Forordning om det europæiske sundhedsdataområde (EHDS)

Artikel 1

Genstand og anvendelsesområde

1. Ved denne forordning oprettes det europæiske sundhedsdataområde med fælles regler, standarder og infrastrukturer og en forvaltningsramme med sigte på at lette adgangen til elektroniske sundhedsdata med henblik på primær anvendelse af elektroniske sundhedsdata og sekundær anvendelse af sådanne data.

2. Denne forordning:

3. Denne forordning berører ikke andre EU-retsakter vedrørende adgang til og deling eller sekundær anvendelse af elektroniske sundhedsdata eller EU-krav vedrørende behandling af data i forbindelse med elektroniske sundhedsdata, navnlig Europa-Parlamentets og Rådets forordning (EF) nr. 223/2009 , (EU) nr. 536/2014 , (EU) 2016/679, (EU) 2018/1725, (EU) 2022/868 og (EU) 2023/2854 og Europa-Parlamentets og Rådets direktiv 2002/58/EF og (EU) 2016/943 .

4. Henvisninger i denne forordning til bestemmelserne i forordning (EU) 2016/679 skal også forstås som henvisninger til de tilsvarende bestemmelser i forordning (EU) 2018/1725, hvor det er relevant, for så vidt angår Unionens institutioner, organer, kontorer og agenturer.

5. Denne forordning berører ikke forordning (EU) 2017/745, (EU) 2017/746 og (EU) 2024/1689, for så vidt angår sikkerheden af medicinsk udstyr, medicinsk udstyr til in vitro-diagnostik og systemer for kunstig intelligens (AI), der interagerer med EPJ-systemer.

6. Denne forordning berører ikke EU-ret eller national ret vedrørende behandling af elektroniske sundhedsdata med henblik på indberetning, efterkommelse af anmodninger om adgang til oplysninger eller påvisning eller verifikation af overholdelse af retlige forpligtelser og ej heller EU-retten eller national ret vedrørende indrømmelse af adgang til og videregivelse af officielle dokumenter.

7. Denne forordning berører ikke specifikke bestemmelser i EU-retten eller national ret, der giver adgang til elektroniske sundhedsdata med henblik på viderebehandling af medlemsstaternes offentlige myndigheder, af Unionens institutioner, organer, kontorer og agenturer eller af private enheder, der i henhold til EU-retten eller national ret har fået overdraget en opgave af offentlig interesse med henblik på at udføre en sådan opgave.

8. Denne forordning berører ikke adgang til elektroniske sundhedsdata til sekundær anvendelse, der er aftalt inden for rammerne af kontraktlige eller administrative ordninger mellem offentlige eller private enheder.

9. Denne forordning gælder ikke for behandling af personoplysninger i følgende tilfælde:

Artikel 2

Definitioner

1. I denne forordning forstås ved:

2. I denne forordning forstås desuden ved:

KAPITEL II

PRIMÆR ANVENDELSE

AFDELING 1

Fysiske personers rettigheder i forbindelse med den primære anvendelse af deres personlige elektroniske sundhedsdata og beslægtede bestemmelser

Artikel 3

Fysiske personers ret til adgang til deres personlige elektroniske sundhedsdata

1. Fysiske personer har som minimum ret til at få adgang til personlige elektroniske sundhedsdata, der vedrører dem, og som tilhører de i artikel 14 omhandlede prioriterede kategorier, og som behandles med henblik på levering af sundhedsydelser gennem de i artikel 4 omhandlede tjenester for adgang til elektroniske sundhedsdata. Adgangen gives straks efter, at de personlige elektroniske sundhedsdata er blevet registreret i et EPJ-system, samtidig med at behovet for teknologisk gennemførlighed respekteres, og den gives gratis i et letlæseligt, konsolideret og tilgængeligt format.

2. Fysiske personer eller deres repræsentanter omhandlet i artikel 4, stk. 2, har ret til gratis at downloade en elektronisk kopi af som minimum de elektroniske sundhedsdata i de i artikel 14 omhandlede prioriterede kategorier vedrørende disse fysiske personer gennem de i artikel 4 omhandlede tjenester for adgang til elektroniske sundhedsdata, i det i artikel 15 omhandlede europæiske format for udveksling af elektroniske patientjournaler.

3. I overensstemmelse med artikel 23 i forordning (EU) 2016/679 kan medlemsstaterne begrænse rækkevidden af de i nærværende artikels stk. 1 og 2 fastsatte rettigheder, navnlig når disse begrænsninger er nødvendige for at beskytte fysiske personer på grundlag af patientsikkerhed og etiske overvejelser, ved at forsinke adgangen til deres personlige elektroniske sundhedsdata i en begrænset periode, indtil en sundhedsprofessionel er i stand til at videregive og forklare de berørte fysiske personer oplysninger, der kan have en betydelig indvirkning på deres helbred.

Artikel 4

Tjenester for adgang til elektroniske sundhedsdata for fysiske personer og deres repræsentanter

1. Medlemsstaterne sikrer, at der oprettes en eller flere tjenester for adgang til elektroniske sundhedsdata på nationalt, regionalt eller lokalt plan, hvorved fysiske personer sættes i stand til at få adgang til deres personlige elektroniske sundhedsdata og udøve deres rettigheder, der er fastsat i artikel 3 og 5-10. Sådanne tjenester for adgang til elektroniske sundhedsdata skal være gratis for fysiske personer og deres repræsentanter, der er omhandlet i nærværende artikels stk. 2.

2. Medlemsstaterne sikrer, at en eller flere fuldmagtstjenester etableres som en funktionalitet i forbindelse med tjenester for adgang til elektroniske sundhedsdata, der gør det muligt for:

Medlemsstaterne fastsætter regler for de i første afsnit, litra a), omhandlede tilladelser og værgers og andre retlige repræsentanters handlinger.

3. Den i stk. 2 omhandlede fuldmagtstjeneste udsteder gratis fuldmagter på gennemsigtig og let forståelig vis og elektronisk eller på papir. Fysiske personer og deres repræsentanter skal oplyses om deres fuldmagtsrettigheder, herunder om hvordan de udøver disse rettigheder, og om fuldmagtsprocessen.

Fuldmagtstjenesterne skal sikre en let klagemekanisme for fysiske personer.

4. De i denne artikels stk. 2 omhandlede fuldmagtstjenester skal være interoperable mellem medlemsstaterne. Kommissionen fastsætter ved hjælp af gennemførelsesretsakter de tekniske specifikationer for interoperabiliteten mellem medlemsstaternes fuldmagtstjenester. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

5. Tjenesterne for adgang til elektroniske sundhedsdata og fuldmagtstjenesterne skal være let tilgængelige for personer med handicap, sårbare grupper og personer med lav digital færdighed.

Artikel 5

Fysiske personers ret til at indsætte oplysninger i deres egen EPJ

Fysiske personer eller deres repræsentanter omhandlet i artikel 4, stk. 2, har ret til at indsætte oplysninger i disse fysiske personers EPJ gennem tjenester for adgang til elektroniske sundhedsdata eller applikationer, der er knyttet til disse tjenester som omhandlet i nævnte artikel. Disse oplysninger markeres tydeligt som indsat af den fysiske person eller dennes repræsentant. Fysiske personer eller deres repræsentanter omhandlet i artikel 4, stk. 2, må ikke direkte kunne ændre de elektroniske sundhedsdata og tilhørende oplysninger, der er indsat af sundhedsprofessionelle.

Artikel 6

Fysiske personers ret til berigtigelse

De i artikel 4 omhandlede tjenester for adgang til elektroniske sundhedsdata gør det nemt for fysiske personer online at anmode om berigtigelse af deres personlige elektroniske sundhedsdata i overensstemmelse med artikel 16 i forordning (EU) 2016/679. Hvis det er relevant, verificerer den dataansvarlige nøjagtigheden af oplysningerne i anmodningen med en relevant sundhedsprofessionel.

Medlemsstaternes kan også gøre det muligt for fysiske personer at udøve andre rettigheder online i henhold til kapitel III i forordning (EU) 2016/679 gennem tjenester for adgang til elektroniske sundhedsdata.

Artikel 7

Fysiske personers ret til dataportabilitet

1. Fysiske personer har ret til straks at give adgang til eller til at anmode en sundhedstjenesteyder om at overføre alle eller en del af deres personlige elektroniske sundhedsdata til en anden sundhedstjenesteyder efter eget valg, gratis og uden hindringer fra sundhedstjenesteyderen eller fra fabrikanterne af de systemer, der anvendes af den pågældende sundhedstjenesteyder.

2. Fysiske personer har ret til, hvis sundhedstjenesteyderne befinder sig i forskellige medlemsstater, at anmode om overførsel af deres personlige elektroniske sundhedsdata i det i artikel 15 omhandlede europæiske format for udveksling af elektroniske patientjournaler, gennem den i artikel 23 omhandlede grænseoverskridende infrastruktur. Den modtagende sundhedstjenesteyder skal acceptere sådanne data og skal kunne læse dem.

3. Fysiske personer har ret til at anmode en sundhedstjenesteyder om at overføre en del af deres personlige elektroniske sundhedsdata til en klart identificeret modtager i sektoren for socialsikrings- eller refusionstjenester. En sådan overførsel udføres straks, gratis og uden hindringer fra sundhedstjenesteyderen eller fra fabrikanterne af de systemer, der anvendes af den pågældende sundhedstjenesteyder, og skal udelukkende være en envejsoverførsel.

4. Hvis fysiske personer har downloadet en elektronisk kopi af deres prioriterede kategorier af personlige elektroniske sundhedsdata i overensstemmelse med artikel 3, stk. 2, skal de kunne overføre disse data til sundhedstjenesteydere efter eget valg i det i artikel 15 omhandlede europæiske format for udveksling af elektroniske patientjournaler. Den modtagende sundhedstjenesteyder skal acceptere sådanne data og være i stand til at læse dem, alt efter hvad der er relevant.

Artikel 8

Ret til at begrænse adgang

Fysiske personer har ret til at begrænse adgangen for sundhedsprofessionelle og sundhedstjenesteydere til alle eller dele af deres personlige elektroniske sundhedsdata, jf. artikel 3.

Ved udøvelsen af den i stk. 1 omhandlede ret, gøres fysiske personer opmærksomme på, at en begrænsning af adgangen eventuelt kan påvirke leveringen af sundhedsydelser til dem.

Det faktum, at en fysisk person har begrænset adgangen i henhold til stk. 1, må ikke være synligt for sundhedstjenesteyderne.

Medlemsstaterne fastsætter regler og specifikke garantier vedrørende sådanne begrænsningsmekanismer.

Artikel 9

Ret til at få oplysninger om adgang til data

1. Fysiske personer har ret til at få oplysninger, herunder gennem automatiske meddelelser, om enhver adgang til deres personlige elektroniske sundhedsdata gennem adgangstjenesten for sundhedsprofessionelle i forbindelse med sundhedsydelser, herunder adgang i overensstemmelse med artikel 11, stk. 5.

2. De i stk. 1 omhandlede oplysninger gives gratis og uden forsinkelse gennem tjenester for adgang til elektroniske sundhedsdata og skal være tilgængelige i mindst tre år fra hver dato for adgang til dataene. Disse oplysninger skal som minimum omfatte følgende:

3. Medlemsstater kan fastsætte begrænsninger for den i stk. 1 omhandlede rettighed i særlige tilfælde, hvor der er faktuelle indikationer på, at en videregivelse vil udgøre en risiko for den sundhedsprofessionelles vitale interesser eller rettigheder eller for den fysiske persons behandling.

Artikel 10

Fysiske personers ret til fravalg af primær anvendelse

1. Medlemsstaternes lovgivning kan fastsætte, at fysiske personer har ret til at fravælge adgangen til deres personlige elektroniske sundhedsdata, der er registreret i et EPJ-system, gennem de i artikel 4 og 12 omhandlede tjenester for adgang til elektroniske sundhedsdata. I sådanne tilfælde sikrer medlemsstaterne, at udøvelsen af denne ret er reversibel.

2. Hvis en medlemsstat indfører en rettighed omhandlet i denne artikels stk. 1, fastsætter den regler og specifikke garantier vedrørende fravalgsmekanismen. Medlemsstaterne kan navnlig give en sundhedstjenesteyder eller sundhedsprofessionel mulighed for at få adgang til de personlige elektroniske sundhedsdata i tilfælde, hvor behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser, jf. artikel 9, stk. 2, litra c), i forordning (EU) 2016/679, selv om patienten har udøvet retten til at fravælge primær anvendelse.

Artikel 11

Sundhedsprofessionelles adgang til personlige elektroniske sundhedsdata

1. Hvis sundhedsprofessionelle behandler data i et elektronisk format, skal de have adgang til de relevante og nødvendige personlige elektroniske sundhedsdata for fysiske personer, som de behandler, gennem de i artikel 12 omhandlede adgangstjenester for sundhedsprofessionelle, uanset forsikringsmedlemsstaten og behandlingsmedlemsstaten.

