Sporočilo 001
Sporočilo Komisije - TRIS/(2023) 3385
Direktiva (EU) 2015/1535
Obvestilo: 2023/0682/FR
Uradno obvestilo o osnutku besedila države članice
Notification – Notification – Notifzierung – Нотификация – Oznámení – Notifikation – Γνωστοποίηση – Notificación – Teavitamine – Ilmoitus – Obavijest – Bejelentés – Notifica – Pranešimas – Paziņojums – Notifika – Kennisgeving – Zawiadomienie – Notificação – Notificare – Oznámenie – Obvestilo – Anmälan – Fógra a thabhairt
Does not open the delays - N'ouvre pas de délai - Kein Fristbeginn - Не се предвижда период на прекъсване - Nezahajuje prodlení - Fristerne indledes ikke - Καμμία έναρξη προθεσμίας - No abre el plazo - Viivituste perioodi ei avata - Määräaika ei ala tästä - Ne otvara razdoblje kašnjenja - Nem nyitja meg a késéseket - Non fa decorrere la mora - Atidėjimai nepradedami - Atlikšanas laikposms nesākas - Ma jiftaħx il-perijodi ta’ dewmien - Geen termijnbegin - Nie otwiera opóźnień - Não inicia o prazo - Nu deschide perioadele de stagnare - Nezačína oneskorenia - Ne uvaja zamud - Inleder ingen frist - Ní osclaíonn sé na moilleanna
MSG: 20233385.SL
1. MSG 001 IND 2023 0682 FR SL 05-12-2023 FR NOTIF
2. France
3A. Ministères économiques et financiers
Direction générale des entreprises
SCIDE/SQUALPI - Pôle Normalisation et réglementation des produits
Bât. Sieyès -Teledoc 143
61, Bd Vincent Auriol
75703 PARIS Cedex 13
3B. Délégation au numérique en santé
Ministère de la Santé et de la Prévention
14 avenue Duquesne
75007 PARIS
4. 2023/0682/FR - S00S - Zdravje, medicinska oprema
5. Odredba o spremembi odredbe z dne 11. junija 2018 o odobritvi referenčnega akreditacijskega dokumenta za organe za certificiranje in referenčnega certifikacijskega dokumenta za shranjevanje osebnih zdravstvenih podatkov
6. Dejavnost shranjevanja osebnih zdravstvenih podatkov na digitalnih medijih
7.
8. Ta osnutek odredbe spreminja referenčni akreditacijski dokument za organe za certificiranje in referenčni certifikacijski dokument za shranjevanje osebnih zdravstvenih podatkov.
V skladu z določbami členov L.1111-8 in R.1111-10 Zakonika o javnem zdravju morajo imeti vsi ponudniki storitev gostovanja osebnih zdravstvenih podatkov certifikat o skladnosti, ki ga izda organ za certificiranje na podlagi referenčnega certifikacijskega dokumenta, potrjenega z odredbo ministra za zdravje.
Namen glavnih sprememb referenčnega certifikacijskega dokumenta za shranjevanje zdravstvenih podatkov je:
— pojasniti, za katere dejavnosti so ponudniki storitev gostovanja pridobili certifikat, zlasti z opredelitvijo dejavnosti administracije in upravljanja zdravstvenih sistemov,
— izboljšati berljivost jamstev, ki jih ponudnik storitev gostovanja zagotovi vsakemu ponudniku, ki uporablja njegove storitve,
— pojasniti pogodbene obveznosti ponudnika storitev gostovanja,
— vključiti spremembe standarda ISO 27001 v referenčni certifikacijski dokument za shranjevanje zdravstvenih podatkov.
