Viesti 001
Komission tiedonanto - TRIS/(2023) 3385
Direktiivi (EU) 2015/1535
Ilmoitus: 2023/0682/FR
Jäsenvaltion ilmoitus luonnostekstistä
Notification – Notification – Notifzierung – Нотификация – Oznámení – Notifikation – Γνωστοποίηση – Notificación – Teavitamine – Ilmoitus – Obavijest – Bejelentés – Notifica – Pranešimas – Paziņojums – Notifika – Kennisgeving – Zawiadomienie – Notificação – Notificare – Oznámenie – Obvestilo – Anmälan – Fógra a thabhairt
Does not open the delays - N'ouvre pas de délai - Kein Fristbeginn - Не се предвижда период на прекъсване - Nezahajuje prodlení - Fristerne indledes ikke - Καμμία έναρξη προθεσμίας - No abre el plazo - Viivituste perioodi ei avata - Määräaika ei ala tästä - Ne otvara razdoblje kašnjenja - Nem nyitja meg a késéseket - Non fa decorrere la mora - Atidėjimai nepradedami - Atlikšanas laikposms nesākas - Ma jiftaħx il-perijodi ta’ dewmien - Geen termijnbegin - Nie otwiera opóźnień - Não inicia o prazo - Nu deschide perioadele de stagnare - Nezačína oneskorenia - Ne uvaja zamud - Inleder ingen frist - Ní osclaíonn sé na moilleanna
MSG: 20233385.FI
1. MSG 001 IND 2023 0682 FR FI 05-12-2023 FR NOTIF
2. France
3A. Ministères économiques et financiers
Direction générale des entreprises
SCIDE/SQUALPI - Pôle Normalisation et réglementation des produits
Bât. Sieyès -Teledoc 143
61, Bd Vincent Auriol
75703 PARIS Cedex 13
3B. Délégation au numérique en santé
Ministère de la Santé et de la Prévention
14 avenue Duquesne
75007 PARIS
4. 2023/0682/FR - S00S - Terveys, sairaan- ja terveydenhoidon tarvikkeet
5. Määräys sertifiointielinten akkreditointipuitteiden sekä henkilökohtaisten terveystietojen säilytystä koskevien sertifiointipuitteiden hyväksymisestä 11 päivänä kesäkuuta 2018 annetun määräyksen muuttamisesta
6. Henkilökohtaisten terveystietojen digitaalinen säilyttäminen
7.
8. Tällä määräysluonnoksella muutetaan sertifiointielinten akkreditointipuitteita ja henkilökohtaisten terveystietojen säilytystä koskevia sertifiointipuitteita.
Kansanterveyslain L. 1111-8 ja R. 1111-10 §:n säännösten mukaisesti kaikilla henkilökohtaisten terveystietojen säilyttämisestä vastaavilla tahoilla on oltava vaatimustenmukaisuustodistus, jonka sertifiointielin on antanut terveysministeriön määräyksellä hyväksyttyjen sertifiointipuitteiden perusteella.
Terveystietojen säilyttämistä koskeviin sertifiointipuitteisiin tehtävillä merkittävimmillä muutoksilla on tarkoitus
- selventää, mihin toimiin säilyttämisestä vastaavat tahot ovat saaneet sertifioinnin, erityisesti määrittelemällä terveydenhuoltojärjestelmien hallinnointi- ja käyttötoiminta;
- parantaa niiden takeiden luettavuutta, jotka säilyttämisestä vastaava taho antaa kullekin sen palveluja käyttävälle palveluntarjoajalle;
- selventää säilyttämisestä vastaavan tahon sopimusvelvoitteita;
- sisällyttää standardiin ISO 27001 tehdyt muutokset terveystietojen säilyttämistä koskeviin sertifiointipuitteisiin.
