Μήνυμα 001
Ανακοίνωση της Επιτροπής - TRIS/(2023) 3385
Οδηγία (ΕE) 2015/1535
Γνωστοποίηση: 2023/0682/FR
Κοινοποίηση σχεδίου κειμένου από κράτος μέλος
Notification – Notification – Notifzierung – Нотификация – Oznámení – Notifikation – Γνωστοποίηση – Notificación – Teavitamine – Ilmoitus – Obavijest – Bejelentés – Notifica – Pranešimas – Paziņojums – Notifika – Kennisgeving – Zawiadomienie – Notificação – Notificare – Oznámenie – Obvestilo – Anmälan – Fógra a thabhairt
Does not open the delays - N'ouvre pas de délai - Kein Fristbeginn - Не се предвижда период на прекъсване - Nezahajuje prodlení - Fristerne indledes ikke - Καμμία έναρξη προθεσμίας - No abre el plazo - Viivituste perioodi ei avata - Määräaika ei ala tästä - Ne otvara razdoblje kašnjenja - Nem nyitja meg a késéseket - Non fa decorrere la mora - Atidėjimai nepradedami - Atlikšanas laikposms nesākas - Ma jiftaħx il-perijodi ta’ dewmien - Geen termijnbegin - Nie otwiera opóźnień - Não inicia o prazo - Nu deschide perioadele de stagnare - Nezačína oneskorenia - Ne uvaja zamud - Inleder ingen frist - Ní osclaíonn sé na moilleanna
MSG: 20233385.EL
1. MSG 001 IND 2023 0682 FR EL 05-12-2023 FR NOTIF
2. France
3A. Ministères économiques et financiers
Direction générale des entreprises
SCIDE/SQUALPI - Pôle Normalisation et réglementation des produits
Bât. Sieyès -Teledoc 143
61, Bd Vincent Auriol
75703 PARIS Cedex 13
3B. Délégation au numérique en santé
Ministère de la Santé et de la Prévention
14 avenue Duquesne
75007 PARIS
4. 2023/0682/FR - S00S - Υγεία, ιατρικός εξοπλισμός
5. Διάταγμα για την τροποποίηση του διατάγματος της 11ης Ιουνίου 2018 σχετικά με την έγκριση του πλαισίου διαπίστευσης των οργανισμών πιστοποίησης και του πλαισίου πιστοποίησης για τη φιλοξενία προσωπικών δεδομένων υγείας
6. Δραστηριότητα φιλοξενίας προσωπικών δεδομένων υγείας σε ψηφιακά μέσα
7.
8. Το παρόν σχέδιο διατάγματος τροποποιεί το πλαίσιο διαπίστευσης για τους οργανισμούς πιστοποίησης και το πλαίσιο πιστοποίησης για τη φιλοξενία προσωπικών δεδομένων υγείας.
Σύμφωνα με τις διατάξεις των άρθρων L.1111-8 και R.1111-10 του κώδικα δημόσιας υγείας, όλοι οι φορείς φιλοξενίας προσωπικών δεδομένων υγείας πρέπει να διαθέτουν πιστοποιητικό συμμόρφωσης που εκδίδεται από οργανισμό πιστοποίησης βάσει πλαισίου πιστοποίησης εγκεκριμένου με απόφαση του Υπουργού Υγείας.
Οι κύριες αλλαγές στο πλαίσιο πιστοποίησης για τη φιλοξενία δεδομένων υγείας έχουν ως στόχο τα εξής:
- Αποσαφήνιση των δραστηριοτήτων για τις οποίες οι φορείς φιλοξενίας έχουν λάβει πιστοποίηση, ιδίως διευκρινίζοντας τον ορισμό της δραστηριότητας διαχείρισης και λειτουργίας των συστημάτων υγείας·
- Βελτίωση της αναγνωσιμότητας των εγγυήσεων που παρέχει ο φορέας φιλοξενίας σε κάθε πάροχο που χρησιμοποιεί τις υπηρεσίες του·
- Αποσαφήνιση των συμβατικών υποχρεώσεων του φορέα φιλοξενίας·
- Ενσωμάτωση των αλλαγών στο ISO 27001 στο πλαίσιο πιστοποίησης για τη φιλοξενία δεδομένων υγείας.
Το αναθεωρημένο πλαίσιο φιλοξενίας δεδομένων υγείας προτείνει επίσης να προστεθούν τέσσερις νέες απαιτήσεις κυριαρχίας δεδομένων, συγκεκριμένα:
- Τον περιορισμό της αποθήκευσης δεδομένων υγείας στην επικράτεια κράτους που αποτελεί μέρος του Ευρωπαϊκού Οικονομικού Χώρου·
Δύο προϋποθέσεις σχετικά με τη διαφάνεια του φορέα φιλοξενίας έναντι των πελατών του:
- Ενημέρωση αυτών για κάθε διαβίβαση ή εξ αποστάσεως πρόσβαση των δεδομένων του πελάτη από περιοχή εκτός του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ), η οποία δεν διασφαλίζει επαρκές επίπεδο προστασίας των δεδομένων κατά την έννοια του άρθρου 45 του ΓΚΠΔ, καθώς και για τα οργανωτικά και τεχνικά μέτρα που εφαρμόζονται για τη ρύθμιση της εν λόγω διαβίβασης·
- Ενημέρωση αυτών για κάθε υπαγωγή σε εξωκοινοτικούς κανονισμούς που θα μπορούσε να ενέχει κίνδυνο πρόσβασης στα δεδομένα από φορέα που βρίσκεται σε χώρα η οποία δεν διασφαλίζει επαρκές επίπεδο προστασίας των δεδομένων κατά την έννοια του άρθρου 45 του ΓΚΠΔ, καθώς και για τα μέτρα που λαμβάνονται για τον μετριασμό του εν λόγω κινδύνου·
Απαίτηση διαφάνειας έναντι των δυνητικών πελατών του: ο φορέας φιλοξενίας πρέπει να δημοσιοποιεί και να τηρεί ενημερωμένες λεπτομερείς πληροφορίες σχετικά με τυχόν διαβιβάσεις δεδομένων που φιλοξενεί σε χώρα εκτός ΕΟΧ και σχετικά με τα μέτρα που λαμβάνονται για τη διασφάλιση της συμμόρφωσης με τον ΓΚΠΔ.
