(Tavallinen lainsäätämisjärjestys: ensimmäinen käsittely)

Euroopan parlamentti, joka

–  ottaa huomioon komission ehdotuksen Euroopan parlamentille ja neuvostolle (COM(2022)0197),

–  ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen 294 artiklan 2 kohdan sekä 16 ja 114 artiklan, joiden mukaisesti komissio on antanut ehdotuksen Euroopan parlamentille (C9‑0167/2022),

–  ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen 294 artiklan 3 kohdan,

–  ottaa huomioon 22. syyskuuta 2022 annetun Euroopan talous- ja sosiaalikomitean lausunnon(1),

–  ottaa huomioon 9. helmikuuta 2023 annetun alueiden komitean lausunnon(2),

–  ottaa huomioon asiasta vastaavan valiokunnan työjärjestyksen 74 artiklan 4 kohdan mukaisesti hyväksymän alustavan sopimuksen sekä neuvoston edustajan 22. maaliskuuta 2024 päivätyllä kirjeellä antaman sitoumuksen hyväksyä Euroopan parlamentin kanta Euroopan unionin toiminnasta tehdyn sopimuksen 294 artiklan 4 kohdan mukaisesti

–  ottaa huomioon työjärjestyksen 59 artiklan,

–  ottaa huomioon ympäristön, kansanterveyden ja elintarvikkeiden turvallisuuden valiokunnan ja kansalaisvapauksien sekä oikeus- ja sisäasioiden valiokunnan työjärjestyksen 58 artiklan mukaisen yhteiskäsittelyn,

–  ottaa huomioon teollisuus-, tutkimus- ja energiavaliokunnan sekä sisämarkkina- ja kuluttajansuojavaliokunnan lausunnot,

–  ottaa huomioon ympäristön, kansanterveyden ja elintarvikkeiden turvallisuuden valiokunnan ja kansalaisvapauksien sekä oikeus- ja sisäasioiden valiokunnan mietinnön (A9-0395/2023),

1.  vahvistaa jäljempänä esitetyn ensimmäisen käsittelyn kannan(3);

2.  pyytää komissiota antamaan asian uudelleen Euroopan parlamentin käsiteltäväksi, jos se korvaa ehdotuksensa, muuttaa sitä huomattavasti tai aikoo muuttaa sitä huomattavasti;

3.  kehottaa puhemiestä välittämään parlamentin kannan neuvostolle ja komissiolle sekä kansallisille parlamenteille.

(1) EUVL C 486, 21.12.2022, s. 123 (2) EUVL C 157, 3.5.2023, s. 64 (3) Tämä kanta korvaa 13. joulukuuta 2023 hyväksytyt tarkistukset (Hyväksytyt tekstit, P9_TA(2022)0462).

(ETA:n kannalta merkityksellinen teksti)

EUROOPAN PARLAMENTTI JA EUROOPAN UNIONIN NEUVOSTO, jotka

ottavat huomioon Euroopan unionin toiminnasta tehdyn sopimuksen ja erityisesti sen 16 ja 114 artiklan,

ottavat huomioon Euroopan komission ehdotuksen,

sen jälkeen kun esitys lainsäätämisjärjestyksessä hyväksyttäväksi säädökseksi on toimitettu kansallisille parlamenteille,

ottavat huomioon Euroopan talous- ja sosiaalikomitean lausunnon(2),

ottavat huomioon alueiden komitean lausunnon(3),

noudattavat tavallista lainsäätämisjärjestystä(4),

sekä katsovat seuraavaa:

(1)  Tämän asetuksen tarkoituksena on perustaa eurooppalainen terveystietoalue, jotta luonnolliset henkilöt voivat helpommin päästä henkilökohtaisiin sähköisiin terveystietoihinsa ja hallita niitä terveydenhuollon yhteydessä (sähköisten terveystietojen ensisijainen käyttö) ja jotta voidaan toteuttaa paremmin muita yhteiskunnan kannalta hyödyllisiä terveydenhuolto- ja hoiva-alan käyttötarkoituksia, joita ovat esimerkiksi tutkimus, innovointi, päätöksenteko, terveysuhkiin varautuminen ja niihin reagointi, mukaan lukien uusien pandemioiden ehkäisy ja niihin vastaaminen, potilasturvallisuus, yksilöllistetty hoito, viralliset tilastot tai sääntelytoimet (sähköisten terveystietojen toissijainen käyttö). Lisäksi tavoitteena on parantaa sisämarkkinoiden toimintaa vahvistamalla yhtenäinen oikeudellinen ja tekninen kehys erityisesti sähköisten potilaskertomusjärjestelmien kehittämistä, kaupan pitämistä ja käyttöä varten unionin arvojen mukaisesti. Eurooppalainen terveystietoalue toimii keskeisenä tekijänä rakennettaessa vahvaa ja häiriönsietokykyistä Euroopan terveysunionia.

(2)  Covid-19-pandemia on tuonut selkeästi esiin sen, että nopea pääsy laadukkaisiin sähköisiin terveystietoihin on tärkeää paitsi terveysuhkiin varautumista ja niihin reagointia varten myös ennaltaehkäisyä, diagnosointia ja hoitoa sekä terveystietojen toissijaista käyttöä varten. Nopea pääsy tietoihin voi mahdollistaa kansanterveyden tehokkaan valvonnan ja seurannan ja sen myötä uusien pandemioiden tehokkaamman hallinnan, alhaisemmat kustannukset ja paremman reagoinnin terveysuhkiin ja voi siten viime kädessä auttaa pelastamaan useamman ihmisen hengen. Vuonna 2020 komissio mukautti kiireellisesti komission täytäntöönpanopäätöksellä (EU) 2019/1269(5) perustettua kliinisen potilashoidon asiantuntijajärjestelmää, jotta jäsenvaltiot voivat jakaa sähköisiä terveystietoja covid-19-potilaista, jotka liikkuvat terveydenhuollon tarjoajien ja jäsenvaltioiden välillä pandemian huipun aikana. Tämä oli kuitenkin vain hätäratkaisu ja osoitus siitä, että jäsenvaltioiden ja unionin tasolla tarvitaan jäsenneltyä ja yhdenmukaista lähestymistapaa sekä sähköisten terveystietojen saatavuuden parantamista terveydenhuollossa että sähköisiin terveystietoihin pääsyn helpottamista varten, jotta voidaan ohjata vaikuttavia politiikkatoimia ja osaltaan edistää ihmisten terveyttä koskevien tiukkojen normien hyväksymistä.

(3)  Covid-19-kriisin aikana sähköisten terveyspalvelujen verkoston, joka on digitaalisesta terveydenhuollosta vastaavien viranomaisten vapaaehtoinen verkosto, työ kohosi kantavaksi pilariksi kehitettäessä kontaktinjäljitys- ja varoitussovelluksia ja EU:n digitaalisten koronatodistusten teknisiä näkökohtia. Kriisi korosti myös tarvetta jakaa sähköisiä terveystietoja, jotka ovat löydettävissä, saatavilla, yhteentoimivia ja uudelleenkäytettäviä eli ns. FAIR-periaatteiden (findable, accessible, interoperable, reusable) mukaisia, sekä varmistaa, että sähköiset terveystiedot ovat niin avoimia kuin mahdollista noudattaen samalla tietojen minimoinnin periaatetta. Olisi varmistettava synergia eurooppalaisen terveystietoalueen, eurooppalaisten avoimen tieteen pilvipalvelujen(6) ja eurooppalaisten tutkimusinfrastruktuurien välillä ja otettava huomioon Euroopan covid-19-dataportaalin puitteissa kehitetyistä tietojen jakamiseen liittyvistä ratkaisuista saadut kokemukset.

(3 a)   Koska henkilökohtaiset terveystiedot ovat arkaluonteisia, tällä asetuksella pyritään takaamaan sekä unionin että kansallisella tasolla riittävät suojatoimet tietosuojan ja tietoturvan sekä tietojen luottamuksellisuuden ja eettisen käytön korkean tason varmistamiseksi. Tällaiset suojatoimet ovat tarpeen, jotta voidaan parantaa luottamusta luonnollisten henkilöiden terveystietojen turvalliseen käsittelyyn ensisijaisessa ja toissijaisessa käytössä.

(4)  Henkilökohtaisten sähköisten terveystietojen käsittelyyn sovelletaan Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679(7) säännöksiä sekä unionin toimielinten, elinten ja laitosten osalta Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725(8) säännöksiä. Viittauksia asetuksen (EU) 2016/679 säännöksiin olisi tarvittaessa pidettävä myös viittauksina asetuksen (EU) 2018/1725 vastaaviin unionin toimielimiä, elimiä ja laitoksia koskeviin säännöksiin.

(5)  Yhä useammat eurooppalaiset liikkuvat yli valtioiden rajojen työskentelyn, opiskelun, sukulaisten luona vierailun tai matkustelun vuoksi. Jotta terveystietojen vaihto yli rajojen helpottuisi ja jotta vastataan tarpeeseen lisätä kansalaisten vaikutusmahdollisuuksia, heidän olisi voitava päästä terveystietoihinsa sellaisessa sähköisessä muodossa, joka voidaan tunnustaa ja hyväksyä kaikkialla unionissa. Tällaisiin henkilökohtaisiin sähköisiin terveystietoihin voisivat kuulua luonnollisen henkilön fyysiseen terveyteen tai mielenterveyteen liittyvät henkilötiedot, mukaan lukien annetut terveydenhuoltopalvelut, jotka kertovat henkilön terveydentilasta, luonnollisen henkilön perittyihin tai hankittuihin geneettisiin ominaisuuksiin liittyvät henkilötiedot, joista selviää yksilöllistä tietoa kyseisen luonnollisen henkilön fysiologiasta tai terveydestä ja joita saadaan ennen kaikkea analysoimalla kyseisen luonnollisen henkilön biologisia näytteitä, sekä tiedot terveyden taustatekijöistä, kuten käyttäytymisestä, ympäristö- ja fysikaalisista tekijöistä, lääketieteellisestä hoidosta ja sosiaalisista tai koulutukseen liittyvistä tekijöistä. Sähköisiin terveystietoihin kuuluvat myös tiedot, jotka on alun perin kerätty tutkimus-, tilastointi-, terveysuhkien arviointi-, päätöksenteko- tai sääntelytarkoituksissa ja jotka voidaan asettaa saataville IV luvun sääntöjen mukaisesti. Kaikkiin näihin luokkiin kuuluvat tiedot ovat sähköisiä terveystietoja riippumatta siitä, onko ne saatu rekisteröidyltä henkilöltä vai muilta luonnollisilta henkilöiltä tai oikeushenkilöiltä, kuten terveydenhuollon ammattihenkilöiltä, tai käsitelläänkö niitä luonnollisen henkilön terveyteen tai hyvinvointiin liittyen, ja niihin olisi kuuluttava myös päätellyt ja johdetut tiedot, kuten diagnoosit, testit ja lääkärintarkastukset, samoin kuin automaattisilla keinoilla saadut ja kirjatut tiedot.

(5 b)   Terveydenhuoltojärjestelmissä henkilökohtaisia sähköisiä terveystietoja kerätään yleensä sähköisiin potilaskertomuksiin, jotka tyypillisesti sisältävät tietoja luonnollisen henkilön terveydentilasta ja terveydellisestä taustasta, diagnooseista ja hoidosta, lääkityksestä, allergioista ja immunisaatiosta sekä radiologisia kuvia ja laboratoriotuloksia ja muita lääketieteellisiä tietoja, joita terveydenhuoltojärjestelmän eri toimijat (yleislääkärit, sairaalat, apteekit, hoivapalvelut) ovat kirjanneet. Mahdollistaakseen luonnollisille henkilöille ja terveydenhuollon ammattihenkilöille pääsyn sähköisiin terveystietoihin ja niiden jakamisen ja muuttamisen jotkin jäsenvaltiot ovat toteuttaneet tarvittavat oikeudelliset ja tekniset toimenpiteet ja perustaneet keskitettyjä infrastruktuureja, joissa yhdistyvät terveydenhuollon tarjoajien ja luonnollisten henkilöiden käyttämät sähköiset potilaskertomusjärjestelmät. Jotkin jäsenvaltiot puolestaan antavat julkisille ja yksityisille terveydenhuollon tarjoajille tukea henkilökohtaisten terveystietoalueiden perustamiseen, jotta mahdollistetaan yhteentoimivuus eri terveydenhuollon tarjoajien välillä. Useat jäsenvaltiot ovat myös tukeneet tai tarjonneet potilaille ja terveydenhuollon ammattihenkilöille terveystietojen käyttöpalveluja (jotka on toteutettu esimerkiksi potilaiden tai terveydenhuollon ammattihenkilöiden portaaleina). Ne ovat myös toteuttaneet toimenpiteitä sen varmistamiseksi, että sähköiset potilaskertomusjärjestelmät tai hyvinvointisovellukset pystyvät siirtämään sähköisiä terveystietoja sähköisten potilaskertomusten keskusjärjestelmään (jotkin jäsenvaltiot tekevät tämän esimerkiksi huolehtimalla siitä, että käytössä on sertifiointijärjestelmä). Kaikki jäsenvaltiot eivät kuitenkaan ole ottaneet käyttöön tällaisia järjestelmiä, ja ne jäsenvaltiot, jotka ovat niitä toteuttaneet, ovat tehneet sen hajanaisesti. Jotta voidaan helpottaa henkilökohtaisten terveystietojen vapaata liikkuvuutta kaikkialla unionissa ja välttää kielteisten seurausten aiheutuminen potilaille siitä, että he saavat terveydenhuoltoa toisessa jäsenvaltiossa, tarvitaan unionin toimia sen varmistamiseksi, että yksilöillä on paremmat mahdollisuudet päästä omiin sähköisiin terveystietoihinsa ja valtuudet jakaa niitä. Tältä osin olisi toteutettava asianmukaisia unionin ja kansallisen tason toimia keinona vähentää hajanaisuutta, epäyhtenäisyyttä ja eriytymistä ja saada kaikissa jäsenvaltioissa aikaan käyttäjäystävällinen ja intuitiivinen järjestelmä. Olisi pyrittävä siihen, että terveysalan digitalisaatio on aina osallistavaa ja hyödyttää myös luonnollisia henkilöitä, joilla on huonot mahdollisuudet päästä digitaalisiin palveluihin ja käyttää niitä, vammaiset henkilöt mukaan lukien.

(6)  Asetuksen (EU) 2016/679 III luvussa vahvistetaan erityiset säännökset, jotka koskevat luonnollisten henkilöiden oikeuksia heidän henkilötietojensa käsittelyssä. Eurooppalainen terveystietoalue perustuu näihin oikeuksiin ja täydentää joitakin niistä henkilökohtaisten sähköisten terveystietojen osalta. Nämä oikeudet ovat voimassa riippumatta siitä, missä jäsenvaltiossa henkilökohtaisia sähköisiä terveystietoja käsitellään, minkä tyyppinen terveydenhuollon tarjoaja on kyseessä, mistä lähteistä tiedot ovat peräisin tai mikä on luonnollisen henkilön vakuutusjäsenvaltio. Tämän asetuksen II ja III luvussa esitetyt henkilökohtaisten sähköisten terveystietojen ensisijaiseen käyttöön liittyvät oikeudet ja säännöt koskevat kaikkia kyseisten tietojen luokkia riippumatta siitä, miten ne on kerätty, keneltä ne on saatu, mikä on asetuksen (EU) 2016/679 mukainen käsittelyn oikeusperuste ja onko rekisterinpitäjä julkinen vai yksityinen organisaatio. Nämä henkilökohtaisiin sähköisiin terveystietoihin pääsyä ja niiden siirrettävyyttä koskevat lisäoikeudet eivät saisi rajoittaa asetuksessa (EU) 2016/679 vahvistettuja pääsyä ja siirrettävyyttä koskevia oikeuksia. Luonnolliset henkilöt säilyttävät nämä oikeudet kyseisessä asetuksessa säädetyin edellytyksin.

▌

(8)  Asetuksella (EU) 2016/679 annettujen oikeuksien olisi pysyttävä voimassa. Terveydenhuoltoalalla olisi täydennettävä edelleen asetuksen (EU) 2016/679 15 artiklassa vahvistettua luonnollisen henkilön oikeutta saada tutustua tietoihin. Asetuksen (EU) 2016/679 mukaan rekisterinpitäjien ei tarvitse myöntää pääsyä välittömästi. ▌Oikeus saada pääsy terveystietoihin toteutuu useissa paikoissa yhä siten, että pyydetyt terveystiedot toimitetaan paperimuodossa tai skannattuina asiakirjoina, mikä vie paljon rekisterinpitäjän, kuten sairaalan tai muun pääsyn antavan terveydenhuollon tarjoajan, aikaa. Tämä hidastaa luonnollisten henkilöiden ▌pääsyä terveystietoihin ja voi vaikuttaa kielteisesti niihin luonnollisiin henkilöihin, joiden on saatava tällainen pääsy välittömästi terveydentilaansa liittyvien kiireellisten olosuhteiden vuoksi. Tästä syystä luonnollisille henkilöille on tarpeen tarjota tehokkaampi tapa päästä omiin henkilökohtaisiin sähköisiin terveystietoihinsa. Heillä pitäisi olla oikeus saada sähköisten terveystietojen käyttöpalvelussa maksutta ja välittömästi, tekninen toteutettavuus huomioon ottaen, pääsy määriteltyihin henkilökohtaisten sähköisten terveystietojen prioriteettiluokkiin, kuten potilastietojen yhteenvetoon. Tämän oikeuden olisi toteuduttava riippumatta siitä, missä jäsenvaltiossa henkilökohtaisia sähköisiä terveystietoja käsitellään, minkä tyyppinen terveydenhuollon tarjoaja on kyseessä, mistä lähteistä tiedot ovat peräisin tai mikä on luonnollisen henkilön vakuutusjäsenvaltio. Tämän käsillä olevassa asetuksessa vahvistetun täydentävän oikeuden kattama ala ja sen käytön edellytykset eroavat tietyiltä osin asetuksen (EU) 2016/679 15 artiklassa säädetystä oikeudesta saada tutustua tietoihin. Viimeksi mainittu kattaa kaikki rekisterinpitäjän hallussa olevat henkilötiedot, ja sitä käytetään suhteessa yksittäiseen rekisterinpitäjään, jonka on vastattava pyyntöön kuukauden kuluessa. Tämän asetuksen mukainen oikeus saada pääsy henkilökohtaisiin sähköisiin terveystietoihin olisi rajoitettava sen soveltamisalaan kuuluviin tietoluokkiin, sitä olisi käytettävä sähköisten terveystietojen käyttöpalvelun kautta ja sen olisi tuotettava vastaus välittömästi. Asetuksen (EU) 2016/679 mukaisten oikeuksien olisi oltava edelleen voimassa, jotta yksilöt voivat hyödyntää molemmissa kehyksissä vahvistettuja oikeuksia. Voimaan olisi jätettävä erityisesti oikeus saada sähköisistä terveystiedoista paperiversio, sillä se on yksi asetuksessa (EU) 2016/679 säädetyistä oikeuksista.

(9)  Samalla olisi otettava huomioon, että luonnollisten henkilöiden välitön pääsy tietyntyyppisiin sähköisiin terveystietoihinsa voi olla vahingollista luonnollisten henkilöiden turvallisuudelle tai se voi olla epäeettistä. Epäeettistä voisi olla esimerkiksi se, että potilaalle tiedotetaan sähköisen kanavan kautta hänellä diagnosoidusta parantumattomasta sairaudesta, joka todennäköisesti johtaa potilaan nopeaan kuolemaan, sen sijaan, että tämä tieto annettaisiin potilaalle ensiksi vastaanotolla. Sen vuoksi olisi oltava mahdollista lykätä tällaisen pääsyn antamista näissä tilanteissa rajoitetuksi ajaksi esimerkiksi siihen saakka, kunnes potilas ja terveydenhuollon ammattihenkilö ovat yhteydessä toisiinsa. Jäsenvaltioiden olisi voitava määritellä tällainen poikkeus, jos se on asetuksen (EU) 2016/679 23 artiklan vaatimusten mukainen demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide.

(9 a)   Tämä asetus ei vaikuta jäsenvaltioiden toimivaltaan henkilökohtaisten sähköisten terveystietojen ensimmäisen rekisteröinnin osalta, kuten luonnollisen henkilön suostumuksen tai muiden suojatoimien asettamiseen geneettisten tietojen rekisteröinnin ehdoksi. Jäsenvaltiot voivat vaatia tietojen asettamista saataville sähköisessä muodossa ennen tämän asetuksen soveltamista. Tämä ei saisi vaikuttaa velvollisuuteen asettaa tämän asetuksen soveltamisen alkamisen jälkeen rekisteröidyt henkilökohtaiset sähköiset terveystiedot saataville sähköisessä muodossa.

(10)  Luonnollisten henkilöiden olisi voitava lisätä sähköisiä terveystietoja sähköisiin potilaskertomuksiinsa tai tallentaa lisätietoja erilliseen henkilökohtaiseen terveystietotiedostoon, johon terveydenhuollon ammattihenkilöillä on pääsy, täydentääkseen näiden saatavilla olevaa tietoa. Luonnollisten henkilöiden lisäämät tiedot eivät välttämättä ole yhtä luotettavia kuin terveydenhuollon ammattihenkilöiden syöttämät ja varmentamat sähköiset terveystiedot, eikä niillä ole samaa kliinistä tai oikeudellista arvoa kuin terveydenhuollon ammattihenkilön syöttämillä tiedoilla. Sen vuoksi näiden tietojen olisi oltava selkeästi erotettavissa ammattihenkilöiden syöttämistä tiedoista. Luonnollisten henkilöiden mahdollisuus lisätä ja täydentää henkilökohtaisia sähköisiä terveystietoja ei saisi antaa heille oikeutta muuttaa terveydenhuollon ammattihenkilöiden syöttämiä henkilökohtaisia sähköisiä terveystietoja.

(10 a)   Kun luonnollisille henkilöille annetaan helpompi ja nopeampi pääsy henkilökohtaisiin sähköisiin terveystietoihinsa, heillä on myös paremmat mahdollisuudet havaita mahdolliset virheet, kuten väärät tiedot tai virheellisesti osoitetut potilastiedot. Tällaisissa tapauksissa luonnollisella henkilöllä olisi oltava mahdollisuus pyytää virheellisten sähköisten terveystietojen oikaisemista verkossa välittömästi ja maksutta sähköisten terveystietojen käyttöpalvelussa. Asianomaisten rekisterinpitäjien olisi käsiteltävä tällaiset tietojen oikaisupyynnöt asetuksen (EU) 2016/679 mukaisesti ja tarvittaessa asianomaiseen alaan erikoistuneiden ja kyseisen luonnollisen henkilön hoidosta vastaavien terveydenhuollon ammattihenkilöiden avustuksella.

(11)  Asetuksen (EU) 2016/679 20 artiklan mukaan oikeus siirtää tiedot järjestelmästä toiseen rajoittuu ▌tietoihin, joita käsitellään suostumuksen tai sopimuksen perusteella ja jotka rekisteröity toimittaa rekisterinpitäjälle ▌. Asetuksen (EU) 2016/679 mukaan luonnollisella henkilöllä on myös oikeus saada henkilötiedot siirrettyä suoraan rekisterinpitäjältä toiselle vain, jos se on teknisesti mahdollista. Kyseisessä asetuksessa ei kuitenkaan aseteta velvoitetta tehdä tästä suorasta siirrosta teknisesti mahdollista. Tätä oikeutta olisi täydennettävä tällä asetuksella siten, että luonnolliset henkilöt voivat joka tapauksessa vaihtaa vähintäänkin prioriteettiluokkiin kuuluvia henkilökohtaisia sähköisiä terveystietojaan ja antaa pääsyn niihin valitsemilleen terveydenhuollon ammattihenkilöille sekä ladata tällaisia terveystietoja. Lisäksi luonnollisilla henkilöillä olisi oltava oikeus pyytää terveydenhuollon tarjoajaa toimittamaan osa heitä koskevista sähköisistä terveystiedoista selkeästi yksilöidylle sosiaaliturva- tai korvausalan vastaanottajalle. Tällainen siirto saisi olla vain yksisuuntaista.

(12)  ▌Tässä asetuksessa vahvistetun kehyksen olisi perustuttava asetuksessa (EU) 2016/679 vahvistettuun oikeuteen siirtää tiedot järjestelmästä toiseen, eli varmistettava, että rekisteröidyt luonnolliset henkilöt voivat siirtää sähköisiä terveystietojaan, eurooppalaisessa sähköisten terveystietojen vaihtoformaatissa olevat päätellyt tiedot mukaan lukien, riippumatta siitä, mikä on kyseisten sähköisten terveystietojen käsittelyn oikeusperusta. Terveydenhuollon ammattihenkilöt eivät saisi estää luonnollisten henkilöiden oikeuksien toteutumista, kuten kieltäytyä ottamasta huomioon toisesta jäsenvaltiosta peräisin olevia, yhteentoimivassa ja luotettavassa eurooppalaisessa sähköisten terveystietojen vaihtoformaatissa toimitettuja sähköisiä terveystietoja.

(12 a)   Terveydenhuollon tarjoajien tai muiden henkilöiden pääsyn henkilökohtaisiin terveystietoihin olisi oltava läpinäkyvää luonnollisille henkilöille. Terveystietojen käyttöpalvelujen olisi annettava yksityiskohtaista informaatiota tietoihin pääsystä, kuten siitä, kuka tai mikä toimija tietoja käytti ja milloin. Luonnollisten henkilöiden olisi myös voitava kytkeä päälle tai pois päältä automaattiset ilmoitukset terveystietojensa käytöstä terveydenhuollon ammattihenkilöiden tietojenkäyttöpalveluissa. Yhdenmukaisen täytäntöönpanon varmistamiseksi komissiolle olisi siirrettävä valta vahvistaa yksityiskohdat täytäntöönpanosäädöksessä.

(13)  Luonnolliset henkilöt eivät välttämättä halua sallia pääsyä joihinkin henkilökohtaisten sähköisten terveystietojensa osiin vaikka antavat pääsyn toisiin osiin. Tällä voi olla merkitystä erityisesti arkaluonteisten terveysongelmien tapauksissa, kuten mielenterveyteen tai seksuaaliterveyteen liittyvissä ongelmissa, abortin kaltaisissa arkaluonteisissa toimenpiteissä tai tiettyjä lääkkeitä koskevissa tiedoissa, jotka voivat paljastaa muita arkaluonteisia seikkoja. Näin ollen tällaista henkilökohtaisten sähköisten terveystietojen valikoivaa jakamista olisi tuettava ja toteutettava luonnollisen henkilön asettamin rajoituksin yhdenmukaisesti jäsenvaltion sisällä ja jaettaessa tietoja yli valtioiden rajojen. Näiden rajoitusten olisi mahdollistettava riittävä rakeisuus, jotta voidaan rajoittaa pääsyä tietoaineistojen osiin, kuten potilastietojen yhteenvetojen osiin. Ennen rajoitusten asettamista luonnollisille henkilöille olisi kerrottava terveystietoihin pääsyn rajoittamiseen liittyvistä potilasturvallisuusriskeistä. Se, että henkilökohtaiset sähköiset terveystiedot eivät ole rajoituksen vuoksi saatavilla, voi vaikuttaa luonnolliselle henkilölle tarjottavien terveyspalvelujen antamiseen tai laatuun, joten hänen olisi otettava vastuu siitä, että terveydenhuollon tarjoaja ei voi ottaa kyseisiä tietoja huomioon terveyspalveluja tarjotessaan. Tällaisilla rajoituksilla voi kuitenkin olla hengenvaarallisia seurauksia, ja siksi pääsyn henkilökohtaisiin sähköisiin terveystietoihin pitäisi olla mahdollista elintärkeiden etujen suojaamiseksi hätätilanteessa. Jäsenvaltiot voisivat antaa kansallisessa lainsäädännössään tarkempia säännöksiä mekanismeista, joilla luonnollinen henkilö voi rajoittaa pääsyä osaan henkilökohtaisista sähköisistä terveystiedoistaan, erityisesti siltä osin kuin on kyse lääketieteellisestä vahinkovastuusta tapauksissa, joissa luonnollinen henkilö on asettanut rajoituksia.

(13 a)   Lisäksi jäsenvaltioissa suhtaudutaan eri tavoilla siihen, missä määrin potilaat voivat hallita omia terveystietojaan, minkä vuoksi jäsenvaltioiden olisi voitava säätää absoluuttisesta oikeudesta vastustaa pääsyn antamista kenellekään muulle kuin alkuperäiselle rekisterinpitäjälle edes hätätilanteessa. Jos ne päättävät tehdä niin, niiden olisi vahvistettava tällaisia mekanismeja koskevat säännöt ja erityiset suojatoimet. Nämä säännöt ja erityiset suojatoimet voivat liittyä myös tiettyihin henkilökohtaisten sähköisten terveystietojen luokkiin, esimerkiksi geneettisiin tietoihin. Tällainen vastustamisoikeus tarkoittaa, että sitä käyttäneitä henkilöitä koskevia henkilökohtaisia sähköisiä terveystietoja ei aseteta saataville eurooppalaisen terveystietoalueen nojalla perustetuissa palveluissa muille kuin hoidon antaneelle terveydenhuollon tarjoajalle. Jäsenvaltiot voivat vaatia, että tietoihinsa pääsyä vastustavien luonnollisten henkilöiden sähköiset terveystiedot rekisteröidään ja tallennetaan terveyspalvelut tarjonneen terveydenhuollon tarjoajan käyttämään sähköiseen potilaskertomusjärjestelmään, johon on pääsy ainoastaan kyseisellä tarjoajalla. Jos luonnollinen henkilö on käyttänyt vastustamisoikeuttaan, terveydenhuollon tarjoajat dokumentoivat kuitenkin annetun hoidon sovellettavien sääntöjen mukaisesti ja voivat käyttää rekisteröimiään tietoja. Vastustamisoikeutta käyttäneiden luonnollisten henkilöiden olisi voitava kumota päätöksensä. Jos he tekevät näin, vastustamisen voimassaolon aikana tuotetut henkilökohtaiset sähköiset terveystiedot eivät välttämättä ole saatavilla käyttöpalveluissa ja Minun terveyteni @ EU (MyHealth@EU) -infrastruktuurissa.

(15)  Terveydenhuollon ammattihenkilöiden oikea-aikainen ja rajoittamaton pääsy potilastietoihin on olennaisen tärkeää hoidon katkeamattomuuden varmistamiseksi, päällekkäisyyksien ja virheiden välttämiseksi sekä kustannusten alentamiseksi. Puutteellisen yhteentoimivuuden vuoksi terveydenhuollon ammattihenkilöt eivät kuitenkaan monissa tapauksissa voi saada käyttöönsä potilaidensa täydellisiä potilastietoja ja tehdä optimaalisia lääketieteellisiä päätöksiä heidän diagnooseistaan ja hoidostaan, mikä aiheuttaa huomattavia kustannuksia sekä järjestelmille että luonnollisille henkilöille ja voi heikentää luonnollisten henkilöiden terveydentilassa saavutettavia terveystuloksia. Yhteentoimivassa muodossa saataville asetetut sähköiset terveystiedot, joita voidaan siirtää terveydenhuollon tarjoajien välillä, voivat myös vähentää terveydenhuollon ammattihenkilöiden hallinnollista rasitetta, joka aiheutuu terveystietojen manuaalisesta tallentamisesta sähköisiin järjestelmiin tai kopioinnista järjestelmästä toiseen. Sen vuoksi terveydenhuollon ammattihenkilöille olisi annettava asianmukaiset sähköiset välineet, kuten asianmukaiset sähköiset laitteet ja terveydenhuollon ammattihenkilöiden portaalit tai muita terveydenhuollon ammattihenkilöiden tietojenkäyttöpalveluja, joilla he voivat käyttää henkilökohtaisia sähköisiä terveystietoja tehtäviensä hoitamiseen. Koska etukäteen on vaikea määrittää tyhjentävästi, mitkä prioriteettiluokkien olemassa olevista tiedoista ovat lääketieteellisesti merkityksellisiä kulloisessakin hoitojaksossa, terveydenhuollon ammattihenkilöillä olisi oltava laaja pääsy niihin. Käyttäessään potilaitaan koskevia tietoja terveydenhuollon ammattihenkilöiden olisi noudatettava sovellettavaa lainsäädäntöä, käytännesääntöjä, ammattieettisiä velvollisuuksia koskevia ohjeita tai muita tietojen jakamisen tai käytön eettisyyttä koskevia määräyksiä, erityisesti henkeä uhkaavissa tai ääritilanteissa, ja rajoitettava tietojen käyttö siihen, mikä on asiaankuuluvaa kulloisessakin hoitojaksossa. Asetuksen (EU) 2016/679 mukaisesti terveydenhuollon tarjoajien olisi noudatettava tietojen minimoinnin periaatetta saadessaan pääsyn henkilökohtaisiin terveystietoihin eli rajoitettava käyttö tietoihin, jotka ovat välttämättömiä ja perusteltuja tiettyä palvelua varten. Tietojenkäyttöpalvelujen tarjoaminen terveydenhuollon ammattihenkilöille on tässä asetuksessa tarkoitettu yleisen edun mukainen tehtävä, jonka suorittaminen edellyttää asetuksen (EU) 2016/679 6 artiklan 1 kohdan e alakohdan mukaista henkilötietojen käsittelyä. Tässä asetuksessa säädetään edellytyksistä ja suojatoimista, jotka koskevat sähköisten terveystietojen käsittelyä terveydenhuollon ammattihenkilöiden tietojenkäyttöpalvelussa asetuksen (EU) 2016/679 9 artiklan 2 kohdan h alakohdan mukaisesti, kuten lokikirjausta koskevista yksityiskohtaisista säännöksistä, jotka tekevät toiminnasta läpinäkyvää rekisteröidyille. Tämä asetus ei kuitenkaan saisi vaikuttaa terveydenhuollon tarjoamista varten suoritettavaa terveystietojen käsittelyä koskevaan kansalliseen lainsäädäntöön, mukaan lukien lainsäädäntö, jolla vahvistetaan ne terveydenhuollon ammattihenkilöiden ryhmät, jotka voivat käsitellä eri luokkiin kuuluvia sähköisiä terveystietoja.

(15 b)   Jotta voidaan helpottaa tässä asetuksessa vahvistettujen pääsyä ja siirrettävyyttä koskevien täydentävien oikeuksien käyttöä, jäsenvaltioiden olisi perustettava yksi tai useampi sähköisten terveystietojen käyttöpalvelu. Näitä palveluja voidaan tarjota potilaiden verkkoportaalina, mobiilisovelluksen kautta tai muulla tavoin, kansallisella tai alueellisella tasolla tai terveydenhuollon tarjoajien toimesta. Ne olisi suunniteltava saavutettaviksi myös vammaisille henkilöille. Luonnolliset henkilöt voivat päästä tällaisen palvelun avulla helposti henkilökohtaisiin sähköisiin terveystietoihinsa, ja sen tarjoamisessa on kyse tärkeästä yleisestä edusta. Henkilökohtaisten sähköisten terveystietojen käsittely näissä palveluissa on tarpeen tämän tässä asetuksessa annetun tehtävän suorittamiseksi asetuksen (EU) 2016/679 6 artiklan 1 kohdan e alakohdan ja 9 artiklan 2 kohdan g alakohdan mukaisesti. Tässä asetuksessa säädetään sähköisten terveystietojen käyttöpalvelussa suoritettavaan sähköisten terveystietojen käsittelyyn sovellettavista edellytyksistä ja suojatoimista, kuten tällaisia palveluja käyttävien luonnollisten henkilöiden tunnistamisesta.

(15 c)   Luonnollisten henkilöiden olisi voitava antaa valitsemilleen muille luonnollisille henkilöille, kuten sukulaisilleen tai muille läheisille luonnollisille henkilöille, lupa päästä henkilökohtaisiin sähköisiin terveystietoihinsa tai hallita pääsyä niihin tai käyttää digitaalisia terveyspalveluja puolestaan. Tällaiset luvat voivat olla hyödyllisiä ja käytännöllisiä myös muissa tilanteissa. Jäsenvaltioiden olisi perustettava tällaisen luvan antamista varten valtuutuspalveluja, jotka olisi liitettävä henkilökohtaisten terveystietojen käyttöpalveluihin, kuten potilasportaaleihin ja potilaiden käyttöön tarkoitettuihin mobiilisovelluksiin. Valtuutuspalvelujen olisi myös mahdollistettava se, että huoltajat voivat toimia huollettavana olevien lastensa puolesta. Tällaisissa tilanteissa luvan voisi saada automaattisesti. Näiden valtuutuspalvelujen lisäksi jäsenvaltioiden olisi myös perustettava luonnollisille henkilöille tarkoitettuja helposti saatavilla olevia tukipalveluja, joissa on asianmukaisesti koulutettua henkilöstöä avustamassa luonnollisia henkilöitä näiden oikeuksien käyttämisessä. Jotta voidaan ottaa huomioon tapaukset, joissa alaikäisten tiettyjen henkilökohtaisten sähköisten terveystietojen esittäminen heidän huoltajilleen voisi olla alaikäisen edun tai tahdon vastaista, jäsenvaltioiden olisi voitava säätää tähän liittyvistä rajoituksista ja suojatoimista sekä tarvittavasta teknisestä toteutuksesta kansallisessa lainsäädännössä. Henkilökohtaisten terveystietojen käyttöpalveluissa, kuten potilasportaaleissa tai mobiilisovelluksissa, olisi hyödynnettävä tällaisia lupia ja annettava siten valtuutetuille luonnollisille henkilöille pääsy luvan piiriin kuuluviin henkilökohtaisiin sähköisiin terveystietoihin, jotta niillä olisi toivottu vaikutus. Digitaaliset valtuutusratkaisut olisi yhdenmukaistettava Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014(9) ja eurooppalaisen digitaalisen identiteetin lompakon teknisten eritelmien kanssa, jotta voidaan saada aikaan entistä käyttäjäystävällisempi horisontaalinen ratkaisu. Tämän pitäisi osaltaan vähentää jäsenvaltioiden hallinnollista ja taloudellista rasitetta pienentämällä riskiä siitä, että kehitetään rinnakkaisia järjestelmiä, jotka eivät ole yhteentoimivia kaikkialla unionissa.

(15 d)   Joissakin jäsenvaltioissa terveydenhuoltoa tarjoavat perusterveydenhuollosta vastaavat ryhmät, toisin sanoen perusterveydenhuoltoon keskittyvien terveydenhuollon ammattihenkilöiden (yleislääkäreiden) ryhmät, jotka suorittavat perusterveydenhuollon tehtäviään laatimansa terveydenhuoltosuunnitelman perusteella. Monissa jäsenvaltioissa on myös muuntyyppisiä terveydenhuollon ryhmiä muita hoitotarkoituksia varten. Tällaisiin ryhmiin kuuluville terveydenhuollon ammattihenkilöille olisi annettava pääsy eurooppalaisessa terveystietoalueessa oleviin tietoihin terveystietojen ensisijaisen käytön puitteissa.

(16 b)   Asetuksen (EU) 2016/679 51 artiklan nojalla perustetut valvontaviranomaiset ovat toimivaltaisia seuraamaan ja valvomaan tämän asetuksen noudattamista, erityisesti seuraamaan henkilökohtaisten sähköisten terveystietojen käsittelyä ja käsittelemään luonnollisten henkilöiden mahdollisesti tekemiä valituksia. Eurooppalaisessa terveystietoalueessa vahvistetaan luonnollisille henkilöille ensisijaista käyttöä koskevia lisäoikeuksia, jotka ulottuvat asetuksessa (EU) 2016/679 vahvistettuja pääsyä ja siirrettävyyttä koskevia oikeuksia laajemmalle ja täydentävät näitä oikeuksia. Asetuksen (EU) 2016/679 51 artiklan nojalla perustettujen valvontaviranomaisten olisi valvottava myös näiden lisäoikeuksien toteutumista. Jäsenvaltioiden olisi varmistettava, että kyseisillä viranomaisilla on tämän lisätehtävän tehokkaaseen suorittamiseen tarvittavat taloudelliset ja henkilöresurssit, tilat ja infrastruktuuri. Sen yhden tai useamman valvontaviranomaisen, joka vastaa tämän asetuksen mukaisen ensisijaisessa käytössä suoritettavan henkilökohtaisten sähköisten terveystietojen käsittelyn seurannasta ja valvonnasta, olisi oltava toimivaltainen määräämään hallinnollisia seuraamusmaksuja. Tanskan oikeusjärjestelmä ei mahdollista tämän asetuksen mukaisia hallinnollisia seuraamusmaksuja. Hallinnollisia seuraamusmaksuja koskevia sääntöjä voidaan soveltaa niin, että Tanskassa seuraamusmaksun määräävät toimivaltaiset kansalliset tuomioistuimet rikosoikeudellisena seuraamuksena edellyttäen, että kyseisten sääntöjen tällaisella soveltamisella on vastaava vaikutus kuin valvontaviranomaisten määräämillä hallinnollisilla seuraamusmaksuilla. Määrättävien seuraamusmaksujen pitäisi joka tapauksessa olla tehokkaita, oikeasuhteisia ja varoittavia.

(16 c)   Jäsenvaltioiden olisi tätä asetusta soveltaessaan pyrittävä noudattamaan eettisiä periaatteita, kuten sähköisten terveyspalvelujen verkoston 26 päivänä tammikuuta 2022 hyväksymiä digitaalista terveydenhuoltoa koskevia eurooppalaisia eettisiä periaatteita ja terveydenhuollon ammattihenkilöiden ja potilaiden välisen suhteen luottamuksellisuuden periaatetta, ja niiden olisi otettava huomioon digitaalista terveydenhuoltoa koskevien eurooppalaisten eettisten periaatteiden tärkeys, sillä niissä annetaan ohjeita alan toimijoille, tutkijoille, innovoijille, päättäjille ja sääntelyviranomaisille.

(17)  Sähköisten terveystietojen eri luokkien merkitys eri terveydenhuoltoskenaarioissa vaihtelee. Eri luokkien standardoinnissa on myös edetty eri tasolle, minkä vuoksi niiden vaihtoon tarkoitettujen mekanismien käyttöönotto voi olla enemmän tai vähemmän monimutkaista luokasta riippuen. Sen vuoksi yhteentoimivuutta ja tietojen jakamista olisi parannettava asteittain, ja sähköisten terveystietojen luokat olisi laitettava tärkeysjärjestykseen. Sähköisten terveyspalvelujen verkosto on valinnut potilastietojen yhteenvedot, sähköiset reseptit ja lääketoimitukset, laboratoriotulokset ja -raportit, hoidon loppulausunnot sekä lääketieteelliset kuvat ja niitä koskevat lausunnot merkittävimmiksi sähköisten terveystietojen luokiksi useimpien terveydenhuoltotilanteiden kannalta, ja niitä olisi pidettävä prioriteettiluokkina, joihin pääsy ja joiden siirtäminen jäsenvaltioiden on toteutettava. Kun tällaiset tietojen prioriteettiluokat edustavat sähköisten terveystietojen ryhmiä, tätä asetusta olisi sovellettava paitsi ryhmiin kokonaisuudessaan myös niiden piiriin kuuluviin yksittäisiin tietoihin. Koska esimerkiksi rokotustiedot ovat osa potilastietojen yhteenvetoa, potilastietojen yhteenvetoon liittyviä oikeuksia ja vaatimuksia olisi sovellettava myös näihin yksittäisiin rokotustietoihin, vaikka niitä käsiteltäisiin erillään koko potilastietojen yhteenvedosta. Jos todetaan, että myös ▌sähköisten terveystietojen muiden luokkien vaihtaminen on tarpeen terveydenhuollon tarkoituksia varten, tässä asetuksessa olisi mahdollistettava pääsy näihin muihin luokkiin ja niiden vaihtaminen. Muut luokat olisi ensin otettava käyttöön jäsenvaltioiden tasolla ja niiden vaihto olisi mahdollistettava rajatylittävissä tilanteissa vapaaehtoisesti yhteistyötä tekevien jäsenvaltioiden välillä. Erityistä huomiota olisi kiinnitettävä tietojenvaihtoon naapurijäsenvaltioiden raja-alueilla, joilla rajatylittävien terveyspalvelujen tarjonta on yleisempää ja edellyttää vielä nopeampia menettelyjä kuin muualla unionissa yleisesti.

▌

(19)  Henkilökohtaisten terveystietojen ja geneettisten tietojen saatavuus sähköisessä muodossa vaihtelee jäsenvaltioittain. Eurooppalaisen terveystietoalueen on määrä parantaa luonnollisten henkilöiden mahdollisuutta saada kyseisiä tietoja sähköisessä muodossa ja hallita paremmin pääsyä henkilökohtaisiin sähköisiin terveystietoihinsa ja niiden jakamista. Tämä edistäisi myös toimintapoliittisessa ohjelmassa ”Digitaaliselle vuosikymmenelle” ilmoitettua tavoitetta, jonka mukaan 100 prosentilla unionin kansalaisista olisi oltava pääsy sähköisiin terveystietoihinsa vuoteen 2030 mennessä. Jotta sähköiset terveystiedot olisivat käytettävissä ja siirrettävissä, niihin olisi päästävä ja ne olisi siirrettävä yhteisessä, yhteentoimivassa eurooppalaisessa sähköisten terveystietojen vaihtoformaatissa ainakin tiettyjen sähköisten terveystietojen luokkien, kuten potilastietojen yhteenvetojen, sähköisten reseptien ja lääketoimitusten, lääketieteellisten kuvien ja niitä koskevien lausuntojen, laboratoriotulosten ja hoidon loppulausuntojen osalta siirtymäaikojen puitteissa. Jos luonnollinen henkilö asettaa terveydenhuollon tarjoajan tai apteekin saataville henkilökohtaisia sähköisiä terveystietoja tai jos toinen rekisterinpitäjä siirtää ne eurooppalaisessa sähköisten terveystietojen vaihtoformaatissa, kyseinen formaatti olisi hyväksyttävä ja vastaanottajan olisi voitava lukea data ja käyttää sitä terveydenhuollon tarjoamisessa tai lääkkeen toimittamisessa. Näin tuetaan terveydenhuoltopalvelujen tarjoamista tai lääkkeen toimittamista sähköisen reseptin perusteella. Formaatti olisi suunniteltava sellaiseksi, että siinä esitetyt sähköiset terveystiedot voidaan mahdollisuuksien mukaan kääntää unionin virallisille kielille. Komission suositus (EU) 2019/243(10) muodostaa perustan tällaiselle yhteiselle eurooppalaiselle sähköisten terveystietojen vaihtoformaatille. Eurooppalaisen terveystietoalueen yhteentoimivuuden olisi edistettävä eurooppalaisten terveystietoaineistojen korkeaa laatua. Eurooppalaisen sähköisten terveystietojen vaihtoformaatin käytöstä olisi tultava yleisempää EU:n ja jäsenvaltioiden tasolla. Komissiolle olisi siirrettävä valta laajentaa eurooppalaista sähköisten terveystietojen vaihtoformaattia täytäntöönpanosäädöksillä uusiin tietoluokkiin, joita halukkaat jäsenvaltiot käyttävät. Eurooppalaisessa sähköisten terveystietojen vaihtoformaatissa voi olla erilaisia profiileja, kun sitä käytetään sähköisissä potilaskertomusjärjestelmissä ja Minun terveyteni @ EU (MyHealth@EU) -infrastruktuurin kansallisissa yhteyspisteissä rajatylittävässä tietojenvaihdossa.

(20)  Vaikka sähköisiä potilaskertomusjärjestelmiä käytetään laajalti, terveystietojen digitalisoinnin taso vaihtelee jäsenvaltioittain riippuen tietoluokista ja niiden terveydenhuollon tarjoajien kattavuudesta, jotka rekisteröivät terveystietoja sähköisessä muodossa. Jotta voidaan tukea rekisteröityjen oikeutta päästä sähköisiin terveystietoihin ja vaihtaa niitä, tarvitaan unionin toimia, jotta vältetään hajanaisuuden lisääntyminen. Terveydenhuollon korkean laadun ja hoidon katkeamattomuuden edistämiseksi tietyt terveystietojen luokat olisi järjestelmällisesti rekisteröitävä sähköisessä muodossa ja erityisten datan laatua koskevien vaatimusten mukaisesti. Sähköisten terveystietojen rekisteröintiä ja vaihtoa koskevien eritelmien olisi pohjauduttava eurooppalaiseen sähköisten terveystietojen vaihtoformaattiin. Komissiolle olisi siirrettävä valta antaa täytäntöönpanosäädöksiä, joissa määritetään ▌datan laatuvaatimukset.

(21)  Terveydenhuollon etäpalveluista on tulossa yhä tärkeämpi väline, jonka avulla potilaat voivat saada hoitoa ja jolla voidaan puuttua epätasa-arvoon, ja niiden ansiosta on mahdollista vähentää terveyseroja ja vahvistaa unionin kansalaisten vapaata liikkuvuutta rajojen yli. Digitaaliset ja muut tekniset välineet voivat helpottaa hoidon tarjoamista syrjäisillä alueilla. Kun digitaaliset palvelut liittyvät fyysisesti annettaviin terveydenhuoltopalveluihin, ne olisi katsottava osaksi kokonaishoitoa. Euroopan unionin toiminnasta tehdyn sopimuksen 168 artiklan mukaan jäsenvaltiot vastaavat terveyspolitiikastaan ja erityisesti terveyspalvelujen ja sairaanhoidon järjestämisestä ja tarjoamisesta, mukaan lukien tarjoamiensa ja korvaamiensa toimintojen, kuten verkkoapteekkien, terveydenhuollon etäpalvelujen ja muiden palvelujen sääntely kansallisen lainsäädäntönsä mukaisesti. Erilaiset terveydenhuoltoa koskevat politiikat eivät kuitenkaan saisi muodostaa esteitä sähköisten terveystietojen vapaalle liikkuvuudelle rajatylittävässä terveydenhuollossa, mukaan lukien verkkoapteekkipalvelujen kaltaiset terveydenhuollon etäpalvelut.

(22)  Asetuksessa (EU) N:o 910/2014 vahvistetaan edellytykset, joiden mukaisesti jäsenvaltiot suorittavat luonnollisten henkilöiden tunnistamisen rajat ylittävissä tilanteissa käyttäen toisen jäsenvaltion myöntämiä sähköisiä tunnistamismenetelmiä, ja säännöt tällaisten sähköisen tunnistamisen menetelmien vastavuoroista tunnustamista varten. Eurooppalainen terveystietoalue edellyttää suojattua pääsyä sähköisiin terveystietoihin, ja tämä koskee myös rajat ylittäviä tilanteita. Luonnollisten henkilöiden oikeuksien olisi toteuduttava sähköisten terveystietojen käyttöpalveluissa ja terveydenhuollon etäpalveluissa riippumatta heidän vakuutusjäsenvaltiostaan, ja näiden palvelujen olisi sen vuoksi tuettava luonnollisten henkilöiden tunnistamista käyttäen mitä tahansa asetuksen (EU) N:o 910/2014 6 artiklan nojalla tunnustettua sähköisen tunnistamisen menetelmää. Koska henkilöllisyyden linkittämisessä voi ilmetä ongelmia rajatylittävissä tilanteissa, jäsenvaltioiden voi olla tarpeen myöntää täydentäviä tunnistevälineitä tai pääsykoodeja muista jäsenvaltioista tuleville luonnollisille henkilöille, jotka saavat hoitoa. Komissiolle olisi siirrettävä valta antaa täytäntöönpanosäädöksiä luonnollisten henkilöiden ja terveydenhuollon ammattihenkilöiden yhteentoimivien rajatylittävien tunnistus- ja todentamismekanismien vahvistamista varten, mukaan lukien mahdolliset täydentävät mekanismit, joita tarvitaan varmistamaan, että luonnolliset henkilöt voivat käyttää henkilökohtaisia sähköisiä terveystietoja koskevia oikeuksiaan rajatylittävissä tilanteissa.

(22 a)   Jäsenvaltioiden olisi perustettava tarvittavat digitaalisesta terveydenhuollosta vastaavat viranomaiset, jotka suunnittelevat ja panevat täytäntöön standardeja, jotka koskevat pääsyä sähköisiin terveystietoihin ja niiden siirtoa sekä luonnollisten henkilöiden ja terveydenhuollon ammattihenkilöiden oikeuksien toteutumisen valvontaa, joko erillisiksi organisaatioiksi tai osaksi olemassa olevia viranomaisia. Digitaalisesta terveydenhuollosta vastaavan viranomaisen henkilöstöllä ei saisi olla sellaisia toimialoihin tai taloudelliseen toimintaan liittyviä taloudellisia tai muita sidonnaisuuksia, jotka saattaisivat vaikuttaa heidän puolueettomuuteensa. Lisäksi jäsenvaltioiden olisi helpotettava kansallisten toimijoiden osallistumista unionin tason yhteistyöhön, kanavoitava asiantuntemusta ja annettava neuvontaa sellaisten ratkaisujen suunnittelussa, jotka ovat tarpeen eurooppalaisen terveystietoalueen tavoitteiden saavuttamiseksi. Useimmissa jäsenvaltioissa on digitaalisesta terveydenhuollosta vastaavia viranomaisia, jotka käsittelevät sähköisiä potilaskertomuksia, yhteentoimivuutta, turvallisuutta tai standardointia. Tehtäviään hoitaessaan digitaalisesta terveydenhuollosta vastaavien viranomaisten olisi tehtävä yhteistyötä erityisesti asetuksen (EU) 2016/679 nojalla perustettujen valvontaviranomaisten ja asetuksen (EU) N:o 910/2014 nojalla perustettujen valvontaelinten kanssa. Ne voivat tehdä yhteistyötä myös [tekoälysäädöksen 2021/0106(COD)] mukaisen Euroopan tekoälyneuvoston, Euroopan parlamentin ja neuvoston asetuksen (EU) 2017/745(11) mukaisen lääkinnällisten laitteiden koordinointiryhmän, Euroopan parlamentin ja neuvoston asetuksen (EU) 2022/868(12) mukaisen Euroopan datainnovaatiolautakunnan ja Euroopan parlamentin ja neuvoston asetuksen (EU) 2023/2854(13) mukaisten toimivaltaisten viranomaisten kanssa.

(22 b)   Jokaisella luonnollisella henkilöllä tai oikeushenkilöllä olisi oltava oikeus tehokkaisiin oikeussuojakeinoihin itseään koskevaa digitaalisesta terveydenhuollosta vastaavan viranomaisen oikeudellisesti sitovaa päätöstä vastaan, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai tuomioistuinten ulkopuolisia oikeussuojakeinoja. Jokaisella luonnollisella henkilöllä tai oikeushenkilöllä olisi oltava oikeus tehokkaisiin oikeussuojakeinoihin, jos digitaalisesta terveydenhuollosta vastaava viranomainen ei käsittele valitusta tai ei ilmoita luonnolliselle henkilölle tai oikeushenkilölle kolmen kuukauden kuluessa valituksen etenemisestä tai tuloksesta, sanotun kuitenkaan rajoittamatta mahdollisia muita hallinnollisia muutoksenhakukeinoja tai tuomioistuinten ulkopuolisia oikeussuojakeinoja. Kanne digitaalisesta terveydenhuollosta vastaavaa viranomaista vastaan olisi nostettava niiden jäsenvaltioiden tuomioistuimissa, joihin digitaalisesta terveydenhuollosta vastaava viranomainen on sijoittautunut.

(23)  Digitaalisesta terveydenhuollosta vastaavilla viranomaisilla olisi oltava riittävät tekniset taidot, ja niihin voitaisiin koota yhteen asiantuntijoita eri organisaatioista. Digitaalisesta terveydenhuollosta vastaavien viranomaisten toimet olisi suunniteltava hyvin ja niitä olisi seurattava niiden tehokkuuden varmistamiseksi. Digitaalisesta terveydenhuollosta vastaavien viranomaisten olisi toteutettava tarvittavat toimenpiteet luonnollisten henkilöiden oikeuksien varmistamiseksi ja kehitettävä sitä varten kansallisia, alueellisia ja paikallisia teknisiä ratkaisuja, kuten kansallisia sähköisten potilaskertomusten välitysratkaisuja ja potilasportaaleja. Tässä yhteydessä niiden olisi sovellettava ratkaisuissaan yhteisiä standardeja ja eritelmiä, edistettävä standardien ja eritelmien soveltamista hankinnoissa ja käytettävä muita innovatiivisia keinoja, mukaan lukien korvauksen maksaminen ratkaisuista, jotka ovat eurooppalaista terveystietoaluetta koskevien yhteentoimivuus- ja turvallisuusvaatimusten mukaisia. Jäsenvaltioiden olisi varmistettava asianmukaisten koulutusaloitteiden toteuttaminen. Erityisesti terveydenhuollon ammattihenkilöille olisi tiedotettava ja tarjottava koulutusta heillä tämän asetuksen nojalla olevista oikeuksista ja velvollisuuksista. Tehtäviensä suorittamiseksi digitaalisesta terveydenhuollosta vastaavien viranomaisten olisi tehtävä yhteistyötä kansallisella ja unionin tasolla muiden toimijoiden kanssa, mukaan lukien vakuutuslaitokset, terveydenhuollon tarjoajat, terveydenhuollon ammattihenkilöt, sähköisten potilaskertomusjärjestelmien ja hyvinvointisovellusten valmistajat, muut terveys- tai tietotekniikka-alan sidosryhmät, korvausjärjestelmiä käsittelevät tahot, terveysteknologian arviointielimet, lääkesääntelyviranomaiset ja lääkevirastot, lääkinnällisistä laitteista vastaavat viranomaiset ja virastot, hankintayksiköt sekä kyberturvallisuudesta tai sähköisestä tunnistamisesta vastaavat viranomaiset.

(24)  Sähköisiin terveystietoihin pääsyllä ja niiden siirtämisellä on merkitystä rajatylittävissä terveydenhuoltotilanteissa, koska se voi tukea hoidon katkeamattomuutta luonnollisten henkilöiden matkustaessa toisiin jäsenvaltioihin tai vaihtaessa asuinpaikkaansa. Hoidon katkeamattomuus ja henkilökohtaisten sähköisten terveystietojen nopea saatavuus ovat vieläkin tärkeämpiä raja-alueiden asukkaille, jotka liikkuvat usein rajan yli saamaan terveydenhoitoa. Monilla raja-alueilla jotkin erikoistuneet terveydenhuoltopalvelut voivat olla saatavilla rajan toisella puolella lähempänä kuin samassa jäsenvaltiossa. Tarvitaan infrastruktuuri henkilökohtaisten sähköisten terveystietojen siirtämiseen rajojen yli tilanteissa, joissa luonnollinen henkilö käyttää toiseen jäsenvaltioon sijoittautuneen terveydenhuollon tarjoajan palveluja. Olisi harkittava infrastruktuurin asteittaista laajentamista ja sen rahoituksen asteittaista lisäämistä. Tätä tarkoitusta varten on perustettu vapaaehtoinen Minun terveyteni @ EU (MyHealth@EU) -infrastruktuuri, joka on osa Euroopan parlamentin ja neuvoston direktiivin 2011/24/EU(14) 14 artiklassa säädettyjä toimia. Jäsenvaltiot ovat alkaneet tarjota Minun terveyteni @ EU (MyHealth@EU) -infrastruktuurin kautta luonnollisille henkilöille mahdollisuutta jakaa henkilökohtaisia sähköisiä terveystietojaan terveydenhuollon tarjoajien kanssa, kun he matkustavat ulkomailla. Näiden kokemusten pohjalta jäsenvaltioiden osallistumisen tällä asetuksella perustettuun digitaaliseen Minun terveyteni @ EU (MyHealth@EU) ‑infrastruktuuriin olisi oltava pakollista. Minun terveyteni @ EU (MyHealth@EU) ‑infrastruktuurin teknisten eritelmien olisi mahdollistettava sähköisten terveystietojen prioriteettiluokkien sekä muiden eurooppalaisen sähköisten terveystietojen vaihtoformaatin tukemien sähköisten terveystietojen vaihto. Nämä eritelmät olisi määriteltävä täytäntöönpanosäädöksillä ja niiden olisi perustuttava eurooppalaisen sähköisten terveystietojen vaihtoformaatin rajatylittäviin eritelmiin täydennettynä muilla eritelmillä, jotka koskevat kyberturvallisuutta, teknistä ja semanttista yhteentoimivuutta, toimintaa ja palvelujen hallintaa. Tässä asetuksessa olisi velvoitettava jäsenvaltiot liittymään infrastruktuuriin, noudattamaan Minun terveyteni @ EU (MyHealth@EU) ‑infrastruktuurin teknisiä eritelmiä ja liittämään siihen terveydenhuollon tarjoajat, mukaan lukien apteekit, koska se on välttämätöntä, jotta voidaan panna täytäntöön tässä asetuksessa vahvistettu luonnollisten henkilöiden oikeus päästä henkilökohtaisiin sähköisiin terveystietoihinsa ja hyödyntää niitä jäsenvaltiosta riippumatta. ▌

(25)  Minun terveyteni @ EU (MyHealth@EU) -infrastruktuuri tarjoaa jäsenvaltioille yhteisen perusrakenteen, jotta yhteenliitettävyys ja yhteentoimivuus voidaan varmistaa tehokkaasti ja turvatusti rajatylittävän terveydenhuollon tukemiseksi ilman, että vaikutetaan jäsenvaltioiden velvollisuuksiin ennen henkilökohtaisten sähköisten terveystietojen siirtämistä tämän infrastruktuurin kautta ja sen jälkeen. Jäsenvaltiot ovat vastuussa kansallisten yhteyspisteidensä järjestämisestä ja terveydenhuollon tarjoamista varten suoritettavasta [henkilötietojen käsittelystä] ennen tietojen siirtämistä tämän infrastruktuurin kautta ja sen jälkeen. Komission olisi vaatimustenmukaisuustarkastusten avulla seurattava sitä, noudattavatko kansalliset yhteyspisteet tarvittavia vaatimuksia. Kansallisen yhteyspisteen vakavan vaatimustenvastaisuuden tapauksessa komission olisi voitava keskeyttää kyseisen kansallisen yhteyspisteen tarjoamat palvelut, joita vaatimustenvastaisuus koskee. Komission olisi toimittava henkilötietojen käsittelijänä jäsenvaltioiden puolesta tässä infrastruktuurissa, ja sen olisi tarjottava keskuspalveluja sitä varten. Tietosuojasääntöjen noudattamisen varmistamiseksi ja riskinhallintakehyksen luomiseksi henkilökohtaisten sähköisten terveystietojen siirtämistä varten täytäntöönpanosäädöksillä olisi säädettävä yksityiskohtaisesti jäsenvaltioiden erityisistä vastuualueista niiden toimiessa yhteisrekisterinpitäjinä ja komission velvollisuuksista sen toimiessa henkilötietojen käsittelijänä niiden puolesta. Kukin jäsenvaltio on yksin vastuussa datasta ja palveluista jäsenvaltiossa. Tämä asetus tarjoaa oikeusperustan tässä infrastruktuurissa tapahtuvalle henkilökohtaisten sähköisten terveystietojen käsittelylle, sillä kyseessä on asetuksen (EU) 2016/679 6 artiklan 1 kohdan e alakohdassa tarkoitettu unionin oikeudessa annettu yleistä etua koskeva tehtävä. Tämä käsittely on tarpeen kyseisen asetuksen 9 artiklan 2 kohdan h alakohdassa mainitun terveydenhuollon tarjoamista varten rajatylittävissä tilanteissa.