2. Hvis forsikringsmedlemsstaten for den fysiske person, der behandles, og behandlingsmedlemsstaten for en sådan fysisk person er forskellige, gives der grænseoverskridende adgang til de personlige elektroniske sundhedsdata for den fysiske person, der behandles, gennem den i artikel 23 omhandlede grænseoverskridende infrastruktur.

3. Den i denne artikels stk. 1 og 2 omhandlede adgang skal som minimum indeholde de i artikel 14 omhandlede prioriterede kategorier af personlige elektroniske sundhedsdata.

I overensstemmelse med principperne i artikel 5 i forordning (EU) 2016/679 fastsætter medlemsstaterne regler for de kategorier af personlige elektroniske sundhedsdata, der er tilgængelige for forskellige kategorier af sundhedsprofessionelle eller for forskellige sundhedsydelsesopgaver. Sådanne regler skal tage hensyn til muligheden for begrænsninger, der pålægges i henhold til nærværende forordnings artikel 8.

4. I tilfælde af behandling i en anden medlemsstat end forsikringsmedlemsstaten gælder behandlingsmedlemsstatens regler, jf. stk. 3.

5. Hvis en fysisk person har begrænset adgangen til personlige elektroniske sundhedsdata i henhold til artikel 8, må sundhedstjenesteyderen eller den sundhedsprofessionelle ikke oplyses om det indhold af disse data, hvortil adgangen er blevet begrænset.

Uanset artikel 8, stk. 1, kan sundhedstjenesteyderen eller den sundhedsprofessionelle, hvis det er nødvendigt for at beskytte den registreredes vitale interesser, gives adgang til de begrænsede elektroniske sundhedsdata. Sådanne tilfælde skal logges i et klart og forståeligt format og være let tilgængelige for den registrerede.

Medlemsstaterne kan foreskrive yderligere garantier.

Artikel 12

Adgangstjenester for sundhedsprofessionelle

Med henblik på levering af sundhedsydelser sikrer medlemsstaterne, at sundhedsprofessionelle kan få gratis adgang til de i artikel 14 omhandlede prioriterede kategorier af personlige elektroniske sundhedsdata, herunder i forbindelse med grænseoverskridende sundhedsydelser, gennem adgangstjenester for sundhedsprofessionelle.

De tjenester, der er omhandlet i denne artikels stk. 1, må kun være tilgængelige for sundhedsprofessionelle, som er i besiddelse af elektroniske identifikationsmidler, der er anerkendt i henhold til artikel 6 i forordning (EU) nr. 910/2014, eller andre elektroniske identifikationsmidler, der er i overensstemmelse med de i nærværende forordnings artikel 36 omhandlede fælles specifikationer.

Personlige elektroniske sundhedsdata præsenteres på en brugervenlig måde i de elektroniske patientjournaler, så de er nemme at bruge for sundhedsprofessionelle.

Artikel 13

Registrering af personlige elektroniske sundhedsdata

1. Medlemsstaterne sikrer, at sundhedstjenesteydere, når der behandles elektroniske sundhedsdata med henblik på levering af sundhedsydelser, registrerer de relevante personlige elektroniske sundhedsdata, der helt eller delvis falder ind under de i artikel 14 omhandlede prioriterede kategorier af personlige elektroniske sundhedsdata, i et elektronisk format i et EPJ-system.

2. Ved behandling af data i elektronisk format, sikrer sundhedstjenesteyderne, at de personlige elektroniske sundhedsdata for de fysiske personer, som de behandler, ajourføres med oplysninger om sundhedsydelserne.

3. Hvis personlige elektroniske sundhedsdata er registreret i en behandlingsmedlemsstat, som er forskellige fra den berørte fysiske persons forsikringsmedlemsstat, sikrer behandlingsmedlemsstaten, at registreringen foretages under identifikationsdataene for den fysiske person i forsikringsmedlemsstaten.

4. Senest den 26. marts 2027 fastsætter Kommissionen ved hjælp af gennemførelsesretsakter krav til datakvaliteten, herunder i forhold til semantik, ensartethed, konsistens, nøjagtighed og fuldstændighed, for registreringen af personlige elektroniske sundhedsdata i et EPJ-system, alt efter hvad der er relevant. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

Når personlige elektroniske sundhedsdata registreres eller ajourføres, skal de elektroniske patientjournaler identificere den sundhedsprofessionelle og den sundhedstjenesteyder, der foretog en sådan registrering eller ajourføring, og det tidspunkt, hvor en sådan registrering eller ajourføring blev foretaget. Medlemsstaterne kan kræve, at andre aspekter af dataregistreringen skal registreres.

Artikel 14

Prioriterede kategorier af personlige elektroniske sundhedsdata til primær anvendelse

1. Med henblik på dette kapitel er de prioriterede kategorier af personlige elektroniske sundhedsdata, når data behandles i elektronisk format, følgende:

De vigtigste karakteristika for de prioriterede kategorier af personlige elektroniske sundhedsdata til primær anvendelse er fastsat i bilag I.

Medlemsstaterne kan i deres nationale ret fastsætte yderligere kategorier af personlige elektroniske sundhedsdata, der skal tilgås og udveksles til primær anvendelse i henhold til dette kapitel.

Kommissionen kan ved hjælp af gennemførelsesretsakter fastsætte grænseoverskridende specifikationer for de i dette stykkes tredje afsnit omhandlede kategorier af personlige elektroniske sundhedsdata i henhold til artikel 15, stk. 3, og artikel 23, stk. 8. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

2. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 97 for at ændre denne forordning ved at ændre bilag I gennem tilføjelse, ændring eller fjernelse af de vigtigste karakteristika for de i stk. 1 omhandlede prioriterede kategorier af personlige elektroniske sundhedsdata, forudsat at ændringerne har til formål at tilpasse de prioriterede kategorier af personlige elektroniske sundhedsdata til den tekniske udvikling og internationale standarder. Tilføjelser og ændringer af disse karakteristika skal desuden opfylde begge følgende kriterier:

Artikel 15

Europæisk format for udveksling af elektroniske patientjournaler

1. Senest den 26. marts 2027 fastlægger Kommissionen ved hjælp af gennemførelsesretsakter de tekniske specifikationer for de i artikel 14, stk. 1, omhandlede prioriterede kategorier af personlige elektroniske sundhedsdata, der fastsætter det europæiske format for udveksling af elektroniske patientjournaler. Et sådant format skal være almindeligt anvendt, maskinlæsbart og gøre det muligt at overføre personlige elektroniske sundhedsdata mellem forskellige softwareapplikationer, -enheder og sundhedstjenesteydere. Et sådant format skal understøtte overførsel af strukturerede og ustrukturerede sundhedsdata og skal indeholde følgende elementer:

De i dette stykkes første afsnit omhandlede gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

2. Kommissionen sørger ved hjælp af gennemførelsesretsakter for regelmæssige ajourføringer af det europæiske format for udveksling af elektroniske patientjournaler med henblik på at integrere de relevante revisioner af kodningssystemer og nomenklaturer for sundhedsbehandling. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

3. Kommissionen kan ved hjælp af gennemførelsesretsakter fastsætte tekniske specifikationer for at udvide det europæiske format for udveksling af elektroniske patientjournaler til de i artikel 14, stk. 1, tredje afsnit, omhandlede yderligere kategorier af personlige elektroniske sundhedsdata. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

4. Medlemsstaterne sikrer, at de i artikel 14 omhandlede prioriterede kategorier af personlige elektroniske sundhedsdata, er udstedt i det i nærværende artikels stk. 1 omhandlede europæiske format for udveksling af elektroniske patientjournaler. Hvis sådanne data overføres ad automatiseret vej til primær anvendelse, skal den modtagende udbyder acceptere dataenes format og være i stand til at læse dem.

Artikel 16

Identifikationsstyring

1. Hvis fysiske personer anvender de i artikel 4 omhandlede tjenester for adgang til elektroniske sundhedsdata, har disse fysiske personer ret til selv at identificere sig elektronisk ved hjælp af ethvert elektronisk identifikationsmiddel, der er anerkendt i henhold til artikel 6 i forordning (EU) nr. 910/2014. Medlemsstaterne kan indføre supplerende mekanismer for at sikre passende identitetssammenkobling i grænseoverskridende situationer.

2. Kommissionen fastsætter ved hjælp af gennemførelsesretsakter kravene til den interoperable, grænseoverskridende identifikations- og autentifikationsmekanisme for fysiske personer og sundhedsprofessionelle i overensstemmelse med forordning (EU) nr. 910/2014. Denne mekanisme skal gøre det lettere at overføre personlige elektroniske sundhedsdata i en grænseoverskridende sammenhæng. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

3. Kommissionen implementerer i samarbejde med medlemsstaterne de tjenester, der kræves til den i denne artikels stk. 2 omhandlede interoperable, grænseoverskridende identifikations- og autentifikationsmekanisme, på EU-plan som en del af den i artikel 23 omhandlede grænseoverskridende infrastruktur.

4. Medlemsstaternes kompetente myndigheder og Kommissionen implementerer den interoperable grænseoverskridende identifikations- og autentifikationsmekanisme på henholdsvis medlemsstatsplan og EU-plan.

Artikel 17

Krav til teknisk gennemførelse

Kommissionen fastsætter ved hjælp af gennemførelsesretsakter kravene til den tekniske gennemførelse af de rettigheder, der er fastsat i denne afdeling.

Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

Artikel 18

Kompensation for at stille personlige elektroniske sundhedsdata til rådighed

Udbydere, der modtager data i henhold til dette kapitel, er ikke forpligtede til at kompensere sundhedstjenesteyderen for at stille personlige elektroniske sundhedsdata til rådighed. En sundhedstjenesteyder eller en tredjepart kan ikke direkte eller indirekte opkræve et gebyr eller omkostninger eller kræve kompensation for deling af eller adgang til data hos de registrerede.

AFDELING 2

Forvaltning af primær anvendelse

Artikel 19

Digitale sundhedsmyndigheder

1. Hver medlemsstat udpeger en eller flere digitale sundhedsmyndigheder, der er ansvarlige for gennemførelsen og håndhævelsen af dette kapitel på nationalt plan. Medlemsstaten underretter Kommissionen om identiteten på de nationale digitale sundhedsmyndigheder senest den 26. marts 2027. Hvis en medlemsstat udpeger mere end en digital sundhedsmyndighed, eller hvis denne digitale sundhedsmyndighed består af flere organisationer, sender den pågældende medlemsstat Kommissionen en beskrivelse af fordelingen af opgaver mellem disse forskellige myndigheder eller organisationer. Hvis en medlemsstat udpeger flere digitale sundhedsmyndigheder, udpeger den én digital sundhedsmyndighed til at fungere som koordinator. Kommissionen gør disse oplysninger offentligt tilgængelige.

2. Hver digital sundhedsmyndighed har følgende opgaver og beføjelser:

3. Hver medlemsstat sikrer, at hver digital sundhedsmyndighed råder over de menneskelige, tekniske og økonomiske ressourcer, lokaler og infrastrukturer, der er nødvendige for, at de effektivt kan udføre deres opgaver og udøve deres beføjelser.

4. Under udførelsen af sine opgaver undgår hver digital sundhedsmyndighed alle interessekonflikter. Hver af den digitale sundhedsmyndigheds ansatte handler i offentlighedens interesse og uafhængigt.

5. Under udførelsen af deres opgaver samarbejder de relevante digitale sundhedsmyndigheder aktivt med og hører relevante repræsentanter for interessenter, herunder patientrepræsentanter, repræsentanter for sundhedstjenesteydere og sundhedsprofessionelle, herunder sammenslutninger af sundhedsprofessionelle, samt forbrugerorganisationer og brancheforeninger.

Artikel 20

De digitale sundhedsmyndigheders indberetning

Digitale sundhedsmyndigheder, der er udpeget i henhold til artikel 19, udarbejder hvert andet år en aktivitetsrapport, der skal indeholde en samlet oversigt over deres aktiviteter. Hvis en medlemsstat udpeger mere end én digital sundhedsmyndighed, er en af dem ansvarlig for udarbejdelsen af rapporten og anmoder i den forbindelse de andre digitale sundhedsmyndigheder om de nødvendige oplysninger. Denne aktivitetsrapport skal følge en struktur, der er aftalt på EU-plan i udvalget for det europæiske sundhedsdataområde omhandlet i artikel 92. Denne aktivitetsrapport skal som minimum indeholde oplysninger om:

Artikel 21

Ret til at indgive klage til en digital sundhedsmyndighed

1. Uden at det berører andre administrative klageadgange eller adgang til retsmidler, har fysiske og juridiske personer ret til at indgive en klage vedrørende bestemmelserne i dette kapitel individuelt eller, hvor det er relevant, kollektivt til den kompetente digitale sundhedsmyndighed, forudsat at deres rettigheder eller interesser påvirkes negativt.

