Overwegingen bij COM(2022)197 - Europese ruimte voor gezondheidsgegevens

Dit is een beperkte versie

U kijkt naar een beperkte versie van dit dossier in de EU Monitor.

 
dossier COM(2022)197 - Europese ruimte voor gezondheidsgegevens.
document COM(2022)197 EN
datum 3 mei 2022
 
(1) Deze verordening beoogt de Europese ruimte voor gezondheidsgegevens (European Health Data Space, “EHDS”) tot stand te brengen, met het doel om de toegang van natuurlijke personen tot hun persoonlijke elektronische gezondheidsgegevens en hun zeggenschap daarover in de context van gezondheidszorg (primair gebruik van elektronische gezondheidsgegevens) te verbeteren, alsook met het oog op andere doeleinden waarbij de samenleving baat zou hebben, zoals onderzoek, innovatie, beleidsvorming, patiëntveiligheid, gepersonaliseerde geneeskunde, officiële statistieken of regelgevingsactiviteiten (secundair gebruik van elektronische gezondheidsgegevens). Daarnaast wil deze verordening de werking van de interne markt verbeteren door een uniform rechtskader vast te stellen, met name voor de ontwikkeling, het in de handel brengen en het gebruik van systemen voor elektronische patiëntendossiers (“EPD-systemen”) in overeenstemming met de waarden van de Unie.

(2) De COVID-19-pandemie heeft duidelijk gemaakt dat het absoluut noodzakelijk is tijdige toegang tot elektronische gezondheidsgegevens te hebben met het oog op de paraatheid voor en de respons op gezondheidsbedreigingen, alsook voor diagnose en behandeling en voor het secundaire gebruik van gezondheidsgegevens. Dergelijke tijdige toegang zou — door de doeltreffende bewaking en monitoring van de volksgezondheid — hebben bijgedragen tot een doeltreffender beheer van de pandemie, wat uiteindelijk zou hebben geholpen levens te redden. In 2020 heeft de Commissie haar bij Uitvoeringsbesluit (EU) 2019/12690 opgezette systeem voor het beheer van klinische gegevens van patiënten (Clinical Patient Management System) met spoed aangepast om de lidstaten in staat te stellen elektronische gezondheidsgegevens van COVID-19-patiënten die zich tijdens de piek van de pandemie tussen zorgaanbieders en lidstaten verplaatsten, te delen; dit was evenwel slechts een noodoplossing, waaruit blijkt dat er behoefte is aan een structurele aanpak op het niveau van de lidstaten en de Unie.

(3) Door de COVID-19-crisis zijn de werkzaamheden van het e-gezondheidsnetwerk, een vrijwillig netwerk van autoriteiten voor digitale gezondheid, vast verankerd als de belangrijkste pijler voor de ontwikkeling van mobiele contacttracerings- en waarschuwingsapps en de technische aspecten van de digitale EU-covidcertificaten. Ook is de noodzaak aan het licht gekomen om elektronische gezondheidsgegevens die vindbaar, toegankelijk, interoperabel en herbruikbaar (findable, accessible, interoperable and reusable, de “FAIR-beginselen”) zijn, te delen en om te verzekeren dat elektronische gezondheidsgegevens zo open als mogelijk en zo gesloten als nodig zijn. Er moet voor worden gezorgd dat synergieën tussen de EHDS, de Europese openwetenschapscloud0 en de Europese onderzoeksinfrastructuren tot stand komen, alsook dat lessen worden getrokken uit de oplossingen voor het delen van gegevens die zijn ontwikkeld in het kader van het Europees COVID-19-gegevensplatform.

(4) Voor de verwerking van persoonlijke elektronische gezondheidsgegevens gelden de bepalingen van Verordening (EU) 2016/679 van het Europees Parlement en de Raad0 en, wat de instellingen en organen van de Unie betreft, van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad0. Verwijzingen naar de bepalingen van Verordening (EU) 2016/679 moeten in voorkomend geval ook worden gelezen als verwijzingen naar de overeenkomstige bepalingen van Verordening (EU) 2018/1725 voor instellingen en organen van de Unie.

(5) Steeds meer Europeanen steken de landsgrenzen over om te werken, te studeren, familieleden te bezoeken of te reizen. Om de uitwisseling van gezondheidsgegevens te vergemakkelijken, en in overeenstemming met de noodzaak om de burgers meer zeggenschap te geven, moeten zij toegang kunnen krijgen tot hun gezondheidsgegevens in een elektronisch formaat dat in de hele Unie kan worden erkend en aanvaard. Dergelijke persoonlijke elektronische gezondheidsgegevens kunnen persoonsgegevens omvatten die verband houden met de lichamelijke of geestelijke gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over zijn of haar gezondheidstoestand wordt gegeven; persoonsgegevens die verband houden met de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon die unieke informatie verschaffen over de fysiologie of de gezondheid van die natuurlijke persoon en die met name voortkomen uit een analyse van een biologisch monster van de betrokken natuurlijke persoon, alsmede gegevens betreffende gezondheidsdeterminanten, zoals gedrags-, milieu-, onderwijs- of sociale factoren alsmede factoren in verband met fysieke invloeden en medische zorg. Elektronische gezondheidsgegevens omvatten ook gegevens die oorspronkelijk zijn verzameld met het oog op onderzoek, statistieken, beleidsvorming of regelgeving en die beschikbaar kunnen worden gesteld overeenkomstig de bepalingen van hoofdstuk IV. De elektronische gezondheidsgegevens betreffen alle categorieën van die gegevens, ongeacht of die worden verstrekt door het betrokken datasubject of door andere natuurlijke of rechtspersonen, zoals gezondheidswerkers, of worden verwerkt in verband met de gezondheid of het welzijn van een natuurlijke persoon, en moeten ook afgeleide en ontleende gegevens, zoals met betrekking tot diagnostische middelen, tests en medische onderzoeken, alsmede automatisch waargenomen en geregistreerde gegevens omvatten.

(6) Hoofdstuk III van Verordening (EU) 2016/679 bevat specifieke bepalingen betreffende de rechten van natuurlijke personen in verband met de verwerking van hun persoonsgegevens. De EHDS bouwt voort op deze rechten en ontwikkelt een aantal ervan verder. De EHDS moet de coherente tenuitvoerlegging van die rechten zoals toegepast op elektronische gezondheidsgegevens ondersteunen, ongeacht de lidstaat waarin de persoonlijke elektronische gezondheidsgegevens worden verwerkt, het soort zorgaanbieder, de gegevensbronnen of de lidstaat van aansluiting van de natuurlijke persoon. De rechten en regels in verband met het primaire gebruik van persoonlijke elektronische gezondheidsgegevens als bedoeld in de hoofdstukken II en III van de onderhavige verordening hebben betrekking op alle categorieën van die gegevens, ongeacht hoe ze zijn verzameld of wie ze heeft verstrekt, de rechtsgrondslag voor de verwerking uit hoofde van Verordening (EU) 2016/679 of de status van de verwerkingsverantwoordelijke als openbare of particuliere organisatie.

(7) Persoonlijke elektronische gezondheidsgegevens worden in het kader van gezondheidsstelsels gewoonlijk verzameld in elektronische patiëntendossiers, die doorgaans de medische voorgeschiedenis, de diagnoses en behandelingen, de medicaties, allergieën, immunisaties, radiologische beelden en laboratoriumresultaten van een natuurlijke persoon bevatten, verspreid over verschillende entiteiten van het gezondheidsstelsel (huisartsen, ziekenhuizen, apotheken, zorgdiensten). Om de natuurlijke personen of gezondheidswerkers in staat te stellen de elektronische gezondheidsgegevens in te zien, te delen of te wijzigen, hebben sommige lidstaten de nodige juridische en technische maatregelen genomen en gecentraliseerde infrastructuren opgezet die door de zorgaanbieders en natuurlijke personen gebruikte EPD-systemen met elkaar verbinden. Een aantal lidstaten ondersteunt daarentegen publieke en particuliere zorgaanbieders bij het opzetten van ruimten voor persoonlijke gezondheidsgegevens om de interoperabiliteit tussen de verschillende zorgaanbieders mogelijk te maken. Verschillende lidstaten hebben ook diensten voor toegang tot gezondheidsgegevens voor patiënten en gezondheidswerkers ondersteund of verstrekt (bijvoorbeeld via patiënten- of gezondheidswerkersportalen). Zij hebben eveneens maatregelen genomen om te verzekeren dat de EPD-systemen of wellnessapps elektronische gezondheidsgegevens naar het centrale EPD-systeem kunnen doorsturen (sommige lidstaten maken hiervoor bijvoorbeeld gebruik van een certificeringssysteem). Niet alle lidstaten hebben evenwel dergelijke systemen ingevoerd, en de lidstaten die deze wel hebben ingevoerd, hebben dat op versnipperde wijze gedaan. Om het vrij verkeer van persoonlijke gezondheidsgegevens in de hele Unie te vergemakkelijken en negatieve gevolgen voor patiënten die in een grensoverschrijdende context gezondheidszorg ontvangen, te voorkomen, is optreden van de Unie nodig om ervoor te zorgen dat de betrokkenen betere toegang tot hun eigen persoonlijke elektronische gezondheidsgegevens hebben en in staat worden gesteld deze te delen.

(8) Het recht van natuurlijke personen op toegang tot hen betreffende gegevens, zoals vastgelegd in artikel 15 van Verordening (EU) 2016/679, moet in de gezondheidssector verder worden ontwikkeld. Op grond van Verordening (EU) 2016/679 hoeven verwerkingsverantwoordelijken niet onmiddellijk toegang te verlenen. Hoewel er op veel plaatsen patiëntenportalen, mobiele apps en andere diensten voor toegang tot persoonlijke gezondheidsgegevens bestaan, waaronder in sommige lidstaten nationale oplossingen, wordt het recht op toegang tot gezondheidsgegevens op veel plaatsen gewoonlijk nog steeds geimplementeerd door de gevraagde gezondheidsgegevens op papier of als gescande documenten te verstrekken, wat tijdrovend is. Dit kan een ernstige belemmering vormen voor de tijdige toegang van natuurlijke personen tot gezondheidsgegevens en kan negatieve gevolgen hebben voor natuurlijke personen die om dringende redenen in verband met hun gezondheidstoestand onmiddellijk toegang daartoe moeten hebben.

(9) Tegelijkertijd moet worden overwogen dat de onmiddellijke toegang tot bepaalde soorten persoonlijke elektronische gezondheidsgegevens schadelijk voor de veiligheid van natuurlijke personen, onethisch of ongepast kan zijn. Het zou bijvoorbeeld onethisch kunnen zijn dat een patiënt via een elektronisch kanaal wordt geïnformeerd over een diagnose van een ongeneeslijke ziekte waaraan hij waarschijnlijk snel zal overlijden, zonder hem die informatie eerst in een persoonlijk gesprek te verstrekken. Daarom moet worden voorzien in de mogelijkheid van beperkte uitzonderingen op de toepassing van dit recht. Een dergelijke uitzondering kan door de lidstaten worden voorgeschreven wanneer deze uitzondering een noodzakelijke en evenredige maatregel in een democratische samenleving is, in overeenstemming met de vereisten van artikel 23 van Verordening (EU) 2016/679. Dergelijke beperkingen moeten worden toegepast door de betrokken persoonlijke elektronische gezondheidsgegevens pas na het verstrijken van een beperkte periode voor de natuurlijke persoon zichtbaar te maken. Zijn de gezondheidsgegevens alleen op papier beschikbaar, dan mogen de lidstaten, indien de inspanningen om de gegevens elektronisch beschikbaar te stellen onevenredig zijn, niet worden verplicht dergelijke gezondheidsgegevens in elektronisch formaat om te zetten. Elke digitale transformatie in de gezondheidszorgsector moet ernaar streven inclusief te zijn en ook ten gunste te werken van natuurlijke personen die over beperkte mogelijkheden beschikken om toegang te krijgen tot en gebruik te maken van digitale diensten. Natuurlijke personen moeten de natuurlijke personen van hun keuze, zoals familieleden of andere naaste natuurlijke personen, kunnen machtigen om namens hen toegang te krijgen tot of zeggenschap uit te oefenen over de toegang tot hun persoonlijke elektronische gezondheidsgegevens of gebruik te maken van digitale gezondheidsdiensten. Dergelijke machtigingen kunnen ook in andere situaties om praktische redenen nuttig zijn. De lidstaten moeten proxydiensten opzetten met het oog op de toepassing van deze machtigingen, die moeten worden gekoppeld aan diensten voor toegang tot persoonlijke gezondheidsgegevens, zoals patiëntenportalen of patiëntgerichte mobiele apps. De proxydiensten moeten het ook voor voogden mogelijk maken om op te treden namens de kinderen over wie zij het gezag uitoefenen; in dergelijke situaties zouden de machtigingen automatisch kunnen worden verleend. Om rekening te houden met gevallen waarin het in strijd met de belangen of de wil van minderjarigen zou kunnen zijn dat bepaalde persoonlijke elektronische gezondheidsgegevens voor hun voogden zichtbaar zijn, moeten de lidstaten in hun nationale recht in dergelijke beperkingen en waarborgen, alsook in de nodige technische uitvoering kunnen voorzien. De diensten voor toegang tot persoonlijke gezondheidsgegevens, zoals patiëntenportalen of mobiele apps, moeten van dergelijke machtigingen gebruikmaken en het de gemachtigde natuurlijke personen derhalve mogelijk maken toegang te krijgen tot de persoonlijke elektronische gezondheidsgegevens die onder de machtiging vallen, willen zij het gewenste effect kunnen sorteren.