(26)  Henkilökohtaisten sähköisten terveystietojen vaihtoon eurooppalaisessa sähköisten terveystietojen vaihtoformaatissa tarkoitettujen Minun terveyteni @ EU (MyHealth@EU) ‑infrastruktuurin palvelujen lisäksi saatetaan tarvita muita palveluja tai täydentäviä infrastruktuureja esimerkiksi kansanterveydellisissä hätätilanteissa tai tapauksissa, joissa Minun terveyteni @ EU (MyHealth@EU) -infrastruktuurin rakenne ei sovellu joihinkin käyttötapauksiin. Esimerkkejä tällaisista käyttötapauksista ovat rokotuskortin toimintojen tukeminen, mukaan lukien rokotussuunnitelmia koskevien tietojen vaihto, tai rokotustodistusten tai muiden terveyteen liittyvien todistusten todentaminen. Tämä olisi tärkeää myös, jotta voidaan ottaa käyttöön kansanterveyskriisien käsittelyyn liittyviä lisätoimintoja, kuten tuki kontaktien jäljittämiseen tartuntatautien leviämisen hillitsemiseksi. Minun terveyteni @ EU (MyHealth@EU) -infrastruktuurin olisi tuettava henkilökohtaisten sähköisten terveystietojen vaihtoa asiaankuuluvien kolmansien maiden yhteyspisteiden ja kansainvälisten järjestöjen kanssa hoidon katkeamattomuuden tukemiseksi. Tämä on erityisen tärkeää kolmansien naapurimaiden rajojen yli liikkuvan väestön, ehdokasmaiden sekä merentakaisten maiden ja alueiden assosiaation kannalta. Tällaisten kolmansien maiden kansallisten digitaalisen terveydenhuollon yhteyspisteiden kyseiseen infrastruktuuriin liittämisen tai kansainvälisellä tasolla perustettujen digitaalisten järjestelmien yhteentoimivuuden edellytyksenä olisi oltava tarkastuksen suorittaminen sen varmistamiseksi, että asianomainen ▌yhteyspiste on Minun terveyteni @ EU (MyHealth@EU) -infrastruktuuria koskevien teknisten eritelmien, tietosuojasääntöjen ja muiden vaatimusten mukainen. Lisäksi kun otetaan huomioon, että liittyminen Minun terveyteni @ EU (MyHealth@EU) -infrastruktuuriin merkitsee henkilökohtaisten sähköisten terveystietojen siirtämistä kolmansiin maihin, kuten potilastietojen yhteenvedon jakamista potilaan hakeutuessa hoitoon kyseisessä kolmannessa maassa, käytössä on oltava asianmukaiset asetuksen (EU) 2016/679 V luvun mukaiset tiedonsiirtovälineet. Komissiolle olisi siirrettävä valta antaa täytäntöönpanosäädöksiä tällaisten kolmansien maiden ja kansainvälisten järjestöjen liittämiseksi Minun terveyteni @ EU (MyHealth@EU) -infrastruktuuriin. Näiden täytäntöönpanosäädösten valmistelussa olisi otettava huomioon jäsenvaltioiden kansalliset turvallisuusintressit.

(27)  Jotta voidaan mahdollistaa sähköisten terveystietojen saumaton vaihto ja varmistaa luonnollisten henkilöiden ja terveydenhuollon ammattihenkilöiden oikeuksien kunnioittaminen, unionin sisämarkkinoilla kaupan pidettäviin sähköisiin potilaskertomusjärjestelmiin olisi voitava tallentaa ja niiden avulla olisi voitava siirtää korkealaatuisia sähköisiä terveystietoja turvatusti. Yksi eurooppalaisen terveystietoalueen keskeisistä tavoitteista on varmistaa sähköisten terveystietojen suojattu ja vapaa liikkuvuus kaikkialla unionissa. Sitä varten olisi otettava käyttöön pakollinen vaatimustenmukaisuuden itsearviointijärjestelmä sellaisia sähköisiä potilaskertomusjärjestelmiä varten, joissa käsitellään yhtä tai useampaa sähköisten terveystietojen prioriteettiluokkaa, jotta voidaan torjua markkinoiden hajanaisuutta ja varmistaa oikeasuhteinen lähestymistapa. Tämän itsearvioinnin avulla sähköiset potilaskertomusjärjestelmät osoittavat täyttävänsä henkilökohtaisten sähköisten terveystietojen ilmoittamista koskevat yhteentoimivuus-, turvallisuus- ja lokikirjausvaatimukset, jotka on vahvistettu tässä asetuksessa yhdenmukaistetuilla kahdella pakollisella sähköisen potilaskertomuksen komponentilla eli sähköisten potilaskertomusjärjestelmien eurooppalaisella yhteentoimivuuskomponentilla ja sähköisten potilaskertomusjärjestelmien eurooppalaisella lokikomponentilla. Nämä kaksi komponenttia keskittyvät tiedon muuntamiseen, vaikka ne saattavat aiheuttaa tietojen kirjaamista ja esittämistä sähköisissä potilaskertomusjärjestelmissä koskevia epäsuoria vaatimuksia. ’Sähköisten potilaskertomusjärjestelmien eurooppalaisen yhteentoimivuuskomponentin’ ja ’sähköisten potilaskertomusjärjestelmien eurooppalaisen lokikomponentin’ tekniset eritelmät olisi määriteltävä täytäntöönpanosäädöksillä ja niiden olisi perustuttava eurooppalaisen sähköisten terveystietojen vaihtoformaatin käyttöön. Komponentit olisi suunniteltava uudelleenkäytettäviksi ja sellaisiksi, että ne voidaan integroida saumattomasti muihin komponentteihin suuremmassa ohjelmistojärjestelmässä. Kyseisten vaatimusten olisi näiden komponenttien turvallisuuden osalta katettava erityisesti sähköisille potilaskertomusjärjestelmille ominaisia tekijöitä, sillä yleisluontoisempia turvallisuusominaisuuksia olisi tuettava muilla mekanismeilla, kuten Euroopan parlamentin ja neuvoston asetuksella 2024/...(15) [kyberresilienssisäädös (2022/0272(COD)]. Tämän prosessin tueksi olisi perustettava eurooppalaisia digitaalisia testausympäristöjä, joiden avulla voidaan testata automatisoidusti, toimivatko sähköisen potilaskertomusjärjestelmän yhdenmukaistetut komponentit tämän asetuksen III luvussa vahvistettujen vaatimusten mukaisesti. Tätä varten komissiolle olisi siirrettävä täytäntöönpanovaltaa määrittää tätä ympäristöä koskevat yhteiset eritelmät. Komission olisi kehitettävä testausympäristössä tarvittavat ohjelmistot ja asetettava ne saataville avoimen lähdekoodin ohjelmistoina. Jäsenvaltioiden olisi ylläpidettävä testausympäristöjä, sillä ne ovat lähempänä valmistajia ja pystyvät paremmin tukemaan niitä. Valmistajien olisi käytettävä näitä ympäristöjä tuotteidensa testaamiseen ennen niiden saattamista markkinoille siten, ja niiden olisi edelleen oltava täysin vastuussa tuotteidensa vaatimustenmukaisuudesta. Testauksen tulokset olisi sisällytettävä tuotteen tekniseen dokumentaatioon. Jos sähköinen potilaskertomusjärjestelmä tai jokin sen osa on eurooppalaisten standardien tai yhteisten eritelmien mukainen, teknisessä dokumentaatiossa olisi annettava myös luettelo asiaankuuluvista eurooppalaisista standardeista ja yhteisistä eritelmistä. Vertailukelpoisuuden edistämiseksi komission olisi laadittava yhdenmukainen malli tekniselle dokumentaatiolle.

(27 a)   Sähköisten potilaskertomusjärjestelmien mukana olisi oltava tietolomake, jolla annetaan tietoja järjestelmän ammattikäyttäjille. Jos sähköisen potilaskertomusjärjestelmän mukana ei ole tällaista tietolomaketta eikä selkeitä ja kattavia käyttöohjeita vammaisille henkilöille saavutettavissa muodoissa, asianomaisen sähköisen potilaskertomusjärjestelmän valmistajan, sen valtuutetun edustajan ja kaikkien muiden asiaankuuluvien talouden toimijoiden olisi lisättävä sähköiseen potilaskertomusjärjestelmään kyseinen tietolomake ja kyseiset käyttöohjeet.

(28)  Sähköisten potilaskertomusjärjestelmien, jotka valmistaja on nimenomaan tarkoittanut käytettäväksi sähköisten terveystietojen tietyn yhden tai useamman luokan käsittelyyn, olisi kuuluttava pakollisen itse suoritettavan sertifioinnin piiriin, mutta yleiskäyttöisiä ohjelmistoja ei pitäisi katsoa sähköisiksi potilaskertomusjärjestelmiksi edes silloin, kun niitä käytetään terveydenhuoltoympäristössä, eikä niiltä näin ollen pitäisi edellyttää III luvun säännösten mukaisuutta. Tällaisia ovat esimerkiksi tekstinkäsittelyohjelmistot, joita käytetään kirjoitettaessa sähköisiin potilaskertomuksiin liitettäviä lausuntoja, yleiskäyttöiset väliohjelmistot taikka tietokannanhallintaohjelmistot, joita käytetään osana tietojen säilyttämisratkaisuja.

(28 a)   Tässä asetuksessa säädetään pakollisesta vaatimustenmukaisuuden itsearviointijärjestelmästä sähköisten potilaskertomusjärjestelmien kahdelle pakolliselle sähköisen potilaskertomuksen komponentille, jotta varmistetaan, että unionin markkinoille saatetut sähköiset potilaskertomusjärjestelmät voivat vaihtaa tietoja eurooppalaisen sähköisten terveystietojen vaihtoformaatissa ja että niillä on vaaditut lokikirjausvalmiudet. Valmistajan vaatimustenmukaisuusvakuutus on perusteltu, sillä sen avulla varmistetaan näiden vaatimusten täyttyminen oikeasuhteisesti aiheuttamatta kohtuutonta rasitetta jäsenvaltioille ja valmistajille.

(28 a a)   Jäsenvaltioiden olisi nykyisiä mekanismeja hyödyntämällä varmistettava CE-merkintää koskevan järjestelmän moitteeton soveltaminen ja toteutettava tarkoituksenmukaiset toimet, jos tätä merkintää käytetään sääntöjenvastaisesti. Kun sähköiseen potilaskertomusjärjestelmään sovelletaan sellaisten näkökohtien osalta, joista ei säädetä tässä asetuksessa, muuta unionin lainsäädäntöä, jossa myös edellytetään CE-merkinnän kiinnittämistä, CE-merkinnässä olisi mainittava, että järjestelmä täyttää myös kyseisen muun lainsäädännön vaatimukset.

(28 b)   Jäsenvaltioilla olisi edelleen oltava toimivalta määritellä sähköisten potilaskertomusjärjestelmien muihin komponentteihin liittyvät vaatimukset sekä ehdot, jotka koskevat terveydenhuollon tarjoajien liittämistä omiin kansallisiin infrastruktuureihinsa, ja niille voidaan tehdä kolmannen osapuolen suorittama arviointi kansallisella tasolla. Sähköisten potilaskertomusjärjestelmien, digitaalisten terveystuotteiden ja niihin liittyvien palvelujen sisämarkkinoiden moitteettoman toiminnan edistämiseksi olisi varmistettava mahdollisimman suuri avoimuus niiden kansallisten säädösten ja säännösten osalta, joissa vahvistetaan sähköisiä potilaskertomusjärjestelmiä koskevat vaatimukset ja säädetään niiden vaatimustenmukaisuuden arvioinnista muiden kuin tämän asetuksen mukaisten sähköisten potilaskertomusjärjestelmien yhdenmukaistettujen komponenttien osalta. Jäsenvaltioiden olisi ilmoitettava näistä kansallisista vaatimuksista komissiolle, jotta sillä on tarvittavat tiedot voidakseen varmistaa, etteivät ne estä tai haittaa sähköisten potilaskertomusjärjestelmien yhdenmukaistettujen komponenttien toimintaa.

(29)  Tiettyjä sähköisten potilaskertomusjärjestelmien komponentteja voitaisiin pitää asetuksessa (EU) 2017/745 tarkoitettuina lääkinnällisinä laitteina tai Euroopan parlamentin ja neuvoston asetuksessa (EU) 2017/746(16) tarkoitettuina in vitro ‑diagnostiikkaan tarkoitettuina lääkinnällisinä laitteina. Ohjelmistot tai ohjelmistomoduulit, jotka kuuluvat lääkinnällisen laitteen, in vitro -diagnostiikkaan tarkoitetun laitteen tai suuririskisen tekoälyjärjestelmän määritelmään, olisi sertifioitava tapauksen mukaan joko Euroopan parlamentin ja neuvoston asetuksen (EU) 2017/745, asetuksen (EU) 2017/746 tai asetuksen [...] [tekoälysäädös 2021/0106(COD)] mukaisesti. Vaikka näiden tuotteiden on täytettävä kunkin sovellettavan asetuksen vaatimukset, jäsenvaltioiden olisi varmistettava asianmukaisin toimenpitein, että niissä säädetyt vaatimustenmukaisuuden arvioinnit suoritetaan tapauksen mukaan yhdessä tai koordinoituna menettelynä, jotta voidaan rajoittaa valmistajiin ja talouden toimijoihin kohdistuvaa hallinnollista rasitetta. Tämän asetuksen mukaisia yhteentoimivuutta koskevia olennaisia vaatimuksia olisi sovellettava vain siltä osin kuin sellaisen lääkinnällisen laitteen, in vitro -diagnostiikkaan tarkoitetun laitteen tai suuririskisen tekoälyjärjestelmän valmistaja, josta saadaan sähköisiä terveystietoja käsiteltäväksi sähköisessä potilaskertomusjärjestelmässä, ilmoittaa laitteensa tai järjestelmänsä olevan yhteentoimiva tällaisen sähköisen potilaskertomusjärjestelmän kanssa. Tällaisissa tapauksissa kyseisiin lääkinnällisiin laitteisiin, in vitro -diagnostiikkaan tarkoitettuihin laitteisiin ja suuririskisiin tekoälyjärjestelmiin olisi sovellettava sähköisten potilaskertomusjärjestelmien yhteisiä eritelmiä koskevia säännöksiä.

(30)  Jotta yhteentoimivuus ja turvallisuus voitaisiin varmistaa vieläkin paremmin, jäsenvaltiot voivat pitää voimassa tai määritellä kansallisella tasolla sääntöjä, jotka koskevat sähköisten potilaskertomusjärjestelmien hankintaa, korvaamista, rahoittamista tai käyttöä, terveydenhuoltopalvelujen järjestämisen, suorittamisen tai rahoittamisen yhteydessä. Tällaiset erityiset säännöt eivät saisi estää sähköisten potilaskertomusjärjestelmien vapaata liikkuvuutta unionissa. Jotkin jäsenvaltiot ovat ottaneet käyttöön sähköisten potilaskertomusjärjestelmien pakollisen sertifioinnin tai yhteentoimivuuden pakollisen testauksen edellytykseksi sille, että ne voidaan liittää kansallisiin digitaalisiin terveyspalveluihin. Tällaiset vaatimukset otetaan yleisesti huomioon terveydenhuollon tarjoajien sekä kansallisten tai alueellisten viranomaisten järjestämissä hankinnoissa. Sähköisten potilaskertomusjärjestelmien pakollisella unionin tason sertifioinnilla on tarkoitus vakiinnuttaa perustaso, jota voidaan käyttää kansallisen tason hankinnoissa.

(31)  Sen takaamiseksi, että potilaat pystyvät käyttämään tehokkaasti tämän asetuksen mukaisia oikeuksiaan, myös niiden terveydenhuollon tarjoajien, jotka kehittävät oman sähköisen potilaskertomusjärjestelmän ja käyttävät sitä sisäisten toimintojensa suorittamiseen mutta eivät saata sitä markkinoille maksua tai korvausta vastaan, olisi noudatettava tätä asetusta. Tällaisissa tapauksissa kyseisten terveydenhuollon tarjoajien olisi noudatettava kaikkia valmistajiin sovellettavia vaatimuksia tällaisten itse kehitettyjen järjestelmien osalta, jotka ne ottavat käyttöön. Nämä terveydenhuollon tarjoajat saattavat kuitenkin tarvita lisäaikaa valmistautumiseen. Tästä syystä näitä vaatimuksia olisi sovellettava tällaisiin järjestelmiin vasta pidennetyn siirtymäajan jälkeen.

(32)  On tarpeen säätää selkeästä ja oikeasuhteisesta velvollisuuksien jakautumisesta, joka vastaa kunkin toimijan tehtävää sähköisten potilaskertomusjärjestelmien toimitus- ja jakeluprosessissa. Talouden toimijoiden olisi oltava vastuussa vaatimusten noudattamisesta omien tehtäviensä osalta näissä prosessissa, ja niiden olisi varmistettava, että ne asettavat markkinoilla saataville ainoastaan sellaisia sähköisiä potilaskertomusjärjestelmiä, jotka täyttävät asiaankuuluvat vaatimukset.

(33)  Sähköisten potilaskertomusjärjestelmien valmistajien olisi osoitettava yhteentoimivuutta ja turvallisuutta koskevien olennaisten vaatimusten täyttyminen toteuttamalla yhteiset eritelmät. Tätä varten komissiolle olisi siirrettävä täytäntöönpanovaltaa määrittää yhteiset eritelmät, jotka koskevat tietoaineistoja, koodausjärjestelmiä, teknisiä eritelmiä, mukaan lukien tiedonvaihtoa koskevat standardit, eritelmät ja profiilit, sekä turvallisuutta, luottamuksellisuutta, eheyttä, potilasturvallisuutta ja henkilötietojen suojaa koskevat vaatimukset ja periaatteet sekä tunnistamisen hallintaan ja sähköisen tunnistamisen käyttöön liittyvät eritelmät ja vaatimukset. Digitaalisesta terveydenhuollosta vastaavien viranomaisten olisi osallistuttava tällaisten yhteisten eritelmien laatimiseen. Näiden yhteisten eritelmien olisi soveltuvin osin perustuttava sähköisten potilaskertomusjärjestelmien yhdenmukaistettuja komponentteja koskeviin olemassa oleviin yhdenmukaistettuihin standardeihin ja oltava alakohtaisen lainsäädännön mukaisia. Silloin kun yhteiset eritelmät ovat erityisen merkittäviä sähköisten potilaskertomusjärjestelmien tietosuojavaatimusten kannalta, niistä olisi kuultava Euroopan tietosuojaneuvostoa ja Euroopan tietosuojavaltuutettua asetuksen (EU) 2018/1725 42 artiklan 2 kohdan mukaisesti ennen niiden hyväksymistä.

(34)  Jotta voidaan varmistaa tämän asetuksen III luvussa vahvistettujen vaatimusten ja velvollisuuksien asianmukainen ja tehokas täytäntöönpano, olisi sovellettava Euroopan parlamentin ja neuvoston asetuksella (EU) 2019/1020(17) perustettua markkinavalvontaa ja tuotteiden vaatimustenmukaisuutta koskevaa järjestelmää. Kansallisella tasolla määritellystä organisaatiosta riippuen tällaisia markkinavalvontatoimia voisivat toteuttaa digitaalisesta terveydenhuollosta vastaavat viranomaiset, jotka varmistavat II luvun asianmukaisen täytäntöönpanon, tai sähköisistä potilaskertomusjärjestelmistä vastaava erillinen markkinavalvontaviranomainen. Digitaalisesta terveydenhuollosta vastaavien viranomaisten nimeämisellä markkinavalvontaviranomaisiksi voisi olla merkittäviä käytännön etuja terveydenhuollon ja hoivan toteuttamisen kannalta, mutta eturistiriidat olisi vältettävä esimerkiksi erottamalla toisistaan erilaiset tehtävät.

(34 a a)   Markkinavalvontaviranomaisten henkilöstön jäsenillä ei saisi olla suoria tai välillisiä taloudellisia tai henkilökohtaisia eturistiriitoja, joiden voitaisiin katsoa heikentävän heidän riippumattomuuttaan, eivätkä he etenkään saisi olla tilanteessa, joka voi suoraan tai välillisesti vaikuttaa heidän ammatillisen toimintansa puolueettomuuteen. Jäsenvaltioiden olisi määritettävä ja julkaistava markkinavalvontaviranomaisten valintamenettely. Niiden olisi varmistettava, että menettely on avoin ja että siinä suljetaan pois eturistiriitojen mahdollisuus.

(35)  Hyvinvointisovellusten, esimerkiksi mobiilisovellusten, käyttäjille olisi tiedotettava, jos tällaiset sovellukset on mahdollista yhdistää sähköisiin potilaskertomusjärjestelmiin tai kansallisiin sähköisiin terveysratkaisuihin ja jos niistä voidaan siirtää tietoja tällaisiin järjestelmiin tapauksissa, joissa hyvinvointisovellusten tuottamat tiedot ovat hyödyllisiä terveydenhuollon kannalta. Näiden sovellusten kyky siirtää tietoja yhteentoimivassa muodossa on merkityksellistä myös tietojen siirrettävyyden kannalta. Käyttäjille olisi tarvittaessa tiedotettava siitä, että tällaiset sovellukset ovat yhteentoimivuus- ja turvallisuusvaatimusten mukaisia. Kun kuitenkin otetaan huomioon hyvinvointisovellusten suuri määrä ja monien niistä tuottaman datan vähäinen merkitys terveydenhuollon kannalta, sertifiointijärjestelmän vahvistaminen näille sovelluksille ei olisi oikeasuhteista. Sen vuoksi hyvinvointisovelluksille, joiden ilmoitetaan olevan yhteentoimivia sähköisten potilaskertomusjärjestelmien kanssa, olisi perustettava pakollisen merkitsemisen järjestelmä asianmukaiseksi mekanismiksi, jonka avulla tieto vaatimusten noudattamisesta tehdään läpinäkyväksi hyvinvointisovellusten käyttäjille, mikä auttaa heitä valitsemaan sopivia hyvinvointisovelluksia, jotka täyttävät korkeat yhteentoimivuus- ja turvallisuusvaatimukset. Komission olisi määritettävä merkin muoto ja sisältö tarkemmin täytäntöönpanosäädöksillä.

(35 a)   Jäsenvaltioiden olisi edelleen voitava vapaasti säännellä 31 artiklassa tarkoitettujen hyvinvointisovellusten muita näkökohtia edellyttäen, että tällaiset säännöt ovat unionin oikeuden mukaisia.

(36)  Sertifioiduista sähköisistä potilaskertomusjärjestelmistä ja merkillä varustetuista hyvinvointisovelluksista on tarpeen jakaa tietoa, jotta tällaisten tuotteiden hankkijat ja käyttäjät voivat löytää omia tarpeitaan vastaavia yhteentoimivia ratkaisuja. Sen vuoksi asetusten (EU) 2017/745 ja [...] [tekoälysäädös 2021/0106(COD)] soveltamisalaan kuulumattomia yhteentoimivia sähköisiä potilaskertomusjärjestelmiä ja hyvinvointisovelluksia varten olisi perustettava unionin tason tietokanta, joka on vastaava kuin asetuksella (EU) 2017/745 perustettu eurooppalainen lääkinnällisten laitteiden tietokanta (Eudamed). Yhteentoimivia sähköisiä potilaskertomusjärjestelmiä ja hyvinvointisovelluksia koskevan EU:n tietokannan tavoitteena olisi oltava yleisen läpinäkyvyyden lisääminen, moninkertaisten raportointivaatimusten välttäminen sekä tiedonkulun sujuvoittaminen ja helpottaminen. Lääkinnällisten laitteiden ja tekoälyjärjestelmien rekisteröinti olisi edelleen tehtävä asetuksilla (EU) 2017/745 ja [...] [tekoälysäädös 2021/0106(COD)] perustetuissa nykyisissä tietokannoissa, mutta jos laitteiden tai järjestelmien valmistajat ilmoittavat yhteentoimivuusvaatimusten täyttyvän, se olisi tuotava esiin, jotta hankintayksiköt saavat asiasta tiedon.

(37)  Tämän asetuksen tarkoituksena on luoda yhteinen mekanismi sähköisiin terveystietoihin pääsemiseksi toissijaista käyttöä varten kaikkialla unionissa rajoittamatta tai korvaamatta käytössä olevia sopimusperusteisia tai muita mekanismeja. Tässä mekanismissa datan haltijoiden olisi asetettava hallussaan oleva data saataville tietoluvan tai tietopyynnön perusteella. Sähköisten terveystietojen käsittelyn toissijaista käyttöä varten olisi edellytettävä jotakin asetuksen (EU) 2016/679 6 artiklan 1 kohdan a, c, e tai f alakohdassa tarkoitettua oikeusperustetta yhdessä kyseisen asetuksen 9 artiklan 2 kohdassa tarkoitetun oikeusperusteen kanssa. Tässä asetuksessa säädetään asetusten (EU) 2016/679 ja (EU) 2018/1725 mukaisesta oikeusperustasta henkilökohtaisten sähköisten terveystietojen toissijaista käyttöä varten, mukaan lukien suojatoimet erityisten tietoluokkien käsittelyn mahdollistamiseksi asetuksen (EU) 2016/679 9 artiklan 2 kohdan g, h, i ja j alakohdan ja asetuksen (EU) 2018/1725 10 artiklan 2 kohdan g, h, i ja j alakohdan mukaisesti, siltä osin kuin on kyse käsittelyn lainmukaisista tarkoituksista, terveystietoihin pääsyn luotetusta hallinnoinnista (johon osallistuvat terveystietoihin pääsystä vastaavat viranomaiset) ja käsittelystä turvatussa ympäristössä sekä tietoluvassa esitettävistä tietojen käsittelyä koskevista yksityiskohtaisista säännöistä. Tästä syystä jäsenvaltiot eivät enää voi asetuksen (EU) 2016/679 9 artiklan 4 kohdan mukaisesti ja sen nojalla pitää voimassa tai ottaa käyttöön muita edellytyksiä tämän asetuksen mukaiselle toissijaista käyttöä varten tapahtuvalle henkilökohtaisten sähköisten terveystietojen käsittelylle, ei myöskään rajoituksia tai erityissäännöksiä, joissa vaaditaan luonnollisten henkilöiden suostumusta, lukuun ottamatta 33 artiklan 8 b kohdassa säädettyä. Samalla tietojen hakijoiden olisi osoitettava asetuksen (EU) 2016/679 6 artiklan tai tarvittaessa asetuksen (EU) 2018/1725 5 artiklan mukainen oikeusperusta, jonka perusteella ne voivat pyytää pääsyä sähköisiin terveystietoihin tämän asetuksen nojalla, ja sen olisi täytettävä IV luvussa säädetyt edellytykset. Samalla terveystietoihin pääsystä vastaavan elimen olisi arvioitava tietojen hakijan toimittamat tiedot, minkä perusteella sen olisi voitava myöntää lupa tämän asetuksen mukaiseen henkilökohtaisten sähköisten terveystietojen käsittelyyn, jonka olisi täytettävä tämän asetuksen IV luvussa säädetyt vaatimukset ja edellytykset. Tarkemmin sanoen tällä asetuksella luodaan terveystietojen haltijoiden hallussa olevien sähköisten terveystietojen käsittelyä koskeva asetuksen (EU) 2016/679 6 artiklan 1 kohdan c alakohdassa tarkoitettu lakisääteinen velvoite, joka on kyseisen asetuksen 9 artiklan 2 kohdan i ja j alakohtien mukainen ja jonka mukaan terveystietojen haltijan on asetettava henkilökohtaiset sähköiset terveystiedot terveystietoihin pääsystä vastaavien elinten saataville, mutta tällä ei ole vaikutusta alkuperäisen käsittelyn oikeusperustaan (esim. terveydenhuollon tarjoaminen). ▌Tässä asetuksessa osoitetaan terveystietoihin pääsystä vastaaville elimille ▌myös asetuksen (EU) 2016/679 6 artiklan 1 kohdan e alakohdassa tarkoitettuja yleisen edun mukaisia tehtäviä, ja se täyttää tapauksen mukaan asetuksen (EU) 2016/679 9 artiklan 2 kohdan g, h, i ja j alakohdan vaatimukset. Jos terveystietojen käyttäjä tukeutuu 6 artiklan 1 kohdan e alakohdan tarjoamaan oikeusperusteeseen tai asetuksen (EU) 2016/679 6 artiklan 1 kohdan f alakohtaan tai asetuksen (EU) 2018/1725 5 artiklan 1 kohdan a alakohtaan, asetuksen (EU) 2016/679 9 artiklan 2 kohdassa tai asetuksen (EU) 2018/1725 10 artiklan 2 kohdassa edellytetyt suojatoimet olisi vahvistettava tässä asetuksessa.

(37 b)   Sähköisten terveystietojen toissijainen käyttö voi tuoda merkittäviä yhteiskunnallisia hyötyjä. Reaalimaailman datan ja reaalimaailman näytön, myös potilaiden ilmoittamien tulosten, käyttöönottoa näyttöön perustuvissa sääntely- ja toimintapoliittisissa tarkoituksissa sekä tutkimuskäytössä, terveysteknologian arvioinnissa ja kliinisissä tarkoituksissa olisi edistettävä. Reaalimaailman tiedoilla ja reaalimaailman näytöllä voidaan täydentää tällä hetkellä saatavilla olevia terveystietoja. Tämän tavoitteen saavuttamiseksi on tärkeää, että tällä asetuksella toissijaista käyttöä varten saataville asetetut tietoaineistot ovat mahdollisimman täydellisiä. Tässä asetuksessa säädetään tarvittavista suojatoimista näiden hyötyjen tuottamiseen liittyvien riskien lieventämiseksi. Rekisteröityjen tunnistamisen estämiseksi sähköisten terveystietojen toissijainen käyttö perustuu pseudonymisoituihin tai anonymisoituihin tietoihin.

(37 c)   Jotta voidaan tasapainottaa datan käyttäjien tarve saada käyttöönsä tyhjentävät ja edustavat tietoaineistot ja luonnollisten henkilöiden oikeus määrätä erityisen arkaluonteisina pidettävistä omista henkilökohtaisista sähköisistä terveystiedoistaan, luonnollisilla henkilöillä olisi oltava sananvaltaa tämän asetuksen mukaista toissijaista käyttöä varten suoritettavassa omien henkilökohtaisten sähköisten terveystietojensa käsittelyssä siten, että heillä on oikeus kieltää henkilökohtaisten sähköisten terveystietojensa asettaminen saataville toissijaista käyttöä varten. Tätä varten olisi säädettävä helppokäyttöisestä ja esteettömästä kieltämismekanismista. Lisäksi on välttämätöntä antaa luonnollisille henkilöille riittävästi tietoa heidän oikeudestaan kieltää tietojensa käsittely, myös tämän oikeuden käyttämiseen liittyvistä hyödyistä ja haitoista. Luonnollisia henkilöitä ei pitäisi vaatia perustelemaan kieltämispäätöstään, ja heillä olisi oltava mahdollisuus pyörtää päätöksensä milloin tahansa. Kuitenkin tietyissä yleiseen etuun tiiviisti liittyvissä tarkoituksissa, kuten valtioiden rajat ylittäviltä vakavilta terveysuhkilta suojautumiseen liittyvissä toimissa tai yleistä etua koskevista tärkeistä syistä tehtävän tieteellisen tutkimuksen tarkoituksissa, on aiheellista säätää jäsenvaltioiden mahdollisuudesta vahvistaa kansallinen mekanismi, jolla annetaan pääsy tietoihin, joiden käytön luonnollinen henkilö on kieltänyt oikeuttaan käyttämällä, sen varmistamiseksi, että tällaisissa tilanteissa voidaan asettaa saataville täydelliset tietoaineistot. Näiden mekanismien olisi oltava tässä asetuksessa toissijaiselle käytölle vahvistettujen vaatimusten mukaisia. Yleistä etua koskevista tärkeistä syistä tehtävään tieteelliseen tutkimukseen voisi kuulua esimerkiksi tutkimus, jossa käsitellään täyttämättömiä lääketieteellisiä tarpeita, myös harvinaisten sairauksien osalta, tai uusia terveysuhkia. Tällaisissa kiellon kumoavissa säännöissä olisi kunnioitettava perusoikeuksien ja -vapauksien keskeisiä osia, ja niiden olisi oltava välttämätön ja oikeasuhteinen toimenpide demokraattisessa yhteiskunnassa oikeutettuihin tieteellisiin ja yhteiskunnallisiin tavoitteisiin liittyvän yleisen edun toteuttamiseksi. Tällaisen kumoamisen olisi oltava mahdollista ainoastaan sellaisille terveystietojen käyttäjille, jotka ovat julkisen sektorin elimiä, mukaan lukien asiaankuuluvat unionin toimielimet, elimet ja laitokset, joille on annettu kansanterveyden alan tehtäviä, tai muulle taholle, jolle on annettu kansanterveyden alan julkisia tehtäviä tai jotka toimivat viranomaisen puolesta tai viranomaiselta toimeksi saaneena, ja ainoastaan sillä edellytyksellä, että tietoja ei voi saada vaihtoehtoisin keinoin ajoissa ja tehokkaasti. Näiden terveystietojen käyttäjien olisi perusteltava se, että kumoaminen on tarpeen yksittäistä tietoihin pääsyä koskevaa hakemusta tai tietopyyntöä varten. Kun kumoamiseen turvaudutaan, sovelletaan edelleen IV luvun mukaisia suojatoimia, erityisesti datan käyttäjien uudelleentunnistamista ja sen yritystä koskevaa kieltoa.

(38)  Eurooppalaisen terveystietoalueen puitteissa on jo olemassa sähköisiä terveystietoja, joita muiden muassa terveydenhuollon tarjoajat, ammattialajärjestöt, julkiset laitokset, sääntelyviranomaiset, tutkijat ja vakuutusyhtiöt keräävät toimintansa yhteydessä. ▌Myös nämä tiedot olisi asetettava saataville toissijaista käyttöä varten. Suurta osaa nykyisistä terveyteen liittyvistä tiedoista ei kuitenkaan aseteta saataville muihin tarkoituksiin kuin siihen, jota varten ne on kerätty. Tämä rajoittaa tutkijoiden, innovoijien, päätöksentekijöiden, sääntelyviranomaisten ja lääkäreiden mahdollisuuksia käyttää näitä tietoja eri tarkoituksiin, kuten tutkimukseen, innovointiin, poliittiseen päätöksentekoon, sääntelytarkoituksiin, potilasturvallisuuteen tai yksilöllistettyyn hoitoon. Jotta sähköisten terveystietojen toissijaisen käytön tarjoamat hyödyt saataisiin täysimittaisesti käyttöön, kaikkien terveystietojen haltijoiden olisi tehtävä osansa sen eteen asettamalla hallussaan olevat eri luokkiin kuuluvat sähköiset terveystiedot saataville toissijaista käyttöä varten, edellyttäen, että siinä käytetään aina tehokkaita ja suojattuja prosesseja ja noudatetaan ammatillisia velvollisuuksia, kuten salassapitovelvollisuutta. Perustelluissa tapauksissa, kuten monimutkaisen ja työlään pyynnön tapauksessa, terveystietoihin pääsystä vastaava elin voi jatkaa määräaikaa, jonka kuluessa terveystietojen haltijoiden on asetettava pyydetyt sähköiset terveystiedot terveystietoihin pääsystä vastaavan elimen saataville.

(39)  Niiden sähköisten terveystietojen luokkien, joita voidaan käsitellä toissijaista käyttöä varten, olisi oltava riittävän laajoja ja joustavia, jotta ne vastaisivat terveystietojen käyttäjien muuttuvia tarpeita, mutta niiden olisi rajoituttava tietoihin, jotka liittyvät terveyteen tai joiden tiedetään vaikuttavan terveyteen. Niihin voi sisältyä myös asiaankuuluvia tietoja terveydenhuoltojärjestelmästä (sähköiset potilaskertomukset, korvaushakemukset, lääketoimitustiedot, tiedot tautirekistereistä, genomitiedot jne.) sekä terveyteen vaikuttavia tietoja (erilaisten aineiden käyttö, sosioekonominen asema, käyttäytyminen, mukaan lukien ympäristötekijät (esimerkiksi saastuminen, säteily, tiettyjen kemiallisten aineiden käyttö). Niihin sisältyy joitakin tietoluokkia, joita kerättiin alun perin muita tarkoituksia, kuten tutkimusta, tilastoja, potilasturvallisuutta, sääntelytoimia tai päätöksentekoa varten (esim. päätöksentekorekisterit ja lääkkeiden tai lääkinnällisten laitteiden sivuvaikutuksia koskevat rekisterit). Esimerkiksi tietojen (uudelleen)käyttöä helpottavia eurooppalaisia tietokantoja on saatavilla joistakin aiheista, kuten syövistä (eurooppalainen syöpätietojärjestelmä) tai harvinaisista sairauksista (Euroopan harvinaisten sairauksien rekisteröintifoorumi, eurooppalaisten osaamisverkostojen rekisterit jne.). Tietoihin voi sisältyä myös automaattisesti tuotettuja lääkinnällisistä laitteista saatuja tietoja ja henkilöiden tuottamia, esimerkiksi hyvinvointisovelluksista saatuja, tietoja. Kliinisiä lääketutkimuksia ja kliinisiä tutkimuksia koskevat tiedot olisi sisällytettävä mukaan kyseisen kliinisen tutkimuksen päätyttyä niin, ettei se vaikuta käynnissä olevien tutkimusten toimeksiantajien vapaaehtoiseen tietojen jakamiseen. Toissijaiseen käyttöön tarkoitetut tiedot olisi asetettava saataville jäsennellyssä sähköisessä muodossa, joka helpottaa niiden käsittelyä tietokonejärjestelmissä. Tähän olisi sisällyttävä relaatiotietokannassa olevien tietojen, XML-asiakirjojen tai CSV-tiedostojen kaltaiset muodot, mutta myös vapaamuotoinen teksti, ääni, videot ja kuvat, jotka toimitetaan tietokoneella luettavissa olevina tiedostoina.

(39 a a)   Terveystietojen käyttäjä, jolla on tämän asetuksen nojalla pääsy tietoaineistoihin, voisi rikastaa tietoja erilaisilla korjauksilla, annotoinneilla ja muilla parannuksilla, esimerkiksi täydentämällä puuttuvia tai epätäydellisiä tietoja, mikä parantaisi tietoaineistossa olevien tietojen täsmällisyyttä, täydellisyyttä tai laatua. Terveystietojen käyttäjiä olisi kannustettava ilmoittamaan tietoaineistoissa olevista kriittisistä virheistä terveystietoihin pääsystä vastaaville elimille. Jotta voidaan tukea alkuperäisen tietokannan parantamista ja rikastetun tietoaineiston käyttöä jatkossa, tietoaineisto, johon on tehty tällaisia parannuksia, ja kuvaus muutoksista olisi asetettava maksutta alkuperäisen datan haltijan saataville. Datan haltijan olisi asetettava uusi tietoaineisto saataville, paitsi jos se antaa terveystietoihin pääsystä vastaavalle elimelle perustellun ilmoituksen siitä, miksi aineistoa ei aseteta sataville, esimerkiksi tapauksissa, joissa rikastamisen laatu on heikko. Olisi myös varmistettava muiden kuin henkilötietojen toissijaisen käytön mahdollisuus. Erityisesti taudinaiheuttajia koskevilla genomisilla tiedoilla on merkittävää arvoa ihmisten terveyden kannalta, kuten covid-19-pandemian aikana on käynyt ilmi. Oikea-aikainen pääsy tällaisiin tietoihin ja niiden jakaminen on osoittautunut välttämättömäksi havaitsemisvälineiden, lääketieteellisten vastatoimien ja kansanterveysuhkiin reagoimisen nopean kehittämisen kannalta. Taudinaiheuttajien genomiikkaan liittyvistä toimista saadaan suurin hyöty, kun kansanterveys- ja tutkimusprosesseissa käytetään tietoaineistoja yhdessä ja informoidaan toisiaan vastavuoroisesti, mikä edistää kaikkia asianomaisia prosesseja.

(39 b)   Henkilökohtaisten sähköisten terveystietojen toissijaisen käytön tehostamiseksi ja tämän asetuksen tarjoamien mahdollisuuksien hyödyntämiseksi täysimääräisesti olisi mahdollistettava IV luvussa kuvattujen sähköisten terveystietojen saatavuus eurooppalaisen terveystietoalueen puitteissa siten, että tiedot ovat mahdollisimman helposti käytettävissä, laadukkaita, valmiita ja sopivia tieteellisen, innovatiivisen ja yhteiskunnallisen arvon ja laadun luomiseen. Eurooppalaisen terveystietoalueen täytäntöönpanoa koskevassa työssä ja tietoaineistojen lisäparannuksissa olisi asetettava etusijalle tietoaineistot, jotka soveltuvat parhaiten tällaisen arvon ja laadun luomiseen.

(40)  ▌Julkiset tai yksityiset yhteisöt saavat usein julkista rahoitusta kansallisista tai unionin varoista sähköisten terveystietojen keräämiseen ja käsittelyyn tutkimusta, tilastoja (virallista tai muuta kuin virallista) tai muuta vastaavaa tarkoitusta varten, myös aloilla, joilla tällaisten tietojen kerääminen on hajanaista tai hankalaa, kuten esimerkiksi harvinaisten sairauksien ja syövän osalta. Terveystietoihin pääsystä vastaavien elinten saataville olisi asetettava terveystietojen haltijoiden unionin tai kansallisen julkisen rahoituksen tuella keräämät ja käsittelemät tiedot, jotta voidaan maksimoida julkisten investointien vaikutus ja tukea tutkimusta, innovointia ja potilasturvallisuutta sekä yhteiskuntaa hyödyttävää politiikkaa. Joissakin jäsenvaltioissa yksityisillä elimillä, muun muassa yksityisillä terveydenhuollon tarjoajilla ja ammattialajärjestöillä, on keskeinen rooli terveydenhuoltoalalla. Myös tällaisten palveluntarjoajien hallussa olevat terveystiedot olisi asetettava saataville toissijaista käyttöä varten. Sähköisten terveystietojen toissijaisen käytön yhteydessä terveystietojen haltijoiden olisi sen vuoksi oltava toimijoita, jotka ovat terveydenhuollon tai hoivan tarjoajia tai tekevät terveydenhuolto- tai hoiva-alaa koskevaa tutkimusta tai kehittävät terveydenhuolto- tai hoiva-alalle tarkoitettuja tuotteita tai palveluja. Nämä toimijat voivat olla julkisia, voittoa tavoittelemattomia tai yksityisiä. Tämän määritelmän mukaisesti hoitokoteja, päiväkeskuksia, vammaispalveluja tarjoavia tahoja, muun muassa ortopedian kaltaiseen hoitoon liittyvää liike- tai teknologiatoimintaa sekä hoivapalveluja tarjoavia yrityksiä, olisi pidettävä terveystietojen haltijoina. Hyvinvointisovelluksia kehittävien oikeushenkilöiden olisi myös oltava terveystietojen haltijoita. Terveystietojen haltijoina olisi pidettävä myös unionin toimielimiä, elimiä ja laitoksia, jotka käsittelevät edellä mainittuja terveystietoja ja terveydenhuoltoon liittyviä tietoja, sekä kuolleisuustietojen rekistereitä. Suhteettoman suuren rasitteen välttämiseksi luonnolliset henkilöt ja mikroyritykset olisi vapautettava terveystietojen haltijoiden velvollisuuksista. Jäsenvaltioiden olisi kuitenkin voitava ulottaa datan haltijoiden velvollisuudet koskemaan luonnollisia henkilöitä ja mikroyrityksiä kansallisessa lainsäädännössään. Hallinnollisen rasitteen vähentämiseksi ja ottaen huomioon vaikuttavuus- ja tehokkuusperiaatteet jäsenvaltioiden olisi voitava päättää kansallisessa lainsäädännössään, että terveystietojen välittäjäyhteisöjen on suoritettava datan haltijoille kuuluvat tehtävät tiettyjen tietojen haltijoiden ryhmien osalta. Tällaisten terveystietojen välittäjäyhteisöjen olisi oltava oikeushenkilöitä, jotka voivat käsitellä ja asettaa saataville toissijaista käyttöä varten datan haltijoiden toimittamia sähköisiä terveystietoja. Nämä terveystietojen välittäjäyhteisöt suorittavat eri tehtäviä kuin asetuksen (EU) 2022/868 10 artiklassa tarkoitetut datan välityspalvelut. ’Terveystietojen välittäjäyhteisöllä’ tarkoitetaan oikeushenkilöä, joka voi asettaa saataville datan haltijoiden toissijaista käyttöä varten toimittamia sähköisiä terveystietoja, myös rekisteröidä, toimittaa ja käsitellä tällaisia tietoja, rajoittaa niihin pääsyä ja vaihtaa niitä.

(40 c)   Teollis- ja tekijänoikeuksilla suojatut sähköiset terveystiedot tai liikesalaisuudet, mukaan lukien tiedot kliinisistä lääketutkimuksista ja kliinisistä tutkimuksista, voivat olla erittäin hyödyllisiä toissijaisessa käytössä ja voivat edistää innovointia unionissa unionin potilaiden hyväksi. Jotta voidaan kannustaa unionia pysymään johtoasemassa tällä alalla, kliinisten lääketutkimusten ja kliinisten tutkimusten tietojen jakaminen eurooppalaisen terveystietoalueen kautta toissijaista käyttöä varten [...]. Ne olisi asetettava saataville mahdollisimman kattavasti siten, että toteutetaan kaikki tarvittavat toimenpiteet tällaisten oikeuksien suojaamiseksi. Tätä asetusta ei pitäisi käyttää tällaisen suojan kaventamiseen tai kiertämiseen, ja sen olisi oltava johdonmukainen unionin oikeudessa vahvistettujen avoimuutta koskevien säännösten kanssa, kuten kliinisten lääketutkimusten ja kliinisten tutkimusten tietoja koskevien säännösten kanssa. Terveystietoihin pääsystä vastaavan elimen tehtävänä on arvioida, miten tämä suoja voidaan säilyttää ja samalla antaa terveystietojen käyttäjille mahdollisimman laaja pääsy tällaisiin tietoihin. Jos se ei kykene tekemään niin, sen olisi ilmoitettava asiasta terveystietojen käyttäjälle ja selitettävä, miksi pääsyä tällaisiin tietoihin ei ole mahdollista antaa. Teollis- ja tekijänoikeuksien tai liikesalaisuuksien suojaamiseksi toteutettaviin oikeudellisiin, organisatorisiin ja teknisiin toimenpiteisiin voisivat kuulua pääsyä sähköisiin terveystietoihin koskevat yhteiset sopimusjärjestelyt, tällaisiin oikeuksiin liittyvät erityiset velvollisuudet tietoluvassa, datan esikäsittely sellaisen johdetun datan tuottamiseksi, joka suojaa liikesalaisuutta mutta josta on edelleen hyötyä käyttäjälle, tai turvatun käsittely-ympäristön konfigurointi siten, että terveystietojen käyttäjillä ei ole pääsyä tällaisiin terveystietoihin.

(41)  Eurooppalaisen terveystietoalueen puitteissa tapahtuvan terveystietojen toissijaisen käytön olisi annettava julkisille, yksityisille ja voittoa tavoittelemattomille yhteisöille samoin kuin yksittäisille tutkijoille mahdollisuus päästä terveystietoihin tutkimusta, innovointia, päätöksentekoa, koulutustoimintaa, potilasturvallisuutta, sääntelytoimia tai yksilöllistettyä hoitoa varten tässä asetuksessa vahvistettujen käyttötarkoitusten mukaisesti. Toissijaista käyttöä varten annettavan tietoihin pääsyn olisi edistettävä yhteiskunnan yleistä etua. Varsinkin terveystietojen toissijaisen käytön tutkimus- ja kehittämistarkoituksiin olisi omalta osaltaan hyödytettävä yhteiskuntaa unionin kansalaisille tarjottavien kohtuuhintaisten ja oikeudenmukaisesti hinnoiteltujen uusien lääkkeiden, lääkinnällisten laitteiden ja terveydenhuollon tuotteiden ja palvelujen muodossa ja edistettävä tällaisten tuotteiden ja palvelujen saantia ja saatavuutta kaikissa jäsenvaltioissa. Toimintaan, jota varten tämän asetuksen mukainen pääsy tietoihin on lainmukaista, voi sisältyä sähköisten terveystietojen käyttö julkisten elinten tehtävien hoitamista varten, kuten julkisen palvelun velvoitteiden täyttämiseen, mukaan lukien kansanterveyden seuranta, suunnittelu- ja raportointivelvoitteiden täyttämiseen, terveyspolitiikan laadintaan sekä potilasturvallisuuden, hoidon laadun ja terveydenhuoltojärjestelmien kestävyyden varmistamiseen. Julkiset elimet ja unionin toimielimet, elimet ja laitokset saattavat tarvita säännöllisen pääsyn sähköisiin terveystietoihin pidemmän aikaa muun muassa täyttääkseen tässä asetuksessa säädettyyn toimeksiantoonsa kuuluvat tehtävät. Julkisen sektorin elimet voivat toteuttaa tällaista tutkimustoimintaa kolmansien osapuolten, kuten alihankkijoiden, avulla edellyttäen, että asianomainen julkisen sektorin elin pysyy koko ajan näiden toimien valvojana. Datan toimittamisen olisi tuettava myös toimia, jotka liittyvät ▌tieteelliseen tutkimukseen. Tieteellisen tutkimuksen tarkoitusten käsitettä olisi tulkittava laajasti, ja siihen olisi sisällyttävä esimerkiksi teknologian kehittäminen ja demonstrointi, perustutkimus, soveltava tutkimus ja yksityisesti rahoitettu tutkimus. Esimerkkejä näistä ovat innovointitoimet, mukaan lukien sellaisten tekoälyalgoritmien koulutus, joita voitaisiin käyttää luonnollisille henkilöille tarjottavassa terveydenhuollossa tai hoivassa, sekä olemassa olevien algoritmien ja tuotteiden arviointi ja jatkokehittäminen tällaisia tarkoituksia varten. Eurooppalaisen terveystietoalueen olisi myös edistettävä perustutkimusta, sillä vaikka perustutkimus saattaa tuottaa vähemmän suoria hyötyjä loppukäyttäjille ja potilaille, se on ratkaisevan tärkeää yhteiskunnalle pitkällä aikavälillä koituvien hyötyjen kannalta. Joissakin tapauksissa joidenkin luonnollisten henkilöiden tiedot (kuten tiettyä tautia sairastavien luonnollisten henkilöiden genomiset tiedot) voivat tukea muiden luonnollisten henkilöiden diagnosointia tai hoitoa. Julkisten elinten on tarpeen toteuttaa toimia, joissa mennään pidemmälle kuin asetuksen (EU) 2023/2854 V luvun soveltamisalaan kuuluvissa hätätilan perusteella toteutettavissa toimissa. Julkisen sektorin elimet voivat kuitenkin pyytää terveystietoihin pääsystä vastaavilta elimiltä tukea tietojen käsittelyyn tai yhdistämiseen. Tässä asetuksessa tarjotaan julkisen sektorin elimille kanava, jonka kautta ne saavat pääsyn tietoihin, joita ne tarvitsevat niille lainsäädännössä osoitettujen tehtävien hoitamiseksi, mutta sillä ei laajenneta tällaisten julkisen sektorin elinten toimeksiantoa. ▌

(41 a a)   Olisi kiellettävä kaikki yritykset käyttää tietoja luonnolliselle henkilölle missään määrin vahingollisiin toimenpiteisiin, kuten vakuutusmaksujen korottamiseen, luonnollisille henkilöille mahdollisesti vahingollisiin toimiin työllisyyden, eläkkeiden ja pankkitoiminnan alalla, mukaan lukien kiinteistöjen kiinnittäminen, tuotteiden tai hoitojen mainostamiseen, yksilöllisten päätösten automatisointiin, luonnollisten henkilöiden uudelleentunnistamiseen tai haitallisten tuotteiden kehittämiseen. Tätä kieltoa sovelletaan toimintaan, joka on kansallisen lainsäädännön eettisten säännösten vastaista, lukuun ottamatta eettisiä säännöksiä, jotka koskevat suostumusta henkilötietojen käsittelyyn ja oikeutta vastustaa sitä, ja unionin oikeuden ensisijaisuuden periaatteen mukaisesti tämä asetus on ensisijainen kansalliseen lainsäädäntöön nähden. Myös pääsyn antaminen sähköisiin terveystietoihin sellaisille kolmansille osapuolille, joita ei mainita tietoluvassa, tai niiden asettaminen muulla tavoin tällaisten kolmansien osapuolien saataville, olisi kiellettävä. Tietoluvassa olisi ilmoitettava niiden luvan saaneiden henkilöiden, erityisesti päätutkijan, henkilöllisyys, joilla on oikeus päästä sähköisiin terveystietoihin turvatussa käsittely-ympäristössä. Päätutkijat ovat henkilöitä, jotka ovat pääasiallisesti vastuussa pääsyn pyytämisestä sähköisiin terveystietoihin ja pyydettyjen tietojen käsittelystä turvatussa käsittely-ympäristössä terveystietojen käyttäjän puolesta.

(41 a b)   Tällä asetuksella ei pitäisi antaa valtuutusta terveystietojen toissijaiseen käyttöön lainvalvontatarkoituksiin. Tämän asetuksen kattamiin toissijaisen käytön tarkoituksiin ei pitäisi kuulua rikosten ennalta estäminen, tutkiminen, paljastaminen tai rikoksiin liittyvät syytetoimet taikka toimivaltaisten viranomaisten suorittama rikosoikeudellisten seuraamusten täytäntöönpanoa. Sen vuoksi tuomioistuimia ja oikeusjärjestelmän muita elimiä ei tulisi pitää datan käyttäjinä tämän asetuksen mukaisessa terveystietojen toissijaisessa käytössä. Tuomioistuinten ja oikeusjärjestelmän muiden elinten ei myöskään pitäisi kuulua terveystietojen haltijoiden määritelmään, eikä niihin näin ollen pitäisi kohdistaa terveystietojen haltijoita tämän asetuksen nojalla koskevia velvollisuuksia. Tämä ei vaikuta toimivaltaisten viranomaisten laissa vahvistettuihin valtuuksiin, jotka koskevat rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia. Tämän asetuksen soveltamisalaan eivät kuulu myöskään sähköiset terveystiedot, joita tuomioistuimet pitävät hallussaan oikeudenkäyntimenettelyjä varten.

(42)  Yhden tai useamman terveystietoihin pääsystä vastaavan elimen, joka tukee sähköisiin terveystietoihin pääsyä jäsenvaltioissa, perustaminen on olennainen osatekijä terveyteen liittyvien tietojen toissijaisen käytön edistämisessä. Tästä syystä jäsenvaltioiden olisi perustettava yksi tai useampi terveystietoihin pääsystä vastaava elin ja otettava tässä huomioon esimerkiksi oma perustuslaillinen, organisatorinen tai hallinnollinen rakenteensa. Yksi näistä terveystietoihin pääsystä vastaavista elimistä olisi kuitenkin nimettävä koordinaattoriksi, jos elimiä on enemmän kuin yksi. Jos jäsenvaltio perustaa useita elimiä, sen olisi vahvistettava kansallisella tasolla säännöt, joilla varmistetaan näiden elinten koordinoitu osallistuminen eurooppalaisen terveystietoalueen neuvostoon. Tällaisen jäsenvaltion olisi etenkin nimettävä yksi terveystietoihin pääsystä vastaava elin yhteyspisteeksi, jonka tehtävänä on varmistaa kyseisten elinten tehokas osallistuminen, ja taattava nopea ja sujuva yhteistyö muiden terveystietoihin pääsystä vastaavien elinten, eurooppalaisen terveystietoalueen neuvoston ja komission kanssa. Terveystietoihin pääsystä vastaavien elinten organisaatio ja koko voi vaihdella täysimittaisesta erillisorganisaatiosta olemassa olevan organisaation yhteydessä olevaan yksikköön tai osastoon ▌. Terveystietoihin pääsystä vastaavien elinten päätöksiin, jotka koskevat pääsyä sähköisiin tietoihin toissijaista käyttöä varten, ei pitäisi voida vaikuttaa ja niissä olisi vältettävä eturistiriitoja. Kunkin terveystietoihin pääsystä vastaavan elimen hallinto- ja päätöksentekoelinten ja henkilöstön jäsenten olisi sen vuoksi pidättäydyttävä kaikista toimista, jotka ovat ristiriidassa niiden tehtävien kanssa, eivätkä ne saisi harjoittaa mitään näiden tehtävien kanssa yhteensopimatonta ammattia. Terveystietoihin pääsystä vastaavien elinten riippumattomuus ei kuitenkaan saisi tarkoittaa sitä, ettei niiden kuluihin voitaisi soveltaa valvonta- tai seurantamekanismeja tai kohdistaa tuomioistuinvalvontaa. Kullekin terveystietoihin pääsystä vastaavalle elimelle olisi osoitettava taloudelliset, tekniset ja henkilöresurssit, tilat ja infrastruktuuri, jotka ovat tarpeen niiden tehtävien suorittamiseksi tehokkaasti, mukaan lukien tehtävät, jotka liittyvät yhteistyöhön muiden terveystietoihin pääsystä vastaavien elinten kanssa kaikkialla unionissa. Kullakin terveystietoihin pääsystä vastaavalla elimellä olisi oltava erillinen ja julkinen vuotuinen talousarvio, joka voi olla osa valtion tai kansallista kokonaistalousarviota. Terveystietoihin pääsyn parantamiseksi ja asetuksen (EU) 2022/868 7 artiklan 2 kohdan täydentämiseksi jäsenvaltioiden olisi annettava terveystietoihin pääsystä vastaaville elimille valtuudet tehdä päätöksiä terveystietoihin pääsystä ja niiden toissijaisesta käytöstä. Tämä voitaisiin toteuttaa osoittamalla uusia tehtäviä jäsenvaltioiden asetuksen (EU) 2022/868 7 artiklan 1 kohdan nojalla nimeämille toimivaltaisille elimille tai nimeämällä olemassa olevia tai uusia alakohtaisia elimiä vastaamaan tällaisista terveystietoihin pääsyyn liittyvistä tehtävistä. Terveystietoihin pääsystä vastaavien elinten jäsenillä ja henkilöstöllä olisi oltava tarvittavat pätevyydet sekä tarvittava kokemus ja osaaminen.

(43)  Terveystietoihin pääsystä vastaavien elinten olisi seurattava tämän asetuksen IV luvun soveltamista ja edistettävä sen yhdenmukaista soveltamista kaikkialla unionissa. Sitä varten terveystietoihin pääsystä vastaavien elinten olisi tehtävä yhteistyötä keskenään ja komission kanssa. Terveystietoihin pääsystä vastaavien elinten olisi tehtävä yhteistyötä myös sidosryhmien kanssa, potilasjärjestöt mukaan lukien. Terveystietoihin pääsystä vastaavien elinten olisi tuettava niitä terveystietojen haltijoita, jotka ovat komission suosituksen 2003/361/EY mukaisia pieniä yrityksiä, erityisesti lääkäreitä ja apteekkeja. Koska terveystietojen toissijaiseen käyttöön sisältyy henkilökohtaisten terveystietojen käsittelyä, sovelletaan asetuksen (EU) 2016/679 asiaankuuluvia säännöksiä, ja asetuksen (EU) 2016/679 sekä asetuksen (EU) 2018/1725 mukaisten valvontaviranomaisten olisi oltava edelleen ainoita toimivaltaisia viranomaisia kyseisten sääntöjen noudattamisen valvonnan osalta. ▌Terveystietoihin pääsystä vastaavien elinten olisi ilmoitettava tietosuojaviranomaisille kaikista määrätyistä seuraamuksista ja mahdollisista seikoista, jotka liittyvät tietojen käsittelyyn toissijaista käyttöä varten, ja vaihdettava keskenään hallussaan olevia merkityksellisiä tietoja asiaan liittyvien sääntöjen noudattamisen varmistamiseksi. Terveystietojen tehokkaan toissijaisen käytön varmistamisen edellyttämien tehtävien lisäksi terveystietoihin pääsystä vastaavan elimen olisi pyrittävä laajentamaan uusien terveystietoaineistojen saatavuutta ▌ja edistämään yhteisten standardien kehittämistä. Sen olisi sovellettava sellaisia testattuja uusimpia tekniikkoja, joilla varmistetaan sähköisten terveystietojen käsittely tavalla, joka säilyttää toissijaiseen käyttöön soveltuviin tietoihin sisältyvän informaation yksityisyyden suojan, mukaan lukien tekniikat henkilötietojen pseudonymisoimiseksi, anonymisoimiseksi, yleistämiseksi, poistamiseksi ja satunnaistamiseksi. Terveystietoihin pääsystä vastaavat elimet voivat laatia tietoaineistoja sen mukaan, mitä datan käyttäjä myönnetyn tietoluvan perusteella tarvitsee. Terveystietoihin pääsystä vastaavien elinten olisi tehtävä tältä osin rajat ylittävää yhteistyötä parhaiden käytäntöjen ja tekniikoiden kehittämiseksi ja vaihtamiseksi. Tähän sisältyvät mikrotietoaineistojen anonymisointia koskevat säännöt. Komission olisi tarvittaessa vahvistettava täytäntöönpanosäädöksillä menettelyt ja vaatimukset ja asetettava saataville tekniset välineet sellaisen yhtenäisen menettelyn täytäntöön panemiseksi, jolla anonymisoidaan ja pseudonymisoidaan sähköisiä terveystietoja.

(44)  ▌Terveystietoihin pääsystä vastaavien elinten olisi varmistettava toissijaisen käytön läpinäkyvyys antamalla julkista tietoa myönnetyistä luvista ja niiden perusteluista, luonnollisten henkilöiden oikeuksien suojaamiseksi toteutetuista toimenpiteistä, siitä, miten luonnolliset henkilöt voivat käyttää toissijaista käyttöä koskevia oikeuksiaan, ja toissijaisen käytön tuotoksista, joita ovat esimerkiksi linkit tieteellisiin julkaisuihin. Näihin toissijaisen käytön tuotoksia koskeviin tietoihin olisi tarvittaessa sisällyttävä terveystietojen käyttäjän toimittama yleistajuinen tiivistelmä. Nämä läpinäkyvyyttä koskevat velvollisuudet täydentävät asetuksen (EU) 2016/679 14 artiklassa säädettyjä velvollisuuksia. Asetuksen (EU)2016/679 14 artiklan 5 kohdassa säädettyjä poikkeuksia voitaisiin soveltaa. Kun näitä poikkeuksia sovelletaan, näillä läpinäkyvyyttä koskevilla velvollisuuksilla autetaan varmistamaan asetuksen (EU) 2016/679 14 artiklan 2 kohdassa tarkoitetun asianmukaisen ja läpinäkyvän käsittelyn toteutuminen esimerkiksi edellyttämällä toimittamaan tiedot käyttötarkoituksesta ja käsiteltävistä tietoluokista, jotta luonnolliset henkilöt voivat saada käsityksen siitä, onko heidän tietonsa asetettu saataville toissijaista käyttöä varten tietolupien nojalla.

