouding staan tot de kosten voor het beschikbaar stellen van de gegevens of, in voorkomend geval, tot de marginale kosten voor gegevensverzameling, mogen zij de gebruikers van gezondheidsgegevens niet verzoeken om co-publicatie van de onderzoeksresultaten en mogen zij geen andere praktijken erop nahouden die gebruikers van gezondheidsgegevens ervan zouden kunnen weerhouden de gegevens op te vragen. Wanneer een houder van gezondheidsgegevens een openbaar lichaam is, mag het deel van de vergoedingen dat verband houdt met zijn kosten niet de kosten van de eerste verzameling van de gegevens dekken. Wanneer de verlening van een gegevensvergunning uit ethisch oogpunt moet worden goedgekeurd, moet de evaluatie in verband met de goedkeuring uit ethisch oogpunt op haar eigen verdiensten worden gebaseerd.

De instanties voor toegang tot gezondheidsgegevens moeten in verband met hun taken vergoedingen in rekening kunnen brengen, rekening houdend met de horizontale regels van Verordening (EU) 2022/868. Bij dergelijke vergoedingen kan rekening worden gehouden met de situatie en de belangen van kleine en middelgrote ondernemingen (kmo’s), individuele onderzoekers of openbare lichamen. De lidstaten moeten met name maatregelen kunnen vaststellen voor instanties voor toegang tot gezondheidsgegevens in hun rechtsgebied, die het mogelijk maken om voor bepaalde categorieën van gebruikers van gezondheidsgegevens lagere vergoedingen in rekening te brengen. De instanties voor toegang tot gezondheidsgegevens moeten de kosten van hun activiteiten kunnen dekken met vergoedingen die op evenredige, gerechtvaardigde en transparante wijze worden vastgesteld. Dit zou kunnen leiden tot hogere vergoedingen voor sommige gebruikers van gezondheidsgegevens, indien het behandelen van hun aanvragen voor toegang tot gezondheidsgegevens en van verzoeken om gezondheidsgegevens meer werk vergt. De houders van gezondheidsgegevens moeten ook voor het beschikbaar stellen van gegevens vergoedingen kunnen vragen die hun kosten weerspiegelen. De instanties voor toegang tot gezondheidsgegevens moeten beslissen over de hoogte van dergelijke vergoedingen, die ook de door de houders van gezondheidsgegevens gevraagde vergoedingen zouden kunnen omvatten. Dergelijke vergoedingen moeten door de instantie voor toegang tot gezondheidsgegevens in één factuur aan de gebruiker van gezondheidsgegevens in rekening worden gebracht. De instantie voor toegang tot gezondheidsgegevens moet het desbetreffende deel van de betaalde vergoedingen vervolgens overmaken aan de houder van gezondheidsgegevens. Om een geharmoniseerde aanpak van het vergoedingenbeleid en de vergoedingenstructuur te waarborgen, moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend. Artikel 10 van Verordening (EU) 2023/2854 moet van toepassing zijn op vergoedingen die uit hoofde van de onderhavige verordening in rekening worden gebracht.

Om de handhaving van de regels inzake secundair gebruik te verbeteren, moeten passende maatregelen worden overwogen die aanleiding kunnen geven tot het opleggen van administratieve geldboetes of handhavingsmaatregelen door instanties voor toegang tot gezondheidsgegevens of de tijdelijke of definitieve uitsluiting van het EHDS-kader van gebruikers van gezondheidsgegevens of houders van gezondheidsgegevens die hun verplichtingen niet naleven. De instanties voor toegang tot gezondheidsgegevens moeten de bevoegdheid krijgen om de naleving door gebruikers van gezondheidsgegevens en houders van gezondheidsgegevens te contoleren en hen in de gelegenheid te stellen op eventuele bevindingen te reageren en eventuele niet-naleving te verhelpen. Bij het bepalen van de hoogte van de administratieve geldboete of handhavingsmaatregel voor elk afzonderlijk geval moeten de instanties voor toegang tot gezondheidsgegevens de kostenmarges en de criteria zoals vastgesteld in deze verordening in aanmerking nemen en waarborgen dat die geldboetes of maatregelen evenredig zijn.

Gezien de gevoeligheid van elektronische gezondheidsgegevens moeten de risico’s voor de persoonlijke levenssfeer van natuurlijke personen worden beperkt door toepassing van het beginsel van minimale gegevensverwerking. Daarom moeten niet-persoonsgebonden elektronische gezondheidsgegevens beschikbaar worden gesteld in alle gevallen waarin het verstrekken van die gegevens toereikend is. Indien de gebruiker van gezondheidsgegevens moet gebruikmaken van persoonlijke elektronische gezondheidsgegevens, moet hij of zij het gebruik van dat soort gegevens in zijn of haar aanvraag duidelijk motiveren, en de instantie voor toegang tot gezondheidsgegevens moet nagaan of die motivering geldig is. De persoonlijke elektronische gezondheidsgegevens mogen alleen in gepseudonimiseerd format beschikbaar worden gesteld. Rekening houdend met de specifieke doeleinden van de verwerking moeten persoonlijke elektronische gezondheidsgegevens zo vroeg mogelijk in het proces waarin gegevens beschikbaar worden gesteld voor secundair gebruik, worden gepseudonimiseerd of geanonimiseerd. Pseudonimisering en anonimisering moet kunnen worden uitgevoerd door instanties voor toegang tot gezondheidsgegevens of door houders van gezondheidsgegevens. Instanties voor toegang tot gezondheidsgegevens en houders van gezondheidsgegevens moeten in staat zijn om die taken als verwerkingsverantwoordelijken te delegeren aan gegevensverwerkers. Bij het verlenen van toegang tot een gepseudonimiseerde of geanonimiseerde dataset moet een instantie voor toegang tot gezondheidsgegevens gebruikmaken van geavanceerde technologie en normen voor pseudonimisering of anonimisering, waarbij zo veel mogelijk wordt gewaarborgd dat natuurlijke personen niet opnieuw door gebruikers van gezondheidsgegevens kunnen worden geïdentificeerd. Een dergelijke technologie en dergelijke normen voor de pseudonimisering of anonimisering van gegevens moeten verder worden ontwikkeld. Gebruikers van gezondheidsgegevens mogen niet proberen natuurlijke personen opnieuw te identificeren aan de hand van de krachtens de onderhavige verordening verstrekte dataset, op straffe van administratieve geldboetes en handhavingsmaatregelen zoals vastgelegd in deze verordening of mogelijke strafrechtelijke sancties, indien de nationale wetgeving daarin voorziet. Bovendien moet de aanvrager van gezondheidsgegevens om een antwoord op een verzoek om gezondheidsgegevens kunnen vragen in een geanonimiseerd statistisch format. In dergelijke gevallen is er slechts sprake van verwerking van niet-persoonsgebonden gegevens door de gebruiker van gezondheidsgegevens, en blijft de instantie voor toegang tot gezondheidsgegevens de enige verwerkingsverantwoordelijke voor alle persoonsgegevens die nodig zijn om het verzoek om gezondheidsgegevens te beantwoorden.

Om te verzekeren dat alle instanties voor toegang tot gezondheidsgegevens op vergelijkbare wijze gegevensvergunningen afgeven, moet een gemeenschappelijke standaardprocedure voor de afgifte van gegevensvergunningen worden vastgesteld, met soortgelijke aanvragen om toegang tot gegevens in de verschillende lidstaten. De aanvrager van gezondheidsgegevens moet de instanties voor toegang tot gezondheidsgegevens diverse informatie-elementen verstrekken die de instantie helpen de aanvraag voor toegang tot gezondheidsgegevens te beoordelen en te beslissen of de aanvrager van gezondheidsgegevens een gegevensvergunning voor secundair gebruik van gegevens kan krijgen, waarbij ook de samenhang tussen de verschillende instanties voor toegang tot gezondheidsgegevens moet worden gewaarborgd. De in het kader van de aanvraag voor toegang tot gezondheidsgegevens verstrekte informatie moet voldoen aan de vereisten van deze verordening zodat deze grondig kan worden beoordeeld omdat er alleen een gegevensvergunning mag worden afgegeven indien aan alle in deze verordening uiteengezette noodzakelijke voorwaarden is voldaan. Daarnaast moet die informatie, in voorkomend geval, een verklaring van de aanvrager van gezondheidsgegevens bevatten dat het beoogde gebruik van de gevraagde gegevens geen risico meebrengt van stigmatisering of beschadiging van de waardigheid van natuurlijke personen of de groepen waarop de gevraagde dataset betrekking heeft. Op basis van het nationale recht zou om een ethische beoordeling kunnen worden verzocht. In dat geval moeten bestaande ethische organen dergelijke beoordelingen voor de instantie voor toegang tot gezondheidsgegevens kunnen uitvoeren. Bestaande ethische organen van de lidstaten moeten daartoe hun deskundigheid ter beschikking stellen van de instantie voor toegang tot gezondheidsgegevens. Bij wijze van alternatief moeten de lidstaten kunnen bepalen dat ethische organen deel uitmaken van de instantie voor toegang tot gezondheidsgegevens. De instantie voor toegang tot gezondheidsgegevens, en in voorkomend geval de houders van gezondheidsgegevens, moet de gebruikers van gezondheidsgegevens bijstaan bij de selectie van de geschikte datasets of gegevensbronnen voor het beoogde doeleind van secundair gebruik. Wanneer de aanvrager van gezondheidsgegevens gegevens in een geanonimiseerd statistisch format nodig heeft, moet hij of zij een verzoek om gezondheidsgegevens indienen, waarin de instantie voor toegang tot gezondheidsgegevens wordt verzocht het resultaat rechtstreeks te verstrekken. Een weigering van een gegevensvergunning door de instantie voor toegang tot gezondheidsgegevens mag de aanvrager van gezondheidsgegevens niet beletten een nieuwe aanvraag voor toegang tot gezondheidsgegevens in te dienen. Om een geharmoniseerde aanpak tussen de instanties voor toegang tot gezondheidsgegevens te waarborgen en onnodige administratieve lasten voor de aanvragers van gezondheidsgegevens te voorkomen, moet de Commissie de harmonisatie van aanvragen om toegang tot gezondheidsgegevens en verzoeken om gezondheidsgegevens ondersteunen, onder meer door de desbetreffende templates vast te stellen. In gerechtvaardigde gevallen, zoals in het geval van een complex en moeilijk verzoek, moet de instantie voor toegang tot gezondheidsgegevens de mogelijkheid hebben om de termijn voor houders van gezondheidsgegevens voor het verstrekken van de gevraagde elektronische gezondheidsgegevens aan die instantie te verlengen.

Aangezien de middelen van de instanties voor toegang tot gezondheidsgegevens beperkt zijn, moeten zij prioriteringsregels kunnen toepassen, bijvoorbeeld door voorrang aan openbare instellingen boven particuliere entiteiten te geven, maar zij mogen binnen dezelfde categorie prioriteiten geen onderscheid maken tussen de nationale organisaties en organisaties uit andere lidstaten. Een gebruiker van gezondheidsgegevens moet de geldigheidsduur van de gegevensvergunning kunnen verlengen, bijvoorbeeld om instanties voor de toetsing van wetenschappelijke publicaties toegang tot de datasets te verlenen of om een aanvullende analyse van de dataset op basis van de initiële bevindingen mogelijk te maken. Hiervoor moet een wijziging van de gegevensvergunning vereist zijn en zou een aanvullende vergoeding kunnen worden gevraagd. In alle gevallen moeten die aanvullende toepassingen van de dataset echter in de gegevensvergunning tot uitdrukking komen. Bij voorkeur moet de gebruiker van gezondheidsgegevens deze vermelden in zijn oorspronkelijke aanvraag voor toegang tot gezondheidsgegevens. Om een geharmoniseerde aanpak tussen de instanties voor toegang tot gezondheidsgegevens te waarborgen, moet de Commissie de harmonisatie van de gegevensvergunningen ondersteunen.

Zoals de COVID-19-crisis heeft aangetoond, moeten de instellingen, organen en instanties van de Unie met een wettelijk mandaat op het gebied van volksgezondheid, en met name de Commissie, voor langere perioden en op terugkerende basis toegang tot gezondheidsgegevens hebben. Dit kan niet alleen in specifieke, in het Unierecht of het nationale recht bepaalde omstandigheden in tijden van crisis het geval zijn, maar kan ook nodig zijn om op regelmatige basis wetenschappelijke gegevens en technische ondersteuning ten behoeve van het beleid van de Unie te verstrekken. Toegang tot dergelijke gegevens kan in bepaalde lidstaten of op het gehele grondgebied van de Unie vereist zijn. Dergelijke instellingen, organen en instanties van de Unie moeten gebruik kunnen maken van een versnelde procedure om gegevens normaliter beschikbaar te stellen in minder dan twee maanden, met de mogelijkheid om de termijn in complexere gevallen met één maand te verlengen.

De lidstaten moeten betrouwbare houders van gezondheidsgegevens kunnen aanwijzen voor wie de gegevensvergunningsprocedure op vereenvoudigde wijze kan uitgevoerd, om de administratieve lasten voor instanties voor toegang tot gezondheidsgegevens in verband met de behandeling van verzoeken om de door hen verwerkte gegevens te verlichten. Betrouwbare houders van gezondheidsgegevens moeten de mogelijkheid hebben om de aanvragen voor gegevenstoegang die in het kader van deze vereenvoudigde procedure worden ingediend, te beoordelen op basis van hun deskundigheid met betrekking tot het soort gezondheidsgegevens dat zij verwerken, en een aanbeveling te doen met betrekking tot een gegevensvergunning. De instantie voor toegang tot gezondheidsgegevens moet verantwoordelijk blijven voor de afgifte van de definitieve gegevensvergunning en mag niet gebonden zijn aan de aanbeveling van de betrouwbare houder van gezondheidsgegevens. Bemiddelingsentiteiten voor gezondheidsgegevens mogen niet worden aangewezen als betrouwbare houders van gezondheidsgegevens.

Gezien de gevoeligheid van elektronische gezondheidsgegevens mogen gebruikers van gezondheidsgegevens geen onbeperkte toegang tot dergelijke gegevens hebben. Elke toegang met het oog op het secundaire gebruik van de opgevraagde elektronische gezondheidsgegevens moet plaatsvinden via een beveiligde verwerkingsomgeving. Om te zorgen voor krachtige technische en veiligheidswaarborgen voor elektronische gezondheidsgegevens, moet de instantie voor toegang tot gezondheidsgegevens of, in voorkomend geval, de betrouwbare houder van gezondheidsgegevens toegang tot dergelijke gegevens verlenen in een beveiligde verwerkingsomgeving, met inachtneming van de krachtens de onderhavige verordening vastgestelde strenge technische en veiligheidsnormen. De verwerking van persoonsgegevens in een dergelijke beveiligde verwerkingsomgeving moet in overeenstemming zijn met Verordening (EU) 2016/679, met inbegrip van, wanneer de beveiligde verwerkingsomgeving door een derde wordt beheerd, de vereisten van artikel 28 van die verordening en, in voorkomend geval, hoofdstuk V daarvan. Een dergelijke beveiligde verwerkingsomgeving moet de privacyrisico’s in verband met die verwerkingsactiviteiten beperken en voorkomen dat de elektronische gezondheidsgegevens rechtstreeks aan de gebruikers van gezondheidsgegevens worden doorgegeven. De instantie voor toegang tot gezondheidsgegevens of de houder van gezondheidsgegevens die deze dienst verleent, moet te allen tijde de zeggenschap over de toegang tot de elektronische gezondheidsgegevens behouden, en de gebruikers van gezondheidsgegevens moet toegang worden verleend overeenkomstig de voorwaarden van de afgegeven gegevensvergunning. De gebruikers van gezondheidsgegevens mogen uitsluitend niet-persoonsgebonden elektronische gezondheidsgegevens die geen persoonlijke elektronische gezondheidsgegevens bevatten, vanuit een dergelijke beveiligde verwerkingsomgeving downloaden. Bijgevolg is een dergelijke beveiligde verwerkingsomgeving een essentiële waarborg om de rechten en vrijheden van natuurlijke personen met betrekking tot de verwerking van hun elektronische gezondheidsgegevens voor secundair gebruik te beschermen. De Commissie moet de lidstaten bijstaan bij de ontwikkeling van gemeenschappelijke beveiligingsnormen om de veiligheid en de interoperabiliteit van de verschillende beveiligde verwerkingsomgevingen te bevorderen.

In Verordening (EU) 2022/868 worden de algemene regels voor het beheer van data-altruïsme beschreven. Aangezien de gezondheidssector gevoelige gegevens beheert, moeten aanvullende criteria worden vastgesteld aan de hand van het in die verordening bedoelde regelgevingskader. Wanneer dergelijke regels voorzien in het gebruik van een beveiligde verwerkingsomgeving voor die sector, moet die beveiligde verwerkingsomgeving voldoen aan de in deze verordening vastgestelde criteria. De instanties voor toegang tot gezondheidsgegevens moeten samenwerken met de bevoegde autoriteiten die krachtens Verordening (EU) 2022/868 worden aangewezen om toezicht te houden op de activiteiten van organisaties voor data-altruïsme in de gezondheids- of zorgsector.