V revidiranem okviru za shranjevanje zdravstvenih podatkov je predlagano tudi, da se dodajo štiri nove zahteve glede podatkovne suverenosti, zlasti:
— omejitev shranjevanja zdravstvenih podatkov na ozemlje države, ki je del Evropskega gospodarskega prostora,
dve zahtevi v zvezi s preglednostjo ponudnika storitev gostovanja v razmerju do njegovih strank:
— obveščanje strank o vsakem prenosu ali oddaljenem dostopu do njihovih podatkov z ozemlja zunaj Evropskega gospodarskega prostora (EGP), kjer ni zagotovljena ustrezna raven varstva podatkov v smislu člena 45 Splošne uredbe o varstvu podatkov, ter o organizacijskih in tehničnih ukrepih, ki se izvajajo pri urejanju takega prenosa,
— obveščanje strank o vseh predpisih zunaj Skupnosti, ki veljajo zanje, na podlagi katerih bi lahko tvegali, da do njihovih podatkov dostopa organ, ki se nahaja v državi, kjer niso zagotovljeni ustrezna raven varstva podatkov v smislu člena 45 Splošne uredbe o varstvu podatkov, ter o ukrepih, sprejetih za zmanjšanje tega tveganja,
zahteva po preglednosti v zvezi s potencialnimi strankami ponudnika storitev gostovanja: ta ponudnik mora objaviti in posodabljati podrobne informacije o vseh prenosih podatkov, ki jih hrani, v državo zunaj EGP in o ukrepih, sprejetih za zagotovitev skladnosti s Splošno uredbo o varstvu podatkov.
9. Namen obveznega postopka potrjevanja za shranjevanje osebnih zdravstvenih podatkov, ki je bil uveden z zakonom, je uporabnikom in zdravstvenim delavcem zagotoviti, da so ti občutljivi podatki v smislu Splošne uredbe o varstvu podatkov, zaupani v okviru zdravstvene oskrbe, varni.
Ta osnutek odredbe se sprejme v skladu s členoma L.1111-8 in R.1111-10 Zakonika o javnem zdravju, da se odobri revidirana različica referenčnega certifikacijskega dokumenta za shranjevanje zdravstvenih podatkov na eni strani ter referenčnega akreditacijskega dokumenta za organe za certificiranje na drugi strani, ki sta bila prvotno odobrena z odredbo z dne 11. junija 2018. Uredba št. 2018-137, s katerim so bile uvedene določbe členov R. 1111-8-8 in naslednjih Zakonika o javnem zdravju, ter odredba z dne 11. junija 2018 sta bili Evropski komisiji priglašeni leta 2017.
Splošna certifikacijska shema, ki se je začela izvajati leta 2018, ni bila spremenjena, ampak je bilo posodobljenih le nekaj točk.
Edine zahteve, dodane v referenčni certifikacijski dokument, se nanašajo na suverenost zdravstvenih podatkov in so namenjene zagotavljanju skladnosti s Splošno uredbo o varstvu podatkov (prejšnji referenčni dokument je bil odobren pred začetkom veljavnosti Splošne uredbe o varstvu podatkov).
Certifikacijska shema za shranjevanje zdravstvenih podatkov mora deležnikom v zdravstvenem in zdravstveno-socialnem sektorju jamčiti varstvo podatkov v primerjavi z zakonodajo zunaj EU, ki bi lahko pomenila tveganje za razkritje podatkov, in posameznikom ne bi smela jamčiti učinkovitosti njihovih pravic v skladu s Splošno uredbo o varstvu podatkov.
Francoski organ za varstvo podatkov (CNIL) je 13. julija 2023 izdal mnenje o referenčnem dokumentu.
V pričakovanju izida razprav na evropski ravni o prihodnjih evropskih referenčnih dokumentih (EUCS – European Cybersecurity Certification Scheme for Cloud Services [evropska certifikacijska shema za kibernetsko varnost storitev v oblaku]) je bilo sklenjeno, da se referenčni dokument za zdaj ne uskladi z zahtevami glede ekstrateritorialne imunitete, določenimi v francoskem referenčnem dokumentu „SecNumCloud version 3.2“ (SecNumCloud, različica 3.2), ki ga je sprejela francoska agencija za varnost informacijskih sistemov (ANSSI).
10. Sklica na osnovna besedila: 2017/0343/F, 2017/0379/F
Referenčna besedila je treba poslati kot del predhodnega uradnega obvestila:
2017/0343/F
2017/0379/F
11. Ne
12.
13. Ne
14. Ne
15. Ne
16.
Vidik TOT: Ne
Vidik SFS: Ne
**********
Evropska komisija
Direktiva o kontaktni točki (EU) 2015/1535
e-naslov: grow-dir2015-1535-central@ec.europa.eu