(44 a)  Luonnollisille henkilöille olisi tiedotettava terveystietojen haltijoiden välityksellä luonnollisen henkilön terveyteen liittyvistä merkittävistä havainnoista, jotka terveystietojen käyttäjä on tehnyt. Luonnollisilla henkilöillä olisi oltava oikeus pyytää, ettei heille ilmoiteta tällaisista havainnoista. Jäsenvaltiot voisivat vahvistaa tätä koskevat edellytykset. Jäsenvaltioiden olisi voitava asetuksen (EU) 2016/679 23 artiklan 1 kohdan i alakohdan mukaisesti rajoittaa luonnollisille henkilöille ilmoittamista koskevan velvollisuuden soveltamisalaa aina, kun se on tarpeen heidän suojelemisekseen potilasturvallisuuteen liittyvistä ja eettisistä syistä, lykkäämällä heidän tietojensa ilmoittamista, kunnes terveydenhuollon ammattihenkilö voi antaa ja selittää asianomaisille luonnollisille henkilöille tietoja, joilla mahdollisesti voi olla merkittävä vaikutus heihin.

(44 b)   Läpinäkyvyyden lisäämiseksi terveystietoihin pääsystä vastaavien elinten olisi myös julkaistava joka toinen vuosi toimintakertomus, jossa esitetään yleiskatsaus niiden toimintaan. Jos jäsenvaltio on nimennyt useamman kuin yhden terveystietoihin pääsystä vastaavan elimen, koordinaattorina toimivan terveystietoihin pääsystä vastaavan elimen olisi laadittava ja julkaistava yhteinen kertomus. Toimintakertomuksissa olisi noudatettava eurooppalaisen terveystietoalueen neuvostossa sovittua rakennetta, ja niissä olisi esitettävä yleiskatsaus toimintaan, mukaan lukien tiedot hakemuksia koskevista päätöksistä, tarkastuksista ja yhteistyöstä asiaankuuluvien sidosryhmien kanssa. Näitä sidosryhmiä voivat olla luonnollisten henkilöiden, potilasjärjestöjen, terveydenhuollon ammattihenkilöiden, tutkijoiden ja eettisten komiteoiden edustajat.

▌(46)  Sähköisten terveystietojen toissijaisen käytön tukemiseksi datan haltijat eivät saisi kieltäytyä antamasta tietoja, vaatia perusteettomia maksuja, jotka eivät ole läpinäkyviä eivätkä oikeassa suhteessa datan saataville asettamisesta aiheutuviin kustannuksiin (ja tapauksen mukaan tietojen keräämisestä aiheutuviin marginaalisiin kustannuksiin), vaatia datan käyttäjiä julkaisemaan tutkimus yhdessä taikka noudattaa muita käytäntöjä, jotka voisivat saada datan käyttäjät luopumaan tietojen pyytämisestä. Jos terveystietojen haltija on julkisen sektorin elin, sen kustannuksiin liittyvä osa maksuista ei saisi kattaa datan ensimmäisestä keräämisestä aiheutuneita kuluja. Jos tietoluvan myöntäminen edellyttää eettistä hyväksyntää, sitä olisi arvioitava erikseen. ▌

(47)  Terveystietoihin pääsystä vastaavien elinten ▌olisi voitava veloittaa tehtäviinsä liittyviä maksuja asetuksessa (EU) 2022/868 vahvistetut horisontaaliset säännöt huomioon ottaen. Maksuissa voidaan ottaa huomioon pk-yritysten, yksittäisten tutkijoiden tai julkisten elinten tilanne ja etu. Jäsenvaltiot voivat erityisesti ottaa käyttöön niiden lainkäyttöalueella toimivia terveystietoihin pääsystä vastaavia elimiä koskevia toimintaperiaatteita, joissa mahdollistetaan alennettujen maksujen periminen tietyiltä datan käyttäjien ryhmiltä. Terveystietoihin pääsystä vastaavien elinten olisi voitava kattaa toimintansa kustannukset maksuilla, jotka on vahvistettu oikeasuhteisella, perustellulla ja avoimella tavalla. Tästä voi seurata joillekin käyttäjille korkeampia maksuja, jos niiden tekemien tietoihin pääsyä koskevien hakemusten ja tietopyyntöjen hoitaminen edellyttää lisätyötä. Terveystietojen haltijoiden olisi voitava periä kustannuksiaan heijastavia maksuja myös datan asettamisesta saataville. Terveystietoihin pääsystä vastaavien elinten olisi päätettävä tällaisten maksujen, myös terveystietojen haltijoiden perimien maksujen, suuruudesta. Terveystietoihin pääsystä vastaavan elimen olisi veloitettava tällaiset maksut terveystietojen käyttäjältä yhdellä laskulla. Terveystietoihin pääsystä vastaavan elimen olisi tämän jälkeen siirrettävä terveystietojen haltijalle tälle kuuluva osa. Maksukäytäntöjä ja maksurakennetta koskevan yhdenmukaisen lähestymistavan varmistamiseksi komission olisi hyväksyttävä täytäntöönpanosäädöksiä. Asetuksen (EU) 2023/2854 10 artiklan säännöksiä olisi sovellettava tämän asetuksen nojalla veloitettaviin maksuihin.

(48)  Sähköisten terveystietojen toissijaista käyttöä koskevien sääntöjen täytäntöönpanon tehostamiseksi olisi laadittava asianmukaisia toimenpiteitä, jotka voivat johtaa terveystietoihin pääsystä vastaavien elinten määräämiin hallinnollisiin seuraamusmaksuihin tai täytäntöönpanotoimenpiteisiin tai tilapäisiin tai lopullisiin poissulkemisiin eurooppalaisen terveystietoalueen kehyksestä sellaisten terveystietojen käyttäjien tai terveystietojen haltijoiden osalta, jotka eivät noudata velvollisuuksiaan. Terveystietoihin pääsystä vastaavalla elimellä olisi oltava valtuudet tarkistaa vaatimustenmukaisuus ja antaa terveystietojen käyttäjille ja haltijoille mahdollisuus esittää vastineensa huomautuksiin ja korjata mahdolliset rikkomiset. Päättäessään hallinnollisen seuraamusmaksun suuruudesta tai täytäntöönpanotoimenpiteestä kunkin yksittäistapauksen osalta terveystietoihin pääsystä vastaavien elinten olisi otettava huomioon tässä asetuksessa vahvistetut kustannusten marginaalit ja kriteerit, joilla varmistetaan toimenpiteiden tai seuraamusmaksujen oikeasuhteisuus.

(49)  Sähköisten terveystietojen arkaluonteisuuden vuoksi on tarpeen vähentää luonnollisten henkilöiden yksityisyyteen kohdistuvia riskejä soveltamalla asetuksen (EU) 2016/679 5 artiklan 1 kohdan c alakohdassa säädettyä tietojen minimoinnin periaatetta. Siksi saataville olisi asetettava muita kuin henkilökohtaisia sähköisiä terveystietoja aina kun se on riittävää. Jos datan käyttäjän on tarpeen käyttää henkilökohtaisia sähköisiä terveystietoja, sen olisi hakemuksessaan ilmoitettava selkeästi perustelut tämäntyyppisten tietojen käytölle, ja terveystietoihin pääsystä vastaavan elimen olisi arvioitava kyseisten perustelujen pätevyys. Henkilökohtaiset sähköiset terveystiedot olisi asetettava saataville ainoastaan pseudonymisoidussa muodossa. Ottaen huomioon käsittelyn nimenomaisen tarkoituksen, tiedot olisi anonymisoitava tai pseudonymisoitava mahdollisimman aikaisessa vaiheessa sitä prosessia, jossa data asetetaan saataville toissijaista käyttöä varten. Pseudonymisoinnin ja anonymisoinnin voivat suorittaa terveystietoihin pääsystä vastaavat elimet tai terveystietojen haltijat. Rekisterinpitäjinä terveystietoihin pääsystä vastaavat elimet ja terveystietojen haltijat voivat siirtää näitä tehtäviä datan käsittelijöille. Antaessaan pääsyn anonymisoituun tai pseudonymisoituun tietoaineistoon terveystietoihin pääsystä vastaavan elimen olisi käytettävä uusinta anonymisointi- tai pseudonymisointitekniikkaa ja -standardeja ja varmistettava mahdollisimman hyvin se, etteivät terveystietojen käyttäjät voi tunnistaa uudelleen luonnollisia henkilöitä. Näitä tekniikoita ja standardeja olisi kehitettävä edelleen. Terveystietojen käyttäjät eivät saisi yrittää uudelleentunnistaa luonnollisia henkilöitä tämän asetuksen nojalla toimitetusta tietoaineistosta, ja tähän olisi sovellettava tässä asetuksessa säädettyjä hallinnollisia seuraamusmaksuja ja täytäntöönpanotoimenpiteitä tai mahdollisia rikosoikeudellisia seuraamuksia, jos kansallisessa lainsäädännössä niin säädetään. ▌Lisäksi terveystietojen hakijan olisi voitava pyytää vastausta terveystietopyyntöön anonymisoidussa tilastollisessa muodossa. Tässä tapauksessa terveystietojen käyttäjä käsittelee ainoastaan muita kuin henkilötietoja, ja terveystietoihin pääsystä vastaava elin on edelleen ainoa rekisterinpitäjä kaikkien henkilötietojen osalta, joita tarvitaan terveystietopyyntöön vastaamiseen.

(50)  Sen varmistamiseksi, että kaikki terveystietoihin pääsystä vastaavat elimet myöntävät lupia samalla tavalla, on tarpeen ottaa käyttöön yhteinen vakiomenettely tietolupien myöntämistä varten ja esittää hakemukset samalla tavalla eri jäsenvaltioissa. Hakijan olisi annettava terveystietoihin pääsystä vastaaville elimille useita erilaisia tietoja, jotka auttavat asianomaista elintä arvioimaan tietoihin pääsyä koskevan hakemuksen ja päättämään, voidaanko hakijalle myöntää tietolupa tietojen toissijaista käyttöä varten, ja varmistamaan yhdenmukaisuuden eri terveystietoihin pääsystä vastaavien elinten välillä. Tietoihin pääsyä koskevan hakemuksen osana toimitettavien tietojen olisi noudatettava tässä asetuksessa vahvistettuja vaatimuksia, jotta niitä voidaan arvioida perusteellisesti, sillä tietolupa olisi myönnettävä vain, jos kaikki tässä asetuksessa säädetyt tarvittavat edellytykset täyttyvät. Lisäksi siihen olisi tarvittaessa sisällytettävä terveystietojen hakijan vakuutus siitä, että pyydettyjen tietojen suunniteltu käyttötarkoitus ei aiheuta leimautumisen tai ihmisarvon loukkaamisen riskiä henkilöille tai ryhmille, joita pyydetty tietoaineisto koskee. Eettistä arviointia voidaan pyytää kansallisen lainsäädännön perusteella. Jos näin tehdään, olemassa olevien eettisten elinten olisi voitava suorittaa tällaisia arviointeja terveystietoihin pääsystä vastaavia elimiä varten. Jäsenvaltioiden nykyisten eettisten elinten olisi tarjottava asiantuntemuksensa terveystietoihin pääsystä vastaavan elimen käyttöön tätä tarkoitusta varten. Vaihtoehtoisesti jäsenvaltiot voivat päättää tehdä eettisistä elimistä tai eettisiä kysymyksiä koskevasta asiantuntemuksesta keskeisen osan terveystietoihin pääsystä vastaavaa elintä. Terveystietoihin pääsystä vastaavan elimen ja tarvittaessa terveystietojen haltijoiden olisi avustettava terveystietojen käyttäjiä valitsemaan sopivia tietoaineistoja tai tietolähteitä toissijaista käyttötarkoitusta varten. Jos terveystietojen hakija tarvitsee tiedot anonymisoidussa tilastollisessa muodossa, sen olisi toimitettava tietopyyntö, jossa pyydetään terveystietoihin pääsystä vastaavaa elintä toimittamaan tulos suoraan. Jos terveystietoihin pääsystä vastaava elin epää tietoluvan, sen ei pitäisi estää hakijaa toimittamasta uutta tietoihin pääsyä koskevaa hakemusta. Jotta voidaan varmistaa yhdenmukainen lähestymistapa terveystietoihin pääsystä vastaavien elinten välillä ja rajoittaa tarpeettoman hallinnollisen rasitteen aiheuttamista terveystietojen hakijoille, komission olisi tuettava terveystietoihin pääsyä koskevien hakemusten ja terveystietopyyntöjen yhdenmukaistamista, muun muassa vahvistamalla näitä koskevat mallit.

(51)  Koska terveystietoihin pääsystä vastaavien elinten resurssit ovat rajalliset, ne voivat soveltaa priorisointisääntöjä ja asettaa esimerkiksi julkiset laitokset etusijalle yksityisiin tahoihin nähden, mutta niiden ei pitäisi kohdella samassa prioriteettiluokassa olevia kansallisia ja muista jäsenvaltioista peräisin olevia organisaatioita eriarvoisesti. Terveystietojen käyttäjän olisi voitava jatkaa tietoluvan voimassaoloaikaa, jotta esimerkiksi tieteellisen julkaisun arvioijat voivat käyttää tietoaineistoja tai jotta tietoaineistoa voidaan analysoida tarkemmin alkuperäisten havaintojen perusteella. Tämä edellyttäisi terveystietoluvan muuttamista, ja siitä voidaan veloittaa lisämaksu. Tietoluvissa olisi kuitenkin aina otettava huomioon nämä tietoaineiston lisäkäyttötarkoitukset. Terveystietojen käyttäjän olisi mieluiten mainittava ne alkuperäisessä tietoluvan myöntämistä koskevassa pyynnössään. Jotta voidaan varmistaa yhdenmukainen lähestymistapa terveystietoihin pääsystä vastaavien elinten välillä, komission olisi tuettava tietoluvan yhdenmukaistamista.

(52)  Kuten covid-19-kriisi on osoittanut, unionin toimielimet, elimet ja laitokset, joilla on lakisääteinen tehtävä kansanterveyden alalla, etenkin komissio, tarvitsevat pääsyn terveystietoihin pidemmäksi aikaa ja toistuvasti. Näin saattaa olla paitsi unionin tai jäsenvaltioiden lainsäädännössä säädetyissä erityisolosuhteissa kriisiaikoina myös tieteellisen näytön ja teknisen tuen saamiseksi säännöllisesti unionin politiikanlaadintaa varten Pääsyä tällaisiin tietoihin voidaan tarvita joko tietyissä jäsenvaltioissa tai koko unionin alueella. Tällaisten terveystietojen käyttäjien olisi voitava hyödyntää nopeutettua menettelyä, jossa tiedot asetetaan saataville tavallisesti alle kahdessa kuukaudessa ja jossa määräaikaa voidaan monimutkaisemmissa tapauksissa jatkaa yhdellä kuukaudella.

(53)  Jäsenvaltioiden olisi voittava nimetä luotetut datan haltijat, joiden osalta tietolupamenettely suoritettaisiin yksinkertaistettuna, jotta voidaan keventää terveystietoihin pääsystä vastaaville elimille aiheutuvaa hallinnollista rasitetta, kun ne hallinnoivat käsittelemiänsä tietoja koskevia pyyntöjä. Luotettujen datan haltijoiden olisi voitava arvioida tämän yksinkertaistetun menettelyn mukaisesti toimitetut tietoihin pääsyä koskevat hakemukset ottaen huomioon niiden osaaminen käsittelemiensä terveystietojen tyyppien alalla, ja niiden olisi voitava antaa tietolupaa koskeva suositus. Terveystietoihin pääsystä vastaavan elimen olisi edelleen oltava vastuussa lopullisen tietoluvan myöntämisestä, eikä luotetun datan haltijan antama suositus saisi sitoa sitä. Terveystietojen välittäjäyhteisöjä ei pitäisi nimetä luotetuiksi terveystietojen haltijoiksi.

(54)  Sähköisten terveystietojen arkaluonteisuuden vuoksi datan käyttäjillä ei saisi olla rajoittamatonta pääsyä tällaisiin tietoihin. Toissijaista käyttöä varten pyydettyihin sähköisiin terveystietoihin pääsyn olisi aina tapahduttava turvatussa käsittely-ympäristössä. Jotta voidaan varmistaa sähköisiä terveystietoja koskevat vankat tekniset ja turvallisuuteen liittyvät suojatoimet, terveystietoihin pääsystä vastaavan elimen, tai tapauksen mukaan luotetun datan haltijan, olisi tarjottava pääsy tällaiseen dataan turvatussa käsittely‑ympäristössä, joka täyttää tämän asetuksen nojalla vahvistetut korkeatasoiset tekniset ja turvallisuusvaatimukset. ▌Tällaisessa turvatussa ympäristössä tapahtuvassa henkilötietojen käsittelyssä olisi noudatettava asetusta (EU) 2016/679, mukaan lukien sen 28 artikla, kun turvattua ympäristöä hallinnoi kolmas osapuoli, ja tapauksen mukaan sen V lukua. Turvatun käsittely-ympäristön olisi vähennettävä tällaisiin käsittelytoimiin liittyviä yksityisyyden suojaan kohdistuvia riskejä ja estettävä sähköisten terveystietojen siirtäminen suoraan datan käyttäjille. Sähköisiin terveystietoihin pääsyn olisi oltava jatkuvasti terveystietoihin pääsystä vastaavan elimen tai tämän palvelun tarjoavan datan haltijan hallinnassa, ja datan käyttäjille olisi annettava niihin pääsy myönnetyn tietoluvan ehtojen mukaisesti. Datan käyttäjien olisi voitava hakea turvatusta käsittely-ympäristöstä ainoastaan muita kuin henkilökohtaisia sähköisiä terveystietoja, jotka eivät sisällä mitään sähköisiä terveystietoja. Näin ollen tämä on olennaisen tärkeä suojatoimi luonnollisten henkilöiden oikeuksien ja vapauksien varjelemiseksi, kun heidän sähköisiä terveystietojaan käsitellään toissijaista käyttöä varten. Komission olisi avustettava jäsenvaltioita yhteisten turvallisuusstandardien kehittämisessä erilaisten turvattujen ympäristöjen turvallisuuden ja yhteentoimivuuden edistämiseksi.

(54 a)  Asetuksessa (EU) 2022/868 vahvistetaan yleiset säännöt data-altruismin hallintaa varten. Koska terveydenhuoltoalalla hallinnoidaan arkaluonteisia tietoja, asiaa koskevia lisäkriteereitä olisi vahvistettava asetuksessa (EU) 2022/868 tarkoitetussa sääntökirjassa. Kun tällaisessa sääntökirjassa määrätään turvatun käsittely-ympäristön käytöstä tällä alalla, olisi noudatettava sitä koskevia tässä asetuksessa vahvistettuja kriteereitä. Terveystietoihin pääsystä vastaavien elinten olisi tehtävä yhteistyötä asetuksen (EU) 2022/868 nojalla nimettyjen elinten kanssa data-altruismipohjaisten organisaatioiden toiminnan valvomiseksi terveydenhuolto- tai hoiva-alalla.

(55)  Kun sähköisiä terveystietoja käsitellään myönnetyn luvan tai tietopyynnön mukaisesti, terveystietojen haltijoita, myös luotettuja sellaisia, terveystietoihin pääsystä vastaavia elimiä ja terveystietojen käyttäjiä olisi kutakin vuorollaan pidettävä prosessin määrätyssä vaiheessa rekisterinpitäjänä sen mukaan, mitä tehtäviä niillä kulloinkin on. Terveystietojen haltijaa olisi pidettävä rekisterinpitäjänä, kun pyydettyjä henkilökohtaisia sähköisiä terveystietoja luovutetaan terveystietoihin pääsystä vastaavalle elimelle, kun taas terveystietoihin pääsystä vastaavaa elintä olisi vuorostaan pidettävänä rekisterinpitäjänä, kun henkilökohtaisia sähköisiä terveystietoja käsitellään valmisteltaessa tietoja ja asetettaessa ne terveystietojen käyttäjän saataville. Terveystietojen käyttäjää olisi pidettävä rekisterinpitäjänä, kun pseudonymisoidussa muodossa olevia henkilökohtaisia sähköisiä terveystietoja käsitellään sen tietoluvan nojalla turvatussa käsittely-ympäristössä. Terveystietoihin pääsystä vastaavaa elintä olisi pidettävä henkilötietojen käsittelijänä terveystietojen käyttäjän puolesta, kun terveystietojen käyttäjä käsittelee tietoja tietoluvan nojalla turvatussa käsittely‑ympäristössä ja kun tietoja käsitellään vastauksen tuottamiseksi tietopyyntöön. Vastaavasti luotettua terveystietojen haltijaa olisi pidettävä rekisterinpitäjänä, kun se käsittelee henkilökohtaisia sähköisiä terveystietoja, jotka liittyvät sähköisten terveystietojen toimittamiseen terveystietojen käyttäjälle tietoluvan tai tietopyynnön perusteella. Luotetun terveystietojen haltijan olisi katsottava toimivan henkilötietojen käsittelijänä terveystietojen käyttäjän puolesta, kun se toimittaa dataa turvatun käsittely‑ympäristön kautta.

(55 b)  Jotta useammassa maassa suoritettavalle sähköisten terveystietojen toissijaiselle käytölle voidaan luoda osallistava ja kestävä kehys, olisi perustettava rajatylittävä infrastruktuuri. Terveysdata @ EU (HealthData@EU) -infrastruktuurin olisi nopeutettava sähköisten terveystietojen toissijaista käyttöä ja samalla parannettava oikeusvarmuutta, kunnioitettava luonnollisten henkilöiden yksityisyyden suojaa ja oltava yhteentoimiva. Terveystietojen arkaluonteisuuden vuoksi ”sisäänrakennettu yksityisyyden suoja”, ”oletusarvoinen yksityisyyden suoja” ja ”datasta hakeminen sen siirtämisen sijaan” ovat periaatteita, joita olisi noudatettava aina kun se on mahdollista. Jäsenvaltioiden olisi nimettävä kansalliset yhteyspisteet sähköisten terveystietojen toissijaista käyttöä varten toimimaan terveystietojen pääsystä vastaavien elinten organisatorisina ja teknisinä palveluväylinä ja liitettävä nämä yhteyspisteet Terveysdata @ EU (HealthData@EU) -infrastruktuuriin. Myös unionin tietojenkäyttöpalvelu olisi liitettävä tähän infrastruktuuriin. Terveysdata @ EU (HealthData@EU) -infrastruktuurin hyväksyttyjä osallistujia voisivat olla myös tutkimusinfrastruktuurit, jotka on perustettu neuvoston asetuksen (EY) N:o 723/2009(18) mukaisena eurooppalainen tutkimusinfrastruktuurikonsortiona (ERIC), päätöksen (EU) 2022/2481(19) mukaisena digitaali-infrastruktuurikonsortiona tai muun unionin lainsäädännön mukaisena vastaavana rakenteena, sekä muuntyyppiset yhteisöt, mukaan lukien Euroopan tutkimusinfrastruktuurien strategiafoorumiin (ESFRI) kuuluvat ja eurooppalaisten avoimen tieteen pilvipalvelujen (EOSC) puitteissa yhteenliitetyt infrastruktuurit. Myös kolmansien maiden kansallisista yhteyspisteistä ja kansainvälisellä tasolla perustetuista järjestelmistä voisi tulla Terveysdata @ EU (HealthData@EU) ‑infrastruktuurin hyväksyttyjä osallistujia edellyttäen, että ne täyttävät tämän asetuksen vaatimukset. Komission digitaalistrategialla edistetään erilaisten yhteisten eurooppalaisten data-avaruuksien yhdistämistä. Terveysdata @ EU (HealthData@EU) ‑infrastruktuurin olisi näin ollen mahdollistettava sähköisten terveystietojen eri luokkien toissijainen käyttö, mukaan lukien terveystietojen yhdistäminen muista – kuten ympäristö-, maatalous- tai sosiaalialojen – data-avaruuksista saataviin tietoihin. Tällainen terveydenhuoltoalan yhteentoimivuus muun muassa ympäristö-, sosiaali- ja maatalousalojen kanssa voi olla merkityksellistä lisätietojen saamiseksi terveyteen vaikuttavista taustatekijöistä. Komissio voisi tarjota Terveysdata @ EU (HealthData@EU) -infrastruktuurin puitteissa useita palveluja, joihin voisivat kuulua tietojenvaihdon tukeminen terveystietoihin pääsystä vastaavien elinten ja hyväksyttyjen osallistujien kesken rajatylittävää tietoihin pääsyä koskevien pyyntöjen käsittelyä varten, infrastruktuurin kautta saatavilla olevien sähköisten terveystietojen luetteloiden ylläpitäminen, verkon löydettävyys ja metadatahaut, yhteydet ja vaatimustenmukaisuuspalvelut. Komissio voi myös luoda turvatun ympäristön, joka mahdollistaa eri kansallisista infrastruktuureista peräisin olevien tietojen toimittamisen ja analysoinnin rekisterinpitäjien pyynnöstä. ▌Tietoteknisen tehokkuuden, järkeistämisen ja tietojenvaihdon yhteentoimivuuden vuoksi olemassa olevia datan jakamisjärjestelmiä olisi käytettävä uudelleen mahdollisimman paljon. Näistä esimerkkejä ovat järjestelmät, joita kehitetään Euroopan parlamentin ja neuvoston asetuksessa (EU) 2018/1724(20) tarkoitettua yhden kerran periaatteen mukaista todistusmateriaalin vaihtoa koskevaa teknistä järjestelmää varten.

(55 c)  Lisäksi kun otetaan huomioon, että liittäminen Terveysdata @ EU (HealthData@EU) ‑infrastruktuuriin saattaisi merkitä hakijaa tai terveystietojen käyttäjää koskevien henkilötietojen siirtämistä kolmansiin maihin, tällaista jakamista varten käytössä on oltava asianmukaiset asetuksen (EU) 2016/679 V luvun mukaiset tiedonsiirtovälineet.

(56)  Kun on kyse rajatylittävistä rekistereistä tai tietokannoista, kuten harvinaisten sairauksien eurooppalaisten osaamisverkostojen rekistereistä, jotka vastaanottavat tietoja eri terveydenhuollon tarjoajilta useissa jäsenvaltioissa, sen maan terveystietoihin pääsystä vastaavan elimen, jossa rekisterin koordinaattori sijaitsee, olisi oltava vastuussa pääsyn tarjoamisesta tietoihin.

(57)  Datan käyttäjät saattavat joutua toistamaan lupaprosessin henkilökohtaisiin terveystietoihin pääsemiseksi eri jäsenvaltioissa, ja prosessi voi olla hankala Aina kun se on mahdollista, olisi luotava synergioita datan käyttäjille aiheutuvan rasitteen ja esteiden vähentämiseksi. Yksi tapa saavuttaa tämä tavoite on noudattaa yhden hakemuksen periaatetta, jonka mukaan datan käyttäjä voi saada yhdellä hakemuksella luvan useilta terveystietoihin pääsystä vastaavilta elimiltä tai hyväksytyiltä osallistujilta eri jäsenvaltioista.

(58)  Terveystietoihin pääsystä vastaavien elinten olisi tarjottava saatavilla olevista tietoaineistoista ja niiden ominaisuuksista tietoja, joiden perusteella datan käyttäjät saavat tietoa tietoaineiston perusominaisuuksista ja voivat arvioida tietojen mahdollista merkityksellisyyttä itsensä kannalta. Tästä syystä jokaiseen tietoaineistoon olisi sisällyttävä ainakin tiedot lähteestä, tietojen luonteesta ja tietojen saataville asettamisen edellytyksistä. Terveystietojen haltijan olisi vähintään kerran vuodessa tarkistettava, että sen kansallisessa tietoaineistoluettelossa oleva kuvaus on paikkansapitävä ja ajan tasalla. Sen vuoksi olisi laadittava EU:n tietoaineistoluettelo, joka tekee helpommaksi löytää eurooppalaisen terveystietoalueen puitteissa saatavilla olevia tietoaineistoja, auttaa datan haltijoita julkaisemaan tietoaineistonsa, antaa kaikille sidosryhmille, myös suurelle yleisölle, vammaiset henkilöt mukaan lukien, tietoa eurooppalaiseen terveystietoalueeseen asetetuista tietoaineistoista (muun muassa laatu- ja hyötymerkit ja tietoaineistoa koskevat tietolomakkeet) ja tarjoaa datan käyttäjille ajantasaisia tietoja tietoaineistojen laadusta ja hyödyllisyydestä.

(59)  Tietoaineistojen laatua ja hyödyllisyyttä koskevat tiedot lisäävät merkittävästi dataintensiivisen tutkimuksen ja innovoinnin tulosten arvoa ja edistävät samalla näyttöön perustuvaa päätöksentekoa sääntelytoimissa ja politiikan laadinnassa. Tietoaineistojen laadun ja hyödyllisyyden parantaminen mahdollistamalla asiakkaille tietoon perustuvat valinnat ja yhdenmukaistamalla tietoaineistoja koskevia vaatimuksia unionin tasolla – ottaen huomioon olemassa olevat tietojen keräämistä ja vaihtamista koskevat unionin ja kansainväliset standardit, ohjeet ja suositukset (esim. FAIR-periaatteet: löydettävissä oleva, saatavilla oleva, yhteentoimiva ja uudelleenkäytettävä data) – hyödyttää myös datan haltijoita, terveydenhuollon ammattihenkilöitä, luonnollisia henkilöitä ja unionin taloutta kokonaisuudessaan. Tietoaineistoja koskeva datan laatu- ja hyötymerkki antaisi datan käyttäjille tietoa tietoaineiston laatuun ja käyttökelpoisuuteen liittyvistä ominaisuuksista ja antaisi käyttäjille mahdollisuuden valita tarpeisiinsa parhaiten sopivat tietoaineistot. Datan laatu- ja hyötymerkki ei saisi estää tietoaineistojen asettamista saataville eurooppalaisen terveystietoalueen puitteissa, vaan sen olisi toimittava läpinäkyvyysmekanismina datan haltijoiden ja datan käyttäjien välillä. Esimerkiksi tietoaineisto, joka ei täytä mitään tietojen laatua ja hyödyllisyyttä koskevia vaatimuksia, olisi merkittävä kuuluvaksi heikoimpaan laatu- ja hyötyluokkaan, mutta se olisi kuitenkin asetettava saataville. Asetuksen [...] [tekoälysäädös 2021/0106(COD)] 10 artiklassa kuvatuissa puitteissa ja niihin liittyvässä, liitteessä IV täsmennetyssä dokumentaatiossa luodut odotukset olisi otettava huomioon kehitettäessä datan laatu- ja hyötymerkkiä koskevaa kehystä. Jäsenvaltioiden olisi lisättävä tiedotustoimien avulla tietoisuutta datan laatu- ja hyötymerkistä. Komissio voisi tukea näitä toimia. Käyttäjät voisivat panna käyttämänsä tietoaineistot paremmuusjärjestykseen sen mukaan, miten hyödyllisiä ja laadukkaita ne ovat.

(60)  EU:n tietoaineistoluettelon olisi minimoitava datan haltijoille ja muille tietokannan käyttäjille aiheutuvaa hallinnollista rasitetta, oltava käyttäjäystävällinen, helposti saatavilla ja kustannustehokas, siihen olisi yhdistettävä kansalliset dataluettelot ja siinä olisi vältettävä tietoaineistojen päällekkäisiä rekisteröintejä. EU:n tietoaineistoluettelo voitaisiin mukauttaa data.europa.eu-aloitteeseen, sanotun kuitenkaan rajoittamatta asetuksessa (EU) 2022/868 vahvistettujen vaatimusten soveltamista. Olisi varmistettava, että EU:n tietoaineistoluettelot, kansalliset dataluettelot ja eurooppalaisten tutkimusinfrastruktuurien ja muiden asiaankuuluvien datan jakamisinfrastruktuurien tietoaineistoluettelot ovat keskenään yhteentoimivia.

(61)  Eri ammattialajärjestöt, komissio ja muut toimielimet tekevät parhaillaan yhteistyötä erilaisten tietoaineistojen (esimerkiksi rekisterien) vähimmäistietokenttien ja muiden ominaisuuksien määrittämiseksi. Tämä työ on edistyneempää esimerkiksi syövän, harvinaisten sairauksien, sydän- ja verisuonitautien ja aineenvaihduntasairauksien ja riskitekijöiden arvioinnin saralla sekä tilastoalalla, ja se olisi otettava huomioon määriteltäessä uusia standardeja ja yhdenmukaisia tautikohtaisia malleja strukturoiduille tietoelementeille. Monia tietoaineistoja ei kuitenkaan ole yhdenmukaistettu, mikä aiheuttaa vertailtavuuteen liittyviä ongelmia ja vaikeuttaa rajatylittävää tutkimusta. Sen vuoksi täytäntöönpanosäädöksissä olisi vahvistettava yksityiskohtaisemmat säännöt, jotka varmistavat sähköisten terveystietojen yhdenmukaisen ▌koodauksen ja rekisteröinnin, jotta ne voidaan toimittaa toissijaista käyttöä varten johdonmukaisella tavalla. Tällaisia tietoaineistoja voivat olla harvinaisten sairauksien rekistereistä, harvinaislääkkeiden tietokannoista, syöpärekistereistä ja erittäin merkittävien tartuntatautien rekistereistä saatavat tiedot. Jäsenvaltioiden olisi pyrittävä tuottamaan kestävää taloudellista ja sosiaalista hyötyä eurooppalaisista sähköisen terveydenhuollon järjestelmistä ja palveluista sekä yhteentoimivista sovelluksista, jotta voidaan saavuttaa luottamuksen ja turvallisuuden korkea taso, edistää hoidon katkeamattomuutta ja varmistaa turvallisen ja laadukkaan terveydenhuollon saatavuus. Olemassa olevat terveystietoinfrastruktuurit ja -rekisterit voivat tarjota datastandardien määrittelyn ja täytäntöönpanon ja yhteentoimivuuden kannalta hyödyllisiä malleja, ja niitä olisi tuettava jatkuvuuden mahdollistamiseksi ja nykyisen asiantuntemuksen laajentamiseksi.

(62)  Komission olisi tuettava jäsenvaltioita digitaalisen terveydenhuollon järjestelmiin liittyvien valmiuksien ja tehokkuuden kehittämisessä sähköisten terveystietojen ensisijaista ja toissijaista käyttöä varten. Jäsenvaltioita olisi autettava vahvistamaan valmiuksiaan. Esimerkiksi vertailuanalyysit ja parhaiden käytäntöjen vaihto ovat sen suhteen merkityksellisiä unionin tason toimenpiteitä. Niissä olisi otettava huomioon erityisolosuhteet, jotka liittyvät erityyppisiin sidosryhmiin, kuten kansalaisyhteiskunnan järjestöihin, tutkijoihin, lääketieteellisiin seuroihin ja pk-yrityksiin.

(62 a)   Sekä luonnollisten henkilöiden että heitä hoitavien terveydenhuollon ammattihenkilöiden digitaalisen terveysosaamisen parantaminen on keskeistä, jotta saadaan aikaan luottamuksen ilmapiiri ja turvallinen ympäristö ja voidaan varmistaa terveystietojen asianmukainen käyttö ja sen myötä tämän asetuksen onnistunut täytäntöönpano. Terveydenhuollon ammattihenkilöillä on edessään perusteellinen muutos digitalisaation myötä, ja he saavat käyttöönsä uusia digitaalisia välineitä osana eurooppalaisen terveystietoalueen täytäntöönpanoa. Terveydenhuollon ammattihenkilöiden on parannettava digitaalista terveysosaamistaan ja digitaitojaan. Jäsenvaltioiden olisi annettava terveydenhuollon ammattihenkilöille mahdollisuus suorittaa digitaalisen lukutaidon kursseja, jotta he voivat valmistautua työskentelemään sähköisissä potilaskertomusjärjestelmissä. Terveydenhuollon ammattihenkilöiden ja tietotekniikan toimijoiden olisi saatava tällaisista kursseista riittävä koulutus uusien digitaalisten infrastruktuurien parissa työskentelemiseen, jotta varmistetaan kyberturvallisuus ja terveystietojen eettinen hallinta. Koulutusta olisi kehitettävä, tarkistettava ja päivitettävä säännöllisesti asiaankuuluvia asiantuntijoita kuullen ja yhteistyössä heidän kanssaan. Digitaalisen terveysosaamisen parantaminen on olennaisen tärkeää, jotta luonnolliset henkilöt voivat tosiasiallisesti hallita terveystietojaan ja aktiivisesti hoitaa terveyteensä ja hoitoonsa liittyviä asioita sekä ymmärtää vaikutukset, joita on tällaisten tietojen hallinnalla ensisijaisessa ja toissijaisessa käytössä. Digitaalisen lukutaidon taso voi vaikuttaa luonnollisen henkilön kykyyn käyttää oikeuttaan valvoa sähköisiä terveystietojaan, ja nämä tasot vaihtelevat eri väestönosien välillä. Jäsenvaltioiden, mukaan lukien paikallis- ja alueviranomaiset, olisi sen vuoksi tuettava digitaalisen terveysosaamisen ja yleisen tietoisuuden edistämistä varmistaen samalla, että tämän asetuksen täytäntöönpanolla vähennetään osaltaan eriarvoisuutta ja että siinä ei syrjitä henkilöitä, joiden digitaidot ovat puutteelliset. Erityistä huomiota olisi kiinnitettävä vammaisiin henkilöihin ja haavoittuvassa asemassa oleviin ryhmiin, kuten maahanmuuttajiin ja ikääntyneisiin ihmisiin. Jäsenvaltioiden olisi laadittava kansallisia digitaalisen lukutaidon kohdennettuja ohjelmia, myös sellaisia, joilla pyritään maksimoimaan sosiaalinen osallisuus ja varmistamaan, että kaikki luonnolliset henkilöt voivat tosiasiallisesti käyttää heillä tämän asetuksen nojalla olevia oikeuksia. Jäsenvaltioiden olisi annettava luonnollisille henkilöille potilaskeskeisiä ohjeita sähköisten potilaskertomusten käytöstä ja henkilökohtaisten sähköisten terveystietojensa ensisijaisesta käytöstä. Ohjeet olisi mukautettava potilaan digitaalisen terveysosaamisen tasoon, ja erityistä huomiota olisi kiinnitettävä haavoittuvassa asemassa olevien ryhmien tarpeisiin.

(63)  Varojen käytön olisi myös edistettävä eurooppalaisen terveystietoalueen tavoitteiden saavuttamista. Julkisten hankintojen tekijöiden, jäsenvaltioiden kansallisten toimivaltaisten viranomaisten – mukaan lukien digitaalisesta terveydenhuollosta vastaavat viranomaiset ja terveystietoihin pääsystä vastaavat elimet – sekä komission olisi viitattava sovellettaviin yhteentoimivuutta, turvallisuutta ja tietojen laatua koskeviin teknisiin eritelmiin, standardeihin ja profiileihin sekä muihin tässä asetuksessa vahvistettaviin vaatimuksiin, kun ne määrittelevät julkisia hankintoja, ehdotuspyyntöjä ja unionin varojen myöntämistä (mm. rakenne- ja koheesiorahastot) koskevia ehtoja. Unionin varat olisi jaettava läpinäkyvällä tavalla jäsenvaltioiden kesken ottaen huomioon terveydenhuoltojärjestelmien digitalisoinnin tasojen vaihtelu. Tietojen asettaminen saataville toissijaista käyttöä varten edellyttää lisäresursseja terveydenhuoltojärjestelmille, erityisesti julkisille järjestelmille. Tätä lisätaakkaa olisi käsiteltävä ja vähennettävä madollisimman paljon eurooppalaisen terveystietoalueen täytäntöönpanovaiheessa.

(63 a)   Eurooppalaisen terveystietoalueen täytäntöönpano edellyttää asianmukaisia investointeja valmiuksien kehittämiseen ja koulutukseen sekä asianmukaisesti rahoitettua sitoumusta julkisiin kuulemisiin ja yleisön osallistamiseen niin jäsenvaltioiden kuin unionin tasolla. Sekä jäsenvaltioiden että unionin olisi vastattava tämän asetuksen täytäntöönpanosta aiheutuvista taloudellisista kustannuksista, ja tämä rasite olisi jaettava oikeudenmukaisesti jäsenvaltioiden ja unionin varojen välillä.

(64)  Tiettyihin luokkiin kuuluvat sähköiset terveystiedot voivat yhä olla erittäin arkaluonteisia, vaikka ne esitettäisiin anonymisoituina ja siten muina kuin henkilötietoina, mistä säädetään nimenomaisesti asetuksessa (EU) 2022/868. Vaikka käytettäisiin viimeisintä teknologiaa edustavia anonymisointitekniikkoja, on edelleen olemassa riski siitä, että uudelleentunnistaminen saattaa olla tai siitä voi tulla mahdollista käyttäen muita menetelmiä kuin ne, joita voidaan kohtuudella pitää todennäköisinä. Tällainen jäännösriski liittyy harvinaisiin sairauksiin (hengenvaarallinen tai pysyvän invaliditeetin aiheuttava sairaudentila, jota esiintyy unionissa enintään viidellä henkilöllä 10 000:ta henkilöä kohti), koska tapausten pienten lukumäärien vuoksi on huonommat mahdollisuudet aggregoida kaikki julkaistut tiedot ja siten säilyttää luonnollisten henkilöiden yksityisyyden suoja, mutta samalla pitää data riittävän rakeisena niin, että se pysyy merkityksellisenä. Riski voi koskea erityyppisiä terveystietoja riippuen rekisteröityjä koskevien ominaisuustietojen rakeisuudesta ja kuvauksesta ja asiaan liittyvien henkilöiden lukumäärästä, ja se voi olla olemassa esimerkiksi tapauksissa, joissa data sisältyy sähköisiin potilaskertomuksiin, tautirekistereihin, biopankkeihin, henkilön itsensä tuottamiin tietoihin jne., joissa on enemmän tunnistusominaisuuksia ja jotka mahdollistavat – yhdessä muiden tietojen kanssa (esim. hyvin pienellä maantieteellisellä alueella) tai teknisen kehittymisen myötä saatavien uusien, anonymisoinnin ajankohtana tuntemattomien menetelmien avulla – rekisteröityjen uudelleentunnistamisen menetelmillä, joita ei kohtuudella voida pitää todennäköisinä. Tällaisen luonnollisten henkilöiden uudelleentunnistamisen riskin toteutuminen olisi suuri ongelma ja uhkaisi vaarantaa tässä asetuksessa säädetyn toissijaista käyttöä koskevan politiikan ja sen sääntöjen hyväksynnän. Lisäksi aggregointitekniikat ovat huonommin testattuja sellaisten muiden kuin henkilötietojen osalta, jotka sisältävät esimerkiksi liikesalaisuuksia, kuten kliinisiä lääketutkimuksia ja kliinisiä tutkimuksia koskevissa raporteissa, ja liikesalaisuuksien rikkomisten valvonta unionin ulkopuolella on vaikeampaa, jos ei ole riittävää kansainvälistä suojastandardia. Sen vuoksi tämäntyyppisiin terveystietoihin liittyy anonymisoinnin tai aggregoinnin jälkeenkin uudelleentunnistamisen riski, jota ei kohtuudella vielä pystytä lieventämään. Tähän sovelletaan asetuksen (EU) 2022/868 5 artiklan 13 kohdassa mainittuja kriteerejä. Tämäntyyppiset terveystiedot kuuluisivat näin ollen asetuksen (EU) 2022/868 5 artiklan 13 kohdan mukaisen kolmansiin maihin siirtämistä koskevan säädösvallan siirron piiriin. Suojatoimenpiteissä, joiden olisi oltava oikeasuhteisia uudelleentunnistamisen riskiin nähden, olisi otettava huomioon eri tietoluokkien ja eri anonymisointi- tai aggregointitekniikkojen erityispiirteet, ja ne olisi määriteltävä yksityiskohtaisesti asetuksen (EU) 2022/868 5 artiklan 13 kohdan mukaisesti annettavassa delegoidussa säädöksessä.

(64 b)   Kun käsitellään suurta määrää henkilökohtaisia terveystietoja eurooppalaisessa terveystietoalueessa säädettyjä tarkoituksia varten osana tietojenkäsittelytoimia, jotka liittyvät tietoihin pääsyä koskevien hakemusten, tietolupien ja tietopyyntöjen hallinnointiin, siitä aiheutuu suurempi riski luvattomasta pääsystä tällaisiin henkilötietoihin sekä kyberturvallisuuspoikkeamien mahdollisuus. Henkilökohtaiset terveystiedot ovat erityisen arkaluonteisia, sillä ne sisältävät usein terveystietojen salassapitovelvollisuuden piiriin kuuluvaa intiimiä tietoa, jonka paljastaminen kolmansille osapuolille, joilla ei ole luvallista pääsyä, voi aiheuttaa merkittävää huolta. Tässä asetuksessa otetaan kaikilta osin huomioon Euroopan unionin tuomioistuimen oikeuskäytännössä vahvistetut periaatteet ja varmistetaan perusoikeuksien, yksityisyyttä koskevan oikeuden ja suhteellisuusperiaatteen täysimääräinen kunnioittaminen. Jotta voidaan varmistaa asetuksen mukaisten henkilökohtaisten sähköisten terveystietojen täysi eheys ja luottamuksellisuus, taata suojelun ja turvallisuuden erityisen korkea taso ja vähentää riskiä oikeudettomasta pääsystä kyseisisiin henkilökohtaisiin sähköisiin terveystietoihin, asetuksessa säädetään, että henkilökohtaisia sähköisiä terveystietoja säilytetään ja käsitellään ainoastaan unionissa tässä asetuksessa säädettyjen tehtävien suorittamiseksi, ellei sovelleta asetuksen (EU) 2016/679 45 artiklan mukaista tietosuojan riittävyyttä koskevaa päätöstä.

(64 d)   Kolmansien maiden toimijoiden tai kansainvälisten järjestöjen olisi voitava saada pääsy sähköisiin terveystietoihin ainoastaan vastavuoroisuusperiaatteen mukaisesti. Terveystietoja voidaan asettaa kolmannen maan saataville ainoastaan, jos komissio on täytäntöönpanosäädöksellä vahvistanut, että kyseinen kolmas maa sallii unionin toimijoiden käyttää terveystietoja samoin edellytyksin ja samoin suojatoimin kuin unionissa. Komission olisi seurattava tilannetta näissä kolmansissa maissa ja kansainvälisissä järjestöissä, laadittava luettelo ja säädettävä sen säännöllisestä uudelleentarkastelusta. Jos komissio toteaa, ettei kolmas maa enää takaa pääsyä samoin ehdoin, sen olisi kumottava sitä koskeva täytäntöönpanosäädös.

(65)  Tämän asetuksen, mukaan lukien terveystietojen rajatylittävä yhteentoimivuus, yhdenmukaisen soveltamisen edistämiseksi olisi perustettava eurooppalaisen terveystietoalueen neuvosto. Komission olisi osallistuttava sen toimintaan ja toimittava sen yhteispuheenjohtajana. Eurooppalaisen terveystietoalueen neuvoston olisi voitava antaa kirjallisia kannanottoja, jotka liittyvät tämän asetuksen yhdenmukaiseen soveltamiseen kaikkialla unionissa muun muassa siten, että niillä autetaan jäsenvaltioita koordinoimaan sähköisten terveystietojen käyttöä terveydenhuollon ja sertifioinnin tarkoituksiin, ja koskevat myös sähköisten terveystietojen toissijaista käyttöä ja näiden toimien rahoitusta. Tähän voi sisältyä myös tietojen jakaminen turvatuissa käsittely-ympäristöissä ilmenneistä riskeistä ja häiriöistä. Tällainen tietojenvaihto ei vaikuta muiden säädösten mukaisiin velvollisuuksiin, kuten asetuksen (EU) 2016/679 mukaisiin tietoturvaloukkauksia koskeviin ilmoituksiin. Eurooppalaisen terveystietoalueen neuvoston toiminta ei yleisesti ottaen rajoita asetuksen (EU) 2016/679 mukaisia valvontaviranomaisten valtuuksia. Jäsenvaltioissa digitaalisesta terveydenhuollosta vastaavat viranomaiset, jotka käsittelevät sähköisten terveystietojen ensisijaista käyttöä, ja terveystietoihin pääsystä vastaavat elimet, jotka käsittelevät sähköisten terveystietojen toissijaista käyttöä, eivät välttämättä ole sama taho, ne hoitavat eri tehtäviä ja kyseisillä tehtäväalueilla tarvitaan erilaista yhteistyötä, joten eurooppalaisen terveystietoalueen neuvoston olisi voitava perustaa näitä kahta toimintoa käsittelevät alaryhmät sekä muita alaryhmiä tarpeen mukaan. Tehokkaan työskentelymenetelmän varmistamiseksi digitaalisesta terveydenhuollosta vastaavien viranomaisten ja terveystietoihin pääsystä vastaavien elinten olisi luotava verkostoja ja yhteyksiä muihin elimiin ja viranomaisiin kansallisella tasolla mutta myös unionin tasolla. Tällaisia elimiä voisivat olla tietosuojaviranomaiset, kyberturvallisuutta ja sähköistä tunnistamista käsittelevät elimet ja standardointielimet sekä asetusten (EU) 2023/2854, [...] ja [...] [tekoälysäädös ja kyberturvallisuussäädös] mukaiset elimet ja asiantuntijaryhmät. Eurooppalaisen terveystietoalueen neuvoston olisi toimittava riippumattomasti, yleisen edun mukaisesti ja menettelysääntöjään noudattaen.

(65 a)   Käsiteltäessä eurooppalaisen terveystietoalueen neuvoston merkitykselliseksi katsomia asioita neuvoston olisi voitava kutsua mukaan tarkkailijoita, kuten Euroopan tietosuojavaltuutettu, unionin toimielinten, myös Euroopan parlamentin, edustajia ja muita sidosryhmiä.

(65 b)   Olisi perustettava sidosryhmäfoorumi neuvomaan eurooppalaisen terveystietoalueen neuvostoa sen tehtävien suorittamisessa tarjoamalla sidosryhmien näkemyksiä tähän asetukseen liittyvissä asioissa. Sidosryhmäfoorumin olisi koostuttava potilaiden, kuluttajien, terveydenhuollon ammattihenkilöiden, toimialan, tieteellisten tutkijoiden ja tiedeyhteisön edustajista. Sidosryhmäfoorumin kokoonpanon olisi oltava tasapainoinen, ja sen olisi edustettava eri sidosryhmien näkemyksiä. Niin kaupallisten kuin ei-kaupallisten etujen olisi oltava edustettuina.

(66)  Sähköisten terveystietojen ensisijaista ja toissijaista käyttöä koskevien rajatylittävien infrastruktuurien asianmukaisen päivittäisen hallinnoinnin varmistamiseksi on tarpeen perustaa ohjausryhmiä, jotka koostuvat jäsenvaltioiden edustajista. Näiden ryhmien olisi tehtävä operatiivisia päätöksiä infrastruktuurien päivittäisestä teknisestä hallinnoinnista ja niiden teknisestä kehittämisestä, kuten infrastruktuurien teknisistä muutoksista, toimintojen tai palvelujen parantamisesta tai yhteentoimivuuden varmistamisesta muiden infrastruktuurien, digitaalisten järjestelmien tai data-avaruuksien kanssa. Niiden toimintaan ei kuulu osallistuminen näihin infrastruktuureihin vaikuttavien täytäntöönpanosäädösten laatimiseen. Ohjausryhmät voivat myös kutsua muiden hyväksyttyjen osallistujien edustajia osallistumaan kokouksiinsa tarkkailijoina. Ryhmien olisi kuultava asiaankuuluvia asiantuntijoita tehtäviään hoitaessaan.

(66 a)   Jokaisella luonnollisella henkilöllä tai oikeushenkilöllä olisi oltava oikeus tehdä valitus digitaalisesta terveydenhuollosta vastaavalle viranomaiselle tai terveystietoihin pääsystä vastaavalle elimelle, jos luonnollinen henkilö tai oikeushenkilö katsoo, että hänellä tai sillä tämän asetuksen nojalla oleviin oikeuksiin tai etuihin on kohdistunut vaikutuksia, sanotun kuitenkaan rajoittamatta mahdollisia muita hallinnollisia muutoksenhakukeinoja taikka oikeudellisia tai tuomioistuinten ulkopuolisia oikeussuojakeinoja. Valitus olisi tutkittava siinä määrin kuin kussakin tapauksessa on asianmukaista, ja ratkaisu olisi voitava saattaa tuomioistuimen käsiteltäväksi. Digitaalisesta terveydenhuollosta vastaavan viranomaisen tai terveystietoihin pääsystä vastaavan elimen olisi ilmoitettava luonnolliselle henkilölle tai oikeushenkilölle valituksen etenemisestä ja ratkaisusta kohtuullisen ajan kuluessa. Jos tapaus edellyttää lisätutkimuksia tai koordinointia toisen digitaalisesta terveydenhuollosta vastaavan viranomaisen tai terveystietoihin pääsystä vastaavan elimen kanssa, luonnolliselle henkilölle tai oikeushenkilölle olisi annettava väliaikatietoja. Kunkin digitaalisesta terveydenhuollosta vastaavan viranomaisen ja terveystietoihin pääsystä vastaavan elimen olisi toteutettava toimia valitusten tekemisen helpottamiseksi, kuten tarjottava käyttöön valituslomake, joka voidaan täyttää myös sähköisesti, sulkematta kuitenkaan pois mahdollisuutta käyttää muita viestintävälineitä. Jos valitus koskee luonnollisten henkilöiden oikeuksia heidän henkilötietojensa suojaan, digitaalisesta terveydenhuollosta vastaavan viranomaisen tai terveystietoihin pääsystä vastaavan elimen olisi välitettävä valitus asetuksen (EU) 2016/679 mukaisille valvontaviranomaisille. Digitaalisesta terveydenhuollosta vastaavien viranomaisten tai terveystietoihin pääsystä vastaavien elinten olisi tehtävä yhteistyötä, muun muassa vaihtamalla kaikki asiaankuuluvat tiedot sähköisesti, jotta valitukset voidaan käsitellä ja ratkaista ilman aiheetonta viivytystä.

(66 b)   Jos luonnollinen henkilö katsoo, että hänellä tämän asetuksen nojalla olevia oikeuksia on loukattu, hänellä olisi oltava oikeus valtuuttaa jokin voittoa tavoittelematon elin, järjestö tai yhdistys, joka on perustettu kansallisen lainsäädännön mukaisesti, jonka sääntömääräiset tavoitteet ovat yleisen edun mukaisia ja joka toimii henkilötietojen suojaamisen alalla, tekemään puolestaan valitus.

(66 f)   Digitaalisesta terveydenhuollosta vastaavan viranomaisen, terveystietoihin pääsystä vastaavan elimen, terveystietojen haltijan tai terveystietojen käyttäjän olisi korvattava vahingot, joita henkilölle voi aiheutua tämän asetuksen vastaisesta toiminnasta. Vahingon käsite olisi tulkittava laajasti unionin tuomioistuimen oikeuskäytännön perusteella ja tavalla, jossa tämän asetuksen tavoitteet otetaan kaikilta osin huomioon. Tämä ei vaikuta korvausvaatimuksiin, jotka johtuvat unionin oikeuden tai kansallisen lainsäädännön muiden sääntöjen rikkomisesta. Luonnollisten henkilöiden olisi saatava täysi ja tosiasiallinen korvaus aiheutuneesta vahingosta.

(66 h)   Tämän asetuksen sääntöjen täytäntöönpanon vahvistamiseksi asetuksen säännösten rikkomisesta olisi määrättävä seuraamuksia, kuten hallinnollisia seuraamusmaksuja, terveystietoihin pääsystä vastaavan elimen tämän asetuksen mukaisesti määräämien asianmukaisten toimenpiteiden lisäksi tai niiden sijasta. Seuraamusten, kuten hallinnollisten seuraamusmaksujen, määräämiseen olisi sovellettava riittäviä menettelytakeita unionin lainsäädännön ja Euroopan unionin perusoikeuskirjan yleisten periaatteiden mukaisesti, tehokkaat oikeussuojakeinot ja asianmukainen prosessi mukaan lukien.

(66 j)   On aiheellista vahvistaa säännökset, joiden nojalla terveystietoihin pääsystä vastaavat elimet voivat määrätä hallinnollisia seuraamusmaksuja tietyistä tämän asetuksen rikkomisista ja joissa tiettyjä rikkomisia pidetään vakavina. Näitä rikkomisia ovat esimerkiksi luonnollisten henkilöiden uudelleentunnistaminen, henkilökohtaisten terveystietojen lataaminen turvatun käsittely-ympäristön ulkopuolella ja tietojen käsittely kiellettyjä käyttötarkoituksia varten tai tietoluvan ylittäen. Tässä asetuksessa olisi mainittava nämä rikkomiset ja niistä määrättävien hallinnollisten seuraamusmaksujen enimmäismäärä ja suuruuden määrittämisperusteet, jotka toimivaltaisen terveystietoihin pääsystä vastaavan elimen olisi vahvistettava kussakin tapauksessa erikseen ottaen huomioon kaikki tietyn tilanteen kannalta merkittävät olosuhteet ja ottaen asianmukaisesti huomioon erityisesti rikkomisen luonne, vakavuus ja kesto ja rikkomisen seuraukset sekä toimenpiteet, jotka on toteutettu tämän asetuksen mukaisten velvollisuuksien noudattamiseksi ja rikkomisen seurausten estämiseksi tai lieventämiseksi. Silloin kun seuraamusmaksuja määrätään yritykselle, yritys olisi ymmärrettävä Euroopan unionin toiminnasta tehdyn sopimuksen 101 ja 102 artiklan mukaiseksi yritykseksi. Jäsenvaltioilla olisi oltava vastuu sen määrittämisestä, onko viranomaisille määrättävä hallinnollisia seuraamusmaksuja ja missä määrin. Hallinnollisen seuraamusmaksun määräämisellä tai varoituksen antamisella ei ole vaikutusta terveystietoihin pääsystä vastaavien elinten muiden valtuuksien soveltamiseen eikä muihin tämän asetuksen mukaisiin seuraamuksiin.

(66 k)   Tanskan oikeusjärjestelmässä ei säädetä tämän asetuksen mukaisista hallinnollisista seuraamusmaksuista. Hallinnollisia seuraamusmaksuja koskevia sääntöjä olisi voitava soveltaa niin, että Tanskassa seuraamusmaksun määräävät toimivaltaiset kansalliset tuomioistuimet rikosoikeudellisena seuraamuksena, edellyttäen että sääntöjen tällaisella soveltamisella Tanskassa on vastaava vaikutus kuin terveystietoihin pääsystä vastaavien elinten määräämillä hallinnollisilla seuraamusmaksuilla. Toimivaltaisen kansallisen tuomioistuimen olisi siksi otettava huomioon seuraamusmaksun määräävän terveystietoihin pääsystä vastaavan elimen antama suositus. Määrättävien seuraamusmaksujen pitäisi joka tapauksessa olla tehokkaita, oikeasuhteisia ja varoittavia.

(67)  Tämän asetuksen tavoitteita, jotka koskevat luonnollisten henkilöiden vaikutusmahdollisuuksien lisäämistä parantamalla heidän mahdollisuuttaan hallita henkilökohtaisia terveystietojaan sekä heidän vapaan liikkuvuutensa tukemista varmistamalla, että terveystiedot kulkevat heidän mukanaan; digitaalisten terveyspalvelujen ja -tuotteiden todellisten sisämarkkinoiden edistämistä; johdonmukaisen ja tehokkaan kehyksen varmistamista luonnollisten henkilöiden terveystietojen uudelleenkäytölle tutkimus-, innovointi-, päätöksenteko- ja sääntelytoimia varten, ei voida riittävällä tavalla saavuttaa pelkästään jäsenvaltioiden koordinointitoimenpiteiden avulla, kuten direktiivin 2011/24/EU digitaalisten näkökohtien arviointi osoittaa, vaan ne voidaan saavuttaa paremmin unionin tasolla toteuttamalla yhdenmukaistamistoimenpiteitä, jotka koskevat luonnollisten henkilöiden oikeuksia heidän sähköisten terveystietojensa osalta, sähköisten terveystietojen yhteentoimivuutta sekä sähköisten terveystietojen ensisijaista ja toissijaista käyttöä koskevia yhteisiä puitteita ja suojatoimia. Sen vuoksi unioni voi toteuttaa toimenpiteitä Euroopan unionista tehdyn sopimuksen 5 artiklassa vahvistetun toissijaisuusperiaatteen mukaisesti. Mainitussa artiklassa vahvistetun suhteellisuusperiaatteen mukaisesti tässä asetuksessa ei ylitetä sitä, mikä on tarpeen kyseisten tavoitteiden saavuttamiseksi.

(68)  Sen varmistamiseksi, että eurooppalainen terveystietoalue täyttää tavoitteensa, komissiolle olisi siirrettävä valta hyväksyä Euroopan unionin toiminnasta tehdyn sopimuksen 290 artiklan mukaisesti säädösvallan siirron nojalla annettavia delegoituja säädöksiä, joissa vahvistetaan sähköisten terveystietojen ensisijaista ja toissijaista käyttöä koskevia erilaisia säännöksiä. On erityisen tärkeää, että komissio asiaa valmistellessaan toteuttaa asianmukaiset kuulemiset, myös asiantuntijatasolla, ja että nämä kuulemiset toteutetaan paremmasta lainsäädännöstä 13 päivänä huhtikuuta 2016 tehdyssä toimielinten välisessä sopimuksessa(21) vahvistettujen periaatteiden mukaisesti. Jotta voitaisiin erityisesti varmistaa tasavertainen osallistuminen delegoitujen säädösten valmisteluun, Euroopan parlamentille ja neuvostolle toimitetaan kaikki asiakirjat samaan aikaan kuin jäsenvaltioiden asiantuntijoille, ja Euroopan parlamentin ja neuvoston asiantuntijoilla on järjestelmällisesti oikeus osallistua komission asiantuntijaryhmien kokouksiin, joissa valmistellaan delegoituja säädöksiä.

(69)  Jotta voidaan varmistaa tämän asetuksen yhdenmukainen täytäntöönpano, komissiolle olisi siirrettävä täytäntöönpanovaltaa. Tätä valtaa olisi käytettävä Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 182/2011(22) mukaisesti.

(70)  Jäsenvaltioiden olisi toteutettava kaikki tarvittavat toimenpiteet sen varmistamiseksi, että tämän asetuksen säännökset pannaan täytäntöön, ja säädettävä niiden rikkomiseen sovellettavista tehokkaista, oikeasuhteisista ja varoittavista seuraamuksista. Päättäessään seuraamusmaksun suuruudesta kussakin yksittäistapauksessa jäsenvaltioiden olisi otettava huomioon tässä asetuksessa vahvistetut marginaalit ja kriteerit. Luonnollisten henkilöiden uudelleentunnistaminen olisi katsottava tämän asetuksen vastaiseksi vakavaksi rikkomiseksi.