(10) Sommige lidstaten staan natuurlijke personen toe elektronische gezondheidsgegevens aan hun EPD’s toe te voegen of aanvullende informatie in hun afzonderlijke persoonlijke gezondheidsdossier op te slaan dat door gezondheidswerkers kan worden ingezien. Aangezien dit echter niet in alle lidstaten een gangbare praktijk is, moet dit door de EHDS in de hele EU worden vastgesteld. Door natuurlijke personen ingevoegde informatie is mogelijk niet zo betrouwbaar als elektronische gezondheidsgegevens die door gezondheidswerkers worden ingevoerd en geverifieerd; daarom moet duidelijk worden aangegeven uit welke bron dergelijke aanvullende gegevens afkomstig zijn. Door natuurlijke personen in staat te stellen gemakkelijker en sneller toegang tot hun elektronische gezondheidsgegevens te krijgen, kunnen zij ook eventuele fouten, zoals onjuiste informatie of ten onrechte toegeschreven patiëntendossiers, opmerken en laten corrigeren met gebruikmaking van hun rechten uit hoofde van Verordening (EU) 2016/679. In dergelijke gevallen moet een natuurlijke persoon onmiddellijk en kosteloos online om rectificatie van de onjuiste elektronische gezondheidsgegevens kunnen verzoeken, bijvoorbeeld via de dienst voor toegang tot persoonlijke gezondheidsgegevens. Verzoeken om rectificatie van gegevens moeten door de verwerkingsverantwoordelijken voor de gegevens per geval worden beoordeeld en, in voorkomend geval, worden uitgevoerd, zo nodig met inschakeling van gezondheidswerkers.

(11) Natuurlijke personen moeten voorts bevoegd zijn om persoonlijke elektronische gezondheidsgegevens uit te wisselen met en toegankelijk te maken voor de gezondheidswerkers van hun keuze, wat verder gaat dan het recht op gegevensoverdraagbaarheid als bedoeld in artikel 20 van Verordening (EU) 2016/679. Dit is nodig om objectieve problemen en belemmeringen bij de huidige stand van zaken aan te pakken. Ingevolge Verordening (EU) 2016/679 is de overdraagbaarheid beperkt tot op basis van toestemming of een overeenkomst verwerkte gegevens, wat op andere rechtsgronden verwerkte gegevens uitsluit, zoals wanneer de verwerking op wettelijke voorschriften is gebaseerd, bijvoorbeeld wanneer de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend. Het betreft alleen de gegevens die door het betrokken datasubject aan een verwerkingsverantwoordelijke worden verstrekt, met uitsluiting van veel afgeleide of indirecte gegevens, zoals diagnoses of tests. Ten slotte heeft de natuurlijke persoon op grond van Verordening (EU) 2016/679 alleen het recht om de persoonsgegevens rechtstreeks van de ene verwerkingsverantwoordelijke naar de andere verwerkingsverantwoordelijke te laten overdragen wanneer dit technisch mogelijk is. Die verordening legt echter geen verplichting op om deze rechtstreekse overdracht technisch mogelijk te maken. Al deze elementen beperken de overdraagbaarheid van gegevens en kunnen de voordelen ervan voor de verstrekking van hoogwaardige, veilige en efficiënte gezondheidszorgdiensten aan de natuurlijke persoon beperken.

(12) Natuurlijke personen moeten zeggenschap kunnen uitoefenen over de overdracht van persoonlijke elektronische gezondheidsgegevens aan andere zorgaanbieders. Zorgaanbieders en andere organisaties die EPD’s verstrekken, moeten de uitoefening van dit recht vergemakkelijken. Belanghebbenden zoals zorgaanbieders, aanbieders van digitale gezondheidsdiensten en fabrikanten van EPD-systemen of medische hulpmiddelen mogen de uitoefening van het recht op overdraagbaarheid niet beperken of verhinderen op grond van het gebruik van propriëtaire normen of andere maatregelen ter beperking van de overdraagbaarheid. Om deze redenen bouwt het bij de onderhavige verordening vastgestelde kader voort op het recht op gegevensoverdraagbaarheid zoals vastgelegd in Verordening (EU) 2016/679, door te waarborgen dat natuurlijke personen als betrokken datasubject hun elektronische gezondheidsgegevens, met inbegrip van afgeleide gegevens, kunnen doorgeven, ongeacht de rechtsgrondslag voor de verwerking van de elektronische gezondheidsgegevens. Dit recht moet gelden voor elektronische gezondheidsgegevens die worden verwerkt door publieke of particuliere verwerkingsverantwoordelijken, ongeacht de rechtsgrondslag voor de verwerking van de gegevens overeenkomstig Verordening (EU) 2016/679. Dit recht moet gelden voor alle elektronische gezondheidsgegevens.

(13) Natuurlijke personen willen mogelijk geen toegang verlenen tot bepaalde onderdelen van hun persoonlijke elektronische gezondheidsgegevens, maar wel tot andere onderdelen. Dit selectief delen van persoonlijke elektronische gezondheidsgegevens moet worden ondersteund. Dergelijke beperkingen kunnen echter levensbedreigende gevolgen hebben, en daarom moet de toegang tot persoonlijke elektronische gezondheidsgegevens mogelijk zijn ter bescherming van vitale belangen in noodgevallen. Overeenkomstig Verordening (EU) 2016/679 verwijzen vitale belangen naar situaties waarin het noodzakelijk is een belang te beschermen dat voor het leven van de betrokken datasubjecten of dat van een andere natuurlijke persoon essentieel is. Verwerking van persoonlijke elektronische gezondheidsgegevens op grond van het vitale belang van een andere natuurlijke persoon is in beginsel alleen toegestaan indien de verwerking kennelijk niet op een andere rechtsgrond kan worden gebaseerd. De lidstaten moeten in hun nationale recht voorzien in specifiekere wettelijke bepalingen inzake de mechanismen voor beperkingen die natuurlijke personen opleggen in verband met bepaalde onderdelen van hun persoonlijke elektronische gezondheidsgegevens. Aangezien de niet-beschikbaarheid van de aan beperkingen onderworpen persoonlijke elektronische gezondheidsgegevens gevolgen kan hebben voor de verstrekking of de kwaliteit van de gezondheidsdiensten die aan de natuurlijke persoon worden verleend, moet hij/zij de verantwoordelijkheid op zich nemen voor het feit dat de zorgaanbieder bij het verlenen van gezondheidsdiensten de gegevens niet in aanmerking kan nemen.

(14) De natuurlijke personen moeten in het kader van de EHDS in staat zijn hun rechten uit te oefenen zoals die zijn vastgelegd in Verordening (EU) 2016/679. De overeenkomstig artikel 51 van Verordening (EU) 2016/679 ingestelde toezichthoudende autoriteiten moeten bevoegd blijven, met name om toezicht te houden op de verwerking van persoonlijke elektronische gezondheidsgegevens en om klachten van natuurlijke personen te behandelen. Om hun taken in de gezondheidssector te vervullen en de rechten van natuurlijke personen te eerbiedigen, moeten de autoriteiten voor digitale gezondheid samenwerken met de toezichthoudende autoriteiten in het kader van Verordening (EU) 2016/679.

(15) Artikel 9, lid 2, punt h), van Verordening (EU) 2016/679 voorziet in uitzonderingen wanneer de verwerking van gevoelige gegevens noodzakelijk is voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van gezondheidszorg of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten, op grond van Unierecht of lidstatelijk recht. De onderhavige verordening moet voorzien in voorwaarden en waarborgen voor de verwerking van elektronische gezondheidsgegevens door zorgaanbieders en gezondheidswerkers in overeenstemming met artikel 9, lid 2, punt h), van Verordening (EU) 2016/679, met het oog op het verkrijgen van toegang tot door de natuurlijke persoon verstrekte of door andere zorgaanbieders doorgegeven persoonlijke elektronische gezondheidsgegevens. De onderhavige verordening mag echter geen afbreuk doen aan de nationale wetgeving inzake de verwerking van gezondheidsgegevens, met inbegrip van de wetgeving tot vaststelling van de categorieën gezondheidswerkers die verschillende categorieën elektronische gezondheidsgegevens kunnen verwerken.

(16) Tijdige en volledige toegang van de gezondheidswerkers tot de medische dossiers van patiënten is van fundamenteel belang om de continuïteit van de zorg te waarborgen en dubbel werk en fouten te voorkomen. Door een gebrek aan interoperabiliteit hebben de gezondheidswerkers in veel gevallen echter geen toegang tot de volledige medische dossiers van hun patiënten en kunnen zij geen optimale medische beslissingen nemen wat diagnose en behandeling betreft, wat zowel voor de gezondheidsstelsels als voor de natuurlijke personen aanzienlijke kosten meebrengt en tot slechtere gezondheidsresultaten voor natuurlijke personen kan leiden. In een interoperabel formaat beschikbaar gestelde elektronische gezondheidsgegevens die tussen de zorgaanbieders kunnen worden doorgegeven, kunnen ook de administratieve lasten voor de gezondheidswerkers bij het handmatig invoeren van gezondheidsgegevens of kopiëren daarvan tussen elektronische systemen verminderen. Daarom moeten de gezondheidswerkers de beschikking krijgen over passende elektronische middelen, zoals gezondheidswerkersportalen, om bij de uitoefening van hun taken gebruik te kunnen maken van persoonlijke elektronische gezondheidsgegevens. Bovendien moet de toegang tot persoonlijke gezondheidsdossiers voor de natuurlijke personen transparant zijn en moeten zij volledige zeggenschap over die toegang kunnen uitoefenen, onder meer door de toegang tot alle of een gedeelte van de persoonlijke elektronische gezondheidsgegevens in hun dossier te beperken. De gezondheidswerkers mogen de uitoefening van de rechten van natuurlijke personen niet belemmeren, bijvoorbeeld door te weigeren elektronische gezondheidsgegevens in aanmerking te nemen die afkomstig zijn uit een andere lidstaat en die in het interoperabele en betrouwbare Europese uitwisselingsformaat voor elektronische patiëntendossiers worden verstrekt.

(17) De verschillende categorieën elektronische gezondheidsgegevens zijn niet voor alle scenario’s van gezondheidszorg even relevant. Verschillende categorieën hebben ook uiteenlopende niveaus van rijpheid op het gebied van normalisatie bereikt, waardoor de toepassing van mechanismen voor de uitwisseling ervan naargelang van de categorie meer of minder complex kan zijn. Daarom moet de verbetering van de interoperabiliteit en de uitwisseling van gegevens geleidelijk verlopen en moeten de categorieën elektronische gezondheidsgegevens worden geprioriteerd. Bepaalde categorieën elektronische gezondheidsgegevens zoals patiëntendossiers, elektronische recepten en verstrekkingen, laboratoriumresultaten en -verslagen, verslagen over ziekenhuisontslag alsmede medische beelden en beeldverslagen zijn door het e-gezondheidsnetwerk als de meest relevante gegevens voor de meeste zorgscenario’s aangemerkt en moeten worden beschouwd als prioritaire categorieën voor de lidstaten met het oog op de implementatie van de toegang tot deze gegevens en de overdracht ervan. Wanneer wordt vastgesteld dat er meer behoefte aan de uitwisseling van meer categorieën elektronische gezondheidsgegevens voor doeleinden in verband met medische zorg bestaat, moet de lijst van prioritaire categorieën worden uitgebreid. De Commissie moet de bevoegdheid krijgen om de lijst van prioritaire categorieën uit te breiden, na een analyse te hebben gemaakt van de relevante aspecten in verband met de noodzaak en de mogelijkheid van de uitwisseling van nieuwe datasets, zoals de ondersteuning ervan door systemen die op nationaal of regionaal niveau door de lidstaten zijn opgezet. Er moet bijzondere aandacht worden besteed aan de uitwisseling van gegevens in de grensregio’s van naburige lidstaten, waar frequenter grensoverschrijdende gezondheidsdiensten worden verleend en daarvoor nog snellere procedures nodig zijn dan in de Unie in het algemeen het geval is.

(18) De toegang tot en de uitwisseling van elektronische gezondheidsgegevens moeten mogelijk worden gemaakt voor alle gegevens die in het EPD van een natuurlijke persoon zijn opgenomen, voor zover dit technisch haalbaar is. Sommige elektronische gezondheidsgegevens zijn echter mogelijk niet gestructureerd of gecodeerd, en de doorgifte tussen zorgaanbieders kan beperkt zijn of alleen mogelijk zijn in formaten die geen vertaling mogelijk maken (wanneer gegevens grensoverschrijdend worden gedeeld). Om voldoende tijd voor de voorbereiding van de uitvoering te bieden, moeten uitgestelde data van toepassing worden vastgesteld om de juridische, organisatorische, semantische en technische paraatheid voor de overdracht van verschillende categorieën elektronische gezondheidsgegevens mogelijk te maken. Wanneer wordt vastgesteld dat er behoefte is aan de uitwisseling van nieuwe categorieën elektronische gezondheidsgegevens, moeten de desbetreffende toepassingsdata worden vastgesteld om de implementatie van deze uitwisseling mogelijk te maken.

