Bericht 001
Mededeling van de Commissie - TRIS/(2023) 3385
Richtlijn (EU) 2015/1535
Kennisgeving: 2023/0682/FR
Kennisgeving van een ontwerptekst van een lidstaat
Notification – Notification – Notifzierung – Нотификация – Oznámení – Notifikation – Γνωστοποίηση – Notificación – Teavitamine – Ilmoitus – Obavijest – Bejelentés – Notifica – Pranešimas – Paziņojums – Notifika – Kennisgeving – Zawiadomienie – Notificação – Notificare – Oznámenie – Obvestilo – Anmälan – Fógra a thabhairt
Does not open the delays - N'ouvre pas de délai - Kein Fristbeginn - Не се предвижда период на прекъсване - Nezahajuje prodlení - Fristerne indledes ikke - Καμμία έναρξη προθεσμίας - No abre el plazo - Viivituste perioodi ei avata - Määräaika ei ala tästä - Ne otvara razdoblje kašnjenja - Nem nyitja meg a késéseket - Non fa decorrere la mora - Atidėjimai nepradedami - Atlikšanas laikposms nesākas - Ma jiftaħx il-perijodi ta’ dewmien - Geen termijnbegin - Nie otwiera opóźnień - Não inicia o prazo - Nu deschide perioadele de stagnare - Nezačína oneskorenia - Ne uvaja zamud - Inleder ingen frist - Ní osclaíonn sé na moilleanna
MSG: 20233385.NL
1. MSG 001 IND 2023 0682 FR NL 05-12-2023 FR NOTIF
2. France
3A. Ministères économiques et financiers
Direction générale des entreprises
SCIDE/SQUALPI - Pôle Normalisation et réglementation des produits
Bât. Sieyès -Teledoc 143
61, Bd Vincent Auriol
75703 PARIS Cedex 13
3B. Délégation au numérique en santé
Ministère de la Santé et de la Prévention
14 avenue Duquesne
75007 PARIS
4. 2023/0682/FR - S00S - Gezondheid, medische apparatuur
5. Besluit tot wijziging van het besluit van 11 juni 2018 tot goedkeuring van het accreditatiekader van certificerende instanties en het certificeringskader voor hosting van persoonsgegevens
6. De activiteit van hosting van persoonlijke gezondheidsgegevens op digitale media
7.
8. Dit ontwerpbesluit wijzigt het accreditatiekader voor certificeringsinstanties en het certificeringskader voor hosting van persoonlijke gezondheidsgegevens.
In overeenstemming met het bepaalde in de artikelen L.1111-8 en R.1111-10 van de volksgezondheidswet, moeten alle datahosts met persoonlijke gezondheidsgegevens beschikken over een certificaat van overeenstemming dat is afgegeven door een certificeringsinstelling op basis van een bij besluit van de minister van Volksgezondheid goedgekeurd certificeringskader.
De belangrijkste wijzigingen in het certificeringskader voor hosting van gezondheidsgegevens zijn bedoeld om:
- Te verduidelijken voor welke activiteiten hostingproviders certificering hebben verkregen, met name door specificatie van de definitie van de activiteit van beheer en exploitatie van gezondheidszorgstelsels;
- De leesbaarheid van de door de host verstrekte garanties aan elke aanbieder die gebruik maakt van zijn diensten, te verbeteren;
- De contractuele verplichtingen van de host te verduidelijken;
- Opname van wijzigingen in ISO 27001 in het certificeringskader voor hosting van gezondheidsgegevens.