(70 a)   Eurooppalaisen terveystietoalueen täytäntöönpano edellyttää merkittävää kehitystyötä kaikissa jäsenvaltioissa ja keskuspalveluissa. Kehityksen seuraamiseksi komission olisi raportoitava saavutetusta edistyksestä vuosittain ja otettava siinä huomioon jäsenvaltioiden toimittamat tiedot, kunnes tätä asetusta sovelletaan täysimittaisesti. Näihin raportteihin voi sisältyä suosituksia korjaaviksi toimenpiteiksi sekä arvio saavutetusta edistyksestä.

(71)  Komission olisi arvioitava tätä asetusta sen perusteella, saavutetaanko sen tavoitteet vaikuttavasti ja tehokkaasti, onko se johdonmukainen ja edelleen merkityksellinen ja tuottaako se lisäarvoa unionin tasolla. Komission olisi suoritettava tämän asetuksen osittainen arviointi kahdeksan vuoden kuluttua ja kokonaisarviointi kymmenen vuoden kuluttua asetuksen voimaantulosta. Komission olisi esitettävä kummankin arvioinnin jälkeen kertomus keskeisistä havainnoistaan Euroopan parlamentille, neuvostolle, Euroopan talous- ja sosiaalikomitealle ja alueiden komitealle.

(72)  Eurooppalaisia yhteentoimivuusperiaatteita(23) olisi pidettävä yleisenä viitekehyksenä oikeudellisen, organisatorisen, semanttisen ja teknisen yhteensopivuuden varmistamiseksi, jotta eurooppalaisen terveystietoalueen rajatylittävä täytäntöönpano toteutuisi menestyksekkäästi.

(73)  Direktiivin 2011/24/EU digitaalisten näkökohtien arvioinnista käy ilmi sähköisten terveyspalvelujen verkoston vähäinen tehokkuus mutta toisaalta EU:n tällä alalla tekemän työn suuret mahdollisuudet, jotka pandemian aikana tehty työ toi esiin. Sen vuoksi direktiivin 14 artikla kumotaan ja korvataan tällä asetuksella, ja direktiiviä muutetaan vastaavasti.

(73 a)   Tällä asetuksella täydennetään asetuksessa 2024/... [kyberresilienssisäädös 2022/0272(COD)] säädettyjä olennaisia vaatimuksia niiden tämän asetuksen soveltamisalaan kuuluvien sähköisten potilaskertomusjärjestelmien osalta, jotka ovat asetuksessa 2024/... [kyberresilienssisäädös 2022/0272(COD)] tarkoitettuja digitaalisia elementtejä sisältäviä tuotteita ja joiden olisi sen vuoksi täytettävä myös asetuksessa 2024/... [kyberresilienssisäädös 2022/0272(COD)] vahvistetut olennaiset vaatimukset. Niiden valmistajien olisi osoitettava vaatimustenmukaisuus tämän asetuksen mukaisesti. Vaatimusten noudattamisen helpottamiseksi valmistajat voivat laatia yhden teknisen dokumentaation, joka sisältää molemmissa säädöksissä vaaditut tiedot. Olisi oltava mahdollista osoittaa, että sähköiset potilaskertomusjärjestelmät ovat asetuksessa 2024/... [kyberresilienssisäädös 2022/0272(COD)] säädettyjen olennaisten vaatimusten mukaisia, tämän asetuksen mukaisen arviointikehyksen avulla, paitsi kun on kyse tämän asetuksen mukaisen testausympäristön käytöstä.

(74)  Euroopan tietosuojavaltuutettua ja Euroopan tietosuojaneuvostoa on kuultu asetuksen (EU) 2018/1725 42 artiklan mukaisesti, ja ne antoivat yhteisen lausunnon nro 03/2022 12 päivänä heinäkuuta 2022.

(75)  Tämä asetus ei saisi vaikuttaa kilpailusääntöjen, erityisesti Euroopan unionin toiminnasta tehdyn sopimuksen 101 ja 102 artiklan, soveltamiseen. Tässä asetuksessa säädettyjä toimenpiteitä ei saisi käyttää kilpailun rajoittamiseen Euroopan unionin toiminnasta tehdyn sopimuksen vastaisella tavalla.

(76)  Teknisen valmistelun tarpeen vuoksi tätä asetusta olisi sovellettava 24 kuukauden kuluttua sen voimaantulosta. Eurooppalaisen terveystietoalueen onnistuneen täytäntöönpanon ja terveystietoja koskevan tehokkaan eurooppalaisen yhteistyöympäristön toteuttamisen tukemiseksi olisi noudatettava vaiheittaista lähestymistapaa,

OVAT HYVÄKSYNEET TÄMÄN ASETUKSEN:

I LUKU

Yleiset säännökset

1 artikla

Kohde ja soveltamisala

1.  Tällä asetuksella perustetaan eurooppalainen terveystietoalue säätämällä yhteisistä säännöistä, ▌standardeista ▌, infrastruktuureista ja hallintopuitteista, jotta voidaan helpottaa pääsyä sähköisiin terveystietoihin näiden tietojen ensisijaista ja toissijaista käyttöä varten.

2.  Tällä asetuksella

a)  täsmennetään ja täydennetään luonnollisten henkilöiden asetuksessa (EU) 2016/679 säädettyjä oikeuksia, jotka koskevat heidän henkilökohtaisten sähköisten terveystietojensa ensisijaista ja toissijaista käyttöä;

b)  vahvistetaan yhteiset säännöt sähköisten potilaskertomusjärjestelmien kahdelle pakolliselle ohjelmistokomponentille eli 2 artiklan 2 kohdan n c ja n d alakohdassa määritellyille sähköisten potilaskertomusjärjestelmien eurooppalaiselle yhteentoimivuuskomponentille ja sähköisten potilaskertomusjärjestelmien eurooppalaiselle lokikomponentille sekä hyvinvointisovelluksille, joiden ilmoitetaan olevan yhteentoimivia sähköisten potilaskertomusjärjestelmien kanssa näiden kahden komponentin osalta unionissa ensisijaista käyttöä varten;

c)  vahvistetaan yhteiset säännöt ja mekanismit ▌sähköisten terveystietojen ensisijaista ja toissijaista käyttöä varten;

d)  perustetaan ▌rajatylittävä infrastruktuuri, joka mahdollistaa henkilökohtaisten sähköisten terveystietojen ensisijaisen käytön koko unionissa;

e)  perustetaan ▌rajatylittävä infrastruktuuri sähköisten terveystietojen toissijaista käyttöä varten;

f)   perustetaan kansallisen ja Euroopan tason hallinto- ja koordinointipuitteet sähköisten terveystietojen sekä ensisijaista että toissijaista käyttöä varten.

4.  Tämän asetuksen soveltaminen ei rajoita unionin muiden säädösten, jotka koskevat sähköisten terveystietojen käyttöä, jakamista tai toissijaista käyttöä taikka sähköisten terveystietojen käsittelyyn liittyviä vaatimuksia, erityisesti asetusten (EU) 2016/679, (EU) 2018/1725, (EU) N:o 536/2014(24), N:o 223/2009(25), (EU) 2022/868 ja (EU) 2023/2854 ja direktiivien 2002/58/EY(26) ja (EU) 2016/943(27), soveltamista.

4 a.   Viittauksia asetuksen (EU) 2016/679 säännöksiin on tarvittaessa pidettävä myös viittauksina asetuksen (EU) 2018/1725 vastaaviin säännöksiin.

5.  Tämän asetuksen soveltaminen ei rajoita asetusten (EU) 2017/745, (EU) 2017/746 ja [...] [tekoälysäädös 2021/0106(COD)] soveltamista siltä osin kuin on kyse sähköisten potilaskertomusjärjestelmien kanssa vuorovaikutuksessa olevien lääkinnällisten laitteiden, in vitro -diagnostiikkaan tarkoitettujen lääkinnällisten laitteiden ja tekoälyjärjestelmien turvallisuudesta.

6.  Tämän asetuksen soveltaminen ei rajoita sellaisen unionin tai kansallisen lainsäädännön soveltamista, joka koskee sähköisten terveystietojen käsittelyä raportointia, tietopyyntöihin vastaamista taikka lakisääteisten velvoitteiden noudattamisen osoittamista tai todentamista varten, taikka sellaisen unionin tai kansallisen lainsäädännön soveltamista, joka koskee pääsyn antamista virallisiin asiakirjoihin ja niiden julkistamista.

6 a.   Tämän asetuksen soveltaminen ei rajoita sellaisten unionin tai kansallisen lainsäädännön säännösten soveltamista, joissa säädetään pääsystä sähköisiin terveystietoihin jatkokäsittelyä varten, jonka suorittavat jäsenvaltioiden julkiset elimet, unionin toimielimet, elimet ja virastot taikka yksityiset tahot, joille on unionin tai kansallisen lainsäädännön nojalla annettu yleistä etua koskeva tehtävä tällaisen tehtävän suorittamiseksi.

6 b.   Tämä asetus ei vaikuta pääsyyn sähköisiin terveystietoihin niiden toissijaista käyttöä varten, josta on sovittu julkisten tai yksityisten tahojen välisillä sopimus- tai hallinnollisilla järjestelyillä.

7.   Tätä asetusta ei sovelleta henkilötietojen käsittelyyn,

a)  jota suoritetaan sellaisen toiminnan yhteydessä, joka ei kuulu unionin lainsäädännön soveltamisalaan;

b)  jota toimivaltaiset viranomaiset suorittavat rikosten ennalta estämistä, tutkintaa, paljastamista tai rikoksiin liittyviä syytetoimia varten tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten.

2 artikla

Määritelmät

1.  Tässä asetuksessa sovelletaan seuraavia määritelmiä:

a)  ’henkilötietojen’, ’käsittelyn’, ’pseudonymisoinnin’, ’rekisterinpitäjän’, ’henkilötietojen käsittelijän’, ’kolmannen osapuolen’, ’suostumuksen’, ’geneettisten tietojen’, ’terveystietojen’ ja ’kansainvälisen järjestön’ määritelmät asetuksen (EU) 2016/679 4 artiklan 1, 2, 5, 7, 8, 10, 11, 13, 15 ja 26 alakohdan mukaisesti;

b)  ’terveydenhuollon’, ’vakuutusjäsenvaltion’, ’hoitojäsenvaltion’, ’terveydenhuollon ammattihenkilön’, ’terveydenhuollon tarjoajan’, ’lääkkeen’ ja ’reseptin’ määritelmät direktiivin 2011/24/EU 3 artiklan a, c, d, f, g, i ja k alakohdan mukaisesti;

c)  ’datan’, ’pääsyn’, ’data-altruismin’, ’julkisen sektorin elimen’ ja ’turvatun käsittely-ympäristön’ määritelmät asetuksen (EU) 2022/868 2 artiklan 1, 13, 16, 17 ja 20 alakohdan mukaisesti;

d)  ’asettamisen saataville markkinoilla’, ’markkinoille saattamisen’, ’markkinavalvonnan’, ’markkinavalvontaviranomaisen’, ’vaatimustenvastaisuuden’, ’valmistajan’, ’maahantuojan’, ’jakelijan’, ’talouden toimijan’, ’korjaavan toimen’, ’palautusmenettelyn’ ja ’markkinoilta poistamisen’ määritelmät asetuksen (EU) 2019/1020 2 artiklan 1, 2, 3, 4, 7, 8, 9, 10, 13, 16, ▌22 ja 23 alakohdan mukaisesti;

e)  ’lääkinnällisen laitteen’, ’käyttötarkoituksen’, ’käyttöohjeiden’, ’suorituskyvyn’, ’terveydenhuollon yksikön’ ja ’yhteisten eritelmien’ määritelmät asetuksen (EU) 2017/745 2 artiklan 1, 12, 14, 22, 36 ja 71 alakohdan mukaisesti;

f)  ’sähköisen tunnistamisen’, ’sähköisen tunnistamisen menetelmän’ ja ’henkilön tunnistetietojen’ määritelmät asetuksen (EU) N:o 910/2014 3 artiklan 1, 2 ja 3 alakohdan mukaisesti;

g)   ’hankintaviranomaisen’ määritelmä Euroopan parlamentin ja neuvoston direktiivin 2014/24/EU(28) 2 artiklan 1 kohdan 1 alakohdan mukaisesti;

h)   ’kansanterveyden’ määritelmä Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 1338/2008(29) 3 artiklan c alakohdan mukaisesti.

2.  Lisäksi tässä asetuksessa tarkoitetaan:

a)  ’henkilökohtaisilla sähköisillä terveystiedoilla’ asetuksen (EU) 2016/679 4 artiklan 13 ja 15 alakohdassa määriteltyjä terveystietoja ja geneettisiä tietoja, ▌ joita käsitellään sähköisessä muodossa;

b)  ’muilla kuin henkilökohtaisilla sähköisillä terveystiedoilla’ muita sähköisiä terveystietoja kuin henkilökohtaisia sähköisiä terveystietoja, jotka käsittävät sekä tiedot, jotka on anonymisoitu niin, etteivät ne enää koske tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä, että tiedot, jotka eivät ole missään vaiheessa koskeneet rekisteröityä;

c)  ’sähköisillä terveystiedoilla’ henkilökohtaisia tai muita kuin henkilökohtaisia sähköisiä terveystietoja;

d)  ’sähköisten terveystietojen ensisijaisella käytöllä’ ▌sähköisten terveystietojen käsittelyä terveydenhuollon tarjoamista varten sen luonnollisen henkilön terveydentilan arvioimiseksi, ylläpitämiseksi tai palauttamiseksi, jota kyseiset tiedot koskevat, mukaan lukien lääkkeiden ja lääkinnällisten laitteiden määrääminen, toimittaminen ja tarjoaminen, sekä näiden tietojen käsittelyä asiaankuuluvia sosiaali-, hallinto- tai korvauspalveluja varten;

e)  ’sähköisten terveystietojen toissijaisella käytöllä’ sähköisten terveystietojen käsittelyä tämän asetuksen IV luvussa säädettyjä tarkoituksia varten, jotka ovat muita kuin niitä alkuperäisiä tarkoituksia, joita varten ne on kerätty tai tuotettu;

f)  ’yhteentoimivuudella’ organisaatioiden sekä saman valmistajan tai eri valmistajien ohjelmistosovellusten ja laitteiden kykyä toimia vuorovaikutuksessa ▌, mihin sisältyy tietojen ja tietämyksen vaihtaminen näiden organisaatioiden, ohjelmistosovellusten tai laitteiden välillä niiden tukemien prosessien kautta muuttamatta datan sisältöä;

▌

h)  ’sähköisten terveystietojen rekisteröinnillä’ terveystietojen tallentamista sähköisessä muodossa siten, että tiedot syötetään manuaalisesti, laitteet keräävät ne tai muut kuin sähköiset terveystiedot muunnetaan sähköiseen muotoon, jotta tietoja voidaan käsitellä sähköisessä potilaskertomusjärjestelmässä tai hyvinvointisovelluksessa;

i)  ’sähköisten terveystietojen käyttöpalvelulla’ verkkopalvelua, kuten portaalia tai mobiilisovellusta, jonka avulla luonnolliset henkilöt, jotka eivät toimi ammattiroolissaan, pääsevät omiin sähköisiin terveystietoihinsa tai niiden luonnollisten henkilöiden sähköisiin terveystietoihin, joiden sähköisiin terveystietoihin pääsyyn heillä on laillinen lupa;

j)  ’terveydenhuollon ammattihenkilöiden tietojenkäyttöpalvelulla’ sähköisen potilaskertomusjärjestelmän tukemaa palvelua, jonka avulla terveydenhuollon ammattihenkilöt voivat päästä hoitamiaan luonnollisia henkilöitä koskeviin tietoihin;

▌

m)  ’sähköisellä potilaskertomuksella’ luonnollista henkilöä koskevien, terveydenhuoltojärjestelmässä kerättyjen ja terveydenhuollon tarjoamista varten käsiteltävien sähköisten terveystietojen kokoelmaa;

n)  ’sähköisellä potilaskertomusjärjestelmällä’ järjestelmää, jossa laite tai ohjelmisto sallii tämän asetuksen 5 artiklan 1 kohdassa tarkoitettuihin henkilökohtaisten sähköisten terveystietojen prioriteettiluokkiin kuuluvien henkilökohtaisten sähköisten terveystietojen tallentamisen, välittämisen, siirtämisen järjestelmään tai järjestelmästä, muuntamisen, muokkaamisen tai tarkastelemisen ja jonka valmistaja on tarkoittanut terveydenhuollon tarjoajien käyttöön hoidon tarjoamisessa potilaille tai potilaan käyttöön omiin terveystietoihinsa pääsemiseksi;

n a)   ’käyttöönotolla’ tämän asetuksen soveltamisalaan kuuluvan sähköisen potilaskertomusjärjestelmän käyttötarkoituksensa mukaista ensimmäistä käyttöä unionissa;

n b)   ’ohjelmistokomponentilla’ tai ’komponentilla’ ohjelmiston erillistä osaa, joka tuottaa tietyn toiminnon tai suorittaa tiettyjä tehtäviä tai toimenpiteitä ja joka voi toimia itsenäisesti tai yhdessä muiden komponenttien kanssa;

n c)   ’sähköisten potilaskertomusjärjestelmien eurooppalaisella yhteentoimivuuskomponentilla’ (tai ’yhteentoimivuuskomponentilla’) sähköisen potilaskertomusjärjestelmän ohjelmistokomponenttia, joka antaa ja vastaanottaa 5 artiklassa tarkoitettuja henkilökohtaisia sähköisiä terveystietoja tämän asetuksen 6 artiklassa tarkoitetussa muodossa; eurooppalainen yhteentoimivuuskomponentti on erillinen eurooppalaisesta lokikomponentista;

n d)   ’sähköisten potilaskertomusjärjestelmien eurooppalaisella lokikomponentilla’ (tai ’lokikomponentilla’) sähköisen potilaskertomusjärjestelmän ohjelmistokomponenttia, joka antaa lokitietoja terveydenhuollon ammattihenkilöiden tai muiden henkilöiden pääsyistä 5 artiklassa tarkoitettuihin henkilökohtaisiin sähköisiin terveystietoihin tämän asetuksen liitteessä II olevassa 3.4 kohdassa määritellyssä muodossa; eurooppalainen lokikomponentti on erillinen eurooppalaisesta yhteentoimivuuskomponentista;

p)  ’CE-vaatimustenmukaisuusmerkinnällä’ merkintää, jolla valmistaja osoittaa Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 765/2008(30) mukaisesti, että sähköinen potilaskertomusjärjestelmä on tässä asetuksessa vahvistettujen sovellettavien vaatimusten sekä muussa sovellettavassa unionin lainsäädännössä, jossa säädetään merkinnän kiinnittämisestä, vahvistettujen vaatimusten mukainen;

p a)   ’riskillä’ vahingon vakavuusasteen ja terveydelle, turvallisuudelle tai tietoturvalle vahinkoa aiheuttavan vaaran todennäköisyyden yhdistelmää;

q)  ’vakavalla vaaratilanteella’ mitä tahansa markkinoilla saataville asetetun sähköisen potilaskertomusjärjestelmän ominaisuuksien tai suorituskyvyn häiriötä tai heikkenemistä, joka suoraan tai välillisesti johtaa, on saattanut johtaa tai saattaa johtaa johonkin seuraavista:

i)  luonnollisen henkilön kuolema, vakava vahinko luonnollisen henkilön terveydelle tai vakava haitta luonnollisen henkilön oikeuksille;

ii)  vakava häiriö terveydenhuoltoalan kriittisen infrastruktuurin hallinnassa ja toiminnassa;

x a)   ’hoivalla’ ammattimaista palvelua, jonka tarkoituksena on vastata sellaisen henkilön erityistarpeisiin, joka vamman tai muun fyysisen tai psyykkisen tilan vuoksi tarvitsee apua, mukaan lukien ennaltaehkäisevät ja tukitoimenpiteet, keskeisissä jokapäiväiseen elämään kuuluvissa toimissa itsenäisen elämän tukemiseksi;

y)  ’terveystietojen haltijalla’ luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta terveydenhuolto- tai hoiva-alan elintä, mukaan lukien korvauspalvelut tarvittaessa sekä luonnolliset henkilöt tai oikeushenkilöt, jotka kehittävät terveys-, terveydenhuolto- tai hoiva-alan tuotteita tai palveluja, kehittävät tai valmistavat hyvinvointisovelluksia, tekevät terveydenhuolto- tai hoiva-alaan liittyvää tutkimusta tai toimivat kuolleisuustietojen rekisterinä, sekä unionin toimielintä, elintä tai laitosta, jolla on joko

a)   ▌sovellettavan unionin oikeuden tai kansallisen lainsäädännön mukaisesti oikeus tai velvollisuus käsitellä henkilökohtaisia sähköisiä terveystietoja terveydenhuollon tai hoivan tarjoamiseksi tai kansanterveys-, korvauspalvelu-, tutkimus-, innovointi-, potilasturvallisuus- tai sääntelytarkoituksia varten taikka päätöksentekoa tai virallisia tilastoja varten sen toimiessa rekisterinpitäjänä tai yhteisrekisterinpitäjänä; tai

b)   tuotteen ja siihen liittyvien palvelujen teknisen suunnittelun valvonnan kautta mahdollisuus asettaa saataville muita kuin henkilökohtaisia sähköisiä terveystietoja sekä rekisteröidä, antaa ja vaihtaa niitä tai rajoittaa niihin pääsyä.

z)  ’terveystietojen käyttäjällä’ luonnollista henkilöä tai oikeushenkilöä, mukaan lukien unionin toimielimet, elimet tai laitokset, jolle on annettu lainmukainen pääsy ▌sähköisiin terveystietoihin toissijaista käyttöä varten tietoluvan nojalla tai tietopyynnön johdosta tai Terveysdata @ EU:n (Health Data @ EU) hyväksytyn osallistujan hyväksymän pääsyn nojalla;

a a)  ’tietoluvalla’ hallinnollista päätöstä, jolla terveystietoihin pääsystä vastaava elin antaa terveystietojen käyttäjälle luvan käsitellä tietoluvassa eriteltyjä tiettyjä sähköisiä terveystietoja erityisiä toissijaisia käyttötarkoituksia varten tämän asetuksen IV luvussa säädettyjen edellytysten mukaisesti;

a b)  ’tietoaineistolla’ sähköisten terveystietojen jäsenneltyä kokoelmaa;

a b a)   ’sähköisten terveystietojen toissijaiseen käyttöön merkittävästi vaikuttavilla tietoaineistoilla’ tietoaineistoja, jotka ovat merkityksellisiä terveystutkimuksen kannalta ja joiden uudelleenkäyttöön liittyy sen vuoksi merkittäviä etuja;

a c)  ’tietoaineistoluettelolla’ järjestelmällisesti koostettua tietoaineistojen kuvausten kokoelmaa, joka sisältää käyttäjille suunnatun julkisen osan, jossa yksittäisiä tietoaineistoparametreja koskevat tiedot ovat saatavilla sähköisesti verkkoportaalin kautta;

a d)  ’datan laadulla’ sitä, missä määrin sähköisten terveystietojen elementit soveltuvat niiden suunniteltuun ensisijaiseen ja toissijaiseen käyttöön;

a e)  ’datan laatu- ja hyötymerkillä’ graafista kaaviota, johon sisältyy asteikko ja jossa kuvataan datan laatu ja tietoaineiston käyttöedellytykset;

a e a)   ’hyvinvointisovelluksella’ laitetta tai ohjelmistoa, jonka valmistaja on tarkoittanut luonnollisen henkilön käytettäväksi sähköisten terveystietojen käsittelyyn erityisesti yksittäisten henkilöiden terveyttä koskevien tietojen tarjoamiseksi tai hoidon toteuttamiseksi muita tarkoituksia kuin terveydenhuollon tarjoamista varten.

II LUKU

Sähköisten terveystietojen ensisijainen käyttö

1 jakso

Luonnollisten henkilöiden oikeudet henkilökohtaisten sähköisten terveystietojensa ensisijaisessa käytössä

3 artikla

[Luonnollisten henkilöiden oikeudet henkilökohtaisten sähköisten terveystietojensa ensisijaisessa käytössä]

▌

Komissio määrittää täytäntöönpanosäädöksillä vaatimukset, jotka koskevat tässä jaksossa säädettyjen oikeuksien teknistä täytäntöönpanoa.

Nämä täytäntöönpanosäädökset hyväksytään 68 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

▌

5 artikla

Henkilökohtaisten sähköisten terveystietojen prioriteettiluokat ensisijaisessa käytössä

1.  Kun tietoja käsitellään sähköisessä muodossa, tätä lukua sovellettaessa henkilökohtaisten sähköisten terveystietojen prioriteettiluokat ovat seuraavat:

a)  potilastietojen yhteenvedot;

b)  sähköiset reseptit;

c)  sähköiset lääketoimitukset;

d)  lääketieteelliset kuvantamistutkimukset ja niitä koskevat lausunnot;

e)  lääketieteellisten tutkimusten tulokset, mukaan lukien laboratoriotulokset ja muut diagnostiset tulokset ja niihin liittyvät lausunnot;

f)  hoidon loppulausunnot.

Henkilökohtaisten sähköisten terveystietojen prioriteettiluokkien keskeiset ominaisuudet esitetään liitteessä I.

Jäsenvaltiot voivat säätää kansallisessa lainsäädännössään, että muihin luokkiin kuuluviin henkilökohtaisiin sähköisiin terveystietoihin on pääsy ja niitä vaihdetaan ensisijaista käyttöä varten tämän luvun mukaisesti. Komissio voi vahvistaa täytäntöönpanosäädöksillä näille tietoluokille rajatylittäviä tapauksia koskevat eritelmät 6 artiklan 2 a b kohdan ja 12 artiklan 8 kohdan mukaisesti.

2.  Siirretään komissiolle valta antaa 67 artiklan mukaisesti delegoituja säädöksiä, joilla muutetaan ▌liitettä I lisäämällä, muuttamalla tai poistamalla 1 kohdassa tarkoitettujen henkilökohtaisten sähköisten terveystietojen prioriteettiluokkien keskeisiä ominaisuuksia. Muutosten on täytettävä seuraavat kumulatiiviset kriteerit:

a)  kyseinen ominaisuus on merkityksellinen luonnollisille henkilöille tarjottavan terveydenhuollon kannalta;

b)  muutettu ominaisuus on viimeisimpien tietojen mukaan käytössä useimmissa jäsenvaltioissa;

c)  muutosten tarkoituksena on mukauttaa prioriteettiluokat tekniikan kehitykseen ja kansainvälisiin standardeihin.

6 artikla

Eurooppalainen sähköisten terveystietojen vaihtoformaatti

1.  Komissio hyväksyy täytäntöönpanosäädöksillä 5 artiklan 1 kohdassa tarkoitettuja henkilökohtaisten sähköisten terveystietojen prioriteettiluokkia koskevat tekniset eritelmät, joissa vahvistetaan eurooppalainen sähköisten terveystietojen vaihtoformaatti. Tällaisen formaatin on oltava yleisesti käytetty ja koneluettava, ja sen on mahdollistettava henkilökohtaisten sähköisten terveystietojen siirtäminen eri ohjelmistosovellusten, laitteiden ja terveydenhuollon tarjoajien välillä. Formaatin olisi tuettava jäsenneltyjen ja jäsentelemättömien terveystietojen toimittamista. Formaatin on sisällettävä seuraavat osatekijät:

a)  yhdenmukaistetut tietoaineistot, jotka sisältävät sähköisiä terveystietoja ja määrittäviä rakenteita, kuten datakenttiä ja dataryhmiä sähköisten terveystietojen kliinisen sisällön ja muiden osioiden ▌esittämistä varten;

b)  koodausjärjestelmät ja -arvot, joita käytetään sähköisiä terveystietoja sisältävissä tietoaineistoissa;

c)  yhteentoimivuuden tekniset eritelmät sähköisten terveystietojen vaihtoa varten, mukaan lukien niiden sisällön esittäminen, standardit ja profiilit.

2.  Nämä täytäntöönpanosäädökset hyväksytään 68 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. ▌

2 a.  Komissio päivittää eurooppalaista sähköisten terveystietojen vaihtoformaattia säännöllisesti täytäntöönpanosäädöksillä, jotta siihen voidaan sisällyttää terveydenhuollon koodausjärjestelmien ja nimikkeistöjen asiaankuuluvat muutokset.

2 a b.   Komissio voi täytäntöönpanosäädöksillä hyväksyä teknisiä eritelmiä, joissa ulotetaan eurooppalainen sähköisten terveystietojen vaihtoformaatti koskemaan muita 5 artiklan 1 kohdan 3 alakohdassa tarkoitettuja sähköisten terveystietojen luokkia. Nämä täytäntöönpanosäädökset hyväksytään 68 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

3.  Jäsenvaltioiden on varmistettava, että 5 artiklassa tarkoitetut prioriteettiluokkiin kuuluvat henkilökohtaiset sähköiset terveystiedot esitetään 1 kohdassa tarkoitetussa sähköisten terveystietojen vaihtoformaatissa. Kun tällaisia tietoja siirretään automatisoidusti ensisijaista käyttöä varten, tiedot vastaanottavan tarjoajan on hyväksyttävä kyseinen tietoformaatti ja voitava lukea se.

7 artikla

Henkilökohtaisten sähköisten terveystietojen rekisteröinti

1.  Jäsenvaltioiden on varmistettava, että kun sähköisiä terveystietoja käsitellään terveydenhuollon tarjoamista varten, terveydenhuollon tarjoajat rekisteröivät sähköisessä muodossa sähköiseen potilaskertomusjärjestelmään ne asiaankuuluvat henkilökohtaiset terveystiedot, jotka kuuluvat kokonaan tai osittain ainakin 5 artiklassa tarkoitettuihin prioriteettiluokkiin ▌.

1 a.   Kun terveydenhuollon tarjoajat käsittelevät tietoja sähköisessä muodossa, niiden on varmistettava, että niiden hoitamien luonnollisten henkilöiden henkilökohtaisiin sähköisiin terveystietoihin päivitetään tiedot annetusta terveydenhuollosta.

2.  Kun henkilökohtaiset sähköiset terveystiedot rekisteröidään hoitojäsenvaltiossa, joka ei ole asianomaisen henkilön vakuutusjäsenvaltio, hoitojäsenvaltion on varmistettava, että rekisteröinnissä käytetään niitä kyseisen luonnollisen henkilön tunnistetietoja, jotka ovat käytössä vakuutusjäsenvaltiossa.

3.  Komissio määrittää täytäntöönpanosäädöksillä datan laatuvaatimukset, jotka koskevat tapauksen mukaan muun muassa semantiikkaa, yhdenmukaisuutta, tietojen rekisteröinnin johdonmukaisuutta, täsmällisyyttä ja täydellisyyttä, henkilökohtaisten sähköisten terveystietojen rekisteröimiselle sähköiseen potilaskertomusjärjestelmään. ▌

▌

Nämä täytäntöönpanosäädökset hyväksytään 68 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

Kun terveystietoja rekisteröidään tai päivitetään, sähköisissä potilaskertomuksissa on yksilöitävä rekisteröinnin tai päivityksen tehnyt terveydenhuollon ammattihenkilö, kellonaika, jolloin se tehtiin, ja asianomainen terveydenhuollon tarjoaja. Jäsenvaltiot voivat säätää tietojen rekisteröintiin liittyvien muiden seikkojen kirjaamisesta.

8 a artikla

Luonnollisten henkilöiden oikeus päästä henkilökohtaisiin sähköisiin terveystietoihinsa

1.   Luonnollisilla henkilöillä on oikeus päästä terveydenhuollon tarjoamista varten käsiteltäviin henkilökohtaisiin sähköisiin terveystietoihinsa, vähintään 5 artiklassa tarkoitettuihin prioriteettiluokkiin kuuluviin tietoihin, 8 a a artiklassa tarkoitetuissa sähköisten terveystietojen käyttöpalveluissa. Pääsy on annettava maksutta ja välittömästi sen jälkeen, kun henkilökohtaiset sähköiset terveystiedot on rekisteröity sähköiseen potilaskertomusjärjestelmään, tekninen toteutettavuus huomioon ottaen, ja tietojen on oltava helposti luettavassa, yhteen kootussa ja helposti saatavilla olevassa muodossa.

2.   Luonnollisilla henkilöillä tai heidän 8 a a artiklan 2 kohdassa tarkoitetuilla edustajillaan on oikeus ladata maksutta 8 a a artiklassa tarkoitetuista sähköisten terveystietojen käyttöpalveluista 6 artiklassa tarkoitetussa eurooppalaisessa sähköisten terveystietojen vaihtoformaatissa oleva sähköinen kopio vähintään niistä henkilökohtaisista sähköisistä terveystiedoistaan, jotka kuuluvat 5 artiklassa tarkoitettuihin prioriteettiluokkiin.

3.   Jäsenvaltiot voivat asetuksen (EU) 2016/679 23 artiklan mukaisesti rajoittaa 1 ja 2 kohdassa tarkoitettujen oikeuksien laajuutta erityisesti silloin, kun se on tarpeen luonnollisen henkilön suojelemiseksi potilasturvallisuuteen ja etiikkaan liittyvistä syistä, lykkäämällä luonnollisen henkilön pääsyä henkilökohtaisiin sähköisiin terveystietoihinsa rajoitetuksi ajaksi, kunnes terveydenhuollon ammattihenkilö voi asianmukaisesti antaa ja selittää luonnolliselle henkilölle tietoja, joilla voi olla merkittävä vaikutus tämän terveyteen.

8 a a artikla

Luonnollisille henkilöille ja heidän edustajilleen tarkoitetut sähköisten terveystietojen käyttöpalvelut

1.   Jäsenvaltioiden on varmistettava, että kansalliselle, alueelliselle tai paikalliselle tasolle perustetaan yksi tai useampi sähköisten terveystietojen käyttöpalvelu, jonka avulla luonnolliset henkilöt voivat saada pääsyn henkilökohtaisiin sähköisiin terveystietoihinsa ja voivat käyttää 8 a–8 f ja 8 h artiklassa tarkoitettuja oikeuksia. Tällaisten käyttöpalvelujen on oltava maksuttomia luonnollisille henkilöille ja heidän edustajilleen.

2.   Jäsenvaltioiden on varmistettava, että terveystietojen käyttöpalvelujen toiminnoksi perustetaan yksi tai useampi valtuutuspalvelu, jonka avulla

a)   luonnolliset henkilöt voivat antaa valitsemilleen muille luonnollisille henkilöille luvan päästä puolestaan heidän henkilökohtaisiin sähköisiin terveystietoihinsa tai osaan niistä tietyksi tai määräämättömäksi ajaksi ja tarvittaessa ainoastaan tiettyä tarkoitusta varten ja jonka avulla he voivat hallinnoida kyseisiä lupia; ja

b)   potilaiden lailliset edustajat voivat kansallisen lainsäädännön mukaisesti saada pääsyn niiden luonnollisten henkilöiden sähköisiin terveystietoihin, joiden asioita he hoitavat.

Jäsenvaltioiden on vahvistettava tällaisia lupia sekä edunvalvojien ja edustajien toimia koskevat säännöt.

2 a a.  Valtuutuspalvelujen on annettava luvat läpinäkyvällä ja helposti ymmärrettävällä tavalla maksutta joko sähköisesti tai paperimuodossa. Luonnollisille henkilöille ja heidän puolestaan toimiville henkilöille on tiedotettava siitä, mitä oikeuksia heidän lupaansa sisältyy, miten he voivat käyttää näitä oikeuksia ja mitä he voivat odottaa lupaprosessilta.

Valtuutuspalvelujen on tarjottava luonnollisille henkilöille helppo valitusmekanismi.

2 a b.  Valtuutuspalvelujen on oltava jäsenvaltioiden kesken yhteentoimivia. Komissio vahvistaa täytäntöönpanosäädöksillä tekniset eritelmät jäsenvaltioiden valtuutuspalvelujen yhteentoimivuuden varmistamiseksi. Nämä täytäntöönpanosäädökset hyväksytään 68 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

2 b.  Sähköisten terveystietojen käyttöpalvelujen ja valtuutuspalvelujen on oltava vammaisten henkilöiden, haavoittuvassa asemassa olevien ryhmien tai heikon digitaalisen lukutaidon omaavien henkilöiden helposti saavutettavissa.

8 b artikla

Luonnollisten henkilöiden oikeus lisätä tietoja sähköisiin potilaskertomuksiinsa

Luonnollisilla henkilöillä tai heidän 8 a a artiklan 2 kohdassa tarkoitetuilla edustajillaan on oikeus lisätä tietoja heidän sähköiseen potilaskertomukseensa 8 a a artiklassa tarkoitetuissa sähköisten terveystietojen käyttöpalveluissa tai näihin palveluihin liittyvissä sovelluksissa. Tällöin nämä tiedot on merkittävä selvästi erottuvalla tavalla asianomaisen luonnollisen henkilön tai hänen edustajansa syöttämiksi. Luonnollisilla henkilöillä ei saa olla mahdollisuutta muuttaa terveydenhuollon ammattihenkilöiden syöttämiä sähköisiä terveystietoja ja niihin liittyviä tietoja suoraan.

8 c artikla

Luonnollisten henkilöiden oikeus tietojen oikaisemiseen

Luonnollisilla henkilöillä on oltava mahdollisuus pyytää 8 a a artiklassa tarkoitetuissa sähköisten terveystietojen käyttöpalveluissa henkilötietojensa oikaisua helposti verkossa ja käyttää siten asetuksen (EU) 2016/679 16 artiklan mukaista oikeuttaan tietojensa oikaisemiseen. Rekisterinpitäjän on tarvittaessa vahvistettava pyynnössä annettujen tietojen täsmällisyys asianomaisen terveydenhuollon ammattihenkilön kanssa.

Jäsenvaltioiden lainsäädännössä voidaan myös antaa luonnollisille henkilöille mahdollisuus käyttää muita asetuksen (EU) 2016/679 III luvun mukaisia oikeuksia verkossa 8 a a artiklassa tarkoitetuissa sähköisten terveystietojen käyttöpalveluissa.

8 d artikla

Luonnollisten henkilöiden oikeus siirtää tiedot järjestelmästä toiseen

1.   Luonnollisilla henkilöillä on oikeus antaa terveydenhuollon tarjoajalle pääsy kaikkiin itseään koskeviin sähköisiin terveystietoihin tai osaan niistä tai pyytää tätä siirtämään kyseiset tiedot tai osa niistä valitsemalleen toiselle terveydenhuollon tarjoajalle välittömästi ja maksutta ja terveydenhuollon tarjoajan tai tämän käyttämien järjestelmien valmistajien estämättä.

2.  Jos terveydenhuollon tarjoajat sijaitsevat eri jäsenvaltioissa, luonnollisilla henkilöillä on oikeus siihen, että sähköiset terveystiedot siirretään 6 artiklassa tarkoitetussa eurooppalaisessa sähköisten terveystietojen vaihtoformaatissa 12 artiklassa tarkoitetun rajatylittävän infrastruktuurin kautta. Vastaanottavan terveydenhuollon tarjoajan on hyväksyttävä tällaiset tiedot ja voitava lukea ne.

3.  Luonnollisilla henkilöillä on oikeus pyytää terveydenhuollon tarjoajaa siirtämään heidän sähköisten terveystietojensa osia selkeästi yksilöidylle sosiaaliturva- tai korvausalan vastaanottajalle välittömästi ja maksutta ja terveydenhuollon tarjoajan tai tämän käyttämien järjestelmien valmistajien estämättä. Tällainen siirto saa olla vain yksisuuntaista.

4.  Jos luonnolliset henkilöt ovat saaneet sähköisen kopion 3 artiklan 2 kohdassa tarkoitetuista henkilökohtaisten sähköisten terveystietojensa prioriteettiluokista, heidän on voitava siirtää kyseiset tiedot valitsemilleen terveydenhuollon tarjoajille 6 artiklassa tarkoitetussa eurooppalaisessa sähköisten terveystietojen vaihtoformaatissa. Vastaanottavan tarjoajan on hyväksyttävä tällaiset tiedot ja tapauksen mukaan voitava lukea ne.

8 e artikla

Oikeus rajoittaa pääsyä

Luonnollisilla henkilöillä on oikeus rajoittaa terveydenhuollon ammattihenkilöiden ja terveydenhuollon tarjoajien pääsyä kaikkiin 8 a artiklassa tarkoitettuihin henkilökohtaisiin sähköisiin terveystietoihinsa tai osaan niistä.

Kun luonnolliset henkilöt käyttävät tätä oikeutta, heille on ilmoitettava, että tietoihin pääsyn rajoittaminen saattaa vaikuttaa heille tarjottavaan terveydenhuoltoon.

Luonnollisen henkilön tekemä rajoitus ei saa näkyä terveydenhuollon tarjoajille.

Jäsenvaltioiden on vahvistettava tällaisia rajoittamismekanismeja koskevat säännöt ja erityiset suojatoimet.

8 f artikla

Oikeus saada tietoa tietojen käytöstä

Luonnollisilla henkilöillä on oikeus saada tietoa (myös automaattisilla ilmoituksilla) henkilökohtaisten sähköisten terveystietojensa käytöstä terveydenhuollon yhteydessä terveydenhuollon ammattihenkilön tietojenkäyttöpalvelussa, myös 4 artiklan 4 kohdan mukaisesti annetusta pääsystä.

Tiedot on annettava viipymättä ja maksutta sähköisten terveystietojen käyttöpalveluissa. Tietojen on oltava saatavilla vähintään kolmen vuoden ajan kustakin tietojen käytöstä. Tiedoista on käytävä ilmi vähintään seuraavat seikat:

a)  tieto henkilökohtaisia sähköisiä terveystietoja käyttäneestä terveydenhuollon tarjoajasta tai muista henkilöistä;

b)  päivämäärä ja kellonaika, jona tietoja käytettiin;

c)  tieto siitä, mitä henkilökohtaisia sähköisiä terveystietoja käytettiin.

Jäsenvaltiot voivat säätää, että tätä oikeutta rajoitetaan poikkeustapauksissa, joissa tosiseikat viittaavat siihen, että tällaisen tiedon ilmaiseminen vaarantaisi terveydenhuollon ammattihenkilön elintärkeän edun tai oikeudet taikka luonnollisen henkilön hoidon.

8 h artikla

Luonnollisen henkilön oikeus kieltää ensisijainen käyttö

1.   Jäsenvaltiot voivat säätää, että luonnollisilla henkilöillä on oikeus kieltää pääsy sähköiseen potilaskertomusjärjestelmään rekisteröityihin henkilökohtaisiin sähköisiin terveystietoihinsa 8 a a ja -9 b artiklassa tarkoitetuissa sähköisten terveystietojen käyttöpalveluissa. Tässä tapauksessa jäsenvaltioiden olisi varmistettava, että tähän oikeuteen perustuva kielto voidaan peruuttaa.

Jos jäsenvaltio säätää tällaisesta oikeudesta, sen on vahvistettava tällaista vastustamismekanismia koskevat säännöt ja erityiset suojatoimet. Jäsenvaltiot voivat erityisesti mahdollistaa terveydenhuollon tarjoajan tai terveydenhuollon ammattihenkilön pääsyn henkilökohtaisiin sähköisiin terveystietoihin tapauksissa, joissa käsittely on tarpeen rekisteröidyn tai asetuksen (EU) 2016/679 9 artiklan 2 kohdan c alakohdassa tarkoitettujen toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi, vaikka potilas olisi käyttänyt oikeuttaan kieltää ensisijainen käyttö.

-9 a artikla

Terveydenhuollon ammattihenkilöiden pääsy henkilökohtaisiin sähköisiin terveystietoihin

1.   Kun terveydenhuollon ammattihenkilöt käsittelevät tietoja sähköisessä muodossa, heillä on oltava pääsy hoitamiensa luonnollisten henkilöiden asiaan liittyviin ja tarvittaviin henkilökohtaisiin sähköisiin terveystietoihin -9 b artiklassa tarkoitetuissa terveydenhuollon ammattihenkilöiden tietojenkäyttöpalveluissa vakuutusjäsenvaltiosta ja hoitojäsenvaltiosta riippumatta.

1 a.  Kun hoidettavan luonnollisen henkilön vakuutusjäsenvaltio on eri kuin hoitojäsenvaltio, hoidettavan luonnollisen henkilön sähköisiin terveystietoihin on tarjottava rajatylittävä pääsy 12 artiklassa tarkoitetussa infrastruktuurissa.

2.  Edellä 1 ja 1 a kohdassa tarkoitettu pääsy kattaa vähintään 5 artiklan mukaiset prioriteettiluokat.

Asetuksen (EU) 2016/679 5 artiklassa säädettyjen periaatteiden mukaisesti jäsenvaltioiden on annettava myös sääntöjä, joissa vahvistetaan henkilökohtaisten sähköisten terveystietojen luokat, joihin terveydenhuollon ammattihenkilöiden eri ryhmillä tai terveydenhuollon eri tehtävissä on pääsy.

Näissä säännöissä on otettava huomioon mahdollisuus asettaa rajoituksia 8 e artiklan mukaisesti.

2 a.  Jos hoitoa annetaan muussa jäsenvaltiossa kuin vakuutusjäsenvaltiossa, sovelletaan 1 a ja 2 kohdassa tarkoitettuja hoitojäsenvaltion sääntöjä.

3.  Jos luonnollinen henkilö on rajoittanut pääsyä sähköisiin terveystietoihinsa 8 e artiklan 1 kohdan nojalla, terveydenhuollon tarjoajalle tai terveydenhuollon ammattihenkilöille ei saa paljastaa niiden sähköisten terveystietojen sisältöä, joihin pääsyä on rajoitettu.

Jos pääsy on tarpeen rekisteröidyn elintärkeiden etujen suojaamiseksi, terveydenhuollon tarjoaja tai terveydenhuollon ammattihenkilö voi saada pääsyn myös näihin tietoihin.

Tällaiset tapahtumat on kirjattava selkeässä ja ymmärrettävässä muodossa ja niiden on oltava helposti rekisteröidyn saatavilla.

Jäsenvaltioiden lainsäädännössä voidaan säätää myös muista suojatoimista.

-9 b artikla

Terveydenhuollon ammattihenkilöiden tietojenkäyttöpalvelut

Jäsenvaltioiden on varmistettava, että terveydenhuollon ammattihenkilöillä on terveydenhuollon, myös rajatylittävän hoidon, tarjoamista varten terveydenhuollon ammattihenkilöiden tietojenkäyttöpalvelujen kautta pääsy niihin sähköisiin terveystietoihin, jotka kuuluvat 5 artiklassa tarkoitettuihin prioriteettiluokkiin.

Pääsy näihin palveluihin on oltava ainoastaan terveydenhuollon ammattihenkilöillä, joilla on hallussaan asetuksen (EU) N:o 910/2014 6 artiklan mukaisesti tunnustettu sähköisen tunnistamisen menetelmä tai muu 23 artiklassa tarkoitettujen yhteisten eritelmien mukainen sähköisen tunnistamisen menetelmä, ja pääsyn on oltava maksuton.

Sähköisissä potilaskertomuksissa olevat sähköiset terveystiedot on esitettävä käyttäjäystävällisesti, jotta terveydenhuollon ammattihenkilöiden olisi helppo käyttää niitä.

9 artikla

Tunnistamisen hallinta

1.  Kun luonnollinen henkilö käyttää 8 a a artiklassa tarkoitettuja sähköisten terveystietojen käyttöpalveluja, kyseisellä luonnollisella henkilöllä on oltava oikeus tunnistautua sähköisesti käyttäen mitä tahansa asetuksen (EU) N:o 910/2014 6 artiklan nojalla tunnustettua sähköisen tunnistamisen menetelmää. Jäsenvaltiot voivat säätää täydentävistä mekanismeista, joilla varmistetaan asianmukainen henkilöllisyyden linkittäminen rajatylittävissä tilanteissa.

2.  Komissio määrittää täytäntöönpanosäädöksillä luonnollisten henkilöiden ja terveydenhuollon ammattihenkilöiden yhteentoimivaa rajatylittävää tunnistamis- ja todentamismekanismia koskevat vaatimukset asetuksen (EU) N:o 910/2014 mukaisesti. Mekanismilla helpotetaan henkilökohtaisten sähköisten terveystietojen siirrettävyyttä rajatylittävissä tilanteissa. Nämä täytäntöönpanosäädökset hyväksytään 68 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

3.  Komissio toteuttaa yhteistyössä jäsenvaltioiden kanssa tämän artiklan 2 kohdassa tarkoitetun yhteentoimivan rajatylittävän tunnistamis- ja todentamismekanismin edellyttämät palvelut unionin tasolla osana 12 artiklan 3 kohdassa tarkoitettua rajatylittävää digitaalista terveysinfrastruktuuria.

4.  Komissio toteuttaa rajatylittävän tunnistamis- ja todentamismekanismin unionin tasolla, ja jäsenvaltioiden toimivaltaiset viranomaiset toteuttavat sen jäsenvaltioiden tasolla.

9 a artikla

Henkilökohtaisten sähköisten terveystietojen saataville asettamisen hyvittäminen

Vastaanottavaa tarjoajaa ei velvoiteta maksamaan terveydenhuollon tarjoajalle korvausta sähköisten terveystietojen saataville asettamisesta. Terveydenhuollon tarjoaja tai kolmas osapuoli ei saa suoraan tai välillisesti periä rekisteröidyiltä maksua, korvausta tai kuluja datan jakamisesta tai siihen pääsystä.

1 a jakso

10 artikla

Digitaalisesta terveydenhuollosta vastaava viranomainen

1.  Kunkin jäsenvaltion on nimettävä yksi tai useampi digitaalisesta terveydenhuollosta vastaava viranomainen, joka vastaa tämän luvun täytäntöönpanosta ja noudattamisen valvonnasta kansallisella tasolla. Jäsenvaltioiden on ilmoitettava digitaalisesta terveydenhuollosta vastaavien viranomaisten nimet komissiolle viimeistään tämän asetuksen soveltamisen alkamispäivänä. Jos jäsenvaltio on nimennyt useamman kuin yhden digitaalisesta terveydenhuollosta vastaavan viranomaisen ja jos digitaalisesta terveydenhuollosta vastaava viranomainen koostuu useista organisaatioista▌, jäsenvaltion on toimitettava komissiolle kuvaus näiden eri tahojen tehtävien eriyttämisestä. Komissio asettaa nämä tiedot julkisesti saataville. Jos jäsenvaltio nimeää useita digitaalisesta terveydenhuollosta vastaavia viranomaisia, sen on nimettävä yksi koordinaattoriksi.

2.  Kullekin digitaalisesta terveydenhuollosta vastaavalle viranomaiselle annetaan seuraavat tehtävät ja toimivaltuudet:

a)  varmistaa II ja III luvussa säädettyjen oikeuksien ja velvollisuuksien täytäntöönpano hyväksymällä tarvittavat kansalliset, alueelliset tai paikalliset tekniset ratkaisut ja vahvistamalla asiaa koskevat säännöt ja mekanismit;

b)  varmistaa, että täydelliset ja ajantasaiset tiedot II ja III luvussa säädettyjen oikeuksien ja velvollisuuksien täytäntöönpanosta ovat helposti luonnollisten henkilöiden, terveydenhuollon ammattihenkilöiden ja terveydenhuollon tarjoajien saatavilla;

c)  valvoa a alakohdassa tarkoitettuja teknisiä ratkaisuja toteutettaessa, että ne ovat II ja III luvun ja liitteen II mukaisia;

d)  edistää unionin tasolla sellaisten teknisten ratkaisujen kehittämistä, joiden avulla luonnolliset henkilöt ja terveydenhuollon ammattihenkilöt voivat käyttää tässä luvussa säädettyjä oikeuksiaan ja velvollisuuksiaan;

e)  helpottaa vammaisten henkilöiden mahdollisuuksia käyttää tämän asetuksen 3 artiklassa lueteltuja oikeuksiaan Euroopan parlamentin ja neuvoston direktiivin (EU) 2019/882(31) mukaisesti;

f)  valvoa digitaalisen terveydenhuollon kansallisia yhteyspisteitä ja tehdä yhteistyötä muiden digitaalisesta terveydenhuollosta vastaavien viranomaisten ja komission kanssa Minun terveyteni @ EU (MyHealth@EU) -infrastruktuurin kehittämiseksi edelleen;

g)  varmistaa eurooppalaisen sähköisten terveystietojen vaihtoformaatin täytäntöönpano kansallisella tasolla yhteistyössä kansallisten viranomaisten ja sidosryhmien kanssa;

h)  edistää unionin tasolla eurooppalaisen sähköisten terveystietojen vaihtoformaatin kehittämistä sekä laatuun, yhteentoimivuuteen, turvallisuuteen, helppokäyttöisyyteen, saavutettavuuteen, syrjimättömyyteen tai perusoikeuksiin liittyviä kysymyksiä koskevien yhteisten eritelmien laatimista 23 artiklan mukaisesti ja 32 artiklassa tarkoitetun sähköisten potilaskertomusjärjestelmien ja hyvinvointisovellusten EU:n tietokantaa koskevien eritelmien laatimista;

i)  suorittaa tarvittaessa markkinavalvontatoimia 28 artiklan mukaisesti varmistaen samalla, että vältetään eturistiriidat;

j)  kehittää kansallisia valmiuksia sähköisten terveystietojen ensisijaisen käytön yhteentoimivuuden ja turvallisuuden toteuttamiseksi ja osallistua tietojenvaihtoon ja valmiuksien kehittämistoimiin unionin tasolla;

▌

l)  tehdä yhteistyötä markkinavalvontaviranomaisten kanssa, osallistua toimiin, jotka liittyvät sähköisistä potilaskertomusjärjestelmistä aiheutuvien riskien ja vakavien vaaratilanteiden käsittelyyn, ja valvoa korjaavien toimien toteuttamista 29 artiklan mukaisesti;

m)  tehdä yhteistyötä muiden asiaankuuluvien paikallisen, alueellisen, kansallisen tai unionin tason toimijoiden ja elinten kanssa sähköisten terveystietojen yhteentoimivuuden, siirrettävyyden ja turvallisuuden varmistamiseksi ▌;

n)  tehdä yhteistyötä valvontaviranomaisten kanssa asetuksen (EU) N:o 910/2014, asetuksen (EU) 2016/679 ja direktiivin (EU) 2022/2555 mukaisesti sekä muiden asiaankuuluvien viranomaisten kanssa, mukaan lukien kyberturvallisuuden ja sähköisen tunnistamisen osalta toimivaltaiset viranomaiset.

▌

4.  Kunkin jäsenvaltion on varmistettava, että jokainen digitaalisesta terveydenhuollosta vastaava viranomainen saa sellaiset tekniset ja taloudelliset resurssit, henkilöresurssit, tilat ja infrastruktuurin, joita sen tehtävien tehokas suorittaminen ja toimivaltuuksien käyttäminen edellyttävät.

5.  Digitaalisesta terveydenhuollosta vastaavan viranomaisen on tehtäviään suorittaessaan vältettävä eturistiriidat. Digitaalisesta terveydenhuollosta vastaavan viranomaisen henkilöstön on toimittava yleisen edun mukaisesti ja riippumattomasti.

5 a.   Digitaalisesta terveydenhuollosta vastaavien viranomaisten on tehtäviään suorittaessaan tehtävä aktiivisesti yhteistyötä asiaankuuluvien sidosryhmien edustajien, muun muassa potilaiden edustajien, terveydenhuollon tarjoajien ja terveydenhuollon ammattihenkilöiden edustajien, mukaan lukien terveydenhuollon ammattihenkilöiden yhdistykset, kuluttajajärjestöt ja toimialajärjestöt, kanssa ja kuultava niitä.

10 a artikla

Digitaalisesta terveydenhuollosta vastaavan viranomaisen raportointitehtävät

1.  Digitaalisesta terveydenhuollosta vastaavan viranomaisen on julkaistava joka toinen vuosi toimintakertomus, joka sisältää kattavan yleiskatsauksen sen toiminnasta. Jos jäsenvaltio nimeää useamman kuin yhden digitaalisesta terveydenhuollosta vastaavan viranomaisen, yksi niistä on vastuussa kertomuksesta ja pyytää tarvittavat tiedot muilta digitaalisesta terveydenhuollosta vastaavilta viranomaisilta. Joka toinen vuosi laadittavassa toimintakertomuksessa on noudatettava unionin tasolla eurooppalaisen terveystietoalueen neuvostossa sovittua rakennetta▌. Kertomuksessa on oltava tiedot vähintään seuraavista:

a)  toimenpiteet tämän asetuksen täytäntöön panemiseksi;

b)  niiden luonnollisten henkilöiden prosenttiosuus, joilla on pääsy sähköisten potilaskertomustensa eri tietoluokkiin;

c)  tiedot luonnollisten henkilöiden esittämien tämän asetuksen mukaisten oikeuksien käyttämistä koskevien pyyntöjen käsittelystä;

d)  Minun terveyteni @ EU (MyHealth@EU) -infrastruktuuriin liittyneiden erityyppisten terveydenhuollon tarjoajien, mukaan lukien apteekit, sairaalat ja muut hoitoyksiköt, lukumäärä laskettuna

a)  absoluuttisesti,

b)  osuutena kaikista samantyyppisistä terveydenhuollon tarjoajista ja

c)  osuutena luonnollisista henkilöistä, jotka voivat käyttää palveluja;

e)  Minun terveyteni @ EU (MyHealth@EU) -infrastruktuurin kautta yli valtioiden rajojen jaettujen eri luokkiin kuuluvien sähköisten terveystietojen määrät;

▌

f)  niiden tapausten lukumäärä, joissa pakollisia vaatimuksia ei ole noudatettu.

▌

11 artikla

Oikeus tehdä valitus digitaalisesta terveydenhuollosta vastaavalle viranomaiselle

1.  Luonnollisilla henkilöillä ja oikeushenkilöillä, joko yksin tai tarvittaessa yhteisesti, on oikeus tehdä digitaalisesta terveydenhuollosta vastaavalle viranomaiselle tämän luvun säännöksiin liittyvä valitus, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai oikeussuojakeinoja. Jos valitus koskee tämän asetuksen 8 a – 8 f ja 8 h artiklan mukaisia luonnollisten henkilöiden oikeuksia, digitaalisesta terveydenhuollosta vastaavan viranomaisen on toimitettava valitus asiasta asetuksen (EU) 2016/679 mukaisille toimivaltaisille valvontaviranomaisille. Digitaalisesta terveydenhuollosta vastaavan viranomaisen on toimitettava asetuksen (EU) 2016/679 mukaiselle toimivaltaiselle valvontaviranomaiselle käytettävissään olevat tiedot, joita tarvitaan sen arvioinnin ja tutkimisen helpottamiseksi.

2.  Sen digitaalisesta terveydenhuollosta vastaavan toimivaltaisen viranomaisen, jolle valitus on tehty, on ilmoitettava valituksen tekijälle kansallisen lainsäädännön mukaisesti valituksen käsittelyn etenemisestä ja sitä koskevasta päätöksestä, tapauksen mukaan myös siitä, että valitus on toimitettu asetuksen (EU) 2016/679 mukaiselle asiaankuuluvalle valvontaviranomaiselle ja että mainittu valvontaviranomainen toimii valituksen toimittamisesta alkaen valituksen tekijän ainoana yhteyspisteenä kyseisessä asiassa.

3.  Eri jäsenvaltioiden digitaalisesta terveydenhuollosta vastaavien viranomaisten on tehtävä yhteistyötä, muun maussa vaihtamalla kaikkia asiaankuuluvia tietoja sähköisesti, jotta henkilökohtaisten sähköisten terveystietojen rajatylittävään vaihtoon ja niihin pääsyyn liittyvät valitukset voidaan käsitellä ja ratkaista ilman aiheetonta viivytystä.

3 a.   Kunkin digitaalisesta terveydenhuollosta vastaavan viranomaisen on helpotettava valitusten tekemistä.

11 a artikla

Suhde tietosuojavalvontaviranomaisiin

Valvontaviranomainen tai -viranomaiset, jotka vastaavat asetuksen (EU) 2016/679 täytäntöönpanon seuraamisesta ja valvonnasta, vastaavat myös 8 a–8 f ja 8 h artiklan soveltamisen seuraamisesta ja valvonnasta. Asetuksen (EU) 2016/679 asiaa koskevia säännöksiä sovelletaan soveltuvin osin. Näillä valvontaviranomaisilla on toimivalta määrätä hallinnollisia seuraamusmaksuja enintään mainitun asetuksen 83 artiklan 5 kohdassa tarkoitettuun määrään asti. Niiden ja tämän asetuksen 10 artiklassa tarkoitettujen digitaalisesta terveydenhuollosta vastaavien viranomaisten on tarvittaessa tehtävä yhteistyötä toimivaltansa puitteissa tämän asetuksen panemiseksi täytäntöön.

2 jakso

Rajatylittävä infrastruktuuri henkilökohtaisten sähköisten terveystietojen toissijaista käyttöä varten

12 artikla

Minun terveyteni @ EU (MyHealth@EU)

1.  Komissio perustaa digitaalisen terveydenhuollon yhteentoimivuuden keskusalustan eli Minun terveyteni @ EU (MyHealth@EU) -infrastruktuurin tarjoamaan palveluja, joilla tuetaan ja helpotetaan henkilökohtaisten sähköisten terveystietojen vaihtoa jäsenvaltioiden digitaalisen terveydenhuollon kansallisten yhteyspisteiden välillä.

2.  Kunkin jäsenvaltion on nimettävä yksi digitaalisen terveydenhuollon kansallinen yhteyspiste organisatoriseksi ja tekniseksi väyläksi sellaisten palvelujen tarjoamista varten, jotka liittyvät henkilökohtaisten sähköisten terveystietojen rajatylittävään vaihtoon ensisijaisen käytön yhteydessä. Kansallisen yhteyspisteen on liitettävä itsensä kaikkiin muihin digitaalisen terveydenhuollon kansallisiin yhteyspisteisiin ja digitaalisen terveydenhuollon yhteentoimivuuden keskusalustaan rajatylittävässä Minun terveyteni @ EU (MyHealth@EU) -infrastruktuurissa. Jos digitaalisen terveydenhuollon kansalliseksi yhteyspisteeksi nimetty taho koostuu erilaisten palvelujen toteuttamisesta vastaavista useista organisaatioista, jäsenvaltion on toimitettava komissiolle kuvaus organisaatioiden tehtävien eriyttämisestä. ▌Kunkin jäsenvaltion on ilmoitettava digitaalisen terveydenhuollon kansallisen yhteyspisteen nimi komissiolle viimeistään [tämän asetuksen soveltamisen alkamispäivä]. Tällainen yhteyspiste voidaan perustaa tämän asetuksen 10 artiklalla perustetun digitaalisesta terveydenhuollosta vastaavan viranomaisen yhteyteen. Jäsenvaltioiden on ilmoitettava komissiolle kaikki näiden yhteyspisteiden tietoja koskevat myöhemmät muutokset. Komissio ja jäsenvaltiot asettavat nämä tiedot julkisesti saataville.