Voor de verwerking van elektronische gezondheidsgegevens binnen het toepassingsgebied van een gegevensvergunning of een verzoek om gezondheidsgegevens, moeten houders van gezondheidsgegevens, met inbegrip van de betrouwbare houders van gezondheidsgegevens, instanties voor toegang tot gezondheidsgegevens en gebruikers van gezondheidsgegevens elk op hun beurt worden beschouwd als verwerkingsverantwoordelijke voor een specifiek deel van het proces en overeenkomstig hun respectieve rol daarin. Houders van gezondheidsgegevens moeten worden beschouwd als verwerkingsverantwoordelijken voor de openbaarmaking van de gevraagde persoonlijke elektronische gezondheidsgegevens aan de instanties voor toegang tot gezondheidsgegevens, terwijl de instanties voor toegang tot gezondheidsgegevens op hun beurt moeten worden beschouwd als verwerkingsverantwoordelijken voor de verwerking van de persoonlijke elektronische gezondheidsgegevens bij de voorbereiding van de gegevens om deze beschikbaar te stellen aan de gebruikers van gezondheidsgegevens. Gebruikers van gezondheidsgegevens moeten worden beschouwd als verwerkingsverantwoordelijken voor de verwerking van persoonlijke elektronische gezondheidsgegevens in gepseudonimiseerde vorm in de beveiligde verwerkingsomgeving overeenkomstig de aan hen verstrekte gegevensvergunning. Instanties voor toegang tot gezondheidsgegevens moeten worden beschouwd als verwerkers, namens de gebruiker van gezondheidsgegevens, voor de verwerking die door de gebruiker van gezondheidsgegevens overeenkomstig een gegevensvergunning wordt verricht in de beveiligde verwerkingsomgeving, alsook voor de verwerking om een antwoord op een verzoek om gezondheidsgegevens te genereren. Evenzo moeten betrouwbare houders van gezondheidsgegevens worden beschouwd als verwerkingsverantwoordelijken voor hun verwerking van persoonlijke elektronische gezondheidsgegevens in verband met de verstrekking van elektronische gezondheidsgegevens aan de gebruiker van gezondheidsgegevens op grond van een gegevensvergunning of een verzoek om gezondheidsgegevens. De betrouwbare houders van gezondheidsgegevens moeten worden beschouwd als verwerker voor de gebruiker van gezondheidsgegevens wanneer deze houders gegevens verstrekken via een beveiligde verwerkingsomgeving.

Om een inclusief en duurzaam kader voor op meerdere landen gericht secundair gebruik tot stand te brengen, moet een grensoverschrijdende infrastructuur worden opgezet (“HealthData@EU”). HealthData@EU moet secundair gebruik versnellen en tegelijkertijd de rechtszekerheid vergroten, de privacy van natuurlijke personen eerbiedigen en interoperabel zijn. Gezien de gevoeligheid van gezondheidsgegevens moeten waar mogelijk beginselen als “privacy door ontwerp” en “privacy door standaardinstellingen” en het concept “breng de vragen naar de gegevens in plaats van die gegevens te verplaatsen” in acht worden genomen. De lidstaten moeten nationale contactpunten voor secundair gebruik aanwijzen als organisatorische en technische toegangspoorten voor instanties voor toegang tot gezondheidsgegevens, en die contactpunten aansluiten op HealthData@EU. De dienst van de Unie voor toegang tot gezondheidsgegevens moet ook worden aangesloten op HealthData@EU. Daarnaast kunnen gemachtigde deelnemers aan HealthData@EU onderzoeksinfrastructuren zijn die zijn opgezet als een consortium voor een Europese onderzoeksinfrastructuur (European Research Infrastructure Consortium, ERIC) in het kader van Verordening (EG) nr. 723/2009 van de Raad (19), als Europees consortium voor digitale infrastructuur (EDIC) in het kader van Besluit (EU) 2022/2481 of soortgelijke structuren die krachtens andere rechtshandelingen van de Unie zijn opgezet, alsook andere soorten entiteiten, waaronder infrastructuren in het kader van het Europees Strategieforum voor onderzoeksinfrastructuren (Esfri) of infrastructuren die zijn gefedereerd in het kader van de EOSC. Derde landen en internationale organisaties kunnen ook gemachtigde deelnemers aan HealthData@EU worden, mits zij voldoen aan de vereisten van deze verordening. De mededeling van de Commissie van 19 februari 2020, getiteld “Een Europese datastrategie”, promootte de koppeling van de verschillende gemeenschappelijke Europese dataruimten. HealthData@EU moet daarom het secundaire gebruik van uiteenlopende categorieën elektronische gezondheidsgegevens mogelijk maken, met inbegrip van het koppelen van gezondheidsgegevens aan gegevens uit andere dataruimten zoals die betreffende milieu, landbouw, en de sociale sector. Dergelijke interoperabiliteit tussen de gezondheidssector en andere sectoren zoals de milieusector, de landbouwsector of de sociale sector kan relevant zijn voor het verkrijgen van aanvullende inzichten in gezondheidsdeterminanten. De Commissie zou een aantal diensten kunnen aanbieden binnen HealthData@EU, waaronder het ondersteunen van de uitwisseling van informatie tussen instanties voor toegang tot gezondheidsgegevens en gemachtigde deelnemers aan HealthData@EU met het oog op de behandeling van grensoverschrijdende verzoeken om toegang, het bijhouden van catalogi van elektronische gezondheidsgegevens die beschikbaar zijn via de infrastructuur, de vindbaarheid van netwerken en opvragingen van metagegevens alsmede connectiviteits- en nalevingsdiensten. De Commissie zou ook een beveiligde verwerkingsomgeving kunnen opzetten, die het mogelijk maakt dat gegevens uit verschillende nationale infrastructuren op verzoek van de verwerkingsverantwoordelijken worden doorgegeven en geanalyseerd. Vanwege de IT-efficiëntie, de rationalisering en de interoperabiliteit van gegevensuitwisselingen moeten bestaande systemen voor het delen van gegevens zo veel mogelijk worden hergebruikt, zoals die welke worden opgezet voor de uitwisseling van bewijsmateriaal in het kader van “het technisch systeem voor de toepassing van het “eenmaligheidsbeginsel” van Verordening (EU) 2018/1724 van het Europees Parlement en de Raad (20).

Aangezien de aansluiting op DataHealth@EU gepaard zou kunnen gaan met de doorgifte van persoonsgegevens met betrekking tot de aanvrager of de gebruiker van gezondheidsgegevens naar derde landen, moeten er uit hoofde van hoofdstuk V van Verordening (EU) 2016/679 bovendien relevante instrumenten voor doorgifte voorhanden zijn om die gegevens door te geven.

In het geval van grensoverschrijdende registers of databanken, zoals de registers van de Europese referentienetwerken voor zeldzame ziekten, die gegevens ontvangen van verschillende zorgaanbieders in meerdere lidstaten, moet de instantie voor toegang tot gezondheidsgegevens van de lidstaat waar de coördinator van het register zich bevindt, verantwoordelijk zijn voor het verlenen van toegang tot de gegevens.

De procedure voor het verkrijgen van toestemming voor de toegang tot persoonlijke elektronische gezondheidsgegevens in verschillende lidstaten kan voor de gebruikers van gezondheidsgegevens repetitief en omslachtig zijn. Waar mogelijk moeten synergieën tot stand worden gebracht om de lasten en belemmeringen voor gebruikers van gezondheidsgegevens te verminderen. Een van de manieren om dat doel te bereiken is de toepassing van het beginsel van “één enkele aanvraag”, waarbij de gebruiker van gezondheidsgegevens met één aanvraag toestemming kan krijgen van meerdere instanties voor toegang tot gezondheidsgegevens in verschillende lidstaten of gemachtigde deelnemers aan HealthData@EU.

De instanties voor toegang tot gezondheidsgegevens moeten informatie verstrekken over de beschikbare datasets en de kenmerken daarvan, zodat de gebruikers van gezondheidsgegevens op de hoogte kunnen worden gebracht van elementaire feiten over de dataset en de mogelijke relevantie van die feiten voor die gebruikers kunnen beoordelen. Om die reden moet elke dataset ten minste informatie bevatten over de bron en de aard van de gegevens en over de voorwaarden voor het beschikbaar stellen van de gegevens. De houder van gezondheidsgegevens moet ten minste eenmaal per jaar controleren of de beschrijving van de dataset in de nationale catalogus van datasets nauwkeurig en actueel is. Daarom moet een EU-catalogus van datasets worden opgesteld om: de vindbaarheid van de in de EHDS beschikbare datasets te vergemakkelijken; de houders van gezondheidsgegevens te helpen bij de publicatie van hun datasets; alle belanghebbenden, zoals het grote publiek — rekening houdend met de specifieke behoeften van personen met een beperking — informatie te verstrekken over de datasets in de EHDS, zoals kwaliteits- en gegevensbruikbaarheidslabels en informatiebladen over datasets; en de gezondheidsgegevensgebruikers te voorzien van actuele informatie over de kwaliteit en de bruikbaarheid van de gegevens in de datasets.

Informatie over de kwaliteit en de bruikbaarheid van datasets verhoogt de waarde van de resultaten van gegevensintensief onderzoek en gegevensintensieve innovatie aanzienlijk, en bevordert tegelijkertijd empirisch onderbouwde regelgeving en beleidsvorming. Verbetering van de kwaliteit en de bruikbaarheid van datasets door middel van weloverwogen keuzes door de klant en harmonisering van de desbetreffende vereisten op het niveau van de Unie, met inaanmerkingneming van de bestaande Unie- en internationale normen, richtsnoeren en aanbevelingen voor de verzameling en uitwisseling van gegevens, zoals de FAIR-beginselen, komt ook de houders van gezondheidsgegevens, de gezondheidswerkers, de natuurlijke personen en de economie van de Unie in het algemeen ten goede. Een gegevenskwaliteits- en gegevensbruikbaarheidslabel voor datasets zou de gebruikers van gezondheidsgegevens informeren over de kenmerken inzake kwaliteit en bruikbaarheid van een dataset en hen in staat stellen de datasets te kiezen die het best aan hun behoeften beantwoorden. Het gegevenskwaliteits- en gegevensbruikbaarheidslabel mag niet belemmeren dat datasets via de EHDS beschikbaar worden gesteld, maar moet voorzien in een transparantiemechanisme tussen houders van gezondheidsgegevens en gebruikers van gezondheidsgegevens. Zo moet een dataset die aan geen enkel vereiste inzake de kwaliteit en bruikbaarheid van gegevens beantwoordt, worden voorzien van het label voor de laagste kwaliteits- en bruikbaarheidsklasse, maar toch beschikbaar worden gesteld. Bij de ontwikkeling van het kader voor de kwaliteit en bruikbaarheid van gegevens moet rekening worden gehouden met de verwachtingen die worden gesteld door de krachtens in artikel 10 van Verordening (EU) 2024/1689 tot stand gebrachte kaders en de desbetreffende technische documentatie zoals gespecificeerd in bijlage IV bij die verordening. De lidstaten moeten door middel van communicatieactiviteiten de bekendheid met het gegevenskwaliteits- en gegevensbruikbaarheidslabel vergroten. De Commissie zou die activiteiten kunnen ondersteunen. Het gebruik van datasets kan door hun gebruikers worden geprioriteerd op basis van het nut en de kwaliteit ervan.

De EU-catalogus van datasets moet de administratieve lasten voor de houders van gezondheidsgegevens en andere gebruikers van databanken tot een minimum beperken, moet gebruikersvriendelijk, toegankelijk en kosteneffectief zijn, moet nationale catalogi van datasets met elkaar verbinden en moet dubbele registratie van datasets vermijden. De EU-catalogus van datasets zou kunnen worden afgestemd op het initiatief data.europa.eu, onverminderd de vereisten van Verordening (EU) 2022/868. Er moet worden gezorgd voor interoperabiliteit tussen de EU-catalogus van datasets, de nationale catalogi van datasets en de catalogi van datasets van de Europese onderzoeksinfrastructuren en andere relevante infrastructuren voor gegevensuitwisseling.

Verschillende beroepsorganisaties, de Commissie en andere instellingen werken samen aan het vastleggen van minimale gegevensvelden en andere kenmerken van verschillende datasets, bijvoorbeeld registers. Die werkzaamheden zijn op gebieden als kanker, zeldzame ziekten, hart- en vaatziekten en stofwisselingsziekten, beoordeling van risicofactoren en statistieken verder gevorderd, en moeten bij de vaststelling van nieuwe normen en ziektespecifieke geharmoniseerde templates voor gestructureerde gegevenselementen in aanmerking worden genomen. Veel datasets zijn echter niet geharmoniseerd, wat problemen met de vergelijkbaarheid meebrengt en grensoverschrijdend onderzoek bemoeilijkt. Daarom moeten door middel van uitvoeringshandelingen gedetailleerdere regels worden vastgesteld om een geharmoniseerde codering en registratie van elektronische gezondheidsgegevens te waarborgen teneinde de verstrekking van die gegevens voor secundair gebruik op consistente wijze mogelijk te maken. Dergelijke datasets zouden gegevens kunnen omvatten van registers van zeldzame ziekten, databanken inzake weesgeneesmiddelen, kankerregisters en registers van zeer relevante infectieziekten. De lidstaten moeten ernaar streven om ervoor te zorgen dat uit Europese elektronische gezondheidszorgstelsels en -diensten en interoperabele toepassingen duurzame economische en sociale voordelen worden gehaald, teneinde een hoog vertrouwens- en beveiligingsniveau te bereiken, de continuïteit van de gezondheidszorg te verbeteren en de toegang tot veilige en kwalitatief hoogwaardige gezondheidszorg te waarborgen. Bestaande infrastructuren en registers voor gezondheidsgegevens kunnen voorzien in modellen die nuttig zijn voor het vaststellen en toepassen van gegevensnormen en interoperabiliteit en moeten worden ingezet om continuïteit mogelijk te maken en op beschikbare deskundigheid voort te bouwen.

De Commissie moet de lidstaten ondersteunen bij het opbouwen van capaciteit en het verbeteren van de doeltreffendheid op het gebied van digitale gezondheidszorgstelsels voor primair gebruik en secundair gebruik. De lidstaten moeten worden ondersteund om hun capaciteit te versterken. Activiteiten op het niveau van de Unie, zoals benchmarking en de uitwisseling van beste praktijken, zijn in dat verband relevante maatregelen. Bij die activiteiten moet rekening worden gehouden met de specifieke omstandigheden van verschillende categorieën belanghebbenden, zoals vertegenwoordigers van het maatschappelijk middenveld, onderzoekers, medische organisaties en kmo’s.

De verbetering van de geletterdheid op het gebied van digitale gezondheid, zowel bij natuurlijke personen als bij gezondheidswerkers, is essentieel voor het vertrouwen en de veiligheid en een passend gebruik van gezondheidsgegevens, en is bijgevolg essentieel voor de succesvolle uitvoering van deze verordening. Gezondheidswerkers staan voor ingrijpende veranderingen in de context van digitalisering en krijgen verdere digitale instrumenten aangeboden in het kader van de uitvoering van de EHDS. Bijgevolg moeten gezondheidswerkers hun geletterdheid op het gebied van digitale gezondheid en hun digitale vaardigheden ontwikkelen, en moeten de lidstaten gezondheidswerkers toegang bieden tot cursussen digitale geletterdheid opdat zij zich kunnen voorbereiden op het werken met EPD-systemen. Door die cursussen moeten gezondheidswerkers en IT-medewerkers kunnen voldoende worden opgeleid om te leren werken met nieuwe digitale infrastructuur om cyberbeveiliging en een ethisch beheer van gezondheidsgegevens te waarborgen. De opleidingscursussen moeten regelmatig worden ontwikkeld, geëvalueerd en bijgewerkt, in overleg en in samenwerking met relevante deskundigen. De verbetering van de geletterdheid op het gebied van digitale gezondheid is fundamenteel om natuurlijke personen in staat te stellen daadwerkelijk zeggenschap te hebben over hun gezondheidsgegevens, hun eigen gezondheid en zorg actief te beheren, alsook om hen inzicht te bieden in de implicaties van het beheer van die gegevens voor zowel primair gebruik als secundair gebruik. Verschillende demografische groepen hebben verschillende niveaus van digitale geletterdheid, wat van invloed kan zijn op het vermogen van natuurlijke personen om hun zeggenschapsrechten over hun elektronische gezondheidsgegevens uit te oefenen. Daarom moeten de lidstaten, met inbegrip van regionale en lokale autoriteiten, geletterdheid op het gebied van digitale gezondheid en publieksvoorlichting ondersteunen, waarbij zij ervoor zorgen dat de uitvoering van deze verordening bijdraagt aan het verminderen van ongelijkheden en niet leidt tot discriminatie van mensen zonder digitale vaardigheden. Bijzondere aandacht moet worden besteed aan personen met een handicap en kwetsbare groepen, met inbegrip van migranten en ouderen. De lidstaten moeten gerichte nationale programma’s voor digitale geletterdheid opzetten, met inbegrip van programma’s om de sociale inclusie te maximaliseren en ervoor te zorgen dat alle natuurlijke personen hun rechten uit hoofde van deze verordening daadwerkelijk kunnen uitoefenen. De lidstaten moeten natuurlijke personen patiëntgerichte richtsnoeren verstrekken met betrekking tot het gebruik van elektronische patiëntendossiers en het primaire gebruik van hen betreffende persoonlijke elektronische gezondheidsgegevens. De richtsnoeren moeten zijn afgestemd op het niveau van geletterdheid van de patiënt op het gebied van digitale gezondheid, waarbij bijzondere aandacht moet worden besteed aan de behoeften van kwetsbare groepen.