Er wordt tevens voorgesteld om in het herziene kader voor hosting van gezondheidsgegevens vier nieuwe vereisten inzake gegevenssoevereiniteit toe te voegen, te weten:
- Beperking van de opslag van gezondheidsgegevens tot het grondgebied van een staat die deel uitmaakt van de Europese Economische Ruimte;
Twee vereisten met betrekking tot de transparantie van de host ten opzichte van zijn klanten:
- Hen te informeren over elke overdracht naar of toegang op afstand tot de gegevens van de klant vanuit een gebied buiten de Europese Economische Ruimte (EER) die geen passend niveau van gegevensbescherming in de zin van artikel 45 van de AVG waarborgt, en over de organisatorische en technische maatregelen die zijn genomen om een dergelijke overdracht te reguleren;
- Het aan hen melden van elke onderwerping aan buiten-communautaire regelgeving die een risico zou kunnen inhouden op toegang tot de gegevens door een instantie die gevestigd is in een land dat geen passend niveau van gegevensbescherming in de zin van artikel 45 van de AVG waarborgt, en van de maatregelen die zijn genomen om dat risico te beperken;
Een transparantievereiste ten aanzien van zijn potentiële klanten: de host moet gedetailleerde informatie openbaar maken en up-to-date houden over eventuele doorgifte van door hem gehoste gegevens naar een niet-EER-land en over de maatregelen die zijn genomen om de naleving van de AVG te waarborgen.
9. De verplichte certificeringsprocedure voor hosting van persoonlijke gezondheidsgegevens, die bij wet is ingesteld, is bedoeld om gebruikers en zorgprofessionals te garanderen dat deze gevoelige gegevens in de zin van de AVG, die als onderdeel van medische zorg worden toevertrouwd, veilig zijn.
Dit ontwerpbesluit wordt vastgesteld overeenkomstig de artikelen L.1111-8 en R.1111-10 van de volksgezondheidwet, ter goedkeuring van een herziene versie van enerzijds het certificeringskader voor hosting van gezondheidsgegevens en anderzijds het accreditatiekader voor certificeringsinstanties, dat aanvankelijk werd goedgekeurd bij besluit van 11 juni 2018. Besluit nr. 2018-137, waarbij de bepalingen van de artikelen R. 1111-8-8 e.v. van volksgezondheidswet en het besluit van 11 juni 2018 zijn vastgesteld, zijn in 2017 bij de Europese Commissie aangemeld.
De algemene certificeringsregeling die in 2018 ten uitvoer is gelegd, is niet gewijzigd, er zijn slechts enkele punten bijgewerkt.
De enige vereisten die aan het certificeringskader zijn toegevoegd, hebben betrekking op de soevereiniteit van gezondheidsgegevens en hebben tot doel de naleving van de AVG te waarborgen (het vorige kader is goedgekeurd vóór de inwerkingtreding van de AVG).
De certificeringsregeling voor hosting van gezondheidsgegevens moet belanghebbenden in de gezondheids- en medisch-sociale sector garanties bieden met betrekking tot gegevensbescherming, ten opzichte van niet-EU-wetgeving die een risico van openbaarmaking van gegevens kan vormen, en biedt geen garanties aan personen voor de doeltreffende bescherming van hun rechten uit hoofde van de algemene verordening gegevensbescherming (AVG).
Het kader was het onderwerp van een advies van de Franse gegevensbeschermingsautoriteit (CNIL) van 13 juli 2023.
In afwachting van de resultaten van de besprekingen op Europees niveau over toekomstige Europese kaders (EUCS — Europees systeem voor cyberbeveiligingscertificering voor clouddiensten) werd besloten deze tot op heden niet in overeenstemming te brengen met de vereisten inzake extraterritoriale immuniteit die zijn vastgelegd in het Franse kader „SecNumCloud version 3.2”, dat is goedgekeurd door het ANSSI (het Frans Agentschap voor de beveiliging van informatiesystemen).
10. Verwijzingen naar basisteksten: 2017/0343/F, 2017/0379/F
De referentieteksten zijn in het kader van een eerdere kennisgeving toegezonden:
2017/0343/F
2017/0379/F
11. Nee
12.
13. Nee
14. Nee
15. Nee
16.
TBT-aspect: Nee
SPS-aspect: Nee
**********
Europese Commissie
Contactpunt Richtlijn (EU) 2015/1535
email: grow-dir2015-1535-central@ec.europa.eu