2. Hvis klagen vedrører fysiske personers rettigheder i henhold til denne forordnings artikel 3 og 5-10, overfører den digitale sundhedsmyndighed klagen til de kompetente tilsynsmyndigheder i henhold til forordning (EU) 2016/679. Den digitale sundhedsmyndighed videregiver de nødvendige oplysninger, den har til rådighed, til den kompetente tilsynsmyndighed i henhold til forordning (EU) 2016/679 med henblik på at lette vurderingen og undersøgelsen af klagen.

3. Den kompetente digitale sundhedsmyndighed, som klagen er indgivet til, underretter i overensstemmelse med national ret klageren om fremskridt i behandlingen klagen, om den trufne afgørelse vedrørende klagen, om en eventuel henvisning af klagen til den kompetente tilsynsmyndighed i henhold til forordning (EU) 2016/679 og, i tilfælde af en sådan henvisning, om, at denne tilsynsmyndighed fra dette tidspunkt er det eneste kontaktpunkt for klageren i den pågældende sag.

4. Digitale sundhedsmyndigheder i de pågældende medlemsstater samarbejder om uden unødigt ophold at behandle og løse klager vedrørende grænseoverskridende udveksling af og adgang til personlige elektroniske sundhedsdata, herunder ved at udveksle alle relevante oplysninger ad elektronisk vej.

5. Digitale sundhedsmyndigheder skal gøre det lettere at indgive klager og stille let tilgængelige værktøjer til indgivelse af klager til rådighed.

Artikel 22

Forholdet til tilsynsmyndighederne i henhold til forordning (EU) 2016/679

Den eller de tilsynsmyndigheder, der er ansvarlige for at overvåge og håndhæve anvendelsen af forordning (EU) 2016/679, er også ansvarlige for at overvåge og håndhæve anvendelsen af nærværende forordnings artikel 3 og 5-10. De relevante bestemmelser i forordning (EU) 2016/679 finder tilsvarende anvendelse. Tilsynsmyndigheder har beføjelse til at pålægge administrative bøder op til det beløb, der er omhandlet i artikel 83, stk. 5, i forordning (EU) 2016/679.

De i denne artikels stk. 1 omhandlede tilsynsmyndigheder og de i artikel 19 omhandlede digitale sundhedsmyndigheder samarbejder, hvor det er relevant, om håndhævelsen af denne forordning inden for rammerne af deres respektive beføjelser.

AFDELING 3

Grænseoverskridende infrastruktur til primær anvendelse af personlige elektroniske sundhedsdata

Artikel 23

MyHealth@EU

1. Kommissionen opretter en central interoperabilitetsplatform for digital sundhed (»MyHealth@EU«) med henblik på at levere tjenester til at støtte og lette udvekslingen af personlige elektroniske sundhedsdata mellem medlemsstaternes nationale kontaktpunkter for digital sundhed.

2. Hver medlemsstat udpeger et nationalt kontaktpunkt for digital sundhed som en organisatorisk og teknisk portal for levering af tjenester i forbindelse med grænseoverskridende udveksling af personlige elektroniske sundhedsdata i forbindelse med primær anvendelse. Hvert nationalt kontaktpunkt for digital sundhed skal være forbundet med alle andre nationale kontaktpunkter for digital sundhed i de øvrige medlemsstater og til den centrale interoperabilitetsplatform for digital sundhed i den grænseoverskridende infrastruktur MyHealth@EU. Hvis et nationalt kontaktpunkt for digital sundhed er en enhed bestående af flere organisationer med ansvar for gennemførelsen af forskellige tjenester, sender den pågældende medlemsstat Kommissionen en beskrivelse af fordelingen af opgaver mellem organisationerne. Hver medlemsstat underretter Kommissionen om benævnelsen på det nationale kontaktpunkt for digital sundhed senest den 26. marts 2027. Det nationale kontaktpunkt for digital sundhed kan udpeges inden for den i artikel 19 omhandlede digitale sundhedsmyndighed. Medlemsstaterne underretter Kommissionen om eventuel senere udskiftning af disse nationale kontaktpunkter for digital sundhed. Kommissionen og medlemsstaterne gør disse oplysninger offentligt tilgængelige.

3. Hvert nationalt kontaktpunkt for digital sundhed skal muliggøre udveksling af de i artikel 14, stk. 1, omhandlede personlige elektroniske sundhedsdata med nationale kontaktpunkter for digital sundhed i andre medlemsstater gennem MyHealth@EU. Denne udveksling baseres på det europæiske format for udveksling af elektroniske patientjournaler.

Hvis medlemsstaterne fastsætter yderligere kategorier af personlige elektroniske sundhedsdata i henhold til artikel 14, stk. 1, tredje afsnit, skal det nationale kontaktpunkt for digital sundhed muliggøre udveksling af de i artikel 14, stk. 1, tredje afsnit, omhandlede yderligere kategorier af personlige elektroniske sundhedsdata, for så vidt som den pågældende medlemsstat har fastsat, at disse yderligere kategorier af personlige elektroniske sundhedsdata skal kunne tilgås og udveksles i overensstemmelse med artikel 14, stk. 1, tredje afsnit.

4. Senest den 26. marts 2027 vedtager Kommissionen ved hjælp af gennemførelsesretsakter de nødvendige foranstaltninger til den tekniske udvikling af MyHealth@EU, detaljerede regler vedrørende sikkerhed, fortrolighed og beskyttelse af personlige elektroniske sundhedsdata og de betingelser for overensstemmelseskontroller, der er nødvendige for at tilslutte sig og forblive forbundet med MyHealth@EU. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

5. Medlemsstaterne sikrer, at alle sundhedstjenesteydere forbindes med deres nationale kontaktpunkter for digital sundhed. Medlemsstaterne sikrer, at forbundne sundhedstjenesteydere er i stand til at foretage tovejsudveksling af elektroniske sundhedsdata med det nationale kontaktpunkt for digital sundhed.

6. Medlemsstaterne sikrer, at apoteker, der opererer på deres område, herunder onlineapoteker, er i stand til at udlevere elektroniske recepter udstedt i andre medlemsstater på de betingelser, der er fastsat i artikel 11 i direktiv 2011/24/EU.

Apoteker har adgang til og accepterer elektroniske recepter, som de modtager fra andre medlemsstater, gennem MyHealth@EU, forudsat at betingelserne fastlagt i artikel 11 i direktiv 2011/24/EU er opfyldt.

Efter udlevering af lægemidler på grundlag af en elektronisk recept fra en anden medlemsstat indberetter det pågældende apotek via MyHealth@EU en sådan udlevering til det nationale kontaktpunkt for digital sundhed i den medlemsstat, hvor recepten blev udstedt.

7. De nationale kontaktpunkter for digital sundhed fungerer som fælles dataansvarlige for de personlige elektroniske sundhedsdata, der kommunikeres gennem MyHealth@EU for de behandlingsaktiviteter, som de er involveret i. Kommissionen fungerer som databehandler.

8. Kommissionen fastsætter ved hjælp af gennemførelsesretsakter regler vedrørende kravene til cybersikkerhed, teknisk interoperabilitet, semantisk interoperabilitet, drift og serviceforvaltning i forbindelse med den i denne artikels stk. 7 omhandlede databehandlers behandling og dennes ansvar over for de dataansvarlige i overensstemmelse med kapitel IV i forordning (EU) 2016/679. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

9. De nationale kontaktpunkter for digital sundhed skal opfylde betingelserne for at tilslutte sig og forblive forbundet til MyHealth@EU som fastsat i de i stk. 4 omhandlede gennemførelsesretsakter. Kommissionen kontrollerer ved hjælp af overensstemmelseskontroller, at de nationale kontaktpunkter for digital sundhed overholder disse betingelser.

Artikel 24

Supplerende grænseoverskridende digitale sundhedstjenester og -infrastrukturer

1. Medlemsstaterne kan via MyHealth@EU tilbyde supplerende tjenester, der letter telemedicin, mobil sundhed, fysiske personers adgang til eksisterende oversættelser af deres sundhedsdata, udveksling eller kontrol af sundhedsrelaterede certifikater, herunder vaccinationskorttjenester, der understøtter folkesundheden og overvågning af folkesundheden eller digitale sundhedssystemer, tjenester og interoperable applikationer, med henblik på at opnå et højt niveau af tillid og sikkerhed, øge kontinuiteten i behandlingen og sikre adgang til sikre sundhedsydelser af høj kvalitet. Kommissionen fastsætter ved hjælp af gennemførelsesretsakter de tekniske aspekter af leveringen af sådanne supplerende tjenester. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

2. Kommissionen og medlemsstaterne kan lette udvekslingen af personlige elektroniske sundhedsdata med andre infrastrukturer såsom det kliniske patientstyringssystem eller andre tjenester eller infrastrukturer på sundheds-, pleje- eller socialsikringsområdet, som kan blive autoriserede deltagere i MyHealth@EU. Kommissionen fastsætter ved hjælp af gennemførelsesretsakter de tekniske aspekter af sådanne udvekslinger. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren jf. artikel 98, stk. 2.

Tilslutningen og afbrydelsen af en anden infrastruktur til eller fra den centrale platform for digital sundhed underlægges en afgørelse vedtaget af Kommissionen ved hjælp af en gennemførelsesretsakt på grundlag af resultatet af overensstemmelseskontrollerne af de tekniske aspekter af de i dette stykkes første afsnit omhandlede udvekslinger. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

3. Et nationalt kontaktpunkt for digital sundhed i et tredjeland eller et system, der er etableret på internationalt plan af en international organisation, kan blive autoriseret deltager i MyHealth@EU, forudsat at det opfylder de i artikel 23 omhandlede krav i MyHealth@EU med henblik på udveksling af personlige elektroniske sundhedsdata, at overførslen som følge tilslutningen til MyHealth@EU er i overensstemmelse med reglerne i kapitel V i forordning (EU) 2016/679, og at kravene vedrørende retlige, organisatoriske, operationelle, semantiske, tekniske og cybersikkerhedsrelaterede foranstaltninger svarer til dem, der gælder for medlemsstaterne i forbindelse med driften af MyHealth@EU. Disse krav kontrolleres af Kommissionen ved hjælp af overensstemmelseskontroller.

På grundlag af resultatet af overensstemmelseskontrollerne omhandlet i dette stykkes første afsnit kan Kommissionen ved hjælp af gennemførelsesretsakter beslutte at tilslutte eller at afbryde det nationale kontaktpunkt for digital sundhed i tredjelandet eller det system, der er etableret på internationalt plan af en international organisation, alt efter hvad der er relevant, til MyHealth@EU. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

Kommissionen udarbejder og ajourfører en liste over nationale kontaktpunkter for digital sundhed i tredjelande eller systemer, der er etableret på internationalt plan af internationale organisationer, og som er forbundet til MyHealth@EU i henhold til dette stykke, og gør denne liste offentligt tilgængelig.

KAPITEL III

EPJ-SYSTEMER OG WELLNESSAPPLIKATIONER

AFDELING 1

Anvendelsesområde og almindelige bestemmelser om EPJ-systemer

Artikel 25

Harmoniserede softwarekomponenter til EPJ-systemer

1. EPJ-systemer skal omfatte en europæisk interoperabilitetssoftwarekomponent for EPJ-systemer og en europæisk logningssoftwarekomponent for EPJ-systemer (de »harmoniserede softwarekomponenter til EPJ-systemer«) i overensstemmelse med bestemmelserne fastlagt i dette kapitel.

2. Dette kapitel finder ikke anvendelse på generel software, der anvendes i et sundhedsmiljø.

Artikel 26

Bringe i omsætning og ibrugtagning

1. EPJ-systemer må kun bringes i omsætning eller ibrugtages, hvis de opfylder bestemmelserne fastlagt i dette kapitel.

2. EPJ-systemer, der fremstilles og anvendes i sundhedsinstitutioner, der er etableret i Unionen, samt EPJ-systemer, der tilbydes som en tjeneste som defineret i artikel 1, stk. 1, litra b), i Europa-Parlamentets og Rådets direktiv (EU) 2015/1535 til en fysisk eller juridisk person, der er etableret i Unionen, anses for at være taget i brug.

3. Medlemsstaterne må ikke forbyde eller begrænse, at EPJ-systemer, som overholder denne forordning, bringes i omsætning, af hensyn til aspekter vedrørende harmoniserede softwarekomponenter i EPJ-systemer, der er omfattet af denne forordning.