(19) Het niveau van de beschikbaarheid van persoonlijke gezondheids- en genetische gegevens in elektronisch vorm verschilt van lidstaat tot lidstaat. De EHDS moet het voor natuurlijke personen gemakkelijker maken om over deze gegevens in elektronische vorm te beschikken. Dit zou ook bijdragen tot de verwezenlijking van de doelstelling dat alle burgers van de Unie uiterlijk in 2030 toegang tot hun elektronische patiëntendossiers moeten hebben, als bedoeld in het beleidsprogramma “Traject naar het digitale decennium”. Om elektronische gezondheidsgegevens toegankelijk en overdraagbaar te maken, moet voor de inzage in en de doorgifte van die gegevens een interoperabel gemeenschappelijk Europees uitwisselingsformaat voor elektronische patiëntendossiers worden gebruikt, ten minste voor bepaalde categorieën elektronische gezondheidsgegevens, zoals patiëntendossiers, elektronische recepten en verstrekkingen, medische beelden en beeldverslagen, laboratoriumresultaten en verslagen over ziekenhuisontslag, waarvoor overgangsperioden gelden. Wanneer persoonlijke elektronische gezondheidsgegevens door een natuurlijke persoon aan een zorgaanbieder of een apotheek ter beschikking worden gesteld dan wel door een andere verwerkingsverantwoordelijke worden doorgegeven in het Europese uitwisselingsformaat voor elektronische patiëntendossiers, moeten de elektronische gezondheidsgegevens ten behoeve van de verlening van gezondheidszorg of de verstrekking van een geneesmiddel worden gelezen en aanvaard, waardoor de verlening van gezondheidszorgdiensten of de verstrekking van het elektronische recept wordt ondersteund. Aanbeveling (EU) 2019/243 van de Commissie0 legt de basis voor een dergelijk gemeenschappelijk Europees uitwisselingsformaat voor elektronische patiëntendossiers. Het gebruik van het Europees uitwisselingsformaat voor elektronische patiëntendossiers moet op EU- en nationaal niveau meer ingang vinden. Hoewel het e-gezondheidsnetwerk als bedoeld in artikel 14 van Richtlijn 2011/24/EU van het Europees Parlement en de Raad0 de lidstaten heeft aanbevolen bij aanbestedingen het Europese uitwisselingsformaat voor elektronische patiëntendossiers te gebruiken, om de interoperabiliteit te bevorderen, was de toepassing ervan in de praktijk beperkt, wat leidde tot een versnipperd landschap en ongelijke toegang tot en overdraagbaarheid van elektronische gezondheidsgegevens.

(20) EPD-systemen zijn weliswaar wijdverspreid, maar de mate van digitalisering van gezondheidsgegevens varieert per lidstaat, afhankelijk van de gegevenscategorieën en het aantal zorgaanbieders die gezondheidsgegevens in elektronisch formaat registreren. Om de toepassing van de rechten van de betrokken datasubjecten op toegang tot en uitwisseling van elektronische gezondheidsgegevens te ondersteunen, is optreden van de Unie vereist om verdere versnippering te voorkomen. Om bij te dragen tot een hoge kwaliteit en de continuïteit van de zorg, moeten bepaalde categorieën gezondheidsgegevens systematisch en in overeenstemming met de specifieke vereisten inzake gegevenskwaliteit in elektronische vorm worden geregistreerd. Het Europees uitwisselingsformaat voor elektronische patiëntendossiers moet de basis vormen voor specificaties met betrekking tot de registratie en de uitwisseling van elektronische gezondheidsgegevens. De Commissie moet de bevoegdheid krijgen om door middel van uitvoeringshandelingen aanvullende aspecten vast te stellen in verband met de registratie van elektronische gezondheidsgegevens, zoals de categorieën zorgaanbieders die gezondheidsgegevens elektronisch moeten registreren, de categorieën gegevens die elektronisch moeten worden geregistreerd of de vereisten inzake gegevenskwaliteit.

(21) Krachtens artikel 168 van het Verdrag zijn de lidstaten verantwoordelijk voor hun gezondheidsbeleid, met name voor de besluiten over de diensten (waaronder telegeneeskunde) die zij verstrekken en vergoeden. Uiteenlopende beleidsmaatregelen inzake vergoedingen mogen echter geen belemmering vormen voor het vrij verkeer van digitale gezondheidsdiensten zoals telegeneeskunde, met inbegrip van online apotheekdiensten. Wanneer de fysieke verlening van een gezondheidszorgdienst met digitale diensten gepaard gaat, maakt de digitale dienst deel uit van de algemene zorgverlening.

(22) Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad0 stelt de voorwaarden vast waaronder de lidstaten natuurlijke personen in grensoverschrijdende situaties identificeren met behulp van door een andere lidstaat uitgegeven elektronische identificatiemiddelen, en legt de regels vast voor de wederzijdse erkenning van dergelijke elektronische identificatiemiddelen. De EHDS vereist een beveiligde toegang tot elektronische gezondheidsgegevens, ook in grensoverschrijdende scenario’s waarbij de gezondheidswerker en de natuurlijke persoon uit verschillende lidstaten afkomstig zijn, om gevallen van ongeoorloofde toegang te voorkomen. Tegelijkertijd mag het bestaan van uiteenlopende elektronische identificatiemiddelen geen belemmering vormen voor de uitoefening van de rechten van natuurlijke personen en gezondheidswerkers. De uitrol van interoperabele, grensoverschrijdende identificatie- en authenticatiemechanismen voor natuurlijke personen en gezondheidswerkers in de hele EHDS vereist nauwere samenwerking op het niveau van de Unie in het kader van de Raad voor de Europese ruimte voor gezondheidsgegevens (“EHDS-Raad”).Aangezien de rechten van de natuurlijke personen met betrekking tot de toegang tot en de overdracht van persoonlijke elektronische gezondheidsgegevens in de hele Unie op uniforme wijze moeten worden toegepast, zijn sterke governance en nauwe coördinatie op zowel het niveau van de Unie als op het niveau van de lidstaten noodzakelijk. De lidstaten moeten bevoegde autoriteiten voor digitale gezondheid oprichten voor de planning en de toepassing van normen voor de toegang tot elektronische gezondheidsgegevens, de overdracht en de handhaving van de rechten van natuurlijke personen en gezondheidswerkers. Daarnaast zijn governance-elementen in de lidstaten nodig om de deelname van nationale actoren aan de samenwerking op het niveau van de Unie te vergemakkelijken, waarbij expertise wordt gekanaliseerd en advies wordt verstrekt over het ontwikkelen van de oplossingen die nodig zijn om de doelstellingen van de EHDS te verwezenlijken. In de meeste lidstaten bestaan autoriteiten voor digitale gezondheid, die zich bezighouden met EPD’s, interoperabiliteit, beveiliging of normalisatie. Autoriteiten voor digitale gezondheid moeten in alle lidstaten worden opgericht, als afzonderlijke organisaties of als onderdeel van de momenteel bestaande autoriteiten.

(23) De autoriteiten voor digitale gezondheid moeten over voldoende technische vaardigheden beschikken, eventueel door deskundigen uit verschillende organisaties bijeen te brengen. De activiteiten van de autoriteiten voor digitale gezondheid moeten goed worden gepland en worden gemonitord om de doeltreffendheid ervan te waarborgen. De autoriteiten voor digitale gezondheid moeten de nodige maatregelen nemen om de rechten van natuurlijke personen te waarborgen door het ontwikkelen van nationale, regionale en lokale technische oplossingen, zoals nationale EPD’s, patiëntenportalen en gegevensbemiddelingssystemen. Daarbij moeten zij in het kader van dergelijke oplossingen gemeenschappelijke normen en specificaties toepassen, de toepassing van de normen en specificaties bij aanbestedingen bevorderen en andere innovatieve middelen gebruiken, waaronder de vergoeding van oplossingen die voldoen aan de interoperabiliteits- en beveiligingsvereisten van de EHDS. Om hun taken uit te voeren, moeten de autoriteiten voor digitale gezondheid op nationaal en Unieniveau samenwerken met andere entiteiten, waaronder verzekeringsinstellingen, zorgaanbieders, fabrikanten van EPD-systemen en wellnessapps, alsook met belanghebbenden uit de gezondheids- of informatietechnologiesector, entiteiten die belast zijn met vergoedingsregelingen, instanties voor de evaluatie van gezondheidstechnologie, regelgevende autoriteiten en agentschappen voor geneesmiddelen, autoriteiten voor medische hulpmiddelen, aanbesteders en autoriteiten op het gebied van cyberbeveiliging of e-ID.

(24) De toegang tot en de overdracht van elektronische gezondheidsgegevens zijn van belang voor de grensoverschrijdende gezondheidszorg, aangezien dit de continuïteit van de zorg kan ondersteunen wanneer natuurlijke personen naar andere lidstaten reizen of van woonplaats veranderen. Continuïteit van de zorg en snelle toegang tot persoonlijke elektronische gezondheidsgegevens zijn nog belangrijker voor de inwoners van grensregio’s, die de grens vaak oversteken om gezondheidszorg te krijgen. In veel grensregio’s zijn sommige gespecialiseerde gezondheidszorgdiensten mogelijk dichterbij over de grens beschikbaar dan in de eigen lidstaat. Er is een infrastructuur nodig voor de grensoverschrijdende overdracht van persoonlijke elektronische gezondheidsgegevens in situaties waarin een natuurlijke persoon gebruikmaakt van de diensten van een in een andere lidstaat gevestigde zorgaanbieder. Daartoe is een vrijwillige infrastructuur, MyHealth@EU, opgezet als onderdeel van de in artikel 14 van Richtlijn 2011/24/EU bedoelde acties. Via MyHealth@EU zijn de lidstaten ermee begonnen natuurlijke personen de mogelijkheid te bieden hun persoonlijke elektronische gezondheidsgegevens met zorgaanbieders te delen wanneer zij naar het buitenland reizen. Om dergelijke mogelijkheden verder te ondersteunen, moet de deelname van de lidstaten aan de digitale infrastructuur MyHealth@EU verplicht worden gesteld. Alle lidstaten moeten van de infrastructuur gebruikmaken en moeten de zorgaanbieders en apotheken op deze infrastructuur aansluiten, aangezien dit noodzakelijk is voor de toepassing van de rechten van natuurlijke personen om toegang te krijgen tot en gebruik te maken van hun persoonlijke elektronische gezondheidsgegevens, ongeacht de lidstaat. De infrastructuur moet geleidelijk worden uitgebreid om verdere categorieën elektronische gezondheidsgegevens te ondersteunen.

(25) In het kader van MyHealth@EU moet de lidstaten door middel van een centraal platform een gemeenschappelijke infrastructuur worden geboden om de connectiviteit en de interoperabiliteit op een doeltreffende en veilige manier te verzekeren. Om de naleving van de gegevensbeschermingsregels te waarborgen en in een kader voor risicobeheer voor de overdracht van persoonlijke elektronische gezondheidsgegevens te voorzien, moet de Commissie door middel van uitvoeringshandelingen specifieke verantwoordelijkheden onder de lidstaten als gezamenlijke verwerkingsverantwoordelijken verdelen en haar eigen verplichtingen als verwerker bepalen.

(26) Naast de MyHealth@EU-diensten voor de uitwisseling van persoonlijke elektronische gezondheidsgegevens op basis van het Europese uitwisselingsformaat voor elektronische patiëntendossiers, kunnen andere diensten of aanvullende infrastructuren nodig zijn, bijvoorbeeld in noodsituaties op het gebied van de volksgezondheid of wanneer de architectuur van MyHealth@EU niet geschikt is voor de implementatie van bepaalde gebruiksgevallen. Voorbeelden van dergelijke gebruiksgevallen zijn onder meer steun voor de functies van de vaccinatiekaart, met inbegrip van de uitwisseling van informatie over vaccinatieprogramma’s of de verificatie van vaccinatiecertificaten of andere gezondheidsgerelateerde certificaten. Dit is ook belangrijk met het oog op de invoering van extra functies voor de aanpak van volksgezondheidscrises, zoals steun voor het traceren van contacten ten behoeve van de indamming van infectieziekten. De aansluiting van de nationale contactpunten voor digitale gezondheid van derde landen of de interoperabiliteit met op internationaal niveau opgezette digitale systemen moet worden gecontroleerd om te verzekeren dat het nationale contactpunt voldoet aan de technische specificaties, de gegevensbeschermingsregels en andere vereisten van MyHealth@EU. Een besluit om een nationaal contactpunt van een derde land aan te sluiten, moet worden genomen door verwerkingsverantwoordelijken in de groep voor gezamenlijke verwerkingsverantwoordelijkheid voor MyHealth@EU.

(27) Met het oog op de eerbiediging van de rechten van natuurlijke personen en gezondheidswerkers moeten EPD-systemen die op de interne markt van de Unie in de handel worden gebracht, hoogwaardige elektronische gezondheidsgegevens veilig kunnen opslaan en doorgeven. Dit is een belangrijk beginsel van de EHDS om het veilig en vrij verkeer van elektronische gezondheidsgegevens in de hele Unie te waarborgen. Daartoe moet een verplichte zelfcertificeringsregeling worden ingevoerd voor EPD-systemen die een of meer prioritaire categorieën elektronische gezondheidsgegevens verwerken, om een einde aan de versnippering van de markt te maken en tegelijkertijd een evenredige aanpak te waarborgen. Door middel van deze zelfcertificering moeten EPD-systemen aantonen dat zij voldoen aan de essentiële vereisten inzake interoperabiliteit en beveiliging die op het niveau van de Unie zijn vastgesteld. Wat beveiliging betreft, moeten de essentiële vereisten betrekking hebben op elementen die specifiek zijn voor EPD-systemen, aangezien meer algemene beveiligingskenmerken moeten worden ondersteund door andere mechanismen, zoals cyberbeveiligingscertificeringsregelingen in het kader van Verordening (EU) 2019/881 van het Europees Parlement en de Raad0.