Het gebruik van fondsen moet ook bijdragen tot de verwezenlijking van de doelstellingen van de EHDS. Bij het bepalen van de voorwaarden voor overheidsopdrachten, de oproepen tot het indienen van voorstellen en de toewijzing van middelen van de Unie, met inbegrip van de structuur- en cohesiefondsen, moeten de aanbestedende overheidsdiensten, de nationale bevoegde autoriteiten in de lidstaten, met inbegrip van de autoriteiten voor digitale gezondheidszorg en de instanties voor toegang tot gezondheidsgegevens, en ook de Commissie verwijzen naar de toepasselijke technische specificaties, normen en profielen inzake interoperabiliteit, beveiliging en gegevenskwaliteit, alsook naar andere vereisten die in het kader van deze verordening zijn ontwikkeld. De middelen van de Unie moeten op transparante wijze over de lidstaten worden verdeeld, rekening houdend met de verschillende niveaus van digitalisering van de gezondheidszorgstelsels. Het beschikbaar stellen van gegevens voor secundair gebruik vereist extra middelen voor gezondheidszorgstelsels, met name openbare gezondheidszorgstelsels. Die extra last moet tijdens de uitvoeringsfase van de EHDS worden aangepakt en tot een minimum worden beperkt.

De uitvoering van de EHDS vereist passende investeringen in capaciteitsopbouw en opleiding en een solide verbintenis tot raadpleging en betrokkenheid van het publiek zowel op het niveau van de Unie als op nationaal niveau. De economische kosten van de uitvoering van deze verordening moeten zowel op het niveau van de Unie als op nationaal niveau worden gedragen, en er zal moeten worden gezorgd voor een eerlijke verdeling van die last tussen de Uniemiddelen en de nationale middelen.

Bepaalde categorieën elektronische gezondheidsgegevens kunnen bijzonder gevoelig blijven, zelfs wanneer zij in geanonimiseerde vorm en dus niet-persoonsgebonden zijn, zoals reeds specifiek in Verordening (EU) 2022/868 is bepaald. Zelfs wanneer gebruik wordt gemaakt van geavanceerde anonimiseringstechnieken, is er nog altijd een risico dat de betrokken persoon opnieuw wordt of in de toekomst geïdentificeerd zal kunnen worden, met gebruikmaking van andere middelen dan die waarvan redelijkerwijs kan worden aangenomen dat zij zullen worden gebruikt. Een dergelijk overblijvend risico doet zich voor in verband met zeldzame ziekten, te weten levensbedreigende of chronisch invaliderende aandoeningen die niet meer dan vijf op de tienduizend personen in de Unie treffen, waarbij het geringe aantal gevallen de mogelijkheid beperkt om de gepubliceerde gegevens volledig samen te voegen teneinde de privacy van natuurlijke personen te beschermen en tegelijkertijd een passend niveau van granulariteit te handhaven om zinvol te blijven. Dergelijk overblijvend risico kan gevolgen hebben voor verschillende categorieën gezondheidsgegevens en kan ertoe leiden dat de betrokkenen opnieuw worden geïdentificeerd met middelen die verder gaan dan de middelen waarvan redelijkerwijs kan worden aangenomen dat ze zullen worden gebruikt. Een dergelijk risico is afhankelijk van het niveau van granulariteit, de beschrijving van de kenmerken van de betrokkenen, het aantal getroffen personen, bijvoorbeeld wanneer het gaat om gegevens in elektronische patiëntendossiers, ziekteregisters, biobanken en door personen gegenereerde gegevens, waarbij het spectrum aan identificatiekenmerken breder is en de mogelijke combinatie met andere informatie, bijvoorbeeld in zeer kleine geografische gebieden, of via de technologische ontwikkeling van methoden die op het moment van anonimisering niet beschikbaar waren. Een dergelijke heridentificatie van natuurlijke personen zou een belangrijk punt van zorg vormen en zou de aanvaarding van de regels inzake secundair gebruik waarin deze verordening voorziet, in gevaar kunnen brengen. Bovendien worden aggregatietechnieken minder getest voor niet-persoonsgebonden gegevens die bijvoorbeeld bedrijfsgeheimen bevatten, zoals het geval is bij de rapportage over klinische proeven en klinische onderzoeken, en kan bij gebrek aan een toereikende internationale beschermingsnorm moeilijker worden opgetreden tegen schendingen van bedrijfsgeheimen buiten de Unie. Daarom blijft er voor die categorieën gezondheidsgegevens een risico op heridentificatie na de anonimisering of aggregatie bestaan, dat redelijkerwijs niet van meet af aan kan worden beperkt. Dit valt onder de criteria van artikel 5, lid 13, van Verordening (EU) 2022/868. Die soorten gezondheidsgegevens zouden dus onder de in artikel 5, lid 13, van die Verordening verleende machtiging voor doorgifte aan derde landen vallen. De bijzondere voorwaarden waarin uit hoofde van de in artikel 5, lid 13, van Verordening (EU) 2022/868 vastgestelde machtiging wordt voorzien, zullen nader worden uitgewerkt in de context van de gedelegeerde handeling die op grond van die machtiging wordt vastgesteld, en moeten in verhouding staan tot het risico van heridentificatie en rekening houden met de specifieke kenmerken van verschillende gegevenscategorieën of van verschillende anonimiserings- of aggregatietechnieken.

De verwerking van grote hoeveelheden persoonlijke elektronische gezondheidsgegevens voor de doeleinden van de EHDS, als onderdeel van gegevensverwerkingsactiviteiten in het kader van het behandelen van aanvragen voor toegang tot gezondheidsgegevens, gegevensvergunningen en verzoeken om gezondheidsgegevens, brengt hogere risico’s met zich mee op het gebied van ongeoorloofde toegang tot dergelijke persoonsgegevens, alsook de mogelijkheid van cyberbeveiligingsincidenten. Persoonlijke elektronische gezondheidsgegevens zijn bijzonder gevoelig, aangezien zij vaak informatie omvatten die onder het medisch geheim valt en waarvan de openbaarmaking aan onbevoegde derden aanzienlijk leed kan veroorzaken. Met volledige inachtneming van de in de jurisprudentie van het Hof van Justitie van de Europese Unie uiteengezette beginselen waarborgt deze verordening de volledige eerbiediging van de grondrechten, het recht op privacy en het evenredigheidsbeginsel. Om de volledige integriteit en vertrouwelijkheid van persoonlijke elektronische gezondheidsgegevens in het kader van deze verordening te waarborgen, een bijzonder hoog niveau van bescherming en beveiliging te waarborgen en het risico van onrechtmatige toegang tot die persoonlijke elektronische gezondheidsgegevens te beperken, staat deze verordening de lidstaten toe om te vereisen dat persoonlijke elektronische gezondheidsgegevens uitsluitend binnen de Unie worden opgeslagen en verwerkt met het oog op de uitvoering van de taken waarin deze verordening voorziet, tenzij een uit hoofde van artikel 45 van Verordening (EU) 2016/679 vastgesteld adequaatheidsbesluit van toepassing is.

Toegang tot elektronische gezondheidsgegevens voor in derde landen gevestigde gebruikers van gezondheidsgegevens of voor internationale organisaties mag alleen plaatsvinden op basis van het wederkerigheidsbeginsel. Het ter beschikking stellen van elektronische gezondheidsgegevens aan een derde land mag alleen worden toegestaan wanneer de Commissie door middel van een uitvoeringshandeling heeft vastgesteld dat het betrokken derde land toestaat dat de entiteiten van de Unie toegang hebben tot elektronische gezondheidsgegevens van oorsprong uit dat derde land, onder dezelfde voorwaarden en met dezelfde waarborgen als die welke gelden voor hun toegang tot elektronische gezondheidsgegevens binnen de Unie. De Commissie dient de situatie in die derde landen en voor internationale organisaties te monitoren en een periodieke evaluatie van die situatie uit te voeren, en een lijst op te stellen van die uitvoeringshandelingen. Indien de Commissie van oordeel is dat een derde land niet langer onder dezelfde voorwaarden toegang waarborgt, moet zij de overeenkomstige uitvoeringshandeling intrekken.

Om de consistente toepassing van de onderhavige verordening te bevorderen, met inbegrip van wat betreft grensoverschrijdende interoperabiliteit van elektronische gezondheidsgegevens, moet een Raad voor de Europese ruimte voor gezondheidsgegevens worden opgericht. De Commissie moet aan de activiteiten van die raad deelnemen en deze mede voorzitten. De EHDS-raad moet schriftelijke bijdragen kunnen afgeven met betrekking tot de consistente toepassing van de onderhavige verordening in de hele Unie, onder meer door de lidstaten te helpen bij de coördinatie van het gebruik van elektronische gezondheidsgegevens met het oog op de gezondheidszorg en de certificering, maar ook met betrekking tot secundair gebruik en de financiering van die activiteiten. Dit zou ook het delen van informatie over risico’s en incidenten in de beveiligde verwerkingsomgevingen kunnen omvatten. De uitwisseling van dat soort informatie doet geen afbreuk aan verplichtingen uit hoofde van andere rechtshandelingen, zoals kennisgevingen van inbreuken in verband met gegevens uit hoofde van Verordening (EU) 2016/679. Meer in het algemeen doen de activiteiten van de EHDS-raad geen afbreuk aan de bevoegdheden van de toezichthoudende autoriteiten uit hoofde van Verordening (EU) 2016/679. Aangezien op nationaal niveau de autoriteiten voor digitale gezondheid die zich bezighouden met primair gebruik kunnen verschillen van de instanties voor toegang tot gezondheidsgegevens die zich bezighouden met secundair gebruik, de functies verschillend zijn en er behoefte is aan afzonderlijke samenwerking op elk van die gebieden, moet de EHDS-raad subgroepen kunnen oprichten die zich bezighouden met die twee functies, alsook waar nodig andere subgroepen. Met het oog op een efficiënte werkmethode moeten de autoriteiten voor digitale gezondheid en de instanties voor toegang tot gezondheidsgegevens op nationaal niveau, maar ook op het niveau van de Unie, netwerken opzetten en koppelingen met andere autoriteiten en instanties tot stand brengen. Dergelijke instanties kunnen gegevensbeschermingsautoriteiten, cyberbeveiligings-, e-ID- en normalisatie-instanties, alsook organen en deskundigengroepen uit hoofde van de Verordeningen (EU) 2022/868, (EU) 2023/2854 en (EU) 2024/1689 en Verordening (EU) 2019/881 van het Europees Parlement en de Raad (21) omvatten. De EHDS-raad moet onafhankelijk, in het algemeen belang en in overeenstemming met zijn gedragscode handelen.

Wanneer kwesties worden besproken die volgens de EHDS-raad van specifiek belang zijn, moet de raad waarnemers kunnen uitnodigen, bijvoorbeeld de EDPS, vertegenwoordigers van de instellingen van de Unie, waaronder van het Europees Parlement, en andere belanghebbenden.

Er moet een forum van belanghebbenden worden opgericht om de EHDS-raad te adviseren bij de uitvoering van zijn taken door belanghebbenden informatie te verstrekken over aangelegenheden die verband houden met deze verordening. Het forum van belanghebbenden moet bestaan uit onder meer vertegenwoordigers van patiënten- en consumentenorganisaties, gezondheidswerkers, de industrie, wetenschappelijke onderzoekers en de academische wereld. Het forum moet een evenwichtige samenstelling hebben en de standpunten van verschillende relevante belanghebbenden vertegenwoordigen. Zowel commerciële als niet-commerciële belangen moeten vertegenwoordigd zijn.

Om een goed dagelijks beheer van de grensoverschrijdende infrastructuren voor primair gebruik en secundair gebruik te waarborgen, moeten er stuurgroepen worden opgericht die bestaan uit vertegenwoordigers van de lidstaten. Die stuurgroepen moeten operationele beslissingen nemen over het technische dagelijkse beheer van de grensoverschrijdende infrastructuren en de technische ontwikkeling ervan, onder meer met betrekking tot technische wijzigingen van de infrastructuren, de verbetering van functionaliteiten of diensten of het waarborgen van de interoperabiliteit met andere infrastructuren, digitale systemen of dataruimten. Hun activiteiten mogen zich niet uitstrekken tot het bijdragen aan de ontwikkeling van uitvoeringshandelingen die van invloed zijn op die infrastructuren. De stuurgroepen moeten ook vertegenwoordigers van andere gemachtigde deelnemers aan HealthData@EU als waarnemer kunnen uitnodigen voor hun vergaderingen en moeten bij de uitvoering van hun taken relevante deskundigen raadplegen.

Onverminderd andere mogelijkheden van administratief, gerechtelijk of buitengerechtelijk beroep moet iedere natuurlijke persoon of rechtspersoon het recht hebben om bij een autoriteit voor digitale gezondheid of bij een instantie voor toegang tot gezondheidsgegevens een klacht in te dienen indien de natuurlijke of rechtspersoon van oordeel is dat zijn of haar rechten geschaad zijn. Het onderzoek naar aanleiding van een klacht dient, onder voorbehoud van rechterlijke toetsing, niet verder te gaan dan in het specifieke geval passend is. De autoriteit voor digitale gezondheid of instantie voor toegang tot gezondheidsgegevens moet de natuurlijke of rechtspersoon binnen een redelijke termijn in kennis stellen van de voortgang en het resultaat van de klacht. Indien de zaak nader onderzoek of coördinatie met een andere autoriteit voor digitale gezondheid of instantie voor toegang tot gezondheidsgegevens vereist, moet er aan de natuurlijke of rechtspersoon tussentijds informatie over de bij de behandeling van de klacht geboekte vooruitgang worden verstrekt. Elke autoriteit voor digitale gezondheid en elke instantie voor toegang tot gezondheidsgegevens moet maatregelen nemen om de indiening van klachten te vergemakkelijken, zoals het verstrekken van een klachtenformulier dat ook elektronisch kan worden ingevuld, zonder evenwel de mogelijkheid uit te sluiten om andere communicatiemiddelen te gebruiken. Indien de klacht betrekking heeft op de rechten van natuurlijke personen in verband met de bescherming van hun persoonsgegevens, stuurt de autoriteit voor digitale gezondheid of de instantie voor toegang tot gezondheidsgegevens de klacht door naar de toezichthoudende autoriteiten uit hoofde van Verordening (EU) 2016/679. De autoriteiten voor digitale gezondheid of instanties voor toegang tot gezondheidsgegevens moeten samenwerken om klachten zonder onnodige vertraging te behandelen en op te lossen, onder meer door alle relevante informatie elektronisch uit te wisselen.

Indien een natuurlijke persoon van oordeel is dat er inbreuk is gemaakt op zijn of haar rechten uit hoofde van deze verordening, moet hij of zij het recht hebben organen, organisaties of verenigingen zonder winstoogmerk die overeenkomstig nationaal recht zijn opgericht, statutaire doelstellingen van algemeen belang hebben en actief zijn op het gebied van de bescherming van persoonsgegevens, te machtigen om namens hem of haar een klacht in te dienen.

De autoriteit voor digitale gezondheid, de instantie voor toegang tot gezondheidsgegevens, de houder van gezondheidsgegevens of de gebruiker van gezondheidsgegevens moet alle schade vergoeden die een natuurlijke of rechtspersoon lijdt als gevolg van een inbreuk op deze verordening. Het begrip “schade” moet ruim worden uitgelegd in het licht van de rechtspraak van het Hof van Justitie van de Europese Unie, op een wijze die ten volle recht doet aan de doelstellingen van deze verordening. Dit laat eventuele eisen tot schadeloosstelling wegens inbreuken op andere voorschriften van Unierecht of nationaal recht onverlet. Natuurlijke personen moeten een volledige en daadwerkelijke vergoeding ontvangen voor door hen geleden schade.

Met het oog op een krachtiger handhaving van de regels van deze verordening dienen sancties, met inbegrip van administratieve geldboetes, te worden opgelegd voor elke inbreuk op deze verordening, naast of in plaats van passende maatregelen die door instanties voor toegang tot gezondheidsgegevens uit hoofde van deze verordening worden opgelegd. Het opleggen van sancties, met inbegrip van administratieve boeten, moet worden onderworpen aan passende procedurele waarborgen overeenkomstig de algemene beginselen van het recht van de Unie en het Handvest van de grondrechten van de Europese Unie, met inbegrip van een doeltreffende rechtsbescherming en een eerlijke rechtsgang.