Artikel 27

Forholdet til EU-retten, der regulerer medicinsk udstyr, medicinsk udstyr til in vitro-diagnostik og AI-systemer

1. Fabrikanter af medicinsk udstyr eller medicinsk udstyr til in vitro-diagnostik, som defineret i henholdsvis artikel 2, nr. 1), i forordning (EU) 2017/745 og artikel 2, nr. 2), i forordning (EU) 2017/746, der hævder, at det pågældende medicinske udstyr eller medicinske udstyr til in vitro-diagnostik er interoperabelt med de harmoniserede softwarekomponenter i EPJ-systemer, skal dokumentere overensstemmelse med de væsentlige krav til den europæiske interoperabilitetssoftwarekomponent for EPJ-systemer og den europæiske logningssoftwarekomponent for EPJ-systemer, der er fastsat i afsnit 2 i bilag II til nærværende forordning. Nærværende forordnings artikel 36 finder anvendelse på dette medicinske udstyr og medicinske udstyr til in vitro-diagnostik.

2. Udbydere af AI-systemer, der anses for at være højrisikosystemer i overensstemmelse med artikel 6 i forordning (EU) 2024/1689 (»højrisiko-AI-system«), og som ikke falder ind under anvendelsesområdet for forordning (EU) 2017/745 eller (EU) 2017/746, og som hævder, at disse højrisiko-AI-systemer er interoperable med de harmoniserede softwarekomponenter i EPJ-systemer, dokumentere overensstemmelse med de væsentlige krav til den europæiske interoperabilitetssoftwarekomponent for EPJ-systemer og den europæiske logningssoftwarekomponent for EPJ-systemer, som fastsat i afsnit 2 i bilag II til nærværende forordning. Nærværende forordnings artikel 36 finder anvendelse på disse højrisiko-AI-systemer.

Artikel 28

Anprisninger

I forbindelse med oplysningsskemaet, brugsanvisningen eller andre oplysninger, der ledsager EPJ-systemer, og i reklamer for EPJ-systemer er det forbudt at anvende tekst, navne, varemærker, billeder og figurer eller andre tegn, der kan vildlede den professionelle bruger som defineret i artikel 3, nr. 8), i Europa-Parlamentets og Rådets forordning (EU) 2018/1807 med hensyn til deres erklærede formål, interoperabilitet og sikkerhed ved at:

Artikel 29

Indkøb, refusion og finansiering

Medlemsstaterne kan opretholde eller fastsætte specifikke regler for indkøb eller finansiering af eller refusion vedrørende EPJ-systemer i forbindelse med organisering, levering eller finansiering af sundhedsydelser, forudsat at sådanne regler er i overensstemmelse med EU-retten og ikke påvirker EPJ-systemernes harmoniserede softwarekomponenters funktion eller overensstemmelse.

AFDELING 2

Erhvervsdrivendes forpligtelser med hensyn til EPJ-systemer

Artikel 30

Forpligtelser for fabrikanter af EPJ-systemer

1. Fabrikanter af EPJ-systemer:

2. Fabrikanter af EPJ-systemer sikrer, at der findes procedurer til sikring af, at designet, udviklingen og ibrugtagningen af de harmoniserede softwarekomponenter af et EPJ-system fortsat er i overensstemmelse med de væsentlige krav fastlagt i bilag II og de i artikel 36 omhandlede fælles specifikationer. Ændringer i EPJ-systemets design eller egenskaber med hensyn til de harmoniserede softwarekomponenter af et EPJ-system skal tages behørigt i betragtning og afspejles i den tekniske dokumentation.

3. Fabrikanter af EPJ-systemer opbevarer den i artikel 37 omhandlede tekniske dokumentation og den i artikel 39 omhandlede EU-overensstemmelseserklæring i 10 år efter, at det EPJ-system, der er omfattet af EU-overensstemmelseserklæringen, er blevet bragt i omsætning.

Efter en begrundet anmodning stiller fabrikanter af EPJ-systemer kildekoden eller den programmerede logik, som indgår i den tekniske dokumentation, til rådighed for de relevante myndigheder, hvis denne kildekode eller programmerede logik er nødvendig for, at disse myndigheder kan kontrollere overholdelsen af de væsentlige krav fastlagt i bilag II.

4. En fabrikant af EPJ-systemer, der er etableret uden for Unionen, sikrer, at dennes bemyndigede repræsentant har den nødvendige dokumentation let tilgængelig med henblik på at kunne udføre de i artikel 31, stk. 2, omhandlede opgaver.

5. Efter en begrundet anmodning fra en markedsovervågningsmyndighed giver fabrikanter af EPJ-systemer denne myndighed al den information og dokumentation i papirform eller elektronisk form, som er nødvendig for at dokumentere, at EPJ-systemet er i overensstemmelse med de væsentlige krav fastlagt i bilag II og de i artikel 36 omhandlede fælles specifikationer, på et for denne markedsovervågningsmyndighed letforståeligt sprog. Fabrikanterne af EPJ-systemer skal, hvis markedsovervågningsmyndigheden anmoder herom, samarbejde med den om eventuelle foranstaltninger, der er truffet for at fjerne de risici, der stammer fra et EPJ-system, som de har bragt i omsætning eller taget i brug.

Artikel 31

Bemyndigede repræsentanter

1. Før et EPJ-system gøres tilgængeligt på EU-markedet, udpeger en fabrikant af et EPJ-system, der er etableret uden for Unionen, ved skriftlig fuldmagt en bemyndiget repræsentant, der er etableret i Unionen.

2. En bemyndiget repræsentant udfører de opgaver, der er fastsat i den fuldmagt, denne har aftalt med fabrikanten. Fuldmagten skal som minimum sætte den bemyndigede repræsentant i stand til:

3. I tilfælde af udskiftning af den bemyndigede repræsentant skal den nærmere ordning for en sådan udskiftning mindst omfatte følgende:

4. Når fabrikanten er etableret uden for Unionen og ikke har overholdt de i artikel 30 fastsatte forpligtelser, er den bemyndigede repræsentant solidarisk ansvarlig for manglende overholdelse af denne forordning på samme grundlag som fabrikanten.

Artikel 32

Importørernes forpligtelser

1. Importører må kun bringe EPJ-systemer i omsætning på EU-markedet, hvis de er i overensstemmelse med de væsentlige krav fastlagt i bilag II samt de i artikel 36 omhandlede fælles specifikationer.

2. Inden et EPJ-system gøres tilgængelig på markedet, kontrollerer importørerne, at:

3. Importørerne angiver deres navn, registrerede firmanavn eller registrerede varemærke, postadresse, websted, e-mailadresse eller andre digitale kontaktoplysninger, hvorigennem de kan kontaktes, i et dokument, der ledsager EPJ-systemet. Kontaktoplysningerne skal angive ét enkelt sted, hvor fabrikanten kan kontaktes, og være på et sprog, der let kan forstås af brugere og markedsovervågningsmyndigheder. Importørerne sikrer, at et eventuelt yderligere mærke ikke skjuler eller tilslører nogen af de oplysninger, som fabrikanten har angivet, og som er anført på et eventuelt oprindeligt mærke, som leveres til EPJ-systemet.

4. Importørerne sikrer, at EPJ-systemet ikke ændres på en sådan måde, at dets overensstemmelse med bilag II og med eventuelle krav vedtaget i henhold til artikel 42 bringes i fare, mens et EPJ-system er under deres ansvar.

5. Hvis en importør finder eller har grund til at tro, at et EPJ-system ikke eller ikke længere er i overensstemmelse med de væsentlige krav fastlagt i bilag II og med eventuelle krav vedtaget i henhold til artikel 42, må vedkommende først gøre det pågældende EPJ-system tilgængeligt på markedet, efter at det er blevet bragt i overensstemmelse, eller, hvis det pågældende EPJ-system allerede var bragt i omsætning, tilbagekalde eller tilbagetrække det. I tilfælde af en sådan tilbagekaldelse eller tilbagetrækning underretter importøren uden unødigt ophold fabrikanten af et sådant EPJ-system, brugerne og markedsovervågningsmyndighederne i den medlemsstat, hvor EPJ-systemet er gjort tilgængeligt på markedet, om en sådan tilbagekaldelse eller tilbagetrækning og giver nærmere oplysninger om navnlig den manglende overensstemmelse og om eventuelle trufne korrigerende foranstaltninger.

Hvis en importør mener eller har grund til at tro, at et EPJ-system udgør en risiko for fysiske personers sundhed eller sikkerhed, underretter den pågældende uden unødigt ophold markedsovervågningsmyndighederne i den medlemsstat, hvor vedkommende er etableret, samt fabrikanten og, hvor det er relevant, den bemyndigede repræsentant.

6. Importørerne opbevarer en kopi af EU-overensstemmelseserklæringen, så den står til rådighed for markedsovervågningsmyndighederne i den i artikel 30, stk. 3, omhandlede periode, og sikrer, at den i artikel 37 omhandlede tekniske dokumentation kan forelægges disse myndigheder, hvis de anmoder herom.

7. Importørerne giver på grundlag af en begrundet anmodning fra markedsovervågningsmyndighederne i de berørte medlemsstater al den information og dokumentation, der er nødvendig for at konstatere, om et EPJ-system er i overensstemmelse. Importørerne samarbejder med disse myndigheder, hvis de anmoder herom, og med fabrikanten og, hvor det er relevant, med den bemyndigede repræsentant på et officielt sprog i den medlemsstat, hvor markedsovervågningsmyndigheden er beliggende. Importørerne samarbejder med disse myndigheder, hvis de anmoder herom, om ethvert tiltag, der træffes for at bringe deres EPJ-systemer i overensstemmelse med de væsentlige krav i forbindelse med de harmoniserede softwarekomponenter som fastlagt i bilag II, eller for at sikre, at de EPJ-systemer, som ikke er i overensstemmelse med disse væsentlige krav, tilbagekaldes eller tilbagetrækkes.

8. Importørerne etablerer indberetningskanaler og sikrer, at de er tilgængelige, så de giver brugerne mulighed for at indgive klager, og fører et register over klager, EPJ-systemer, der ikke opfylder kravene, og tilbagekaldelser og tilbagetrækninger af EPJ-systemer. Importørerne kontrollerer, om de klagekanaler, der er etableret i henhold til artikel 30, stk. 1, litra n), er offentligt tilgængelige, så brugerne kan indgive klager og modtage enhver meddelelse vedrørende enhver risiko i forbindelse med deres sundhed og sikkerhed eller om andre aspekter af beskyttelsen af offentlige interesser og giver brugerne mulighed for at blive underrettet om enhver alvorlig hændelse, der involverer et EPJ-system. Hvis sådanne klagekanaler ikke er etableret, skal importørerne etablere dem under hensyntagen til udsatte gruppers og personer med handicaps behov for tilgængelighed.

9. Importørerne undersøger klager og følger op på modtagne oplysninger om hændelser, der involverer et EPJ-system, som de har gjort tilgængeligt på markedet. Importørerne registrerer disse klager, eventuelle tilbagekaldelser eller tilbagetrækninger af EPJ-systemer og eventuelle korrigerende foranstaltninger, der er truffet for at bringe EPJ-systemet i overensstemmelse, i det i artikel 30, stk. 1, litra o), omhandlede register eller i deres eget interne register. Importørerne holder fabrikanten, distributørerne og, hvor det er relevant, de bemyndigede repræsentanter rettidigt underrettet om den gennemførte undersøgelse og opfølgning og om resultaterne af undersøgelsen og opfølgningen.

Artikel 33

Distributørens forpligtelser

1. Inden et EPJ-system gøres tilgængelig på markedet, kontrollerer distributørerne, at:

2. Distributørerne sikrer, at EPJ-systemet ikke ændres på en sådan måde, at dets overensstemmelse med de væsentlige krav fastlagt i bilag II og med eventuelle krav vedtaget i henhold til artikel 42 bringes i fare, når et EPJ-system er under deres ansvar.

3. Hvis en distributør finder eller har grund til at tro, at et EPJ-system ikke er i overensstemmelse med de væsentlige krav fastlagt i bilag II og med eventuelle krav vedtaget i henhold til artikel 42, må vedkommende først gøre EPJ-systemet tilgængeligt på markedet, efter at det er blevet bragt i overensstemmelse. Distributøren underretter uden unødig ophold fabrikanten eller importøren samt markedsovervågningsmyndighederne i de medlemsstater, hvor EPJ-systemet er gjort eller skal gøres tilgængeligt på markedet, herom. Hvis en distributør mener eller har grund til at tro, at et EPJ-system udgør en risiko for fysiske personers sundhed eller sikkerhed, underretter vedkommende markedsovervågningsmyndighederne i den medlemsstat, hvor distributøren er etableret, samt fabrikanten og importøren.

4. Distributørerne giver på grundlag af en markedsovervågningsmyndigheds begrundede anmodning den al den information og dokumentation, der er nødvendig for at konstatere, om et EPJ-system er i overensstemmelse. De samarbejder med denne myndighed, hvis den anmoder herom, og med fabrikanten, importøren og, hvor det er relevant, med fabrikantens bemyndigede repræsentant om ethvert tiltag, der træffes for at bringe et EPJ-system i overensstemmelse med de væsentlige krav fastlagt i bilag II og med eventuelle krav vedtaget i henhold til artikel 42 eller for at tilbagekalde eller tilbagetrække det.

