Meddelelse 001
Kommissionens meddelelse - TRIS/(2023) 3385
Direktiv (EU) 2015/1535
Notifikation: 2023/0682/FR
Notifikation af et udkast fra en medlemsstat
Notification – Notification – Notifzierung – Нотификация – Oznámení – Notifikation – Γνωστοποίηση – Notificación – Teavitamine – Ilmoitus – Obavijest – Bejelentés – Notifica – Pranešimas – Paziņojums – Notifika – Kennisgeving – Zawiadomienie – Notificação – Notificare – Oznámenie – Obvestilo – Anmälan – Fógra a thabhairt
Does not open the delays - N'ouvre pas de délai - Kein Fristbeginn - Не се предвижда период на прекъсване - Nezahajuje prodlení - Fristerne indledes ikke - Καμμία έναρξη προθεσμίας - No abre el plazo - Viivituste perioodi ei avata - Määräaika ei ala tästä - Ne otvara razdoblje kašnjenja - Nem nyitja meg a késéseket - Non fa decorrere la mora - Atidėjimai nepradedami - Atlikšanas laikposms nesākas - Ma jiftaħx il-perijodi ta’ dewmien - Geen termijnbegin - Nie otwiera opóźnień - Não inicia o prazo - Nu deschide perioadele de stagnare - Nezačína oneskorenia - Ne uvaja zamud - Inleder ingen frist - Ní osclaíonn sé na moilleanna
MSG: 20233385.DA
1. MSG 001 IND 2023 0682 FR DA 05-12-2023 FR NOTIF
2. France
3A. Ministères économiques et financiers
Direction générale des entreprises
SCIDE/SQUALPI - Pôle Normalisation et réglementation des produits
Bât. Sieyès -Teledoc 143
61, Bd Vincent Auriol
75703 PARIS Cedex 13
3B. Délégation au numérique en santé
Ministère de la Santé et de la Prévention
14 avenue Duquesne
75007 PARIS
4. 2023/0682/FR - S00S - Sundhed, medicinsk udstyr
5. Bekendtgørelse om ændring af bekendtgørelse af 11. juni 2018 om godkendelse af akkrediteringsrammen for certificeringsorganer og certificeringsrammen for hostingtjenester for personlige sundhedsdata
6. Hostingtjenester for personlige sundhedsdata på digitale medier
7.
8. Dette udkast til bekendtgørelse ændrer akkrediteringsrammen for certificeringsorganer og certificeringsrammen for hostingtjenester for personlige sundhedsdata.
I overensstemmelse med bestemmelserne i artikel L.1111-8 og R.1111-10 i folkesundhedsloven skal alle hostingtjenester for personlige sundhedsdata være i besiddelse af et overensstemmelsescertifikat udstedt af et certificeringsorgan på grundlag af en certificeringsramme, der er godkendt ved sundhedsministerens bekendtgørelse.
De vigtigste ændringer af certificeringsrammen for hostingtjenester for sundhedsdata har til formål at:
- præcisere, hvilke aktiviteter hostingudbydere har opnået certificering for, navnlig ved at præcisere definitionen af administration og drift af sundhedssystemer
- forbedre læsbarheden af de garantier, som hostingudbydere giver til hver udbyder, der bruger tjenesterne
- præcisere hostingudbyderens kontraktlige forpligtelser
- indarbejde ændringer af ISO 27001 i certificeringsrammen for hostingtjenester for sundhedsdata.
I den reviderede ramme for hostingtjenester for sundhedsdata foreslås det endvidere at tilføje fire nye krav til datasuverænitet, nemlig:
- begrænsning af lagringen af sundhedsdata til et område tilhørende en stat, der er en del af Det Europæiske Økonomiske Samarbejdsområde.