Het is passend om bepalingen vast te stellen op grond waarvan instanties voor toegang tot gezondheidsgegevens administratieve geldboetes kunnen opleggen voor bepaalde inbreuken op deze verordening die uit hoofde van deze verordening als ernstig moeten worden beschouwd, zoals de heridentificatie van natuurlijke personen, het downloaden van persoonlijke elektronische gezondheidsgegevens buiten de beveiligde verwerkingsomgeving of de verwerking van gegevens voor verboden gebruik of gebruik dat niet onder een gegevensvergunning valt. In deze verordening moeten de inbreuken worden gespecificeerd, evenals de maxima en de criteria voor de vaststelling van de daaraan verbonden administratieve geldboetes, die per afzonderlijk geval door de bevoegde instantie voor toegang tot gezondheidsgegevens moeten worden bepaald, rekening houdend met alle relevante omstandigheden van de specifieke situatie en in het bijzonder met de aard, de ernst en de duur van de inbreuk en de gevolgen ervan, alsook met de maatregelen die zijn genomen om naleving van de verplichtingen uit hoofde van deze verordening te waarborgen en de gevolgen van de inbreuk te voorkomen of te beperken. In het kader van de oplegging van administratieve geldboetes uit hoofde van deze verordening, moet het concept “onderneming” worden opgevat in overeenstemming met de artikelen 101 en 102 VWEU. Het moet aan de lidstaten staan om te bepalen of en in hoeverre overheidsinstanties aan administratieve geldboetes onderworpen moeten zijn. Het opleggen van een administratieve geldboete of het geven van een waarschuwing mag geen gevolgen hebben voor de handhaving van andere bevoegdheden van de instanties voor toegang tot gezondheidsgegevens of voor het opleggen van andere sancties uit hoofde van deze verordening.

Teneinde ervoor te zorgen dat de EHDS haar doelstellingen verwezenlijkt, moet aan de Commissie de bevoegdheid worden overgedragen om overeenkomstig artikel 290 VWEU handelingen vast te stellen ten aanzien van de wijziging, toevoeging of schrapping in bijlage I van de voornaamste kenmerken van de prioritaire categorieën persoonlijke elektronische gezondheidsgegevens, de lijst van vereiste gegevens die door de fabrikanten van EPD-systemen en wellnessapps moeten worden ingevoerd in de EU-databank voor de registratie van EPD-systemen en wellnessapps alsook de wijziging, toevoeging of verwijdering van elementen die het gegevenskwaliteits- en gegevensbruikbaarheidslabel moet omvatten. Het is van bijzonder belang dat de Commissie bij haar voorbereidende werkzaamheden tot passende raadplegingen overgaat, onder meer op deskundigenniveau, en dat die raadplegingen plaatsvinden in overeenstemming met de beginselen die zijn vastgelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven (22). Met name om te zorgen voor gelijke deelname aan de voorbereiding van gedelegeerde handelingen, ontvangen het Europees Parlement en de Raad alle documenten op hetzelfde tijdstip als de deskundigen van de lidstaten, en hebben hun deskundigen systematisch toegang tot de vergaderingen van de deskundigengroepen van de Commissie die zich bezighouden met de voorbereiding van de gedelegeerde handelingen.

Om eenvormige voorwaarden te waarborgen voor de uitvoering van de onderhavige verordening, moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend met betrekking tot:

Die bevoegdheden moeten worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad (23).

De lidstaten moeten alle maatregelen treffen die nodig zijn om ervoor te zorgen dat de bepalingen van de onderhavige verordening worden uitgevoerd, onder meer door te voorzien in doeltreffende, evenredige en afschrikkende sancties bij inbreuken daarop. Bij het bepalen van de hoogte van de sanctie voor elk afzonderlijk geval moeten de lidstaten de limieten en criteria van deze verordening in aanmerking nemen. Heridentificatie van natuurlijke personen moet worden beschouwd als een ernstige inbreuk op deze verordening.

De uitvoering van de EHDS zal aanzienlijke ontwikkelingswerkzaamheden in de lidstaten en bij de centrale diensten vergen. Om de vooruitgang op dat gebied te volgen, moet de Commissie, tot de volledige toepassing van deze verordening, jaarlijks verslag uitbrengen over die vooruitgang, rekening houdend met de door de lidstaten verstrekte informatie. Die verslagen zouden aanbevelingen kunnen bevatten voor corrigerende maatregelen alsook een beoordeling van de geboekte vooruitgang.

Om te beoordelen of deze verordening de doelstellingen ervan doeltreffend en efficiënt verwezenlijkt, verenigbaar en nog steeds relevant is en op Unieniveau meerwaarde heeft, moet de Commissie deze verordening evalueren. De Commissie moet binnen acht jaar na de inwerkingtreding van deze verordening een gerichte evaluatie van deze verordening uitvoeren en binnen tien jaar na de inwerkingtreding ervan een algemene evaluatie. De Commissie moet na elke evaluatie bij het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s een verslag over haar belangrijkste bevindingen indienen.

Voor een succesvolle grensoverschrijdende uitvoering van de EHDS moet het Europees interoperabiliteitskader, waarvan het toepassingsgebied bij de mededeling van de Commissie van 23 maart 2017, getiteld “Europees interoperabiliteitskader — Implementatiestrategie” is geactualiseerd en uitgebreid om nieuwe of gewijzigde interoperabiliteitsvereisten op te nemen, als een gemeenschappelijke referentie worden beschouwd ter waarborging van de juridische, organisatorische, semantische en technische interoperabiliteit.

Daar de doelstellingen van deze verordening, namelijk natuurlijke personen meer zeggenschap over hen betreffende persoonlijke elektronische gezondheidsgegevens geven en het vrije verkeer van gezondheidsgegevens ondersteunen door ervoor te zorgen dat hun gezondheidsgegevens kunnen worden meegenomen, een echte interne markt voor digitale gezondheidsdiensten en -producten bevorderen en zorgen voor een consistent en efficiënt kader voor het hergebruik van de gezondheidsgegevens van natuurlijke personen met het oog op onderzoek, innovatie, beleidsvorming en regelgeving, niet voldoende door de lidstaten kunnen worden verwezenlijkt door middel van coördinatiemaatregelen alleen, zoals blijkt uit de evaluatie van de digitale aspecten van Richtlijn 2011/24/EU, maar beter op het niveau van de Unie kunnen worden verwezenlijkt door middel van harmoniseringsmaatregelen voor de rechten van natuurlijke personen met betrekking tot hun elektronische gezondheidsgegevens, de interoperabiliteit van elektronische gezondheidsgegevens en een gemeenschappelijk kader en gemeenschappelijke waarborgen voor het primair gebruik en secundair gebruik, kan de Unie, overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel gaat deze verordening niet verder dan nodig is om die doelstellingen te verwezenlijken.

De evaluatie van de digitale aspecten van Richtlijn 2011/24/EU wijst erop dat de doeltreffendheid van het e-gezondheidsnetwerk beperkt is, maar ook dat er een groot potentieel is voor werkzaamheden op het niveau van de Unie op het gebied van digitale gezondheid, zoals blijkt uit de werkzaamheden die zijn verricht tijdens de COVID-19-pandemie. Daarom moet Richtlijn 2011/24/EU dienovereenkomstig worden gewijzigd.

Deze verordening vormt een aanvulling op de essentiële cyberbeveiligingsvereisten van Verordening (EU) 2024/2847. EPD-systemen die producten zijn met digitale elementen in de zin van Verordening (EU) 2024/2847 moeten daarom ook voldoen aan de essentiële cyberbeveiligingsvereisten van die Verordening. De fabrikanten van die EPD-systemen moeten de conformiteit aantonen, zoals vereist bij deze verordening. Om de naleving te vergemakkelijken, moet het fabrikanten zijn toegestaan om één enkele set van technische documenten op te stellen die de door beide rechtshandelingen vereiste elementen bevat. Het moet mogelijk zijn om aan te tonen dat EPD-systemen voldoen aan de essentiële cyberbeveiligingsvereisten van Verordening (EU) 2024/2847 via het beoordelingskader uit hoofde van deze verordening. De delen van de conformiteitsbeoordelingsprocedure uit hoofde van deze verordening die betrekking hebben op het gebruik van testomgevingen mogen echter niet worden toegepast, aangezien in die testomgevingen geen beoordeling van de conformiteit met de essentiële cyberbeveiligingsvereisten mogelijk is. Aangezien Verordening (EU) 2024/2847 niet rechtstreeks betrekking heeft op software als dienst (Software as a Service, SaaS) als zodanig, vallen EPD-systemen die via het SaaS-licentiemodel en -leveringsmodel worden aangeboden, niet binnen het toepassingsgebied van die verordening. Evenzo vallen EPD-systemen die intern worden ontwikkeld en gebruikt, niet binnen het toepassingsgebied van die verordening, aangezien zij niet in de handel worden gebracht.

Overeenkomstig artikel 42, leden 1 en 2, van Verordening (EU) 2018/1725 zijn de EDPS en het EDPB geraadpleegd, en op 12 juli 2022 hebben zij hun gezamenlijk advies uitgebracht.

De onderhavige verordening mag geen afbreuk doen aan de toepassing van de mededingingsregels, en met name niet aan de artikelen 101 en 102 VWEU. De maatregelen van deze verordening mogen niet worden gebruikt om de mededinging te beperken op een wijze die strijdig is met het VWEU.

Gezien de noodzaak van technische voorbereiding moet deze verordening van toepassing zijn met ingang van 26 maart 2027. Om de succesvolle uitvoering van de EHDS en het scheppen van doeltreffende voorwaarden voor Europese samenwerking op het gebied van gezondheidsgegevens te ondersteunen, moet de uitvoering ervan plaatsvinden in verschillende fasen,

specificeert de in Verordening (EU) 2016/679 vastgestelde rechten van natuurlijke personen met betrekking tot het primaire gebruik en secundaire gebruik van hen betreffende persoonlijke elektronische gezondheidsgegevens en vult die rechten aan;

bevat gemeenschappelijke voorschriften voor systemen voor elektronische patiëntendossiers (“EPD-systemen”) met betrekking tot twee verplichte geharmoniseerde softwarecomponenten, namelijk de “Europese interoperabiliteitssoftwarecomponent voor EPD-systemen” en de “Europese logsoftwarecomponent voor EPD-systemen” zoals gedefinieerd in artikel 2, lid 2, punt n), respectievelijk punt o), en voor wellnessapps waarvan wordt geclaimd dat zij interoperabel zijn met EPD-systemen met betrekking tot die twee geharmoniseerde softwarecomponenten, wat primair gebruik van elektronische gezondheidsgegevens betreft;

stelt gemeenschappelijke regels en mechanismen vast voor het primaire gebruik van elektronische gezondheidsgegevens en het secundaire gebruik van elektronische gezondheidsgegevens;

brengt een grensoverschrijdende infrastructuur tot stand die het primaire gebruik van persoonlijke elektronische gezondheidsgegevens in de hele Unie mogelijk maakt;

brengt een grensoverschrijdende infrastructuur tot stand voor het secundaire gebruik van elektronische gezondheidsgegevens;

stelt governance- en coördinatiemechanismen vast op Unie- en nationaal niveau voor zowel het primaire gebruik van elektronische gezondheidsgegevens als het secundaire gebruik van elektronische gezondheidsgegevens.

wanneer de verwerking wordt uitgevoerd in het kader van activiteiten die buiten de werkingssfeer van het Unierecht vallen;

wanneer de verwerking wordt uitgevoerd door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid.

de definities van “persoonsgegevens”, “verwerking”, “pseudonimisering”, “verwerkingsverantwoordelijke”, “verwerker”, “derde”, “toestemming”, “genetische gegevens”, “gegevens over gezondheid” en “internationale organisatie” die zijn neergelegd in artikel 4, respectievelijk leden 1, 2, 5, 7, 8, 10, 11, 13, 15 en 26, van Verordening (EU) 2016/679;

de definities van “gezondheidszorg”, “lidstaat van aansluiting”, “lidstaat waar de behandeling plaatsvindt”, “gezondheidswerker”, “zorgaanbieder”, “geneesmiddel” en “recept” die zijn neergelegd in artikel 3, respectievelijk punten a), c), d), f), g), i) en k), van Richtlijn 2011/24/EU;

de definities van “gegevens”, “toegang”, “data-altruïsme”, “openbaar lichaam” en “beveiligde verwerkingsomgeving” die zijn neergelegd in artikel 2, respectievelijk punten 1), 13), 16), 17) en 20), van Verordening (EU) 2022/868;

de definities van “op de markt aanbieden”, “in de handel brengen”, “markttoezicht”, “markttoezichtautoriteit”, “non-conformiteit”, “fabrikant”, “importeur”, “distributeur”, “marktdeelnemer”, “corrigerende maatregel”, “terugroepen” en “uit de handel nemen” die zijn neergelegd in artikel 3, respectievelijk punten 1), 2), 3), 4), 7), 8), 9), 10), 13), 16), 22) en 23), van Verordening (EU) 2019/1020;

de definities van “medisch hulpmiddel”, “beoogd doeleind”, “gebruiksaanwijzing”, “prestaties”, “zorginstelling” en “gemeenschappelijke specificaties” die zijn neergelegd in artikel 2, respectievelijk punten 1), 12), 14), 22), 36) en 71), van Verordening (EU) 2017/745;

de definities van “elektronische identificatie” en “elektronisch identificatiemiddel” die zijn neergelegd in artikel 3, punt 1) respectievelijk punt 2), van Verordening (EU) nr. 910/2014;

de definitie van “aanbestedende diensten” die is neergelegd in artikel 2, lid 1, punt 1, van Richtlijn 2014/24/EU van het Europees Parlement en de Raad (28);

de definitie van “volksgezondheid” die is neergelegd in artikel 3, punt c), van Verordening (EG) nr. 1338/2008 van het Europees Parlement en de Raad (29).

“persoonlijke elektronische gezondheidsgegevens”: gegevens over gezondheid en genetische gegevens die in elektronische vorm worden verwerkt;

“niet-persoonsgebonden elektronische gezondheidsgegevens”: andere elektronische gezondheidsgegevens dan persoonlijke elektronische gezondheidsgegevens, met inbegrip van zowel gegevens die geanonimiseerd zijn zodat zij niet langer betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon (de “betrokkene”) als gegevens die nooit betrekking hebben gehad op een betrokkene;

“elektronische gezondheidsgegevens”: persoonlijke of niet-persoonsgebonden elektronische gezondheidsgegevens;

“primair gebruik”: de verwerking van elektronische gezondheidsgegevens voor de verlening van gezondheidszorg om de gezondheidstoestand van de natuurlijke persoon op wie die gegevens betrekking hebben te beoordelen, te behouden of te herstellen, waaronder het voorschrijven en het verstrekken van geneesmiddelen en medische hulpmiddelen, alsmede voor relevante sociale, administratieve of vergoedingsdiensten;

“secundair gebruik”: de verwerking van elektronische gezondheidsgegevens voor de in hoofdstuk IV van deze verordening vermelde doeleinden, anders dan de oorspronkelijke doeleinden waarvoor zij zijn verzameld of gegenereerd;

“interoperabiliteit”: het vermogen van organisaties, alsook van softwaretoepassingen of apparaten van dezelfde fabrikant of van verschillende fabrikanten, om via de processen die zij ondersteunen te interageren, met inbegrip van de uitwisseling van informatie en kennis — zonder de inhoud van de gegevens te wijzigen — tussen die organisaties, softwaretoepassingen of apparaten;

“registratie van elektronische gezondheidsgegevens”: het registreren van gezondheidsgegevens in elektronisch format, door het handmatig invoeren van dergelijke gegevens, door het verzamelen van dergelijke gegevens door middel van een apparaat, of door het omzetten in een elektronisch format van niet-elektronische gezondheidsgegevens, die moeten worden verwerkt in een EPD-systeem of een wellnessapp;

“dienst voor toegang tot elektronische gezondheidsgegevens”: een onlinedienst, zoals een portaal of een applicatie voor mobiele apparaten waar natuurlijke personen die niet beroepshalve handelen, toegang kunnen krijgen tot hun eigen elektronische gezondheidsgegevens of tot de elektronische gezondheidsgegevens van andere natuurlijke personen, voor zover zij daartoe wettelijk bevoegd zijn;

“toegangsdienst voor gezondheidswerkers”: een door een EPD-systeem ondersteunde dienst die gezondheidswerkers toegang geeft tot gegevens van natuurlijke personen die onder hun behandeling staan;

“elektronisch patiëntendossier” of “EPD”: een verzameling elektronische gezondheidsgegevens van een natuurlijke persoon die in het gezondheidszorgstelsel worden verzameld en voor het verlenen van gezondheidszorg worden verwerkt;