3.  Kunkin digitaalisen terveydenhuollon kansallisen yhteyspisteen on mahdollistettava 5 artiklan 1 kohdassa tarkoitettujen henkilökohtaisten sähköisten terveystietojen vaihto ▌muiden kansallisten yhteyspisteiden kanssa Minun terveyteni @ EU (MyHealth@EU) ‑infrastruktuurissa. Tietojenvaihdon on perustuttava eurooppalaiseen sähköisten terveystietojen vaihtoformaattiin. Jos jäsenvaltiot sallivat uusia luokkia, digitaalisen terveydenhuollon kansallisen yhteyspisteen on mahdollistettava 5 artiklan 1 kohdan a alakohdassa tarkoitettujen sähköisten terveystietojen uusien luokkien vaihto siltä osin kuin jäsenvaltion lainsäädännössä on säädetty näihin henkilökohtaisten sähköisten terveystietojen luokkiin pääsystä ja niiden vaihtamisesta 5 artiklan 1 kohdan a alakohdan mukaisesti.

4.  Komissio hyväksyy täytäntöönpanosäädöksillä tarvittavat toimenpiteet Minun terveyteni @ EU (MyHealth@EU) -infrastruktuurin teknistä kehittämistä varten, yksityiskohtaiset säännöt, jotka koskevat henkilökohtaisten sähköisten terveystietojen turvallisuutta, luottamuksellisuutta ja suojaamista, sekä edellytykset vaatimustenmukaisuustarkastuksille, jotka ovat tarpeen Minun terveyteni @ EU (MyHealth@EU) -infrastruktuuriin liittymiseksi ja siinä pysymiseksi ▌. Nämä täytäntöönpanosäädökset hyväksytään 68 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

5.  Jäsenvaltioiden on varmistettava, että kaikki terveydenhuollon tarjoajat ovat liittyneet omiin digitaalisen terveydenhuollon kansallisiin yhteyspisteisiinsä. Jäsenvaltioiden on varmistettava, että ▌liittyneet terveydenhuollon tarjoajat ▌pystyvät vaihtamaan sähköisiä terveystietoja kaksisuuntaisesti digitaalisen terveydenhuollon kansallisen yhteyspisteen kanssa.

6.  Jäsenvaltioiden on varmistettava, että niiden alueilla toimivat apteekit, verkkoapteekit mukaan lukien, pystyvät toimittamaan lääkkeitä muiden jäsenvaltioiden antamien sähköisten reseptien perusteella direktiivin 2011/24/EU 11 artiklassa säädetyin edellytyksin. Apteekeilla on oltava pääsy muista jäsenvaltioista Minun terveyteni @ EU (MyHealth@EU) -infrastruktuurin kautta lähetettyihin sähköisiin resepteihin, ja niiden on hyväksyttävä tällaiset reseptit edellyttäen, että direktiivin 2011/24/EU 11 artiklan vaatimukset täyttyvät. Kun lääkkeet on toimitettu toisessa jäsenvaltiossa annetun sähköisen reseptin perusteella, apteekkien on ilmoitettava siitä reseptin antaneelle jäsenvaltiolle Minun terveyteni @ EU (MyHealth@EU) -infrastruktuurin kautta.

7.  Digitaalisen terveydenhuollon kansalliset yhteyspisteet toimivat Minun terveyteni @ EU (MyHealth@EU) -infrastruktuurissa ilmoitettujen henkilökohtaisten sähköisten terveystietojen yhteisrekisterinpitäjinä niiden käsittelytoimien osalta, joihin ne osallistuvat. Komissio toimii henkilötietojen käsittelijänä.

8.  Komissio vahvistaa täytäntöönpanosäädöksillä säännöt kyberturvallisuutta, teknistä yhteentoimivuutta, semanttista yhteentoimivuutta, toimintoja ja palvelunhallintaa koskevista vaatimuksista, jotka liittyvät tämän artiklan 7 kohdassa tarkoitetun henkilötietojen käsittelijän suorittamaan käsittelyyn ja vastuisiin, joita sillä on rekisterinpitäjiä kohtaan asetuksen (EU) 2016/679 IV luvun mukaisesti. Nämä täytäntöönpanosäädökset hyväksytään 68 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

9.  Edellä 2 kohdassa tarkoitettujen kansallisten yhteyspisteiden on täytettävä 4 kohdan mukaisesti vahvistetut edellytykset, jotka koskevat Minun terveyteni @ EU (MyHealth@EU) -infrastruktuuriin liittymistä ja siinä pysymistä. Komissio todentaa vaatimuksenmukaisuustarkastuksilla sen, noudattavatko ne näitä vaatimuksia.

13 artikla

Täydentävät rajatylittävät digitaaliset terveyspalvelut ja -infrastruktuurit

1.  Jäsenvaltiot voivat tarjota Minun terveyteni @ EU (MyHealth@EU) -infrastruktuurin kautta lisäpalveluja, jotka helpottavat terveydenhuollon etäpalvelujen ja mobiilipalvelujen tarjoamista, luonnollisten henkilöiden pääsyä muille kielille käännettyihin terveystietoihinsa ja terveyteen liittyvien todistusten vaihtoa tai todentamista, myös kun on kyse kansanterveyttä ja sen seurantaa tukevista rokotustodistuspalveluista tai digitaalisen terveydenhuollon järjestelmistä, palveluista ja yhteentoimivista sovelluksista, jotta voidaan edistää luottamuksen ja turvallisuuden korkeaa tasoa ja hoidon katkeamattomuutta sekä varmistaa turvallisen ja laadukkaan terveydenhuollon saatavuus. Komissio vahvistaa täytäntöönpanosäädöksillä näihin palveluihin liittyvät tekniset näkökohdat. Nämä täytäntöönpanosäädökset hyväksytään 68 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

2.  Komissio ja jäsenvaltiot voivat helpottaa henkilökohtaisten sähköisten terveystietojen vaihtoa muiden infrastruktuurien, kuten kliinisen potilashoidon asiantuntijajärjestelmän taikka muiden sellaisten terveys-, hoiva- ja sosiaaliturva-alojen palvelujen ja infrastruktuurien kanssa, joista voi tulla Minun terveyteni @ EU (MyHealth@EU) ‑infrastruktuurin hyväksyttyjä osallistujia. Komissio vahvistaa täytäntöönpanosäädöksillä tällaiseen vaihtoon liittyvät tekniset näkökohdat. Nämä täytäntöönpanosäädökset hyväksytään 68 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. Päätöksen toisen infrastruktuurin liittämisestä digitaalisen terveydenhuollon keskusalustaan sekä sen poistamisesta tältä alustalta tekee komissio täytäntöönpanosäädöksillä tällaisen tietojenvaihdon 1 alakohdassa tarkoitettuja teknisiä näkökohtia koskevien vaatimustenmukaisuustarkastusten tulosten perusteella. Nämä täytäntöönpanosäädökset hyväksytään 68 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

3.  Kolmannen maan kansallisesta yhteyspisteestä tai kansainvälisellä tasolla perustetusta järjestelmästä voi tulla Minun terveyteni @ EU (MyHealth@EU) -infrastruktuurin hyväksytty osallistuja edellyttäen, että se täyttää Minun terveyteni @ EU (MyHealth@EU) -infrastruktuurin vaatimukset, jotka koskevat 12 artiklassa tarkoitettua henkilökohtaisten sähköisten terveystietojen vaihtoa, että tällaisesta liittämisestä johtuva siirto on asetuksen (EU) 2016/679 V luvun sääntöjen mukaista ja että organisatorisia, operatiivisia, semanttisia, teknisiä ja kyberturvallisuustoimenpiteitä koskevat vaatimukset vastaavat vaatimuksia, joita sovelletaan jäsenvaltioihin Minun terveyteni @ EU (MyHealth@EU) -infrastruktuurin toiminnassa. Komissio todentaa vaatimuksenmukaisuustarkastuksella 1 alakohdassa tarkoitetut vaatimukset.

Vaatimustenmukaisuustarkastuksen tulosten perusteella komissio voi täytäntöönpanosäädöksellä päättää kolmannen maan kansallisen yhteyspisteen tai kansainvälisellä tasolla perustetun järjestelmän liittämisestä Minun terveyteni @ EU (MyHealth@EU) -infrastruktuuriin sekä sen poistamisesta siitä. Nämä täytäntöönpanosäädökset hyväksytään 68 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

Komissio ylläpitää luetteloa Minun terveyteni @ EU (MyHealth@EU) -infrastruktuuriin tämän kohdan nojalla liitetyistä kolmannen maan kansallisista yhteyspisteistä tai kansainvälisellä tasolla perustetuista järjestelmistä ja asettaa sen julkisesti saataville.

III luku

Sähköiset potilaskertomusjärjestelmät ja hyvinvointisovellukset

1 jakso

Sähköisten potilaskertomusten soveltamisala ja niitä koskevat yleiset säännökset

13 a artikla

Sähköisten potilaskertomusten yhdenmukaistetut komponentit

1.   Sähköisiin potilaskertomusjärjestelmiin on sisällyttävä ”sähköisten potilaskertomusjärjestelmien eurooppalainen yhteentoimivuuskomponentti” ja ”sähköisten potilaskertomusjärjestelmien eurooppalainen lokikomponentti”, jäljempänä ’yhdenmukaistetut komponentit’, tässä luvussa vahvistettujen säännösten mukaisesti.

2.   Tätä lukua ei sovelleta terveydenhuollossa käytettäviin yleiskäyttöisiin ohjelmistoihin.

13 b artikla

Markkinoille saattaminen ja käyttöönotto

1.   Edellä 13 a artiklan 1 kohdassa tarkoitettuja sähköisiä potilaskertomusjärjestelmiä saa saattaa markkinoille tai ottaa käyttöön ainoastaan, jos ne ovat tässä luvussa vahvistettujen säännösten mukaisia.

2.   Unioniin sijoittautuneissa terveydenhuollon yksiköissä kehitettyjä ja käytettäviä sähköisiä potilaskertomusjärjestelmiä ja Euroopan parlamentin ja neuvoston direktiivin (EU) 2015/1535(32) 1 artiklan 1 kohdan b alakohdassa tarkoitettuna palveluna unioniin sijoittautuneelle luonnolliselle henkilölle tai oikeushenkilölle tarjottavia sähköisiä potilaskertomusjärjestelmiä pidetään käyttöön otettuina.

3.   Jäsenvaltiot eivät saa kieltää tai rajoittaa tämän asetuksen mukaisten sähköisten potilaskertomusjärjestelmien markkinoille saattamista sellaisten näkökohtien vuoksi, jotka liittyvät tällä asetuksella säänneltyihin yhdenmukaistettuihin komponentteihin.

14 artikla

Vuorovaikutus lääkinnällisiä laitteita, in vitro -diagnostiikkaan tarkoitettuja lääkinnällisiä laitteita ja tekoälyjärjestelmiä koskevan lainsäädännön kanssa

1.  Sähköisiin potilaskertomusjärjestelmiin on sisällyttävä ”sähköisten potilaskertomusjärjestelmien eurooppalainen yhteentoimivuuskomponentti” ja ”sähköisten potilaskertomusjärjestelmien eurooppalainen lokikomponentti”, jäljempänä ’yhdenmukaistetut komponentit’, tässä luvussa vahvistettujen säännösten mukaisesti.

▌

3.  Asetuksen (EU) 2017/745 2 artiklan 1 kohdassa määriteltyjen lääkinnällisten laitteiden valmistajien ja asetuksen (EU) 2017/746 2 artiklan 2 kohdassa määriteltyjen in vitro ‑diagnostiikkaan tarkoitettujen lääkinnällisten laitteiden valmistajien, jotka ilmoittavat kyseisten lääkinnällisten laitteiden olevan yhteentoimivia sähköisten potilaskertomusjärjestelmien yhdenmukaistettujen komponenttien kanssa, on osoitettava niiden täyttävän tämän asetuksen liitteessä II olevassa 2 jaksossa vahvistetut sähköisten potilaskertomusjärjestelmien eurooppalaista yhteentoimivuuskomponenttia ja sähköisten potilaskertomusjärjestelmien eurooppalaista lokikomponenttia koskevat olennaiset vaatimukset. Kyseisiin lääkinnällisiin laitteisiin sovelletaan tämän luvun 23 artiklaa.

4.  Asetuksen [...] [tekoälysäädös 2021/0106(COD)] 6 artiklassa määriteltyjen, asetuksen (EU) 2017/745 soveltamisalaan kuulumattomien suuririskisten tekoälyjärjestelmien tarjoajien, jotka ilmoittavat kyseisten tekoälyjärjestelmien olevan yhteentoimivia sähköisten potilaskertomusjärjestelmien yhdenmukaistettujen komponenttien kanssa, on osoitettava niiden täyttävän tämän asetuksen liitteessä II olevassa 2 jaksossa vahvistetut sähköisten potilaskertomusjärjestelmien eurooppalaista yhteentoimivuuskomponenttia ja sähköisten potilaskertomusjärjestelmien eurooppalaista lokikomponenttia koskevat olennaiset vaatimukset. Kyseisiin suuririskisiin tekoälyjärjestelmiin sovelletaan tämän luvun 23 artiklaa.

5.  Jäsenvaltiot voivat pitää voimassa tai määritellä erityisiä sääntöjä, jotka koskevat sähköisten potilaskertomusjärjestelmien hankintaa, korvaamista tai rahoitusta terveydenhuoltopalvelujen järjestämisen, suorittamisen tai rahoittamisen yhteydessä edellyttäen, että tällaiset vaatimukset ovat yhdenmukaisia unionin oikeuden kanssa eivätkä vaikuta yhdenmukaistettujen komponenttien toimintaan tai vaatimustenmukaisuuteen.

▌

16 artikla

Väitteet

Sähköisiin potilaskertomusjärjestelmiin liittyvissä tietolomakkeissa, käyttöohjeissa ja muissa tiedoissa sekä niihin liittyvässä mainonnassa ei saa käyttää tekstiä, nimiä, tavaramerkkejä, kuvia, kuviomerkkejä tai muita merkkejä, jotka voivat johtaa asetuksessa (EU) 2018/1807 määriteltyä ammattimaista käyttäjää harhaan laitteen käyttötarkoituksen, yhteentoimivuuden ja turvallisuuden osalta siitä syystä, että

a)  sähköisessä potilaskertomusjärjestelmässä ilmoitetaan olevan toimintoja ja ominaisuuksia, joita siinä ei ole;

b)  ammattimaiselle käyttäjälle ei ilmoiteta sähköisen potilaskertomusjärjestelmän yhteentoimivuus- tai turvaominaisuuksien todennäköisistä rajoituksista, jotka liittyvät sen käyttötarkoitukseen;

c)  sähköistä potilaskertomusjärjestelmää ehdotetaan käytettäväksi tavoilla, joita ei mainita teknisessä dokumentaatiossa osana käyttötarkoitusta.

16 a artikla

Sähköisten potilaskertomusjärjestelmien hankinta, korvaaminen ja rahoitus

Jäsenvaltiot voivat pitää voimassa tai määrittää erityisiä sääntöjä, jotka koskevat sähköisten potilaskertomusjärjestelmien hankintaa, korvaamista tai rahoitusta terveydenhuoltopalvelujen järjestämisen, suorittamisen tai rahoittamisen yhteydessä edellyttäen, että tällaiset vaatimukset ovat yhdenmukaisia unionin oikeuden kanssa eivätkä vaikuta yhdenmukaistettujen komponenttien toimintaan tai vaatimustenmukaisuuteen.

2 jakso

Sähköisiä potilaskertomusjärjestelmiä koskevat talouden toimijoiden velvollisuudet

17 artikla

Sähköisten potilaskertomusjärjestelmien valmistajien velvollisuudet

1.  Sähköisten potilaskertomusjärjestelmien valmistajien on

a)  varmistettava, että siltä osin kuin tässä luvussa vahvistetaan niitä koskevat vaatimukset, niiden sähköisten potilaskertomusjärjestelmien yhdenmukaistetut komponentit ja itse sähköiset potilaskertomusjärjestelmät ovat liitteessä II vahvistettujen olennaisten vaatimusten ja 23 artiklan mukaisten yhteisten eritelmien mukaisia;

a a)   varmistettava, että saman sähköisen potilaskertomusjärjestelmän muut komponentit eivät estä niiden sähköisten potilaskertomusjärjestelmien komponentteja tai vaikuta niihin kielteisesti;

b)  laadittava sähköisiä potilaskertomusjärjestelmiään koskeva tekninen dokumentaatio 24 artiklan mukaisesti ennen järjestelmiensä saattamista markkinoille ja pidettävä se tämän jälkeen ajan tasalla;

c)  varmistettava, että niiden sähköisiin potilaskertomusjärjestelmiin liitetään käyttäjille maksutta 25 artiklassa säädetty tietolomake sekä selkeät ja kattavat käyttöohjeet;

d)  laadittava ▌EU-vaatimustenmukaisuusvakuutus 26 artiklan mukaisesti;

e)  kiinnitettävä CE-merkintä 27 artiklan mukaisesti;

e a)   ilmoitettava sähköisessä potilaskertomusjärjestelmässä nimi, rekisteröity liikenimi tai rekisteröity tavaramerkki sekä postiosoite ja verkkosivusto, sähköpostiosoite tai muu sähköinen yhteystieto, josta valmistajaan saa yhteyden; osoitteessa on ilmoitettava yksi yhteyspiste, jonka kautta valmistajaan saa yhteyden, ja yhteystiedot on esitettävä käyttäjien ja markkinavalvontaviranomaisten helposti ymmärtämällä kielellä;

f)  täytettävä 32 artiklan mukaiset rekisteröintivelvollisuudet;

g)  toteutettava ilman aiheetonta viivytystä kaikki tarvittavat korjaavat toimet sähköisten potilaskertomusjärjestelmiensä osalta, jos ne katsovat tai niillä on syytä uskoa, että nämä järjestelmät eivät ole tai eivät enää ole liitteessä II vahvistettujen olennaisten vaatimusten mukaisia, tai huolehdittava tällaisten järjestelmien palautusmenettelystä tai markkinoilta poistamisesta; niiden on tämän jälkeen ilmoitettava vaatimustenvastaisuudesta ja toteutetuista korjaavista toimista, myös niiden toteuttamisen aikataulusta, niiden jäsenvaltioiden kansallisille viranomaisille, joissa ne ovat asettaneet sähköisen potilaskertomusjärjestelmänsä saataville tai ottaneet sen käyttöön, kun niiden sähköisen potilaskertomusjärjestelmän kyseessä olevat yhdenmukaistetut komponentit on saatettu vaatimusten mukaisiksi ja kun niiden palautusmenettely on järjestetty tai ne on poistettu markkinoilta;

h)  tiedotettava välittömästi sähköisten potilaskertomusjärjestelmiensä jakelijoille ja tapauksen mukaan valtuutetulle edustajalle, maahantuojille ja käyttäjille vaatimustenvastaisuudesta ja kaikista korjaavista toimista sekä kyseisen järjestelmän palautusmenettelyistä tai markkinoilta poistamisista;

i)  tiedotettava sähköisten potilaskertomusjärjestelmiensä jakelijoille ja tapauksen mukaan valtuutetulle edustajalle ja maahantuojille kaikista pakollisista ennaltaehkäisevistä ylläpitotoimenpiteistä ja siitä, miten usein niitä toteutetaan;

j)  annettava jäsenvaltioiden markkinavalvontaviranomaisille pyynnöstä jäsenvaltion virallisella kielellä kaikki tiedot ja asiakirjat, jotka ovat tarpeen sen osoittamiseksi, että niiden markkinoille saattama tai käyttöön ottama sähköinen potilaskertomusjärjestelmä on liitteessä II säädettyjen olennaisten vaatimusten mukainen;

k)  tehtävä markkinavalvontaviranomaisten kanssa näiden pyynnöstä yhteistyötä jäsenvaltion virallisella kielellä toimissa, joita toteutetaan niiden markkinoille saattamien tai käyttöön ottamien sähköisten potilaskertomusjärjestelmien saattamiseksi liitteessä II ja 27 a artiklassa vahvistettujen olennaisten vaatimusten mukaisiksi;

k a)   perustettava valituskanavat ja pidettävä kirjaa valituksista ja vaatimustenvastaisista sähköisistä potilaskertomusjärjestelmistä sekä tiedotettava jakelijoille kaikesta tällaisesta seurannasta.

2.  Sähköisten potilaskertomusjärjestelmien valmistajien on huolehdittava siitä, että käytössä on menettelyt sen varmistamiseksi, että 2 artiklan 2 kohdan n c ja n d alakohdassa määritellyt sähköisen potilaskertomusjärjestelmän komponentit noudattavat jatkuvasti liitteessä II vahvistettuja olennaisia vaatimuksia ja 23 artiklassa tarkoitettuja yhteisiä eritelmiä. Sähköisen potilaskertomusjärjestelmän suunnitteluun tai ominaisuuksiin tehtävät muutokset, jotka koskevat näitä yhdenmukaistettuja komponentteja, on otettava asianmukaisesti huomioon ja esitettävä teknisessä dokumentaatiossa.

3.  Sähköisten potilaskertomusjärjestelmien valmistajien on säilytettävä tekninen dokumentaatio ja EU-vaatimustenmukaisuusvakuutus kymmenen vuoden ajan sen jälkeen, kun ▌EU-vaatimustenmukaisuusvakuutuksen kattama sähköinen potilaskertomusjärjestelmä on saatettu markkinoille.

Tekniseen dokumentaatioon sisältyvä lähdekoodi tai ohjelmointilogiikka on toimivaltaisten kansallisten viranomaisten perustellusta pyynnöstä asetettava niiden saataville, jos ne tarvitsevat lähdekoodia tai ohjelmointilogiikkaa voidakseen tarkistaa, noudatetaanko liitteessä II säädettyjä olennaisia vaatimuksia.

3 a.   Unionin ulkopuolelle sijoittautuneen sähköisten potilaskertomusjärjestelmien valmistajan on varmistettava, että sen valtuutettu edustaja voi helposti asettaa saataville tarvittavat asiakirjat 18 artiklan 2 kohdassa tarkoitettujen tehtävien hoitamiseksi.

3 b.   Valmistajien on markkinavalvontaviranomaisen perustellusta pyynnöstä annettava tälle tämän helposti ymmärtämällä kielellä paperimuodossa tai sähköisessä muodossa kaikki tiedot ja asiakirjat, jotka ovat tarpeen sen osoittamiseksi, että sähköinen potilaskertomusjärjestelmä on liitteessä II säädettyjen olennaisten vaatimusten ja 23 artiklassa tarkoitettujen yhteisten eritelmien mukainen. Valmistajien on tehtävä kyseisen viranomaisen kanssa tämän pyynnöstä yhteistyötä kaikissa toimenpiteissä, joita toteutetaan niiden markkinoille saattaman tai käyttöön ottaman sähköisen potilaskertomusjärjestelmän aiheuttamien riskien poistamiseksi.

18 artikla

Valtuutetut edustajat

1.  Ennen kuin unionin ulkopuolelle sijoittautuneet sähköisten potilaskertomusjärjestelmien valmistajat voivat asettaa sähköisen potilaskertomusjärjestelmän saataville unionin markkinoilla, niiden on nimettävä kirjallisella toimeksiannolla unioniin sijoittautunut valtuutettu edustaja.

2.  Valtuutetun edustajan on suoritettava valmistajan kanssa sovitussa toimeksiannossa määritellyt tehtävät. Toimeksiannon perusteella valtuutetun edustajan on voitava suorittaa ainakin seuraavat tehtävät:

a)  pitää EU-vaatimustenmukaisuusvakuutus ja tekninen dokumentaatio markkinavalvontaviranomaisten saatavilla 17 artiklan 3 kohdassa tarkoitetun ajan;

b)  antaa asianomaisten jäsenvaltioiden viranomaisille markkinavalvontaviranomaisen perustellusta pyynnöstä jäljennös toimeksiannosta, jossa on kaikki tiedot ja asiakirjat, jotka ovat tarpeen sen osoittamiseksi, että sähköinen potilaskertomusjärjestelmä on liitteessä II säädettyjen olennaisten vaatimusten sekä 23 artiklassa tarkoitettujen yhteisten eritelmien mukainen;

b a)   ilmoittaa ilman aiheetonta viivytystä valmistajalle, jos valtuutetulla edustajalla on syytä uskoa, että sähköinen potilaskertomusjärjestelmä ei enää ole liitteessä II säädettyjen olennaisten vaatimusten mukainen;

b b)   ilmoittaa ilman aiheetonta viivytystä valmistajalle kuluttajilta ja ammattikäyttäjiltä saaduista valituksista;

c)  tehdä markkinavalvontaviranomaisten kanssa näiden pyynnöstä yhteistyötä toimeksiantonsa piiriin kuuluvia sähköisiä potilaskertomusjärjestelmiä koskevissa korjaavissa toimissa;

d)  päättää toimeksianto, jos valmistaja toimii vastoin tämän asetuksen mukaisia velvollisuuksiaan;

e)   varmistaa, että tekninen dokumentaatio voidaan asettaa pyynnöstä asiaankuuluvien viranomaisten saataville.

2 c.   Jos valtuutettu edustaja vaihtuu, vaihtumista koskevissa yksityiskohtaisissa järjestelyissä on käsiteltävä ainakin seuraavia näkökohtia:

a)  päivämäärä, jona tehtävästä poistuvan valtuutetun edustajan toimeksianto päättyy, sekä päivämäärä, jona tehtävään astuvan valtuutetun edustajan toimeksianto alkaa;

b)  asiakirjojen siirtäminen, mukaan lukien salassapitoa koskevat seikat ja omistusoikeudet.

2 d.   Jos valmistaja on sijoittautunut unionin ulkopuolelle eikä ole noudattanut 17 artiklassa säädettyjä velvollisuuksia, valtuutettu edustaja on oikeudellisesti vastuussa tämän asetuksen noudattamatta jättämisestä samoin perustein yhteisvastuullisesti valmistajan kanssa.

19 artikla

Maahantuojien velvollisuudet

1.  Maahantuojat saavat saattaa unionin markkinoille ainoastaan sellaisia sähköisiä potilaskertomusjärjestelmiä, jotka ovat liitteessä II vahvistettujen olennaisten vaatimusten ja 23 artiklan mukaisten yhteisten eritelmien mukaisia.

2.  Ennen sähköisen potilaskertomusjärjestelmän asettamista saataville markkinoilla maahantuojien on varmistettava, että

a)  valmistaja on laatinut teknisen dokumentaation ja EU‑vaatimustenmukaisuusvakuutuksen;

a a)   valmistaja on yksilöity ja se on nimennyt valtuutetun edustajan 18 artiklan mukaisesti;

b)  sähköisessä potilaskertomusjärjestelmässä on 27 artiklassa tarkoitettu CE‑vaatimustenmukaisuusmerkintä sen jälkeen, kun vaatimustenmukaisuuden arviointimenettely on saatettu päätökseen;

c)  sähköisen potilaskertomusjärjestelmän mukana on 25 artiklassa tarkoitettu tietolomake ja selkeät ja kattavat käyttöohjeet, myös ylläpitotoimista ja myös saavutettavassa muodossa.

3.  Maahantuojien on ilmoitettava sähköisen potilaskertomusjärjestelmän mukana seuraavassa asiakirjassa nimensä, rekisteröity liikenimensä tai rekisteröity tavaramerkkinsä sekä postiosoitteensa ja verkkosivustonsa, sähköpostiosoitteensa tai muu sähköinen yhteystietonsa, josta niihin saa yhteyden. Osoitetiedoissa on ilmoitettava yksi yhteyspiste, jonka kautta valmistajaan saa yhteyden. Yhteystiedot on annettava käyttäjien ja markkinavalvontaviranomaisten helposti ymmärtämällä kielellä. Niiden on varmistettava, ettei lisämerkinnöillä peitetä valmistajan merkinnöissä antamia tietoja.

4.  Maahantuojien on varmistettava, että sinä aikana, jona sähköinen potilaskertomusjärjestelmä on niiden vastuulla, sitä ei muuteta tavalla, joka vaarantaa sen vaatimustenmukaisuuden liitteessä II ja 27 a artiklassa vahvistettuihin olennaisiin vaatimuksiin nähden.

5.  Jos maahantuoja katsoo tai sillä on syytä uskoa, että sähköinen potilaskertomusjärjestelmä ei ole tai ei enää ole liitteessä II ja 27 a artiklassa vahvistettujen olennaisten vaatimusten mukainen, se ei saa asettaa järjestelmää saataville markkinoilla tai, jos järjestelmä on jo saatavilla markkinoilla, sen on järjestettävä sitä koskeva palautusmenettely tai poistettava se markkinoilta, kunnes se on saatettu vaatimusten mukaiseksi. Tällaisessa tilanteessa maahantuojan on ilman aiheetonta viivytystä ilmoitettava asiasta tällaisen sähköisen potilaskertomusjärjestelmän valmistajalle, käyttäjille ja sen jäsenvaltion markkinavalvontaviranomaisille, jossa se on asettanut järjestelmän saataville markkinoilla, ja ilmoitettava yksityiskohtaiset tiedot erityisesti vaatimustenvastaisuudesta ja mahdollisista toteutetuista korjaavista toimenpiteistä ja kyseistä järjestelmää koskevista palautusmenettelyistä tai sen markkinoilta poistamisesta. Jos maahantuoja katsoo tai sillä on syytä uskoa, että sähköinen potilaskertomusjärjestelmä aiheuttaa riskin luonnollisten henkilöiden terveydelle tai turvallisuudelle, sen on ilman aiheetonta viivytystä ilmoitettava tästä sen jäsenvaltion markkinavalvontaviranomaiselle, johon maahantuoja on sijoittautunut, sekä valmistajalle ja tapauksen mukaan valmistajan valtuutetulle edustajalle.

6.  Maahantuojien on pidettävä jäljennös EU-vaatimustenmukaisuusvakuutuksesta markkinavalvontaviranomaisten saatavilla 17 artiklan 3 kohdassa tarkoitetun ajan ja varmistettava, että tekninen dokumentaatio voidaan asettaa pyynnöstä kyseisten viranomaisten saataville.

7.  Maahantuojien on asianomaisten jäsenvaltioiden markkinavalvontaviranomaisen perustellusta pyynnöstä annettava sille kaikki tiedot ja asiakirjat, jotka ovat tarpeen sähköisen potilaskertomusjärjestelmän vaatimustenmukaisuuden osoittamiseksi. Niiden on tehtävä yhteistyötä kyseisen viranomaisen kanssa sen pyynnöstä sekä valmistajan ja tapauksen mukaan valmistajan valtuutetun edustajan kanssa sen jäsenvaltion virallisella kielellä, jossa markkinavalvontaviranomainen sijaitsee. Niiden on tehtävä yhteistyötä kyseisen viranomaisen kanssa sen pyynnöstä toimissa, joita toteutetaan sähköisten potilaskertomusjärjestelmien saattamiseksi liitteessä II vahvistettujen komponentteja koskevien olennaisten vaatimusten mukaisiksi ja sen varmistamiseksi, että niiden sähköiset potilaskertomusjärjestelmät poistetaan markkinoilta tai että järjestetään niitä koskeva palautusmenettely.

7 a.   Maahantuojien on perustettava kanavat ilmoittamista varten ja varmistettava niiden saavutettavuus, jotta käyttäjät voivat tehdä valituksia, ja niiden on pidettävä kirjaa valituksista, vaatimustenvastaisista sähköisistä potilaskertomusjärjestelmistä ja sähköisiä potilaskertomusjärjestelmiä koskevista palautusmenettelyistä. Maahantuojien on tarkistettava, ovatko 17 artiklan 2 kohdassa tarkoitetut perustetut valituskanavat julkisesti saatavilla, jotta käyttäjät voivat tehdä valituksia ja ilmoittaa terveyteensä ja turvallisuuteensa liittyvistä riskeistä tai muista yleisen edun suojaan liittyvistä näkökohdista ja kaikista vakavista vaaratilanteista, jotka koskevat sähköistä potilaskertomusjärjestelmää. Jos tällaisia kanavia ei ole saatavilla, maahantuojan on järjestettävä ne ottaen huomioon haavoittuvassa asemassa olevien ryhmien ja vammaisten henkilöiden saavutettavuustarpeet.

7 b.   Maahantuojien on tutkittava valitukset ja tiedot vaaratilanteista, joihin on liittynyt niiden markkinoilla saataville asettama sähköinen potilaskertomusjärjestelmä, ja kirjattava 17 artiklan 1 kohdan k a alakohdassa tarkoitettuun rekisteriin tai omaan sisäiseen rekisteriinsä nämä valitukset sekä järjestelmää koskevat palautusmenettelyt ja kaikki korjaavat toimenpiteet, joita on toteutettu sähköisen potilaskertomusjärjestelmän saattamiseksi vaatimusten mukaiseksi. Maahantuojien on ilmoitettava toteutetusta tutkimuksesta ja sen tuloksista oikea-aikaisesti valmistajalle, jakelijoille ja tapauksen mukaan valtuutetuille edustajille.

20 artikla

Jakelijoiden velvollisuudet

1.  Jakelijoiden on ennen sähköisen potilaskertomusjärjestelmän asettamista saataville markkinoilla tarkistettava, että

a)  valmistaja on laatinut EU-vaatimustenmukaisuusvakuutuksen;

b)  sähköisessä potilaskertomusjärjestelmässä on CE-vaatimustenmukaisuusmerkintä;

c)  sähköisen potilaskertomusjärjestelmän mukana on 25 artiklassa tarkoitettu tietolomake ja selkeät ja kattavat käyttöohjeet saavutettavissa muodoissa;

d)  tapauksen mukaan maahantuoja on noudattanut 19 artiklan 3 kohdassa vahvistettuja vaatimuksia.

2.  Jakelijoiden on varmistettava, että sinä aikana, jona sähköinen potilaskertomusjärjestelmä on niiden vastuulla, sitä ei muuteta tavalla, joka vaarantaa sen vaatimustenmukaisuuden liitteessä II vahvistettuihin olennaisiin vaatimuksiin nähden.

3.  Jos jakelija katsoo tai sillä on syytä uskoa, että sähköinen potilaskertomusjärjestelmä ei ole liitteessä II vahvistettujen olennaisten vaatimusten mukainen, se ei saa asettaa järjestelmää saataville markkinoilla ennen kuin se on saatettu vaatimusten mukaiseksi. Lisäksi jakelijan on ilmoitettava asiasta ilman aiheetonta viivytystä valmistajalle tai maahantuojalle sekä niiden jäsenvaltioiden markkinavalvontaviranomaisille, joissa kyseinen sähköinen potilaskertomusjärjestelmä on asetettu saataville markkinoilla. Jos jakelija katsoo tai sillä on syytä uskoa, että sähköinen potilaskertomusjärjestelmä aiheuttaa riskin luonnollisten henkilöiden terveydelle tai turvallisuudelle, sen on ilmoitettava tästä sen jäsenvaltion markkinavalvontaviranomaiselle, johon jakelija on sijoittautunut, sekä valmistajalle ja maahantuojalle.

4.  Jakelijoiden on markkinavalvontaviranomaisen perustellusta pyynnöstä annettava sille kaikki tiedot ja asiakirjat, jotka ovat tarpeen sähköisen potilaskertomusjärjestelmän vaatimustenmukaisuuden osoittamiseksi. Niiden on tehtävä yhteistyötä kyseisen viranomaisen kanssa sen pyynnöstä ja valmistajan, maahantuojan ja tapauksen mukaan valmistajan valtuutetun edustajan kanssa toimissa, joita toteutetaan sähköisen potilaskertomusjärjestelmän saattamiseksi liitteessä II vahvistettujen olennaisten vaatimusten mukaisiksi, sen poistamiseksi markkinoilta tai sitä koskevan palautusmenettelyn järjestämiseksi.

21 artikla

Tapaukset, joissa sähköisen potilaskertomusjärjestelmän valmistajien velvollisuuksia sovelletaan muihin talouden toimijoihin

Maahantuojaa, jakelijaa tai käyttäjää pidetään tätä asetusta sovellettaessa valmistajana ja sitä koskevat samat velvollisuudet kuin valmistajaa 17 artiklan mukaisesti, jos se tekee jotain seuraavista:

a)  asettaa sähköisen potilaskertomusjärjestelmän saataville markkinoilla omalla nimellään tai tavaramerkillään;

b)   muuttaa jo markkinoille saatettua sähköistä potilaskertomusjärjestelmää tavalla, joka voi vaikuttaa sovellettavien vaatimusten täyttymiseen;

c)  tekee sähköiseen potilaskertomusjärjestelmään muutoksia, jotka aiheuttavat muutoksia valmistajan ilmoittamaan suunniteltuun käyttötarkoitukseen.

22 artikla

Talouden toimijoiden yksilöiminen

Kymmenen vuoden ajan sen jälkeen, kun viimeinen EU-vaatimustenmukaisuusvakuutuksen kattama sähköinen potilaskertomusjärjestelmä on saatettu markkinoille, talouden toimijoiden on pyynnöstä yksilöitävä markkinavalvontaviranomaisille seuraavat:

a)  kaikki talouden toimijat, jotka ovat toimittaneet niille sähköisen potilaskertomusjärjestelmän;

b)  kaikki talouden toimijat, joille ne ovat toimittaneet sähköisen potilaskertomusjärjestelmän.

3 jakso

Sähköisen potilaskertomusjärjestelmän vaatimustenmukaisuus

23 artikla

Yhteiset eritelmät

1.  Komissio vahvistaa täytäntöönpanosäädöksillä liitteessä II vahvistettuja olennaisia vaatimuksia koskevat yhteiset eritelmät sekä yhteisen malliasiakirjan ja määräajan näiden yhteisten eritelmien täytäntöönpanolle. Yhteisissä eritelmissä on tarvittaessa otettava huomioon 14 artiklan 3 ja 4 kohdassa tarkoitettujen lääkinnällisten laitteiden ja suuririskisten tekoälyjärjestelmien erityispiirteet, mukaan lukien terveysalan tietojenkäsittelyn uusimmat standardit ja eurooppalainen sähköisten terveystietojen vaihtoformaatti.

Nämä täytäntöönpanosäädökset hyväksytään 68 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

2.  Edellä 1 kohdassa tarkoitettuihin yhteisiin eritelmiin on sisällyttävä seuraavat osatekijät:

a)  soveltamisala;

b)  sovellettavuus eri luokkiin kuuluviin sähköisiin potilaskertomusjärjestelmiin tai niiden kattamiin toimintoihin;

c)  versio;

d)  voimassaoloaika;

e)  normatiivinen osa;

f)  selittävä osa, mukaan lukien asiaankuuluvat täytäntöönpanoa koskevat suuntaviivat.

3.  Yhteisiin eritelmiin voi sisältyä osatekijöitä, jotka liittyvät seuraaviin:

a)  tietoaineistot, jotka sisältävät sähköisiä terveystietoja ja määrittäviä rakenteita, kuten datakenttiä ja dataryhmiä sähköisten terveystietojen kliinisen sisällön ja muiden osatekijöiden sisällön esittämistä varten;

b)  koodausjärjestelmät ja -arvot, joita käytetään sähköisiä terveystietoja sisältävissä tietoaineistoissa, ottaen asianmukaisesti huomioon sekä termistöjen tulevan yhdenmukaistamisen että niiden yhteensopivuuden nykyisten kansallisten termistöjen kanssa;

c)  muut datan laatuun liittyvät vaatimukset, kuten sähköisten terveystietojen täydellisyys ja täsmällisyys;

d)  tekniset eritelmät, standardit ja profiilit sähköisten terveystietojen vaihtoa varten;

e)  sähköisten terveystietojen tietoturvaan, luottamuksellisuuteen, eheyteen, potilasturvallisuuteen ja suojaan liittyvät vaatimukset ja periaatteet;

f)  tunnistamisen hallintaan ja sähköisen tunnistamisen käyttöön liittyvät eritelmät ja vaatimukset.

4.  Edellä 13 a ja 14 artiklassa tarkoitettujen sähköisten potilaskertomusjärjestelmien, lääkinnällisten laitteiden, in vitro -diagnostiikkaan tarkoitettujen lääkinnällisten laitteiden ja suuririskisten tekoälyjärjestelmien, jotka ovat 1 kohdassa tarkoitettujen yhteisten eritelmien mukaisia, katsotaan olevan niiden liitteessä II vahvistettujen olennaisten vaatimusten mukaisia, jotka kyseiset yhteiset eritelmät tai kyseisten eritelmien merkitykselliset osat kattavat.

5.  Jos yhteiset eritelmät, jotka kattavat sähköisten potilaskertomusjärjestelmien yhteentoimivuus- ja turvallisuusvaatimukset, vaikuttavat muiden säädösten, kuten asetusten (EU) 2017/745 ja (EU) 2017/746 tai [...] [tekoälysäädös 2021/0106(COD)], soveltamisalaan kuuluviin lääkinnällisiin laitteisiin, in vitro -diagnostiikkaan tarkoitettuihin lääkinnällisiin laitteisiin tai suuririskisiin tekoälyjärjestelmiin, ennen kyseisten yhteisten eritelmien hyväksymistä voidaan kuulla tapauksen mukaan asetuksen (EU) 2017/745 103 artiklassa tarkoitettua lääkinnällisten laitteiden koordinointiryhmää tai asetuksen [...] [tekoälysäädös 2021/0106(COD)] 56 artiklassa tarkoitettua Euroopan tekoälyneuvostoa ja Euroopan tietosuojaneuvostoa.

6.  Jos yhteiset eritelmät, jotka kattavat muiden säädösten, kuten asetusten (EU) 2017/745 ja (EU) 2017/746 tai [...] [tekoälysäädös 2021/0106(COD)], soveltamisalaan kuuluvien lääkinnällisten laitteiden, in vitro -diagnostiikkaan tarkoitettujen lääkinnällisten laitteiden tai suuririskisten tekoälyjärjestelmien yhteentoimivuus- ja turvallisuusvaatimukset, vaikuttavat sähköisiin potilaskertomusjärjestelmiin, komissio varmistaa, että ennen kyseisten yhteisten eritelmien hyväksymistä on kuultu tapauksen mukaan eurooppalaisen terveystietoalueen neuvostoa ja Euroopan tietosuojaneuvostoa.

24 artikla

Tekninen dokumentaatio

1.  Valmistajien on laadittava sähköisen potilaskertomusjärjestelmän tekninen dokumentaatio ▌ennen kuin järjestelmä saatetaan markkinoille tai otetaan käyttöön, ja se on pidettävä ajan tasalla.

2.  Tekninen dokumentaatio on laadittava siten, että se osoittaa sähköisen potilaskertomusjärjestelmän olevan liitteessä II vahvistettujen olennaisten vaatimusten mukainen ja antaa markkinavalvontaviranomaisille kaikki tarvittavat tiedot sen arvioimiseksi, onko sähköinen potilaskertomusjärjestelmä kyseisten vaatimusten mukainen. Sen on sisällettävä vähintään liitteessä III esitetyt osatekijät ja viittaus 26 a artiklassa tarkoitetussa eurooppalaisessa digitaalisessa testausympäristössä saatuihin tuloksiin.

3.  Tekninen dokumentaatio on laadittava jollakin asianomaisen jäsenvaltion virallisista kielistä tai jollakin helposti ymmärrettävällä kielellä. Valmistajan on jäsenvaltion markkinavalvontaviranomaisen perustellusta pyynnöstä toimitettava teknisen dokumentaation asiaankuuluvista osista käännös kyseisen jäsenvaltion virallisella kielellä.

4.  Jos markkinavalvontaviranomainen pyytää valmistajalta teknistä dokumentaatiota tai sen osien käännöstä, sen on asetettava kyseisten asiakirjojen tai käännösten saamiselle määräaika, joka on 30 päivää, jollei lyhempi määräaika ole perusteltu vakavan tai välittömän riskin vuoksi. Jos valmistaja ei noudata 1, 2 ja 3 kohdan vaatimuksia, markkinavalvontaviranomainen voi vaatia, että valmistaja teettää riippumattomalla elimellä omalla kustannuksellaan tietyn ajan kuluessa testin, jossa tarkistetaan liitteessä II säädettyjen olennaisten vaatimusten täyttyminen ja 23 artiklassa tarkoitettujen yhteisten eritelmien noudattaminen.

25 artikla

Sähköisen potilaskertomusjärjestelmän mukana oleva tietolomake

1.  Sähköisten potilaskertomusjärjestelmien mukana on oltava tietolomake, jolla annetaan ytimekkäitä, täydellisiä, paikkansapitäviä ja selkeitä tietoja, jotka ovat ammattikäyttäjien kannalta olennaisia, saavutettavia ja ymmärrettäviä.

2.  Edellä 1 kohdassa tarkoitetussa tietolomakkeessa on yksilöitävä

a)  valmistajan ja tarvittaessa sen valtuutetun edustajan nimi, rekisteröity liikenimi tai rekisteröity tavaramerkki ja yhteystiedot;

b)  sähköisen potilaskertomusjärjestelmän nimi ja versio sekä sen julkaisupäivä;

c)  järjestelmän suunniteltu käyttötarkoitus;

d)  sähköisten terveystietojen luokat, joiden käsittelyä varten kyseinen sähköinen potilaskertomusjärjestelmä on suunniteltu;

e)  standardit, formaatit ja eritelmät sekä niiden versiot, joita sähköinen potilaskertomusjärjestelmä tukee.

3.  Sen sijaan, että sähköisen potilaskertomusjärjestelmän mukana toimitetaan 1 kohdassa tarkoitettu tietolomake, valmistajat voivat kirjata 2 kohdassa tarkoitetut tiedot 32 artiklassa tarkoitettuun ▌EU:n tietokantaan ▌.

26 artikla

EU-vaatimustenmukaisuusvakuutus

1.  EU-vaatimustenmukaisuusvakuutuksessa on ilmoitettava, että sähköisen potilaskertomusjärjestelmän valmistaja on osoittanut liitteessä II vahvistettujen olennaisten vaatimusten täyttyvän.

2.  Jos sähköisiin potilaskertomusjärjestelmiin sovelletaan tämän asetuksen soveltamisalaan kuulumattomien näkökohtien osalta muuta unionin lainsäädäntöä, jossa myös edellytetään valmistajalta EU-vaatimustenmukaisuusvakuutusta siitä, että kyseisessä lainsäädännössä vahvistettujen vaatimusten täyttyminen on osoitettu, kaikkien sähköiseen potilaskertomusjärjestelmään sovellettavien unionin säädösten osalta laaditaan yksi ainoa EU-vaatimustenmukaisuusvakuutus. Kyseisen vaatimustenmukaisuusvakuutuksen on sisällettävä kaikki tiedot, jotka vaaditaan sen unionin lainsäädännön määrittämiseksi, johon kyseinen vaatimustenmukaisuusvakuutus liittyy.

3.  EU-vaatimustenmukaisuusvakuutuksen on sisällettävä ▌ liitteessä IV esitetyt tiedot, ja se on käännettävä yhdelle tai useammalle sen jäsenvaltion tai niiden jäsenvaltioiden määrittämälle unionin viralliselle kielelle, jossa tai joissa sähköinen potilaskertomusjärjestelmä asetetaan saataville.

3 a.   Digitaaliset EU-vaatimustenmukaisuusvakuutukset on asetettava saataville verkossa sähköisen potilaskertomusjärjestelmän odotetun käyttöiän ajan ja joka tapauksessa vähintään kymmenen vuoden ajan sähköisen potilaskertomusjärjestelmän markkinoille saattamisen tai käyttöönoton jälkeen.

4.  Laatimalla EU-vaatimustenmukaisuusvakuutuksen valmistaja ottaa vastuun siitä, että sähköinen potilaskertomusjärjestelmä täyttää tässä asetuksessa säädetyt vaatimukset, kun se saatetaan markkinoille tai otetaan käyttöön.

4 b.   Komissio julkaisee EU-vaatimustenmukaisuusvakuutuksen vakiomuotoisen yhtenäistetyn mallin ja antaa sen saataville sähköisessä muodossa kaikilla unionin virallisilla kielillä.

26 a artikla

Eurooppalainen digitaalinen testausympäristö

1.   Komissio kehittää eurooppalaisen digitaalisen testausympäristön sähköisten potilaskertomusjärjestelmien yhdenmukaistettujen komponenttien arviointia varten. Komissio asettaa eurooppalaista digitaalista testausympäristöä tukevan ohjelmiston saataville avoimen lähdekoodin ohjelmistona.

2.   Jäsenvaltioiden on perustettava digitaalinen testausympäristö sähköisten potilaskertomusjärjestelmien yhdenmukaistettujen komponenttien arviointia varten. Tällaisten testausympäristöjen on noudatettava eurooppalaisille digitaalisille testausympäristöille 4 kohdan mukaisesti vahvistettuja yhteisiä eritelmiä. Jäsenvaltioiden on ilmoitettava digitaaliset testausympäristönsä komissiolle.

3.   Valmistajien on ennen sähköisten potilaskertomusjärjestelmien markkinoille saattamista käytettävä 1 ja 2 kohdassa tarkoitettuja testausympäristöjä sähköisten potilaskertomusjärjestelmien yhdenmukaistettujen komponenttien arviointiin. Testin tulokset on sisällytettävä 24 artiklassa tarkoitettuun dokumentaatioon. Osatekijöiden, joiden testitulokset ovat positiivisia, oletetaan olevan tämän asetuksen mukaisia.

4.   Komissio vahvistaa täytäntöönpanosäädöksillä yhteiset eritelmät eurooppalaiselle digitaaliselle testausympäristölle. Nämä täytäntöönpanosäädökset hyväksytään 68 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

27 artikla

CE-merkintä

1.  CE-merkintä on kiinnitettävä näkyvästi, helposti luettavasti ja pysyvästi sähköisen potilaskertomusjärjestelmän mukana oleviin asiakirjoihin ja tarvittaessa pakkaukseen.

1 a.   CE-merkintä on kiinnitettävä ennen kuin sähköinen potilaskertomusjärjestelmä saatetaan markkinoille.

2.  CE-merkintää koskevat Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 765/2008 30 artiklassa säädetyt yleiset periaatteet.

27 a artikla

Kansalliset vaatimukset ja ilmoittaminen komissiolle

1.   Jäsenvaltiot voivat ottaa käyttöön sähköisiin potilaskertomusjärjestelmiin sovellettavia kansallisia vaatimuksia ja säännöksiä, jotka koskevat niiden vaatimustenmukaisuuden arviointia muiden näkökohtien kuin sähköisten potilaskertomusjärjestelmien yhdenmukaistettujen komponenttien osalta.

2.   Edellä 1 kohdassa tarkoitetut kansalliset vaatimukset tai arviointia koskevat säännökset eivät saa estää tai haitata sähköisten potilaskertomusjärjestelmien yhdenmukaistettujen komponenttien toimintaa.

3.   Kun jäsenvaltiot antavat säännöksiä 1 kohdan mukaisesti, niiden on ilmoitettava niistä komissiolle.

4 jakso

Sähköisten potilaskertomusjärjestelmien markkinavalvonta

28 artikla

Markkinavalvontaviranomaiset

1.  Tämän asetuksen III luvun soveltamisalaan kuuluviin sähköisiin potilaskertomusjärjestelmiin sovelletaan asetusta (EU) 2019/1020 näihin järjestelmiin sovellettavien vaatimusten ja liittyvien riskien osalta.

2.  Jäsenvaltioiden on nimettävä yksi tai useampi markkinavalvontaviranomainen, joka vastaa tämän luvun täytäntöönpanosta. Niiden on annettava markkinavalvontaviranomaisilleen ▌riittävät valtuudet, henkilöresurssit, taloudelliset ja tekniset resurssit, välineet ja tiedot, jotta nämä voivat hoitaa tähän asetukseen perustuvat tehtävänsä asianmukaisesti. Markkinavalvontaviranomaisilla on oltava valtuudet toteuttaa asetuksen (EU) 2019/1020 16 artiklassa tarkoitettuja toimenpiteitä tämän luvun täytäntöönpanon valvomiseksi. Jäsenvaltioiden on annettava markkinavalvontaviranomaisten nimet tiedoksi komissiolle. Komissio ja jäsenvaltiot asettavat nämä tiedot julkisesti saataville.

3.  Tämän artiklan nojalla nimetyt markkinavalvontaviranomaiset voivat olla samoja kuin 10 artiklan nojalla nimetyt digitaalisesta terveydenhuollosta vastaavat viranomaiset. Jos digitaalisesta terveydenhuollosta vastaava viranomainen hoitaa markkinavalvontaviranomaisen tehtäviä, jäsenvaltioiden on varmistettava, että vältetään eturistiriidat.

4.  Markkinavalvontaviranomaisten on raportoitava vuosittain komissiolle asiaankuuluvien markkinavalvontatoimien tuloksista.

4 b.   Jos valmistaja tai toinen talouden toimija ei tee yhteistyötä markkinavalvontaviranomaisten kanssa tai jos toimitetut tiedot ja asiakirjat ovat epätäydellisiä tai virheellisiä, markkinavalvontaviranomaiset voivat toteuttaa kaikki asianmukaiset toimenpiteet, joilla kielletään kyseisen sähköisen potilaskertomusjärjestelmän oleminen saatavilla markkinoilla tai rajoitetaan sitä, poistetaan järjestelmä markkinoilta tai järjestetään sitä koskeva palautusmenettely, kunnes valmistaja tekee yhteistyötä tai toimittaa täydelliset ja paikkansapitävät tiedot.

5.  Jäsenvaltioiden markkinavalvontaviranomaisten on toimittava yhteistyössä keskenään ja komission kanssa. Komissio organisoi siihen tarvittavan tietojenvaihdon.

6.  Kun on kyse 14 artiklan 3 ja 4 kohdassa tarkoitetuista lääkinnällisistä laitteista, in vitro ‑diagnostiikkaan tarkoitetuista lääkinnällisistä laitteista ja suuririskisistä tekoälyjärjestelmistä, markkinavalvonnasta vastaavat tapauksen mukaan asetuksen (EU) 2017/745 93 artiklassa, asetuksen (EU) 2017/746 88 artiklassa tai asetuksen [...] [tekoälysäädös 2021/0106(COD)] 59 artiklassa tarkoitetut viranomaiset.

29 artikla

Sähköisistä potilaskertomusjärjestelmistä aiheutuvien riskien ja vakavien vaaratilanteiden käsittely

1.  Jos jonkin jäsenvaltion markkinavalvontaviranomaisella on syytä uskoa, että sähköinen potilaskertomusjärjestelmä aiheuttaa riskin luonnollisten henkilöiden terveydelle, turvallisuudelle tai oikeuksille taikka henkilötietojen suojalle, sen on suoritettava kyseistä sähköistä potilaskertomusjärjestelmää koskeva arviointi, joka kattaa kaikki tässä asetuksessa säädetyt asiaankuuluvat vaatimukset. Sen valtuutettujen edustajien ja kaikkien muiden asiaankuuluvien talouden toimijoiden on tätä varten tehtävä tarpeen mukaan yhteistyötä markkinavalvontaviranomaisen kanssa ja toteutettava kaikki asianmukaiset toimenpiteet sen varmistamiseksi, että kyseinen sähköinen potilaskertomusjärjestelmä ei markkinoille saatettaessa enää aiheuta kyseistä riskiä tai että järjestelmä poistetaan markkinoilta tai että sitä koskeva palautusmenettely järjestetään kohtuullisen ajan kuluessa.

1 a.   Jos markkinavalvontaviranomaiset katsovat, että vaatimustenvastaisuus ei rajoitu niiden kansalliselle alueelle, niiden on ilmoitettava komissiolle ja muille jäsenvaltioille arvioinnin tuloksista ja toimista, jotka ne ovat vaatineet talouden toimijaa toteuttamaan.

1 b.   Jos markkinavalvontaviranomainen toteaa, että sähköinen potilaskertomusjärjestelmä on aiheuttanut vahinkoa luonnollisten henkilöiden terveydelle tai turvallisuudelle tai muille yleisen edun suojaamiseen liittyville näkökohdille, valmistajan on välittömästi toimitettava tapauksen mukaan tietoja ja asiakirjoja asianomaiselle henkilölle tai käyttäjälle ja tarvittaessa muille kolmansille osapuolille, joihin asianomaiselle henkilölle tai käyttäjälle aiheutunut vahinko vaikuttaa, sanotun vaikuttamatta tietosuojasääntöjen soveltamiseen.

2.  Edellä 1 kohdassa tarkoitetun talouden toimijan on varmistettava, että korjaavat toimet toteutetaan kaikkien niiden asianomaisten sähköisten potilaskertomusjärjestelmien osalta, jotka se on asettanut saataville markkinoilla unionin alueella.

3.  Markkinavalvontaviranomaisen on ilman aiheetonta viivytystä ilmoitettava komissiolle ja muiden jäsenvaltioiden markkinavalvontaviranomaisille tai tapauksen mukaan asetuksen (EU) 2016/679 mukaisille valvontaviranomaisille 1 kohdan nojalla määrätyistä toimenpiteistä. Ilmoitukseen on sisällyttävä kaikki saatavilla olevat yksityiskohtaiset tiedot, erityisesti tiedot, jotka ovat tarpeen kyseisen sähköisen potilaskertomusjärjestelmän tunnistamista varten, kyseisen sähköisen potilaskertomusjärjestelmän alkuperä ja toimitusketju, siihen liittyvän riskin luonne sekä toteutettujen kansallisten toimenpiteiden luonne ja kesto.

3 a.   Kun markkinavalvontaviranomaisen havainto tai sille ilmoitettu vakava vaaratilanne koskee henkilötietojen suojaa, markkinavalvontaviranomaisen on ilman aiheetonta viivytystä ilmoitettava tästä asiaankuuluville asetuksen (EU) 2016/679 mukaisille valvontaviranomaisille ja tehtävä niiden kanssa yhteistyötä.

4.  Markkinoille saatettujen tai käyttöön otettujen sähköisten potilaskertomusjärjestelmien valmistajien on ilmoitettava kaikista vakavista vaaratilanteista, joihin liittyy sähköinen potilaskertomusjärjestelmä, niiden jäsenvaltioiden markkinavalvontaviranomaisille, joissa tällainen vakava vaaratilanne ilmeni, sekä niiden jäsenvaltioiden markkinavalvontaviranomaisille, joissa tällaisia sähköisiä potilaskertomusjärjestelmiä on saatettu markkinoille tai otettu käyttöön. Ilmoituksessa on myös oltava kuvaus valmistajan toteuttamista tai suunnittelemista korjaavista toimista. Jäsenvaltiot voivat säätää, että myös markkinoille saatettujen tai käyttöön otettujen sähköisten potilaskertomusjärjestelmien käyttäjät voivat ilmoittaa tällaisista vaaratilanteista.

Tällainen ilmoitus on tehtävä välittömästi sen jälkeen, kun valmistaja on todennut syy‑yhteyden sähköisen potilaskertomusjärjestelmän ja vakavan vaaratilanteen välillä tai tällaisen yhteyden kohtuullisen todennäköisyyden, ja joka tapauksessa viimeistään kolmen päivän kuluttua siitä, kun sähköiseen potilaskertomusjärjestelmään liittyvä vakava vaaratilanne on tullut valmistajan tietoon, sanotun vaikuttamatta direktiivin (EU) 2022/2555 mukaisiin poikkeamien ilmoittamista koskeviin vaatimuksiin.

5.  Edellä 4 kohdassa tarkoitettujen viranomaisten on viipymättä ilmoitettava muille viranomaisille vakavasta vaaratilanteesta ja toimenpiteistä, joita valmistaja on toteuttanut tai suunnittelee toteuttavansa tai joita siltä vaaditaan vakavan vaaratilanteen toistumisen riskin minimoimiseksi.

6.  Jos markkinavalvontaviranomaisen tehtäviä ei hoida digitaalisesta terveydenhuollosta vastaava viranomainen, markkinavalvontaviranomaisen on tehtävä yhteistyötä digitaalisesta terveydenhuollosta vastaavan viranomaisen kanssa. Sen on ilmoitettava digitaalisesta terveydenhuollosta vastaavalle viranomaiselle kaikista vakavista vaaratilanteista ja sähköisistä potilaskertomusjärjestelmistä, jotka aiheuttavat riskin, mukaan lukien yhteentoimivuuteen, turvallisuuteen ja potilasturvallisuuteen liittyvät riskit, sekä sähköisiä potilaskertomusjärjestelmiä koskevista korjaavista toimista, palautusmenettelyistä tai markkinoilta poistamisista.

6 b.   Jos vaaratilanne vaarantaa potilasturvallisuuden tai tietoturvan, markkinavalvontaviranomaiset voivat ryhtyä välittömiin toimiin ja vaatia välittömiä korjaavia toimia.

30 artikla

Vaatimustenvastaisuuden käsitteleminen

1.  Markkinavalvontaviranomaisen on vaadittava asianomaisen sähköisen potilaskertomusjärjestelmän valmistajaa, sen valtuutettua edustajaa ja kaikkia muita asiaankuuluvia talouden toimijoita toteuttamaan markkinavalvontaviranomaisen asettamassa määräajassa asianmukaiset toimenpiteet sähköisen potilaskertomusjärjestelmän saattamiseksi vaatimusten mukaiseksi, jos se tekee esimerkiksi jonkin seuraavista havainnoista:

a)  sähköinen potilaskertomusjärjestelmä ei ole liitteessä II vahvistettujen olennaisten vaatimusten ja 23 artiklan mukaisten yhteisten eritelmien mukainen;

b)  tekninen dokumentaatio ei ole saatavilla, se ei ole täydellinen tai se ei ole 24 artiklan mukainen;

c)  EU-vaatimustenmukaisuusvakuutusta ei ole laadittu tai sitä ei ole laadittu oikein 26 artiklassa tarkoitetulla tavalla;

d)  CE-merkintä on kiinnitetty 27 artiklan vastaisesti tai sitä ei ole kiinnitetty;

d a)   32 artiklan mukaisia rekisteröintivelvollisuuksia ei ole täytetty.

1 a.   Jos asianomainen talouden toimija ei toteuta riittäviä korjaavia toimia kohtuullisen ajanjakson kuluessa, markkinavalvontaviranomaisten on toteutettava kaikki asianmukaiset väliaikaiset toimenpiteet, joilla kielletään sähköisen potilaskertomusjärjestelmän asettaminen saataville niiden kansallisilla markkinoilla tai rajoitetaan sitä, poistetaan järjestelmä kyseisiltä markkinoilta tai järjestetään sitä koskeva palautusmenettely.