9. Η υποχρεωτική διαδικασία πιστοποίησης για τη φιλοξενία προσωπικών δεδομένων υγείας, η οποία δημιουργήθηκε από το νόμο, έχει ως στόχο να εγγυηθεί στους χρήστες και τους επαγγελματίες του τομέα της υγείας ότι αυτά τα ευαίσθητα δεδομένα κατά την έννοια του ΓΚΠΔ, τα οποία έχουν ανατεθεί ως μέρος της ιατρικής περίθαλψης, είναι ασφαλή.
Το παρόν σχέδιο διατάγματος εγκρίνεται σύμφωνα με τα άρθρα L.1111-8 και R.1111-10 του κώδικα δημόσιας υγείας για την έγκριση αναθεωρημένης έκδοσης: αφενός, το πλαίσιο πιστοποίησης για τη φιλοξενία δεδομένων υγείας και αφετέρου, το πλαίσιο διαπίστευσης για τους οργανισμούς πιστοποίησης, το οποίο εγκρίθηκε αρχικά με το Διάταγμα της 11ης Ιουνίου 2018. Το διάταγμα 2018-137, με το οποίο θεσπίστηκαν οι διατάξεις των άρθρων R. 1111-8-8 επ. του κώδικα δημόσιας υγείας, καθώς και το διάταγμα της 11ης Ιουνίου 2018, κοινοποιήθηκαν αμφότερα στην Ευρωπαϊκή Επιτροπή το 2017.
Το συνολικό σύστημα πιστοποίησης που εφαρμόστηκε το 2018 δεν έχει αλλάξει, με την επικαιροποίηση μόνο ορισμένων σημείων.
Οι μόνες απαιτήσεις που προστίθενται στο πλαίσιο πιστοποίησης αφορούν την κυριαρχία των δεδομένων υγείας και αποσκοπούν στη διασφάλιση της συμμόρφωσης με τον ΓΚΠΔ (το προηγούμενο πλαίσιο εγκρίθηκε πριν από την έναρξη ισχύος του ΓΚΠΔ).
Το σύστημα πιστοποίησης για τη φιλοξενία δεδομένων υγείας πρέπει να παρέχει εγγυήσεις στους ενδιαφερόμενους στον τομέα της υγείας και στον ιατροκοινωνικό τομέα όσον αφορά την προστασία των δεδομένων σε σχέση με την εξωκοινοτική νομοθεσία που θα μπορούσε να ενέχει κίνδυνο αποκάλυψης δεδομένων και να παρέχει εγγυήσεις στα φυσικά πρόσωπα όσον αφορά την αποτελεσματικότητα των δικαιωμάτων τους βάσει του γενικού κανονισμού προστασίας δεδομένων (ΓΚΠΔ).
Το πλαίσιο αποτέλεσε αντικείμενο γνωμοδότησης της Γαλλικής Αρχής Προστασίας Δεδομένων (CNIL) της 13ης Ιουλίου 2023.
Εν αναμονή της έκβασης των συζητήσεων σε ευρωπαϊκό επίπεδο σχετικά με τα μελλοντικά ευρωπαϊκά πλαίσια (EUCS – Ευρωπαϊκό σύστημα πιστοποίησης ασφάλειας στον κυβερνοχώρο για υπηρεσίες Cloud), αποφασίστηκε να μην ευθυγραμμιστεί, μέχρι σήμερα, με τις απαιτήσεις εξωεδαφικής ασυλίας που προβλέπονται από το γαλλικό πλαίσιο που ονομάζεται «SecNumCloud έκδοση 3.2», που εγκρίθηκε από την ANSSI (Γαλλική Υπηρεσία Ασφάλεια Συστημάτων Πληροφοριών).
10. Παραπομπές σε βασικά κείμενα: 2017/0343/F, 2017/0379/F
Τα κείμενα αναφοράς πρέπει να αποσταλούν στο πλαίσιο προηγούμενης κοινοποίησης:
2017/0343/F
2017/0379/F
11. Όχι
12.
13. Όχι
14. Όχι
15. Όχι
16.
Θέματα TBT: Όχι
Θέματα SPS: Όχι
**********
Ευρωπαϊκής Επιτροπής
Σημείο Επαφής οδηγίας (ΕΕ) 2015/1535
Ηλεκτρονικό ταχυδρομείο: grow-dir2015-1535-central@ec.europa.eu