Mitteilung 001
Mitteilung der Kommission - TRIS/(2023) 3385
Richtlinie (EU) 2015/1535
Notifizierung: 2023/0682/FR
Mitteilung eines Entwurfstextes eines Mitgliedstaats
Notification – Notification – Notifzierung – Нотификация – Oznámení – Notifikation – Γνωστοποίηση – Notificación – Teavitamine – Ilmoitus – Obavijest – Bejelentés – Notifica – Pranešimas – Paziņojums – Notifika – Kennisgeving – Zawiadomienie – Notificação – Notificare – Oznámenie – Obvestilo – Anmälan – Fógra a thabhairt
Does not open the delays - N'ouvre pas de délai - Kein Fristbeginn - Не се предвижда период на прекъсване - Nezahajuje prodlení - Fristerne indledes ikke - Καμμία έναρξη προθεσμίας - No abre el plazo - Viivituste perioodi ei avata - Määräaika ei ala tästä - Ne otvara razdoblje kašnjenja - Nem nyitja meg a késéseket - Non fa decorrere la mora - Atidėjimai nepradedami - Atlikšanas laikposms nesākas - Ma jiftaħx il-perijodi ta’ dewmien - Geen termijnbegin - Nie otwiera opóźnień - Não inicia o prazo - Nu deschide perioadele de stagnare - Nezačína oneskorenia - Ne uvaja zamud - Inleder ingen frist - Ní osclaíonn sé na moilleanna
MSG: 20233385.DE
1. MSG 001 IND 2023 0682 FR DE 05-12-2023 FR NOTIF
2. France
3A. Ministères économiques et financiers
Direction générale des entreprises
SCIDE/SQUALPI - Pôle Normalisation et réglementation des produits
Bât. Sieyès -Teledoc 143
61, Bd Vincent Auriol
75703 PARIS Cedex 13
3B. Délégation au numérique en santé
Ministère de la Santé et de la Prévention
14 avenue Duquesne
75007 PARIS
4. 2023/0682/FR - S00S - Gesundheit, medizinische Geräte
5. Verordnung zur Änderung der Verordnung vom 11. Juni 2018 zur Genehmigung des Akkreditierungsrahmens der Zertifizierungsstellen und des Zertifizierungsrahmens für das Hosting personenbezogener Gesundheitsdaten
6. Die Tätigkeit des Hostings personenbezogener Gesundheitsdaten in digitalen Medien
7.
8. Mit diesem Verordnungsentwurf wird der Akkreditierungsrahmen für Zertifizierungsstellen und der Zertifizierungsrahmen für das Hosting personenbezogener Gesundheitsdaten geändert.
Gemäß den Artikeln L.1111-8 und R.1111-10 des Gesundheitskodex müssen alle Hosts von personenbezogenen Gesundheitsdaten im Besitz einer Konformitätsbescheinigung sein, die von einer Zertifizierungsstelle auf der Grundlage eines auf Anordnung des Gesundheitsministers genehmigten Zertifizierungsrahmens ausgestellt wurde.
Die wichtigsten Änderungen des Zertifizierungsrahmens für das Hosting von Gesundheitsdaten sollen:
- Klarstellung, für welche Tätigkeiten Hosting-Anbieter eine Zertifizierung erhalten haben, insbesondere durch Festlegung der Definition der Tätigkeit der Verwaltung und des Betriebs von Gesundheitssystemen;
- Verbesserung der Lesbarkeit der Gewährleistungen, die der Host jedem Anbieter, der seine Dienste in Anspruch nimmt, gewährt;
- Klärung der vertraglichen Verpflichtungen des Hosts;
- Integration von Änderungen an ISO 27001 in das Zertifizierungs-Framework für das Hosting von Gesundheitsdaten.