(28) Terwijl EPD-systemen die door de fabrikant specifiek zijn bedoeld om voor de verwerking van een of meer specifieke categorieën elektronische gezondheidsgegevens te worden gebruikt, aan verplichte zelfcertificering moeten worden onderworpen, mag software voor algemene doeleinden niet als een EPD-systeem worden beschouwd, zelfs niet wanneer die in een gezondheidszorgomgeving wordt gebruikt, en mag van die software dus niet worden geëist dat hij voldoet aan de bepalingen van hoofdstuk III.

(29) Software of (een) softwaremodule(s) die onder de definitie van medisch hulpmiddel of artificiële-intelligentiesysteem met een hoog risico valt (vallen), moet(en) worden gecertificeerd in overeenstemming met Verordening (EU) 2017/745 van het Europees Parlement en de Raad0 en Verordening [...] van het Europees Parlement en de Raad [verordening artificiële intelligentie, COM(2021) 206 final], naargelang het geval. De essentiële vereisten inzake interoperabiliteit van de onderhavige verordening mogen alleen van toepassing zijn voor zover de fabrikant van een medisch hulpmiddel of AI-systeem met een hoog risico, dat elektronische gezondheidsgegevens verstrekt die moeten worden verwerkt als onderdeel van het EPD-systeem, interoperabiliteit met dat EPD-systeem claimt. In dat geval moeten de bepalingen inzake gemeenschappelijke specificaties voor EPD-systemen op die medische hulpmiddelen en AI-systemen met een hoog risico van toepassing zijn.

(30) Om de interoperabiliteit en de beveiliging verder te ondersteunen, kunnen de lidstaten specifieke regels handhaven of vaststellen voor de aanbesteding, vergoeding, financiering of het gebruik van EPD-systemen op nationaal niveau in het kader van de organisatie, verstrekking of financiering van gezondheidsdiensten. Dergelijke specifieke regels mogen het vrij verkeer van EPD-systemen in de Unie niet belemmeren. Sommige lidstaten hebben een verplichte certificering van EPD-systemen of verplichte interoperabiliteitstests voor de aansluiting daarvan op nationale digitale gezondheidsdiensten ingevoerd. Dergelijke vereisten komen doorgaans tot uitdrukking in aanbestedingen die door zorgaanbieders en nationale of regionale autoriteiten worden georganiseerd. Met de verplichte certificering van EPD-systemen op het niveau van de Unie moet een referentiekader worden vastgesteld dat bij aanbestedingen op nationaal niveau kan worden gebruikt.

(31) Om te garanderen dat patiënten hun rechten uit hoofde van deze verordening daadwerkelijk kunnen uitoefenen, moeten zorgaanbieders, wanneer zij een EPD-systeem “in house” ontwikkelen en gebruiken voor het uitvoeren van interne activiteiten zonder het systeem tegen betaling of vergoeding in de handel te brengen, ook aan deze verordening voldoen. In dat verband moeten die zorgaanbieders voldoen aan alle vereisten die voor de fabrikanten gelden.

(32) Er moet worden gezorgd voor een duidelijke en evenredige verdeling van de verplichtingen overeenkomstig de rol van elke marktdeelnemer in het toeleverings- en distributieproces van EPD-systemen. De marktdeelnemers moeten verantwoordelijk zijn voor de naleving met betrekking tot hun respectieve rollen in dat proces en moeten ervoor zorgen dat zij uitsluitend EPD-systemen op de markt aanbieden die aan de desbetreffende vereisten voldoen.

(33) De fabrikanten van EPD-systemen moeten de naleving van de essentiële vereisten inzake interoperabiliteit en beveiliging aantonen door middel van de toepassing van gemeenschappelijke specificaties. Daartoe moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend om dergelijke gemeenschappelijke specificaties vast te stellen met betrekking tot datasets, coderingssystemen, technische specificaties, met inbegrip van normen, specificaties en profielen voor gegevensuitwisseling, alsmede vereisten en beginselen met betrekking tot beveiliging, vertrouwelijkheid, integriteit, patiëntveiligheid en bescherming van persoonsgegevens, alsook specificaties en vereisten met betrekking tot identificatiebeheer en het gebruik van elektronische identificatie. De autoriteiten voor digitale gezondheid moeten bijdragen aan de ontwikkeling van dergelijke gemeenschappelijke specificaties.

(34) Teneinde een passende en doeltreffende handhaving te waarborgen van de in hoofdstuk III van deze verordening vastgelegde vereisten en verplichtingen, moet het systeem van markttoezicht en conformiteit van producten dat is vastgesteld bij Verordening (EU) 2019/1020, van toepassing zijn. Afhankelijk van de op nationaal niveau bepaalde organisatie kunnen dergelijke markttoezichtactiviteiten worden verricht door de autoriteiten voor digitale gezondheid die de correcte uitvoering van hoofdstuk II waarborgen of door een afzonderlijke markttoezichtautoriteit die verantwoordelijk is voor EPD-systemen. Hoewel het aanwijzen van de autoriteiten voor digitale gezondheid als markttoezichtautoriteiten belangrijke praktische voordelen kan hebben voor de uitvoering van gezondheids- en zorgmaatregelen, moeten belangenconflicten worden vermeden, bijvoorbeeld door verschillende taken te scheiden.

(35) De gebruikers van wellnessapps, zoals mobiele apps, moeten worden geïnformeerd over de capaciteit van dergelijke apps met het oog op aansluiting op EPD-systemen of nationale elektronische gezondheidsoplossingen en het leveren van gegevens daaraan, wanneer door wellnessapps geproduceerde gegevens nuttig zijn voor doeleinden in verband met medische zorg. Het vermogen van die apps om gegevens in een interoperabel formaat te exporteren, is ook van belang voor de gegevensoverdraagbaarheid. In voorkomend geval moeten de gebruikers worden geïnformeerd over de mate waarin dergelijke apps aan de interoperabiliteits- en beveiligingsvereisten voldoen. Gezien het grote aantal wellnessapps en de beperkte relevantie van de door veel van die apps geproduceerde gegevens voor doeleinden in verband met medische zorg, zou een certificeringsregeling voor deze apps echter niet evenredig zijn. Daarom moet een facultatieve labelingsregeling worden ingevoerd als een geschikt mechanisme om de gebruikers van wellnessapps transparantie te kunnen bieden met betrekking tot de naleving van de vereisten, en hen zo te ondersteunen bij hun keuze van geschikte wellnessapps met hoge normen op het gebied van interoperabiliteit en beveiliging. De Commissie kan door middel van uitvoeringshandelingen nadere bepalingen vaststellen met betrekking tot de vorm en de inhoud van een dergelijk label.

(36) De verspreiding van informatie over gecertificeerde EPD-systemen en wellnessapps met label is noodzakelijk om de aanbesteders en gebruikers van dergelijke producten in staat te stellen interoperabele oplossingen voor hun specifieke behoeften te vinden. Daarom moet op het niveau van de Unie een databank worden opgezet van interoperabele EPD-systemen en wellnessapps die niet binnen het toepassingsgebied van de Verordeningen (EU) 2017/745 en [...] [verordening artificiële intelligentie, COM(2021) 206 final] vallen, vergelijkbaar met de bij Verordening (EU) 2017/745 opgezette Europese databank voor medische hulpmiddelen (Eudamed). De doelstellingen van de EU-databank van interoperabele EPD-systemen en wellnessapps moeten erin bestaan de algehele transparantie te vergroten, een overlapping van rapportageverplichtingen te vermijden en de informatiestroom te stroomlijnen en te vergemakkelijken. Voor medische hulpmiddelen en AI-systemen moet de registratie in stand worden gehouden in het kader van de bestaande databanken die zijn opgezet op grond van de Verordeningen (EU) 2017/745 respectievelijk [...] [verordening artificiële intelligentie, COM(2021) 206 final], maar moet worden aangegeven of de interoperabiliteitsvereisten worden nageleefd wanneer de fabrikanten daarom verzoeken, met het oog op het verstrekken van informatie aan de aanbesteders.

(37) Voor het secundaire gebruik van de klinische gegevens met het oog op onderzoek, innovatie, beleidsvorming, regelgeving, patiëntveiligheid of de behandeling van andere natuurlijke personen moet worden gebruikgemaakt van de mogelijkheden die Verordening (EU) 2016/679 biedt voor wetgeving van de Unie als basis, met regels en mechanismen voor passende en specifieke maatregelen ter bescherming van de rechten en vrijheden van natuurlijke personen. De onderhavige verordening biedt de rechtsgrondslag overeenkomstig artikel 9, lid 2, punten g), h), i) en j), van Verordening (EU) 2016/679 voor het secundaire gebruik van gezondheidsgegevens, waarbij de waarborgen voor de verwerking worden vastgesteld wat de rechtmatige doeleinden, de betrouwbare governance voor het verlenen van toegang tot gezondheidsgegevens (via de instanties voor toegang tot gezondheidsgegevens) en de verwerking in een veilige omgeving, alsook de in de gegevensvergunning vastgestelde modaliteiten voor gegevensverwerking betreft. Tegelijkertijd moet de aanvrager van de gegevens een rechtsgrond als bedoeld in artikel 6 van Verordening (EU) 2016/679 aantonen, op basis waarvan hij uit hoofde van de onderhavige verordening om toegang tot gegevens kan verzoeken, en aan de voorwaarden van hoofdstuk IV voldoen. Meer in het bijzonder schept de onderhavige verordening in verband met de verwerking van elektronische gezondheidsgegevens waarover de gegevenshouder ingevolge deze verordening beschikt, de wettelijke verplichting in de zin van artikel 6, lid 1, punt c), van Verordening (EU) 2016/679 voor de gegevenshouder om de gegevens aan de instanties voor toegang tot gezondheidsgegevens te verstrekken, terwijl de rechtsgrondslag voor de initiële verwerking (bv. verstrekking van zorg) onverlet blijft. De onderhavige verordening voldoet ook aan de voorwaarden voor een dergelijke verwerking als bedoeld in artikel 9, lid 2, punten h), i) en j), van Verordening (EU) 2016/679. De onderhavige verordening wijst taken van algemeen belang als bedoeld in artikel 6, lid 1, punt e), van Verordening (EU) 2016/679 toe aan de instanties voor toegang tot gezondheidsgegevens (beheer van de beveiligde verwerkingsomgeving, verwerking van gegevens voordat deze worden gebruikt, enz.), en voldoet aan de vereisten van artikel 9, lid 2, punten h), i) en j), van Verordening (EU) 2016/679. Daarom biedt de onderhavige verordening in dit geval de rechtsgrondslag overeenkomstig artikel 6 en voldoet zij aan de vereisten van artikel 9 van die verordening betreffende de voorwaarden waaronder elektronische gezondheidsgegevens kunnen worden verwerkt. Indien de gegevensgebruiker toegang tot elektronische gezondheidsgegevens heeft (voor secundair gebruik van gegevens voor een van de in de onderhavige verordening omschreven doeleinden), moet hij daarvoor de rechtsgrondslag overeenkomstig artikel 6, lid 1), punten e) of f), van Verordening (EU) 2016/679 aantonen en toelichten op welke specifieke rechtsgrondslag hij zich baseert als onderdeel van de aanvraag voor toegang tot elektronische gezondheidsgegevens uit hoofde van de onderhavige verordening: op de toepasselijke wetgeving – wanneer de rechtsgrondslag uit hoofde van Verordening (EU) 2016/679 artikel 6, lid 1, punt e), is – of op artikel 6, lid 1, punt f), van Verordening (EU) 2016/679. Indien de gebruiker zich baseert op een rechtsgrondslag die wordt geboden door artikel 6, lid 1, punt e), moet hij verwijzen naar andere EU- of nationale wetgeving dan de onderhavige verordening waarbij hij wordt gemachtigd om persoonlijke gezondheidsgegevens te verwerken met het oog op de vervulling van zijn taken. Indien de rechtsgrond voor de verwerking door de gegevensgebruiker artikel 6, lid 1, punt f), van Verordening (EU) 2016/679 is, is het in dit geval de onderhavige verordening die de waarborgen biedt. In dit verband zijn de door de instanties voor toegang tot gezondheidsgegevens afgegeven gegevensvergunningen een administratief besluit waarin de voorwaarden voor de toegang tot de gegevens worden vastgesteld.

