Съобщение 001
Съобщение от Комисията - TRIS/(2023) 3385
Директива (EC) 2015/1535
Hотификация 2023/0682/FR
Нотификация на проект на текст от държава членка
Notification – Notification – Notifzierung – Нотификация – Oznámení – Notifikation – Γνωστοποίηση – Notificación – Teavitamine – Ilmoitus – Obavijest – Bejelentés – Notifica – Pranešimas – Paziņojums – Notifika – Kennisgeving – Zawiadomienie – Notificação – Notificare – Oznámenie – Obvestilo – Anmälan – Fógra a thabhairt
Does not open the delays - N'ouvre pas de délai - Kein Fristbeginn - Не се предвижда период на прекъсване - Nezahajuje prodlení - Fristerne indledes ikke - Καμμία έναρξη προθεσμίας - No abre el plazo - Viivituste perioodi ei avata - Määräaika ei ala tästä - Ne otvara razdoblje kašnjenja - Nem nyitja meg a késéseket - Non fa decorrere la mora - Atidėjimai nepradedami - Atlikšanas laikposms nesākas - Ma jiftaħx il-perijodi ta’ dewmien - Geen termijnbegin - Nie otwiera opóźnień - Não inicia o prazo - Nu deschide perioadele de stagnare - Nezačína oneskorenia - Ne uvaja zamud - Inleder ingen frist - Ní osclaíonn sé na moilleanna
MSG: 20233385.BG
1. MSG 001 IND 2023 0682 FR BG 05-12-2023 FR NOTIF
2. France
3A. Ministères économiques et financiers
Direction générale des entreprises
SCIDE/SQUALPI - Pôle Normalisation et réglementation des produits
Bât. Sieyès -Teledoc 143
61, Bd Vincent Auriol
75703 PARIS Cedex 13
3B. Délégation au numérique en santé
Ministère de la Santé et de la Prévention
14 avenue Duquesne
75007 PARIS
4. 2023/0682/FR - S00S - Здравеопазване, медицински изделия
5. Заповед за изменение на Заповедта от 11 юни 2018 г. за одобряване на рамката за акредитация на сертифициращите органи и на рамката за сертифициране за хостинг на лични здравни данни
6. Дейност по хостинг на лични здравни данни в цифрови медии
7.
8. С този проект на заповед се изменят рамката за акредитация на сертифициращите органи и рамката за сертифициране за хостинг на лични здравни данни.
Съгласно разпоредбите на членове L.1111-8 и R.1111-10 от Кодекса за общественото здраве всички доставчици на услуги за хостинг на лични здравни данни трябва да притежават сертификат за съответствие, издаден от сертифициращ орган въз основа на рамка за сертифициране, одобрена със заповед на министъра на здравеопазването.
Целта на основните промени в рамката за сертифициране за хостинг на здравни данни е:
- изясняване на дейностите, за които доставчиците на услуги за хостинг са получили сертифициране, по-специално чрез уточняване на определението на дейността по администриране и експлоатация на здравни системи;
- подобряване на четливостта на гаранциите, предоставяни от доставчици на услуги за хостинг на всеки субект, използващ неговите услуги;
- изясняване на договорните задължения на доставчиците на услуги за хостинг;
- включване на промените, въведени в стандарт ISO 27001, в сертификационната рамка за хостинг на здравни данни.
С преразгледаната рамка за хостинг на здравни данни се предлага също така да се добавят четири нови изисквания за суверенитет на данните, по-специално:
- ограничаване на съхранението на здравни данни до територията на държава, която е част от Европейското икономическо пространство;
две изисквания, свързани с прозрачността на доставчика на хостинг услуги по отношение на неговите клиенти:
- информирането им за всяко прехвърляне или отдалечен достъп на данните на клиента от територия извън Европейското икономическо пространство (ЕИП), която не гарантира адекватно ниво на защита на данните по смисъла на член 45 от ОРЗД, както и за организационните и техническите мерки, предприети за регулиране на такова прехвърляне;
- информирането им за всяко прилагане на извънобщностни нормативни уредби, което би могло да доведе до риск от достъп до данните от орган, намиращ се в държава, която не гарантира адекватно ниво на защита на данните по смисъла на член 45 от ОРЗД, както и за мерките, предприети за намаляване на този риск;
изискване за прозрачност по отношение на потенциалните му клиенти: доставчикът на услуги за хостинг трябва да направи обществено достояние и да поддържа актуална подробна информация за всяко предаване на данни, които той хоства, към държава извън ЕИП, както и за мерките, предприети за гарантиране на спазването на ОРЗД.
9. Процедурата за задължително сертифициране за хостинг на лични здравни данни, въведена със закон, има за цел да гарантира на потребителите и здравните специалисти, че тези чувствителни данни по смисъла на ОРЗД, предоставени като част от медицинската помощ, са сигурни.
Настоящата проектозаповед се приема в съответствие с членове L.1111-8 и R.1111-10 от Кодекса за общественото здраве, за да се одобри преработена версия: от една страна, рамката за сертифициране на хостинг на здравни данни, а от друга — рамката за акредитация на сертифициращите органи, които първоначално бяха одобрени със заповедта от 11 юни 2018 г. Указ 2018—137, с който се създават разпоредбите на членове R. 1111-8-8 и сл. от Кодекса за общественото здраве, както и заповедта от 11 юни 2018 г., са нотифицирани на Европейската комисия през 2017 г.
Цялостната схема за сертифициране, въведена през 2018 г., не е променена, като само някои точки се актуализират.
Единствените изисквания, добавени към рамката за сертифициране, са свързани със суверенитета на здравните данни и имат за цел да гарантират спазването на ОРЗД (предишната рамка беше одобрена преди влизането в сила на ОРЗД).
Схемата за сертифициране за хостинг на здравни данни трябва да предоставя гаранции на заинтересованите страни в здравния и медико-социалния сектор за защитата на данните по отношение на законодателството извън ЕС, което би могло да доведе до риск от разкриване на данни, и не следва да предоставя гаранции на физическите лица относно ефективността на техните права съгласно Общия регламент относно защитата на данните (ОРЗД).
Рамката беше предмет на становище на френския орган за защита на данните (CNIL) от 13 юли 2023 г.
В очакване на резултатите от обсъжданията на европейско равнище относно бъдещите европейски рамки (EUCS — Европейска схема за сертифициране на киберсигурността за услуги в облак) беше решено към днешна дата тя да не бъде приведена в съответствие с изискванията по отношение на извънтериториалния имунитет, определени във френската рамка, наречена „SecNumCloud версия 3.2“, приета от ANSSI (френската агенция за сигурност на информационните системи).
10. Препратки към основни текстове: 2017/0343/F, 2017/0379/F
Референтните текстове трябва да бъдат изпратени като част от предходна нотификация:
2017/0343/F
2017/0379/F
11. Не
12.
13. Не
14. He
15. He
16.
Аспект OTC: He
Аспект SPS: He
**********
Европейска Комисия
Контактна точка Директива (ЕС) 2015/1535
email: grow-dir2015-1535-central@ec.europa.eu