Artikel 34

Tilfælde, hvor forpligtelser for fabrikanter af et EPJ-system gælder for andre enheder eller enkeltpersoner

En importør, distributør eller bruger anses med henblik på denne forordning for at være en fabrikant og er underlagt de i artikel 30 fastsatte forpligtelser, hvis de:

Artikel 35

Identifikation af erhvervsdrivende

Efter anmodning skal erhvervsdrivende over for markedsovervågningsmyndighederne i 10 år fra den dato, hvor det seneste EPJ-system, der er omfattet af EU-overensstemmelseserklæringen, er blevet bragt i omsætning, identificere følgende:

AFDELING 3

Overensstemmelse af de harmoniserede softwarekomponenter i EPJ-systemer

Artikel 36

Fælles specifikationer

1. Senest den 26. marts 2027 vedtager Kommissionen ved hjælp af gennemførelsesretsakter fælles specifikationer for så vidt angår de væsentlige krav, der er fastlagt i bilag II, herunder en fælles standardmodel og en frist for gennemførelsen af disse fælles specifikationer. Hvor det er relevant, tager disse fælles specifikationer hensyn til de særlige forhold, der gør sig gældende for medicinsk udstyr og højrisiko-AI-systemer, jf. artikel 27, stk. 1 og 2, herunder de nyeste standarder for sundhedsinformatik og det europæiske format for udveksling af elektroniske patientjournaler. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

2. De i stk. 1 omhandlede fælles specifikationer, omfatter følgende oplysninger og elementer:

3. De i stk. 1 omhandlede fælles specifikationer kan omfatte oplysninger om følgende:

4. De i artikel 25 og 27 omhandlede EPJ-systemer, medicinske udstyr, medicinske udstyr til in vitro-diagnostik og højrisiko-AI-systemer, som er i overensstemmelse med de i nærværende artikels stk. 1 omhandlede fælles specifikationer, anses for at være i overensstemmelse med de væsentlige krav, der er omfattet af disse fælles specifikationer eller dele deraf, der er fastlagt i bilag II, og som er omfattet af disse fælles specifikationer eller de relevante dele deraf.

5. Hvis fælles specifikationer, der dækker interoperabilitets- og sikkerhedskrav for EPJ-systemer, påvirker medicinsk udstyr, medicinsk udstyr til in vitro-diagnostik eller højrisiko-AI-systemer, der er omfattet af andre retsakter, såsom forordning (EU) 2017/745, (EU) 2017/746 eller (EU) 2024/1689, kan der forud for vedtagelsen af disse fælles specifikationer foretages en høring af Koordinationsgruppen for Medicinsk Udstyr (MDCG), der er nedsat ved artikel 103 i forordning (EU) 2017/745, eller Det Europæiske Udvalg for Kunstig Intelligens, der er nedsat ved artikel 65 i forordning (EU) 2024/1689, og Det Europæiske Databeskyttelsesråd, alt efter hvad der er relevant.

6. Hvis fælles specifikationer, der dækker interoperabilitets- og sikkerhedskrav for medicinsk udstyr, medicinsk udstyr til in vitro-diagnostik eller højrisiko-AI-systemer, der er omfattet af andre retsakter, såsom forordning (EU) 2017/745, (EU) 2017/746 eller (EU) 2024/1689, påvirker EPJ-systemer, sikrer Kommissionen, at der forud for vedtagelsen af disse fælles specifikationer er foretaget en høring af udvalget for det europæiske sundhedsdataområde og Det Europæiske Databeskyttelsesråd, alt efter hvad der er relevant.

Artikel 37

Teknisk dokumentation

1. Fabrikanterne udarbejder den tekniske dokumentation, inden EPJ-systemet bringes i omsætning eller tages i brug, og holder denne dokumentation ajour.

2. Den i denne artikels stk. 1 omhandlede tekniske dokumentation skal godtgøre, at EPJ-systemet overholder de væsentlige krav fastlagt i bilag II og give markedsovervågningsmyndighederne alle de oplysninger, der er nødvendige for at vurdere EPJ-systemets overensstemmelse med disse krav. Denne tekniske dokumentation skal som minimum indeholde de i bilag III fastsatte elementer og en henvisning til de resultater, der er opnået fra et europæisk digitalt testmiljø, jf. artikel 40.

3. Den i stk. 1 omhandlede tekniske dokumentation skal udfærdiges på et officielt sprog i den pågældende medlemsstat eller på et sprog, der er letforståeligt i denne medlemsstat. Efter begrundet anmodning fra markedsovervågningsmyndigheden i en medlemsstat fremskaffer fabrikanten en oversættelse af de relevante dele af den tekniske dokumentation til et officielt sprog i den pågældende medlemsstat.

4. Hvis en markedsovervågningsmyndighed anmoder fabrikanten om den tekniske dokumentation eller en oversættelse af dele heraf, forelægger fabrikanten en sådan teknisk dokumentation eller oversættelse senest 30 dage efter datoen for anmodningen, medmindre en kortere frist er berettiget på grund af en alvorlig eller umiddelbar risiko. Hvis fabrikanten ikke opfylder kravene i denne artikels stk. 1, 2 og 3, kan markedsovervågningsmyndigheden kræve, at fabrikanten får foretaget en test for egen regning af et uafhængigt organ inden for en nærmere fastsat frist for at verificere overensstemmelsen med de væsentlige krav fastlagt i bilag II og de i artikel 36 omhandlede fælles specifikationer.

Artikel 38

Oplysningsskema, der ledsager EPJ-systemet

1. EPJ-systemer ledsages af et oplysningsskema, som indeholder kortfattede, fuldstændige, korrekte og klare oplysninger, som er relevante, tilgængelige og forståelige for professionelle brugere.

2. Det i stk. 1 omhandlede oplysningsskema angiver:

3. Som et alternativ til at levere det i denne artikels stk. 1 omhandlede oplysningsskema med EPJ-systemet kan fabrikanterne indføre de i denne artikels stk. 2 omhandlede oplysninger i EU-databasen for registrering af EPJ-systemer og wellnessapplikationer, jf. artikel 49.

Artikel 39

EU-overensstemmelseserklæring

1. Det skal af den i artikel 30, stk. 1, litra e), omhandlede EU-overensstemmelseserklæring fremgå, at fabrikanten af et EPJ-system har godtgjort, at de væsentlige krav fastlagt i bilag II er opfyldt.

2. Hvis et EPJ-system for så vidt angår aspekter, der ikke er omfattet af denne forordning, er undergivet andre EU-retsakter, som også kræver, at fabrikanten afgiver en EU-overensstemmelseserklæring, hvori det er godtgjort, at kravene i disse retsakter er opfyldt, udarbejdes der én enkelt EU-overensstemmelseserklæring for alle EU-retsakter, der finder anvendelse på EPJ-systemet. Denne EU-overensstemmelseserklæring skal indeholde alle de oplysninger, der er påkrævet for at identificere, hvilke EU-retsakter den vedrører.

3. EU-overensstemmelseserklæringen skal indeholde de oplysninger, der er anført i bilag IV, og skal oversættes til et eller flere af de officielle EU-sprog, der kræves af de medlemsstater, hvori EPJ-systemet gøres tilgængeligt.

4. Hvis en EU-overensstemmelseserklæring udarbejdes i et digitalt format, gøres den tilgængelig online i EPJ-systemets forventede levetid og under alle omstændigheder i mindst 10 år efter, at EPJ-systemet er bragt i omsætning eller taget i brug.

5. Ved at udarbejde EU-overensstemmelseserklæringen står fabrikanten inde for, at de harmoniserede softwarekomponenter i EPJ-systemet overholder de krav, der er fastsat i denne forordning, når det bringes i omsætning eller tages i brug.

6. Kommissionen offentliggør en ensartet standardmodel til EU-overensstemmelseserklæringen og gør den tilgængelig i digitalt format på alle Unionens officielle sprog.

Artikel 40

Europæisk digitalt testmiljø

1. Kommissionen udvikler et europæisk digitalt testmiljø til vurdering af harmoniserede softwarekomponenter i EPJ-systemer. Kommissionen stiller den software, der understøtter det europæiske digitale testmiljø, til rådighed som open source.

2. Medlemsstaterne driver digitale testmiljøer til vurdering af harmoniserede softwarekomponenter i EPJ-systemer. Sådanne digitale testmiljøer skal være i overensstemmelse med de fælles specifikationer for det europæiske digitale testmiljø, der er fastsat i henhold til stk. 4. Medlemsstaterne underretter Kommissionen om deres digitale testmiljøer.

3. Inden fabrikanter bringer EPJ-systemer i omsætning, anvender de de i denne artikels stk. 1 og 2 omhandlede digitale testmiljøer til vurdering af harmoniserede softwarekomponenter i EPJ-systemer. Resultaterne af denne vurdering skal indgå i den i artikel 37 omhandlede tekniske dokumentation. De elementer, for hvilke resultaterne af vurderingen er positive, formodes at være i overensstemmelse med denne forordning.

4. Kommissionen fastsætter ved hjælp af gennemførelsesretsakter de fælles specifikationer for europæiske digitale testmiljøer. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

Artikel 41

CE-overensstemmelsesmærkning

1. CE-overensstemmelsesmærkningen anbringes på de dokumenter, der ledsager EPJ-systemet, og, hvor det er relevant, på EPJ-systemets emballage, så den er synlig, let læselig og ikke kan slettes.

2. CE-overensstemmelsesmærkningen påsættes, inden EPJ-systemet gøres tilgængeligt på markedet.

3. CE-overensstemmelsesmærkningen er underkastet de generelle principper i artikel 30 i forordning (EF) nr. 765/2008.

Artikel 42

Nationale krav og rapportering til Kommissionen

1. Medlemsstaterne kan vedtage nationale krav til EPJ-systemer og bestemmelser om deres overensstemmelsesvurdering i forbindelse med andre aspekter end de harmoniserede softwarekomponenter i EPJ-systemer.

2. De i stk. 1 omhandlede nationale krav eller bestemmelser må ikke påvirke de harmoniserede softwarekomponenter i EPJ-systemer negativt.

3. Når medlemsstaterne vedtager krav eller bestemmelser i overensstemmelse med stk. 1, underretter de Kommissionen derom.

AFDELING 4

Markedsovervågning af EPJ-systemer

Artikel 43

Markedsovervågningsmyndigheder

1. Forordning (EU) 2019/1020 finder anvendelse på EPJ-systemer i forbindelse med de krav, der finder anvendelse på, og de risici som er forbundet med, EPJ-systemer omfattet af dette kapitel.

2. Medlemsstaterne udpeger den eller de markedsovervågningsmyndigheder, der er ansvarlige for gennemførelsen af dette kapitel. Medlemsstaterne giver deres markedsovervågningsmyndigheder de nødvendige beføjelser og forsyner dem med de menneskelige, finansielle og tekniske ressourcer, det udstyr og den viden, der er nødvendig, for at de kan udføre deres opgaver korrekt i henhold til denne forordning. Markedsovervågningsmyndighederne tillægges beføjelser til at træffe de markedsovervågningsforanstaltninger, der er omhandlet i artikel 16 i forordning (EU) 2019/1020, for at håndhæve de forpligtelser, der er fastsat i dette kapitel. Medlemsstaterne meddeler benævnelsen af de markedsovervågningsmyndigheder, de udpeger, til Kommissionen. Kommissionen og medlemsstaterne gør disse oplysninger offentligt tilgængelige.

3. Markedsovervågningsmyndigheder, der er udpeget i henhold til denne artikels stk. 2, kan være de samme myndigheder som de digitale sundhedsmyndigheder, der er udpeget i henhold til artikel 19. Hvis en digital sundhedsmyndighed udfører opgaver som en markedsovervågningsmyndighed, skal medlemsstaterne sikre, at eventuelle interessekonflikter undgås.

4. Markedsovervågningsmyndighederne aflægger årligt rapport til Kommissionen om resultaterne af relevante markedsovervågningsaktiviteter.

5. Hvis en fabrikant eller en anden erhvervsdrivende ikke samarbejder med en markedsovervågningsmyndighed, eller hvis den information og dokumentation de har leveret er ufuldstændig eller forkert, kan markedsovervågningsmyndigheden træffe alle passende foranstaltninger for at forbyde eller begrænse, at det relevante EPJ-system bringes i omsætning, indtil fabrikanten eller den pågældende erhvervsdrivende samarbejder eller fremlægger fuldstændig og korrekt information, eller for at tilbagekalde eller tilbagetrække et sådant EPJ-system fra markedet.

6. Medlemsstaternes markedsovervågningsmyndigheder samarbejder med hinanden og med Kommissionen. Kommissionen muliggør tilrettelæggelse af den udveksling af oplysninger, der er nødvendig for sådant samarbejde.