(38) In het kader van de EHDS bestaan reeds elektronische gezondheidsgegevens en deze worden door zorgaanbieders, beroepsverenigingen, overheidsinstellingen, regelgevers, onderzoekers, verzekeraars enz. in de loop van hun werkzaamheden verzameld. Sommige categorieën gegevens worden voornamelijk verzameld met het oog op de verlening van gezondheidszorg (bv. elektronische patiëntendossiers, genetische gegevens, gegevens met betrekking tot claims uit hoofde van ziektekostenverzekeringen enz.), terwijl andere categorieën gegevens eveneens worden verzameld voor andere doeleinden als onderzoek, statistieken, patiëntveiligheid, regelgevingsactiviteiten of beleidsvorming (bv. registers van ziekten, registers voor beleidsvorming, registers met betrekking tot de bijwerkingen van geneesmiddelen of medische hulpmiddelen, enz.). Zo zijn er op sommige gebieden Europese databanken beschikbaar die het (her)gebruik van gegevens vergemakkelijken, zoals op het gebied van kanker (Europees informatiesysteem voor kanker) of van zeldzame ziekten (Europees platform voor de registratie van zeldzame ziekten, ERN-registers, enz.). Deze gegevens moeten ook voor secundair gebruik beschikbaar worden gesteld. Een groot deel van de bestaande gezondheidsgerelateerde gegevens wordt echter niet beschikbaar gesteld voor andere doeleinden dan waarvoor zij zijn verzameld. Dit beperkt de mogelijkheden voor onderzoekers, innovatoren, beleidsmakers, regelgevers en artsen om die gegevens voor andere doeleinden te gebruiken, waaronder onderzoek, innovatie, beleidsvorming, regelgeving, patiëntveiligheid of gepersonaliseerde geneeskunde. Om de voordelen van het secundaire gebruik van elektronische gezondheidsgegevens te maximaliseren, moeten alle gegevenshouders een bijdrage leveren door de verschillende categorieën elektronische gezondheidsgegevens waarover zij beschikken, beschikbaar te stellen voor secundair gebruik.

(39) De categorieën elektronische gezondheidsgegevens die voor secundair gebruik kunnen worden verwerkt, moeten breed en flexibel genoeg zijn om aan de veranderende behoeften van de gegevensgebruikers tegemoet te komen, maar moeten beperkt blijven tot gegevens die verband houden met gezondheid of waarvan het bekend is dat zij effect hebben op de gezondheid. Zij kunnen ook relevante gegevens uit het gezondheidssysteem omvatten (elektronische patiëntendossiers, gegevens met betrekking tot claims, registers van ziekten, genomische gegevens enz.), alsook gegevens die van invloed zijn op de gezondheid (bijvoorbeeld consumptie van verschillende stoffen, dakloosheid, ziektekostenverzekering, minimuminkomen, beroepsstatus, gedrag), met inbegrip van milieufactoren (bijvoorbeeld verontreiniging, straling, gebruik van bepaalde chemische stoffen). Zij kunnen eveneens per persoon gegenereerde gegevens omvatten, zoals gegevens van medische hulpmiddelen, wellnessapps of andere draagbare apparaten (wearables) en digitalegezondheidsapps. De gegevensgebruiker die toegang heeft tot krachtens de onderhavige verordening verstrekte datasets, kan de gegevens verrijken met diverse correcties, annotaties en andere verbeteringen, bijvoorbeeld door ontbrekende of onvolledige gegevens aan te vullen, en aldus de nauwkeurigheid, de volledigheid of de kwaliteit van de gegevens in de dataset verbeteren. Om de verbetering van de oorspronkelijke databank en het verdere gebruik van de verrijkte dataset te ondersteunen, moet de dataset met die verbeteringen en een beschrijving van de wijzigingen kosteloos ter beschikking van de oorspronkelijke gegevenshouder worden gesteld. De gegevenshouder moet de nieuwe dataset ter beschikking stellen, tenzij hij bij de instantie voor toegang tot gezondheidsgegevens gemotiveerd aangeeft waarom dit niet mogelijk is, bijvoorbeeld in geval van kwalitatief slechte gegevensverrijking. Ook het secundaire gebruik van niet-persoonsgebonden elektronische gegevens moet worden gewaarborgd. Met name genomische gegevens van pathogenen zijn van aanzienlijke waarde voor de menselijke gezondheid, zoals tijdens de COVID-19-pandemie is gebleken. Tijdige toegang tot en uitwisseling van dergelijke gegevens is van essentieel belang gebleken voor de snelle ontwikkeling van detectie-instrumenten, medische tegenmaatregelen en de respons op bedreigingen voor de volksgezondheid. De inspanningen op het gebied van pathogeengenomica zullen de meeste baten opleveren wanneer in het kader van processen op het gebied van volksgezondheid en onderzoeksprocessen datasets worden gedeeld en samenwerking plaatsvindt om elkaar te informeren en te verbeteren.

(40) De gegevenshouders kunnen publieke, non-profit- of particuliere zorgaanbieders, publieke, non-profit- of particuliere organisaties, verenigingen of andere entiteiten, dan wel openbare en particuliere entiteiten die onderzoek met betrekking tot de gezondheidssector verrichten, zijn die de bovengenoemde categorieën gezondheids- en gezondheidsgerelateerde gegevens verwerken. Om onevenredige lasten voor kleine entiteiten te voorkomen, zijn micro-ondernemingen vrijgesteld van de verplichting om hun gegevens in het kader van de EHDS beschikbaar te stellen voor secundair gebruik. De publieke of particuliere entiteiten worden vaak door de lidstaten of de Unie gefinancierd om elektronische gezondheidsgegevens te verzamelen en te verwerken met het oog op onderzoek, (al dan niet officiële) statistieken of voor andere soortgelijke doeleinden, ook op gebieden waar het verzamelen van dergelijke gegevens gefragmenteerd of moeilijk is, zoals bij zeldzame ziekten, kanker enz. Dergelijke gegevens die door de gegevenshouders met financiële steun van de Unie of de lidstaten worden verzameld en verwerkt, moeten door deze ter beschikking van de instanties voor toegang tot gezondheidsgegevens worden gesteld, om het effect van de overheidsinvesteringen te maximaliseren en onderzoek, innovatie, patiëntveiligheid of beleidsvorming ten behoeve van de samenleving te ondersteunen. In enkele lidstaten spelen particuliere entiteiten, waaronder particuliere zorgaanbieders en beroepsverenigingen, een centrale rol in de gezondheidssector. De gezondheidsgegevens waarover dergelijke aanbieders beschikken, moeten ook voor secundair gebruik beschikbaar worden gesteld. Tegelijkertijd genieten gegevens die voor specifieke juridische bescherming in aanmerking komen, zoals die met betrekking tot de intellectuele eigendom van bedrijven die medische hulpmiddelen of farmaceutica produceren, vaak auteursrechtelijke of soortgelijke vormen van bescherming. Overheidsinstanties en regelgevers moeten echter toegang tot dergelijke gegevens hebben, bijvoorbeeld in geval van pandemieën, om defecte hulpmiddelen te controleren en de menselijke gezondheid te beschermen. In tijden van grote bezorgdheid over de volksgezondheid (bijvoorbeeld de fraude met PIP-borstimplantaten) bleek het voor de overheidsinstanties zeer moeilijk om toegang tot dergelijke gegevens te krijgen, om te weten te komen wat de oorzaken van de defecten van sommige hulpmiddelen waren en wat de fabrikant hieromtrent wist. De COVID-19-pandemie heeft ook aangetoond dat het voor beleidsmakers moeilijk is om toegang tot gezondheidsgegevens en andere gegevens in verband met de gezondheid te krijgen. Dergelijke gegevens moeten beschikbaar worden gesteld voor overheids- en regelgevingsactiviteiten, ter ondersteuning van de overheidsinstanties bij de vervulling van hun wettelijke mandaat, met inachtneming – voorzover relevant en mogelijk – van de bescherming van commerciële gegevens. Er moeten specifieke regels worden vastgesteld met betrekking tot het secundaire gebruik van gezondheidsgegevens. Activiteiten in verband met gegevensaltruïsme kunnen door verschillende entiteiten worden verricht, in het kader van Verordening [...] [datagovernanceverordening, COM(2020) 767 final] en rekening houdend met de specifieke kenmerken van de gezondheidssector.

(41) Het secundaire gebruik van gezondheidsgegevens in het kader van de EHDS moet publieke, particuliere en non-profitentiteiten alsmede individuele onderzoekers in staat stellen toegang tot gezondheidsgegevens te hebben met het oog op onderzoek, innovatie, beleidsvorming, educatieve activiteiten, patiëntveiligheid, regelgevingsactiviteiten of gepersonaliseerde geneeskunde, in overeenstemming met de doelstellingen van de onderhavige verordening. De toegang tot gegevens voor secundair gebruik moet bijdragen tot het algemeen belang van de samenleving. Activiteiten waarvoor de toegang in het kader van de onderhavige verordening rechtmatig is, kunnen onder meer zijn het gebruik van elektronische gezondheidsgegevens voor taken die door overheidsinstanties worden uitgevoerd, zoals de vervulling van hun openbare taak, met inbegrip van het volksgezondheidstoezicht, verplichtingen op het gebied van planning en verslaglegging, beleidsvorming op gezondheidsgebied alsmede het waarborgen van de veiligheid van de patiënt, de kwaliteit van de zorg en de duurzaamheid van de gezondheidszorgstelsels. Overheidsinstanties en instellingen, organen en instanties van de Unie kunnen eisen dat zij gedurende langere tijd regelmatig toegang tot elektronische gezondheidsgegevens hebben, onder meer om hun bij de onderhavige verordening vastgestelde mandaat te vervullen. Overheidsinstanties kunnen dergelijke onderzoeksactiviteiten uitvoeren door een beroep te doen op derden, met inbegrip van onderaannemers, zolang de overheidsinstantie te allen tijde de toezichthouder op deze activiteiten blijft. Met de verstrekking van de gegevens moeten ook activiteiten worden ondersteund die verband houden met wetenschappelijk onderzoek (met inbegrip van particulier onderzoek), ontwikkeling en innovatie, waarbij goederen en diensten voor de gezondheids- of zorgsector worden geproduceerd, zoals innovatieactiviteiten of het trainen van AI-algoritmen die de gezondheid van of de zorg voor natuurlijke personen kunnen beschermen. In sommige gevallen kunnen de gegevens van bepaalde natuurlijke personen (zoals genomische gegevens van natuurlijke personen met een bepaalde ziekte) de diagnose of behandeling van andere natuurlijke personen ondersteunen. Overheden moeten verder gaan dan het toepassingsgebied van hoofdstuk V van Verordening [...] [dataverordening, COM(2022) 68 final] voor noodsituaties. De overheidsinstanties kunnen echter verzoeken om ondersteuning van de instanties voor toegang tot gezondheidsgegevens voor de verwerking of koppeling van gegevens. De onderhavige verordening biedt een kanaal voor overheidsinstanties om toegang te krijgen tot informatie die zij nodig hebben voor de vervulling van de hun bij wet opgedragen taken, maar breidt het mandaat van dergelijke overheidsinstanties niet uit. Elke poging om de gegevens te gebruiken voor maatregelen die schadelijk zijn voor de natuurlijke persoon, om de verzekeringspremies te verhogen, om reclame te maken voor producten of behandelingen of om schadelijke producten te ontwikkelen, moet worden verboden.

(42) De oprichting van een of meer instanties voor toegang tot gezondheidsgegevens, ter ondersteuning van de toegang tot elektronische gezondheidsgegevens in de lidstaten, is van essentieel belang om het secundaire gebruik van gezondheidsgerelateerde gegevens te bevorderen. De lidstaten moeten daarom een of meer instanties voor toegang tot gezondheidsgegevens oprichten, bijvoorbeeld in aansluiting op hun grondwettelijke, organisatorische en administratieve structuur. Indien er meer dan één instantie voor gegevenstoegang is, moet een van deze instanties voor toegang tot gezondheidsgegevens echter als coördinerende instantie worden aangewezen. Wanneer een lidstaat meerdere instanties opricht, moet hij regels op nationaal niveau vaststellen om de gecoördineerde deelname van die instanties aan de EHDS-Raad te waarborgen. De lidstaat in kwestie dient met name één instantie voor toegang tot gezondheidsgegevens aan te wijzen die optreedt als enig contactpunt voor de effectieve deelname van die instanties en die moet zorgen voor een vlotte en soepele samenwerking met andere instanties voor toegang tot gezondheidsgegevens, de EHDS-Raad en de Commissie. De instanties voor toegang tot gezondheidsgegevens kunnen qua organisatie en omvang verschillen (variërend van een specifieke volwaardige organisatie tot een eenheid of afdeling binnen een bestaande organisatie), maar moeten dezelfde functies, verantwoordelijkheden en mogelijkheden hebben. De instanties voor toegang tot gezondheidsgegevens mogen niet worden beïnvloed bij hun besluiten over de toegang tot elektronische gegevens voor secundair gebruik. Deze onafhankelijkheid mag echter niet betekenen dat de instantie voor toegang tot gezondheidsgegevens vrijgesteld zou zijn van controles van of toezicht op haar financiële uitgaven of van rechterlijke toetsing. Iedere instantie voor toegang tot gezondheidsgegevens dient te beschikken over de financiële en personele middelen alsook de bedrijfsruimten en de infrastructuur die noodzakelijk zijn om haar taken, waaronder die in het kader van samenwerking met andere instanties voor toegang tot gezondheidsgegevens in de Unie, effectief uit te voeren. Iedere instantie voor toegang tot gezondheidsgegevens dient over een eigen, openbare jaarlijkse begroting te beschikken, die deel kan uitmaken van de algemene staats- of nationale begroting. Om een betere toegang tot gezondheidsgegevens mogelijk te maken en ter aanvulling van artikel 7, lid 3, van Verordening [...] van het Europees Parlement en de Raad [datagovernanceverordening, COM(2020) 767 final], moeten de lidstaten de instanties voor toegang tot gezondheidsgegevens bevoegdheden verlenen voor het nemen van besluiten over de toegang tot en het secundaire gebruik van gezondheidsgegevens. Hiertoe zouden nieuwe taken kunnen worden toegewezen aan de bevoegde organen die door de lidstaten worden aangewezen op grond van artikel 7, lid 1, van Verordening [...] [datagovernanceverordening, COM(2020) 767 final] dan wel bestaande of nieuwe sectorale organen kunnen worden aangewezen die belast worden met dergelijke taken met betrekking tot de toegang tot gezondheidsgegevens.