“systeem voor elektronische patiëntendossiers” of “EPD-systeem”: elk systeem waarin de software, of een combinatie van de hardware en de software van dat systeem, het mogelijk maakt persoonlijke elektronische gezondheidsgegevens die behoren tot de in het kader van deze verordening vastgestelde prioritaire categorieën van persoonlijke elektronische gezondheidsgegevens op te slaan, te bemiddelen, te exporteren, in te voeren, om te zetten, te bewerken of te bekijken, en dat door de fabrikant bedoeld is om door zorgaanbieders te worden gebruikt bij het verlenen van patiëntenzorg of door patiënten om toegang te krijgen tot hun elektronische gezondheidsgegevens;

“ingebruikneming”: eerste gebruik in de Unie van een onder deze verordening vallend EPD-systeem overeenkomstig het beoogde doeleind;

“softwarecomponent”: een afzonderlijk softwareonderdeel dat een specifieke functionaliteit biedt of specifieke functies of procedures uitvoert en dat onafhankelijk of in combinatie met andere componenten kan functioneren;

“Europese interoperabiliteitssoftwarecomponent voor EPD-systemen”: een softwarecomponent van het EPD-systeem die persoonlijke elektronische gezondheidsgegevens verstrekt en ontvangt in een bij deze verordening vastgestelde prioritaire categorie voor primair gebruik in het Europees uitwisselingsformat voor elektronische patiëntendossiers waarin deze verordening voorziet, en die losstaat van de Europese logsoftwarecomponent voor EPD-systemen;

“Europese logsoftwarecomponent voor EPD-systemen”: een softwarecomponent van het EPD-systeem die loginformatie verstrekt in verband met de toegang van gezondheidswerkers of andere personen tot in het kader van deze verordening vastgestelde prioritaire categorieën persoonlijke elektronische gezondheidsgegevens, in het in punt 3.2 van bijlage II beschreven format en die losstaat van de Europese interoperabiliteitssoftwarecomponent voor EPD-systemen;

“CE-conformiteitsmarkering”: een markering waarmee de fabrikant aangeeft dat het EPD-systeem in overeenstemming is met de toepasselijke voorschriften van deze verordening en ander toepasselijk Unierecht dat in het aanbrengen ervan voorziet krachtens Verordening (EG) nr. 765/2008 van het Europees Parlement en de Raad (30);

“risico”: de combinatie van de waarschijnlijkheid dat zich een gevaar voordoet dat schade toebrengt aan de gezondheid, de veiligheid of de informatiebeveiliging en de ernst van dergelijke schade;

“ernstig incident”: een storing of verslechtering van de kenmerken of prestaties van een EPD-systeem dat op de markt wordt aangeboden en dat direct of indirect leidt, had kunnen leiden of kan leiden tot:

“zorg”: een professionele dienst die bedoeld is om te voorzien in de specifieke behoeften van natuurlijke personen die wegens een handicap of andere lichamelijke of geestelijke aandoeningen bijstand, met inbegrip van preventieve en ondersteunende maatregelen, nodig hebben om essentiële activiteiten in het dagelijks leven uit te kunnen voeren ter ondersteuning van hen betreffende persoonlijke autonomie;

“houder van gezondheidsgegevens”: een natuurlijke of rechtspersoon, overheidsinstantie, agentschap of ander orgaan in de gezondheidszorg- of de zorgsector, met inbegrip van, indien noodzakelijk, vergoedingsdiensten, alsook elke natuurlijke of rechtspersoon die producten of diensten ontwikkelt die bestemd zijn voor de gezondheids-, de gezondheidszorg- of de zorgsector, die wellnessapps ontwikkelt of vervaardigt, die wetenschappelijk onderzoek verricht in verband met de gezondheidszorg- of de zorgsector of optreedt als sterfteregister, alsook instellingen, organen of instanties van de Unie die:

“gebruiker van gezondheidsgegevens”: een natuurlijke persoon of rechtspersoon, met inbegrip van instellingen, organen of instanties van de Unie waaraan rechtmatige toegang tot elektronische gezondheidsgegevens voor secundair gebruik is verleend op grond van een gegevensvergunning, een goedkeuring van een verzoek om gezondheidsgegevens of een toegangsgoedkeuring van een gemachtigde deelnemer in HealthData@EU;

“gegevensvergunning”: een administratief besluit dat door een instantie voor toegang tot gezondheidsgegevens aan een gebruiker van gezondheidsgegevens wordt afgegeven om bepaalde in de gegevensvergunning gespecificeerde elektronische gezondheidsgegevens te verwerken voor specifieke secundaire gebruiksdoeleinden, op basis van de in hoofdstuk IV van deze verordening vastgestelde voorwaarden;

“dataset”: een gestructureerde verzameling van elektronische gezondheidsgegevens;

“dataset met een grote impact bestemd voor secundair gebruik”: een dataset waarvan het hergebruik aanzienlijke voordelen met zich meebrengt vanwege de relevantie ervan voor gezondheidsonderzoek;

“catalogus van datasets”: een verzameling beschrijvingen van datasets die op systematische wijze is geordend en met inbegrip van een gebruikersgericht openbaar gedeelte, waarin informatie over de parameters van individuele datasets langs elektronische weg toegankelijk is via een onlineportaal;

“gegevenskwaliteit”: de mate waarin de elementen van elektronische gezondheidsgegevens geschikt zijn voor het beoogde primaire gebruik en secundaire gebruik ervan;

“gegevenskwaliteits- en gegevensbruikbaarheidslabel”: een grafisch diagram, met inbegrip van een schaal, waarin de gegevenskwaliteit en de gebruiksvoorwaarden van een dataset worden beschreven;

“wellnessapp”: elke software, of elke combinatie van hardware en software, die door de fabrikant is bedoeld om door een natuurlijke persoon te worden gebruikt, voor de verwerking van elektronische gezondheidsgegevens, specifiek voor de verstrekking van informatie over de gezondheid van natuurlijke personen of voor zorgverlening voor andere doeleinden dan de verstrekking van gezondheidszorg.

natuurlijke personen andere natuurlijke personen van hun keuze voor een al dan niet beperkte tijd en zo nodig uitsluitend voor een specifiek doel kunnen machtigen om namens hen toegang te krijgen tot hen betreffende persoonlijke elektronische gezondheidsgegevens of een deel daarvan, en die machtigingen kunnen beheren; alsmede

wettelijke vertegenwoordigers van natuurlijke personen toegang kunnen krijgen tot persoonlijke elektronische gezondheidsgegevens van die natuurlijke personen wier zaken zij beheren, overeenkomstig het nationale recht.

informatie over de zorgaanbieder of andere personen die toegang hebben gehad tot de persoonlijke elektronische gezondheidsgegevens;

de datum en het tijdstip van de toegang;

de vraag tot welke persoonlijke elektronische gezondheidsgegevens toegang is verkregen.

essentiële patiëntgegevens;

elektronische recepten;

elektronische verstrekkingen;

medische beeldvormingsdiagnostiek en de bijbehorende beeldverslagen;

resultaten van medische tests, met inbegrip van laboratoriumresultaten en andere diagnostische resultaten en daarmee verband houdende verslagen, en

ontslagverslagen.

het kenmerk is relevant voor gezondheidszorg die aan natuurlijke personen wordt verleend;

het kenmerk wordt in de meeste lidstaten volgens de meest recente informatie gebruikt.

geharmoniseerde datasets die elektronische gezondheidsgegevens en definiërende structuren bevatten, zoals gegevensvelden en gegevensgroepen voor de weergave van klinische inhoud en andere delen van de elektronische gezondheidsgegevens;

coderingssystemen en -waarden die moeten worden gebruikt in datasets die elektronische gezondheidsgegevens bevatten;

technische interoperabiliteitsspecificaties voor de uitwisseling van elektronische gezondheidsgegevens, met inbegrip van de weergave van de inhoud, normen en profielen.

de uitvoering waarborgen van de in dit hoofdstuk en hoofdstuk III bedoelde rechten en verplichtingen door de nodige nationale, regionale of lokale technische oplossingen in te voeren en door relevante regels en mechanismen vast te stellen;

ervoor zorgen dat volledige en actuele informatie over de uitvoering van de in dit hoofdstuk en hoofdstuk III bedoelde rechten en verplichtingen gemakkelijk beschikbaar wordt gesteld aan natuurlijke personen, gezondheidswerkers en zorgaanbieders;

bij de uitvoering van de in punt a) van dit lid bedoelde technische oplossingen, ervoor zorgend dat die technische oplossingen voldoen aan dit hoofdstuk en aan dit hoofdstuk, hoofdstuk III en bijlage II;

op het niveau van de Unie bijdragen tot de ontwikkeling van technische oplossingen die natuurlijke personen en gezondheidswerkers in staat stellen hun in dit hoofdstuk vastgestelde rechten uit te oefenen en hun in dit hoofdstuk vastgestelde verplichtingen na te leven;

personen met een handicap helpen hun rechten uit hoofde van dit hoofdstuk uit te oefenen overeenkomstig Richtlijn (EU) 2019/882 van het Europees Parlement en de Raad (31);

toezicht houden op de nationale contactpunten voor digitale gezondheid en met andere autoriteiten voor digitale gezondheid en de Commissie verder samenwerken aan de ontwikkeling van MyHealth@EU;

zorgen voor de uitvoering, op nationaal niveau, van het Europees uitwisselingsformat voor elektronische patiëntendossiers, in samenwerking met de nationale autoriteiten en belanghebbenden;

bijdragen op het niveau van de Unie aan de ontwikkeling van het Europees uitwisselingsformat voor elektronische patiëntendossiers, aan de opstelling van gemeenschappelijke specificaties, overeenkomstig artikel 36, die betrekking hebben op kwaliteit, interoperabiliteit, beveiliging, veiligheid, gebruiksgemak, toegankelijkheid, non-discriminatie of bezorgdheid in verband met grondrechten, alsook aan het ontwikkelen van de specificaties van de EU-databank voor de registratie van EPD-systemen en wellnessapps als bedoeld in artikel 49;

in voorkomend geval markttoezichtactiviteiten verrichten overeenkomstig artikel 43, en ervoor zorgen dat belangenconflicten worden vermeden;

nationale capaciteit opbouwen voor het implementeren van voorschriften inzake interoperabiliteit en beveiliging van elektronische gezondheidsgegevens voor primair gebruik en deelnemen aan informatie-uitwisselingen en activiteiten voor capaciteitsopbouw op het niveau van de Unie;

samenwerken met markttoezichtautoriteiten, deelnemen aan de activiteiten in verband met de aanpak van risico’s die samenhangen met EPD-systemen en van ernstige incidenten, en toezicht houden op de uitvoering van corrigerende maatregelen overeenkomstig artikel 44;

samenwerken met andere relevante entiteiten en organen op lokaal, regionaal, nationaal of Unieniveau om interoperabiliteit, overdraagbaarheid en beveiliging van elektronische gezondheidsgegevens te waarborgen;

samenwerken met toezichthoudende autoriteiten overeenkomstig Verordeningen (EU) nr. 910/2014 en (EU) 2016/679 en Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad (32) en andere relevante autoriteiten, waaronder die welke bevoegd zijn voor cyberbeveiliging en elektronische identificatie.

de ter uitvoering van deze verordening getroffen maatregelen;

het percentage natuurlijke personen dat toegang heeft tot de verschillende gegevenscategorieën van hun elektronische patiëntendossiers;

de behandeling van verzoeken van natuurlijke personen wat betreft de uitoefening van hun rechten uit hoofde van deze verordening;

het aantal zorgaanbieders van verschillende soorten, waaronder apotheken, ziekenhuizen en andere plaatsen waar zorg wordt aangeboden, verbonden aan MyHealth@EU, berekend:

de hoeveelheden elektronische gezondheidsgegevens van verschillende categorieën die over de grenzen heen worden gedeeld via MyHealth@EU;

het aantal gevallen van niet-naleving van dwingende eisen.

het EPD-systeem functies en eigenschappen toe te schrijven die het niet bezit;

de professionele gebruiker niet te informeren over waarschijnlijke beperkingen wat betreft interoperabiliteits- of beveiligingskenmerken van het EPD-systeem in verband met het beoogde doeleinde ervan;

het te doen voorkomen alsof het EPD-systeem voor andere doeleinden gebruikt zou kunnen worden dan het in de technische documentatie vermelde beoogde doeleinde.

zorgen ervoor dat de geharmoniseerde softwarecomponenten van hun EPD-systemen en de EPD-systemen zelf, voor zover in dit hoofdstuk vereisten zijn vastgesteld die daarop van toepassing zijn, in overeenstemming zijn met de essentiële vereisten van bijlage II en met de gemeenschappelijke specificaties overeenkomstig artikel 36;

zorgen ervoor dat de geharmoniseerde softwarecomponenten van hun EPD-systemen niet ongunstig worden beïnvloed door andere softwarecomponenten van hetzelfde EPD-systeem;

stellen overeenkomstig artikel 37 de technische documentatie van hun EPD-systemen op voordat zij die EPD-systemen in de handel brengen, en houden die vervolgens up-to-date;

zorgen ervoor dat hun EPD-systemen kosteloos voor de gebruiker vergezeld gaan van het in artikel 38 bedoelde informatieblad en van duidelijke en volledige gebruiksaanwijzingen;

stellen overeenkomstig artikel 39 de EU-conformiteitsverklaring op;

brengen overeenkomstig artikel 41 de CE-conformiteitsmarkering aan;

vermelden in het EPD-systeem hun naam, geregistreerde handelsnaam of geregistreerde handelsmerk, postadres, en de website, het e-mailadres of andere digitale contactgegevens waar zij kunnen worden bereikt; vermelden bij de contactgegevens één enkele plaats waar de fabrikant kan worden bereikt; de contactgegevens worden vermeld in een taal die de gebruikers en markttoezichtautoriteiten gemakkelijk kunnen begrijpen;

leven de in artikel 49 genoemde registratieverplichtingen na;

nemen onverwijld de nodige corrigerende maatregelen met betrekking tot hun EPD-systemen indien zij van oordeel zijn of reden hebben om aan te nemen dat die systemen niet of niet langer in overeenstemming zijn met de essentiële vereisten van bijlage II, of roepen die systemen terug of nemen ze uit de handel; vervolgens stellen de fabrikanten van EPD-systemen de nationale autoriteiten van de lidstaten waar zij hun EPD-systemen op de markt hebben aangeboden of in gebruik hebben genomen in kennis van de non-conformiteit, van eventuele genomen corrigerende maatregelen, met inbegrip van het tijdschema voor de uitvoering, en van de datum waarop de geharmoniseerde softwarecomponenten van hun EPD-systemen in overeenstemming zijn gebracht of zijn teruggeroepen of uit de handel zijn genomen;

stellen de distributeurs van hun EPD-systemen en, indien van toepassing, de gemachtigde vertegenwoordiger, importeurs en gebruikers in kennis van de non-conformiteit en van eventuele corrigerende maatregelen, terugroepacties of het uit de handel nemen van die EPD-systemen;

stellen de distributeurs van hun EPD-systemen en, indien van toepassing, de gemachtigde vertegenwoordiger, importeurs en gebruikers in kennis van eventueel verplicht preventief onderhoud van de EPD-systemen en de frequentie daarvan;

verstrekken markttoezichtautoriteiten in die lidstaat, in een officiële taal van de betrokken lidstaat, op verzoek alle benodigde informatie en documentatie om aan te tonen dat de EPD-systemen die zij in de handel hebben gebracht of in gebruik hebben genomen in overeenstemming zijn met de essentiële vereisten van bijlage II;

verlenen op verzoek van markttoezichtautoriteiten hun medewerking in verband met alle maatregelen die worden genomen om de EPD-systemen die zij in de handel hebben gebracht of in gebruik hebben genomen in overeenstemming te brengen met de essentiële vereisten van bijlage II en met op grond van artikel 42 vastgestelde vereisten, in een officiële taal van de betrokken lidstaat;

stellen klachtenprocedures in en houden distributeurs daarvan op de hoogte;

houden een register van klachten en een register van niet-conforme EPD-systemen bij, en houden distributeurs daarvan op de hoogte.

de EU-conformiteitsverklaring en de in artikel 37 bedoelde technische documentatie gedurende de in artikel 30, lid 3, bedoelde termijn ter beschikking houden van de markttoezichtautoriteiten;

op een met redenen omkleed verzoek van een markttoezichtautoriteit aan de autoriteiten van de betrokken lidstaat een kopie van het mandaat verstrekken, evenals alle benodigde informatie en documentatie om de conformiteit van een EPD-systeem met de essentiële vereisten van bijlage II en de in artikel 36 bedoelde gemeenschappelijke specificaties aan te tonen;

de fabrikant onverwijld in kennis stellen indien de gemachtigde vertegenwoordiger reden heeft om aan te nemen dat een EPD-systeem niet langer in overeenstemming is met de essentiële vereisten van bijlage II;

de fabrikant onverwijld in kennis stellen van klachten die zijn ontvangen van consumenten of professionele gebruikers;

op verzoek van de markttoezichtautoriteiten hun medewerking verlenen ten aanzien van corrigerende maatregelen met betrekking tot de EPD-systemen die onder hun mandaat vallen;

het mandaat beëindigen indien de fabrikant niet voldoet aan zijn verplichtingen uit hoofde van deze verordening;

ervoor zorgen dat de in artikel 37 bedoelde technische documentatie op verzoek ter beschikking van de relevante autoriteiten kan worden gesteld.