7. For det i artikel 27, stk. 1 og 2, omhandlede medicinske udstyr, medicinsk udstyr til in vitro-diagnostik eller højrisiko-AI-systemer er de ansvarlige myndigheder for markedsovervågning dem, der er omhandlet i artikel 93 i forordning (EU) 2017/745, artikel 88 i forordning (EU) 2017/746 eller artikel 70 i forordning (EU) 2024/1689, alt efter hvad der er relevant.

Artikel 44

Håndtering af risici i forbindelse med EPJ-systemer og alvorlige hændelser

1. Hvis en markedsovervågningsmyndighed i en medlemsstat har grund til at antage, at et EPJ-system udgør en risiko for fysiske personers sundhed, sikkerhed eller rettigheder eller for beskyttelsen af personoplysninger, foretager markedsovervågningsmyndigheden en evaluering vedrørende det pågældende EPJ-system, som omfatter alle de relevante krav, der er fastlagt i denne forordning. Fabrikanten, fabrikantens bemyndigede repræsentant og alle andre relevante erhvervsdrivende samarbejder i nødvendigt omfang med markedsovervågningsmyndighederne med henblik herpå og træffer alle nødvendige foranstaltninger for at sikre, at det pågældende EPJ-system ikke længere udgør denne risiko, når det bringes i omsætning, eller for at tilbagekalde eller tilbagetrække EPJ-systemet fra markedet inden for en rimelig frist.

2. Hvis en medlemsstats markedsovervågningsmyndigheder konstaterer, at den manglende overensstemmelse af EPJ-systemet ikke er begrænset til deres nationale område, underretter de Kommissionen og de øvrige medlemsstaters markedsovervågningsmyndigheder om resultaterne af den i denne artikels stk. 1 omhandlede evaluering og om de korrigerende tiltag, de har pålagt den erhvervsdrivende at træffe i henhold til artikel 16, stk. 2, i forordning (EU) 2019/1020.

3. Hvis en markedsovervågningsmyndighed finder, at et EPJ-system har forårsaget skade på fysiske personers sundhed eller sikkerhed eller på visse aspekter af beskyttelsen af samfundsinteresser, stiller fabrikanten straks information og dokumentation, alt efter hvad der er relevant, til rådighed for den berørte fysiske person eller bruger og, hvis det er relevant, for andre tredjeparter, der er berørt af den pågældende skade, uden at dette berører databeskyttelsesreglerne.

4. Den pågældende erhvervsdrivende, der er omhandlet i stk. 1, sikrer, at der iværksættes alle fornødne korrigerende tiltag over for alle de pågældende EPJ-systemer, som denne har gjort tilgængelige på markedet i hele Unionen.

5. Markedsovervågningsmyndigheden underretter uden unødigt ophold Kommissionen og andre medlemsstaters markedsovervågningsmyndigheder eller, hvis det er relevant, tilsynsmyndigheder i henhold til forordning (EU) 2016/679 om de i stk. 2 omhandlede korrigerende tiltag. Denne underretning skal indeholde alle tilgængelige oplysninger, navnlig de nødvendige data til identifikation af det pågældende EPJ-system, EPJ-systemets oprindelse og forsyningskæde, arten af den pågældende risiko og arten og varigheden af de trufne nationale foranstaltninger.

6. Hvis et forhold konstateret af en markedsovervågningsmyndighed eller en alvorlig hændelse, som denne informeres om, vedrører beskyttelsen af personoplysninger underretter den pågældende markedsovervågningsmyndighed uden unødigt ophold de relevante tilsynsmyndigheder i henhold til forordning (EU) 2016/679 og samarbejder med disse.

7. Fabrikanter af EPJ-systemer, der bringes i omsætning eller tages i brug, indberetter alle alvorlige hændelser, der involverer et EPJ-system, til markedsovervågningsmyndighederne i de medlemsstater, hvor en sådan alvorlig hændelse fandt sted, og til markedsovervågningsmyndighederne i den medlemsstat, hvor sådanne EPJ-systemer bringes i omsætning eller tages i brug. Indberetningen skal også omfatte en beskrivelse af de korrigerende tiltag, som fabrikanten har iværksat eller påtænker at iværksætte. Medlemsstaterne kan fastsætte bestemmelser om, at brugere af EPJ-systemer, der bringes i omsætning eller tages i brug, skal kunne indberette sådanne hændelser.

Den indberetning, der kræves i henhold til dette stykkes første afsnit, foretages, uden at det berører kravene til underretning om hændelsen i henhold til direktiv (EU) 2022/2555, umiddelbart efter, at fabrikanten har fastslået en årsagssammenhæng mellem EPJ-systemet og den alvorlige hændelse eller rimelig sandsynlighed for en sådan sammenhæng, og under alle omstændigheder senest tre dage efter, at fabrikanten har fået kendskab til den alvorlige hændelse, der involverer EPJ-systemet.

8. De i stk. 7 omhandlede markedsovervågningsmyndigheder underretter straks de øvrige markedsovervågningsmyndigheder om den alvorlige hændelse og de korrigerende tiltag, som fabrikanten har iværksat eller påtænker at iværksætte eller er forpligtet til at iværksætte for at minimere risikoen for gentagelse af den alvorlige hændelse.

9. Hvis dens opgaver ikke udføres af den digitale sundhedsmyndighed, samarbejder markedsovervågningsmyndigheden med den digitale sundhedsmyndighed. Markedsovervågningsmyndigheden underretter den digitale sundhedsmyndighed om alle alvorlige hændelser, om EPJ-systemer, der udgør en risiko, herunder risici vedrørende interoperabilitet, sikkerhed og patientsikkerhed, om eventuelle korrigerende tiltag og om eventuel tilbagekaldelse eller tilbagetrækning af sådanne EPJ-systemer.

10. I tilfælde af hændelser, der bringer patientsikkerheden eller informationssikkerheden i fare, kan markedsovervågningsmyndighederne iværksætte øjeblikkelige tiltag og kræve, at fabrikanten af det pågældende EPJ-system, dennes bemyndigede repræsentant og andre erhvervsdrivende iværksætter øjeblikkelige korrigerende tiltag.

Artikel 45

Håndtering af manglende overholdelse

1. Hvis en markedsovervågningsmyndighed konstaterer manglende overholdelse, pålægger den fabrikanten af det pågældende EPJ-system, dennes bemyndigede repræsentant og alle andre relevante erhvervsdrivende, inden for en bestemt frist at iværksætte passende korrigerende tiltag til at bringe EPJ-systemet i overensstemmelse med kravene. Sådanne konstateringer af manglende overholdelse omfatter, men er ikke begrænset til, følgende:

2. Hvis den pågældende fabrikant af EPJ-systemet, dens bemyndigede repræsentant eller eventuelle andre relevante erhvervsdrivende ikke iværksætter de fornødne korrigerende tiltag inden for et rimeligt tidsrum, træffer markedsovervågningsmyndighederne de nødvendige foreløbige foranstaltninger for at forbyde eller begrænse, at EPJ-systemet bringes i omsætning på deres medlemsstaters marked, eller for at tilbagekalde eller trække EPJ-systemet tilbage fra dette marked.

Markedsovervågningsmyndighederne underretter uden ophold Kommissionen og de øvrige medlemsstaters markedsovervågningsmyndigheder om disse midlertidige foranstaltninger. Disse oplysninger skal indeholde alle tilgængelige oplysninger, navnlig de nødvendige data til identifikation af det EPJ-system, der ikke opfylder kravene, det pågældende EPJ-systems oprindelse, karakteren af den påståede manglende overensstemmelse og af den involverede risiko, karakteren og varigheden af de foranstaltninger, som markedsovervågningsmyndighederne har truffet, samt de synspunkter, som den relevante erhvervsdrivende har fremsat. Markedsovervågningsmyndighederne angiver navnlig, om den manglende opfyldelse af kravene skyldes:

3. De andre markedsovervågningsmyndigheder end de markedsovervågningsmyndigheder, der har indledt proceduren i henhold til denne artikel, underretter straks Kommissionen og de andre medlemsstaters markedsovervågningsmyndigheder om eventuelle trufne foranstaltninger, om yderligere oplysninger, som de måtte råde over, om det pågældende EPJ-systems manglende overensstemmelse og om deres indvendinger, hvis de ikke er indforstået med den trufne nationale foranstaltning.

4. Hvis der ikke inden for tre måneder efter modtagelsen af de i stk. 2, andet afsnit, omhandlede oplysninger er blevet gjort indsigelse af en markedsovervågningsmyndighed fra en anden medlemsstat eller Kommissionen mod en foreløbig foranstaltning truffet af en markedsovervågningsmyndighed, anses foranstaltningen for at være berettiget.

5. Hvis den i stk. 1 omhandlede manglende overensstemmelse varer ved, træffer den pågældende markedsovervågningsmyndighed alle nødvendige foranstaltninger til at forbyde eller begrænse, at det pågældende EPJ-system bringes i omsætning, eller sikre, at det tilbagekaldes eller trækkes tilbage fra markedet.

Artikel 46

Beskyttelsesprocedure på EU-plan

1. Hvis der i henhold til artikel 44, stk. 2, og artikel 45, stk. 3, gøres indsigelse mod en national foranstaltning truffet af en markedsovervågningsmyndighed, eller hvis Kommissionen finder, at en national foranstaltning er i strid med EU-retten, drøfter Kommissionen straks spørgsmålet med denne markedsovervågningsmyndighed og de relevante erhvervsdrivende og evaluerer den pågældende nationale foranstaltning. På grundlag af resultaterne af denne evaluering vedtager Kommissionen en gennemførelses afgørelse, der fastslår, hvorvidt den nationale foranstaltning er berettiget. Denne gennemførelsesafgørelse vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2. Kommissionen retter sin gennemførelsesafgørelse til alle medlemsstaterne og meddeler den straks til medlemsstaterne og til de relevante erhvervsdrivende.

2. Hvis den i stk. 1 omhandlede nationale foranstaltning anses for at være berettiget af Kommissionen, træffer de berørte medlemsstater de nødvendige foranstaltninger for at sikre, at det EPJ-system, der ikke er i overensstemmelse, trækkes tilbage fra deres marked, og underretter Kommissionen herom.

Hvis den i stk. 1 omhandlede nationale foranstaltning anses for at være uberettiget af Kommissionen, ophæver den pågældende medlemsstat denne foranstaltning.

AFDELING 5

Andre bestemmelser om interoperabilitet

Artikel 47

Mærkning af wellnessapplikationer

1. Hvis en fabrikant af en wellnessapplikation hævder, at den er interoperabel med et EPJ-system i forbindelse med de harmoniserede softwarekomponenter i EPJ-systemer, og at de i artikel 36 omhandlede fælles specifikationer og de væsentlige krav fastlagt i bilag II er opfyldt, skal en sådan wellnessapplikation ledsages af et mærke, der tydeligt viser, at den opfylder disse specifikationer og krav. Dette mærke udstedes af fabrikanten af wellnessapplikationen.

2. Følgende oplysninger skal fremgå af det i stk. 1 omhandlede mærke:

3. Kommissionen fastlægger ved hjælp af gennemførelsesretsakter det i stk. 1 omhandlede mærkes format og indhold. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

4. Mærket udfærdiges på et eller flere af Unionens officielle sprog eller på et letforståeligt sprog, som den medlemsstat, hvor wellnessapplikationen bringes i omsætning eller tages i brug, fastsætter.

5. Mærkets gyldighed må ikke overstige tre år.

6. Hvis wellnessapplikationen er en integrerende del af et udstyr eller indgår i et udstyr efter dets ibrugtagning, skal det ledsagende mærke vises i selve applikationen eller anbringes på dette udstyr. Hvis wellnessapplikationen kun består af software, skal mærket have et digitalt format og vises i selve applikationen. Todimensionelle stregkoder (2D) kan også anvendes til at vise mærket.

7. Markedsovervågningsmyndighederne kontrollerer, at wellnessapplikationerne opfylder de væsentlige krav fastlagt i bilag II.

8. Hver leverandør af en wellnessapplikation, for hvilken der er udstedt et mærke, skal sikre, at den wellnessapplikation, der bringes i omsætning eller tages i brug, gratis ledsages af mærket for hver enkelt enhed.

9. Hver distributør af en wellnessapplikation, for hvilken der er udstedt et mærke, skal stille mærket til rådighed for kunderne på salgsstedet i elektronisk form.

Artikel 48

Wellnessapplikationers interoperabilitet med EPJ-systemer

1. Fabrikanter af wellnessapplikationer kan hævde, at de er interoperable med et EPJ-system, forudsat at de relevante fælles specifikationer og væsentlige krav omhandlet i henholdsvis artikel 36 og bilag II er opfyldt. I tilfælde af en sådan påstand informerer disse fabrikanter på behørig vis brugerne om interoperabiliteten af sådanne wellnessapplikationer og virkningerne af en sådan interoperabilitet.