Das überarbeitete Rahmenwerk für das Hosting von Gesundheitsdaten schlägt außerdem vor, vier neue Anforderungen an die Datenhoheit hinzuzufügen, insbesondere:
- Beschränkung der Speicherung von Gesundheitsdaten auf das Hoheitsgebiet eines zum Europäischen Wirtschaftsraum gehörenden Staates;
Zwei Anforderungen an die Transparenz des Hosts gegenüber seinen Kunden:
- Sie über jede Übermittlung oder Fernzugriff auf die Daten des Kunden aus einem Gebiet außerhalb des Europäischen Wirtschaftsraums (EWR), das kein angemessenes Datenschutzniveau im Sinne von Artikel 45 DSGVO gewährleistet, sowie über die organisatorischen und technischen Maßnahmen zur Regulierung einer solchen Übermittlung zu informieren;
- Sie darüber zu informieren, dass eine Stelle mit Sitz in einem Land, das kein angemessenes Datenschutzniveau im Sinne von Artikel 45 DSGVO gewährleistet, ein angemessenes Datenschutzniveau im Sinne von Artikel 45 DSGVO gewährleistet, und über die zur Minderung dieses Risikos ergriffenen Maßnahmen;
Erfordernis der Transparenz gegenüber seinen potenziellen Kunden: der Host muss detaillierte Informationen über etwaige Übermittlungen von Daten, die er an ein Nicht-EWR-Land hostet, sowie über die Maßnahmen zur Gewährleistung der Einhaltung der DSGVO veröffentlichen und auf dem neuesten Stand halten.
9. Das gesetzlich vorgeschriebene Zertifizierungsverfahren für das Hosting personenbezogener Gesundheitsdaten soll Nutzern und Angehörigen der Gesundheitsberufe garantieren, dass diese sensiblen Daten im Sinne der DSGVO, die im Rahmen der medizinischen Versorgung anvertraut sind, sicher sind.
Dieser Verordnungsentwurf wird gemäß den Artikeln L.1111-8 und R.1111-10 des Gesundheitskodex angenommen, um eine neu bearbeitete Fassung zu genehmigen: zum einen der Zertifizierungsrahmen für das Hosting von Gesundheitsdaten und zum anderen der Akkreditierungsrahmen für Zertifizierungsstellen, der ursprünglich durch die Verordnung vom 11. Juni 2018 genehmigt wurde. Das Dekret Nr. 2018-137, mit dem die Bestimmungen der Artikel R. 1111-8-8 ff. des Gesundheitskodex sowie der Verordnung vom 11. Juni 2018 geschaffen wurden, wurde der Europäischen Kommission 2017 notifiziert.
Das 2018 eingeführte Gesamtzertifizierungssystem wurde nicht geändert, es wurden nur einige Punkte aktualisiert.
Die einzigen Anforderungen, die dem Zertifizierungsrahmen hinzugefügt werden, betreffen die Souveränität von Gesundheitsdaten und zielen darauf ab, die Einhaltung der DSGVO sicherzustellen (der vorherige Rahmen wurde vor Inkrafttreten der DSGVO genehmigt).
Das Zertifizierungssystem für das Hosting von Gesundheitsdaten muss den Interessenträgern im Gesundheits- und Medico-Sozialsektor Garantien in Bezug auf den Datenschutz gegenüber Nicht-EU-Rechtsvorschriften bieten, die ein Risiko der Datenweitergabe mit sich bringen könnten, und sollte den Einzelnen keine Garantien für die Wirksamkeit ihrer Rechte gemäß der Datenschutz-Grundverordnung (DSGVO) bieten.
Das Rahmenwerk war Gegenstand einer Stellungnahme der französischen Datenschutzbehörde (CNIL) vom 13. Juli 2023.
Bis zum Ergebnis der Beratungen auf europäischer Ebene über künftige europäische Rahmenwerke (EUCS – Europäisches Cybersicherheitszertifizierungssystem für Cloud-Dienste) wurde beschlossen, es bisher nicht an die Anforderungen in Bezug auf die extraterritoriale Immunität anzupassen, die im französischen Rahmen „SecNumCloud Version 3.2“ festgelegt wurden, der von der ANSSI (der französischen Agentur für Sicherheit für Informationssysteme) angenommen wurde.
10. Verweise auf Grundlagentexte: 2017/0343/F, 2017/0379/F
Die Referenztexte sind im Rahmen einer vorherigen Notifizierung zu übermitteln:
2017/0343/F
2017/0379/F
11. Nein
12.
13. Nein
14. Nein
15. Nein
16.
TBT-Aspekt: Nein
SPS-Aspekt: Nein
**********
Europäische Kommission
Allgemeine Kontaktinformationen Richtlinie (EU) 2015/1535
email: grow-dir2015-1535-central@ec.europa.eu