de datum van beëindiging van het mandaat van de oude gemachtigde vertegenwoordiger en de datum waarop het mandaat van de nieuwe gemachtigde vertegenwoordiger begint;

de doorgifte van documenten, met inbegrip van vertrouwelijkheidsaspecten en eigendomsrechten.

de fabrikant de in artikel 37 bedoelde technische documentatie en de EU-conformiteitsverklaring heeft opgesteld;

de fabrikant is geïdentificeerd en er overeenkomstig artikel 31 een gemachtigde vertegenwoordiger is aangewezen;

het EPD-systeem is voorzien van de in artikel 41 bedoelde CE-conformiteitsmarkering nadat de conformiteitsbeoordelingsprocedure is voltooid;

het EPD-systeem vergezeld gaat van het in artikel 38 bedoelde informatieblad met een duidelijke en volledige gebruiksaanwijzing, onder meer voor het onderhoud ervan, in toegankelijke formaten.

de fabrikant de EU-conformiteitsverklaring heeft opgesteld;

het EPD-systeem is voorzien van de CE-conformiteitsmarkering;

het EPD-systeem vergezeld gaat van het in artikel 38 bedoelde informatieblad met een duidelijke en volledige gebruiksaanwijzing in toegankelijke formaten;

de importeur, voor zover van toepassing, heeft voldaan aan de vereisten van artikel 32, lid 3.

een EPD-systeem onder hun eigen naam of handelsmerk op de markt aanbieden;

een al in de handel gebracht EPD-systeem zodanig wijzigen dat de conformiteit met de toepasselijke vereisten in het gedrang zou kunnen komen, of

een EPD-systeem zodanig wijzigen dat het beoogde doeleind zoals aangegeven door de fabrikant wordt aangepast.

elke marktdeelnemer die een EPD-systeem aan hen heeft geleverd;

elke marktdeelnemer waaraan zij een EPD-systeem hebben geleverd.

het toepassingsgebied ervan;

de toepasbaarheid ervan op verschillende categorieën EPD-systemen of functies die hierin zijn opgenomen;

om welke versie het gaat;

de geldigheidsduur ervan;

een normatief gedeelte;

een toelichting, met inbegrip van eventuele relevante uitvoeringsrichtsnoeren.

datasets die elektronische gezondheidsgegevens en definiërende structuren bevatten, zoals gegevensvelden en gegevensgroepen voor de weergave van klinische inhoud en andere delen van de elektronische gezondheidsgegevens;

coderingssystemen en -waarden die moeten worden gebruikt in datasets die elektronische gezondheidsgegevens bevatten, waarbij naar behoren rekening wordt gehouden met zowel mogelijke toekomstige harmonisatie van terminologie als de verenigbaarheid ervan met bestaande nationale terminologie;

andere vereisten in verband met gegevenskwaliteit, zoals de volledigheid en nauwkeurigheid van elektronische gezondheidsgegevens;

technische specificaties, normen en profielen voor de uitwisseling van elektronische gezondheidsgegevens;

vereisten en beginselen met betrekking tot patiëntveiligheid en de beveiliging, vertrouwelijkheid, integriteit en bescherming van elektronische gezondheidsgegevens;

specificaties en vereisten met betrekking tot identificatiebeheer en het gebruik van elektronische identificatie.

de identiteit, de geregistreerde handelsnaam of het geregistreerde handelsmerk en de contactgegevens van de fabrikant en, waar van toepassing, de gemachtigde vertegenwoordiger van de fabrikant;

de naam en versie van het EPD-systeem en de datum waarop het is uitgebracht;

het beoogde doeleinde van het EPD-systeem;

de categorieën elektronische gezondheidsgegevens voor de verwerking waarvan het EPD-systeem is ontworpen;

de door het EPD-systeem ondersteunde normen, formaten en specificaties, en versies van die normen, formaten en specificaties.

het EPD-systeem is niet in overeenstemming met de essentiële vereisten van bijlage II of de gemeenschappelijke specificaties bedoeld in artikel 36;

de technische documentatie is niet beschikbaar, is onvolledig of is niet in overeenstemming met artikel 37;

er is geen EU-conformiteitsverklaring opgesteld of ze is niet correct opgesteld overeenkomstig artikel 39;

de CE-conformiteitsmarkering is in strijd met artikel 41 aangebracht of is niet aangebracht;

de in artikel 49 bedoelde registratieverplichtingen zijn niet nagekomen.

het EPD-systeem voldoet niet aan de essentiële vereisten van bijlage II;

er is sprake van tekortkomingen met betrekking tot de in artikel 36 bedoelde gemeenschappelijke specificaties.

de categorieën van elektronische gezondheidsgegevens waarvoor is bevestigd dat aan de essentiële vereisten van bijlage II is voldaan;

een verwijzing naar gemeenschappelijke specificaties om naleving aan te tonen;

de geldigheidsduur van het label.

natuurlijke personen, met inbegrip van individuele onderzoekers;

rechtspersonen die een micro-onderneming zijn zoals gedefinieerd in artikel 2, lid 3, van de bijlage bij Aanbeveling 2003/361/EG van de Commissie.

elektronische gezondheidsgegevens afkomstig van EPD’s;

gegevens over factoren die van invloed zijn op de gezondheid, met inbegrip van sociaal-economische, milieu- en gedragsdeterminanten van gezondheid;

geaggregeerde gegevens over behoeften op het gebied van gezondheidszorg, de aan gezondheidszorg toegewezen middelen, de verstrekking van en toegang tot gezondheidszorg, uitgaven voor gezondheidszorg en financiering van gezondheidszorg;

gegevens over pathogenen die van invloed zijn op de menselijke gezondheid;

administratieve gegevens op het gebied van gezondheidszorg, onder meer over verstrekkingen, claims inzake vergoedingen en vergoedingen;

humaan-genetische, epigenomische en genomische gegevens;

andere humaan-moleculaire gegevens, zoals proteomische, transcriptomische, metabolomische, lipidomische en andere “-omische” gegevens;

via medische hulpmiddelen automatisch gegenereerde persoonlijke elektronische gezondheidsgegevens;

gegevens afkomstig van wellnessapps;

gegevens met betrekking tot de beroepsstatus, en met betrekking tot de specialisatie en instelling van gezondheidswerkers die betrokken zijn bij de behandeling van een natuurlijke persoon;

gegevens uit registers van gezondheidsgegevens op bevolkingsniveau zoals volksgezondheidsregisters;

gegevens afkomstig van medische registers en registers over sterfte;

gegevens afkomstig van klinische proeven, klinische studies, klinische onderzoeken en prestatiestudies waarop Verordening (EU) nr. 536/2014, Verordening (EU) 2024/1938 van het Europees Parlement en de Raad (35), Verordening (EU) 2017/745 en Verordening (EU) 2017/746 van toepassing zijn;

overige gezondheidsgegevens afkomstig van medische hulpmiddelen;

gegevens afkomstig van registers voor geneesmiddelen en medische hulpmiddelen;

gegevens afkomstig van onderzoekscohorten, vragenlijsten en enquêtes in verband met gezondheid, zodra de daarmee verband houdende resultaten gepubliceerd zijn;

gezondheidsgegevens afkomstig van biobanken en bijbehorende databanken.

het algemeen belang op het gebied van de volksgezondheid of de gezondheid op het werk, zoals activiteiten ter bescherming tegen ernstige grensoverschrijdende bedreigingen van de gezondheid, bewaking van de volksgezondheid of activiteiten ter waarborging van een hoog kwaliteits- en veiligheidsniveau van de gezondheidszorg, met inbegrip van patiëntveiligheid, en van geneesmiddelen of medische hulpmiddelen;

activiteiten op het gebied van beleidsvorming en regelgeving ter ondersteuning van openbare lichamen of instellingen, organen of instanties van de Unie, met inbegrip van regelgevende autoriteiten, in de gezondheids- of zorgsector bij de uitvoering van de in hun mandaat omschreven taken;

statistieken zoals gedefinieerd in artikel 3, punt 1, van Verordening (EG) nr. 223/2009, zoals officiële statistieken op nationaal, multinationaal en Unieniveau met betrekking tot de gezondheids- of zorgsector;

het ontvangen of geven van onderwijs in de gezondheids- of zorgsector op het niveau van het beroepsonderwijs of het hoger onderwijs;

wetenschappelijk onderzoek in verband met de gezondheids- of zorgsector waarmee een bijdrage wordt geleverd aan de volksgezondheid of de evaluatie van gezondheidstechnologie, of waarmee een hoog kwaliteits- en veiligheidsniveau van gezondheidszorg, geneesmiddelen of medische hulpmiddelen wordt gewaarborgd ten behoeve van de eindgebruikers, zoals patiënten, gezondheidswerkers en gezondheidsbeheerders, met inbegrip van:

het verbeteren van de zorgverlening, de optimalisering van behandelingen en het verstrekken van gezondheidszorg op basis van de elektronische gezondheidsgegevens van andere natuurlijke personen.

het nemen van besluiten die nadelig zijn voor een natuurlijke persoon of een groep van natuurlijke personen op basis van hun elektronische gezondheidsgegevens; om als “besluiten” te kunnen worden aangemerkt voor de toepassing van dit punt, moeten zij juridische, sociale of economische gevolgen hebben of die natuurlijke personen op vergelijkbare wijze aanmerkelijk treffen;

het nemen van besluiten met betrekking tot een natuurlijke persoon of een groep natuurlijke personen in verband met vacatures, het aanbieden van minder gunstige voorwaarden bij het leveren van goederen of diensten, onder meer om die personen of groepen een verzekerings- of kredietovereenkomst te ontzeggen, hun bijdragen en verzekeringspremies of leningsvoorwaarden te wijzigen, of andere besluiten te nemen met betrekking tot een natuurlijke persoon of een groep natuurlijke personen die ertoe leiden dat zij gediscrimineerd worden op basis van de verkregen gezondheidsgegevens;

het verrichten van reclame- of marketingactiviteiten;

het ontwikkelen van producten of diensten die schadelijk kunnen zijn voor personen, de volksgezondheid of de samenleving in het algemeen, zoals illegale drugs, alcoholhoudende dranken, tabaks- en nicotineproducten, wapens, of producten of diensten die zodanig zijn ontworpen of gewijzigd dat zij tot verslaving leiden, in strijd zijn met de openbare orde of een risico voor de menselijke gezondheid inhouden;

het verrichten van activiteiten die in strijd zijn met ethische bepalingen die zijn neergelegd in het nationale recht.

de nodige personele, financiële en technische middelen,

de nodige deskundigheid, en

de nodige gebouwen en infrastructuur.

zij beslissen over aanvragen voor toegang tot gezondheidsgegevens op grond van artikel 67 van deze verordening, zorgen voor de verlening en afgifte van gegevensvergunningen op grond van artikel 68 van deze verordening om toegang voor secundair gebruik te verlenen tot onder hun bevoegdheid vallende elektronische gezondheidsgegevens, en beslissen over verzoeken om gezondheidsgegevens die zijn ingediend op grond van artikel 69 van deze verordening, in overeenstemming met dit hoofdstuk en hoofdstuk II van Verordening (EU) 2022/868, met inbegrip van wat betreft:

zij verwerken elektronische gezondheidsgegevens als bedoeld in artikel 51, onder meer door het ontvangen, combineren, voorbereiden en samenstellen van dergelijke gegevens wanneer zij worden opgevraagd bij houders van gezondheidsgegevens, en het pseudonimiseren of anonimiseren van die gegevens;

zij nemen alle nodige maatregelen om de vertrouwelijkheid van intellectuele-eigendomsrechten te waarborgen, voor wettelijke gegevensbescherming, en om de vertrouwelijkheid van bedrijfsgeheimen te waarborgen, zoals bepaald in artikel 52, waarbij rekening wordt gehouden met de relevante rechten van zowel de houder van gezondheidsgegevens als de gebruiker van gezondheidsgegevens;

zij werken samen met en houden toezicht op houders van gezondheidsgegevens om te zorgen voor een consistente en nauwkeurige toepassing van de bepalingen inzake het gegevenskwaliteits- en gegevensbruikbaarheidslabelin artikel 78;

zij onderhouden een beheersysteem voor het registreren en verwerken van aanvragen voor toegang tot gezondheidsgegevens, verzoeken om gezondheidsgegevens, besluiten over die aanvragen en verzoeken, en de afgegeven gegevensvergunningen en behandelde verzoeken om gezondheidsgegevens, waarbij ten minste informatie wordt verstrekt over de naam van de aanvrager van gezondheidsgegevens, het doel van de toegang, de datum van afgifte, de duur van de gegevensvergunning en een beschrijving van de aanvraag voor toegang tot gezondheidsgegevens of het verzoek om gezondheidsgegevens;

zij houden een openbaar informatiesysteem bij om te voldoen aan de verplichtingen van artikel 58;

zij werken samen op het niveau van de Unie en op nationaal niveau om gemeenschappelijke normen, technische vereisten en passende maatregelen vast te stellen voor de toegang tot elektronische gezondheidsgegevens in een beveiligde verwerkingsomgeving;

zij werken op Unie- en nationaal niveau samen en geven de Commissie advies over technieken en beste praktijken voor secundair gebruik en het beheer van elektronische gezondheidsgegevens;

zij vergemakkelijken de grensoverschrijdende toegang tot elektronische gezondheidsgegevens voor secundair gebruik die in andere lidstaten worden gehost via het in artikel 75 bedoelde HealthData@EU en werken nauw samen met elkaar en met de Commissie;

zij maken langs elektronische weg het volgende openbaar:

zij komen verplichtingen ten aanzien van natuurlijke personen uit hoofde van artikel 58 na;

zij vervullen alle andere taken in verband met het mogelijk maken van het secundaire gebruik van elektronische gezondheidsgegevens in het kader van deze verordening.

toezichthoudende autoriteiten uit hoofde van Verordening (EU) 2016/679 met betrekking tot persoonlijke elektronische gezondheidsgegevens en de EHDS-raad;

alle relevante belanghebbenden, waaronder patiëntenorganisaties, vertegenwoordigers van natuurlijke personen, gezondheidswerkers, onderzoekers en ethische comités, indien van toepassing overeenkomstig het Unierecht of het nationale recht;

andere nationale bevoegde instanties, waaronder de nationale bevoegde autoriteiten die toezicht houden op organisaties voor data-altruïsme uit hoofde van Verordening (EU) 2022/868, de bevoegde autoriteiten uit hoofde van Verordening (EU) 2023/2854 en de nationale bevoegde autoriteiten uit hoofde van de Verordeningen (EU) 2017/745, (EU) 2017/746 en (EU) 2024/1689, waar relevant.

de rechtsgrondslag op grond waarvan toegang tot elektronische gezondheidsgegevens wordt verleend aan de gebruiker van gezondheidsgegevens;

de technische en organisatorische maatregelen die zijn genomen om de rechten van natuurlijke personen te beschermen;

de toepasselijke rechten van natuurlijke personen met betrekking tot secundair gebruik;

de regelingen voor natuurlijke personen om hun rechten uit te oefenen overeenkomstig hoofdstuk III van Verordening (EU) 2016/679;

de identiteit en de contactgegevens van de instantie voor toegang tot gezondheidsgegevens;

wie toegang heeft gekregen tot datasets van elektronische gezondheidsgegevens en tot welke datasets zij toegang hebben gekregen en de nadere details van de gegevensvergunning betreffende de doeleinden voor de verwerking van die data als bedoeld in artikel 53, lid 1;

de resultaten of uitkomsten van de projecten waarvoor de elektronische gezondheidsgegevens zijn gebruikt.

informatie met betrekking tot de ingediende aanvragen voor toegang tot elektronische gezondheidsgegevens en de ingediende verzoeken om elektronische gezondheidsgegevens, zoals de soorten aanvragers van gezondheidsgegevens, het aantal afgegeven of geweigerde gegevensvergunningen, de categorieën van toegangsdoeleinden en de categorieën van elektronische gezondheidsgegevens waartoe toegang is verkregen, en een samenvatting van de resultaten van het gebruik van elektronische gezondheidsgegevens, indien van toepassing;

informatie over de nakoming van wettelijke en contractuele verplichtingen door gebruikers van gezondheidsgegevens en houders van gezondheidsgegevens, alsook het aantal en het bedrag aan door instanties voor toegang tot gezondheidsgegevens opgelegde administratieve geldboetes;

informatie over audits van gebruikers van gezondheidsgegevens om te waarborgen dat de verwerking die zij uitvoeren plaatsvindt in de beveiligde verwerkingsomgeving op grond van artikel 73, lid 1, punt e);

informatie over interne en door derden uitgevoerde audits met betrekking tot de conformiteit van beveiligde verwerkingsomgevingen met de vastgestelde normen, specificaties en vereisten, als bedoeld in artikel 73, lid 3;

informatie over de behandeling van verzoeken van natuurlijke personen met betrekking tot de uitoefening van hun gegevensbeschermingsrechten;

een beschrijving van de activiteiten die de instantie voor toegang tot gezondheidsgegevens heeft verricht in verband met de contacten met en raadpleging van relevante belanghebbenden;

inkomsten uit gegevensvergunningen en verzoeken om gezondheidsgegevens;

het gemiddelde aantal dagen tussen de aanvragen om toegang tot gezondheidsgegevens of verzoeken om gezondheidsgegevens en de toegang tot gegevens;

het aantal door houders van gezondheidsgegevens afgegeven gegevenskwaliteitslabels, uitgesplitst naar kwaliteitscategorie;

het aantal collegiaal getoetste onderzoekspublicaties, beleidsdocumenten en regelgevingsprocedures met gebruikmaking van gegevens waartoe via de EHDS toegang is verkregen;

het aantal digitale gezondheidsproducten en -diensten, met inbegrip van AI-toepassingen, dat is ontwikkeld met gebruikmaking van gegevens waartoe via de EHDS toegang is verkregen.