Markkinavalvontaviranomaisten on viipymättä ilmoitettava näistä toimenpiteistä komissiolle ja muille jäsenvaltioille. Tähän ilmoitukseen on sisällyttävä kaikki saatavilla olevat yksityiskohtaiset tiedot, erityisesti tiedot, jotka ovat tarpeen vaatimustenvastaisen sähköisen potilaskertomusjärjestelmän tunnistamista varten, kyseisen sähköisen potilaskertomusjärjestelmän alkuperä, siihen liittyvän väitetyn vaatimustenvastaisuuden ja riskin luonne, toteutettujen kansallisten toimenpiteiden luonne ja kesto sekä asianomaisen talouden toimijan esittämät perustelut. Markkinavalvontaviranomaisten on erityisesti ilmoitettava, johtuuko vaatimustenvastaisuus jostakin seuraavista:

a)   sähköinen potilaskertomusjärjestelmä ei täytä liitteessä II säädettyjä olennaisia vaatimuksia;

b)   23 artiklassa tarkoitetuissa yhteisissä eritelmissä on puutteita;

d)   Muiden jäsenvaltioiden kuin tämän artiklan mukaisen menettelyn aloittaneen jäsenvaltion on viipymättä ilmoitettava komissiolle ja muille jäsenvaltioille kaikki toteutetut toimenpiteet ja kaikki niiden hallussa olevat lisätiedot, jotka liittyvät kyseisen sähköisen potilaskertomusjärjestelmän vaatimustenvastaisuuteen, sekä vastalauseensa siinä tapauksessa, että toteutetusta kansallisesta toimenpiteestä on erimielisyyttä.

e)   Jos mikään jäsenvaltio tai komissio ei ole kolmen kuukauden kuluessa toisessa alakohdassa tarkoitetun ilmoituksen vastaanottamisesta esittänyt vastalausetta jonkin jäsenvaltion toteuttamasta väliaikaisesta toimenpiteestä, toimenpiteen katsotaan olevan oikeutettu.

2.  Jos 1 kohdassa tarkoitettu vaatimustenvastaisuus jatkuu, asianomaisen markkinavalvontaviranomaisen on toteutettava kaikki asianmukaiset toimenpiteet sähköisen potilaskertomusjärjestelmän markkinoille saattamisen rajoittamiseksi tai kieltämiseksi tai sen varmistamiseksi, että järjestetään järjestelmää koskeva palautusmenettely tai että se poistetaan markkinoilta.

30 a artikla

Unionin suojamenettely

1.   Jos 29 artiklan 2 kohdassa ja 30 artiklan 1 a kohdassa säädetyn menettelyn päätyttyä esitetään vastalauseita jonkin jäsenvaltion toteuttaman toimenpiteen johdosta tai jos komissio katsoo, että kansallinen toimenpide on unionin oikeuden vastainen, komissio ryhtyy viipymättä kuulemaan jäsenvaltioita ja asianomaista talouden toimijaa tai asianomaisia talouden toimijoita ja arvioi kansallisen toimenpiteen. Tämän arvioinnin tulosten perusteella komissio hyväksyy täytäntöönpanopäätöksen, jossa määritetään, onko kansallinen toimenpide oikeutettu vai ei. Komissio osoittaa päätöksensä kaikille jäsenvaltioille ja antaa sen välittömästi tiedoksi niille ja asianomaiselle talouden toimijalle tai asianomaisille talouden toimijoille.

2.   Jos kansallinen toimenpide katsotaan oikeutetuksi, kaikkien jäsenvaltioiden on toteutettava tarvittavat toimenpiteet sen varmistamiseksi, että vaatimustenvastainen sähköinen potilaskertomusjärjestelmä poistetaan niiden markkinoilta, ja niiden on ilmoitettava asiasta komissiolle. Jos kansallista toimenpidettä ei katsota oikeutetuksi, kyseisen jäsenvaltion on peruutettava toimenpide.

5 jakso

Muut yhteentoimivuutta koskevat säännökset

31 artikla

Hyvinvointisovellusten ▌merkitseminen

1.  Jos hyvinvointisovelluksen valmistaja ilmoittaa, että sovellus on yhteentoimiva sähköisen potilaskertomusjärjestelmän kanssa sähköisten potilaskertomusjärjestelmien yhdenmukaistettujen komponenttien osalta ja näin ollen liitteessä II vahvistettujen olennaisten vaatimusten ja 23 artiklassa säädettyjen yhteisten eritelmien mukainen, tällaiseen hyvinvointisovellukseen on liitettävä merkki, josta käy selvästi ilmi, että sovellus on kyseisten vaatimusten mukainen. Merkin antaa hyvinvointisovelluksen valmistaja.

2.  Merkissä on oltava seuraavat tiedot:

a)  sähköisten terveystietojen luokat, joiden osalta liitteessä II vahvistettujen olennaisten vaatimusten täyttyminen on vahvistettu;

b)  viittaus yhteisiin eritelmiin vaatimustenmukaisuuden osoittamiseksi;

c)  merkin voimassaoloaika.

3.  Komissio määrittää täytäntöönpanosäädöksillä ▌merkin muodon ja sisällön. Nämä täytäntöönpanosäädökset hyväksytään 68 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

4.  Merkki on laadittava yhdellä tai useammalla unionin virallisella kielellä ja sen jäsenvaltion tai niiden jäsenvaltioiden, jossa tai joissa hyvinvointisovellus saatetaan markkinoille tai otetaan käyttöön, määrittämillä helposti ymmärrettävillä kielillä.

5.  Merkin voimassaoloaika saa olla enintään kolme vuotta.

6.  Jos hyvinvointisovellus on kiinteä osa laitetta tai se on sisäänrakennettu laitteeseen sen käyttöönoton jälkeen, sovellukseen liitetty merkki on esitettävä itse sovelluksessa tai sijoitettava laitteeseen ja ohjelmiston ollessa kyseessä sen on oltava digitaalinen. Merkin esittämiseen voidaan käyttää myös kaksiulotteisia viivakoodeja.

7.  Markkinavalvontaviranomaisten on tarkastettava, että hyvinvointisovellukset ovat liitteessä II vahvistettujen olennaisten vaatimusten mukaisia.

8.  Jos hyvinvointisovellukselle on annettu merkki, sovelluksen kunkin toimittajan on varmistettava, että jokaiseen markkinoille saatettavaan tai käyttöön otettavaan yksittäiseen sovellukseen liitetään kyseinen merkki maksutta.

9.  Jos hyvinvointisovellukselle on annettu merkki, sovelluksen kunkin jakelijan on asetettava merkki asiakkaiden saataville myyntipisteessä sähköisessä muodossa ▌.

31 a artikla

Hyvinvointisovellusten yhteentoimivuus sähköisten potilaskertomusjärjestelmien kanssa

1.   Hyvinvointisovelluksen valmistaja voi ilmoittaa sovelluksen olevan yhteentoimiva sähköisen potilaskertomusjärjestelmän kanssa, kun asiaankuuluvat edellytykset täyttyvät. Kun näin on, tällaisen hyvinvointisovelluksen käyttäjille on ilmoitettava asianmukaisesti yhteentoimivuudesta ja sen vaikutuksista.

2.   Hyvinvointisovelluksen yhteentoimivuus sähköisen potilaskertomusjärjestelmän kanssa ei tarkoita, että kaikki hyvinvointisovelluksesta peräisin olevat terveystiedot tai osa niistä jaetaan tai siirretään automaattisesti sähköiseen potilaskertomusjärjestelmään. Tällaisen datan jakaminen tai siirtäminen on mahdollista vasta, kun luonnollinen henkilö on antanut siihen suostumuksensa, ja tämän asetuksen 8 b artiklan mukaisesti, ja yhteentoimivuus on rajattava yksinomaan tähän tarkoitukseen. Hyvinvointisovelluksen valmistajan, joka ilmoittaa sovelluksen olevan yhteentoimiva sähköisen potilaskertomusjärjestelmän kanssa, on varmistettava, että käyttäjä voi valita, mitä hyvinvointisovelluksesta peräisin olevia terveystietojen luokkia hän haluaa sisällyttää sähköiseen potilaskertomusjärjestelmään ja missä tilanteissa niitä jaetaan tai siirretään.

5 a jakso

Sähköisen potilaskertomusjärjestelmän ja hyvinvointisovelluksen rekisteröinti

32 artikla

EU:n tietokanta sähköisten potilaskertomusjärjestelmien ja hyvinvointisovellusten rekisteröintiä varten

1.  Komissio perustaa julkisesti saatavilla olevan tietokannan, joka sisältää tiedot sähköisistä potilaskertomusjärjestelmistä, joille on annettu EU-vaatimustenmukaisuusvakuutus 26 artiklan nojalla, ja hyvinvointisovelluksista, joille on annettu merkki 31 artiklan nojalla, ja ylläpitää tätä tietokantaa.

2.  Ennen 14 artiklassa tarkoitetun sähköisen potilaskertomusjärjestelmän tai 31 artiklassa tarkoitetun hyvinvointisovelluksen markkinoille saattamista tai käyttöönottoa tällaisen sähköisen potilaskertomusjärjestelmän tai hyvinvointisovelluksen valmistajan tai tapauksen mukaan sen valtuutetun edustajan on rekisteröitävä vaaditut tiedot 1 kohdassa tarkoitettuun EU:n tietokantaan ja sisällytettävä niihin 26 a artiklassa tarkoitetussa testausympäristössä saadut tulokset.

3.  Tämän asetuksen 14 artiklan 1 ja 2 kohdassa tarkoitetut lääkinnälliset laitteet, in vitro -diagnostiikkaan tarkoitetut lääkinnälliset laitteet ja suuririskiset tekoälyjärjestelmät on rekisteröitävä myös tapauksen mukaan asetusten (EU) 2017/745 ja (EU) 2017/746 tai [...] [tekoälysäädös 2021/0106(COD)] nojalla perustettuun tietokantaan. Tällaisissa tapauksissa tiedot on toimitettava myös 1 kohdassa tarkoitettuun EU:n tietokantaan.

4.  Siirretään komissiolle valta antaa 67 artiklan mukaisesti delegoituja säädöksiä, joissa määritetään luettelo vaadituista tiedoista, jotka sähköisten potilaskertomusjärjestelmien ja hyvinvointisovellusten valmistajien on rekisteröitävä 2 kohdan nojalla.

IV LUKU

Sähköisten terveystietojen toissijainen käyttö

1 jakso

Sähköisten terveystietojen toissijaista käyttöä koskevat yleiset edellytykset

32 a artikla

Soveltaminen terveystietojen haltijoihin

Seuraavat terveystietojen haltijoiden ryhmät vapautetaan tässä luvussa säädetyistä terveystietojen haltijoille kuuluvista velvollisuuksista:

a)  yksittäiset tutkijat ja luonnolliset henkilöt;

b)  oikeushenkilöt, jotka katsotaan komission suosituksen 2003/361/EY liitteessä olevassa 2 artiklassa määritellyiksi mikroyrityksiksi.

Jäsenvaltiot voivat säätää kansallisessa lainsäädännössään, että tässä luvussa säädettyjä terveystietojen haltijoiden velvollisuuksia sovelletaan 1 kohdassa tarkoitettuihin terveystietojen haltijoihin, jotka kuuluvat niiden lainkäyttövaltaan.

Jäsenvaltiot voivat säätää kansallisessa lainsäädännössään, että terveystietojen välittäjäyhteisöt täyttävät tiettyjen datan haltijoiden ryhmien velvollisuudet. Tällöin katsotaan edelleen, että useat datan haltijat ovat asettaneet datan saataville.

Tämän artiklan toisessa, kolmannessa ja neljännessä kohdassa tarkoitetusta kansallisesta lainsäädännöstä on ilmoitettava komissiolle viimeistään ... päivänä ...kuuta ... [IV luvun soveltamispäivä]. Kaikki sitä koskevat myöhemmät muutossäädökset tai muutokset on ilmoitettava komissiolle viipymättä.

33 artikla

Sähköisten tietojen luokat, jotka vähintään on asetettava saataville toissijaista käyttöä varten

1.  Terveystietojen haltijoiden on asetettava seuraavat sähköisten tietojen luokat saataville toissijaista käyttöä varten tämän luvun säännösten mukaisesti:

a)  sähköisistä potilaskertomuksista peräisin olevat sähköiset terveystiedot;

b)  tiedot terveyteen vaikuttavista tekijöistä, mukaan lukien sosioekonomiset sekä ympäristöön ja käyttäytymiseen liittyvät terveyden taustatekijät;

b a)   yhdistetyt tiedot terveydenhuoltotarpeista, terveydenhuoltoon osoitetuista resursseista, terveydenhuollon tarjoamisesta ja saatavuudesta sekä terveydenhuollon menoista ja rahoituksesta;

c)  ▌ patogeenien tiedot, jotka vaikuttavat ihmisten terveyteen;

d)  terveydenhuoltoon liittyvät hallinnolliset tiedot, mukaan lukien lääketoimitustiedot, tiedot hakemuksista ja korvauksista;

e)  ihmisen geneettiset, epigenomiset ja genomiset ▌ tiedot;

e a)   muut ihmisen molekyylitiedot, kuten proteomiset, transkriptomiset, metabolomiset, lipidomiset ja muut -omiset tiedot;

f)  lääkinnällisten laitteiden avulla automaattisesti tuotetut henkilökohtaiset sähköiset terveystiedot;

f a)   hyvinvointisovelluksista peräisin olevat tiedot;

g)  tiedot luonnollisen henkilön hoitoon osallistuvien terveydenhuollon ammattihenkilöiden ammatillisesta asemasta, erikoisalasta ja terveydenhuollon yksiköstä;

h)  väestöpohjaiset terveystietorekisterit (kansanterveysrekisterit);

i)  ▌lääketieteellisistä rekistereistä ja kuolleisuustietojen rekistereistä saadut tiedot;

j)  asetuksen (EU) N:o 536/2014, asetuksen [ihmisperäiset aineet], asetuksen (EU) 2017/745 tai asetuksen (EU) 2017/746 soveltamisalaan kuuluvista kliinisistä lääketutkimuksista ja kliinisistä tutkimuksista saadut tiedot;

k)  muut lääkinnällisten laitteiden avulla saadut ▌terveystiedot;

k a)   lääkkeitä ja lääkinnällisiä laitteita koskevista rekistereistä saadut tiedot;

l)  tiedot, jotka on saatu terveyteen liittyvistä tutkimuskohorteista, kyselylomakkeista ja kyselytutkimuksista sen jälkeen, kun tulokset on julkaistu ensimmäisen kerran;

m)  biopankeista ja asiaan liittyvistä tietokannoista saadut ▌ terveystiedot.

▌

6.  Jos julkisen sektorin elin saa asetuksen (EU) 2023/2854 15 artiklan a tai b alakohdassa määritellyissä hätätilanteissa dataa mainitussa asetuksessa säädettyjen sääntöjen mukaisesti, terveystietoihin pääsystä vastaava elin voi tukea sitä antamalla teknistä tukea datan käsittelemiseksi tai niiden yhdistämiseksi muuhun dataan yhteisanalyysia varten.

▌

8.  Jäsenvaltiot voivat säätää kansallisessa lainsäädännössään, että muihin luokkiin kuuluvia sähköisiä terveystietoja asetetaan saataville toissijaista käyttöä varten tämän asetuksen mukaisesti.

8 a.   Jäsenvaltiot voivat vahvistaa sähköisten terveystietojen käsittelylle ja käytölle sääntöjä, joissa parannetaan sähköisten terveystietojen käsittelyä 46 artiklan mukaisen tietoluvan nojalla ja jotka koskevat esimerkiksi tietojen korjaamista, annotointia ja täydentämistä.

8 b.   Jäsenvaltiot voivat ottaa kansallisella tasolla käyttöön tiukempia toimenpiteitä ja muita suojatoimia, joilla pyritään suojaamaan 33 artiklan 1 kohdan e, f a, m ja e a alakohdan soveltamisalaan kuuluvan datan arkaluonteisuus ja arvo. Jäsenvaltioiden on ilmoitettava nämä säännöt ja toimenpiteet komissiolle ja ilmoitettava komissiolle viipymättä kaikki niitä koskevat myöhemmät muutokset.

33 a artikla

Teollis- ja tekijänoikeudet ja liikesalaisuudet

Sähköiset terveystiedot, jotka on suojattu teollis- ja tekijänoikeuksilla, joihin sisältyy liikesalaisuuksia ja/tai jotka kuuluvat direktiivin 2001/83/EY 10 artiklan 1 kohdassa tai asetuksen (EY) N:o 726/2004 14 artiklan 11 kohdassa säädettyä dokumentaatiosuojaa koskevan oikeuden piiriin, asetetaan saataville toissijaista käyttöä varten tässä asetuksessa vahvistettujen periaatteiden mukaisesti. Asiassa sovelletaan seuraavaa:

a)   terveystietojen haltijoiden on yksilöitävä ja ilmoitettava terveystietoihin pääsystä vastaavalle elimelle kaikki sähköiset terveystiedot, jotka sisältävät teollis- ja tekijänoikeuksilla suojattua sisältöä tai tietoa tai liikesalaisuuksia ja/tai jotka kuuluvat direktiivin 2001/83/EY 10 artiklan 1 kohdassa tai asetuksen (EY) N:o 726/2004 14 artiklan 11 kohdassa säädettyä dokumentaatiosuojaa koskevan oikeuden piiriin. Niiden on ilmoitettava, mitä tietoaineistojen osia tämä koskee, ja perusteltava, miksi tiedot tarvitsevat niihin sovellettavaa erityistä suojaa. Nämä tiedot on annettava, kun terveystietoihin pääsystä vastaavalle elimelle ilmoitetaan sen hallussa olevien tietoaineistojen kuvaukset 41 artiklan 2 kohdan mukaisesti, tai viimeistään terveystietoihin pääsystä vastaavan elimen pyynnöstä;

b)   terveystietoihin pääsystä vastaavien elinten on toteutettava kaikki asianmukaiset ja oikeasuhteiset erityistoimenpiteet, mukaan lukien oikeudelliset, organisatoriset ja tekniset toimenpiteet, joita ne pitävät tarpeellisina, jotta voidaan säilyttää teollis- ja tekijänoikeuksien tai liikesalaisuuksien suoja ja/tai direktiivin 2001/83/EY 10 artiklan 1 kohdassa tai asetuksen (EY) N:o 726/2004 14 artiklan 11 kohdassa säädettyä dokumentaatiosuojaa koskeva oikeus. Tällaisten toimenpiteiden tarpeellisuuden ja asianmukaisuuden määrittäminen kuuluu terveystietoihin pääsystä vastaavalle elimelle;

c)   terveystietoihin pääsystä vastaavat elimet voivat tietolupia myöntäessään asettaa tiettyihin sähköisiin terveystietoihin pääsyn ehdoksi oikeudellisia, organisatorisia ja teknisiä toimenpiteitä. Tällaisiin toimenpiteisiin voi sisältyä terveystietojen haltijoiden ja terveystietojen käyttäjien välisiä sopimusjärjestelyjä, jotka mahdollistavat teollis- ja tekijänoikeuksilla suojattuja tietoja tai sisältöä taikka liikesalaisuuksia sisältävän datan jakamisen. Komissio laatii tällaisia järjestelyjä varten mallisopimusehtoja, jotka eivät ole sitovia mutta joiden käyttöä se suosittaa;

d)   jos pääsyn antaminen sähköisiin terveystietoihin toissijaista tarkoitusta varten aiheuttaa sellaisen vakavan riskin, jota ei voida käsitellä tyydyttävällä tavalla, teollis- ja tekijänoikeuksien, liikesalaisuuksien ja/tai direktiivin 2001/83/EY 10 artiklan 1 kohdassa tai asetuksen (EY) N:o 726/2004 14 artiklan 11 kohdassa säädettyä dokumentaatiosuojaa koskevan oikeuden loukkaamisesta, terveystietoihin pääsystä vastaavan elimen on evättävä pääsy terveystietojen käyttäjältä tältä osin. Terveystietoihin pääsystä vastaavan elimen on ilmoitettava tästä epäämisestä terveystietojen käyttäjälle ja selitettävä, miksi pääsyä ei voida antaa. Terveystietojen haltijoilla ja terveystietojen käyttäjillä on oikeus tehdä valitus 38 b artiklan mukaisesti.

34 artikla

Tarkoitukset, joihin sähköisiä terveystietoja voidaan käsitellä toissijaista käyttöä varten

1.  Terveystietoihin pääsystä vastaavat elimet saavat antaa terveystietojen käyttäjälle pääsyn 33 artiklassa tarkoitettuihin sähköisiin terveystietoihin toissijaista käyttöä varten vain, jos datan käyttäjän on välttämätöntä käsitellä dataa jossakin seuraavassa luetellussa tarkoituksessa:

a)  ▌kansanterveyttä tai työterveyttä koskeva yleinen etu, kuten toiminta vakavilta rajatylittäviltä terveysuhkilta suojautumiseksi ja kansanterveyden valvomiseksi tai toiminta terveydenhuollon, myös potilasturvallisuuden, ja lääkkeiden tai lääkinnällisten laitteiden laadun ja turvallisuuden korkean tason varmistamiseksi;

b)  päätöksenteko- ja sääntelytoimet, joilla tuetaan terveydenhuolto- tai hoiva-alan julkisen sektorin elimiä tai unionin toimielimiä, elimiä ja laitoksia, mukaan lukien sääntelyviranomaiset, ▌ niiden toimeksiannoissa määriteltyjen tehtävien suorittamisessa;

c)  tilastot, kuten terveydenhuolto- tai hoiva-alaa koskevat kansalliset, monikansalliset ja unionin tason viralliset, asetuksessa (EY) N:o 223/2009(33) määritellyt tilastot;

d)  terveydenhuolto- tai hoiva-alan ammatillinen tai korkea-asteen koulutustoiminta;

e)  terveydenhuolto- tai hoiva-alaan liittyvä tieteellinen tutkimus, jolla edistetään kansanterveyttä tai terveydenhuollon menetelmien arviointia tai varmistetaan terveydenhuollon, lääkkeiden tai lääkinnällisten laitteiden laadun ja turvallisuuden korkea taso, jotta voidaan hyödyttää loppukäyttäjiä, kuten potilaita, terveydenhuollon ammattihenkilöitä ja terveydenhuollon hallintohenkilöstöä, mukaan lukien seuraavat:

i)  tuotteiden tai palvelujen kehittämis- ja innovointitoimet;

ii)  sellaisten algoritmien kouluttaminen, testaaminen ja arvioiminen, jotka liittyvät muun muassa lääkinnällisiin laitteisiin, in vitro -diagnostiikkaan tarkoitettuihin lääkinnällisiin laitteisiin, tekoälyjärjestelmiin ja digitaalisiin terveyssovelluksiin ▌;

h)  hoidon toteuttamisen parantaminen, hoidon optimointi ja terveydenhuollon tarjoaminen muiden luonnollisten henkilöiden sähköisten terveystietojen perusteella.

2.  Pääsy ▌sähköisiin terveystietoihin ▌1 kohdan a–c alakohdassa tarkoitettuja tarkoituksia varten varataan julkisen sektorin elimille sekä unionin toimielimille, elimille ja laitoksille, jotka hoitavat niille unionin tai kansallisessa lainsäädännössä annettuja tehtäviä, myös silloin, kun tietojenkäsittelyn näiden tehtävien suorittamiseksi toteuttaa kolmas osapuoli kyseisen julkisen sektorin elimen tai unionin toimielinten, elinten ja laitosten puolesta.

▌

35 artikla

Kielletty sähköisten terveystietojen toissijainen käyttö

Terveystietojen käyttäjät saavat käsitellä sähköisiä terveystietoja toissijaista käyttöä varten vain 46 artiklan mukaisessa tietoluvassa tai 47 artiklan mukaisessa tietopyynnössä ilmoitettujen tarkoitusten perusteella ja niiden mukaisesti.

Erityisesti on kiellettyä hakea pääsyä sähköisiin terveystietoihin ja käsitellä niitä 46 artiklan nojalla myönnetyn tietoluvan tai 47 artiklan nojalla hyväksytyn tietopyynnön perusteella seuraaviin käyttötarkoituksiin:

a)  luonnollisten henkilöiden tai luonnollisten henkilöiden ryhmän kannalta haitallisten päätösten tekeminen heidän sähköisten terveystietojensa perusteella; ”päätöksiksi” katsotaan toimenpiteet, joilla on oikeusvaikutuksia, sosiaalisia tai taloudellisia vaikutuksia tai vastaavalla tavalla merkittäviä vaikutuksia asianomaisiin luonnollisiin henkilöihin;

b)  sellaisten luonnollista henkilöä tai luonnollisten henkilöiden ryhmää koskevien päätösten tekeminen, jotka liittyvät työtarjouksiin tai joissa tarjotaan tavaroita tai palveluja epäedullisemmin ehdoin, myös näiden henkilöiden sulkemiseksi vakuutus- tai luottosopimuksen etuuksien ulkopuolelle tai vakuutusmaksujen tai lainaehtojen muuttamiseksi, tai kaikenlaisten muiden luonnollista henkilöä tai luonnollisten henkilöiden ryhmää koskevien päätösten tekeminen, jotka syrjivät kyseisiä henkilöitä saatujen terveystietojen perusteella;

c)  ▌mainonta tai markkinointi;

▌

e)  sellaisten tuotteiden tai palvelujen kehittäminen, jotka voivat vahingoittaa yksilöitä, kansanterveyttä tai koko yhteiskuntaa, mukaan lukien muun muassa laittomat huumausaineet, alkoholijuomat, tupakka- ja nikotiinituotteet, aseet taikka tuotteet tai palvelut, jotka on suunniteltu tai muunnettu siten, että ne aiheuttavat riippuvuutta tai ovat yleisen järjestyksen ▌ vastaisia tai aiheuttavat riskin ihmisten terveydelle;

e b)   toiminta, joka on ristiriidassa eettistä toimintaa koskevien kansallisen lainsäädännön säännösten kanssa.

2 jakso

Hallinnointi ja mekanismit sähköisten terveystietojen toissijaista käyttöä varten

36 artikla

Terveystietoihin pääsystä vastaavat elimet

1.  Jäsenvaltioiden on nimettävä yksi tai useampi terveystietoihin pääsystä vastaava elin, joka on vastuussa 37, 38 ja 39 artiklassa säädettyjen tehtävien suorittamisesta. Jäsenvaltiot voivat joko perustaa yhden tai useamman uuden julkisen sektorin elimen tai käyttää tähän tarkoitukseen olemassa olevia julkisen sektorin elimiä tai julkisen sektorin elinten sisäisiä palveluja, jotka täyttävät tässä asetuksessa säädetyt edellytykset. Jäljempänä 37 artiklassa säädetyt tehtävät voidaan jakaa terveystietoihin pääsystä vastaavien eri elinten kesken. Jos jäsenvaltio nimeää useita terveystietoihin pääsystä vastaavia elimiä, sen on nimettävä yksi terveystietoihin pääsystä vastaava elin koordinaattoriksi, joka vastaa tehtävien koordinoinnista muiden terveystietoihin pääsystä vastaavien elinten kanssa sekä jäsenvaltionsa sisällä että muiden jäsenvaltioiden terveystietoihin pääsystä vastaavien elinten kanssa.

Kunkin terveystietoihin pääsystä vastaavan elimen on myötävaikutettava tämän asetuksen johdonmukaiseen soveltamiseen kaikkialla unionissa. Tätä varten terveystietoihin pääsystä vastaavien elinten on tehtävä yhteistyötä keskenään ja komission kanssa sekä tietosuojaan liittyvissä kysymyksissä asiaankuuluvien valvontaviranomaisten kanssa.

2.  Jäsenvaltioiden on varmistettava, että jokaiselle terveystietoihin pääsystä vastaavalle elimelle tarjotaan tarvittavat henkilöresurssit ja taloudelliset resurssit sekä tarvittavaa asiantuntemusta tukemaan sen tehtävien tehokasta suorittamista ja toimivaltuuksien käyttämistä.

Jos kansallisessa lainsäädännössä edellytetään eettisten elinten suorittamaa arviointia, näiden elinten on tarjottava asiantuntemusta terveystietoihin pääsystä vastaavan elimen käyttöön. Vaihtoehtoisesti jäsenvaltiot voivat säätää terveystietoihin pääsystä vastaavan elimen omista eettisistä elimistä.

Jäsenvaltioiden on myös turvattava jokaiselle tällaiselle elimelle sellaiset tekniset resurssit, tilat ja infrastruktuuri, joita sen tehtävien tehokas suorittaminen ja toimivaltuuksien käyttäminen edellyttävät.

2 a.   Jäsenvaltioiden on varmistettava, että terveystietoihin pääsystä vastaavien elinten eri tehtävien väliset eturistiriidat vältetään. Tähän voi sisältyä organisatorisia suojatoimia, kuten terveystietoihin pääsystä vastaavien elinten erilaisten tehtävien, kuten hakemusten arvioinnin, tietoaineistojen vastaanoton ja valmistelun, myös anonymisoinnin ja pseudonymisoinnin, sekä turvattujen käsittely-ympäristöjen kautta tapahtuvan datan tarjoamisen, erottaminen toisistaan.

3.  Terveystietoihin pääsystä vastaavien elinten on tehtäviään suorittaessaan tehtävä aktiivista yhteistyötä asiaankuuluvien sidosryhmien edustajien, etenkin potilaiden, datan haltijoiden ja datan käyttäjien edustajien kanssa, sekä vältettävä eturistiriitoja. ▌

3 a.   Suorittaessaan tehtäviään ja käyttäessään valtuuksiaan tämän asetuksen mukaisesti terveystietoihin pääsystä vastaavien elinten on vältettävä eturistiriitoja. Terveystietoihin pääsystä vastaavien elinten henkilöstön on toimittava yleisen edun mukaisesti ja riippumattomasti.

4.  Jäsenvaltioiden on annettava komissiolle tiedoksi 1 kohdan mukaisesti nimettyjen terveystietoihin pääsystä vastaavien elinten nimet viimeistään tämän asetuksen soveltamisen alkamispäivänä. Niiden on myös annettava komissiolle tiedoksi kaikki näiden elinten tietoja koskevat myöhemmät muutokset. Komissio ja jäsenvaltiot asettavat nämä tiedot julkisesti saataville.

36 a artikla

Unionin tietojenkäyttöpalvelu

1.   Komissio hoitaa 37 ja 39 artiklassa säädetyt tehtävät, jotka koskevat terveystietojen haltijoita, jotka ovat unionin toimielimiä, elimiä tai laitoksia.

2.   Komissio varmistaa, että näiden tehtävien tehokasta hoitamista ja sen velvollisuuksien täyttämistä varten osoitetaan tarvittavat henkilöresurssit, tekniset ja taloudelliset resurssit, tilat ja infrastruktuuri.

3.   Jollei ole nimenomaisesti säädetty päinvastaisesta, tämän asetuksen säännöksiä terveystietoihin pääsystä vastaavien elinten tehtävistä ja velvollisuuksista sovelletaan myös komissioon, kun asianomaiset datan haltijat ovat unionin toimielimiä, elimiä tai laitoksia.

37 artikla

Terveystietoihin pääsystä vastaavien elinten tehtävät

1.  Terveystietoihin pääsystä vastaavien elinten on suoritettava seuraavat tehtävät:

a)  päätösten tekeminen 45 artiklan mukaisista tietoihin pääsyä koskevista hakemuksista, tietolupien hyväksyminen ja myöntäminen 46 artiklan nojalla ▌ toimivaltaansa kuuluvien sähköisten terveystietojen toissijaista käyttöä varten ja päätösten tekeminen 47 artiklan mukaisista tietopyynnöistä tämän luvun mukaisesti ja asetuksen (EU) 2022/868 II luvun ▌ mukaisesti;

iii)   pääsyn tarjoaminen sähköisiin terveystietoihin terveystietojen käyttäjille tietoluvan nojalla turvatussa käsittely-ympäristössä 50 artiklassa säädettyjen vaatimusten mukaisesti;

iv)   sen seuraaminen ja valvominen, että terveystietojen käyttäjät ja terveystietojen haltijat noudattavat tässä asetuksessa säädettyjä vaatimuksia;

vi)   edellä 33 artiklassa tarkoitettujen sähköisten terveystietojen pyytäminen asianomaisilta terveystietojen haltijoilta myönnetyn tietoluvan nojalla tai hyväksytyn tietopyynnön johdosta;

d)  edellä 33 artiklassa tarkoitettujen sähköisten terveystietojen käsittely, kuten terveystietojen haltijoilta pyydettyjen tarvittavien terveystietojen vastaanottaminen, yhdistäminen, valmistelu ja kokoaminen sekä datan pseudonymisointi tai anonymisointi;

▌

f)  kaikkien tarvittavien toimenpiteiden toteuttaminen teollis- ja tekijänoikeuksien ja dokumentaatiosuojan sekä liikesalaisuuksien luottamuksellisuuden säilyttämiseksi 35 a artiklassa säädetyn mukaisesti ja ottaen huomioon sekä terveystietojen haltijan että terveystietojen käyttäjän asiaankuuluvat oikeudet;

▌

j)  yhteistyö datan haltijoiden kanssa ja niiden valvonta 56 artiklassa säädetyn datan laatu- ja hyötymerkin yhdenmukaisen ja asianmukaisen täytäntöönpanon varmistamiseksi;

k)  sellaisen hallinnointijärjestelmän ylläpito, johon kirjataan ja jossa käsitellään tietoihin pääsyä koskevia hakemuksia, tietopyyntöjä, kyseisiä hakemuksia koskevia päätöksiä ja myönnettyjä tietolupia sekä tietopyyntöjä, joihin on vastattu, ja jossa on tiedot ainakin tietojen hakijan nimestä, pääsyn tarkoituksesta, tietoluvan myöntämispäivästä ja voimassaoloajasta sekä kuvaus tietoja koskevasta hakemuksesta tai tietopyynnöstä;

l)  julkisen tietojärjestelmän ylläpito 38 artiklassa säädettyjen velvollisuuksien noudattamiseksi;

m)  yhteistyö unionin ja kansallisella tasolla, jotta voidaan vahvistaa yhteiset standardit, tekniset vaatimukset ja asianmukaiset toimenpiteet ▌sähköisiin terveystietoihin pääsylle turvatussa käsittely-ympäristössä;

n)  yhteistyö unionin ja kansallisella tasolla ja komissiolle annettava neuvonta sähköisten terveystietojen toissijaista käyttöä ja hallintaa koskevista tekniikoista ja parhaista käytännöistä;

o)  muissa jäsenvaltioissa ylläpidettävien sähköisten terveystietojen rajatylittävän saatavuuden helpottaminen toissijaista käyttöä varten Terveysdata @ EU (HealthData@EU) -infrastruktuurin kautta ja tiivis yhteistyö toisten terveystietoihin pääsystä vastaavien elinten ja komission kanssa;

▌

q)  seuraavien julkistaminen sähköisesti:

i)  kansallinen tietoaineistoluettelo, joka sisältää yksityiskohtaiset tiedot sähköisten terveystietojen lähteestä ja luonteesta 55, 56 ja 58 artiklan mukaisesti sekä sähköisten terveystietojen saataville asettamista koskevat edellytykset. Kansallinen tietoaineistoluettelo on asetettava myös asetuksen (EU) 2022/868 8 artiklan mukaisten keskitettyjen tietopisteiden saataville;

ii)  kaikki terveystietohakemukset ja -pyynnöt ilman aiheetonta viivytystä niiden ensimmäisen vastaanottamisen jälkeen;

ii a)   kaikki myönnetyt terveystietoluvat tai -pyynnöt sekä kielteiset päätökset perusteluineen 30 työpäivän kuluessa niiden hyväksymisestä;

iii)  vaatimusten noudattamatta jättämiseen liittyvät 43 artiklan mukaiset toimenpiteet;

iv)  terveystietojen käyttäjien [XX] artiklan ▌mukaisesti ilmoittamat tulokset;

v)   tietojärjestelmä 37 a artiklassa säädettyjen velvollisuuksien noudattamiseksi;

vi)   tieto kolmannen maan kansallisen yhteyspisteen tai kansainvälisen järjestön liittymisestä heti, kun siitä tulee Terveysdata @ EU (HealthData@EU) ‑infrastruktuurin hyväksytty osallistuja, sähköisesti vähintään helposti saatavilla olevalla verkkosivustolla tai verkkoportaalissa;

r)  velvollisuuksiensa täyttäminen luonnollisia henkilöitä kohtaan 37 a artiklan nojalla;

▌

t)  kaikkien muiden tehtävien hoitaminen, jotka liittyvät sähköisten terveystietojen asettamiseen saataville toissijaista käyttöä varten tämän asetuksen puitteissa.

2.  Terveystietoihin pääsystä vastaavien elinten on tehtäviään hoitaessaan

a)  tehtävä yhteistyötä asetuksen (EU) 2016/679 ▌mukaisten valvontaviranomaisten kanssa henkilökohtaisten sähköisten terveystietojen osalta sekä eurooppalaisen terveystietoalueen neuvoston kanssa;

▌

c)  tehtävä yhteistyötä kaikkien asiaankuuluvien sidosryhmien, kuten potilasjärjestöjen, luonnollisten henkilöiden edustajien, terveydenhuollon ammattihenkilöiden, tutkijoiden ja eettisten komiteoiden kanssa, soveltuvin osin unionin tai kansallisen lainsäädännön mukaisesti;

d)  tehtävä yhteistyötä muiden kansallisten toimivaltaisten elinten kanssa, tapauksen mukaan muun muassa data-altruismipohjaisia organisaatioita asetuksen (EU) 2022/868 nojalla valvovien kansallisten toimivaltaisten elinten, asetuksen (EU) 2023/2854 mukaisten toimivaltaisten viranomaisten sekä asetusten (EU) 2017/745, (EU) 2017/746 ja [...] [tekoälysäädös 2021/0106(COD)] mukaisten kansallisten toimivaltaisten viranomaisten kanssa.

3.  Terveystietoihin pääsystä vastaavat elimet voivat antaa apua julkisen sektorin elimille, kun kyseisillä julkisen sektorin elimillä on pääsy sähköisiin terveystietoihin asetuksen (EU) 2023/285414 artiklan nojalla.

3 a.   Jos julkisen sektorin elin saa asetuksen (EU) 2023/2854 15 artiklan a tai b alakohdassa määritellyssä hätätilanteessa dataa mainitussa asetuksessa säädettyjen sääntöjen mukaisesti, terveystietoihin pääsystä vastaava elin voi tukea sitä antamalla teknistä tukea datan käsittelemiseksi tai yhdistämiseksi muuhun dataan yhteisanalyysia varten.

37 a artikla

Terveystietoihin pääsystä vastaavien elinten velvollisuudet luonnollisia henkilöitä kohtaan

1.  Terveystietoihin pääsystä vastaavien elinten on asetettava julkisesti saataville ja sähköisesti helposti haettavassa ja luonnollisille henkilöille saavutettavassa muodossa edellytykset, joiden mukaisesti sähköisiä terveystietoja asetetaan saataville toissijaista käyttöä varten. Näihin on sisällyttävä seuraavat tiedot:

a)  oikeusperusta, jonka nojalla pääsy annetaan terveystietojen käyttäjälle;

b)  luonnollisten henkilöiden oikeuksien suojelemiseksi toteutetut tekniset ja organisatoriset toimenpiteet;

c)  sovellettavat luonnollisten henkilöiden oikeudet sähköisten terveystietojen toissijaisessa käytössä;

d)  yksityiskohtaiset säännöt luonnollisten henkilöiden oikeuksien käyttämiselle asetuksen (EU) 2016/679 III luvun mukaisesti;

d a)   terveystietoihin pääsystä vastaavan elimen nimi ja yhteystiedot;

d b)   tiedot siitä, kenelle on annettu pääsy sähköisiin terveystietoihin ja mistä sähköisistä terveystiedoista on kyse, sekä 34 artiklan 1 kohdassa tarkoitettuja käsittelytarkoituksia koskeva lupa;

e)  niiden hankkeiden tulokset tai tuotokset, joita varten sähköisiä terveystietoja käytettiin.

2.  Jos jäsenvaltio on säätänyt, että oikeutta kieltää tietojen käsittely 48 a artiklan nojalla on käytettävä terveystietoihin pääsystä vastaavissa elimissä, asianomaisten terveystietoihin pääsystä vastaavien elinten on tiedotettava yleisesti tämän oikeuden käyttämiseen sovellettavasta menettelystä ja helpotettava tämän oikeuden käyttöä.

3.  Jos terveystietojen käyttäjä ilmoittaa terveystietoihin pääsystä vastaavalle elimelle luonnollisen henkilön terveydentilaan liittyvästä merkittävästä havainnosta tämän asetuksen 41 a artiklan 5 kohdan mukaisesti, terveystietoihin pääsystä vastaavan elimen on ilmoitettava kyseisestä havainnosta datan haltijalle. Datan haltijan on kansallisessa lainsäädännössä säädetyin edellytyksin ilmoitettava asiasta asianomaiselle luonnolliselle henkilölle tai häntä hoitavalle terveydenhuollon ammattihenkilölle. Luonnollisilla henkilöillä on oltava oikeus pyytää, ettei heille ilmoiteta tällaisista havainnoista.

4.  Jäsenvaltioiden on ▌ tiedotettava suurelle yleisölle terveystietoihin pääsystä vastaavien elinten roolista ja hyödyistä.

39 artikla

Terveystietoihin pääsystä vastaavien elinten raportointitehtävät

1.  Kunkin terveystietoihin pääsystä vastaavan elimen on julkaistava joka toinen vuosi toimintakertomus ja asetettava se julkisesti saataville verkkosivustollaan. Jos jäsenvaltio nimeää useamman kuin yhden terveystietoihin pääsystä vastaavan elimen, 37 artiklan 1 kohdassa tarkoitettu koordinaattorina toimiva elin vastaa tästä kertomuksesta ja pyytää tarvittavat tiedot muilta terveystietoihin pääsystä vastaavilta elimiltä. Toimintakertomuksen on noudatettava eurooppalaisen terveystietoalueen neuvostossa sovittua rakennetta. Toimintakertomuksessa on oltava vähintään seuraavat tietokategoriat:

a)  tiedot, jotka koskevat toimitettuja sähköisiin terveystietoihin pääsyä koskevia hakemuksia ja tietopyyntöjä, kuten hakijatyypit, myönnettyjen tai evättyjen tietolupien määrä, käyttötarkoitusten luokat ja käytettyjen sähköisten terveystietojen ▌luokat sekä tarvittaessa yhteenveto sähköisten terveystietojen käytön tuloksista;

▌

c)  tiedot terveystietojen käyttäjien ja terveystietojen haltijoiden sääntely- ja sopimusvelvoitteiden täyttämisestä sekä terveystietoihin pääsystä vastaavien elinten määräämien hallinnollisten seuraamusmaksujen lukumäärä ja suuruus;

d)  tiedot tarkastuksista, joita terveystietojen käyttäjiin on kohdistettu sen varmistamiseksi, että dataa käsitellään turvatussa käsittely-ympäristössä tämän asetuksen 50 artiklan 1 kohdan e alakohdan mukaisesti;

e)  tiedot tämän asetuksen 50 artiklan 3 kohdassa tarkoitetuista sisäisistä ja kolmansien osapuolten tekemistä tarkastuksista, jotka koskevat turvattujen käsittely‑ympäristöjen määriteltyjen standardien, eritelmien ja vaatimusten mukaisuutta;

f)  tiedot tietosuojaoikeuksien käyttämistä koskevien luonnollisten henkilöiden esittämien pyyntöjen käsittelystä;

g)  kuvaus terveystietoihin pääsystä vastaavan elimen toteuttamista toimista, jotka liittyvät asiaankuuluvien sidosryhmien ▌ osallistumiseen ja kuulemiseen;

▌

i)  tietoluvista ja tietopyynnöistä saadut tulot;

▌

k)  hakemuksen esittämisestä ja tietoihin pääsyn antamiseen kuluvien päivien keskimääräinen lukumäärä;

l)  datan haltijoiden myöntämien datan laatumerkkien lukumäärä eriteltynä laatuluokittain;

m)  niiden vertaisarvioitujen tutkimusjulkaisujen, toimintapoliittisten asiakirjojen ja sääntelymenettelyjen lukumäärä, joissa on käytetty eurooppalaisen terveystietoalueen kautta saatua dataa;

n)  niiden digitaalisten terveystuotteiden ja -palvelujen lukumäärä, mukaan lukien tekoälysovellukset, jotka on kehitetty käyttäen eurooppalaisen terveystietoalueen kautta saatua dataa.

2.  Kertomus on toimitettava komissiolle ja eurooppalaisen terveystietoalueen neuvostolle kuuden kuukauden kuluessa kahden vuoden raportointijakson päättymispäivästä. Kertomuksen on oltava saatavilla komission verkkosivuston kautta.

▌

41 artikla

Terveystietojen haltijoiden velvollisuudet

1.  Terveystietojen haltijoiden on asetettava asiaankuuluvat sähköiset terveystiedot ▌33 artiklan ▌nojalla pyynnöstä terveystietoihin pääsystä vastaavan elimen saataville 46 artiklan mukaisen tietoluvan tai 47 artiklan mukaisen tietopyynnön mukaisesti.

1 b.   Terveystietojen haltijan on annettava 1 kohdassa tarkoitetut pyydetyt sähköiset terveystiedot terveystietoihin pääsystä vastaavan elimen saataville kohtuullisen ajan kuluessa mutta viimeistään kolmen kuukauden kuluessa siitä, kun se on vastaanottanut terveystietoihin pääsystä vastaavan elimen pyynnön. Perustelluissa tapauksissa terveystietoihin pääsystä vastaava elin voi jatkaa tätä määräaikaa enintään kolmella kuukaudella.

1 b a.  Terveystietojen haltijan on täytettävä 35 d artiklassa säädetyt velvollisuutensa luonnollisia henkilöitä kohtaan.

2.  Terveystietojen haltijan on 55 artiklan mukaisesti toimitettava terveystietoihin pääsystä vastaavalle elimelle ▌ kuvaus hallussaan olevasta tietoaineistosta. Terveystietojen haltijan on vähintään kerran vuodessa tarkistettava, että sen kansallisessa tietoaineistoluettelossa oleva kuvaus on paikkansapitävä ja ajan tasalla.

3.   Jos tietoaineistoon liittyy 56 artiklan mukaisesti datan laatu- ja hyötymerkki, terveystietojen haltijan on toimitettava terveystietoihin pääsystä vastaavalle elimelle riittävät asiakirjat, joiden perusteella kyseinen elin voi vahvistaa merkin paikkansapitävyyden.

▌

6.  Terveystietojen haltijoiden, joiden hallussa on muita kuin henkilökohtaisia sähköisiä terveystietoja, on varmistettava pääsy tietoihin luotettavien avointen tietokantojen kautta, jotta voidaan varmistaa rajoittamaton pääsy kaikille käyttäjille ja tietojen varastointi ja säilyttäminen. Luotettujen avointen julkisten tietokantojen hallinnoinnin on oltava vankkaa, läpinäkyvää ja kestävää, ja käyttäjien pääsyn tietoihin on oltava läpinäkyvää.

41 a artikla

Terveystietojen käyttäjien velvollisuudet

1.  Terveystietojen käyttäjät voivat päästä sähköisiin terveystietoihin ja käsitellä niitä 33 artiklassa tarkoitettua toissijaista käyttöä varten ainoastaan 46 artiklan mukaisen tietoluvan nojalla, 47 artiklan mukaisen tietopyynnön johdosta tai 45 artiklan 3 kohdassa tarkoitetuissa tilanteissa asianomaisen hyväksytyn osallistujan antaman tietoihin pääsyä koskevan hyväksynnän mukaisesti.

2.   Kun sähköisiä terveystietoja käsitellään 50 artiklassa tarkoitetuissa turvatuissa käsittely-ympäristöissä, terveystietojen käyttäjät eivät saa tarjota pääsyä sähköisiin terveystietoihin kolmansille osapuolille, joita ei mainita tietoluvassa, tai asettaa sähköisiä terveystietoja muulla tavoin tällaisten kolmansien osapuolten saataville.

2 a.  Terveystietojen käyttäjät eivät saa uudelleentunnistaa tai pyrkiä uudelleentunnistamaan luonnollisia henkilöitä, joille kuuluvat sähköiset terveystiedot terveystietojen käyttäjät ovat saaneet tietoluvan nojalla, tietopyynnön johdosta tai Terveysdata @ EU (HealthData@EU) -infrastruktuurin hyväksytyn osallistujan tekemän, tietoihin pääsyn hyväksyntää koskevan päätöksen nojalla.

3.   Terveystietojen käyttäjien on julkistettava sähköisten terveystietojen toissijaisen käytön tulokset tai tuotokset, mukaan lukien terveydenhuollon tarjoamisen kannalta merkitykselliset tiedot, 18 kuukauden kuluessa siitä, kun sähköisten terveystietojen käsittely turvatussa käsittely-ympäristössä on saatettu päätökseen tai kun 47 artiklassa tarkoitettuun tietopyyntöön on saatu vastaus.

Terveystietoihin pääsystä vastaava elin voi jatkaa tätä määräaikaa perustelluissa tapauksissa, jotka liittyvät sähköisten terveystietojen käsittelyn sallittuihin tarkoituksiin, erityisesti jos tulokset julkaistaan tieteellisessä aikakausjulkaisussa tai muussa tieteellisessä julkaisussa.

Tällaiset tulokset tai tuotokset saavat sisältää ainoastaan anonymisoituja tietoja.

Terveystietojen käyttäjien on annettava ne tiedoksi terveystietoihin pääsystä vastaaville elimille, joilta tietolupa on saatu, ja tuettava näitä myös terveystietojen käyttäjien toimittamiin tuloksiin tai tuotoksiin liittyvien tietojen julkaisemisessa terveystietoihin pääsystä vastaavien elinten verkkosivustoilla. Tällainen julkaiseminen terveystietoihin pääsystä vastaavien elinten verkkosivustolla ei rajoita oikeutta julkaista tietoja tieteellisessä aikakausjulkaisussa tai muussa tieteellisessä julkaisussa.

Aina kun terveystietojen käyttäjät ovat käyttäneet sähköisiä terveystietoja tämän luvun mukaisesti, niiden on ilmoitettava sähköisten terveystietojen lähteet ja se, että sähköiset terveystiedot on saatu eurooppalaisen terveystietoalueen puitteissa.

4.   Terveystietojen käyttäjien on ilmoitettava terveystietoihin pääsystä vastaavalle elimelle mahdollisista merkittävistä havainnoista, jotka liittyvät sen luonnollisen henkilön terveyteen, jonka tiedot sisältyvät tietoaineistoon, sanotun kuitenkaan rajoittamatta 2 kohdan soveltamista.

5.   Terveystietojen käyttäjien on tehtävä yhteistyötä terveystietoihin pääsystä vastaavan elimen kanssa, kun terveystietoihin pääsystä vastaava elin suorittaa tehtäviään.

42 artikla

Maksut

1.  Terveystietoihin pääsystä vastaavat elimet, mukaan lukien unionin tietojenkäyttöpalvelut tai 49 artiklassa tarkoitetut luotetut terveystietojen haltijat, voivat veloittaa maksuja sähköisten terveystietojen asettamisesta saataville toissijaista käyttöä varten.

Tällaisten maksujen on oltava oikeassa suhteessa tietojen saataville asettamisen kustannuksiin, eivätkä ne saa rajoittaa kilpailua.

Maksujen on katettava kaikki tai osa kustannuksista, joita aiheutuu tietoihin pääsyä koskevan hakemuksen tai tietopyynnön arvioinnista, tietoluvan myöntämisestä, epäämisestä tai muuttamisesta 45 ja 46 artiklan nojalla tai tietopyyntöön vastaamisesta 47 artiklan nojalla, mukaan lukien sähköisten terveystietojen koontamiseen, valmisteluun, anonymisointiin, pseudonymisointiin ja tarjoamiseen liittyvät kustannukset.

Jäsenvaltiot voivat vahvistaa alennettuja maksuja tietyntyyppisille unionissa sijaitseville datan käyttäjille, kuten julkisen sektorin elimille tai unionin toimielimille, elimille ja laitoksille, joilla on lakisääteinen toimeksianto kansanterveyden alalla, sekä yliopistotutkijoille tai mikroyrityksille.

2.  Maksuihin voi sisältyä hyvitys kustannuksista, joita terveystietojen haltijalle aiheutuu toissijaista käyttöä varten saataville asetettavien sähköisten terveystietojen kokoamisesta ja valmistelusta. Terveystietojen haltijan on toimitettava arvio tällaisista kustannuksista terveystietoihin pääsystä vastaavalle elimelle. Jos terveystietojen haltija on julkisen sektorin elin, asetuksen (EU) 2022/868 6 artiklaa ei sovelleta. Se osa maksuista, joka liittyy terveystietojen haltijan kustannuksiin, suoritetaan terveystietojen haltijalle.

▌

4.  Kaikkien maksujen, joita terveystietoihin pääsystä vastaavat elimet tai terveystietojen haltijat veloittavat terveystietojen käyttäjiltä tämän artiklan nojalla, on oltava läpinäkyviä ja syrjimättömiä.

5.  Jos datan haltijat ja datan käyttäjät eivät pääse sopimukseen maksujen tasosta kuukauden kuluessa tietoluvan myöntämisestä, terveystietoihin pääsystä vastaava elin voi vahvistaa maksut suhteessa kustannuksiin, joita aiheutuu sähköisten terveystietojen asettamisesta saataville toissijaista käyttöä varten. Jos datan haltija tai datan käyttäjä on eri mieltä terveystietoihin pääsystä vastaavan elimen vahvistamasta maksusta, sillä on oltava mahdollisuus turvautua asetuksen (EU) 2023/2854 10 artiklan mukaisesti perustettuihin riidanratkaisuelimiin.

5 a.   Ennen kuin terveystietoihin pääsystä vastaava elin myöntää tietoluvan 46 artiklan nojalla tai vastaa tietopyyntöön 47 artiklan nojalla, sen on ilmoitettava hakijalle mahdollisesti veloitettavista maksuista. Hakijalle on ilmoitettava mahdollisuudesta peruuttaa hakemus. Jos hakija peruuttaa hakemuksensa, hakijalta veloitetaan ainoastaan jo aiheutuneet kustannukset.

6.  Komissio vahvistaa täytäntöönpanosäädöksillä ▌maksupolitiikkaa ja maksurakenteita koskevat periaatteet ja säännöt, mukaan lukien 1 kohdan toisessa alakohdassa luetelluille toimijoille myönnettävät alennukset, jotta voidaan tukea jäsenvaltioiden välistä johdonmukaisuutta ja läpinäkyvyyttä. Nämä täytäntöönpanosäädökset hyväksytään 68 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

43 artikla

Terveystietoihin pääsystä vastaavien elinten toteuttama noudattamisen valvonta

▌

2.  Kun terveystietoihin pääsystä vastaavat elimet suorittavat 37 artiklan 1 kohdan r a alakohdassa tarkoitettuja seuranta- ja valvontatehtäviään, niillä on oikeus pyytää ja saada terveystietojen haltijoilta ja terveystietojen käyttäjiltä kaikki tarvittavat tiedot tämän luvun noudattamisen tarkistamiseksi.

3.  Jos terveystietoihin pääsystä vastaavat elimet toteavat, että terveystietojen käyttäjä tai terveystietojen haltija ei noudata tämän luvun vaatimuksia, niiden on välittömästi ilmoitettava havainnoistaan terveystietojen käyttäjälle tai terveystietojen haltijalle ja toteutettava asianmukaiset toimenpiteet. Terveystietoihin pääsystä vastaavan elimen on annettava asianomaiselle terveystietojen käyttäjälle tai terveystietojen haltijalle mahdollisuus esittää näkemyksensä kohtuullisessa ajassa, joka saa olla enintään neljä viikkoa.

Jos havaittu vaatimusten noudattamatta jättäminen koskee asetuksen (EU) 2016/679 mahdollista rikkomista, terveystietoihin pääsystä vastaavan elimen on välittömästi ilmoitettava tästä asetuksen (EU) 2016/679 mukaisille valvontaviranomaisille ja toimitettava niille kaikki hallussaan olevat merkitykselliset tiedot tästä havainnosta.

4.  Tapauksissa, joissa terveystietojen käyttäjä ei noudata vaatimuksia, terveystietoihin pääsystä vastaavilla elimillä on oltava valtuudet peruuttaa 46 artiklan nojalla myönnetty tietolupa ja lopettaa terveystietojen käyttäjän toteuttama asiaan liittyvä sähköisten terveystietojen käsittelytoimi ilman aiheetonta viivytystä, ja niiden on toteutettava asianmukaiset ja oikeasuhteiset toimenpiteet, joilla pyritään varmistamaan, että terveystietojen käyttäjät käsittelevät tietoja vaatimusten mukaisesti.

Osana tällaisia toimenpiteitä terveystietoihin pääsystä vastaavien elinten on tarvittaessa myös voitava kansallisen lainsäädännön mukaisesti kieltää tai aloittaa menettely, jonka tarkoituksena on kieltää, asianomaiselta terveystietojen käyttäjältä pääsy sähköisiin terveystietoihin eurooppalaisen terveystietoalueen puitteissa toissijaista käyttöä varten enintään viiden vuoden ajaksi.

5.  Tapauksissa, joissa terveystietojen haltija ei noudata vaatimuksia ja joissa terveystietojen haltijat kieltäytyvät antamasta sähköisiä terveystietoja terveystietoihin pääsystä vastaaville elimille ilmeisenä tarkoituksenaan estää sähköisten terveystietojen käyttö tai ▌ ne eivät noudata 41 artiklan 1 b kohdassa säädettyjä määräaikoja, terveystietoihin pääsystä vastaavalla elimellä on oltava valtuudet määrätä terveystietojen haltijalle kultakin viivästyspäivältä perittävä uhkasakko, jonka on oltava läpinäkyvä ja oikeasuhteinen. Terveystietoihin pääsystä vastaavan elimen on vahvistettava sakkojen suuruus kansallisen lainsäädännön mukaisesti. Jos terveystietojen haltija rikkoo toistuvasti velvollisuuttaan tehdä ▌ yhteistyötä terveystietoihin pääsystä vastaavan elimen kanssa, kyseinen elin voi kansallisen lainsäädännön mukaisesti kieltää tai aloittaa menettelyn, jonka tarkoituksena on kieltää, asianomaiselta terveystietojen haltijalta tietoihin pääsyä koskevien hakemusten jättäminen IV luvun mukaisesti enintään viiden vuoden ajaksi kuitenkin niin, että terveystietojen haltija on edelleen velvollinen asettamaan tietoja tarvittaessa saataville IV luvun mukaisesti.

6.  Terveystietoihin pääsystä vastaavan elimen on ilmoitettava 4 ja 5 kohdan nojalla määräämänsä toimenpiteet ja niiden perusteet viipymättä asianomaiselle terveystietojen käyttäjälle tai haltijalle ja asetettava terveystietojen käyttäjälle tai haltijalle kohtuullinen määräaika toimenpiteiden noudattamiseen.

7.  Kaikki terveystietoihin pääsystä vastaavan elimen ▌4 kohdan nojalla määräämät toimenpiteet on ilmoitettava muille terveystietoihin pääsystä vastaaville elimille 8 kohdassa tarkoitetun välineen kautta. Terveystietoihin pääsystä vastaavat elimet voivat asettaa nämä tiedot saataville verkkosivustollaan.

8.  Komissio vahvistaa täytäntöönpanosäädöksellä ▌ sellaisen tietoteknisen välineen rakenteen, jonka tarkoituksena on tukea tässä artiklassa tarkoitettujen, vaatimusten noudattamatta jättämiseen liittyvien toimenpiteiden, erityisesti uhkasakkojen, tietolupien peruuttamisen ja kieltojen, toteuttamista ja tehdä niistä näkyviä muille terveystietoihin pääsystä vastaaville elimille, osaksi Terveysdata @ EU (HealthData@EU) ‑infrastruktuuria. Nämä täytäntöönpanosäädökset hyväksytään 68 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

▌

10.  Komissio ▌antaa kolmen vuoden kuluttua IV luvun soveltamisen alkamisesta tiiviissä yhteistyössä eurooppalaisen terveystietoalueen neuvoston kanssa ohjeita täytäntöönpanotoimenpiteistä, myös uhkasakoista, ja muista toimenpiteistä, joita terveystietoihin pääsystä vastaavien elinten on sovellettava.

43 a artikla

Yleiset edellytykset terveystietoihin pääsystä vastaavien elinten määräämille hallinnollisille seuraamusmaksuille

1.   Jokaisen terveystietoihin pääsystä vastaavan elimen on varmistettava, että hallinnollisten seuraamusmaksujen määrääminen tämän artiklan mukaisesti 4 ja 5 kohdassa tarkoitetusta rikkomisesta on kussakin yksittäisessä tapauksessa tehokasta, oikeasuhteista ja varoittavaa.

2.   Hallinnolliset seuraamusmaksut määrätään kunkin yksittäisen tapauksen olosuhteiden perusteella 43 artiklan 4 ja 5 kohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden sijasta. Kun päätetään hallinnollisen seuraamusmaksun määräämisestä ja hallinnollisen seuraamusmaksun suuruudesta, kussakin yksittäisessä tapauksessa on otettava asianmukaisesti huomioon seuraavat seikat:

a)   rikkomisen luonne, vakavuus ja kesto;

b)   se, ovatko muut toimivaltaiset viranomaiset jo määränneet seuraamuksia tai hallinnollisia seuraamusmaksuja samasta rikkomisesta;

c)   rikkomisen tahallisuus tai tuottamuksellisuus;

d)   mahdolliset toimet, jotka terveystietojen haltija tai terveystietojen käyttäjä on toteuttanut aiheutuneen vahingon lieventämiseksi;

e)   terveystietojen käyttäjän vastuun aste ottaen huomioon tekniset ja organisatoriset toimenpiteet, jotka se on toteuttanut tämän asetuksen 45 artiklan 2 kohdan e ja f alakohdan ja 45 artiklan 4 kohdan nojalla;

f)   mahdolliset asiaankuuluvat aiemmat rikkomiset, joihin terveystietojen haltija tai terveystietojen käyttäjä on syyllistynyt;

g)   yhteistyöhalukkuus terveystietoihin pääsystä vastaavan elimen kanssa rikkomisen korjaamiseksi ja sen mahdollisten haittavaikutusten lieventämiseksi;

h)   tapa, jolla rikkominen tuli terveystietoihin pääsystä vastaavan elimen tietoon, ja erityisesti se, ilmoittiko terveystietojen käyttäjä rikkomisesta ja missä laajuudessa;

i)   jos kyseiselle rekisterinpitäjälle tai henkilötietojen käsittelijälle on aikaisemmin määrätty samasta asiasta 43 artiklan 4 ja 5 kohdassa tarkoitettuja toimenpiteitä, näiden toimenpiteiden noudattaminen;

j)   mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät, kuten rikkomisesta suoraan tai välillisesti saadut mahdolliset taloudelliset edut tai rikkomisella vältetyt tappiot.

3.   Jos terveystietojen haltija tai terveystietojen käyttäjä rikkoo samojen tai toisiinsa liittyvien terveystietolupien tai terveystietopyyntöjen osalta tahallaan tai tuottamuksellisesti useita tämän asetuksen säännöksiä, hallinnollisen seuraamusmaksun kokonaismäärä ei saa ylittää vakavimmasta rikkomisesta määrätyn seuraamusmaksun määrää.