2. Wellnessapplikationers interoperabilitet med EPJ-systemer betyder ikke, at alle eller en del af sundhedsdataene fra wellnessapplikationen automatisk deles med eller automatisk overføres til EPJ-systemet. Deling eller overførsel af sådanne data er kun mulig, hvis det er i overensstemmelse med artikel 5, og efter at den berørte fysiske person har givet samtykke, og interoperabiliteten skal strengt begrænses til disse formål. Fabrikanter af wellnessapplikationer, der hævder, at deres applikationer er interoperable med et EPJ-system, sikrer, at den berørte fysiske person er i stand til at vælge, hvilke kategorier af sundhedsdataene fra wellnessapplikationen, der skal indsættes i EPJ-systemet, og omstændighederne omkring delingen eller overførslen af disse datakategorier.

AFDELING 6

Registrering af EPJ-systemer og wellnessapplikationer

Artikel 49

EU-database for registrering af EPJ-systemer og wellnessapplikationer

1. Kommissionen opretter og fører en offentligt tilgængelig EU-database med data om EPJ-systemer, for hvilke der er udstedt en EU-overensstemmelseserklæring i henhold til artikel 39, og wellnessapplikationer, for hvilke der er udstedt et mærke i henhold til artikel 47 (»EU-databasen for Registrering af EPJ-systemer og wellnessapplikationer«).

2. Inden et EPJ-system, jf. artikel 26, eller en wellnessapplikation, jf. artikel 47, bringes i omsætning eller tages i brug, indfører fabrikanten af et sådant EPJ-system eller en sådan wellnessapplikation eller i givet fald dennes bemyndigede repræsentant de krævede data som omhandlet i nærværende artikels stk. 4 i EU-databasen for Registrering af EPJ-systemer og wellnessapplikationer, herunder, når der er tale om EPJ-systemer, resultaterne af vurderingen omhandlet i artikel 40.

3. Medicinsk udstyr, medicinsk udstyr til in vitro-diagnostik eller højrisiko-AI-systemer som omhandlet i denne forordnings artikel 27, stk. 1 og 2, registreres også i de databaser, der er oprettet i henhold til forordning (EU) 2017/745, (EU) 2017/746 eller (EU) 2024/1689, alt efter hvad der er relevant. I sådanne tilfælde fremsendes de data, der skal indføres, også til EU-databasen for Registrering af EPJ-systemer og wellnessapplikationer.

4. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 97 med henblik på at supplere denne forordning ved at fastlægge listen over de data, der skal indføres i EU-databasen for Registrering af EPJ-systemer og wellnessapplikationer af fabrikanterne af EPJ-systemer og wellnessapplikationer i henhold til nærværendes artikels stk. 2.

KAPITEL IV

SEKUNDÆR ANVENDELSE

AFDELING 1

Almindelige betingelser for sekundær anvendelse

Artikel 50

Anvendelse på sundhedsdataindehaver e

1. Følgende kategorier af sundhedsdataindehavere er fritaget for de forpligtelser for sundhedsdataindehavere, der er fastlagt i dette kapitel:

2. Medlemsstaterne kan fastsætte i deres nationale ret, at de forpligtelser for sundhedsdataindehavere, der er fastsat i dette kapitel, finder anvendelse på de i stk. 1 omhandlede sundhedsdataindehavere, der henhører under deres jurisdiktion.

3. Medlemsstaterne kan fastsætte i deres nationale ret, at visse kategorier af sundhedsdataindehaveres opgaver skal varetages af sundhedsdataformidlingsenheder. I så fald anses dataene ikke desto mindre for at være til rådighed fra flere sundhedsdataindehavere.

4. Medlemsstaterne meddeler Kommissionen den i stk. 2 og 3 omhandlede nationale ret senest den 26. marts 2029. Eventuelle senere bestemmelser eller ændringer, der berører en sådan ret, meddeles straks til Kommissionen.

Artikel 51

Kategorier af elektroniske sundhedsdata til sekundær anvendelse, der som minimum skal indgå

1. Sundhedsdataindehavere stiller følgende kategorier af elektroniske sundhedsdata til rådighed til sekundær anvendelse i overensstemmelse med dette kapitel:

2. Medlemsstaterne kan fastsætte i deres nationale ret, at yderligere kategorier af elektroniske sundhedsdata skal stilles til rådighed til sekundær anvendelse i henhold til denne forordning.

3. Medlemsstaterne kan fastsætte regler for behandling og anvendelse af elektroniske sundhedsdata, der indeholder forbedringer i forbindelse med behandling af disse data, såsom korrektion, anmærkning eller berigelse, på grundlag af en datatilladelse i henhold til artikel 68.

4. Medlemsstaterne kan indføre strengere foranstaltninger og yderligere garantier på nationalt plan med henblik på at beskytte følsomheden og værdien af de data, der er omfattet af stk. 1, litra f), g), i) og q). Medlemsstaterne giver straks Kommissionen meddelelse om disse foranstaltninger og garantier og om alle senere ændringer, der berører dem.

Artikel 52

Intellektuelle ejendomsrettigheder og forretningshemmeligheder

1. Elektroniske sundhedsdata, der er beskyttet af intellektuelle ejendomsrettigheder, forretningshemmeligheder eller omfattet af den reguleringsmæssige ret til databeskyttelse, der er fastsat i artikel 10, stk. 1, i Europa-Parlamentets og Rådets direktiv 2001/83/EF eller artikel 14, stk. 11, i Europa-Parlamentets og Rådets forordning (EF) nr. 726/2004 , stilles til rådighed til sekundær anvendelse i overensstemmelse med reglerne fastlagt i nærværende forordning.

2. Sundhedsdataindehavere underretter organet med ansvar for adgang til sundhedsdata om eventuelle elektroniske sundhedsdata med indhold eller oplysninger, der er beskyttet af intellektuelle ejendomsrettigheder, forretningshemmeligheder eller er omfattet af den reguleringsmæssige ret til databeskyttelse, der er fastsat i artikel 10, stk. 1, i direktiv 2001/83/EF eller artikel 14, stk. 11, i forordning (EF) nr. 726/2004. Sundhedsdataindehavere angiver, hvilke dele af datasættene der er berørt, og begrunder behovet for den specifikke beskyttelse af dataene. Sundhedsdataindehavere giver disse oplysninger, når beskrivelserne af de datasæt, de er i besiddelse af i henhold til nærværende forordnings artikel 60, stk. 3, meddeles til organet med ansvar for adgang til sundhedsdata, eller senest efter en anmodning fra organet med ansvar for adgang til sundhedsdata.

3. Organer med ansvar for adgang til sundhedsdata træffer alle specifikke passende og forholdsmæssige foranstaltninger, herunder af retlig, organisatorisk og teknisk karakter, som de anser for nødvendige for beskyttelsen af intellektuelle ejendomsrettigheder, forretningshemmeligheder eller den reguleringsmæssige ret til databeskyttelse, der er fastsat i artikel 10, stk. 1, i direktiv 2001/83/EF eller artikel 14, stk. 11, i forordning (EF) nr. 726/2004. Organer med ansvar for adgang til sundhedsdata forbliver ansvarlige for at vurdere, om sådanne foranstaltninger er nødvendige og passende.

4. Når organer med ansvar for adgang til sundhedsdata udsteder datatilladelser i overensstemmelse med artikel 68, kan de gøre adgangen til visse elektroniske sundhedsdata betinget af retlige, organisatoriske og tekniske foranstaltninger, som kan omfatte kontraktlige ordninger mellem sundhedsdataindehavere og sundhedsdatabrugere med henblik på at dele data med oplysninger eller indhold, der er beskyttet af intellektuelle ejendomsrettigheder eller forretningshemmeligheder. Kommissionen udarbejder og anbefaler ikkebindende modeller for aftalevilkår for sådanne ordninger.

5. Hvis tildelingen af adgang til elektroniske sundhedsdata til sekundær anvendelse indebærer en alvorlig risiko for at krænke de intellektuelle ejendomsrettigheder, forretningshemmeligheder eller den reguleringsmæssige ret til databeskyttelse, der er fastsat i artikel 10, stk. 1, i direktiv 2001/83/EF eller artikel 14, stk. 11, i forordning (EF) nr. 726/2004, der ikke kan imødegås på en tilfredsstillende måde, nægter organet med ansvar for adgang til sundhedsdata adgang til sundhedsdataansøgeren til sådanne data. Organet med ansvar for adgang til sundhedsdata underretter sundhedsdataansøgeren og giver sundhedsdataansøgeren en begrundelse for afslaget. Sundhedsdataindehavere og sundhedsdatabrugere har ret til at indgive en klage i overensstemmelse med nærværende forordnings artikel 81.

Artikel 53

Formål, hvortil elektroniske sundhedsdata kan behandles til sekundær anvendelse

1. Organer med ansvar for adgang til sundhedsdata giver kun sundhedsdatabrugere adgang til elektroniske sundhedsdata som omhandlet i artikel 51 til sekundær anvendelse, hvis denne sundhedsdatabrugers behandling af dataene er nødvendig for et af følgende formål:

2. Adgang til elektroniske sundhedsdata til de i stk. 1, litra a), b) og c), omhandlede formål er forbeholdt offentlige myndigheder og EU-institutioner, -organer, -kontorer og -agenturer, der varetager de opgaver, der er pålagt dem i henhold til EU-retten eller national ret, herunder når behandlingen af data med henblik på udførelsen af disse opgaver foretages af en tredjepart på vegne af de pågældende offentlige organer eller af EU-institutioner, -organer, -kontorer og -agenturer.

Artikel 54

Forbudt sekundær anvendelse

Sundhedsdatabrugere må kun behandle elektroniske sundhedsdata til sekundær anvendelse på grundlag af og i overensstemmelse med de formål, der er indeholdt i en datatilladelse udstedt i henhold til artikel 68, sundhedsdataanmodninger godkendt i henhold til artikel 69 eller, i de i artikel 67, stk. 3, omhandlede situationer, en dataadgangsgodkendelse fra den relevante autoriserede deltager i HealthData@EU, jf. artikel 75.

Det er navnlig forbudt at søge adgang til og behandle elektroniske sundhedsdata, der er opnået via en datatilladelse udstedt i henhold til artikel 68 eller en sundhedsdataanmodning, der er godkendt i henhold til artikel 69, til følgende anvendelse:

AFDELING 2

Forvaltning af og mekanismer til sekundær anvendelse

Artikel 55

Organer med ansvar for adgang til sundhedsdata

1. Medlemsstaterne udpeger et eller flere organer med ansvar for adgang til sundhedsdata, som er ansvarlige for at udføre de opgaver og forpligtelser, der er fastlagt i artikel 57, 58 og 59. Medlemsstaterne kan enten oprette et eller flere nye offentlige myndigheder eller bruge eksisterende offentlige myndigheder eller interne tjenester i offentlige myndigheder, der opfylder betingelserne i nærværende artikel. De opgaver, der er fastsat i artikel 57, kan fordeles mellem forskellige organer med ansvar for adgang til sundhedsdata. Hvis en medlemsstat udpeger flere organer med ansvar for adgang til sundhedsdata, udpeger den ét organ med ansvar for adgang til sundhedsdata, der skal fungere som koordinator, med ansvar for at koordinere opgaver med de andre organer, både i denne medlemsstats og i andre medlemsstaters område.

Hvert organ med ansvar for adgang til sundhedsdata bidrager til ensartet anvendelse af denne forordning i hele Unionen. Med henblik herpå samarbejder organerne med ansvar for adgang til sundhedsdata med hinanden, med Kommissionen og, for så vidt angår betænkeligheder vedrørende databeskyttelse, med de relevante tilsynsmyndigheder.

2. Med henblik på at støtte den effektive udførelse af opgaverne og udøvelsen af beføjelserne for organerne med ansvar for adgang til sundhedsdata sikrer medlemsstaterne, at hvert organ med ansvar for adgang til sundhedsdata råder over følgende elementer:

Hvis en vurdering foretaget af etiske organer er påkrævet i henhold til national ret, stiller disse organer ekspertise til rådighed for organet med ansvar for adgang til sundhedsdata. Alternativt kan medlemsstaterne fastsætte, at etiske organer er en del af organet med ansvar for adgang til sundhedsdata.

3. Medlemsstaterne sikrer, at alle interessekonflikter mellem de organisatoriske dele af organer med ansvar for adgang til sundhedsdata, der udfører de forskellige opgaver for sådanne organer, undgås ved f.eks. at fastsætte organisatoriske garantier såsom adskillelse mellem forskellige funktioner for organer med ansvar for adgang til sundhedsdata, herunder vurdering af ansøgninger, modtagelse og forberedelse af datasæt, f.eks. pseudonymisering og anonymisering af datasæt, samt tilvejebringelse af data i sikre databehandlingsmiljøer.

4. Under udførelsen af deres opgaver samarbejder organer med ansvar for adgang til sundhedsdata aktivt med relevante repræsentanter for interessenter, navnlig med repræsentanter for patienter, sundhedsdataindehavere og sundhedsdatabrugere og skal undgå alle interessekonflikter.