de aard, de ernst en de duur van de inbreuk;

de vraag of andere bevoegde autoriteiten reeds sancties of administratieve boeten hebben opgelegd voor dezelfde inbreuk;

het opzettelijke of nalatige karakter van de inbreuk;

alle door de houder van gezondheidsgegevens of de gebruiker van gezondheidsgegevens genomen maatregelen om de veroorzaakte schade te beperken;

de mate van verantwoordelijkheid van de gebruiker van gezondheidsgegevens, rekening houdend met de technische en organisatorische maatregelen die die gebruiker van gezondheidsgegevens op grond van artikel 67, lid 2, punt g), en lid 4, heeft getroffen;

alle relevante eerdere inbreuken door de houder van gezondheidsgegevens of de gebruiker van gezondheidsgegevens;

de mate waarin de houder van gezondheidsgegevens of de gebruiker van gezondheidsgegevens met de instantie voor toegang tot gezondheidsgegevens samenwerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen ervan te beperken;

de wijze waarop de instantie voor toegang tot gezondheidsgegevens kennis heeft gekregen van de inbreuk, met name of en in hoeverre de gebruiker van gezondheidsgegevens de inbreuk heeft gemeld;

de naleving van de in artikel 63, leden 3 en 4, bedoelde handhavingsmaatregelen die eerder ten aanzien van de betrokken verwerkingsverantwoordelijke of verwerker met betrekking tot dezelfde aangelegenheid zijn genomen;

elke andere verzwarende of verzachtende factor die op de omstandigheden van de zaak van toepassing is, zoals gemaakte financiële winsten, of vermeden verliezen, die al dan niet rechtstreeks uit de inbreuk voortvloeien.

gebruikers van gezondheidsgegevens die elektronische gezondheidsgegevens verwerken die zijn verkregen via een op grond van artikel 68 afgegeven gegevensvergunning voor het in artikel 54 genoemde gebruik;

gebruikers van gezondheidsgegevens die persoonlijke elektronische gezondheidsgegevens uit beveiligde verwerkingsomgevingen halen;

het heridentificeren of trachten te heridentificeren van de natuurlijke personen op wie de elektronische gezondheidsgegevens die de gebruikers van gezondheidsgegevens hebben verkregen op basis van een gegevensvergunning of een verzoek om gezondheidsgegevens, betrekking hebben, overeenkomstig artikel 61, lid 3;

niet-naleving van handhavingsmaatregelen die krachtens artikel 63, leden 3 en 4, door de instantie voor toegang tot gezondheidsgegevens zijn genomen.

de identiteit van de aanvrager van gezondheidsgegevens, een beschrijving van de professionele taken en activiteiten van die aanvrager van gezondheidsgegevens, met inbegrip van de identiteit van de natuurlijke personen die toegang zouden hebben tot de elektronische gezondheidsgegevens indien een gegevensvergunning zou worden afgegeven; de aanvrager van gezondheidsgegevens stelt de instantie voor toegang tot gezondheidsgegevens in kennis van iedere bijwerking van de lijst van natuurlijke personen;

de in artikel 53, lid 1, bedoelde doeleinden waarvoor gegevenstoegang wordt aangevraagd;

een gedetailleerde toelichting bij het beoogde gebruik van elektronische gezondheidsgegevens en het verwachte voordeel dat aan dat gebruik verbonden is, en de wijze waarop dat voordeel zou bijdragen tot de in artikel 53, lid 1, bedoelde doeleinden;

een beschrijving van de gevraagde elektronische gezondheidsgegevens, waaronder hun reikwijdte, tijdspanne, format, bronnen en, indien mogelijk, de geografische dekking wanneer die gegevens van houders van gezondheidsgegevens in verschillende lidstaten of van gemachtigde deelnemers aan HealthData@EU bedoeld in artikel 75 worden opgevraagd;

een beschrijving waarin wordt uitgelegd of de elektronische gezondheidsgegevens in gepseudonimiseerd of geanonimiseerd format beschikbaar moeten worden gesteld; indien voor een gepseudonimiseerd format wordt gekozen, een motivering waarom de verwerking niet met gebruik van geanonimiseerde gegevens kan plaatsvinden;

een beschrijving van eventuele datasets waarover de aanvrager van gezondheidsgegevens reeds beschikt, indien de aanvrager van gezondheidsgegevens voornemens is die datasets in de beveiligde verwerkingsomgeving in te voeren;

een beschrijving van de waarborgen, die in verhouding dienen te staan tot de risico’s en bedoeld zijn om misbruik van de elektronische gezondheidsgegevens te voorkomen en om de rechten en belangen van de houder van gezondheidsgegevens en van de betrokken natuurlijke personen te beschermen, onder meer om heridentificatie van natuurlijke personen in de dataset te voorkomen;

een onderbouwde aanduiding van de periode gedurende welke de elektronische gezondheidsgegevens nodig zijn voor de verwerking in een beveiligde verwerkingsomgeving;

een beschrijving van de instrumenten en computermiddelen die nodig zijn voor een beveiligde verwerkingsomgeving;

in voorkomend geval, informatie over iedere beoordeling van ethische aspecten van de verwerking, die vereist is uit hoofde van nationaal recht en die kan dienen ter vervanging van de eigen ethische beoordeling van de aanvrager van gezondheidsgegevens;

de op grond van artikel 71, lid 4, uit hoofde van het nationale recht vereiste verantwoording, indien de aanvrager van gezondheidsgegevens voornemens is gebruik te maken van een uitzondering op grond van dat artikel.

de in de aanvraag voor gegevenstoegang vermelde doeleinden komen overeen met één of meer van de in artikel 53, lid 1, genoemde doeleinden;

de gevraagde gegevens zijn noodzakelijk en toereikend voor en staan in verhouding tot de doeleinden die zijn vermeld in de aanvraag voor toegang tot gezondheidsgegevens, rekening houdend met de in artikel 66 vastgestelde vereisten inzake minimale gegevensverwerking en doelbinding;

de verwerking voldoet aan artikel 6, lid 1, van Verordening (EU) 2016/679 en, in het geval van gepseudonimiseerde gegevens, is voldoende gemotiveerd dat het doel niet door middel van geanonimiseerde gegevens kan worden bereikt;

de aanvrager van gezondheidsgegevens is gekwalificeerd met betrekking tot de beoogde doeleinden waarvoor de gegevens zullen worden gebruikt en beschikt over passende expertise, zoals beroepskwalificaties op het gebied van gezondheidszorg, zorg, volksgezondheid of onderzoek, in overeenstemming met de ethische praktijk en de toepasselijke wet- en regelgeving;

de aanvrager van gezondheidsgegevens toont voldoende technische en organisatorische maatregelen aan om misbruik van de elektronische gezondheidsgegevens te voorkomen en de rechten en belangen van de houder van gezondheidsgegevens en de betrokken natuurlijke personen te beschermen;

de informatie over de in artikel 67, lid 2, punt j), bedoelde beoordeling van ethische aspecten van de verwerking is, indien van toepassing, in overeenstemming met het nationale recht;

indien de aanvrager van gezondheidsgegevens voornemens is gebruik te maken van een uitzondering op grond van artikel 71, lid 4, moet hij of zij de verantwoording geven die uit hoofde van de krachtens dat artikel aangenomen nationale wetgeving vereist is;

de aanvrager van gezondheidsgegevens voldoet aan alle andere vereisten van dit hoofdstuk.

risico’s voor de nationale defensie en veiligheid, de openbare veiligheid en de openbare orde;

het risico dat de vertrouwelijkheid van gegevens in overheidsdatabanken van regelgevende instanties wordt ondermijnd.

de categorieën, de specificatie en het format van de elektronische gezondheidsgegevens waartoe toegang wordt verkregen en waarop de gegevensvergunning betrekking heeft, met inbegrip van de bronnen ervan, en een aanduiding of de elektronische gezondheidsgegevens in gepseudonimiseerd format in de beveiligde verwerkingsomgeving moeten worden ingezien;

een gedetailleerde beschrijving van het doel waarvoor de elektronische gezondheidsgegevens beschikbaar worden gesteld;

indien is voorzien in een mechanisme om een uitzondering ten uitvoer te leggen en dit toepasselijk is op grond van artikel 71, lid 4, informatie over de vraag of dit is toegepast en de reden voor de daarmee verband houdende besluiten;

de identiteit van gemachtigde personen, in het bijzonder van de hoofdonderzoeker, die het recht hebben op toegang tot de elektronische gezondheidsgegevens in de beveiligde verwerkingsomgeving;

de geldigheidsduur van de gegevensvergunning;

informatie over de technische kenmerken en instrumenten waarover de gebruiker van gezondheidsgegevens in de beveiligde verwerkingsomgeving beschikt;

de door de gebruiker van gezondheidsgegevens te betalen vergoedingen;

eventuele specifieke voorwaarden.

de identiteit van de aanvrager van gezondheidsgegevens en een beschrijving van de professionele taken en activiteiten van die aanvrager van gezondheidsgegevens;

een gedetailleerde toelichting bij het beoogde gebruik van de elektronische gezondheidsgegevens, met inbegrip van de in artikel 53, lid 1, bedoelde doeleinden waarvoor het verzoek om gezondheidsgegevens wordt ingediend;

indien mogelijk een beschrijving van de gevraagde elektronische gezondheidsgegevens, alsook van het format ervan en de bronnen waaruit die gegevens afkomstig zijn;

een beschrijving van de statistische inhoud;

een beschrijving van de voorgenomen waarborgen om misbruik van de aangevraagde elektronische gezondheidsgegevens te voorkomen;

een beschrijving van de wijze waarop de verwerking van de aangevraagde elektronische gezondheidsgegevens in overeenstemming zou zijn met artikel 6, lid 1, van Verordening (EU) 2016/679, of artikel 5, lid 1, en artikel 10, lid 2, van Verordening (EU) 2018/1725;

indien aanvrager van gezondheidsgegevens voornemens is gebruik te maken van een uitzondering op grond van artikel 71, lid 4, de uit hoofde van het nationale recht vereiste rechtvaardiging op grond van dat artikel.

de aanvraag voor toegang tot gezondheidsgegevens of het verzoek om gezondheidsgegevens wordt ingediend door een openbaar lichaam of een instelling, orgaan of instantie van de Unie die belast zijn met de uitvoering van taken op het gebied van volksgezondheid, of door een andere entiteit die belast is met de uitvoering van overheidstaken op het gebied van volksgezondheid of die optreedt namens of in opdracht van een openbaar lichaam, en de verwerking van die gegevens is noodzakelijk voor een van de volgende doeleinden:

die gegevens kunnen niet op een andere manier tijdig en doeltreffend en onder gelijkwaardige omstandigheden worden verkregen;

de aanvrager van gezondheidsgegevens heeft de in artikel 68, lid 1, punt g), of artikel 69, lid 2, punt g), bedoelde toelichtingen verstrekt.

zij kunnen toegang verlenen tot gezondheidsgegevens via een beveiligde verwerkingsomgeving die voldoet aan artikel 73;

zij beschikken over de nodige expertise om aanvragen voor toegang tot gezondheidsgegevens en verzoeken om gezondheidsgegevens te beoordelen;

zij bieden de nodige garanties dat deze verordening wordt nageleefd.

de beperking van de toegang tot de beveiligde verwerkingsomgeving tot gemachtigde natuurlijke personen die in de op grond van artikel 68 afgegeven gegevensvergunning worden vermeld;

het tot een minimum beperken van het risico van het onrechtmatig lezen, kopiëren, wijzigen of verwijderen van elektronische gezondheidsgegevens die in de beveiligde verwerkingsomgeving worden gehost, met behulp van geavanceerde technische en organisatorische maatregelen;

de beperking van de bevoegdheid voor input van elektronische gezondheidsgegevens en voor inspectie, wijziging of verwijdering van elektronische gezondheidsgegevens in de beveiligde verwerkingsomgeving tot een beperkt aantal gemachtigde identificeerbare personen;

de garantie dat gebruikers van gezondheidsgegevens alleen toegang hebben tot de elektronische gezondheidsgegevens waarop hun gegevensvergunning betrekking heeft, uitsluitend door middel van individuele en unieke gebruikersidentiteiten en vertrouwelijke toegangsprocedures;

het bijhouden van identificeerbare logbestanden inzake de toegang tot en de activiteiten in de beveiligde verwerkingsomgeving, gedurende de periode die nodig is om alle verwerkingsactiviteiten in die omgeving te verifiëren en te controleren; toegangslogs worden minstens één jaar lang bewaard;

de naleving garanderen van en toezien op de in dit lid bedoelde beveiligingsmaatregelen, teneinde potentiële veiligheidsdreigingen te beperken.

vereisten, technische specificaties en de IT-architectuur van HealthData@EU, die geavanceerde gegevensbeveiliging, vertrouwelijkheid en bescherming van elektronische gezondheidsgegevens in HealthData@EU waarborgen;

voorwaarden en nalevingscontroles die vereist zijn om op HealthData@EU te kunnen aansluiten en aangesloten te blijven, en voorwaarden voor tijdelijke loskoppeling of definitieve uitsluiting van HealthData@EU, met inbegrip van specifieke bepalingen voor gevallen van ernstig wangedrag of herhaalde overtredingen;

de minimumcriteria waaraan de nationale contactpunten voor secundair gebruik en de gemachtigde deelnemers aan HealthData@EU moeten voldoen;

de verantwoordelijkheden van de verwerkingsverantwoordelijken en verwerkers die deelnemen aan HealthData@EU;

de verantwoordelijkheden van de verwerkingsverantwoordelijken en verwerkers voor de beveiligde verwerkingsomgeving die door de Commissie wordt beheerd;

gemeenschappelijke specificaties voor de architectuur van HealthData@EU en de interoperabiliteit ervan met andere gemeenschappelijke Europese dataruimten.

voor de documentatie van de gegevens: metagegevens, ondersteunende documentatie, het gegevenswoordenboek, het gebruikte format en de gebruikte normen, de bron van de gegevens en, indien van toepassing, het gegevensmodel;

voor de beoordeling van de technische kwaliteit: de volledigheid, het unieke karakter, de nauwkeurigheid, geldigheid, tijdigheid en consistentie van de gegevens;

voor processen voor het beheer van de gegevenskwaliteit: de rijpheid van de processen voor het beheer van de gegevenskwaliteit, met inbegrip van evaluatie- en auditprocessen, en onderzoek naar vertekening (bias);

voor de beoordeling van de dekking: de periode, bestreken populatie en, indien van toepassing, representativiteit van de bemonsterde populatie, en de gemiddelde tijdspanne waarin een natuurlijke persoon in een dataset voorkomt;

voor de informatie over toegang en verstrekking: de tijd tussen het verzamelen van de elektronische gezondheidsgegevens en de toevoeging ervan aan de dataset en de tijd die nodig is voor het verstrekken van elektronische gezondheidsgegevens na het verlenen van een gegevensvergunning of een goedkeuring van een verzoek om gezondheidsgegevens;

voor de informatie over wijzigingen van de gegevens: samenvoeging van datasets en toevoeging van gegevens aan een bestaande dataset, met inbegrip van koppelingen met andere datasets.

het rechtsstelsel van het derde land vereist dat de redenen en evenredigheid van een dergelijk besluit of een dergelijke uitspraak worden uiteengezet en dat een dergelijk besluit of een dergelijke uitspraak een specifiek karakter heeft, bijvoorbeeld door een voldoende sterk verband met bepaalde verdachten of inbreuken vast te stellen;

het met redenen omklede bezwaar van de adressaat onderworpen is aan een toetsing door een bevoegde rechterlijke instantie van een derde land, en

de bevoegde rechterlijke instantie van een derde land waar de beslissing of uitspraak van afkomstig is of die het besluit van een administratieve autoriteit herziet, krachtens het nationale recht van dat derde land bevoegd is om naar behoren rekening te houden met de relevante juridische belangen van de aanbieder van de krachtens het Unierecht of het nationale recht van de betrokken lidstaat beschermde gegevens.