(43) De instanties voor toegang tot gezondheidsgegevens moeten toezicht houden op de toepassing van hoofdstuk IV van de onderhavige verordening en bijdragen tot de consistente toepassing ervan in de hele Unie. Daartoe dienen de instanties voor toegang tot gezondheidsgegevens onderling en met de Commissie samen te werken, zonder dat er een akkoord tussen de lidstaten nodig is over het verstrekken van wederzijdse bijstand of over zulke samenwerking. De instanties voor toegang tot gezondheidsgegevens moeten ook samenwerken met de belanghebbenden, waaronder patiëntenorganisaties. Aangezien het secundaire gebruik van gezondheidsgegevens de verwerking van persoonsgegevens over de gezondheid meebrengt, zijn de desbetreffende bepalingen van Verordening (EU) 2016/679 van toepassing en moeten de toezichthoudende autoriteiten uit hoofde van Verordening (EU) 2016/679 en Verordening (EU) 2018/1725 worden belast met de handhaving van deze regels. Omdat gezondheidsgegevens gevoelige gegevens zijn, moeten de instanties voor toegang tot gezondheidsgegevens met een loyale samenwerkingsplicht de gegevensbeschermingsautoriteiten bovendien in kennis stellen van alle kwesties in verband met de gegevensverwerking voor secundair gebruik, met inbegrip van sancties. Naast de taken die nodig zijn om een doeltreffend secundair gebruik van gezondheidsgegevens te waarborgen, moet de instantie voor toegang tot gezondheidsgegevens ernaar streven de beschikbaarheid van aanvullende gezondheidsdatasets uit te breiden, de ontwikkeling van AI op gezondheidsgebied te ondersteunen en de ontwikkeling van gemeenschappelijke normen te bevorderen. Zij moet beproefde technieken toepassen die garanderen dat de elektronische gezondheidsgegevens worden verwerkt zonder dat de privacy van de informatie in de gegevens waarvoor secundair gebruik wordt toegestaan, wordt geschonden, met inbegrip van technieken voor pseudonimisering, anonimisering, veralgemening, schrapping en randomisering van persoonsgegevens. De instanties voor toegang tot gezondheidsgegevens kunnen datasets opstellen overeenkomstig de behoeften van de gegevensgebruiker die gekoppeld zijn aan de afgegeven gegevensvergunning. Dit omvat regels voor de anonimisering van microdatasets.

(44) Gezien de administratieve lasten die voor de instanties voor toegang tot gezondheidsgegevens zijn gemoeid met het informeren van de natuurlijke personen van wie de gegevens worden gebruikt in gegevensprojecten binnen een beveiligde verwerkingsomgeving, moeten de uitzonderingen van artikel 14, lid 5, van Verordening (EU) 2016/679 van toepassing zijn. Daarom moeten de instanties voor toegang tot gezondheidsgegevens algemene informatie verstrekken over de voorwaarden voor het secundaire gebruik van hun gezondheidsgegevens die de informatie-elementen bevatten die worden genoemd in artikel 14, lid 1, en, indien nodig om een eerlijke en transparante verwerking te waarborgen, artikel 14, lid 2, van Verordening (EU) 2016/679, bijvoorbeeld informatie over het doel en de verwerkte gegevenscategorieën. Van deze regel moet worden afgeweken wanneer de resultaten van het onderzoek van nut kunnen zijn voor de behandeling van de betrokken natuurlijke persoon. In dat geval moet de gegevensgebruiker de instantie voor toegang tot gezondheidsgegevens informeren, die het betrokken datasubject of zijn gezondheidswerker in kennis moet stellen. Natuurlijke personen moeten op de website van de instantie voor toegang tot gezondheidsgegevens toegang kunnen krijgen tot de resultaten van verschillende onderzoeksprojecten, idealiter op een gemakkelijk doorzoekbare wijze. De lijst van de gegevensvergunningen moet ook openbaar worden gemaakt. Ter bevordering van de transparantie van haar werking moet elke instantie voor toegang tot gezondheidsgegevens een jaarlijks activiteitenverslag met een overzicht van haar activiteiten publiceren.

(45) Verordening [...] [datagovernanceverordening, COM(2020) 767 final] bevat de algemene regels voor het beheer van gegevensaltruïsme. Aangezien de gezondheidssector gevoelige gegevens beheert, moeten tegelijkertijd aanvullende criteria worden vastgesteld aan de hand van het regelgevingskader van Verordening [...] [datagovernanceverordening, COM(2020) 767 final]. Wanneer een dergelijk regelgevingskader voorziet in het gebruik van een beveiligde verwerkingsomgeving voor deze sector, moet die voldoen aan de in deze verordening vastgestelde criteria. De instanties voor toegang tot gezondheidsgegevens moeten samenwerken met de organen die krachtens Verordening [...] [datagovernanceverordening, COM(2020) 767 final] worden aangewezen om toezicht te houden op de activiteiten van gegevensaltruïsme-organisaties in de gezondheids- of zorgsector.

(46) Om het secundaire gebruik van elektronische gezondheidsgegevens te bevorderen, mogen de gegevenshouders de gegevens niet achterhouden, mogen zij geen ongerechtvaardigde vergoedingen verlangen die niet transparant zijn en niet in verhouding staan tot de kosten voor het beschikbaar stellen van de gegevens (en, in voorkomend geval, niet tot de marginale kosten voor gegevensverzameling), mogen zij de gegevensgebruikers niet verzoeken om co-publicatie van de onderzoeksresultaten of mogen zij geen andere praktijken erop nahouden die de gegevensgebruikers ervan zouden kunnen weerhouden de gegevens op te vragen. Wanneer de verlening van een gegevensvergunning uit ethisch oogpunt moet worden goedgekeurd, moet de vergunning op haar eigen verdiensten worden beoordeeld. Anderzijds beschikken de instellingen, organen en instanties van de Unie, waaronder het EMA, het ECDC en de Commissie, over zeer belangrijke en inzichtelijke gegevens. Toegang tot de gegevens van die instellingen, organen en instanties moet worden verleend via de instantie voor toegang tot gezondheidsgegevens waar de verwerkingsverantwoordelijke zich bevindt.

(47) De instanties voor toegang tot gezondheidsgegevens en de individuele gegevenshouders moeten in verband met hun taken vergoedingen kunnen aanrekenen op basis van de bepalingen van Verordening [...] [datagovernanceverordening, COM(2020) 767 final]. Bij dergelijke vergoedingen kan rekening worden gehouden met de situatie en de belangen van kmo’s, individuele onderzoekers of overheidsinstanties. De gegevenshouders moeten ook vergoedingen kunnen vragen voor het beschikbaar stellen van gegevens. Deze vergoedingen moeten de kosten voor het verlenen van dergelijke diensten weerspiegelen. Particuliere gegevenshouders kunnen ook vergoedingen in rekening brengen voor het verzamelen van gegevens. Om een geharmoniseerde aanpak van het vergoedingenbeleid en de vergoedingenstructuur te waarborgen, kan de Commissie uitvoeringshandelingen vaststellen. De bepalingen van artikel 10 van Verordening [dataverordening, COM(2022) 68 final] moeten van toepassing zijn op vergoedingen die uit hoofde van de onderhavige verordening in rekening worden gebracht.

(48) Om de handhaving van de regels inzake het secundaire gebruik van elektronische gezondheidsgegevens te verbeteren, zijn passende maatregelen nodig die aanleiding kunnen geven tot sancties of de tijdelijke of definitieve uitsluiting van het EHDS-kader van de gegevensgebruikers of gegevenshouders die hun verplichtingen niet naleven. De instantie voor toegang tot gezondheidsgegevens moet de bevoegdheid krijgen om de naleving te controleren en de gegevensgebruikers en gegevenshouders in de gelegenheid te stellen op eventuele bevindingen te reageren en eventuele niet-naleving te verhelpen. Het opleggen van sancties moet onderworpen zijn aan passende procedurele waarborgen overeenkomstig de algemene rechtsbeginselen van de desbetreffende lidstaat, waaronder een doeltreffende rechtsbescherming en een eerlijke rechtsgang.

(49) Gezien de gevoeligheid van elektronische gezondheidsgegevens moeten de risico’s voor de persoonlijke levenssfeer van natuurlijke personen worden beperkt door toepassing van het beginsel van minimale gegevensverwerking als bedoeld in artikel 5, lid 1, punt c), van Verordening (EU) 2016/679. Daarom moet, indien haalbaar en op verzoek van de gegevensgebruiker, het gebruik van geanonimiseerde elektronische gezondheidsgegevens die geen persoonsgegevens bevatten mogelijk worden gemaakt. Indien de gegevensgebruiker van persoonlijke elektronische gezondheidsgegevens gebruik moet maken, moet hij het gebruik van dit soort gegevens voor de geplande gegevensverwerkingsactiviteit in zijn aanvraag duidelijk motiveren. De persoonlijke elektronische gezondheidsgegevens mogen alleen in gepseudonimiseerd formaat beschikbaar worden gesteld en de encryptiesleutel mag alleen in het bezit van de instantie voor toegang tot gezondheidsgegevens zijn. Gegevensgebruikers mogen niet proberen natuurlijke personen opnieuw te identificeren aan de hand van de krachtens de onderhavige verordening verstrekte dataset, op straffe van administratieve of mogelijke strafrechtelijke sancties, indien de nationale wetgeving daarin voorziet. Dit mag de gegevensgebruikers, in gevallen waarin de resultaten van een op basis van een gegevensvergunning uitgevoerd project een gezondheidsvoordeel of -effect voor een betrokken natuurlijke persoon hebben (bijvoorbeeld het ontdekken van behandelingen of risicofactoren voor het ontwikkelen van een bepaalde ziekte), echter niet beletten de instantie voor toegang tot gezondheidsgegevens te informeren, die op haar beurt de betrokken natuurlijke persoon of personen op de hoogte brengt. Bovendien kan de aanvrager de instanties voor toegang tot gezondheidsgegevens vragen een verzoek om gegevens te beantwoorden, ook in de vorm van statistieken. In dat geval is er geen sprake van verwerking van gezondheidsgegevens door de gegevensgebruikers en blijft de instantie voor toegang tot gezondheidsgegevens de enige verwerkingsverantwoordelijke voor de gegevens die nodig zijn om het verzoek om gegevens te beantwoorden.

(50) Om te verzekeren dat alle instanties voor toegang tot gezondheidsgegevens op vergelijkbare wijze vergunningen afgeven, moet een gemeenschappelijke standaardprocedure voor de afgifte van gegevensvergunningen worden vastgesteld, met soortgelijke aanvragen om toegang tot gegevens in de verschillende lidstaten. De aanvrager moet de instanties voor toegang tot gezondheidsgegevens diverse informatie-elementen verstrekken die de instantie helpen de aanvraag te beoordelen en te beslissen of de aanvrager een gegevensvergunning voor secundair gebruik van gegevens kan krijgen, waarbij ook de samenhang tussen de verschillende instanties voor toegang tot gezondheidsgegevens moet worden gewaarborgd. Deze informatie omvat: de rechtsgrondslag uit hoofde van Verordening (EU) 2016/679 voor een verzoek om toegang tot gegevens (vervulling van een bij wet toegewezen taak van algemeen belang of een rechtmatig belang), de doeleinden waarvoor de gegevens zouden worden gebruikt, een beschrijving van de benodigde gegevens en mogelijke gegevensbronnen, een beschrijving van de instrumenten die nodig zijn om de gegevens te verwerken, en de kenmerken van de veilige omgeving die noodzakelijk zijn. Wanneer de gegevens in gepseudonimiseerde vorm worden opgevraagd, moet de aanvrager van de gegevens toelichten waarom dit noodzakelijk is en waarom anonieme gegevens niet volstaan. Op basis van het nationale recht kan om een ethische beoordeling worden verzocht. De instanties voor toegang tot gezondheidsgegevens, en in voorkomend geval de gegevenshouders, moeten de gegevensgebruikers bijstaan bij de selectie van de geschikte datasets of gegevensbronnen voor het beoogde doel van secundair gebruik. Wanneer de aanvrager geanonimiseerde statistische gegevens nodig heeft, moet hij een gegevensverzoek indienen, waarin de instantie voor toegang tot gezondheidsgegevens wordt verzocht het resultaat rechtstreeks te verstrekken. Om een geharmoniseerde aanpak tussen de instanties voor toegang tot gezondheidsgegevens te waarborgen, moet de Commissie de harmonisatie van de aanvraag om toegang tot gegevens en het verzoek om gegevens ondersteunen.