4.   Terveystietojen haltijan tai terveystietojen käyttäjän 41 artiklan ja 41 a artiklan 1, 4, 5 ja 7 kohdan mukaisten velvollisuuksien rikkomisesta määrätään 2 kohdan mukaisesti hallinnollinen seuraamusmaksu, joka on enintään 10 000 000 euroa, tai jos kyseessä on yritys, enintään kaksi prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.

5.   Seuraavien säännösten rikkomisesta määrätään 2 kohdan mukaisesti hallinnollinen seuraamusmaksu, joka on enintään 20 000 000 euroa, tai jos kyseessä on yritys, enintään neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi:

a)   terveystietojen käyttäjät käsittelevät 46 artiklan mukaisesti myönnetyn tietoluvan nojalla saatuja terveystietoja 35 artiklassa tarkoitettuja tarkoituksia varten;

b)   terveystietojen käyttäjät poimivat henkilökohtaisia sähköisiä terveystietoja turvatuista käsittely-ympäristöistä;

c)   terveystietojen käyttäjät uudelleentunnistavat tai pyrkivät uudelleentunnistamaan luonnollisia henkilöitä, joille kuuluvat sähköiset terveystiedot ne ovat saaneet tietoluvan tai tietopyynnön perusteella 41 a artiklan 3 kohdan mukaisesti;

d)   terveystietojen käyttäjät tai haltija eivät noudata terveystietoihin pääsystä vastaavan elimen 43 artiklan nojalla toteuttamia täytäntöönpanon valvontatoimenpiteitä.

6.   Kukin jäsenvaltio voi asettaa sääntöjä siitä, voidaanko viranomaisille tai julkishallinnon elimille määrätä kyseisessä jäsenvaltiossa hallinnollisia seuraamusmaksuja ja missä määrin, sanotun kuitenkaan rajoittamatta terveystietoihin pääsystä vastaavien elinten 43 artiklan mukaisia korjaavia toimivaltuuksia.

7.   Terveystietoihin pääsystä vastaavan elimen tämän artiklan mukaisten valtuuksien käyttöön sovelletaan unionin oikeuden ja jäsenvaltion lainsäädännön mukaisesti asianmukaisia menettelytakeita, muun muassa tehokkaita oikeussuojakeinoja ja asianmukaista prosessia.

8.  Jos jäsenvaltion oikeusjärjestelmässä ei säädetä hallinnollisista seuraamusmaksuista, tätä artiklaa voidaan soveltaa tavalla, jolla varmistetaan kansallisen oikeusjärjestyksen mukaisesti, että nämä oikeussuojakeinot ovat tehokkaita ja niillä on vastaava vaikutus kuin terveystietoihin pääsystä vastaavien elinten määräämillä hallinnollisilla seuraamusmaksuilla. Määrättävien seuraamusmaksujen on joka tapauksessa oltava tehokkaita, oikeasuhteisia ja varoittavia. Näiden jäsenvaltioiden ilmoitettava tämän kohdan nojalla antamansa säännökset komissiolle viimeistään ... päivänä ...kuuta ... [tämän asetuksen tämän luvun soveltamispäivä] ja ilmoitettava sille viipymättä kaikki niitä koskevat myöhemmät muutossäädökset tai muutokset.

43 b artikla

Suhde tietosuojavalvontaviranomaisiin

Asetuksen (EU) 2016/679 soveltamisen seuraamisesta ja valvonnasta vastaavan valvontaviranomaisen tai vastaavien valvontaviranomaisten vastuulla on myös seurata ja valvoa sitä, että oikeutta vastustaa henkilökohtaisten sähköisten terveystietojen käsittelyä toissijaista käyttöä varten 48 a artiklan nojalla, on mahdollista käyttää. Asetuksen (EU) 2016/679 asiaa koskevia säännöksiä sovelletaan soveltuvin osin. Näillä valvontaviranomaisilla on toimivalta määrätä hallinnollisia seuraamusmaksuja enintään mainitun asetuksen 83 artiklassa tarkoitettuun kulloiseenkin määrään asti. Näiden valvontaviranomaisten ja tämän asetuksen 36 artiklassa tarkoitettujen terveystietoihin pääsystä vastaavien elinten on tarvittaessa tehtävä yhteistyötä toimivaltansa puitteissa tämän asetuksen panemiseksi täytäntöön.

3 jakso

Pääsy sähköisiin terveystietoihin toissijaista käyttöä varten

44 artikla

Tietojen minimointi ja käyttötarkoitussidonnaisuus

1.  Terveystietoihin pääsystä vastaavan elimen on varmistettava, että pääsy annetaan ainoastaan niihin pyydettyihin sähköisiin terveystietoihin, jotka ovat asianmukaisia ja merkityksellisiä, ja rajoitetaan siihen, mikä on välttämätöntä terveystietojen käyttäjän tietoihin pääsyä koskevassa hakemuksessa ilmoittaman käsittelytarkoituksen kannalta, ja myönnetyn tietoluvan mukaisesti.

2.  Terveystietoihin pääsystä vastaavien elinten on annettava sähköiset terveystiedot anonymisoidussa muodossa, jos terveystietojen käyttäjän toimittamat tiedot huomioon ottaen tämä pystyy saavuttamaan käsittelyn tarkoituksen tällaisilla tiedoilla.

3.  Jos terveystietojen käyttäjä on osoittanut riittävän selvästi, että käsittelyn tarkoitusta ei pystytä saavuttamaan anonymisoiduilla tiedoilla 46 artiklan 1 kohdan c alakohdan mukaisesti, terveystietoihin pääsystä vastaavien elinten on annettava pääsy sähköisiin terveystietoihin pseudonymisoidussa muodossa. Pseudonymisoinnin peruuttamiseksi tarvittavat tiedot saavat olla ainoastaan terveystietoihin pääsystä vastaavan elimen tai sellaisen elimen saatavilla, joka toimii luotettuna kolmantena osapuolen kansallisen lainsäädännön mukaisesti.

45 artikla

Tietoihin pääsyä koskevat hakemukset

1.  Luonnollinen henkilö tai oikeushenkilö voi toimittaa terveystietoihin pääsystä vastaavalle elimelle tietoihin pääsyä koskevan hakemuksen 34 artiklassa tarkoitettuihin käyttötarkoituksiin.

2.  Tietoihin pääsyä koskevaan hakemukseen on sisällyttävä seuraavat seikat:

-a)   terveystietojen hakijan nimi sekä kuvaus hakijan ammattitehtävistä ja ammatillisesta toiminnasta, mukaan lukien niiden luonnollisten henkilöiden henkilöllisyys, joilla on pääsy sähköisiin terveystietoihin, jos tietolupa myönnetään; luonnollisten henkilöiden luetteloa voidaan päivittää, jolloin se on annettava tiedoksi terveystietoihin pääsystä vastaavalle elimelle;

a)  mihin 34 artiklan 1 kohdassa tarkoitettuun käyttötarkoitukseen pääsyä haetaan;

a b)  yksityiskohtainen selvitys sähköisten terveystietojen suunnitellusta käytöstä ja niiden käytöstä odotettavasta hyödystä sekä siitä, miten tämä hyöty edistää a alakohdassa tarkoitettuja tarkoituksia;

b)  kuvaus pyydetyistä sähköisistä terveystiedoista, mukaan lukien niiden kattama sisältö ja aikaväli, niiden muoto ja lähteet sekä mahdollisuuksien mukaan maantieteellinen kattavuus, jos tietoja pyydetään useissa jäsenvaltioissa sijaitsevilta terveystietojen haltijoilta tai 52 artiklassa tarkoitetuilta hyväksytyiltä osallistujilta;

c)  selvitys siitä, tarvitaanko sähköiset terveystiedot käyttöön pseudonymisoidussa vai anonymisoidussa muodossa ja, jos ne tarvitaan pseudonymisoidussa muodossa, perustelu sille, miksi käsittelyä ei voida toteuttaa anonymisoiduilla tiedoilla;

e a)   jos hakija aikoo tuoda hallussaan jo olevia tietoaineistoja turvattuun käsittely-ympäristöön, kuvaus kyseisistä tietoaineistoista;

f)  kuvaus riskeihin suhteutetuista suojatoimista, jotka on suunniteltu estämään sähköisten terveystietojen väärinkäyttö sekä suojaamaan terveystietojen haltijan ja asianomaisten luonnollisten henkilöiden oikeuksia ja etuja, mukaan lukien sen estäminen, että luonnollinen henkilö uudelleentunnistetaan tietoaineistosta;

g)  perusteltu ilmoitus ajanjaksosta, jonka aikana sähköisiä terveystietoja on tarpeen käsitellä turvatussa käsittely-ympäristössä;

h)  kuvaus turvallisen ympäristön edellyttämistä välineistä ja tietojenkäsittelyresursseista;

h a)   tarvittaessa kansallisen lainsäädännön nojalla saadut tiedot käsittelyn eettisten näkökohtien arvioinnista, joita voidaan käyttää hakijan itse suorittaman eettisen arvioinnin sijasta;

h b)   jos hakija haluaa hyödyntää poikkeusta 48 a artiklan 3 nojalla, kyseisen artiklan mukaisesti kansallisessa lainsäädännössä edellytettävät selitykset.

3.  Jos tietojen hakija hakee pääsyä sähköisiin terveystietoihin useampaan kuin yhteen jäsenvaltioon sijoittautuneilta terveystietojen haltijoilta tai 52 artiklassa tarkoitetuilta asiaankuuluvilta hyväksytyiltä osallistujilta, hakijan on toimitettava yksi tietoihin pääsyä koskeva hakemus hakijan päätoimipaikan tai jonkin tällaisen tietojen haltijan päätoimipaikan terveystietoihin pääsystä vastaavan elimen välityksellä tai niiden palvelujen välityksellä, jotka komissio tarjoaa 52 artiklassa tarkoitetussa rajatylittävässä Terveysdata @ EU (HealthData@EU) -infrastruktuurissa. Hakemus välitetään automaattisesti hyväksytyille osallistujille ja terveystietoihin pääsystä vastaaville elimille niissä jäsenvaltioissa, joihin tietoihin pääsyä koskevassa hakemuksessa yksilöidyt terveystietojen haltijat ovat sijoittautuneet.

4.  Jos hakija hakee pääsyä henkilökohtaisiin sähköisiin terveystietoihin pseudonymisoidussa muodossa, tietoihin pääsyä koskevan hakemuksen mukana on toimitettava seuraavat lisätiedot:

a)  kuvaus siitä, millä tavalla käsittely olisi tietosuojaa ja yksityisyyden suojaa koskevan sovellettavan unionin oikeuden ja kansallisen lainsäädännön, erityisesti asetuksen (EU) 2016/679 ja etenkin sen 6 artiklan 1 kohdan, mukaista.

▌

5.  ▌Julkisen sektorin elinten sekä unionin toimielinten, elinten ja laitosten on annettava samat tiedot, joita edellytetään 45 artiklan 2 ja 4 kohdan mukaisesti, lukuun ottamatta 45 artiklan 2 kohdan g alakohtaa, jonka osalta niiden on toimitettava tiedot ajanjaksosta, jonka kuluessa sähköisiin terveystietoihin voi päästä, pääsyn toistumistiheys tai tietojen päivitystiheys.

▌

46 artikla

Tietolupa

1.  Terveystietoihin pääsystä vastaavat elimet saavat päättää antaa pääsyn sähköisiin terveystietoihin vain, jos seuraavat kumulatiiviset kriteerit täyttyvät:

a)   tietoihin pääsyä koskevassa hakemuksessa kuvattu käyttötarkoitus vastaa yhtä tai useampaa tämän asetuksen 34 artiklan 1 kohdassa lueteltua tarkoitusta;

b)   pyydetyt tiedot ovat välttämättömiä, asianmukaisia ja oikeasuhteisia terveystietoihin pääsyä koskevassa hakemuksessa kuvattua käyttötarkoitusta tai kuvattuja käyttötarkoituksia varten ottaen huomioon 44 artiklan säännökset tietojen minimoinnista ja käyttötarkoitussidonnaisuudesta;

c)   käsittely on asetuksen (EU) 2016/679 6 artiklan 1 kohdan mukaista ja, erityisesti pseudonomisoitujen tietojen tapauksessa, on riittävät perusteet sille, että tarkoitusta ei voida saavuttaa anonymisoiduilla tiedoilla;

e)   hakijalla on tietojen suunniteltuihin käyttötarkoituksiin nähden tarvittava pätevyys ja asianmukainen asiantuntemus, myös terveydenhuolto-, hoiva-, kansanterveys‑ ja tutkimusalan ammattipätevyys, eettisten käytäntöjen ja sovellettavien lakien ja määräysten mukaisesti;

f)   hakija osoittaa, että on toteutettu riittäviä teknisiä ja organisatorisia toimenpiteitä sähköisten terveystietojen väärinkäytön estämiseksi sekä datan haltijan ja asianomaisten luonnollisten henkilöiden oikeuksien ja etujen suojaamiseksi;

g)   tiedot tarvittaessa suoritetusta käsittelyn eettisten näkökohtien arvioinnista ovat kansallisen lainsäädännön mukaiset;

h)   jos hakija haluaa hyödyntää poikkeusta 48 a artiklan 3 nojalla, kyseisen artiklan nojalla annetussa kansallisessa lainsäädännössä edellytettävät selitykset;

h a)  terveystietojen hakija täyttää kaikki muut tämän luvun vaatimukset.

1 a.  Terveystietoihin pääsystä vastaavan elimen on otettava huomioon myös seuraavat riskit:

a)   kansalliseen puolustukseen, turvallisuuteen, yleiseen turvallisuuteen ja yleiseen järjestykseen kohdistuvat riskit;

c)   riski siitä, että sääntelyviranomaisten valtiollisissa tietokannoissa olevat luottamukselliset tiedot vaarantuvat.

2.  Jos terveystietoihin pääsystä vastaava elin tulee arvioinnissaan siihen johtopäätökseen, että 1 kohdan vaatimukset täyttyvät ja 1 a kohdassa tarkoitettuja riskejä lievennetään riittävästi, terveystietoihin pääsystä vastaavan elimen on myönnettävä tietolupa. Terveystietoihin pääsystä vastaavien elinten on evättävä kaikki hakemukset, jotka eivät täytä tämän luvun vaatimuksia.

Jos vaatimukset tietoluvan myöntämiseksi eivät täyty mutta vaatimukset vastauksen antamiseksi anonymisoidussa tilastollisessa muodossa 47 artiklan nojalla täyttyvät, terveystietoihin pääsystä vastaava elin voi päättää antaa vastauksen anonymisoidussa tilastollisessa muodossa 47 artiklan nojalla, jos tämä toimintatapa lieventää riskejä ja jos tietoihin pääsyä koskevan hakemuksen tarkoitus voidaan täyttää tällä tavalla, edellyttäen, että terveystietojen hakija hyväksyy menettelyn muuttamisen.

3.  Poiketen siitä, mitä asetuksessa (EU) 2022/868 säädetään, terveystietoihin pääsystä vastaavan elimen on myönnettävä tai evättävä tietolupa kolmen kuukauden kuluessa tietoihin pääsyä koskevan täydellisen hakemuksen vastaanottamisesta. Jos terveystietoihin pääsystä vastaava elin toteaa tietoihin pääsyä koskevassa hakemuksessa puutteita, sen on ilmoitettava asiasta terveystietojen hakijalle, jolle on annettava mahdollisuus täydentää hakemustaan. Jos terveystietojen hakija ei täytä pyyntöä neljän viikon kuluessa, lupaa ei myönnetä. Terveystietoihin pääsystä vastaava elin voi tarvittaessa jatkaa tietoihin pääsyä koskevaan hakemukseen vastaamisen määräaikaa vielä kolmella kuukaudella ottaen huomioon pyynnön kiireellisyyden ja monimutkaisuuden sekä päätettäväksi esitettyjen pyyntöjen määrän. Tällaisissa tapauksissa terveystietoihin pääsystä vastaavan elimen on ilmoitettava hakijalle mahdollisimman pian, että hakemuksen käsittelyyn tarvitaan enemmän aikaa, ja ilmoitettava viivästyksen syyt. ▌

3 a.   Myös käsiteltäessä tietoihin pääsyä koskevaa hakemusta, joka koskee 45 artiklan 3 kohdassa tarkoitettua rajatylittävää pääsyä sähköisiin terveystietoihin, terveystietoihin pääsystä vastaavien elinten ja asiaankuuluvien 52 artiklassa tarkoitetun Terveysdata @ EU (HealthData@EU) -infrastruktuurin hyväksyttyjen osallistujien vastuulla on tehdä päätökset pääsyn antamisesta tai epäämisestä niiden toimivaltaan kuuluviin sähköisiin terveystietoihin tämän luvun vaatimusten mukaisesti.

Asianomaisten terveystietoihin pääsystä vastaavien elinten ja hyväksyttyjen osallistujien on ilmoitettava toisilleen päätöksistään, ja ne voivat ottaa kyseiset tiedot huomioon päättäessään antaa tai evätä pääsyn sähköisiin terveystietoihin.

Muut asianomaiset terveystietoihin pääsystä vastaavat elimet voivat tunnustaa vastavuoroisesti yhden asianomaisen terveystietoihin pääsystä vastaavan elimen myöntämän tietoluvan.

3 b.   Jäsenvaltioiden on säädettävä nopeutetusta hakumenettelystä sellaisia julkisen sektorin elimiä ja unionin toimielimiä, elimiä ja laitoksia varten, joilla on lakisääteinen toimeksianto kansanterveyden alalla, jos tietoja on tarkoitus käsitellä 34 artiklan 1 kohdan a, b ja c alakohdassa säädetyissä tarkoituksissa. Tässä nopeutetussa menettelyssä terveystietoihin pääsystä vastaavan elimen on myönnettävä tai evättävä tietolupa kahden kuukauden kuluessa tietoihin pääsyä koskevan täydellisen hakemuksen vastaanottamisesta.

Terveystietoihin pääsystä vastaava elin voi tarvittaessa jatkaa yhdellä kuukaudella määräaikaa, jonka kuluessa tietoihin pääsyä koskevaan hakemukseen on vastattava.

4.  Kun tietolupa on myönnetty, terveystietoihin pääsystä vastaavan elimen on välittömästi pyydettävä asianomaiset sähköiset terveystiedot terveystietojen haltijalta. Terveystietoihin pääsystä vastaavan elimen on asetettava sähköiset terveystiedot terveystietojen käyttäjän saataville kahden kuukauden kuluessa siitä, kun se on vastaanottanut ne terveystietojen haltijoilta, paitsi jos terveystietoihin pääsystä vastaava elin erikseen ilmoittaa toimittavansa tiedot pidemmän ajan kuluessa.

4 a.   Edellä 3 a kohdassa tarkoitetuissa tilanteissa asianomaiset terveystietoihin pääsystä vastaavat elimet ja hyväksytyt osallistujat, jotka ovat myöntäneet tietoluvan, voivat päättää antaa pääsyn sähköisiin terveystietoihin turvatussa käsittely-ympäristössä, jonka komission tarjoaa 52 artiklan 10 kohdan mukaisesti.

5.  Jos terveystietoihin pääsystä vastaava elin kieltäytyy myöntämästä tietolupaa, sen on esitettävä terveystietojen hakijalle epäämisen perustelut.

6.  Jos terveystietoihin pääsystä vastaava elin myöntää tietoluvan, sen on esitettävä tietoluvassa terveystietojen käyttäjään sovellettavat yleiset ehdot. Tietoluvassa on oltava seuraavat tiedot:

a)  tietoluvan kattamien sähköisten terveystietojen luokat, eritelmät ja muoto, mukaan lukien niiden lähteet ja se, annetaanko sähköisiin terveystietoihin pääsy pseudonymisoidussa muodossa turvatussa käsittely-ympäristössä;

b)  yksityiskohtainen kuvaus tarkoituksesta, jota varten tiedot asetetaan saataville;

b a)   jos on haettu 48 a artiklan 3 kohdan mukaista poikkeusta, tieto siitä, onko se myönnetty vai ei, ja kyseisen päätöksen perustelut;

b a a)   niiden luvan saaneiden henkilöiden, erityisesti päätutkijan, henkilöllisyys, joilla on oikeus päästä sähköisiin terveystietoihin turvatussa käsittely-ympäristössä;

c)  tietoluvan voimassaoloaika;

d)  tiedot teknisistä ominaisuuksista ja välineistä, jotka ovat terveystietojen käyttäjän saatavilla turvatussa käsittely-ympäristössä;

e)  terveystietojen käyttäjältä veloitettavat maksut;

f)  myönnettyyn tietolupaan mahdollisesti sisältyvät muut erityiset ehdot.

7.  Datan käyttäjillä on oikeus päästä sähköisiin terveystietoihin ja käsitellä niitä turvatussa käsittely-ympäristössä tämän asetuksen perusteella niille myönnetyn tietoluvan mukaisesti.

▌

9.  Tietolupa on myönnettävä pyydettyjen tarkoitusten täyttämiseen tarvittavaksi ajaksi, joka saa olla enintään kymmenen vuotta. Tätä voimassaoloaikaa voidaan jatkaa kerran enintään kymmenellä vuodella, jos terveystietojen käyttäjä sitä pyytää ja esittää tätä jatkamista tukevat perustelut ja asiakirjat kuukautta ennen tietoluvan voimassaolon päättymistä. ▌Terveystietoihin pääsystä vastaava elin voi veloittaa korotettuja maksuja, joissa otetaan huomioon kustannukset ja riskit, joita aiheutuu sähköisten terveystietojen tallentamisesta ensimmäistä voimassaoloaikaa pidemmäksi ajaksi. Tällaisten kustannusten ja maksujen pienentämiseksi terveystietoihin pääsystä vastaava elin voi myös ehdottaa terveystietojen käyttäjälle tietoaineiston tallentamista pienemmän kapasiteetin tallennusjärjestelmään. Tällainen pienempi kapasiteetti ei saa vaikuttaa käsitellyn tietoaineiston tietoturvaan. Turvatussa käsittely-ympäristössä olevat sähköiset terveystiedot on poistettava kuuden kuukauden kuluessa tietoluvan voimassaolon päättymisestä. Terveystietoihin pääsystä vastaava elin voi terveystietojen käyttäjän pyynnöstä tallentaa pyydetyn tietoaineiston luomisessa käytetyn kaavan.

10.  Jos tietolupaa on päivitettävä, terveystietojen käyttäjän on esitettävä tietoluvan muuttamista koskeva pyyntö.

▌

13.  Komissio voi vahvistaa täytäntöönpanosäädöksellä logon, jolla tiedotetaan eurooppalaisen terveystietoalueen osuudesta. Tämä täytäntöönpanosäädös hyväksytään 68 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

▌

47 artikla

Terveystietopyyntö

1.  Hakija voi toimittaa 34 artiklassa tarkoitettuja käyttötarkoituksia varten terveystietopyynnön, johon pyydetään vastausta vain anonymisoidussa tilastollisessa muodossa. Terveystietoihin pääsystä vastaava elin ei saa antaa vastausta terveystietopyyntöön missään muussa muodossa, eikä terveystietojen käyttäjällä saa olla pääsyä vastauksen antamiseen käytettyihin sähköisiin terveystietoihin.

2.  Edellä 1 kohdassa tarkoitetun terveystietopyynnön on sisällettävä seuraavat tiedot:

a)  hakijan nimi sekä kuvaus hakijan ammattitehtävistä ja ammatillisesta toiminnasta;

b)  yksityiskohtainen selvitys sähköisten terveystietojen suunnitellusta käyttötarkoituksesta, myös tieto siitä, mihin 34 artiklan 1 kohdassa tarkoitettuun käyttötarkoitukseen pääsyä haetaan;

b a)   kuvaus pyydetyistä sähköisistä terveystiedoista, niiden muodosta ja mahdollisuuksien mukaan niiden lähteistä;

b b)   kuvaus tilastojen sisällöstä;

b d)   kuvaus suojatoimista, jotka on suunniteltu estämään sähköisten terveystietojen väärinkäyttö;

b e)   kuvaus siitä, miten käsittelyssä täytettäisiin asetuksen (EU) 2016/679 6 artiklan 1 kohdan tai asetuksen (EU) 2018/1725 5 artiklan 1 kohdan ja 10 artiklan 2 kohdan vaatimukset;

b f)   jos hakija haluaa hyödyntää poikkeusta 48 a artiklan 3 nojalla, kyseisen artiklan mukaisesti kansallisessa lainsäädännössä edellytettävät selitykset.

2a.   Terveystietoihin pääsystä vastaavan elimen on arvioitava, onko pyyntö täydellinen, ja otettava huomioon edellä 46 artiklan 1 a kohdassa mainitut riskit.

3.  ▌Terveystietoihin pääsystä vastaavan elimen on arvioitava terveystietopyyntö kolmen kuukauden kuluessa ja mahdollisuuksien mukaan toimitettava tulos terveystietojen käyttäjälle kolmen kuukauden kuluessa.

47 a artikla

Malliasiakirjat haettaessa pääsyä sähköisiin terveystietoihin toissijaista käyttöä varten

Komissio vahvistaa täytäntöönpanosäädöksillä mallit 45 artiklassa tarkoitetulle tietoihin pääsyä koskevalle hakemukselle, 46 artiklassa tarkoitetulle tietoluvalle ja 47 artiklassa tarkoitetulle tietopyynnölle.

▌

48 a artikla

Oikeus kieltää henkilökohtaisten sähköisten terveystietojen käsittely toissijaista käyttöä varten

1.  Luonnollisilla henkilöillä on oikeus milloin tahansa ja perusteluja esittämättä kieltää henkilökohtaisten sähköisten terveystietojensa käsittely toissijaista käyttöä varten tämän asetuksen nojalla. Tähän oikeuteen perustuva kielto on voitava peruuttaa.

2.  Jäsenvaltioiden on säädettävä saavutettavasta ja selkeästä kieltämismekanismista, jossa luonnollisille henkilöille annetaan mahdollisuus ilmaista nimenomaisesti, että he eivät halua henkilökohtaisia sähköisiä terveystietojaan käsiteltävän toissijaista käyttöä varten.

2 a.   Sen jälkeen, kun luonnollinen henkilö on kieltänyt käsittelyn, ja jos häntä koskevat henkilökohtaiset sähköiset terveystiedot ovat tunnistettavissa tietoaineistosta, häntä koskevia henkilökohtaisia sähköisiä terveystietoja ei saa asettaa saataville tai muulla tavoin käsitellä sellaisten 46 artiklan mukaisten tietolupien nojalla tai 47 artiklan mukaisten tietopyyntöjen johdosta, jotka on myönnetty tai hyväksytty sen jälkeen, kun hän on kieltänyt käsittelyn. Tämä ei vaikuta kyseistä luonnollista henkilöä koskevien henkilökohtaisten sähköisten terveystietojen käsittelyyn toissijaista käyttöä varten sellaisten tietolupien nojalla tai tietopyyntöjen johdosta, jotka on myönnetty tai hyväksytty ennen kuin luonnollinen henkilö on kieltänyt käsittelyn.

3.   Jäsenvaltiot voivat perustaa kansallisessa lainsäädännössään mekanismin sellaisten tietojen asettamiseksi saataville, joiden osalta on käytetty 1 kohdassa tarkoitettua oikeutta kieltää käsittely, seuraavin edellytyksin:

a)   tietoihin pääsyä koskevan hakemuksen tai tietopyynnön toimittaa julkisen sektorin elin tai unionin toimielin, elin tai laitos, jonka toimeksiantoon kuuluu tehtäviä kansanterveyden alalla, tai muu toimija, jolle on uskottu julkisia tehtäviä kansanterveyden alalla tai joka toimii viranomaisen puolesta tai viranomaiselta toimeksi saaneena, tarvittaessa jossakin seuraavassa luetellussa tarkoituksessa:

i)  34 artiklan 1 kohdan a–c alakohdassa tarkoitetut käyttötarkoitukset;

ii)  tieteellinen tutkimus yleiseen etuun liittyvistä tärkeistä syistä;

b)  tietoja ei voida saada vaihtoehtoisin keinoin ajoissa, tehokkaasti ja samoin edellytyksin;

c)  hakija on toimittanut 46 artiklan 1 kohdan h alakohdassa tai 47 artiklan 2 kohdan b e alakohdassa tarkoitetut perustelut.

Edellä a, b ja c alakohdassa lueteltujen edellytysten on täytyttävä kumulatiivisesti.

Kansallisessa lainsäädännössä, jossa säädetään tällaisesta mekanismista, on oltava erityisiä ja tarkoituksenmukaisia toimenpiteitä luonnollisten henkilöiden perusoikeuksien ja henkilötietojen suojaamiseksi.

Jos jäsenvaltio on päättänyt säätää kansallisessa lainsäädännössään mahdollisuudesta pyytää pääsyä tietoihin, joiden osalta on käytetty tässä kohdassa tarkoitettua oikeutta kieltää käsittely, ja nämä kriteerit täyttyvät, tiedot, joiden käsittely on kielletty 1 kohdan nojalla, voidaan sisällyttää mukaan 37 artiklan 1 kohdan a alakohdan iii ja vi alakohdan ja d alakohdan mukaisia tehtäviä suoritettaessa.

4.  Edellä 3 kohdassa säädetyssä poikkeuksessa on kunnioitettava perusoikeuksien ja ‑vapauksien keskeisiä osia, ja sen on oltava välttämätön ja oikeasuhteinen toimenpide demokraattisessa yhteiskunnassa oikeutettuihin tieteellisiin ja yhteiskunnallisiin tavoitteisiin liittyvän yleisen edun toteuttamiseksi.

5.  Käsiteltäessä tietoja 3 kohdassa säädetyn poikkeuksen nojalla on noudatettava tämän luvun vaatimuksia, erityisesti 41 artiklan 2 a kohtaa, jossa kielletään uudelleentunnistaminen ja uudelleentunnistamiseen pyrkiminen. Edellä 3 kohdassa tarkoitetuissa lainsäädäntötoimenpiteissä on oltava erityisiä säännöksiä luonnollisten henkilöiden turvallisuudesta ja heidän oikeuksiensa suojaamisesta.

6.  Jäsenvaltioiden on ilmoitettava tämän artiklan 3 kohdan nojalla antamansa säännökset komissiolle ja ilmoitettava sille viipymättä kaikki niitä koskevat myöhemmät muutokset.

7.  Jos tarkoitukset, joita varten terveystietojen haltija käsittelee henkilökohtaisia sähköisiä terveystietoja, eivät edellytä tai eivät enää edellytä rekisterinpitäjän suorittamaa rekisteröidyn tunnistamista, terveystietojen haltijaa ei velvoiteta ylläpitämään, hankkimaan tai käsittelemään lisätietoja rekisteröidyn tunnistamiseksi ainoastaan kunnioittaakseen tämän artiklan mukaista oikeutta kieltää käsittely.

49 artikla

Yksinkertaistettu menettely pääsyn antamiseksi luotetun terveystietojen haltijan sähköisiin terveystietoihin

1.  Jos terveystietoihin pääsystä vastaava elin vastaanottaa 45 artiklan mukaisen tietoihin pääsyä koskevan hakemuksen tai 47 artiklan mukaisen tietopyynnön, joka koskee ainoastaan 2 kohdan mukaisesti nimetyn luotetun terveystietojen haltijan hallussa olevia sähköisiä terveystietoja, sovelletaan 3–6 kohdassa säädettyä menettelyä.

1 a.   Jäsenvaltiot voivat ottaa käyttöön menettelyn, jonka mukaisesti terveystietojen haltijat voivat hakea nimeämistä luotetuksi terveystietojen haltijaksi, jos seuraavat edellytykset täyttyvät:

a)  terveystietojen haltija voi antaa pääsyn terveystietoihin 50 artiklassa säädetyt vaatimukset täyttävän turvatun käsittely-ympäristön kautta;

b)  terveystietojen haltijalla on tarvittava asiantuntemus arvioidakseen tietoihin pääsyä koskevat hakemukset ja tietopyynnöt;

c)  terveystietojen haltija antaa tarvittavat takeet tämän asetuksen noudattamisen varmistamisesta.

Jäsenvaltioiden on nimettävä luotetut yksittäiset datan haltijat sen jälkeen, kun asianomainen terveystietoihin pääsystä vastaava elin on arvioinut nämä edellytykset.

Jäsenvaltioiden on otettava käyttöön menettely, jossa tarkastellaan säännöllisesti uudelleen, täyttääkö luotettu terveystietojen haltija edelleen nämä edellytykset.

Terveystietoihin pääsystä vastaavien elinten on ilmoitettava luotetut yksittäiset datan haltijat 55 artiklassa tarkoitetussa tietoaineistoluettelossa.

2.  Edellä 1 kohdassa tarkoitetut tietoihin pääsyä koskevat hakemukset ja tietopyynnöt on toimitettava terveystietoihin pääsystä vastaavalle elimelle, joka voi välittää ne asiaankuuluvalle luotetulle terveystietojen haltijalle.

3.  Luotetun terveystietojen haltijan on arvioitava tietoihin pääsyä koskeva hakemus tai tietopyyntö tapauksen mukaan 46 artiklan 1 ja 1 a kohdassa tai 47 artiklan 2 ja 2 a kohdassa lueteltujen kriteerien perusteella.

4.  Luotetun terveystietojen haltijan on toimitettava arviointinsa sekä ehdotuksensa päätökseksi terveystietoihin pääsystä vastaavalle elimelle kahden kuukauden kuluessa hakemuksen vastaanottamisesta terveystietoihin pääsystä vastaavalta elimeltä. Terveystietoihin pääsystä vastaavan elimen on kahden kuukauden kuluessa arvioinnin vastaanottamisesta tehtävä päätös tämän artiklan mukaisesta tietoihin pääsyä koskevasta hakemuksesta tai tietopyynnöstä. Luotetun terveystietojen haltijan ehdotus ei sido terveystietoihin pääsystä vastaavaa elintä.

5.  Kun terveystietoihin pääsystä vastaava elin on päättänyt myöntää tietoluvan tai hyväksyä tietopyynnön, luotetun terveystietojen haltijan on suoritettava 37 artiklan 1 kohdan d alakohdassa ja 37 artiklan 1 kohdan iii alakohdassa tarkoitetut tehtävät.

5 a.   Unionin terveystietojen käyttöpalvelu voi nimetä luotetuiksi terveystietojen haltijoiksi terveystietojen haltijoita, jotka ovat 1 kohdassa säädetyt edellytykset täyttäviä unionin toimielimiä, elimiä tai laitoksia. Tällöin sovelletaan 2–5 kohtaa soveltuvin osin.

50 artikla

Turvattu käsittely-ympäristö

1.  Terveystietoihin pääsystä vastaavien elinten on annettava pääsy sähköisiin terveystietoihin tietoluvan nojalla ainoastaan sellaisen turvatun käsittely-ympäristön kautta, jossa toteutetaan tiettyjä teknisiä ja organisatorisia toimenpiteitä ja noudatetaan turvallisuus- ja yhteentoimivuusvaatimuksia. Turvatussa käsittely-ympäristössä on noudatettava erityisesti seuraavia turvatoimenpiteitä:

a)  turvattuun käsittely-ympäristöön pääsyn rajoittaminen asianomaisessa tietoluvassa lueteltuihin valtuutettuihin luonnollisiin henkilöihin;

b)  turvatussa käsittely-ympäristössä säilytettävien sähköisten terveystietojen luvattoman lukemisen, jäljentämisen, muuttamisen tai siirtämisen riskin minimointi uusimman tekniikan mukaisten teknisten ja organisatoristen toimenpiteiden avulla;

c)  sähköisten terveystietojen syöttämistä ja turvatussa käsittely-ympäristössä säilytettävien sähköisten terveystietojen tarkastamista, muuttamista tai poistamista koskevan oikeuden rajaaminen vain pieneen määrään valtuutettuja tunnistettavissa olevia henkilöitä;

d)  sen varmistaminen, että terveystietojen käyttäjillä on pääsy ainoastaan tietolupansa kattamiin sähköisiin terveystietoihin, käyttämällä yksilöllisiä ja ainutkertaisia käyttäjätunnisteita ja luottamuksellisia pääsytapoja;

e)  tunnistettavissa olevien lokitietojen säilyttäminen pääsystä turvattuun käsittely‑ympäristöön ja toimista kyseisessä ympäristössä niin kauan kuin se on tarpeen kaikkien kyseisessä ympäristössä suoritettujen käsittelytoimien todentamiseen ja tarkastamiseen. Lokitiedot olisi säilytettävä vähintään vuoden ajan;

f)  tässä artiklassa tarkoitettujen turvatoimenpiteiden noudattamisen varmistaminen ja seuraaminen mahdollisten turvallisuusuhkien lieventämiseksi.

2.  Terveystietoihin pääsystä vastaavien elinten on varmistettava, että terveystietojen haltijat voivat ladata sähköisiä terveystietojaan tietoluvassa määritetyssä muodossa ja että terveystietojen käyttäjä voi päästä niihin turvatussa käsittely-ympäristössä.

Terveystietoihin pääsystä vastaavien elinten on tarkastelemalla varmistettava, että terveystietojen käyttäjät voivat ladata turvatusta käsittely-ympäristöstä ainoastaan muita kuin henkilökohtaisia sähköisiä terveystietoja, myös anonymisoidussa tilastollisessa muodossa olevia sähköisiä terveystietoja.

3.  Terveystietoihin pääsystä vastaavien elinten on varmistettava turvattujen käsittely-ympäristöjen säännölliset tarkastukset, myös kolmansien osapuolten tekemät tarkastukset, ja toteutettava korjaavia toimia, jos turvatuissa käsittely-ympäristöissä havaitaan puutteita, riskejä tai haavoittuvuuksia.

3 a.   Jos asetuksen (EU) 2022/868 luvun IV mukaiset tunnustetut data-altruismipohjaiset organisaatiot käsittelevät henkilökohtaisia sähköisiä terveystietoja turvatussa käsittely-ympäristössä, tällaisten ympäristöjen on myös täytettävä tämän artiklan 1 kohdan a–f alakohdassa säädetyt turvatoimenpiteet.

4.  Komissio säätää täytäntöönpanosäädöksillä turvattuja käsittely-ympäristöjä koskevista teknisistä ja organisatorisista vaatimuksista sekä tietoturva-, luottamuksellisuus-, tietosuoja- ja yhteentoimivuusvaatimuksista, mukaan lukien tekniset ominaisuudet ja välineet, jotka ovat terveystietojen käyttäjän saatavilla turvatussa käsittely-ympäristössä. Nämä täytäntöönpanosäädökset hyväksytään 68 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

51 artikla

Rekisterinpito

1.  Terveystietojen haltijaa pidetään rekisterinpitäjänä, kun pyydetyt henkilökohtaiset sähköiset terveystiedot asetetaan terveystietoihin pääsystä vastaavan elimen saataville 41 artiklan 1 ja 1 a kohdan mukaisesti. Terveystietoihin pääsystä vastaavaa elintä pidetään rekisterinpitäjänä henkilökohtaisten sähköisten terveystietojen käsittelyssä, kun se suorittaa tämän asetuksen mukaisia tehtäviään. Sen estämättä, mitä edellisessä virkkeessä säädetään, terveystietoihin pääsystä vastaavan elimen katsotaan toimivan henkilötietojen käsittelijänä terveystietojen käyttäjän puolesta tämän toimiessa rekisterinpitäjänä, kun tietoja käsitellään turvatussa käsittely-ympäristössä tietoluvan nojalla, kun se toimittaa tietoja tällaisessa ympäristössä ja kun tietoja käsitellään vastauksen tuottamiseksi 46 artiklan mukaiseen tietopyyntöön.

1 a.   Edellä 49 artiklassa tarkoitetuissa tilanteissa luotettua terveystietojen haltijaa pidetään rekisterinpitäjänä, kun se käsittelee henkilökohtaisia sähköisiä terveystietoja, jotka liittyvät sähköisten terveystietojen toimittamiseen terveystietojen käyttäjälle tietoluvan nojalla tai tietopyynnön johdosta. Luotetun terveystietojen haltijan katsotaan toimivan henkilötietojen käsittelijänä terveystietojen käyttäjän puolesta, kun se asettaa tietoja saataville turvatun käsittely-ympäristön kautta.

2.  Komissio voi vahvistaa täytäntöönpanosäädöksillä mallin rekisterinpitäjän ja henkilötietojen käsittelijän välillä 51 artiklan 1 ja 1 a kohdassa tarkoitetuissa tilanteissa tehtäville sopimuksille. Nämä täytäntöönpanosäädökset hyväksytään 68 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

4 jakso

Rajatylittävä infrastruktuuri sähköisten terveystietojen toissijaista käyttöä varten

52 artikla

▌Terveysdata @ EU (HealthData@EU) ▌

1.  Kunkin jäsenvaltion on nimettävä sähköisten terveystietojen toissijaista käyttöä varten yksi kansallinen yhteyspiste. Kansallinen yhteyspiste toimii organisatorisena ja teknisenä väylänä, joka mahdollistaa sähköisten terveystietojen asettamisen saataville toissijaista käyttöä varten rajatylittävissä tilanteissa ja vastaa siitä. Kunkin jäsenvaltion on ilmoitettava komissiolle kansallisen yhteyspisteensä nimi ja yhteystiedot tämän asetuksen soveltamispäivään mennessä. Kansallisena yhteyspisteenä voi olla 36 artiklassa tarkoitettu koordinoiva terveystietoihin pääsystä vastaava elin. Komissio ja jäsenvaltiot asettavat nämä tiedot julkisesti saataville.

1 a.   Unionin tietojenkäyttöpalvelu toimii unionin toimielinten, elinten ja laitosten yhteyspisteenä sähköisten terveystietojen toissijaista käyttöä varten ja vastaa sähköisten terveystietojen asettamisesta saataville toissijaista käyttöä varten.

2.  Edellä 1 kohdassa tarkoitettujen kansallisten yhteyspisteiden ja 1 a kohdassa tarkoitetun yhteyspisteen on liityttävä rajatylittävään infrastruktuuriin sähköisten terveystietojen toissijaista käyttöä varten (Terveysdata @ EU (HealthData@EU)). Kansallisten yhteyspisteiden ja 1 a kohdassa tarkoitetun yhteyspisteen on helpotettava eri hyväksyttyjen osallistujien rajatylittävää pääsyä sähköisiin terveystietoihin toissijaista käyttöä varten. Kansallisten yhteyspisteiden on tehtävä tiivistä yhteistyötä keskenään ja komission kanssa.

▌

4.  Terveysdata @ EU (HealthData@EU) -infrastruktuurin osallistujiksi voidaan hyväksyä ja siihen voivat liittyä terveysalan tutkimusinfrastruktuurit tai vastaavat rakenteet, joiden toiminta perustuu unionin lainsäädäntöön ja jotka tukevat sähköisten terveystietojen käyttöä tutkimus-, päätöksenteko-, tilasto-, potilasturvallisuus- tai sääntelytarkoituksiin.

5.  Kolmansista maista tai kansainvälisistä järjestöistä voi tulla hyväksyttyjä osallistujia, jos ne noudattavat tämän asetuksen IV luvun säännöksiä, tarjoavat unionissa sijaitseville datan käyttäjille vastaavin ehdoin pääsyn omien terveystietoihin pääsystä vastaavien elintensä saatavilla oleviin sähköisiin terveystietoihin ja noudattavat asetuksen (EU) 2016/679 V lukua. Komissio voi antaa täytäntöönpanosäädöksiä, joissa vahvistetaan, että kolmannen maan kansallinen yhteyspiste tai kansainvälisellä tasolla perustettu järjestelmä on Terveysdata @ EU (HealthData@EU) -infrastruktuurin vaatimusten mukainen terveystietojen toissijaista käyttöä varten, että se noudattaa asetuksen IV lukua ja että se tarjoaa unionissa sijaitseville terveystietojen käyttäjille vastaavin ehdoin pääsyn niihin sähköisiin terveystietoihin, joihin sillä itsellään on pääsy. Näiden oikeudellisten, organisatoristen, teknisten ja turvallisuuteen liittyvien vaatimusten, mukaan lukien 50 artiklassa säädetyt turvattua käsittely-ympäristöä koskevat vaatimukset, noudattaminen tarkastetaan komission valvonnassa. Nämä täytäntöönpanosäädökset hyväksytään 68 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. Komissio asettaa julkisesti saataville luettelon tämän kohdan nojalla hyväksytyistä täytäntöönpanosäädöksistä.

6.  Kunkin kansallisen yhteyspisteen ja hyväksytyn osallistujan on hankittava tarvittavat tekniset valmiudet, joita Terveysdata @ EU (HealthData@EU) -infrastruktuuriin liittyminen ja osallistuminen edellyttävät. Niiden on noudatettava vaatimuksia ja teknisiä eritelmiä, jotka ovat tarpeen rajatylittävän infrastruktuurin toiminnan kannalta ja joiden avulla ne voivat liittyä kyseiseen infrastruktuuriin.

▌

8.  Jäsenvaltiot ja komissio perustavat Terveysdata @ EU (HealthData@EU) ‑infrastruktuurin, joka tukee ja helpottaa rajatylittävää pääsyä sähköisiin terveystietoihin toissijaista käyttöä varten, sekä liittävät sähköisten terveystietojen toissijaista käyttöä varten nimetyt kansalliset yhteyspisteet sekä hyväksytyt osallistujat kyseiseen infrastruktuuriin ja 9 kohdassa tarkoitettuun keskusalustaan.

9.  Komissio kehittää ja ottaa käyttöön Terveysdata @ EU (HealthData@EU) ‑infrastruktuurin keskusalustan ja ylläpitää sitä tarjoten tietotekniikkapalvelut, joita tarvitaan tukemaan ja helpottamaan tietojenvaihtoa terveystietoihin pääsystä vastaavien elinten välillä osana sähköisten terveystietojen toissijaiseen käyttöön tarkoitettua rajatylittävää infrastruktuuria. Komissio käsittelee sähköisiä terveystietoja ainoastaan rekisterinpitäjien puolesta henkilötietojen käsittelijänä.

10.  Komissio voi kahden tai useamman tähän infrastruktuuriin liittyneen kansallisen yhteyspisteen pyynnöstä tarjota turvatun käsittely-ympäristön useammasta kuin yhdestä jäsenvaltiosta peräisin oleville tiedoille 50 artiklan vaatimusten mukaisesti. Jos vähintään kaksi kansallista yhteyspistettä tai hyväksyttyä osallistujaa asettaa sähköisiä terveystietoja komission hallinnoimaan turvattuun käsittely-ympäristöön, ne toimivat yhteisrekisterinpitäjinä ja komissio toimii henkilötietojen käsittelijänä, kun tietoja käsitellään kyseisessä ympäristössä.

11.  Kansallisten yhteyspisteiden on toimittava yhteisrekisterinpitäjinä niissä Terveysdata @ EU (HealthData@EU) -infrastruktuurissa suoritettavissa käsittelytoimissa, joissa ne ovat mukana, ja komissio toimii niissä henkilötietojen käsittelijänä, sanotun vaikuttamatta terveystietoihin pääsystä vastaavien elinten tehtäviin ennen näitä käsittelytoimia ja niiden jälkeen.

12.  Jäsenvaltioiden ja komission on pyrittävä varmistamaan Terveysdata @ EU (HealthData@EU) -infrastruktuurin yhteentoimivuus asetuksissa (EU) 2022/868 ja (EU) 2023/2854 tarkoitettujen muiden asiaankuuluvien yhteisten eurooppalaisten data-avaruuksien kanssa.

13.  Komissio ▌vahvistaa täytäntöönpanosäädöksillä seuraavat:

a)  Terveysdata @ EU (HealthData@EU) -infrastruktuuria koskevat vaatimukset ja tekniset eritelmät sekä infrastruktuurin tietotekninen rakenne, joilla varmistetaan uusimman tekniikan mukainen tietoturva, luottamuksellisuus ja sähköisten terveystietojen suoja rajatylittävässä infrastruktuurissa;

a a)   edellytykset ja vaatimustenmukaisuustarkastukset, joiden perusteella toimija voi liittyä ja pysyä liitettynä Terveysdata @ EU (HealthData@EU) -infrastruktuuriin ▌, sekä edellytykset toimijan väliaikaiselle tai lopulliselle poistamiselle ▌Terveysdata @ EU (HealthData@EU) -infrastruktuurista, mukaan lukien erityiset säännökset vakavista väärinkäytöksistä tai toistuvasta rikkomisesta;

b)  vähimmäisvaatimukset, jotka kansallisten yhteyspisteiden ja infrastruktuurin hyväksyttyjen osallistujien on täytettävä;

c)  rajatylittäviin infrastruktuureihin osallistuvien rekisterinpitäjien ja henkilötietojen käsittelijöiden vastuualueet;

d)  rekisterinpitäjien ja henkilötietojen käsittelijöiden vastuualueet komission hallinnoimassa turvatussa ympäristössä;

e)  yhteiset eritelmät, jotka koskevat Terveysdata @ EU (HealthData@EU) ‑infrastruktuurin rakennetta ja sen yhteentoimivuutta muiden yhteisten eurooppalaisten data-avaruuksien kanssa.

Nämä täytäntöönpanosäädökset hyväksytään 68 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

14.  Jos vaatimustenmukaisuustarkastuksen tulos on myönteinen, komissio tekee täytäntöönpanosäädöksillä päätökset yksittäisten hyväksyttyjen osallistujien liittämisestä infrastruktuuriin. Nämä täytäntöönpanosäädökset hyväksytään 68 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

53 artikla

Pääsy sähköisten terveystietojen rajatylittäviin rekistereihin tai tietokantoihin toissijaista käyttöä varten

1.  Kun on kyse rajatylittävistä rekistereistä ja tietokannoista, sillä terveystietoihin pääsystä vastaavalla elimellä, johon asianomaisen rekisterin tai tietokannan terveystietojen haltija on rekisteröity, on toimivalta tehdä päätökset tietoihin pääsyä koskevista hakemuksista pääsyn tarjoamiseksi sähköisiin terveystietoihin tietoluvan nojalla. Jos tällaisilla rekistereillä tai tietokannoilla on yhteisrekisterinpitäjät, päätöksen tietoihin pääsyä koskevista hakemuksista pääsyn antamiseksi sähköisiin terveystietoihin tekee jonkin yhteisrekisterinpitäjän sijoittautumisjäsenvaltion terveystietoihin pääsystä vastaava elin ▌.

2.  Jos useiden jäsenvaltioiden rekisterit tai tietokannat järjestäytyvät yhdeksi rekisterien tai tietokantojen verkostoksi unionin tasolla, verkostoon liittyvät rekisterit voivat nimetä koordinaattorin, joka huolehtii tietojen toimittamisesta rekisterien verkostosta toissijaista käyttöä varten. Sen jäsenvaltion terveystietoihin pääsystä vastaavalla elimellä, jossa verkoston koordinaattori sijaitsee, on toimivalta tehdä rekisterien tai tietokantojen verkoston puolesta päätökset tietoihin pääsyä koskevista hakemuksista pääsyn antamiseksi sähköisiin terveystietoihin.

▌

5 jakso

Terveystietojen laatu ja hyödyllisyys toissijaista käyttöä varten

55 artikla

Tietoaineiston kuvaus ja tietoaineistoluettelo

1.  Terveystietoihin pääsystä vastaavan elimen on annettava julkisesti saatavilla olevassa ja vakioidussa koneluettavassa tietoaineistoluettelossa metadatan muodossa tietoa saatavilla olevista tietoaineistoista ja niiden ominaisuuksista ▌. Kunkin tietoaineiston kuvaukseen on sisällyttävä tiedot sähköisten terveystietojen lähteestä, sisällöstä, keskeisistä ominaisuuksista, luonteesta ja niiden saataville asettamisen edellytyksistä.

1 a.   Jäsenvaltioiden kansallisessa tietoaineistoluettelossa olevien tietoaineistojen kuvausten on oltava saatavilla ainakin yhdellä unionin virallisella kielellä. Unionin tietojenkäyttöpalvelun tarjoaman unionin toimielinten tietoaineistoluettelon on oltava saatavilla kaikilla unionin virallisilla kielillä.

1 b.   Tietoaineistoluettelo on asetettava myös asetuksen (EU) 2022/868 8 artiklan mukaisten keskitettyjen tietopisteiden saataville.

2.  Komissio vahvistaa täytäntöönpanosäädöksillä vähimmäistiedot, jotka terveystietojen haltijoiden on toimitettava tietoaineistoista ja niiden ominaisuuksista. Nämä täytäntöönpanosäädökset hyväksytään 68 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

56 artikla

Datan laatu- ja hyötymerkki

1.  Terveystietoihin pääsystä vastaavien elinten kautta saataville asetetuissa tietoaineistoissa voi olla terveystietojen haltijoiden niihin liittämä datan laatua ja hyödyllisyyttä kuvaava unionin merkki.

2.  Tietoaineistoissa, jotka sisältävät unionin tai kansallisen julkisen rahoituksen tuella kerättyjä ja käsiteltäviä sähköisiä terveystietoja, on oltava datan laatu- ja hyötymerkki, jossa on 3 kohdassa vahvistetut osatekijät.

3.  Datan laatu- ja hyötymerkin on katettava tapauksen mukaan seuraavat osatekijät:

a)  datan dokumentoinnin osalta: metadata, tausta-asiakirjat, ▌datahakemisto, muoto ja käytetyt standardit, alkuperä ja tapauksen mukaan datamalli;

b)  teknisen laadun arvioinnin osalta: tietojen täydellisyys, ainutlaatuisuus, täsmällisyys, validius, oikea-aikaisuus ja johdonmukaisuus;

c)  datan laadunhallintaprosessien osalta: datan laadunhallintaprosessien kehittyneisyyden taso, mukaan lukien tarkastus- ja auditointiprosessit, vinoutumien tarkastelu;

d)  kattavuuden arvioinnin osalta: ajanjakso, väestökattavuus ja tapauksen mukaan otokseen valitun väestön edustavuus sekä se, kuinka kauan luonnollinen henkilö keskimäärin esiintyy tietoaineistossa;

e)  dataan pääsyä ja sen tarjoamista koskevien tietojen osalta: aika, joka kuluu sähköisten terveystietojen keräämisestä niiden lisäämiseen tietoaineistoon, ja aika, joka kuluu sähköisiin terveystietoihin pääsyä koskevan hakemuksen hyväksymisestä näiden tietojen toimittamiseen;

f)  datan muuttamista koskevien tietojen osalta: tietoaineistojen yhdistäminen ja datan lisääminen olemassa olevaan tietoaineistoon, mukaan lukien linkit muihin tietoaineistoihin;

f a)   jos tietoaineistoon on liitetty 56 artiklan mukaisesti datan laatu- ja hyötymerkki, terveystietojen haltijan on toimitettava terveystietoihin pääsystä vastaavalle elimelle riittävät asiakirjat, joiden perusteella kyseinen elin voi vahvistaa merkin paikkansapitävyyden.

3 a.   Jos terveystietoihin pääsystä vastaavalla elimellä on syytä uskoa, että datan laatu- ja hyötymerkki saattaa olla paikkansapitämätön, sen on arvioitava, täyttääkö data 3 kohdan vaatimukset, ja peruutettava merkki, jos data ei ole vaaditun laatuista.

4.  Siirretään komissiolle valta antaa 67 artiklan mukaisesti delegoituja säädöksiä, joilla muutetaan datan laatu- ja hyötymerkin osatekijöiden luetteloa. Tällaisilla delegoiduilla säädöksillä voidaan myös muuttaa 3 kohdassa säädettyä luetteloa lisäämällä, muuttamalla tai poistamalla datan laatu- ja hyötymerkkiä koskevia vaatimuksia.

5.  Komissio vahvistaa täytäntöönpanosäädöksillä datan laatu- ja hyötymerkin visuaaliset ominaisuudet ja tekniset eritelmät 3 kohdassa tarkoitettujen osatekijöiden perusteella. Nämä täytäntöönpanosäädökset hyväksytään 68 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. Näissä täytäntöönpanosäädöksissä on otettava huomioon asetuksen [...] [tekoälysäädös 2021/0106(COD)] 10 artiklan vaatimukset sekä tapauksen mukaan mahdollisesti hyväksytyt kyseisiä vaatimuksia tukevat yhteiset eritelmät tai yhdenmukaistetut standardit.

57 artikla

EU:n tietoaineistoluettelo

1.  Komissio laatii ja tarjoaa yleiseen käyttöön EU:n tietoaineistoluettelon, johon yhdistetään kunkin jäsenvaltion terveystietoihin pääsystä vastaavien elinten laatimat tietoaineistoluettelot ja ▌ Terveysdata @ EU (HealthData@EU) -infrastruktuurin hyväksyttyjen osallistujien ▌ tietoaineistoluettelot.

2.  EU:n tietoaineistoluettelo ja kansalliset tietoaineistoluettelot sekä Terveysdata @ EU (HealthData@EU) -infrastruktuurin hyväksyttyjen osallistujien tietoaineistoluettelot asetetaan julkisesti saataville.

58 artikla

Tietoaineistoa koskevat vähimmäiseritelmät

Komissio voi täytäntöönpanosäädöksillä määrittää vähimmäiseritelmät sähköisten terveystietojen toissijaiseen käyttöön merkittävästi vaikuttavia tietoaineistoja varten ottaen huomioon olemassa olevat unionin infrastruktuurit, standardit, ohjeet ja suositukset. Nämä täytäntöönpanosäädökset hyväksytään 68 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

V LUKU

Lisätoimet

59 artikla

Valmiuksien kehittäminen

Komissio tukee parhaiden käytäntöjen ja asiantuntemuksen jakamista, jonka avulla pyritään kehittämään jäsenvaltioiden valmiuksia lujittaa digitaalisen terveydenhuollon järjestelmiä sähköisten terveystietojen ensisijaista ja toissijaista käyttöä varten, ottaen huomioon erityyppisten sidosryhmien erityisolosuhteet. Valmiuksien kehittämisen tukemiseksi komissio laatii tiiviissä yhteistyössä jäsenvaltioiden kanssa ja niitä kuulleen indikaattoreita sähköisten terveystietojen ensisijaista ja toissijaista käyttöä koskevaa itsearviointia varten.

59 a artikla

Terveydenhuollon ammattihenkilöille suunnattu koulutus ja tiedotus

1.  Jäsenvaltioiden on kehitettävä ja toteutettava terveydenhuollon ammattihenkilöille tarkoitettuja koulutusohjelmia tai tarjottava pääsy tällaisiin koulutusohjelmiin, jotta he voivat ymmärtää ja tehokkaasti hoitaa sähköisten terveystietojen ensisijaiseen käyttöön ja sähköisiin terveystietoihin pääsyyn liittyvät tehtävänsä, myös 4, 7 ja 9 artiklan osalta. Komissio tukee jäsenvaltioita tässä tehtävässä.

2.  Koulutuksen ja tiedotuksen on oltava helposti kaikkien terveydenhuollon ammattihenkilöiden saatavilla ja kohtuuhintaista, sanotun kuitenkaan rajoittamatta terveydenhuollon järjestämistä kansallisella tasolla.

59 b artikla

Digitaalinen terveysosaaminen ja digitaalisten terveyspalvelujen saatavuus

1.  Jäsenvaltioiden on edistettävä ja tuettava digitaalista terveysosaamista ja potilaiden asiaankuuluvia taitoja ja tietoja. Komissio tukee jäsenvaltioita tässä tehtävässä.

2.  Valistuskampanjoilla tai -ohjelmilla on pyrittävä erityisesti tiedottamaan potilaille ja suurelle yleisölle sähköisten terveystietojen ensisijaisesta ja toissijaisesta käytöstä eurooppalaisen terveystietoalueen puitteissa, myös tästä seuraavista oikeuksista, sekä sähköisten terveystietojen ensisijaisen ja toissijaisen käytön eduista, riskeistä ja mahdollisista hyödyistä tieteelle ja yhteiskunnalle.

3.  Edellä 2 kohdassa tarkoitetut kampanjat ja ohjelmat on sovitettava erityisryhmien tarpeisiin, ja niitä on kehitettävä ja tarkasteltava uudelleen sekä tarvittaessa päivitettävä.

4.  Jäsenvaltioiden on edistettävä pääsyä infrastruktuuriin, jota tarvitaan luonnollisten henkilöiden sähköisten terveystietojen tehokkaaseen hallintaan niin ensisijaisessa kuin toissijaisessa käytössä.

60 artikla

Julkisia hankintoja ja unionin rahoitusta koskevat lisävaatimukset

1.  Direktiivin 2014/24/EU 2 artiklan 1 kohdan 1 alakohdassa tarkoitetut hankintaviranomaiset, mukaan lukien digitaalisesta terveydenhuollosta vastaavat viranomaiset ja terveystietoihin pääsystä vastaavat elimet sekä unionin toimielimet, elimet ja laitokset, viittaavat tapauksen mukaan 6, 12, 23, 50, 52 ja 56 artiklassa tarkoitettuihin sovellettaviin teknisiin eritelmiin, standardeihin ja profiileihin, kun ne tekevät julkisia hankintoja ja laativat tarjousasiakirjojaan tai ehdotuspyyntöjään sekä määrittelevät tähän asetukseen liittyvän unionin rahoituksen edellytyksiä, rakenne- ja koheesiorahastojen mahdollistavat edellytykset mukaan lukien.

2.  Unionin rahoituksen saamisen perusteissa on otettava huomioon II, III ja IV luvun puitteissa vahvistetut vaatimukset.

60 a artikla

Unionin oikeuden yleisten periaatteiden mukaisesti, joihin kuuluvat perusoikeuskirjan 7 ja 8 artiklassa taatut perusoikeudet, jäsenvaltioiden on asianmukaisin teknisin ja organisatorisin toimenpitein varmistettava suojelun ja turvallisuuden erityisen korkea taso, kun käsitellään henkilökohtaisia sähköisiä terveystietoja ensisijaista käyttöä varten. Tältä osin tämä asetus ei estä säätämästä kansallisessa lainsäädännössä kansallisten olosuhteiden perusteella, että kun henkilökohtaisia sähköisiä terveystietoja käsittelevät terveydenhuollon tarjoajat terveydenhuollon tarjoamista varten taikka Minun terveyteni @ EU (MyHealth@EU) -infrastruktuuriin liittyneet digitaalisen terveydenhuollon kansalliset yhteyspisteet, 5 artiklassa tarkoitettuja henkilökohtaisia sähköisiä terveystietoja säilytetään ensisijaista käyttöä varten unionissa sijaitsevassa paikassa unionin oikeuden ja kansainvälisten sitoumusten mukaisesti.

60 a a artikla

Henkilökohtaisten sähköisten terveystietojen säilyttäminen terveystietoihin pääsystä vastaavien elinten toimesta ja turvatut käsittely-ympäristöt

1.   Terveystietoihin pääsystä vastaavien elinten, yksittäisten datan haltijoiden ja unionin tietojenkäyttöpalvelun on säilytettävä ja käsiteltävä henkilökohtaisia sähköisiä terveystietoja unionissa suorittaessaan 45–49 artiklassa tarkoitettuja pseudonymisointia, anonymisointia ja muita henkilötietojen käsittelytoimia 50 artiklassa ja 52 artiklan 8 kohdassa tarkoitettujen turvattujen käsittely-ympäristöjen kautta tai Terveysdata @ EU (HealthData@EU) -infrastruktuurin kautta. Tätä vaatimusta sovelletaan kaikkiin toimijoihin, jotka suorittavat näitä tehtäviä niiden puolesta.

