Mesaj 001
Comunicarea Comisiei - TRIS/(2023) 3385
Directiva (UE) 2015/1535
Notificare: 2023/0682/FR
Notificarea unui proiect de text din partea unui stat membru
Notification – Notification – Notifzierung – Нотификация – Oznámení – Notifikation – Γνωστοποίηση – Notificación – Teavitamine – Ilmoitus – Obavijest – Bejelentés – Notifica – Pranešimas – Paziņojums – Notifika – Kennisgeving – Zawiadomienie – Notificação – Notificare – Oznámenie – Obvestilo – Anmälan – Fógra a thabhairt
Does not open the delays - N'ouvre pas de délai - Kein Fristbeginn - Не се предвижда период на прекъсване - Nezahajuje prodlení - Fristerne indledes ikke - Καμμία έναρξη προθεσμίας - No abre el plazo - Viivituste perioodi ei avata - Määräaika ei ala tästä - Ne otvara razdoblje kašnjenja - Nem nyitja meg a késéseket - Non fa decorrere la mora - Atidėjimai nepradedami - Atlikšanas laikposms nesākas - Ma jiftaħx il-perijodi ta’ dewmien - Geen termijnbegin - Nie otwiera opóźnień - Não inicia o prazo - Nu deschide perioadele de stagnare - Nezačína oneskorenia - Ne uvaja zamud - Inleder ingen frist - Ní osclaíonn sé na moilleanna
MSG: 20233385.RO
1. MSG 001 IND 2023 0682 FR RO 05-12-2023 FR NOTIF
2. France
3A. Ministères économiques et financiers
Direction générale des entreprises
SCIDE/SQUALPI - Pôle Normalisation et réglementation des produits
Bât. Sieyès -Teledoc 143
61, Bd Vincent Auriol
75703 PARIS Cedex 13
3B. Délégation au numérique en santé
Ministère de la Santé et de la Prévention
14 avenue Duquesne
75007 PARIS
4. 2023/0682/FR - S00S - Sănătate, echipamente medicale
5. Ordin de modificare a Ordinului din 11 iunie 2018 pentru aprobarea cadrului de acreditare a organismelor de certificare și a cadrului de certificare pentru găzduirea datelor cu caracter personal privind sănătatea
6. Activitatea de găzduire a datelor cu caracter personal privind sănătatea pe suport digital
7.
8. Prezentul proiect de ordin modifică cadrul de acreditare pentru organismele de certificare și cadrul de certificare pentru găzduirea datelor cu caracter personal privind sănătatea.
În conformitate cu dispozițiile articolelor L.1111-8 și R.1111-10 din Codul sănătății publice, toate gazdele de date cu caracter personal privind sănătatea trebuie să dețină un certificat de conformitate eliberat de un organism de certificare pe baza unui cadru de certificare, aprobat prin ordin al ministrului sănătății.
Principalele modificări ale cadrului de certificare pentru găzduirea datelor privind sănătatea sunt menite:
- să clarifice activitățile pentru care furnizorii de servicii de găzduire au obținut certificarea, în special prin specificarea definiției activității de administrare și operare a sistemelor de sănătate;
- să îmbunătățească lizibilitatea garanțiilor oferite de gazdă fiecărui prestator care utilizează serviciile sale;
- să clarifice obligațiile contractuale ale gazdei;
- să incorporeze modificările aduse ISO 27001 în cadrul de certificare pentru găzduirea datelor privind sănătatea.
Cadrul revizuit de găzduire a datelor privind sănătatea propune, de asemenea, adăugarea a patru noi cerințe privind suveranitatea datelor, în special:
- restricționarea stocării datelor privind sănătatea la teritoriul unui stat care face parte din Spațiul Economic European;
Două cerințe referitoare la transparența gazdei față de clienții săi:
- informarea acestora cu privire la orice transfer sau acces de la distanță al datelor clientului dintr-un teritoriu din afara Spațiului Economic European (SEE) care nu asigură un nivel adecvat de protecție a datelor în sensul articolului 45 din RGPD, precum și cu privire la măsurile organizatorice și tehnice puse în aplicare pentru reglementarea unui astfel de transfer;
- informarea acestora cu privire la orice supunere la reglementări extracomunitare care ar putea implica un risc de acces la date al unui organism situat într-o țară care nu asigură un nivel adecvat de protecție a datelor în sensul articolului 45 din RGPD, precum și cu privire la măsurile luate pentru a atenua acest risc;
O cerință de transparență față de potențialii săi clienți: gazda trebuie să facă publice și să păstreze la zi informații detaliate cu privire la orice transferuri de date pe care le găzduiește către o țară din afara SEE și cu privire la măsurile luate pentru a asigura respectarea RGPD.
9. Procedura obligatorie de certificare pentru găzduirea datelor cu caracter personal privind sănătatea, creată prin lege, are scopul de a garanta utilizatorilor și profesioniștilor din domeniul sănătății că aceste date sensibile în sensul RGPD, încredințate ca parte a asistenței medicale, sunt sigure.
Prezentul proiect de ordin se adoptă în temeiul articolelor L.1111-8 și R.1111-10 din Codul sănătății publice pentru aprobarea unei versiuni revizuite: pe de o parte, cadrul de certificare pentru găzduirea datelor privind sănătatea și, pe de altă parte, cadrul de acreditare pentru organismele de certificare, care au fost aprobate inițial prin Ordinul din 11 iunie 2018. Decretul nr. 2018-137, care a instituit dispozițiile articolelor R. 1111-8-8 și următoarele din Codul sănătății publice, precum și Ordinul din 11 iunie 2018, au fost notificate Comisiei Europene în 2017.
Sistemul global de certificare pus în aplicare în 2018 nu a fost modificat, doar unele puncte fiind actualizate.
Singurele cerințe adăugate cadrului de certificare se referă la suveranitatea datelor privind sănătatea și vizează asigurarea conformității cu RGPD (cadrul anterior fiind aprobat înainte de intrarea în vigoare a RGPD).
Sistemul de certificare pentru găzduirea datelor privind sănătatea trebuie să ofere garanții părților interesate din sectorul sănătății și medico-social în ceea ce privește protecția datelor în raport cu legislația din afara UE care ar putea implica un risc de divulgare a datelor și nu ar trebui să ofere garanții persoanelor fizice cu privire la eficacitatea drepturilor lor în temeiul Regulamentului general privind protecția datelor (RGPD).
Cadrul a făcut obiectul unui aviz emis de Autoritatea franceză pentru protecția datelor (CNIL) din 13 iulie 2023.
În așteptarea rezultatului discuțiilor la nivel european privind viitoarele cadre europene (EUCS – Sistemul european de certificare a securității cibernetice pentru serviciile cloud), s-a decis să nu se alinieze, până în prezent, la cerințele în materie de imunitate extrateritorială stabilite de cadrul francez denumit „SecNumCloud versiunea 3.2”, adoptat de ANSSI (Agenția franceză pentru securitatea sistemelor informatice).
10. Trimiteri la textele de bază: 2017/0343/F, 2017/0379/F
Textele de referință trebuie transmise în cadrul notificării anterioare:
2017/0343/F
2017/0379/F
11. Nu
12.
13. Nu
14. Nu
15. Nu
16.
Aspect TBT: Nu
Aspect SPS: Nu
**********
Comisiei Europene
Punct de contact pentru Directiva (UE) 2015/1535
email: grow-dir2015-1535-central@ec.europa.eu