(51) Aangezien de middelen van de instanties voor toegang tot gezondheidsgegevens beperkt zijn, kunnen zij prioriteringsregels toepassen, bijvoorbeeld door voorrang aan openbare instellingen boven particuliere entiteiten te geven, maar mogen zij binnen dezelfde categorie prioriteiten geen onderscheid maken tussen nationale organisaties en organisaties uit andere lidstaten. De gegevensgebruiker moet de geldigheidsduur van de gegevensvergunning kunnen verlengen, bijvoorbeeld om instanties voor de toetsing van wetenschappelijke publicaties toegang tot de datasets te verlenen of om een aanvullende analyse van de dataset op basis van de initiële bevindingen mogelijk te maken. Hiervoor is een wijziging van de gegevensvergunning vereist en kan een bijkomende vergoeding worden gevraagd. In alle gevallen moeten deze aanvullende toepassingen van de dataset echter in de gegevensvergunning tot uitdrukking komen. Bij voorkeur moet de gegevensgebruiker deze vermelden in zijn oorspronkelijke verzoek om afgifte van de gegevensvergunning. Om een geharmoniseerde aanpak tussen de instanties voor toegang tot gezondheidsgegevens te waarborgen, moet de Commissie de harmonisatie van de gegevensvergunningen ondersteunen.

(52) Zoals de COVID-19-crisis heeft aangetoond, moeten de instellingen, organen en instanties van de Unie, en met name de Commissie, voor langere perioden en op terugkerende basis toegang tot gezondheidsgegevens hebben. Dit kan niet alleen in specifieke omstandigheden in tijden van crisis het geval zijn, maar kan ook nodig zijn om op regelmatige basis wetenschappelijke gegevens en technische ondersteuning ten behoeve van het beleid van de Unie te verstrekken. Toegang tot dergelijke gegevens kan in bepaalde lidstaten of op het gehele grondgebied van de Unie zijn vereist.

(53) Voor verzoeken om toegang tot elektronische gezondheidsgegevens van één enkele gegevenshouder in één enkele lidstaat en om de administratieve lasten voor de instanties voor toegang tot gezondheidsgegevens in verband met de behandeling van een dergelijk verzoek te verlichten, moet de gegevensgebruiker deze gegevens rechtstreeks bij de gegevenshouder kunnen opvragen en moet de gegevenshouder een gegevensvergunning kunnen afgeven met inachtneming van alle vereisten en waarborgen die aan een dergelijk verzoek en een dergelijke vergunning zijn verbonden. Meerlandenverzoeken en verzoeken die een combinatie van datasets van meerdere gegevenshouders vereisen, moeten altijd via de instanties voor toegang tot gezondheidsgegevens worden gekanaliseerd. De gegevenshouder moet de instanties voor toegang tot gezondheidsgegevens informeren over alle afgegeven gegevensvergunningen of ingediende verzoeken om gegevens.

(54) Gezien de gevoeligheid van elektronische gezondheidsgegevens mogen gegevensgebruikers geen onbeperkte toegang tot dergelijke gegevens hebben. Elke toegang met het oog op het secundaire gebruik van de opgevraagde elektronische gezondheidsgegevens moet plaatsvinden via een beveiligde verwerkingsomgeving. Om te zorgen voor krachtige technische en veiligheidswaarborgen voor elektronische gezondheidsgegevens, moet de instantie voor toegang tot gezondheidsgegevens of, in voorkomend geval, de afzonderlijke gegevenshouder toegang tot dergelijke gegevens verlenen in een beveiligde verwerkingsomgeving, met inachtneming van de krachtens de onderhavige verordening vastgestelde strenge technische en veiligheidsnormen. Sommige lidstaten hebben maatregelen genomen om dergelijke beveiligde omgevingen in Europa op te zetten. De verwerking van persoonsgegevens in een dergelijke beveiligde omgeving moet in overeenstemming zijn met Verordening (EU) 2016/679, met inbegrip van, wanneer de beveiligde omgeving door een derde wordt beheerd, de vereisten van artikel 28 en, in voorkomend geval, hoofdstuk V. Een dergelijke beveiligde verwerkingsomgeving moet de privacyrisico’s in verband met die verwerkingsactiviteiten beperken en voorkomen dat de elektronische gezondheidsgegevens rechtstreeks aan de gegevensgebruikers worden doorgegeven. De instantie voor toegang tot gezondheidsgegevens of de gegevenshouder die deze dienst verleent, moet te allen tijde de zeggenschap over de toegang tot de elektronische gezondheidsgegevens behouden, waarbij de gegevensgebruikers toegang wordt verleend overeenkomstig de voorwaarden van de afgegeven gegevensvergunning. De gegevensgebruikers mogen uitsluitend niet-persoonsgebonden elektronische gezondheidsgegevens die geen enkele elektronische gezondheidsgegevens bevatten, uit een dergelijke beveiligde verwerkingsomgeving halen. Dit is dus een essentiële waarborg om de rechten en vrijheden van natuurlijke personen met betrekking tot de verwerking van hun elektronische gezondheidsgegevens voor secundair gebruik te beschermen. De Commissie moet de lidstaten bijstaan bij de ontwikkeling van gemeenschappelijke beveiligingsnormen om de veiligheid en de interoperabiliteit van de verschillende beveiligde omgevingen te bevorderen.

(55) Voor de verwerking van elektronische gezondheidsgegevens binnen het toepassingsgebied van een verleende vergunning moeten de instanties voor toegang tot gezondheidsgegevens en de gegevensgebruikers gezamenlijke verwerkingsverantwoordelijken zijn in de zin van artikel 26 van Verordening (EU) 2016/679, wat betekent dat de verplichtingen van gezamenlijke verwerkingsverantwoordelijken uit hoofde van die verordening van toepassing zullen zijn. Ter ondersteuning van de instanties voor toegang tot gezondheidsgegevens en de gegevensgebruikers moet de Commissie door middel van een uitvoeringshandeling een model verstrekken voor de regeling inzake gezamenlijke verwerkingsverantwoordelijkheid die de instanties voor toegang tot gezondheidsgegevens en de gegevensgebruikers moeten aangaan. Om een inclusief en duurzaam kader voor op meerdere landen gericht secundair gebruik van elektronische gezondheidsgegevens tot stand te brengen, moet een grensoverschrijdende infrastructuur worden opgezet. HealthData@EU moet het secundaire gebruik van elektronische gezondheidsgegevens versnellen en tegelijkertijd de rechtszekerheid vergroten, de privacy van natuurlijke personen eerbiedigen en interoperabel zijn. Gezien de gevoeligheid van gezondheidsgegevens moeten waar mogelijk beginselen als “privacy door ontwerp” en “breng de vragen naar de gegevens in plaats van de gegevens te verplaatsen” in acht worden genomen. Gemachtigde deelnemers aan HealthData@EU kunnen zijn de instanties voor toegang tot gezondheidsgegevens, onderzoeksinfrastructuren die zijn opgezet als een consortium voor een Europese onderzoeksinfrastructuur (“ERIC”) in het kader van Verordening (EG) nr. 723/2009 van de Raad0 of soortgelijke structuren die krachtens andere wetgeving van de Unie zijn opgezet, alsook andere soorten entiteiten, waaronder infrastructuren in het kader van het Europees Strategieforum voor onderzoeksinfrastructuren (Esfri) of infrastructuren die zijn gefedereerd in het kader van de Europese openwetenschapscloud (EOSC). Andere gemachtigde deelnemers kunnen zich alleen met toestemming van de groep voor gezamenlijke verwerkingsverantwoordelijkheid bij HealthData@EU aansluiten. Anderzijds moet HealthData@EU het secundaire gebruik van uiteenlopende categorieën elektronische gezondheidsgegevens mogelijk maken, met inbegrip van het koppelen van de gezondheidsgegevens aan gegevens uit andere gegevensruimten zoals die betreffende milieu, landbouw, sociale kwesties enz. De Commissie zou een aantal diensten kunnen aanbieden binnen HealthData@EU, waaronder het ondersteunen van de uitwisseling van informatie tussen instanties voor toegang tot gezondheidsgegevens en gemachtigde deelnemers met het oog op de behandeling van grensoverschrijdende verzoeken om toegang, het bijhouden van catalogi van elektronische gezondheidsgegevens die beschikbaar zijn via de infrastructuur, de vindbaarheid van netwerken en opvragingen van metagegevens alsmede connectiviteits- en nalevingsdiensten. De Commissie kan ook een beveiligde omgeving opzetten, die het mogelijk maakt dat gegevens uit verschillende nationale infrastructuren op verzoek van de verwerkingsverantwoordelijken worden doorgegeven en geanalyseerd. De digitale strategie van de Commissie bevordert de koppeling van de verschillende gemeenschappelijke Europese gegevensruimten. Voor de gezondheidssector kan de interoperabiliteit met sectoren als de milieusector, de sociale sector of de landbouwsector van belang zijn met het oog op aanvullende inzichten in gezondheidsdeterminanten. Omwille van de IT-efficiëntie, de rationalisering en de interoperabiliteit van gegevensuitwisselingen moeten bestaande systemen voor het delen van gegevens zoveel mogelijk worden hergebruikt, zoals die welke zijn opgezet voor de uitwisseling van bewijsmateriaal in het kader van het technisch systeem voor de toepassing van het eenmaligheidsbeginsel van Verordening (EU) 2018/1724 van het Europees Parlement en de Raad0.

(56) In het geval van grensoverschrijdende registers of databanken, zoals de registers van de Europese referentienetwerken voor zeldzame ziekten, die gegevens ontvangen van verschillende zorgaanbieders in meerdere lidstaten, moet de instantie voor toegang tot gezondheidsgegevens waar de coördinator van het register zich bevindt, verantwoordelijk zijn voor het verlenen van toegang tot de gegevens.

(57) De procedure voor het verkrijgen van toestemming voor de toegang tot persoonlijke gezondheidsgegevens in verschillende lidstaten kan voor de gebruikers van de gegevens repetitief en omslachtig zijn. Waar mogelijk moeten synergieën tot stand worden gebracht om de lasten en belemmeringen voor gegevensgebruikers te verminderen. Een van de manieren om dit doel te bereiken is de toepassing van het beginsel van “één enkele aanvraag”, waarbij de gebruiker van de gegevens met één aanvraag toestemming krijgt van meerdere instanties voor toegang tot gezondheidsgegevens in verschillende lidstaten.

(58) De instanties voor toegang tot gezondheidsgegevens moeten informatie verstrekken over de beschikbare datasets en de kenmerken daarvan, zodat de gebruikers van de gegevens op de hoogte kunnen worden gebracht van elementaire feiten over de dataset en de mogelijke relevantie daarvan voor hen kunnen beoordelen. Om die reden moet elke dataset ten minste informatie bevatten over de bron en de aard van de gegevens en over de voorwaarden voor het beschikbaar stellen van gegevens. Daarom moet een EU-catalogus van datasets worden opgesteld om de vindbaarheid van de in de EHDS beschikbare datasets te vergemakkelijken; om de gegevenshouders te helpen bij de publicatie van hun datasets; om alle belanghebbenden, zoals het grote publiek (waaronder ook personen met een beperking), informatie te verstrekken over de datasets in de EHDS (zoals kwaliteits- en bruikbaarheidslabels, informatiebladen over datasets); en om de gegevensgebruikers te voorzien van actuele informatie over de kwaliteit en de bruikbaarheid van de gegevens in de datasets.

(59) Informatie over de kwaliteit en de bruikbaarheid van datasets verhoogt de waarde van de resultaten van gegevensintensief onderzoek en gegevensintensieve innovatie aanzienlijk, en bevordert tegelijkertijd empirisch onderbouwde regelgeving en beleidsvorming. Verbetering van de kwaliteit en de bruikbaarheid van datasets door middel van weloverwogen keuzes door de klant en harmonisering van de desbetreffende vereisten op het niveau van de Unie, met inaanmerkingneming van de bestaande Unie- en internationale normen, richtsnoeren en aanbevelingen voor de verzameling en uitwisseling van gegevens (d.w.z. de FAIR-beginselen: vindbaar, toegankelijk, interoperabel en herbruikbaar), komt ook de gegevenshouders, de gezondheidswerkers, de natuurlijke personen en de economie van de Unie in het algemeen ten goede. Een gegevenskwaliteits- en bruikbaarheidslabel voor datasets zou de gegevensgebruikers informeren over de kenmerken inzake kwaliteit en bruikbaarheid van een dataset en hen in staat stellen de datasets te kiezen die het best aan hun behoeften beantwoorden. Het gegevenskwaliteits- en bruikbaarheidslabel mag niet belemmeren dat datasets via de EHDS beschikbaar worden gesteld, maar moet voorzien in een transparantiemechanisme tussen gegevenshouders en -gebruikers. Zo moet een dataset die aan geen enkele vereiste inzake de kwaliteit en bruikbaarheid van gegevens beantwoordt, worden voorzien van het label voor de laagste kwaliteits- en bruikbaarheidsklasse, maar toch beschikbaar worden gesteld. Bij de ontwikkeling van het kader voor de kwaliteit en bruikbaarheid van gegevens moet rekening worden gehouden met de verwachtingen die worden gesteld aan de kaders als omschreven in artikel 10 van Verordening [...] [verordening artificiële intelligentie, COM(2021) 206 final] en de desbetreffende documentatie zoals gespecificeerd in bijlage IV. De lidstaten moeten door middel van communicatieactiviteiten de bekendheid met het gegevenskwaliteits- en bruikbaarheidslabel vergroten. De Commissie zou deze activiteiten kunnen ondersteunen.

(60) De EU-catalogus van datasets moet de administratieve lasten voor de gegevenshouders en andere gebruikers van databanken tot een minimum beperken, moet gebruikersvriendelijk, toegankelijk en kosteneffectief zijn, moet nationale gegevenscatalogi met elkaar verbinden en moet dubbele registratie van datasets vermijden. De EU-catalogus van datasets zou kunnen worden afgestemd op het initiatief data.europa.eu, onverminderd de vereisten van Verordening [...] [datagovernanceverordening, COM(2020) 767 final]. De lidstaten moeten ervoor zorgen dat de nationale gegevenscatalogi interoperabel zijn met de bestaande catalogi van datasets van de Europese onderzoeksinfrastructuren en andere relevante infrastructuren voor gegevensuitwisseling.