To krav vedrørende hostingudbyderens gennemsigtighed over for kunderne:
- kunder skal infomeres om enhver overførsel til eller fjernadgang til kundens data fra et område uden for Det Europæiske Økonomiske Samarbejdsområde (EØS), som ikke sikrer et tilstrækkeligt databeskyttelsesniveau som omhandlet i artikel 45 i den generelle databeskyttelsesforordning, og om de organisatoriske og tekniske foranstaltninger, der er gennemført for at regulere en sådan overførsel
- kunder skal informeres om enhver form for underkastelse af bestemmelser uden for EU, som kan indebære en risiko for adgang til oplysningerne for et organ, der er beliggende i et land, som ikke sikrer et tilstrækkeligt databeskyttelsesniveau som omhandlet i artikel 45 i den generelle databeskyttelsesforordning, og om de foranstaltninger, der er truffet for at afbøde denne risiko.
Et krav om gennemsigtighed over for potentielle kunder: hostingudbyderen skal offentliggøre og ajourføre detaljerede oplysninger om enhver overførsel af data, som vedkommende hoster, til et land uden for EØS, og om de foranstaltninger, der er truffet for at sikre overholdelse af den generelle databeskyttelsesforordning.
9. Den obligatoriske certificeringsprocedure for hostingtjenester for personlige sundhedsdata, der er oprettet ved lov, har til formål at garantere brugere og sundhedspersonale, at disse følsomme oplysninger i henhold til den generelle databeskyttelsesforordning, der er betroet som en del af en medicinsk behandling, er sikre.
Dette udkast til bekendtgørelse vedtages i henhold til artikel L.1111-8 og R.1111-10 i folkesundhedsloven med henblik på godkendelse af en revideret udgave: på den ene side certificeringsrammen for hostingtjenester for sundhedsdata og på den anden side akkrediteringsrammen for certificeringsorganer, som oprindeligt blev godkendt ved bekendtgørelse af 11. juni 2018. Dekret nr. 2018-137, som indførte bestemmelserne i artikel R. 1111-8-8 ff. i folkesundhedsloven samt bekendtgørelsen af 11. juni 2018, blev begge notificeret til Europa-Kommissionen i 2017.
Den samlede certificeringsordning, der blev gennemført i 2018, er ikke blevet ændret, og kun nogle punkter er blevet ajourført.
De eneste krav, der føjes til certificeringsrammen, vedrører sundhedsdatas suverænitet og har til formål at sikre overholdelse af den generelle databeskyttelsesforordning (den tidligere ramme var blevet godkendt før den generelle databeskyttelsesforordnings ikrafttræden).
Certificeringsordningen for hostingtjenester for sundhedsdata skal give de berørte parter i sundhedssektoren og den sociale sektor garantier med hensyn til databeskyttelse i forhold til ikke-EU-lovgivning, der kan indebære en risiko for videregivelse af oplysninger, og indeholder ikke garantier til enkeltpersoner med hensyn til effektiviteten af deres rettigheder i henhold til den generelle forordning om databeskyttelse.
Rammen var genstand for en udtalelse fra den franske databeskyttelsesmyndighed (CNIL) af 13. juli 2023.
I afventning af resultatet af drøftelserne på europæisk plan om fremtidige europæiske rammer (EUCS — European Cybersecurity Certification Scheme for Cloud Services) [Certificeringsordning af cloud-tjenester på EU-niveau] blev det besluttet ikke at tilpasse den til de krav med hensyn til ekstraterritorial immunitet, der er fastsat i den franske ramme kaldet "SecNumCloud version 3.2", som blev vedtaget af ANSSI (det franske agentur for informationssystemers sikkerhed).
10. Henvisninger til grundtekster: 2017/0343/F, 2017/0379/F
Referenceteksterne skal sendes som led i en tidligere notifikation:
2017/0343/F
2017/0379/F
11. Nej
12.
13. Nej
14. Nej
15. Nej
16.
TBT-aspekt: Nej
SPS-aspekt: Nej
**********
Europa-Kommissionen
Kontaktadresse Direktiv (EU) 2015/1535
email: grow-dir2015-1535-central@ec.europa.eu