een gemachtigd deelnemer is omdat het een nationaal contactpunt voor secundair gebruik heeft dat onder een uitvoeringshandeling valt als bedoeld in artikel 75, lid 5, of

aanvragers van gezondheidsgegevens uit de Unie toegang verleent tot elektronische gezondheidsgegevens in dat derde land onder voorwaarden die niet restrictiever zijn dan die waarin deze verordening voorziet, en dergelijke toegang bijgevolg onder een in lid 2 van dit artikel bedoelde uitvoeringshandeling valt.

de lidstaten bijstaan bij het coördineren van de praktijken van autoriteiten voor digitale gezondheid;

schriftelijke bijdragen uitbrengen en beste praktijken uitwisselen over aangelegenheden die verband houden met de coördinatie van de uitvoering op het niveau van de lidstaten — rekening houdend met het regionale en lokale niveau — van deze verordening en van de op grond daarvan vastgestelde gedelegeerde handelingen en uitvoeringshandelingen, met name wat betreft:

de samenwerking tussen autoriteiten voor digitale gezondheid vergemakkelijken door middel van capaciteitsopbouw, het opzetten van een kader voor het in artikel 20 bedoelde rapporteren van activiteiten, en uitwisseling van informatie;

informatie uitwisselen onder zijn leden over de risico’s van EPD-systemen, alsmede over ernstige incidenten en de manier waarop met dergelijke risico’s en incidenten wordt omgegaan;

de uitwisseling faciliteren van standpunten over primair gebruik met het in artikel 93 bedoelde forum van belanghebbenden, alsook met regelgevers en beleidsmakers in de gezondheidssector.

de lidstaten bijstaan bij de coördinatie van de praktijken van instanties voor toegang tot gezondheidsgegevens bij de uitvoering van de bepalingen van hoofdstuk IV om een consistente toepassing van deze verordening te waarborgen;

schriftelijke bijdragen uitbrengen en beste praktijken uitwisselen over aangelegenheden die verband houden met de coördinatie van de uitvoering op het niveau van de lidstaten van deze verordening en van de op grond daarvan vastgestelde gedelegeerde handelingen en uitvoeringshandelingen, met name wat betreft:

in samenspraak en samenwerking met de relevante belanghebbenden, met inbegrip van patiëntenvertegenwoordigers, gezondheidswerkers en onderzoekers, richtsnoeren ontwikkelen om gebruikers van gezondheidsgegevens te helpen aan hun verplichtingen uit hoofde van artikel 61, lid 5, te voldoen, met name om te bepalen of hun bevindingen vanuit klinisch oogpunt significant zijn;

de samenwerking tussen instanties voor toegang tot gezondheidsgegevens vergemakkelijken door middel van capaciteitsopbouw, het opzetten van kader voor het in artikel 59, lid 1, bedoelde rapporteren van activiteiten, en de uitwisseling van informatie;

informatie uitwisselen over risico’s en incidenten in verband met secundair gebruik en de manier waarop met dergelijke risico’s en incidenten wordt omgegaan;

de uitwisseling faciliteren van standpunten over secundair gebruik met het in artikel 93 bedoelde forum van belanghebbenden, alsook met houders van gezondheidsgegevens, gebruikers van gezondheidsgegevens, regelgevers en beleidsmakers in de gezondheidssector.

een interoperabel, grensoverschrijdend identificatie- en authenticatiemechanisme voor natuurlijke personen en gezondheidswerkers, overeenkomstig artikel 16, leden 3 en 4;

de centrale diensten en infrastructuren voor digitale gezondheid van MyHealth@EU, overeenkomstig artikel 23, lid 1;

nalevingscontroles voor het aansluiten van gemachtigde deelnemers op MyHealth@EU, overeenkomstig artikel 23, lid 9;

de aanvullende grensoverschrijdende digitale gezondheidsdiensten en -infrastructuren bedoeld in artikel 24, lid 1;

een dienst, als onderdeel van HealthData@EU, om aanvragen voor toegang tot gezondheidsgegevens in te dienen waarbij toegang wordt beoogd tot elektronische gezondheidsgegevens die worden gehouden door houders van gezondheidsgegevens in meer dan één lidstaat of door andere gemachtigde deelnemers in HealthData@EU, en die aanvragen voor toegang tot gezondheidsgegevens automatisch door te sturen naar de relevante contactpunten, overeenkomstig artikel 67, lid 3;

de centrale diensten en infrastructuren van HealthData@EU, overeenkomstig artikel 75, leden 7 en 8;

een beveiligde verwerkingsomgeving overeenkomstig artikel 75, lid 9, waarin de instanties voor toegang tot gezondheidsgegevens kunnen besluiten gegevens overeenkomstig artikel 68, lid 8, beschikbaar te stellen;

nalevingscontroles voor het aansluiten van gemachtigde deelnemers op HealthData@EU, overeenkomstig artikel 75, lid 5;

een gefedereerde EU-catalogus van datasets die de nationale catalogi van datasets met elkaar verbindt, overeenkomstig artikel 79;

een secretariaat dat ten dienste staat van de EHDS-raad, overeenkomstig artikel 92, lid 9;

een secretariaat dat ten dienste staat van de stuurgroepen, overeenkomstig artikel 95, lid 8.

de aard, de ernst, de omvang en de duur van de inbreuk;

elke door de inbreukmaker ondernomen actie om de schade als gevolg van de inbreuk te beperken of te herstellen;

eerdere inbreuken van de inbreukmaker;

de door de inbreukmaker verkregen financiële voordelen of vermeden verliezen als gevolg van de inbreuk, voor zover deze voordelen of verliezen op betrouwbare wijze kunnen worden vastgesteld;

elke andere verzwarende of verzachtende factor die van toepassing is op de omstandigheden van de zaak;

de jaaromzet van de inbreukmaker in de Unie in het voorgaande boekjaar.

de mogelijkheden tot uitbreiding van de interoperabiliteit tussen EPD-systemen en niet door de lidstaten ingestelde diensten voor toegang tot elektronische gezondheidsgegevens;

een beoordeling van de vraag of de in artikel 51 bedoelde gegevenscategorieën en de in artikel 53, lid 1, opgesomde gebruiksdoeleinden moeten worden bijgewerkt;

de invoering en het gebruik door natuurlijke personen van de in artikel 71 bedoelde opt-out-mechanismen voor secundair gebruik, met name wat betreft de gevolgen van die mechanismen voor de volksgezondheid, wetenschappelijk onderzoek en de grondrechten;

het gebruik en de toepassing van strengere maatregelen zoals ingevoerd krachtens artikel 51, lid 4;

de uitoefening en de tenuitvoerlegging van het in artikel 8 bedoelde recht;

een beoordeling van het certificeringskader voor EPD-systemen vastgesteld in hoofdstuk III en van de vraag of verdere instrumenten voor conformiteitsbeoordeling moeten worden ingevoerd;

een beoordeling van de werking van de interne markt voor EPD-systemen;

een beoordeling van de kosten en baten in verband met de uitvoering van de bepalingen voor secundair gebruik van hoofdstuk IV;

de toepassing van vergoedingen als bedoeld in artikel 62.

In artikel 13 wordt lid 4 vervangen door:

“4.   Wanneer de fabrikant een product met digitale elementen in de handel brengt, neemt hij een beoordeling van de in lid 3 van dit artikel bedoelde cyberbeveiligingsrisico’s op in de technische documentatie als vereist op grond van artikel 31 en bijlage VII. Voor producten met digitale elementen als bedoeld in artikel 12 en artikel 32, lid 5 bis, die ook onder andere rechtshandelingen van de Unie vallen, kan de beoordeling van de cyberbeveiligingsrisico’s deel uitmaken van de risicobeoordeling die op grond van die respectieve rechtshandelingen van de Unie vereist is. Indien bepaalde essentiële cyberbeveiligingsvereisten niet van toepassing zijn op het product met digitale elementen, neemt de fabrikant in die technische documentatie daarvoor een duidelijke motivering op.”.

In artikel 31 wordt lid 3 vervangen door:

“3.   Voor producten met digitale elementen als bedoeld in artikel 12 en artikel 32, lid 5 bis, die ook onder andere rechtshandelingen van de Unie vallen die in technische documentatie voorzien, wordt één set van technische documentatie opgesteld die de in bijlage VII bedoelde informatie en de bij die rechtshandelingen van de Unie vereiste informatie bevat.”.

In artikel 32 wordt het volgende lid ingevoegd:

“5 bis.   Fabrikanten van producten met digitale elementen die op grond van Verordening (EU) 2025/327 van het Europees Parlement en de Raad (*1) geclassificeerd worden als EPD-systemen, tonen de conformiteit aan met de in bijlage I bij deze verordening neergelegde essentiële vereisten aan de hand van de relevante, in hoofdstuk III van Verordening (EU) 2025/327 bepaalde conformiteitsbeoordelingsprocedures.

(*1)  Verordening (EU) 2025/327 van het Europees Parlement en de Raad van 11 februari 2025 betreffende de Europese ruimte voor gezondheidsgegevens en tot wijziging van Richtlijn 2011/24/EU en Verordening (EU) 2024/2847 (PB L, 2025/327, 5.3.2025, ELI: http://data.europa.eu/eli/reg/2025/327/oj).”."

met ingang van 26 maart 2029 op de in artikel 14, lid 1, punten a), b) en c), bedoelde prioritaire categorieën persoonlijke elektronische gezondheidsgegevens en op EPD-systemen die door de fabrikant zijn bedoeld om gegevens uit die categorieën te verwerken;

met ingang van 26 maart 2031 op de in artikel 14, lid 1, punten d), e) en f), bedoelde prioritaire categorieën persoonlijke elektronische gezondheidsgegevens en op EPD-systemen die door de fabrikant zijn bedoeld om gegevens uit die categorieën te verwerken;

met ingang van één jaar vanaf de datum zoals vastgelegd in een op grond van artikel 14, lid 2, vast te stellen gedelegeerde handeling voor elke wijziging van de belangrijkste kenmerken van de in bijlage I opgenomen persoonlijke elektronische gezondheidsgegevens, mits die datum na de in de punten a) en b) van deze alinea bedoelde toepassingsdatum valt voor de betrokken categorieën persoonlijke elektronische gezondheidsgegevens.

1.1.

De geharmoniseerde softwarecomponenten van EPD-systemen moeten de door de fabrikant beoogde prestaties leveren en zodanig zijn ontworpen en vervaardigd dat zij onder normale gebruiksomstandigheden geschikt zijn voor het beoogde doeleind en de veiligheid van de patiënt niet in gevaar brengen.

1.2.

De geharmoniseerde softwarecomponenten van EPD-systemen moeten zodanig zijn ontworpen en ontwikkeld dat het EPD-systeem kan worden geleverd en geïnstalleerd, met inachtneming van de instructies en informatie van de fabrikant, zonder dat dit negatieve gevolgen heeft voor de kenmerken en prestaties ervan tijdens het beoogde gebruik.

1.3.

EPD-systemen moeten zodanig zijn ontworpen en ontwikkeld dat de interoperabiliteits-, veiligheids- en beveiligingskenmerken ervan de rechten van natuurlijke personen waarborgen, in overeenstemming met het beoogde doeleind van het EPD-systeem, zoals uiteengezet in hoofdstuk II.

1.4.

De geharmoniseerde softwarecomponenten van EPD-systemen dat bedoeld is om samen met andere producten, waaronder medische hulpmiddelen, te worden gebruikt, moeten zodanig zijn ontworpen en vervaardigd dat de interoperabiliteit en compatibiliteit betrouwbaar en veilig zijn, en dat persoonlijke elektronische gezondheidsgegevens tussen het hulpmiddel en het EPD-systeem kunnen worden gedeeld met betrekking tot die geharmoniseerde softwarecomponenten van een EPD-systeem.

2.1.

Wanneer EPD-systemen zijn ontworpen om persoonlijke elektronische gezondheidsgegevens op te slaan of te bemiddelen, voorzien ze in een interface die toegang biedt tot de persoonlijke elektronische gezondheidsgegevens die ze door middel van de Europese interoperabiliteitssoftwarecomponent voor EPD-systemen verwerken in het Europees uitwisselingsformat voor elektronische patiëntendossiers.

2.2.

Wanneer EPD-systemen zijn ontworpen om persoonlijke elektronische gezondheidsgegevens op te slaan of te bemiddelen, zijn ze in staat om door middel van de Europese interoperabiliteitssoftwarecomponent voor EPD-systemen persoonlijke elektronische gezondheidsgegevens te ontvangen in het Europees uitwisselingsformat voor elektronische patiëntendossiers.

2.3.

Wanneer EPD-systemen zijn ontworpen om toegang te verlenen tot persoonlijke elektronische gezondheidsgegevens, zijn ze in staat om door middel van de Europese interoperabiliteitssoftwarecomponent voor EPD-systemen persoonlijke elektronische gezondheidsgegevens te ontvangen in het Europees uitwisselingsformat voor elektronische patiëntendossiers.

2.4.

EPD-systemen met een functionaliteit voor het invoeren van gestructureerde persoonlijke elektronische gezondheidsgegevens maken het mogelijk gegevens in te voeren die voldoende granulariteit bieden om de ingevoerde persoonlijke elektronische gezondheidsgegevens te kunnen verstrekken in het Europees uitwisselingsformat voor elektronische patiëntendossiers.

2.5.

De geharmoniseerde softwarecomponenten van EPD-systemen mogen geen kenmerken bevatten die de rechtmatige toegang, het delen van persoonlijke elektronische gezondheidsgegevens of het gebruik van persoonlijke elektronische gezondheidsgegevens voor toegestane doeleinden verbieden, beperken of onnodig belasten.

2.6.

De geharmoniseerde softwarecomponenten van EPD-systemen mogen geen kenmerken bevatten die de rechtmatige export van persoonlijke elektronische gezondheidsgegevens met het oog op de overstap op een ander EPD-systeem verbieden, beperken of onnodig belasten.

3.1.

EPD-systemen die zijn ontworpen om door gezondheidswerkers te worden gebruikt, moeten voorzien in betrouwbare mechanismen voor de identificatie en authenticatie van gezondheidswerkers.

3.2.

De Europese logsoftwarecomponenten van EPD-systemen die zijn ontworpen om zorgaanbieders of andere personen toegang te bieden tot persoonlijke elektronische gezondheidsgegevens, moeten voldoende loggingmechanismen bieden om ten minste de volgende informatie over elke toegangsgebeurtenis of groep van gebeurtenissen in een logbestand te registreren:

3.3.

De geharmoniseerde softwarecomponenten van EPD-systemen moeten instrumenten of mechanismen bevatten om de gegevens in het logbestand te evalueren en te analyseren, of de verbinding met en het gebruik van externe software voor dezelfde doeleinden ondersteunen.

3.4.

De geharmoniseerde softwarecomponenten van EPD-systemen waarin persoonlijke elektronische gezondheidsgegevens worden opgeslagen, moeten verschillende bewaringstermijnen ondersteunen, alsmede toegangsrechten die rekening houden met de oorsprong en categorieën van de elektronische gezondheidsgegevens.

een gedetailleerde beschrijving van het EPD-systeem, waaronder van:

een gedetailleerde beschrijving van het systeem dat beschikbaar is om de prestaties van het EPD-systeem te evalueren, indien van toepassing;

verwijzingen naar alle gemeenschappelijke specificaties die overeenkomstig artikel 36 zijn gebruikt en op grond waarvan de conformiteitsverklaring is opgesteld;

de resultaten en kritische analysen van alle verificaties en valideringstests die zijn uitgevoerd om aan te tonen dat het EPD-systeem voldoet aan de vereisten van hoofdstuk III, met name de toepasselijke essentiële vereisten;

een exemplaar van het in artikel 38 bedoelde informatieblad;

een exemplaar van de EU-conformiteitsverklaring.

de naam van het EPD-systeem, de versie en eventuele aanvullende, ondubbelzinnige verwijzingen aan de hand waarvan het EPD-systeem kan worden geïdentificeerd;

de naam en het adres van de fabrikant en, indien van toepassing, diens gemachtigde vertegenwoordiger;

een vermelding dat de EU-conformiteitsverklaring wordt verstrekt onder de exclusieve verantwoordelijkheid van de fabrikant;

een vermelding dat het betrokken EPD-systeem in overeenstemming is met de bepalingen van hoofdstuk III en, in voorkomend geval, met eventueel ander Unierecht ter zake dat voorziet in de afgifte van een EU-conformiteitsverklaring, aangevuld met de resultaten die zijn verkregen uit de in artikel 40 vermelde testomgeving;

vermeldingen van alle relevante geharmoniseerde normen die zijn gebruikt en waarop de conformiteitsverklaring betrekking heeft;

vermeldingen van alle gemeenschappelijke specificaties die zijn gebruikt en waarop de conformiteitsverklaring betrekking heeft;

de plaats en datum van afgifte van de verklaring, de handtekening, naam en functie van de persoon die de verklaring heeft ondertekend en, indien van toepassing, een vermelding van de persoon namens wie de verklaring is ondertekend;

aanvullende informatie, indien van toepassing.