2.   Edellä 1 kohdassa tarkoitettuja tietoja voidaan poikkeuksellisesti säilyttää ja käsitellä kolmannessa maassa tai kyseisen kolmannen maan alueella tai sen yhdellä tai useammalla tietyllä sektorilla, josta on tehty tietosuojan riittävyyttä koskeva päätös asetuksen (EU) 2016/679 45 artiklan mukaisesti.

61 artikla

Muiden kuin henkilökohtaisten sähköisten tietojen siirtäminen kolmansista maista

1.  Muita kuin henkilökohtaisia sähköisiä terveystietoja, jotka terveystietoihin pääsystä vastaavat elimet asettavat kolmannessa maassa olevan terveystietojen käyttäjän saataville 46 artiklan mukaisen tietoluvan nojalla tai 47 artiklan mukaisen tietopyynnön johdosta taikka kolmannessa maassa olevien hyväksyttyjen osallistujien tai kansainvälisen järjestön saataville ja jotka perustuvat johonkin 33 artiklassa säädettyyn luokkaan kuuluviin luonnollisten henkilöiden sähköisiin terveystietoihin, on pidettävä asetuksen (EU) 2022/868 5 artiklan 13 kohdassa tarkoitettuina erittäin arkaluontoisina tietoina, jos niiden siirtämiseen kolmansiin maihin liittyy uudelleentunnistamisen riski, joka liittyy menetelmiin, jotka ovat edistyneempiä kuin ne, joiden käyttöä voidaan kohtuudella pitää todennäköisenä, erityisesti kyseisissä tiedoissa mukana olevien henkilöiden pienen määrän, tietojen maantieteellisen hajanaisuuden tai lähitulevaisuudessa odotettavissa olevan teknisen kehityksen vuoksi.

2.  Edellä olevassa 1 kohdassa mainittuja tietoluokkia koskevat suojatoimenpiteet ▌on määritettävä yksityiskohtaisesti asetuksen (EU) 2022/868 5 artiklan 13 kohdassa siirretyn säädösvallan nojalla annettavassa delegoidussa säädöksessä.

62 artikla

Kolmannen maan viranomaisten pääsy muihin kuin henkilökohtaisiin sähköisiin terveystietoihin ▌

1.  Digitaalisesta terveydenhuollosta vastaavien viranomaisten, terveystietoihin pääsystä vastaavien elinten, 12 ja 52 artiklassa tarkoitettujen rajatylittävien infrastruktuurien hyväksyttyjen osallistujien ja terveystietojen käyttäjien on toteutettava kaikki kohtuudella toteutettavissa olevat tekniset, oikeudelliset ja organisatoriset toimenpiteet, mukaan lukien sopimusjärjestelyt, estääkseen unionissa olevien muiden kuin henkilökohtaisten sähköisten terveystietojen ▌ siirron kolmanteen maahan tai kansainväliselle järjestölle sekä kolmannen maan viranomaisten pääsyn kyseisiin tietoihin, jos tällainen siirto ▌ olisi ristiriidassa unionin oikeuden tai asianomaisen jäsenvaltion kansallisen lainsäädännön kanssa ▌.

2.  Kolmannen maan tuomioistuimen antama tuomio tai kolmannen maan hallintoviranomaisen päätös, jossa vaaditaan digitaalisesta terveydenhuollosta vastaavaa viranomaista, terveystietoihin pääsystä vastaavaa elintä tai datan käyttäjää siirtämään unionissa olevia tämän asetuksen soveltamisalaan kuuluvia muita kuin henkilökohtaisia terveystietoja tai antamaan pääsy tällaisiin tietoihin, tunnustetaan tai pannaan täytäntöön millä tahansa tavalla vain, jos se perustuu pyynnön esittäneen kolmannen maan ja unionin väliseen voimassa olevaan kansainväliseen sopimukseen, kuten keskinäistä oikeusapua koskevaan sopimukseen, tai pyynnön esittäneen kolmannen maan ja jäsenvaltion väliseen tällaiseen sopimukseen.

3.  Jos tämän artiklan 2 kohdassa tarkoitettua kansainvälistä sopimusta ei ole ja jos digitaalisesta terveydenhuollosta vastaava viranomainen, terveystietoihin pääsystä vastaava elin tai datan käyttäjä on sellaisen kolmannen maan tuomioistuimen päätöksen tai tuomion taikka kolmannen maan hallintoviranomaisen päätöksen vastaanottajana, joka koskee tämän asetuksen soveltamisalaan kuuluvan unionissa olevan muun datan kuin henkilötietojen siirtämistä tai tällaiseen dataan pääsyä, ja kyseisen päätöksen noudattaminen saattaisi johtaa siihen, että vastaanottaja rikkoo unionin oikeutta tai asianomaisen jäsenvaltion kansallista lainsäädäntöä, tällaista dataa saadaan siirtää tai tällaiseen dataan saadaan antaa pääsy kyseiselle kolmannen maan viranomaiselle ainoastaan, jos

a)  kolmannen maan järjestelmä edellyttää, että tällaisen päätöksen tai tuomion perustelut ja oikeasuhteisuus esitetään ja että tällainen päätös tai tuomio on luonteeltaan yksilöity, esimerkiksi siten, että siitä käy riittävällä tavalla ilmi yhteys tiettyihin epäiltyihin henkilöihin tai rikkomuksiin;

b)  toimivaltainen kolmannen maan tuomioistuin tutkii vastaanottajan perustellun vastalauseen; ja

c)  toimivaltaisella kolmannen maan tuomioistuimella, joka antaa päätöksen tai tuomion tai joka tarkastelee uudelleen hallintoviranomaisen päätöstä, on kyseisen kolmannen maan lainsäädännön nojalla toimivalta ottaa asianmukaisesti huomioon unionin oikeuden tai asianosaisen jäsenvaltion kansallisen oikeuden mukaisesti suojatun datan toimittajan asiaankuuluvat oikeudelliset edut.

4.  Jos 2 tai 3 kohdassa säädetyt edellytykset täyttyvät, digitaalisesta terveydenhuollosta vastaavan viranomaisen, terveystietoihin pääsystä vastaavan elimen tai data-altruismipohjaisen elimen on vastauksena pyyntöön toimitettava vähimmäismäärä sallittavaa dataa kyseistä pyyntöä koskevan kohtuullisen tulkinnan perusteella.

5.  Digitaalisesta terveydenhuollosta vastaavien viranomaisten, terveystietoihin pääsystä vastaavien elinten ja datan käyttäjien on ilmoitettava datan haltijalle kolmannen maan hallintoviranomaisen esittämästä pyynnöstä saada pääsy sen dataan ennen kyseisen pyynnön noudattamista, lukuun ottamatta tapauksia, joissa pyyntö palvelee lainvalvontatarkoituksia, ja niin kauan kuin se on tarpeen lainvalvontatoimien tehokkuuden säilyttämiseksi.

63 artikla

Lisäedellytykset henkilökohtaisten sähköisten terveystietojen siirtämiselle kolmanteen maahan tai kansainväliselle järjestölle

Henkilökohtaisten sähköisten terveystietojen siirto kolmanteen maahan tai kansainväliselle järjestölle sallitaan asetuksen (EU) 2016/679 V luvun mukaisesti. Jäsenvaltiot voivat pitää voimassa tai ottaa käyttöön ▌asetuksen (EU) 2016/679 9 artiklan 4 kohdan mukaisesti ja sen nojalla muita henkilökohtaisten sähköisten terveystietojen tällaista kansainvälistä käyttöä ja siirtoa koskevia lisäehtoja, myös rajoituksia, tämän asetuksen 13 artiklan 3 kohdassa ja 52 artiklan 5 kohdassa säädettyjen vaatimusten ja asetuksen (EU) 2016/679 V luvun vaatimusten lisäksi.

63 b artikla

Kolmansien maiden esittämät tietoja koskevat hakemukset ja tietopyynnöt

1.  Rajoittamatta 45, 46 ja 47 artiklan soveltamista jäsenvaltioiden nimeämien terveystietoihin pääsystä vastaavien elinten ja unionin tietojenkäyttöpalvelun on pidettävä hyväksyttävinä kolmanteen maahan sijoittautuneen datan käyttäjän esittämiä tietoja koskevia hakemuksia ja tietopyyntöjä, jos kyseinen kolmas maa

a)  kuuluu 52 artiklan 5 kohdassa tarkoitetun täytäntöönpanosäädöksen soveltamisalaan; tai

b)  antaa unionin hakijoille pääsyn sähköisiin terveystietoihin kyseisessä kolmannessa maassa edellytyksin, jotka eivät ole tiukempia kuin tässä asetuksessa säädetyt edellytykset, ja kuuluu näin ollen 2 kohdassa tarkoitettujen täytäntöönpanosäädösten soveltamisalaan.

Komissio voi antaa täytäntöönpanosäädöksiä, joissa vahvistetaan, että kolmas maa täyttää 1 kohdan b alakohdassa säädetyt perusteet. Nämä täytäntöönpanosäädökset hyväksytään 68 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen. Komissio asettaa julkisesti saataville luettelon tämän kohdan nojalla hyväksytyistä täytäntöönpanosäädöksistä.

Komissio seuraa sellaista kehitystä kolmansissa maissa ja kansainvälisissä järjestöissä, joka voi vaikuttaa 2 kohdan nojalla annettujen täytäntöönpanosäädösten toimivuuteen, ja säätää tämän artiklan toimivuuden säännöllisestä uudelleentarkastelusta.

Jos komissio katsoo, että kolmas maa ei enää täytä 1 kohdan b alakohdassa säädettyjä vaatimuksia, se antaa täytäntöönpanosäädöksen tällaisen pääsystä hyötyvän kolmannen maan poistamiseksi.

VI LUKU

Unionin tason hallinto ja koordinointi

64 artikla

Eurooppalaisen terveystietoalueen neuvosto

1.  Perustetaan eurooppalaisen terveystietoalueen neuvosto helpottamaan yhteistyötä ja tietojenvaihtoa jäsenvaltioiden kesken ja komission kanssa. Eurooppalaisen terveystietoalueen neuvostossa on kaksi edustajaa kustakin jäsenvaltiosta, yksi ensisijaiseen käyttöön ja toinen toissijaiseen käyttöön liittyviä asioita varten, ja kukin jäsenvaltio nimittää omat edustajansa. Kullakin jäsenvaltiolla on yksi ääni. Eurooppalaisen terveystietoalueen neuvoston jäsenten on sitouduttava toimimaan yleisen edun mukaisesti ja riippumattomasti.

1 a.   Komission edustaja ja yksi 1 kohdassa tarkoitetuista jäsenvaltioiden edustajista toimivat eurooppalaisen terveystietoalueen neuvoston kokousten yhteispuheenjohtajina.

1 b.   Edellä 28 artiklassa tarkoitetut markkinavalvontaviranomaiset, Euroopan tietosuojaneuvosto, Euroopan tietosuojavaltuutettu, Euroopan lääkevirasto, Euroopan tautienehkäisy- ja -valvontakeskus ja Euroopan unionin kyberturvallisuusvirasto kutsutaan kokouksiin, joissa käsiteltävät asiat ovat neuvoston mukaan merkityksellisiä niiden kannalta.

1 c.   Neuvosto voi kutsua kokouksiinsa myös muita kansallisia viranomaisia, asiantuntijoita ja tarkkailijoita, muita unionin toimielimiä, elimiä ja laitoksia sekä tutkimusinfrastruktuureja ja muita vastaavia rakenteita.

1 d.   Neuvosto voi tarvittaessa tehdä yhteistyötä muiden ulkopuolisten asiantuntijoiden kanssa.

2.  Sen mukaan, mihin toimintoihin sähköisten terveystietojen käyttö liittyy, eurooppalaisen terveystietoalueen neuvosto voi työskennellä aihekohtaisissa alaryhmissä, joissa ▌digitaalisesta terveydenhuollosta vastaavilla viranomaisilla tai terveystietoihin pääsystä vastaavilla elimillä on oltava edustus. Alaryhmät tukevat eurooppalaisen terveystietoalueen neuvostoa omalla erityisasiantuntemuksellaan. Alaryhmillä voi olla yhteisiä kokouksia tarpeen mukaan.

3.  Eurooppalaisen terveystietoalueen neuvosto hyväksyy työjärjestyksensä ja menettelysäännöt komission esityksestä. Työjärjestyksessä määrätään alaryhmien kokoonpanosta, organisaatiosta, toiminnasta ja yhteistyöstä sekä eurooppalaisen terveystietoalueen neuvoston yhteistyöstä sidosryhmäfoorumin kanssa. Eurooppalaisen terveystietoalueen neuvoston äänestyssääntöjen mukaan se tekee päätöksensä mahdollisuuksien mukaan yhteisymmärryksessä. Jos yhteisymmärrykseen ei päästä, eurooppalaisen terveystietoalueen neuvosto tekee päätöksensä jäsenvaltioiden kahden kolmasosan enemmistöllä.

▌

5.  Eurooppalaisen terveystietoalueen neuvoston on tehtävä yhteistyötä muiden asiaankuuluvien elinten, toimijoiden ja asiantuntijoiden kanssa, kuten asetuksen (EU) 2022/868 29 artiklassa tarkoitetun Euroopan datainnovaatiolautakunnan, asetuksen (EU) 2023/2854 37 artiklan nojalla nimettyjen toimivaltaisten elinten, asetuksen (EU) N:o 910/2014 17 artiklan nojalla nimettyjen valvontaelinten, asetuksen (EU) 2016/679 68 artiklassa tarkoitetun Euroopan tietosuojaneuvoston, kyberturvallisuuselinten, myös Euroopan unionin kyberturvallisuusviraston, ja eurooppalaisten avoimen tieteen pilvipalvelujen kanssa, kun pyritään löytämään kehittyneitä ratkaisuja, jotka mahdollistavat datan FAIR-periaatteiden mukaisen käytön tutkimus- ja innovointitoiminnassa.

▌

7.  Eurooppalaisen terveystietoalueen neuvostoa avustaa sihteeristö, jonka komissio järjestää.

7 a.   Eurooppalaisen terveystietoalueen neuvosto julkistaa kokoustensa päivämäärät ja pöytäkirjat ja julkaisee joka toinen vuosi toimintakertomuksen.

8.  Komissio hyväksyy täytäntöönpanosäädöksillä tarvittavat toimenpiteet eurooppalaisen terveystietoalueen neuvoston perustamista ▌ja toimintaa varten. Nämä täytäntöönpanosäädökset hyväksytään 68 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.

64 a artikla

Sidosryhmäfoorumi

1.   Perustetaan sidosryhmäfoorumi helpottamaan tietojenvaihtoa ja edistämään yhteistyötä sidosryhmien kanssa tämän asetuksen täytäntöönpanossa.

2.   Sidosryhmäfoorumi koostuu asiaankuuluvien sidosryhmien, muun muassa potilasjärjestöjen, terveydenhuollon ammattihenkilöiden, toimialan, kuluttajajärjestöjen, tieteellisten tutkijoiden ja tiedeyhteisön, edustajista. Sidosryhmäfoorumin kokoonpanon on oltava tasapainoinen ja edustettava erilaisten asiaankuuluvien sidosryhmien näkemyksiä. Jos sidosryhmäfoorumissa on edustettuina kaupallisia etuja, suurten yritysten, pk-yritysten ja startup-yritysten etujen on oltava tasapainossa. Sähköisten terveystietojen ensisijaiseen ja toissijaiseen käyttöön olisi myös kiinnitettävä huomiota tasapuolisesti.

3.   Komissio nimittää sidosryhmäfoorumin jäsenet julkisen kiinnostuksenilmaisupyynnön ja avoimen valintamenettelyn perusteella. Sidosryhmäfoorumin jäsenten on annettava sidonnaisuuksistaan vuosittain ilmoitus, jota on päivitettävä tarvittaessa ja joka on asetettava julkisesti saataville.

4.  Sidosryhmäfoorumi voi perustaa pysyviä tai väliaikaisia alaryhmiä tarpeen mukaan tämän asetuksen tavoitteisiin liittyvien erityiskysymysten tarkastelua varten. Sidosryhmäfoorumi laatii työjärjestyksensä.

5.   Sidosryhmäfoorumi kokoontuu säännöllisesti, ja sen kokousten puheenjohtajana toimii komission edustaja.

6.   Sidosryhmäfoorumin on laadittava toiminnastaan vuosikertomus. Tämä vuosikertomus on asetettava julkisesti saataville.

65 artikla

Eurooppalaisen terveystietoalueen neuvoston tehtävät

1.  Eurooppalaisen terveystietoalueen neuvostolla on seuraavat sähköisten terveystietojen ensisijaiseen käyttöön liittyvät tehtävät II ja III luvun mukaisesti:

a)  jäsenvaltioiden avustaminen digitaalisesta terveydenhuollosta vastaavien viranomaisten käytäntöjen koordinoinnissa;

b)  kirjallisten kannanottojen antaminen ja parhaiden käytäntöjen vaihtaminen asioissa, jotka liittyvät tämän asetuksen ja sen nojalla annettujen delegoitujen säädösten ja täytäntöönpanosäädösten täytäntöönpanon koordinointiin jäsenvaltioiden tasolla ottamalla myös huomioon alue- ja paikallistaso, erityisesti seuraavien osalta:

i)  II ja III luvussa vahvistetut säännökset;

ii)  sellaisten verkkopalvelujen kehittäminen, joilla helpotetaan terveydenhuollon ammattihenkilöiden ja luonnollisten henkilöiden turvattua pääsyä sähköisiin terveystietoihin, mukaan lukien turvattu sähköinen tunnistaminen;

iii)  muut sähköisten terveystietojen ensisijaiseen käyttöön liittyvät näkökohdat;

c)  digitaalisesta terveydenhuollosta vastaavien viranomaisten välisen yhteistyön helpottaminen kehittämällä valmiuksia, luomalla rakenne joka toinen vuosi annettavaa toimintakertomusta varten ▌ ja vaihtamalla tietoja;

d)  tietojen jakaminen neuvoston jäsenten kesken sähköisten potilaskertomusjärjestelmien aiheuttamista riskeistä ja vakavista vaaratilanteista sekä niiden käsittelystä;

e)  sähköisten terveystietojen ensisijaista käyttöä koskevan näkemysten vaihdon helpottaminen 64 artiklan a alakohdassa tarkoitetun sidosryhmäfoorumin sekä sääntelijöiden ja terveydenhuoltoalan poliittisten päättäjien kanssa.

2.  Eurooppalaisen terveystietoalueen neuvostolla on seuraavat sähköisten terveystietojen toissijaiseen käyttöön liittyvät tehtävät IV luvun mukaisesti:

a)  jäsenvaltioiden avustaminen terveystietoihin pääsystä vastaavien elinten käytäntöjen koordinoinnissa IV luvun säännösten täytäntöönpanossa tämän asetuksen johdonmukaisen soveltamisen varmistamiseksi;

b)  kirjallisten kannanottojen antaminen ja parhaiden käytäntöjen vaihtaminen asioissa, jotka liittyvät tämän asetuksen ja sen nojalla annettujen delegoitujen säädösten ja täytäntöönpanosäädösten täytäntöönpanon koordinointiin jäsenvaltioiden tasolla, erityisesti seuraavien osalta:

i)  sähköisiin terveystietoihin pääsyä koskevien sääntöjen täytäntöönpano;

ii)  IV luvussa säädettyjä vaatimuksia koskevat tekniset eritelmät tai olemassa olevat standardit;

iii)  kannustintoimet datan laadun ja yhteentoimivuuden parantamiseksi;

iv)  terveystietoihin pääsystä vastaavien elinten ja terveystietojen haltijoiden veloittamia maksuja koskevat periaatteet;

v a)   toimenpiteet luonnollisen henkilön hoitoon osallistuvien terveydenhuollon ammattihenkilöiden henkilötietojen suojaamiseksi;

vi)  muut sähköisten terveystietojen toissijaiseen käyttöön liittyvät näkökohdat;

b a)   eurooppalaisen terveystietoalueen neuvosto laatii asiaankuuluvia sidosryhmiä, muun muassa potilaiden, terveydenhuollon ammattihenkilöiden ja tutkijoiden edustajia, kuullen ja yhteistyössä niiden kanssa ohjeita, joiden tarkoituksena on auttaa terveystietojen käyttäjiä täyttämään 41 artiklan 5 kohdan mukainen velvollisuutensa ja etenkin määrittää, ovatko niiden havainnot kliinisesti merkittäviä;

c)  terveystietoihin pääsystä vastaavien viranomaisten välisen yhteistyön helpottaminen kehittämällä valmiuksia, luomalla rakenne joka toinen vuosi annettavaa toimintakertomusta varten ▌ja vaihtamalla tietoja;

d)  tietojen jakaminen sähköisten terveystietojen toissijaiseen käyttöön liittyvistä riskeistä ja vaaratilanteista sekä niiden käsittelystä;

▌

f)  sähköisten terveystietojen toissijaista käyttöä koskevan näkemysten vaihdon helpottaminen 64 artiklan a alakohdassa tarkoitetun sidosryhmäfoorumin sekä terveystietojen haltijoiden, terveystietojen käyttäjien, sääntelijöiden ja terveydenhuoltoalan poliittisten päättäjien kanssa.

66 artikla

Minun terveyteni @ EU (MyHealth@EU) -infrastruktuurin ja Terveysdata @ EU (HealthData@EU) -infrastruktuurin ohjausryhmät

1.  Perustetaan kaksi ohjausryhmää 12 ja 52 artiklassa tarkoitettuja rajatylittäviä infrastruktuureja varten: Minun terveyteni @ EU (MyHealth@EU) -ohjausryhmä ja Terveysdata @ EU (HealthData@EU) -ohjausryhmä. Kussakin ohjausryhmässä on yksi edustaja kustakin jäsenvaltiosta, ja heidät nimetään jäsenvaltioiden kansallisista yhteyspisteistä.

1 a.   Ohjausryhmät tekevät 12 ja 52 artiklassa tarkoitettujen rajatylittävien infrastruktuurien kehittämistä ja toimintaa koskevat operatiiviset päätökset.

1 b.   Ohjausryhmät tekevät päätöksensä yhteisymmärryksessä. Jos yhteisymmärrykseen ei päästä, päätöksen tekeminen edellyttää, että sitä puoltaa ohjausryhmän jäsenten kahden kolmasosan enemmistö äänestyksessä, jossa kullakin jäsenvaltiolla on yksi ääni.

2.  Kunkin ohjausryhmän kokoonpanosta, organisaatiosta, toiminnasta ja yhteistyöstä määrätään sen työjärjestyksessä, jonka ohjausryhmä vahvistaa.

3.  Ohjausryhmien kokouksiin voidaan kutsua muita hyväksyttyjä osallistujia vaihtamaan tietoja ja näkemyksiä merkityksellisistä asioista, jotka liittyvät 12 ja 52 artiklassa tarkoitettuihin rajatylittäviin infrastruktuureihin. Kun tällaisia osallistujia kutsutaan, heillä on tarkkailijan asema.

3 a.   Ohjausryhmien kokouksiin voidaan kutsua tarkkailijoiksi sidosryhmiä ja asiaankuuluvia kolmansia osapuolia, muun muassa potilaiden, terveydenhuollon ammattihenkilöiden, kuluttajien ja toimialan edustajia.

4.  Ohjausryhmät valitsevat kokouksilleen puheenjohtajan.

5.  Ohjausryhmiä avustaa sihteeristö, jonka komissio järjestää.

66 a artikla

Komission rooli ja tehtävät eurooppalaisen terveystietoalueen toiminnassa

1.   Edellä 1 kohdassa tarkoitettujen palvelujen on täytettävä riittävät saatavuutta, turvallisuutta, kapasiteettia, yhteentoimivuutta, ylläpitoa, seurantaa ja kehittämistä koskevat laatuvaatimukset, jotta voidaan varmistaa eurooppalaisen terveystietoalueen tehokas toiminta. Komissio antaa ne asiaankuuluvien ohjausryhmien operatiivisten päätösten mukaisesti.

4.   Komissio antaa joka toinen vuosi julkisen kertomuksen infrastruktuureista ja palveluista, jotka tukevat sen 1 kohdan mukaisesti tarjoamaa eurooppalaista terveystietoaluetta.

4a.   Sen lisäksi, että komissio osallistuu unionin toimielinten, elinten tai laitosten hallussa olevien sähköisten terveystietojen asettamiseen saataville 36 ja 36 a artiklan ja 52 artiklan 1 a kohdan mukaisesti ja hoitaa III luvun, muun muassa 26 a artiklan, mukaiset tehtävänsä, se huolehtii seuraavien, eurooppalaisen terveystietoalueen toiminnan tueksi tarvittavien infrastruktuurien ja keskuspalvelujen kehittämisestä, ylläpidosta, isännöinnistä ja toiminnasta kaikkia asiaankuuluvia näihin infrastruktuureihin liitettyjä toimijoita varten:

a)  yhteentoimiva luonnollisten henkilöiden ja terveydenhuollon ammattihenkilöiden rajatylittävä tunnistamis- ja todentamismekanismi 9 artiklan 3 ja 4 kohdan mukaisesti;

b)  Minun terveyteni @ EU (MyHealth@EU) -infrastruktuurin digitaalisen terveydenhuollon keskuspalvelut ja infrastruktuurit 12 artiklan 1 kohdan mukaisesti;

c)  vaatimustenmukaisuustarkastukset hyväksyttyjen osallistujien liittämiseksi Minun terveyteni @ EU (MyHealth@EU) -infrastruktuuriin 12 artiklan 9 kohdan mukaisesti;

d)  tämän asetuksen 13 artiklan 1 kohdassa tarkoitetut täydentävät rajatylittävät digitaaliset terveyspalvelut ja -infrastruktuurit;

e)  Terveysdata @ EU (HealthData@EU) -infrastruktuuriin kuuluva palvelu, jolla toimitetaan hakemukset, joilla haetaan pääsyä sähköisiin terveystietoihin useamman kuin yhden jäsenvaltion terveystietojen haltijoilta tai muilta hyväksytyiltä osallistujilta, ja välitetään ne automaattisesti asiaankuuluville yhteyspisteille 45 artiklan 3 kohdan mukaisesti;

f)  Terveysdata @ EU (HealthData@EU) -infrastruktuurin keskuspalvelut ja infrastruktuurit 52 artiklan 6 ja 7 kohdan mukaisesti;

g)  52 artiklan 8 kohdan mukainen turvattu käsittely-ympäristö, jossa terveystietoihin pääsystä vastaavat elimet voivat päättää asettaa tietoja saataville 46 artiklan 5 a kohdan mukaisesti;

h)  vaatimustenmukaisuustarkastukset hyväksyttyjen osallistujien liittämiseksi Minun terveyteni @ EU (MyHealth@EU) -infrastruktuuriin 52 artiklan 12 kohdan mukaisesti;

i)  EU:n tietoaineistoluettelo, johon yhdistetään kansalliset tietoaineistoluettelot 57 artiklan mukaisesti;

j)  eurooppalaisen terveystietoalueen neuvoston sihteeristö 64 artiklan 7 kohdan mukaisesti;

k)  ohjausryhmien sihteeristö 66 artiklan 5 kohdan mukaisesti.

VII LUKU

Säädösvallan siirto ja komitea

67 artikla

Siirretyn säädösvallan käyttäminen

1.  Komissiolle siirrettyä valtaa antaa delegoituja säädöksiä koskevat tässä artiklassa säädetyt edellytykset.

2.  Siirretään komissiolle tämän asetuksen voimaantulopäivästä määräämättömäksi ajaksi 5 artiklan 2 kohdassa, ▌32 artiklan 4 kohdassa ja 56 artiklan 4 kohdassa tarkoitettu valta antaa delegoituja säädöksiä.

3.  Euroopan parlamentti tai neuvosto voi milloin tahansa peruuttaa 5 artiklan 2 kohdassa, ▌32 artiklan 4 kohdassa ja 56 artiklan 4 kohdassa tarkoitetun säädösvallan siirron. Peruuttamispäätöksellä lopetetaan tuossa päätöksessä mainittu säädösvallan siirto. Peruuttaminen tulee voimaan sitä päivää seuraavana päivänä, jona sitä koskeva päätös julkaistaan Euroopan unionin virallisessa lehdessä, tai jonakin myöhempänä, kyseisessä päätöksessä mainittuna päivänä. Peruuttamispäätös ei vaikuta jo voimassa olevien delegoitujen säädösten pätevyyteen.

4.  Ennen kuin komissio hyväksyy delegoidun säädöksen, se kuulee kunkin jäsenvaltion nimeämiä asiantuntijoita paremmasta lainsäädännöstä 13 päivänä huhtikuuta 2016 tehdyssä toimielinten välisessä sopimuksessa vahvistettujen periaatteiden mukaisesti.

5.  Heti kun komissio on antanut delegoidun säädöksen, komissio antaa sen tiedoksi yhtäaikaisesti Euroopan parlamentille ja neuvostolle.

6.  Edellä olevan 5 artiklan 2 kohdan, ▌32 artiklan 4 kohdan tai 56 artiklan 4 kohdan nojalla annettu delegoitu säädös tulee voimaan ainoastaan, jos Euroopan parlamentti tai neuvosto ei ole kolmen kuukauden kuluessa siitä, kun asianomainen säädös on annettu tiedoksi Euroopan parlamentille ja neuvostolle, ilmaissut vastustavansa sitä tai jos sekä Euroopan parlamentti että neuvosto ovat ennen mainitun määräajan päättymistä ilmoittaneet komissiolle, että ne eivät vastusta säädöstä. Euroopan parlamentin tai neuvoston aloitteesta tätä määräaikaa jatketaan kolmella kuukaudella.

68 artikla

Komiteamenettely

1.  Komissiota avustaa komitea. Tämä komitea on asetuksessa (EU) N:o 182/2011 tarkoitettu komitea.

2.  Kun viitataan tähän kohtaan, sovelletaan asetuksen (EU) N:o 182/2011 5 artiklaa.

68 a artikla

Horisontaaliset valitukset

1.   Luonnollisilla henkilöillä ja oikeushenkilöillä on oikeus tehdä valitus yksin tai tarvittaessa yhteisesti digitaalisesta terveydenhuollosta vastaavalle viranomaiselle, jos valitus liittyy II luvun säännöksiin, tai terveystietoihin pääsystä vastaavalle elimelle, jos valitus liittyy IV luvun säännöksiin, kun kyseisten henkilöiden oikeuksiin tai etuihin kohdistuu kielteisiä vaikutuksia, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai oikeussuojakeinoja.

2.   Digitaalisesta terveydenhuollosta vastaavan viranomaisen tai terveystietoihin pääsystä vastaavan elimen, jolle valitus on jätetty, on ilmoitettava valituksen tekijälle sen käsittelyn etenemisestä ja siitä tehdystä päätöksestä.

3.   Digitaalisesta terveydenhuollosta vastaavien viranomaisten ja terveystietoihin pääsystä vastaavien elinten on tarjottava helposti saatavilla olevia välineitä valitusten tekemiseen.

4.   Jos valitus koskee tämän asetuksen 8 a–8 f, 8 h tai 48 a artiklan mukaisia luonnollisten henkilöiden oikeuksia, valitus on välitettävä asetuksen (EU) 2016/679 mukaiselle toimivaltaiselle valvontaviranomaiselle. Digitaalisesta terveydenhuollosta vastaavan viranomaisen tai terveystietoihin pääsystä vastaavan elimen on toimitettava kyseiselle asetuksen (EU) 2016/679 mukaiselle valvontaviranomaiselle käytettävissään olevat tiedot, joita tarvitaan valituksen arvioinnin ja tutkimisen helpottamiseksi.

VIII LUKU

Muut säännökset

69 artikla

Seuraamukset

Jäsenvaltioiden on säädettävä muista tämän asetuksen rikkomiseen sovellettavista seuraamuksista erityisesti niitä tilanteita varten, joihin ei sovelleta 43 ja 43 a artiklan mukaisia seuraamusmaksuja, ja toteutettava kaikki tarvittavat toimenpiteet niiden täytäntöönpanon varmistamiseksi. Seuraamusten on oltava tehokkaita, oikeasuhteisia ja varoittavia. ▌

Jäsenvaltioiden on otettava tarvittaessa huomioon seuraavat ei-tyhjentävät ja ohjeelliset perusteet määrättäessä seuraamuksia tämän asetuksen rikkomisesta:

a)   rikkomisen luonne, vakavuus, laajuus ja kesto;

b)   rikkojan toteuttamat mahdolliset toimet rikkomisen aiheuttaman vahingon lieventämiseksi tai korjaamiseksi;

c)   rikkojan mahdolliset aiemmat rikkomukset;

d)   rikkojan rikkomisen johdosta saamat taloudelliset edut tai sen välttämät tappiot, jos tällaiset voitot tai tappiot voidaan luotettavasti osoittaa;

e)   mahdolliset muut tapauksen olosuhteisiin sovellettavat raskauttavat tai lieventävät tekijät;

f)   rikkojan edellisen tilikauden vuotuinen liikevaihto unionissa.

Jäsenvaltioiden on ilmoitettava nämä säännökset ja toimenpiteet komissiolle viimeistään tämän asetuksen soveltamisen alkamispäivänä ja ilmoitettava sille viipymättä kaikki niitä koskevat myöhemmät muutokset.

69 a artikla

Oikeus korvauksen saamiseen

Jos henkilölle aiheutuu tämän asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada korvaus kansallisen ja unionin lainsäädännön mukaisesti.

69 b artikla

Luonnollisen henkilön edustaminen

Jos luonnollinen henkilö katsoo, että hänellä tämän asetuksen nojalla olevia oikeuksia on loukattu, hänellä on oikeus valtuuttaa voittoa tavoittelematon elin, järjestö tai yhdistys, joka on perustettu kansallisen lainsäädännön mukaisesti, jonka sääntömääräiset tavoitteet ovat yleisen edun mukaisia ja joka toimii henkilötietojen suojaamisen alalla, tekemään puolestaan valitus tai käyttämään 68 a artiklassa tarkoitettuja oikeuksia.

70 artikla

Arviointi, uudelleentarkastelu ja edistymiskertomus

1.  Kahdeksan vuoden kuluttua tämän asetuksen voimaantulosta komissio suorittaa tämän asetuksen kohdennetun arvioinnin ja antaa Euroopan parlamentille, neuvostolle, Euroopan talous- ja sosiaalikomitealle ja alueiden komitealle kertomuksen tärkeimmistä havainnoistaan ja liittää siihen tarvittaessa ehdotuksen asetuksen muuttamisesta. Arvioinnissa tarkastellaan seuraavia:

a)  mahdollisuudet laajentaa edelleen yhteentoimivuutta sähköisten potilaskertomusjärjestelmien ja muiden kuin jäsenvaltioiden perustamien sähköisten terveystietojen käyttöpalvelujen välillä;

b)  tarve ajantasaistaa 33 artiklassa säädettyjä tietoluokkia ja 34 artiklassa säädettyjä käyttötarkoituksia;

c)  48 a artiklassa tarkoitettujen toissijaisen käytön kieltämismekanismien täytäntöönpano ja se, missä määrin luonnolliset henkilöt ovat käyttäneet niitä, sekä erityisesti tämän vaikutukset kansanterveyteen, tieteelliseen tutkimukseen ja perusoikeuksiin;

d)  33 artiklan 8 b kohdassa tarkoitettujen tiukempien toimenpiteiden täytäntöönpano ja käyttö;

e)  3 artiklan 9 kohdassa tarkoitetun oikeuden käyttö ja täytäntöönpano;

f)  III luvussa säädetty sähköisten potilaskertomusjärjestelmien sertifiointikehys ja tarve ottaa käyttöön muita vaatimustenmukaisuuden arviointivälineitä ja antaa kertomus tärkeimmistä havainnoistaan;

g)  sähköisten potilaskertomusjärjestelmien sisämarkkinoiden toiminta;

h)  IV luvussa vahvistettujen toissijaista käyttöä koskevien säännösten täytäntöönpanon kustannukset ja hyödyt;

i)  42 artiklassa tarkoitettujen maksujen soveltaminen.

2.  Kymmenen vuoden kuluttua tämän asetuksen voimaantulosta komissio suorittaa tämän asetuksen kokonaisarvioinnin ja antaa Euroopan parlamentille, neuvostolle, Euroopan talous- ja sosiaalikomitealle ja alueiden komitealle kertomuksen tärkeimmistä havainnoistaan ja liittää siihen tarvittaessa ehdotuksen asetuksen muuttamisesta tai muita asianmukaisia toimenpiteitä. Tässä arvioinnissa on arvioitava lisäksi niiden järjestelmien tehokkuutta ja toimintaa, jotka mahdollistavat pääsyn sähköisiin terveystietoihin näiden tietojen sellaista jatkokäsittelyä varten, joka suoritetaan 1 artiklan 6 a kohdassa tarkoitetun unionin tai kansallisen lainsäädännön nojalla, ottaen huomioon niiden vaikutus tämän asetuksen täytäntöönpanoon.

3.  Jäsenvaltioiden on toimitettava komissiolle kertomuksen laatimiseen tarvittavat tiedot, ja komissio ottaa nämä tiedot asianmukaisesti huomioon kertomuksessaan.

4.   Joka vuosi tämän asetuksen voimaantulon jälkeen ja siihen asti, kun sitä sovelletaan kaikilta osin, komissio antaa neuvostolle edistymiskertomuksen tämän asetuksen täysimääräistä täytäntöönpanoa koskevien valmistelujen edistymisestä. Kertomuksessa on oltava tietoja jäsenvaltioiden edistymisestä ja valmiudesta, muun muassa arviointi mahdollisuudesta noudattaa tämän asetuksen 72 artiklassa säädettyjä määräaikoja, ja se voi lisäksi sisältää suosituksia jäsenvaltioille siitä, miten ne voivat parhaiten valmistautua tämän asetuksen soveltamiseen.

71 artikla

Direktiivin 2011/24/EU muuttaminen

Kumotaan direktiivin 2011/24/EU 14 artikla kuuden vuoden kuluttua tämän asetuksen voimaantulosta.

IX LUKU

Soveltamisen lykkääminen, siirtymäsäännökset ja loppusäännökset

72 artikla

Voimaantulo ja soveltaminen

Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

Tätä asetusta sovelletaan kahden vuoden kuluttua sen voimaantulosta, jollei 2 kohdassa toisin säädetä.

Sen II luvun 2 a, 5, 6, 8 a, 8 a a, 8 b, 8 c, 8 d, 8 e, 8 f, 8 h, -9 a ja -9 b artiklaa sekä 12 artiklan 2, 3, 5 ja 6 kohtaa ja III luvun 13 a, 13 b, 14, ▌31, 31 a ja 32 artiklaa sovelletaan ▌seuraavasti:

a)  neljän vuoden kuluttua voimaantulopäivästä 5 artiklan 1 kohdan a, b ja c alakohdassa tarkoitettuihin sähköisten henkilökohtaisten terveystietojen luokkiin ja sähköisiin potilaskertomusjärjestelmiin, jotka valmistaja on tarkoittanut tällaisten tietoluokkien käsittelyyn;

b)  kuuden vuoden kuluttua voimaantulopäivästä 5 artiklan 1 kohdan d, e ja f alakohdassa tarkoitettuihin sähköisten henkilökohtaisten terveystietojen luokkiin ja sähköisiin potilaskertomusjärjestelmiin, jotka valmistaja on tarkoittanut tällaisten tietoluokkien käsittelyyn;

c)  yhden vuoden kuluttua päivästä, joka vahvistetaan 5 artiklan 2 kohdan nojalla annettavassa delegoidussa säädöksessä, kun on kyse liitteessä I esitettyjen henkilökohtaisten sähköisten terveystietojen keskeisten ominaisuuksien muutoksista, edellyttäen, että tämä soveltamisen alkamispäivä on myöhempi kuin a ja b alakohdassa tarkoitettu soveltamisen alkamispäivä asianomaisten henkilökohtaisten sähköisten terveystietojen luokkien osalta.

Edellä 2 a artiklan 3 kohdassa, 6 artiklan 1 kohdassa, 12 artiklan 4 kohdassa ja 23 artiklan 1 kohdassa tarkoitetut täytäntöönpanosäädökset hyväksytään kahden vuoden kuluessa voimaantulopäivästä, ja niitä sovelletaan tämän kohdan ensimmäisessä alakohdassa tarkoitetulla tavalla.

Tämän asetuksen III lukua sovelletaan 13 b artiklan 2 kohdassa tarkoitettuihin unionissa ▌käyttöön otettuihin potilaskertomusjärjestelmiin kuuden vuoden kuluttua voimaantulopäivästä.

Sen IV lukua sovelletaan neljän vuoden kuluttua voimaantulopäivästä, lukuun ottamatta 33 artiklan 1 kohdan b, e, e a, j ja l alakohtaa, joita sovelletaan kuuden vuoden kuluttua voimaantulopäivästä, ja 52 artiklan 5 kohtaa, jota sovelletaan kymmenen vuoden kuluttua voimaantulopäivästä.

Edellä 48 a artiklan 5 kohdassa, 50 artiklan 4 kohdassa, 52 artiklan 13 kohdassa, 53 artiklan 3 kohdassa, 55 artiklassa ja 56 artiklan 5 kohdassa tarkoitetut täytäntöönpanosäädökset hyväksytään kahden vuoden kuluessa voimaantulopäivästä, ja niitä sovelletaan neljän vuoden kuluttua tämän asetuksen voimaantulosta.

Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.

Tehty ...

Euroopan parlamentin puolesta Neuvoston puolesta

Puhemies Puheenjohtaja

Liite I

Henkilökohtaisten sähköisten terveystietojen prioriteettiluokkien keskeiset ominaisuudet ensisijaisessa käytössä

Liite II

Olennaiset vaatimukset, jotka koskevat sähköisten potilaskertomusjärjestelmien yhdenmukaistettuja komponentteja ja tuotteita, joiden ilmoitetaan olevan yhteentoimivia sähköisten potilaskertomusjärjestelmien kanssa

Tässä liitteessä vahvistettuja olennaisia vaatimuksia sovelletaan soveltuvin osin lääkinnällisiin laitteisiin, in vitro -diagnostiikkaan tarkoitettuihin lääkinnällisiin laitteisiin, tekoälyjärjestelmiin ja hyvinvointisovelluksiin, joiden ilmoitetaan olevan yhteentoimivia sähköisten potilaskertomusjärjestelmien kanssa.

1.  Yleiset vaatimukset

1.1.  Sähköisen potilaskertomusjärjestelmän yhdenmukaistettujen komponenttien on saavutettava valmistajan tarkoittama suorituskyky, ja ne on suunniteltava ja valmistettava siten, että ne tavanomaisissa käyttöolosuhteissa soveltuvat suunniteltuun käyttötarkoitukseen eikä niiden käyttö vaaranna potilasturvallisuutta.

1.2.  Sähköisen potilaskertomusjärjestelmän yhdenmukaistetut komponentit on suunniteltava ja kehitettävä siten, että järjestelmä voidaan toimittaa ja asentaa valmistajan antamien ohjeiden ja tietojen perusteella vahingoittamatta sen ominaisuuksia ja suorituskykyä suunnitellussa käytössä.

1.3.  Sähköinen potilaskertomusjärjestelmä on suunniteltava ja kehitettävä siten, että sen yhteentoimivuus-, turvallisuus- ja turvaominaisuuksissa kunnioitetaan tämän asetuksen II luvussa vahvistettuja luonnollisten henkilöiden oikeuksia sähköisen potilaskertomusjärjestelmän suunnitellun käyttötarkoituksen mukaisesti.

1.4.  Sellaisen sähköisen potilaskertomusjärjestelmän, jota on tarkoitus käyttää yhdessä muiden tuotteiden – kuten lääkinnällisten laitteiden – kanssa, yhdenmukaistetut komponentit on suunniteltava ja valmistettava siten, että yhteentoimivuus ja yhteensopivuus turvataan luotettavasti ja että henkilökohtaisia sähköisiä terveystietoja voidaan jakaa laitteen ja sähköisen potilaskertomusjärjestelmän välillä näiden kahden komponentin osalta.

2.  Yhteentoimivuutta koskevat vaatimukset

2.1.  Jos sähköinen potilaskertomusjärjestelmä on suunniteltu tallentamaan tai välittämään henkilökohtaisia sähköisiä terveystietoja, siinä on tarjottava sähköisten potilaskertomusjärjestelmien eurooppalaisen yhteentoimivuuskomponentin avulla käyttöliittymä, joka mahdollistaa pääsyn sen käsittelemiin henkilökohtaisiin sähköisiin terveystietoihin eurooppalaisessa terveystietojen vaihtoformaatissa.

2.1 a.   Jos sähköinen potilaskertomusjärjestelmä on suunniteltu tallentamaan tai välittämään henkilökohtaisia sähköisiä terveystietoja, sen on voitava vastaanottaa henkilökohtaisia sähköisiä terveystietoja eurooppalaisessa terveystietojen vaihtoformaatissa sähköisten potilaskertomusjärjestelmien eurooppalaisen yhteentoimivuuskomponentin avulla.

2.1 b.   Jos sähköinen potilaskertomusjärjestelmä on suunniteltu tarjoamaan pääsy henkilökohtaisiin sähköisiin terveystietoihin, sen on voitava vastaanottaa henkilökohtaisia sähköisiä terveystietoja eurooppalaisessa terveystietojen vaihtoformaatissa sähköisten potilaskertomusjärjestelmien eurooppalaisen yhteentoimivuuskomponentin avulla.

2.3.  Sähköisen potilaskertomusjärjestelmän, johon on mahdollista syöttää rakenteisia henkilökohtaisia sähköisiä terveystietoja, on mahdollistettava sellaisen datan syöttö▌, joka on rakeisuudeltaan riittävän yksityiskohtaista, jotta syötetyt henkilökohtaiset sähköiset terveystiedot voidaan toimittaa eurooppalaisessa terveystietojen vaihtoformaatissa.

2.4.  Sähköisen potilaskertomusjärjestelmän yhdenmukaistettuihin komponentteihin ei saa sisältyä ominaisuuksia, jotka estävät, rajoittavat tai kuormittavat kohtuuttomasti luvallista pääsyä, henkilökohtaisten sähköisten terveystietojen jakamista tai henkilökohtaisten sähköisten terveystietojen käyttöä sallittuihin tarkoituksiin.

2.5.  Sähköisen potilaskertomusjärjestelmän yhdenmukaistetuilla komponenteilla ei saa olla ominaisuuksia, jotka estävät, rajoittavat tai vaikeuttavat kohtuuttomasti henkilökohtaisten sähköisten terveystietojen hyväksyttyä siirtoa järjestelmästä, jos kyseinen sähköinen potilaskertomusjärjestelmä korvataan toisella tuotteella.

3.  Turvallisuutta ja lokitietoja koskevat vaatimukset.

▌3.2.  Terveydenhuollon ammattihenkilöiden käyttöön suunnitellun sähköisen potilaskertomusjärjestelmän on tarjottava luotettavat mekanismit terveydenhuollon ammattihenkilöiden tunnistamiseksi ja todentamiseksi ▌.

▌3.4.  Sellaisen sähköisen potilaskertomusjärjestelmän, joka on suunniteltu tarjoamaan terveydenhuollon tarjoajille tai muille henkilöille pääsy henkilökohtaisiin sähköisiin terveystietoihin, yhdenmukaistetussa lokikomponentissa on oltava riittävät lokimekanismit, joilla kirjataan ainakin seuraavat tiedot jokaisesta käyttötapahtumasta tai käyttötapahtumaryhmästä:

a)  henkilökohtaisia sähköisiä terveystietoja käyttäneen terveydenhuollon tarjoajan tai käyttäneiden muiden henkilöiden tunnistetiedot;

b)  henkilökohtaisia sähköisiä terveystietoja käyttäneen määrätyn yhden tai useamman henkilön tunnistetiedot;

c)  käytettyjen tietojen luokat;

d)  tietoihin pääsyn päivämäärä ja aika;

e)  tietojen alkuperä(t).

▌

3.6.  Sähköisen potilaskertomusjärjestelmän yhdenmukaistettuihin komponentteihin on sisällyttävä välineet tai mekanismit lokitietojen tarkastamiseksi ja analysoimiseksi, tai niiden on tuettava ulkoisten ohjelmistojen liittämistä ja käyttöä samoihin tarkoituksiin.

▌

3.8.  Sähköisen potilaskertomusjärjestelmän yhdenmukaistettujen komponenttien, jotka tallentavat henkilökohtaisia sähköisiä terveystietoja, on tuettava erilaisia säilytysaikoja ja pääsyoikeuksia, joissa otetaan huomioon sähköisten terveystietojen alkuperät ja luokat.

▌

Liite III

Tekninen dokumentaatio

Asetuksen 24 artiklassa tarkoitettuun tekniseen dokumentaatioon on sisällyttävä vähintään seuraavat tiedot, siltä osin kuin ne koskevat sähköisten potilaskertomusjärjestelmien yhdenmukaistettuja komponentteja kyseisessä sähköisessä potilaskertomusjärjestelmässä:

1.  Sähköisen potilaskertomusjärjestelmän yksityiskohtainen kuvaus, mukaan lukien seuraavat tiedot:

a)  sähköisen potilaskertomusjärjestelmän suunniteltu käyttötarkoitus sekä sen päivämäärä ja versio;

b)  henkilökohtaisten sähköisten terveystietojen luokat, joiden käsittelyä varten kyseinen sähköinen potilaskertomusjärjestelmä on suunniteltu;

c)  selostus siitä, miten sähköinen potilaskertomusjärjestelmä on vuorovaikutuksessa tai miten sitä voidaan käyttää vuorovaikutuksessa sellaisten laitteistojen tai ohjelmistojen kanssa, jotka eivät ole osa kyseistä sähköistä potilaskertomusjärjestelmää;

d)  asianomaisten laiteohjelmistojen tai muiden ohjelmistojen versiot ja versiopäivitykseen liittyvät vaatimukset;

e)  kuvaus kaikista muodoista, joissa sähköinen potilaskertomusjärjestelmä saatetaan markkinoille tai otetaan käyttöön;

f)  kuvaus laitteistoista, joissa sähköistä potilaskertomusjärjestelmää on tarkoitus käyttää;

g)  järjestelmäarkkitehtuurin kuvaus, jossa selitetään, miten ohjelmistokomponentit rakentuvat toistensa varaan tai linkittyvät toisiinsa ja integroituvat kokonaisprosessiin, mukaan lukien tarvittaessa selventävin merkinnöin varustetut kuvalliset esitykset (esim. kaaviot ja piirrokset), joista käyvät selvästi ilmi keskeiset osat/komponentit ja jotka on selitetty riittävän hyvin piirrosten ja kaavioiden ymmärtämiseksi;

h)  sähköisen potilaskertomusjärjestelmän, kaikkien sen muunnosten/konfiguraatioiden ja lisälaitteiden tekniset eritelmät, kuten ominaisuudet, mitat ja suorituskykyyn liittyvät piirteet, jotka yleensä esitetään käyttäjälle tarkoitetuissa tuote-eritelmissä, esimerkiksi esitteissä, luetteloissa ja vastaavissa julkaisuissa, mukaan lukien yksityiskohtainen kuvaus tietorakenteista, datan säilyttämisestä ja siitä, miten dataa syötetään järjestelmään ja otetaan siitä ulos;

i)  kuvaus järjestelmään sen elinkaaren aikana tehdyistä muutoksista;

j)  käyttöohjeet käyttäjälle sekä tarvittaessa asennusohjeet.

2.  Tarvittaessa yksityiskohtainen kuvaus käytössä olevasta järjestelmästä, jolla arvioidaan sähköisen potilaskertomusjärjestelmän suorituskykyä.

3.  Viittaus niihin yhteisiin eritelmiin, joita on käytetty 23 artiklan mukaisesti ja joiden perusteella vaatimustenmukaisuusvakuutus on annettu.

4.  Tulokset ja kriittiset analyysit kaikista tarkastuksista ja validointitesteistä, jotka on tehty sen osoittamiseksi, että sähköinen potilaskertomusjärjestelmä on tämän asetuksen III luvussa säädettyjen vaatimusten ja erityisesti sovellettavien olennaisten vaatimusten mukainen.

5.  Jäljennös 25 artiklassa tarkoitetusta tietolomakkeesta.

6.  Jäljennös EU-vaatimustenmukaisuusvakuutuksesta.

Liite IV

EU-vaatimustenmukaisuusvakuutus

Sähköisten potilaskertomusjärjestelmien yhdenmukaistettuja komponentteja koskevan EU‑vaatimustenmukaisuusvakuutuksen on sisällettävä kaikki seuraavat tiedot:

1.  Sähköisen potilaskertomusjärjestelmän nimi, versio ja mahdolliset muut yksiselitteiset viitetiedot, joiden avulla järjestelmä voidaan yksilöidä.

2.  Valmistajan tai tapauksen mukaan valmistajan valtuutetun edustajan nimi ja osoite.

3.  Ilmoitus siitä, että EU-vaatimustenmukaisuusvakuutus on annettu valmistajan yksinomaisella vastuulla.

4.  Ilmoitus siitä, että kyseinen sähköinen potilaskertomusjärjestelmä on tämän asetuksen III luvun säännösten ja tapauksen mukaan muun sellaisen asiaa koskevan unionin lainsäädännön mukainen, jossa säädetään EU-vaatimustenmukaisuusvakuutuksen antamisesta, johon on liitettävä 26 a artiklassa tarkoitetussa testausympäristössä saadut tulokset.

5.  Viittaus niihin asiaankuuluviin yhdenmukaistettuihin standardeihin, joita on käytetty ja joiden perusteella vaatimustenmukaisuusvakuutus on annettu.

6.  Viittaus niihin yhteisiin eritelmiin, joita on käytetty ja joiden perusteella vaatimustenmukaisuusvakuutus on annettu.

7.  Vakuutuksen antopaikka ja -päivä, allekirjoitus sekä allekirjoittajan nimi ja asema sekä tarvittaessa maininta henkilöstä, jonka puolesta vakuutus on allekirjoitettu.

8.  Tarvittaessa lisätietoja.

(1) *TEKSTIÄ EI OLE VIELÄ VIIMEISTELTY OIKEUDELLISESTI JA KIELELLISESTI. (2) EUVL C 486, 21.12.2022, s. 123. (3) EUVL C 157, 3.5.2023, s. 64. (4) Euroopan parlamentin kanta, vahvistettu 24. huhtikuuta 2024. (5) Komission täytäntöönpanopäätös (EU) 2019/1269, annettu 26 päivänä heinäkuuta 2019, eurooppalaisten osaamisverkostojen ja niiden jäsenten perustamista ja arvioimista sekä tällaisten verkostojen perustamista ja arvioimista koskevan tiedon ja asiantuntemuksen vaihdon helpottamista koskevista perusteista annetun täytäntöönpanopäätöksen 2014/287/EU muuttamisesta (EUVL L 200, 29.7.2019, s. 35). (6) Eurooppalaisten avoimen tieteen pilvipalvelujen portaali (eosc-portal.eu). (7) Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1). (8) Euroopan parlamentin ja neuvoston asetus (EU) 2018/1725, annettu 23 päivänä lokakuuta 2018, luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta (EUVL L 295, 21.11.2018, s. 39). (9) Euroopan parlamentin ja neuvoston asetus (EU) N:o 910/2014, annettu 23 päivänä heinäkuuta 2014, sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta (EUVL L 257, 28.8.2014, s. 73). (10) Komission suositus (EU) 2019/243, annettu 6 päivänä helmikuuta 2019, sähköisten terveystietorekistereiden eurooppalaisesta tietojenvaihtoformaatista (EUVL L 39, 11.2.2019, s. 18). (11) Euroopan parlamentin ja neuvoston asetus (EU) 2017/745, annettu 5 päivänä huhtikuuta 2017, lääkinnällisistä laitteista, direktiivin 2001/83/EY, asetuksen (EY) N:o 178/2002 ja asetuksen (EY) N:o 1223/2009 muuttamisesta sekä neuvoston direktiivien 90/385/ETY ja 93/42/ETY kumoamisesta (EUVL L 117, 5.5.2017, s. 1). (12) Euroopan parlamentin ja neuvoston asetus (EU) 2022/868, annettu 30 päivänä toukokuuta 2022, eurooppalaisen datan hallinnoinnista ja asetuksen (EU) 2018/1724 muuttamisesta (datanhallinta-asetus) (EUVL L 152, 3.6.2022, s. 1). (13) Euroopan parlamentin ja neuvoston asetus (EU) 2023/2854, annettu 13 päivänä joulukuuta 2023, datan oikeudenmukaista saatavuutta ja käyttöä koskevista yhdenmukaisista säännöistä ja asetuksen (EU) 2017/2394 ja direktiivin (EU) 2020/1828 muuttamisesta (datasäädös) (EUVL L, 2023/2854, 22.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2854/oj). (14) Euroopan parlamentin ja neuvoston direktiivi 2011/24/EU, annettu 9 päivänä maaliskuuta 2011, potilaiden oikeuksien soveltamisesta rajatylittävässä terveydenhuollossa (EUVL L 88, 4.4.2011, s. 45). (15) Kyberresilienssisäädös 2022/0272(COD). (16) Euroopan parlamentin ja neuvoston asetus (EU) 2017/746, annettu 5 päivänä huhtikuuta 2017, in vitro -diagnostiikkaan tarkoitetuista lääkinnällisistä laitteista sekä direktiivin 98/79/EY ja komission päätöksen 2010/227/EU kumoamisesta (EUVL L 117, 5.5.2017, s. 176). (17) Euroopan parlamentin ja neuvoston asetus (EU) 2019/1020, annettu 20 päivänä kesäkuuta 2019, markkinavalvonnasta ja tuotteiden vaatimustenmukaisuudesta sekä direktiivin 2004/42/EY ja asetusten (EY) N:o 765/2008 ja (EU) N:o 305/2011 muuttamisesta (EUVL L 169, 25.6.2019, s. 1). (18) Neuvoston asetus (EY) N:o 723/2009, annettu 25 päivänä kesäkuuta 2009, eurooppalaiseen tutkimusinfrastruktuurikonsortioon (ERIC) sovellettavasta yhteisön oikeudellisesta kehyksestä (EUVL L 206, 8.8.2009, s. 1). (19) Euroopan parlamentin ja neuvoston päätös (EU) 2022/2481, annettu 14 päivänä joulukuuta 2022, digitaalinen vuosikymmen 2030 -ohjelman perustamisesta (EUVL L 323, 19.12.2022, s. 4). (20) Euroopan parlamentin ja neuvoston asetus (EU) 2018/1724, annettu 2 päivänä lokakuuta 2018, tietoja, menettelyjä sekä neuvonta- ja ongelmanratkaisupalveluja saataville tarjoavan yhteisen digitaalisen palveluväylän perustamisesta ja asetuksen (EU) N:o 1024/2012 muuttamisesta (EUVL L 295, 21.11.2018, s. 1). (21) EUVL L 123, 12.5.2016, s. 1. (22) Euroopan parlamentin ja neuvoston asetus (EU) N:o 182/2011, annettu 16 päivänä helmikuuta 2011, yleisistä säännöistä ja periaatteista, joiden mukaisesti jäsenvaltiot valvovat komission täytäntöönpanovallan käyttöä (EUVL L 55, 28.2.2011, s. 13). (23) Euroopan komissio, Eurooppalaiset yhteentoimivuusperiaatteet. (24) Euroopan parlamentin ja neuvoston asetus (EU) N:o 536/2014, annettu 16 päivänä huhtikuuta 2014, ihmisille tarkoitettujen lääkkeiden kliinisistä lääketutkimuksista ja direktiivin 2001/20/EY kumoamisesta (EUVL L 158, 27.5.2014, s. 1). (25) Euroopan parlamentin ja neuvoston asetus (EY) N:o 223/2009, annettu 11 päivänä maaliskuuta 2009, Euroopan tilastoista sekä salassapidettävien tilastotietojen luovuttamisesta Euroopan yhteisöjen tilastotoimistolle annetun Euroopan parlamentin ja neuvoston asetuksen (EY, Euratom) N:o 1101/2008, yhteisön tilastoista annetun neuvoston asetuksen (EY) N:o 322/97 ja Euroopan yhteisöjen tilasto-ohjelmakomitean perustamisesta tehdyn neuvoston päätöksen 89/382/ETY, Euratom kumoamisesta (EUVL L 87, 31.3.2009, s. 164). (26) Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY, annettu 12 päivänä heinäkuuta 2002, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi) (EYVL L 201, 31.7.2002, s. 32). (27) Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/943, annettu 8 päivänä kesäkuuta 2016, julkistamattoman taitotiedon ja liiketoimintatiedon (liikesalaisuuksien) suojaamisesta laittomalta hankinnalta, käytöltä ja ilmaisemiselta (EUVL L 157, 15.6.2016, s. 1). (28) Euroopan parlamentin ja neuvoston direktiivi 2014/24/EU, annettu 26 päivänä helmikuuta 2014, julkisista hankinnoista ja direktiivin 2004/18/EY kumoamisesta (EUVL L 94, 28.3.2014, s. 65). (29) Euroopan parlamentin ja neuvoston asetus (EY) N:o 1338/2008, annettu 16 päivänä joulukuuta 2008, kansanterveyttä sekä työterveyttä ja työturvallisuutta koskevista yhteisön tilastoista (EUVL L 354, 31.12.2008, s. 70). (30) Euroopan parlamentin ja neuvoston asetus (EY) N:o 765/2008, annettu 9 päivänä heinäkuuta 2008, tuotteiden kaupan pitämiseen liittyvää akkreditointia ja markkinavalvontaa koskevista vaatimuksista ja neuvoston asetuksen (ETY) N:o 339/93 kumoamisesta (EUVL L 218, 13.8.2008, s. 30). (31) Euroopan parlamentin ja neuvoston direktiivi (EU) 2019/882, annettu 17 päivänä huhtikuuta 2019, tuotteiden ja palvelujen esteettömyysvaatimuksista (EUVL L 151, 7.6.2019, s. 70). (32) Euroopan parlamentin ja neuvoston direktiivi (EU) 2015/1535, annettu 9 päivänä syyskuuta 2015, teknisiä määräyksiä ja tietoyhteiskunnan palveluja koskevia määräyksiä koskevien tietojen toimittamisessa noudatettavasta menettelystä (EUVL L 241, 17.9.2015, s. 1). (33) Euroopan parlamentin ja neuvoston asetus (EY) N:o 223/2009, annettu 11 päivänä maaliskuuta 2009, Euroopan tilastoista sekä salassapidettävien tilastotietojen luovuttamisesta Euroopan yhteisöjen tilastotoimistolle annetun Euroopan parlamentin ja neuvoston asetuksen (EY, Euratom) N:o 1101/2008, yhteisön tilastoista annetun neuvoston asetuksen (EY) N:o 322/97 ja Euroopan yhteisöjen tilasto-ohjelmakomitean perustamisesta tehdyn neuvoston päätöksen 89/382/ETY, Euratom kumoamisesta (EUVL L 87, 31.3.2009, s. 164).