Tarkistetuissa terveystietojen säilyttämistä koskevissa puitteissa ehdotetaan myös neljän uuden datasuvereniteettivaatimuksen lisäämistä:
- Terveystietojen säilyttämisen rajoittaminen Euroopan talousalueeseen kuuluvan valtion alueelle;
Kaksi vaatimusta, jotka liittyvät säilyttämisestä vastaavan tahon avoimuuteen suhteessa sen asiakkaisiin:
- Tiedottaminen asiakkaille kaikista asiakkaan tietojen siirroista tai etäkäytöstä sellaiselta Euroopan talousalueen (ETA) ulkopuoliselta alueelta käsin, joka ei takaa tietosuojan riittävää tasoa yleisen tietosuoja-asetuksen 45 artiklassa tarkoitetulla tavalla, sekä organisatorisista ja teknisistä toimenpiteistä, jotka on toteutettu tällaisen siirron sääntelemiseksi;
- Tiedottaminen asiakkaille kaikista yhteisön ulkopuolisten säännösten soveltamisalaan kuuluvista seikoista, jotka voivat aiheuttaa riskin siitä, että sellaisessa maassa sijaitseva elin, joka ei takaa tietosuojan riittävää tasoa yleisen tietosuoja-asetuksen 45 artiklassa tarkoitetulla tavalla, pääsee tietoihin, sekä toimenpiteistä, jotka on toteutettu tämän riskin lieventämiseksi;
Avoimuusvaatimus suhteessa säilyttämisestä vastaavan tahon mahdollisiin asiakkaisiin: säilyttämisestä vastaavan tahon on julkistettava ja pidettävä ajan tasalla yksityiskohtaiset tiedot kaikista säilyttämiensä tietojen siirroista ETA:n ulkopuoliseen maahan sekä toimenpiteistä, joilla varmistetaan yleisen tietosuoja-asetuksen noudattaminen.
9. Lakisääteisellä pakollisella sertifiointimenettelyllä, joka koskee henkilökohtaisten terveystietojen säilyttämistä, on tarkoitus taata käyttäjille ja terveydenhuoltoalan ammattilaisille, että lääketieteellisen hoidon yhteydessä annetut yleisen tietosuoja-asetuksen mukaisesti arkaluonteiset tiedot ovat suojassa.
Tämä määräysluonnos annetaan kansanterveyslain L. 1111-8 ja R. 1111-10 §:n nojalla tarkistetun version hyväksymiseksi seuraavista: yhtäältä terveystietojen säilyttämistä koskevat sertifiointipuitteet ja toisaalta sertifiointielinten akkreditointipuitteet, jotka hyväksyttiin alun perin 11 päivänä kesäkuuta 2018 annetulla määräyksellä. Asetus nro 2018-137, jolla annettiin kansanterveyslain R. 1111-8-8 §:n ja sitä seuraavien pykälien säännökset, sekä 11 päivänä kesäkuuta 2018 annettu määräys annettiin tiedoksi Euroopan komissiolle vuonna 2017.
Vuonna 2018 käyttöön otettua yleistä sertifiointijärjestelmää ei ole muutettu, vaan kyse on vain joidenkin kohtien ajantasaistamisesta.
Ainoat sertifiointipuitteisiin lisätyt vaatimukset liittyvät terveystietojen suvereniteettiin, ja niillä pyritään varmistamaan yleisen tietosuoja-asetuksen noudattaminen (edelliset puitteet hyväksyttiin ennen yleisen tietosuoja-asetuksen voimaantuloa).
Terveystietojen säilyttämistä koskevalla sertifiointijärjestelmällä on annettava terveys- ja sosiaalialan sidosryhmille takeet tietosuojasta suhteessa EU:n ulkopuoliseen lainsäädäntöön, johon voi liittyä tietojen luovuttamisen riski, eikä sillä pitäisi antaa takeita henkilöille heidän yleisen tietosuoja-asetuksen mukaisten oikeuksiensa tehokkuudesta.
Ranskan tietosuojaviranomainen (CNIL) antoi lausunnon puitteista 13 päivänä heinäkuuta 2023.
Tulevista eurooppalaisista puitteista (EUCS – European Cybersecurity Certification Scheme for Cloud Services) käydään keskusteluja Euroopan tasolla, ja ennen kuin niistä saadaan tuloksia, päätettiin, että toistaiseksi ei tehdä yhdenmukaistuksia Ranskan tietojärjestelmien turvallisuusviraston (ANSSI) hyväksymien Ranskan puitteiden ”SecNumCloud version 3.2” ekstraterritoriaalista koskemattomuutta koskevien vaatimusten kanssa.
10. Viittaukset perusteksteihin: 2017/0343/F, 2017/0379/F
Perustekstit on toimitettu seuraavan aiemman ilmoituksen yhteydessä:
2017/0343/F
2017/0379/F
11. Ei
12.
13. Ei
14. Ei
15. Ei
16.
TBT-näkökohta: Ei
SPS-näkökohta: Ei
**********
Euroopan komissio
Yhteysviranomainen direktiivin (EU) 2015/1535
Sähköposti: grow-dir2015-1535-central@ec.europa.eu