(61) Verschillende beroepsorganisaties, de Commissie en andere instellingen werken samen aan het vastleggen van minimale gegevensvelden en andere kenmerken van verschillende datasets (bijvoorbeeld registers). Deze werkzaamheden zijn op gebieden als kanker, zeldzame ziekten en statistieken verder gevorderd, en moeten bij de vaststelling van nieuwe normen in aanmerking worden genomen. Veel datasets zijn echter niet geharmoniseerd, wat problemen met de vergelijkbaarheid meebrengt en grensoverschrijdend onderzoek bemoeilijkt. Daarom moeten door middel van uitvoeringshandelingen gedetailleerdere regels worden vastgesteld om een geharmoniseerde verstrekking, codering en registratie van elektronische gezondheidsgegevens te waarborgen. De lidstaten moeten ernaar streven om duurzame economische en sociale voordelen uit Europese elektronische gezondheidsstelsels en -diensten en interoperabele toepassingen te halen, teneinde een hoog vertrouwens- en beveiligingsniveau te bereiken, de continuïteit van de zorg te verbeteren en de toegang tot veilige en kwalitatief hoogwaardige gezondheidszorg te waarborgen.

(62) De Commissie moet de lidstaten ondersteunen bij het opbouwen van capaciteit en doeltreffendheid op het gebied van digitale gezondheidszorgstelsels voor primair en secundair gebruik van elektronische gezondheidsgegevens. De lidstaten moeten worden ondersteund om hun capaciteit te versterken. Activiteiten op het niveau van de Unie, zoals benchmarking en de uitwisseling van beste praktijken, zijn in dit verband relevante maatregelen.

(63) Het gebruik van fondsen moet ook bijdragen tot de verwezenlijking van de doelstellingen van de EHDS. Bij het bepalen van de voorwaarden voor overheidsopdrachten, de oproepen tot het indienen van voorstellen en de toewijzing van middelen van de Unie, met inbegrip van de structuur- en cohesiefondsen, moeten de aanbestedende overheidsdiensten, de nationale bevoegde autoriteiten in de lidstaten, met inbegrip van de autoriteiten voor digitale gezondheidszorg en de instanties voor toegang tot gezondheidsgegevens, alsook de Commissie verwijzen naar de toepasselijke technische specificaties, normen en profielen inzake interoperabiliteit, beveiliging en gegevenskwaliteit, alsook naar andere vereisten die in het kader van deze verordening zijn ontwikkeld.

(64) Bepaalde categorieën elektronische gezondheidsgegevens kunnen bijzonder gevoelig blijven, zelfs wanneer zij in geanonimiseerde vorm en dus niet-persoonsgebonden zijn, zoals reeds specifiek in de datagovernanceverordening is vermeld. Zelfs in situaties waarin gebruik wordt gemaakt van geavanceerde anonimiseringstechnieken, is er nog altijd een risico dat de betrokken persoon opnieuw wordt of in de toekomst geïdentificeerd zal kunnen worden, met gebruikmaking van andere middelen dan die waarvan redelijkerwijs kan worden aangenomen dat zij zullen worden gebruikt. Een dergelijk overblijvend risico doet zich voor in verband met zeldzame ziekten (een levensbedreigende of chronisch invaliderende aandoening die niet meer dan vijf op de tienduizend personen in de Unie treft), waarbij het geringe aantal gevallen de mogelijkheid beperkt om de gepubliceerde gegevens volledig samen te voegen teneinde de privacy van natuurlijke personen te beschermen en tegelijkertijd een passend niveau van granulariteit te handhaven om zinvol te blijven. Dit risico kan gevolgen hebben voor verschillende soorten gezondheidsgegevens, afhankelijk van het niveau van granulariteit, de beschrijving van de kenmerken van de betrokken datasubjecten of het aantal getroffen personen; het kan bijvoorbeeld ook gevolgen hebben voor gegevens in elektronische patiëntendossiers, ziekteregisters, biobanken, door personen gegenereerde gegevens enz., waarbij de identificatiekenmerken breder zijn en waar, in combinatie met andere informatie (bv. in zeer kleine geografische gebieden) of via de technologische ontwikkeling van methoden die op het moment van anonimisering niet beschikbaar waren, de mogelijkheid bestaat dat de betrokken datasubjecten opnieuw worden geïdentificeerd met middelen die verder gaan dan de middelen waarvan redelijkerwijs kan worden aangenomen dat zij zullen worden gebruikt. Het intreden van een dergelijk risico van heridentificatie van natuurlijke personen zou een belangrijk punt van zorg vormen en zou de aanvaarding van het beleid en de regels inzake secundair gebruik waarin deze verordening voorziet, in gevaar kunnen brengen. Bovendien worden aggregatietechnieken minder getest voor niet-persoonsgebonden gegevens die bijvoorbeeld bedrijfsgeheimen bevatten, zoals bij de rapportage over klinische proeven, en kan bij gebrek aan een toereikende internationale beschermingsnorm moeilijker worden opgetreden tegen schendingen van bedrijfsgeheimen buiten de Unie. Daarom blijft er voor deze soorten gezondheidsgegevens een risico op heridentificatie na de anonimisering of aggregatie bestaan, dat redelijkerwijs niet van meet af aan kon worden beperkt. Dit valt onder de criteria van artikel 5, lid 13, van Verordening [...] [datagovernanceverordening, COM(2020) 767 final]. Deze soorten gezondheidsgegevens zouden dus onder de in artikel 5, lid 13, van Verordening [...] [datagovernanceverordening, COM(2020) 767 final] verleende machtiging voor doorgifte aan derde landen vallen. De beschermingsmaatregelen, die in verhouding staan tot het risico van heridentificatie, moeten rekening houden met de specifieke kenmerken van verschillende gegevenscategorieën of van verschillende anonimiserings- of aggregatietechnieken, en zullen nader worden uitgewerkt in de context van de gedelegeerde handeling op grond van de verleende machtiging in artikel 5, lid 13, van Verordening [...] [datagovernanceverordening, COM(2020) 767 final].

(65) Om de consistente toepassing van de onderhavige verordening te bevorderen, moet een Raad voor de Europese ruimte voor gezondheidsgegevens (EHDS-Raad) worden opgericht. De Commissie moet aan de activiteiten van die Raad deelnemen en deze voorzitten. De EHDS-Raad moet bijdragen tot de consistente toepassing van de onderhavige verordening in de hele Unie, onder meer door de lidstaten te helpen bij de coördinatie van het gebruik van elektronische gezondheidsgegevens met het oog op de gezondheidszorg en de certificering, maar ook met betrekking tot het secundaire gebruik van elektronische gezondheidsgegevens. Aangezien op nationaal niveau de autoriteiten voor digitale gezondheid die zich bezighouden met het primaire gebruik van elektronische gezondheidsgegevens kunnen verschillen van de instanties voor toegang tot gezondheidsgegevens die zich bezighouden met het secundaire gebruik van elektronische gezondheidsgegevens, de functies verschillend zijn en er behoefte is aan afzonderlijke samenwerking op elk van deze gebieden, moet de EHDS-Raad subgroepen kunnen oprichten die zich bezighouden met deze twee functies, alsook waar nodig andere subgroepen. Met het oog op een efficiënte werkmethode moeten de autoriteiten voor digitale gezondheid en de instanties voor toegang tot gezondheidsgegevens op nationaal niveau, maar ook op het niveau van de Unie, netwerken opzetten en koppelingen met verschillende andere autoriteiten en instanties tot stand brengen. Dergelijke instanties kunnen gegevensbeschermingsautoriteiten, cyberbeveiligings-, e-ID- en normalisatie-instanties, alsook organen en deskundigengroepen uit hoofde van de Verordeningen [...], [...], [...] en [...] [datagovernanceverordening, dataverordening, AI-verordening en cyberbeveiligingsverordening] omvatten.

(66) Om de grensoverschrijdende infrastructuren voor primair en secundair gebruik van elektronische gezondheidsgegevens te beheren, moet de groep voor gezamenlijke verwerkingsverantwoordelijkheid voor gemachtigde deelnemers worden opgericht (bv. om ervoor te zorgen dat de gegevensbeschermingsregels en de onderhavige verordening voor de in dergelijke infrastructuren verrichte verwerkingswerkzaamheden worden nageleefd).

(67) De doelstellingen van de onderhavige verordening – namelijk natuurlijke personen meer zeggenschap over hun persoonlijke gezondheidsgegevens geven en het vrij verkeer van gezondheidsgegevens ondersteunen door ervoor te zorgen dat die gegevens kunnen worden meegenomen; een echte eengemaakte markt voor digitale gezondheidsdiensten en -producten bevorderen; alsmede zorgen voor een consistent en efficiënt kader voor het hergebruik van de gezondheidsgegevens van natuurlijke personen met het oog op onderzoek, innovatie, beleidsvorming en regelgeving – kunnen niet voldoende door de lidstaten uitsluitend door middel van coördinatiemaatregelen worden bereikt, zoals blijkt uit de evaluatie van de digitale aspecten van Richtlijn 2011/24/EU, maar kunnen beter op het niveau van de Unie worden verwezenlijkt door middel van harmoniseringsmaatregelen voor de rechten van natuurlijke personen met betrekking tot hun elektronische gezondheidsgegevens, de interoperabiliteit van elektronische gezondheidsgegevens en een gemeenschappelijk kader en gemeenschappelijke waarborgen voor het primaire en secundaire gebruik van elektronische gezondheidsgegevens; daarom kan de Unie, overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel gaat de onderhavige verordening niet verder dan nodig is om die doelstellingen te verwezenlijken.

(68) Om ervoor te zorgen dat de EHDS haar doelstellingen verwezenlijkt, moet aan de Commissie de bevoegdheid worden overgedragen om overeenkomstig artikel 290 van het Verdrag betreffende de werking van de Europese Unie handelingen vast te stellen ten aanzien van verschillende bepalingen inzake primair en secundair gebruik van elektronische gezondheidsgegevens. Het is van bijzonder belang dat de Commissie bij haar voorbereidende werkzaamheden tot passende raadpleging overgaat, onder meer op deskundigenniveau, en dat die raadplegingen gebeuren in overeenstemming met de beginselen van het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven0. Met name om te zorgen voor gelijke deelname aan de voorbereiding van gedelegeerde handelingen, ontvangen het Europees Parlement en de Raad alle documenten op hetzelfde tijdstip als de deskundigen van de lidstaten, en hebben hun deskundigen systematisch toegang tot de vergaderingen van de deskundigengroepen van de Commissie die zich bezighouden met de voorbereiding van de gedelegeerde handelingen.

(69) Om eenvormige voorwaarden voor de uitvoering van de onderhavige verordening te waarborgen, moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend. Die bevoegdheden moeten worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad0.

(70) De lidstaten moeten alle nodige maatregelen treffen om ervoor te zorgen dat de bepalingen van de onderhavige verordening worden uitgevoerd, onder meer door te voorzien in doeltreffende, evenredige en afschrikkende sancties bij inbreuken daarop. Voor bepaalde specifieke inbreuken moeten de lidstaten de marges en criteria van deze verordening in aanmerking nemen.

(71) Om te beoordelen of deze verordening haar doelstellingen op doeltreffende en efficiënte wijze bereikt, coherent en nog van belang is en meerwaarde biedt op het niveau van de Unie, moet de Commissie een evaluatie van deze verordening uitvoeren. De Commissie moet 5 jaar na de inwerkingtreding van deze verordening een gedeeltelijke evaluatie van de zelfcertificering van EPD-systemen uitvoeren en 7 jaar na de inwerkingtreding van deze verordening een algemene evaluatie. De Commissie moet na elke evaluatie bij het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s een verslag over haar belangrijkste bevindingen indienen.

(72) Voor een succesvolle grensoverschrijdende implementatie van de EHDS moet het Europees interoperabiliteitskader0 ter waarborging van de juridische, organisatorische, semantische en technische interoperabiliteit als gemeenschappelijke referentie worden beschouwd.

(73) De evaluatie van de digitale aspecten van Richtlijn 2011/24/EU wijst op een beperkte doeltreffendheid van het e-gezondheidsnetwerk, maar ook op een groot potentieel voor EU-werkzaamheden op dit gebied, zoals blijkt uit de werkzaamheden tijdens de pandemie. Daarom zal artikel 14 van de richtlijn bij de onderhavige verordening worden ingetrokken en vervangen, en zal de richtlijn dienovereenkomstig worden gewijzigd.

(74) Overeenkomstig artikel 42 van Verordening (EU) 2018/1725 zijn de Europese Toezichthouder voor gegevensbescherming en het Europees Comité voor gegevensbescherming geraadpleegd, en op […] hebben zij een advies uitgebracht.

(75) De onderhavige verordening mag geen afbreuk doen aan de toepassing van de mededingingsregels, met name niet aan de artikelen 101 en 102 van het Verdrag. De maatregelen van deze verordening mogen niet worden gebruikt om de mededinging te beperken op een wijze die strijdig is met het Verdrag.

(76) Gezien de noodzaak van technische voorbereiding moet deze verordening van toepassing zijn met ingang van [12 maanden na de inwerkingtreding].