5. Organer med ansvar for adgang til sundhedsdata skal under udførelsen af deres opgaver og udøvelsen af deres beføjelser undgå interessekonflikter. Personalet i organer med ansvar for adgang til sundhedsdata handler i offentlighedens interesse og uafhængigt.

6. Senest den 26. marts 2027 underretter medlemsstaterne Kommissionen om benævnelsen på de organer med ansvar for adgang til sundhedsdata, der er udpeget i henhold til stk. 1. De underretter ligeledes Kommissionen om eventuelle senere udskiftninger af disse organer. Kommissionen og medlemsstaterne gør disse oplysninger offentligt tilgængelige.

Artikel 56

Unionens tjeneste for adgang til sundhedsdata

1. Kommissionen udfører de opgaver, der er fastsat i artikel 57 og 59, hvis sundhedsdataindehaverne er EU-institutioner, -organer, -kontorer eller -agenturer.

2. Kommissionen sikrer, at de nødvendige menneskelige, tekniske og økonomiske ressourcer, lokaler og infrastrukturer tildeles til effektiv udførelse af de i artikel 57 og 59 fastsatte opgaver og udøvelse af beføjelserne.

3. Medmindre andet udtrykkeligt er udelukket skal henvisninger til organer med ansvar for adgang til sundhedsdata i denne forordning i relation til udførelsen af opgaver og varetagelsen af pligter forstås således, at de også finder anvendelse på Kommissionen, hvis sundhedsdataindehaverne er EU-institutioner, -organer, -kontorer eller -agenturer.

Artikel 57

Opgaver for organer med ansvar for adgang til sundhedsdata

1. Organer med ansvar for adgang til sundhedsdata skal udføre følgende opgaver:

Det i dette stykkes litra j), nr. i), omhandlede nationale datasætkatalog stilles også til rådighed for centrale informationssteder i henhold til artikel 8 i forordning (EU) 2022/868.

2. Organer med ansvar for adgang til sundhedsdata skal under udførelsen af deres opgaver:

3. Organer med ansvar for adgang til sundhedsdata kan yde bistand til offentlige myndigheder, hvis disse offentlige myndigheder har adgang til elektroniske sundhedsdata i overensstemmelse med artikel 14 i forordning (EU) 2023/2854.

4. Organer med ansvar for adgang til sundhedsdata kan yde støtte til en offentlig myndighed, hvis de opnår data under de omstændigheder, der er omhandlet i artikel 15, litra a) eller b), i forordning (EU) 2023/2854 i overensstemmelse med reglerne fastlagt i nævnte forordning, ved at yde teknisk støtte til at behandle disse data eller samkøre dem med andre data med henblik på fælles analyse.

Artikel 58

Forpligtelser for organer med ansvar for adgang til sundhedsdata over for fysiske personer

1. Organer med ansvar for adgang til sundhedsdata gør oplysninger om de betingelser, hvorunder elektroniske sundhedsdata stilles til rådighed til sekundær anvendelse, offentligt tilgængelige, lette at søge i via elektroniske midler og tilgængelige for fysiske personer. Disse oplysninger skal omfatte følgende:

2. Hvis en medlemsstat har fastsat, at retten til fravalg i henhold til artikel 71 skal udøves gennem organerne med ansvar for adgang til sundhedsdata, skal de relevante organer med ansvar for adgang til sundhedsdata give offentlige oplysninger om proceduren for fravalg og lette udøvelsen af denne ret.

3. Hvis et organ med ansvar for adgang til sundhedsdata underrettes af en sundhedsdatabruger om et væsentligt fund, der vedrører en fysisk persons helbred, som omhandlet i artikel 61, stk. 5, skal organet med ansvar for adgang til sundhedsdata underrette sundhedsdataindehaveren herom. Sundhedsdataindehaveren underretter på de betingelser, der er fastsat i national ret, den fysiske person eller den sundhedsperson, der behandler den pågældende fysiske person. Fysiske personer har ret til at anmode om ikke at blive underrettet om sådanne fund.

4. Medlemsstaterne informerer offentligheden om, hvilken rolle organerne med ansvar for adgang til sundhedsdata spiller, og hvilke fordele der er forbundet med dem.

Artikel 59

Organerne med ansvar for adgang til sundhedsdatas rapportering

1. Hvert organ med ansvar for adgang til sundhedsdata offentliggør hvert andet år en aktivitetsrapport og gør den offentligt tilgængelig på sit websted. Hvis en medlemsstat udpeger mere end ét organ med ansvar for adgang til sundhedsdata, er det i artikel 55, stk. 1, omhandlede koordineringsorgan, ansvarligt for aktivitetsrapporten og anmoder de andre organer med ansvar for adgang til sundhedsdata om de nødvendige oplysninger. Denne aktivitetsrapport skal følge en struktur, der er aftalt af udvalget for det europæiske sundhedsdataområde i henhold til artikel 94, stk. 2, litra d), og som minimum indeholde følgende kategorier af oplysninger:

2. Den i stk. 1 omhandlede aktivitetsrapport forelægges Kommissionen og udvalget for det europæiske sundhedsdataområde senest seks måneder efter udgangen af det andet år i den relevante rapporteringsperiode. Aktivitetsrapporten skal være tilgængelig via Kommissionens websted.

Artikel 60

Sundhedsdataindehavernes opgaver

1. Sundhedsdataindehavere stiller efter anmodning relevante elektroniske sundhedsdata omhandlet i artikel 51 til rådighed for organet med ansvar for adgang til sundhedsdata i overensstemmelse med en datatilladelse udstedt i henhold til artikel 68 eller efter en sundhedsdataanmodning godkendt i henhold til artikel 69.

2. Sundhedsdataindehavere stiller de i stk. 1 omhandlede elektroniske sundhedsdata, der anmodes om, til rådighed for organet med ansvar for adgang til sundhedsdata inden for en rimelig frist og senest tre måneder efter modtagelse af anmodningen af organet med ansvar for adgang til sundhedsdata. I begrundede tilfælde kan organet med ansvar for adgang til sundhedsdata forlænge denne periode med højest tre måneder.

3. Sundhedsdataindehaveren fremsender en beskrivelse af det datasæt, den er i besiddelse af, til organet med ansvar for adgang til sundhedsdata i overensstemmelse med artikel 77. Sundhedsdataindehaveren kontrollerer som minimum en gang om året, at beskrivelsen af datasættet i kataloget over nationale datasæt er nøjagtig og ajourført.

4. Hvis et datakvalitets- og dataudnyttelsesmærke ledsager datasættet i henhold til artikel 78, skal sundhedsdataindehaveren forelægge organet med ansvar for adgang til sundhedsdata tilstrækkelig dokumentation til, at det kan kontrollere, at mærkningen er korrekt.

5. Sundhedsdataindehavere af andre elektroniske sundhedsdata end personoplysninger giver adgang til data gennem pålidelige åbne databaser for at sikre ubegrænset adgang for alle brugere samt lagring og opbevaring af data. Pålidelige åbne offentlige databaser skal have en robust, gennemsigtig og bæredygtig forvaltningsmodel og en gennemsigtig model for brugeradgang.

Artikel 61

Sundhedsdatabrugeres opgaver

1. Sundhedsdatabrugere må kun tilgå og behandle de i artikel 51 omhandlede elektroniske sundhedsdata til sekundær anvendelse i overensstemmelse med en datatilladelse udstedt i henhold til artikel 68, en sundhedsdataanmodning godkendt i henhold til artikel 69 eller, i de i artikel 67, stk. 3, omhandlede situationer, en adgangsgodkendelse fra den relevante autoriserede deltager i HealthData@EU, jf. artikel 75.

2. Ved behandling af elektroniske sundhedsdata inden for de i artikel 73 omhandlede sikre databehandlingsmiljøer, må sundhedsdatabrugerne ikke give adgang til de elektroniske sundhedsdata eller stille disse data til rådighed for tredjeparter, der ikke er nævnt i datatilladelsen.

3. Sundhedsdatabrugere må ikke reidentificere eller forsøge at reidentificere de fysiske personer, som de elektroniske sundhedsdata, der er opnået af sundhedsdatabrugere på grundlag af en datatilladelse, en sundhedsdataanmodning eller en dataadgangsgodkendelse fra en autoriseret deltager i HealthData@EU, tilhører.

4. Sundhedsdatabrugere offentliggør resultaterne eller outputtet af sekundær anvendelse, herunder oplysninger, der er relevante for levering af sundhedsydelser, senest 18 måneder efter afslutningen af behandlingen af de elektroniske sundhedsdata i det sikre databehandlingsmiljø eller efter at have modtaget svaret på den i artikel 69 omhandlede sundhedsdataanmodning.

I begrundede tilfælde vedrørende de tilladte formål med behandlingen af elektroniske sundhedsdata kan den i første afsnit omhandlede periode forlænges af organet med ansvar for adgang til sundhedsdata, navnlig i tilfælde, hvor resultatet offentliggøres i et videnskabeligt tidsskrift eller anden videnskabelig publikation.

Resultaterne eller outputtet af sekundær anvendelse må kun indeholde anonymiserede data.

Sundhedsdatabrugere underretter de organer med ansvar for adgang til sundhedsdata, hvorfra der var opnået en datatilladelse, om resultaterne og outputtet af sekundær anvendelse og bistår dem med at gøre disse oplysninger offentligt tilgængelige på organerne med ansvar for adgang til sundhedsdatas websteder. En sådan offentliggørelse berører ikke retten til offentliggørelse i videnskabelige tidsskrifter eller andre videnskabelige publikationer.

Når sundhedsdatabrugerne anvender elektroniske sundhedsdata i overensstemmelse med dette kapitel, anerkender de kilderne til de elektroniske sundhedsdata og det forhold, at de er opnået inden for rammerne af det europæiske sundhedsdataområde.

5. Uden at dette berører stk. 2, underretter sundhedsdatabrugere organet med ansvar for adgang til sundhedsdata om ethvert væsentligt fund, der kan påvirke helbredet for den fysiske person, hvis data indgår i datasættet.

6. Sundhedsdatabrugerne samarbejder med organer med ansvar for adgang til sundhedsdata om disse organers udførelse af deres opgaver.

Artikel 62

Gebyrer

1. Organer med ansvar for adgang til sundhedsdata, herunder Unionens tjeneste for adgang til sundhedsdata eller betroede sundhedsdataindehavere, jf. artikel 72, kan opkræve gebyrer for at stille elektroniske sundhedsdata til rådighed til sekundær anvendelse.

Gebyrerne skal stå i forhold til omkostningerne ved at stille dataene til rådighed og de må ikke begrænse konkurrencen.

Gebyrerne skal dække alle eller en del af omkostningerne til proceduren til vurdering af en ansøgning om adgang til sundhedsdata eller en sundhedsdataanmodning, til udstedelse af, afslag på eller ændring af en datatilladelse i henhold til artikel 67 og 68 eller til svar på en sundhedsdataanmodning indgivet i henhold til artikel 69, herunder omkostninger i forbindelse med konsolidering, forberedelse, pseudonymisering, anonymisering og levering af elektroniske sundhedsdata.

Medlemsstaterne kan fastsætte nedsatte gebyrer for visse typer sundhedsdatabrugere, der befinder sig i Unionen, såsom offentlige myndigheder eller Unionens institutioner, organer, kontorer eller agenturer med et retligt mandat på folkesundhedsområdet, universitetsforskere eller mikrovirksomheder.

2. Gebyrerne omhandlet i denne artikels stk. 1 kan omfatte kompensation for de omkostninger, som sundhedsdataindehaveren har afholdt i forbindelse med indsamling og forberedelse af de elektroniske sundhedsdata, der skal stilles til rådighed til sekundær anvendelse. I sådanne tilfælde forelægger sundhedsdataindehaveren et skøn over sådanne omkostninger for organet med ansvar for adgang til sundhedsdata. Når sundhedsdataindehaveren er en offentlig myndighed, finder artikel 6 i forordning (EU) 2022/868 ikke anvendelse. Den del af gebyrerne, der er knyttet til sundhedsdataindehaverens omkostninger, betales til sundhedsdataindehaveren.

3. Eventuelle gebyrer, som organer med ansvar for adgang til sundhedsdata eller sundhedsdataindehavere måtte opkræve af sundhedsdatabrugere i henhold til denne artikel, skal være gennemsigtige og ikkediskriminerende.

4. Hvis sundhedsdataindehavere og sundhedsdatabrugere ikke er blevet enige om gebyrernes størrelse senest én måned efter udstedelsen af datatilladelsen, kan organet med ansvar for adgang til sundhedsdata fastsætte gebyrerne i forhold til omkostningerne ved at stille elektroniske sundhedsdata til rådighed til sekundær anvendelse. Hvis sundhedsdataindehaverne eller databrugerne er uenige i det gebyr, der er fastsat af organet med ansvar for adgang til sundhedsdata, skal de have adgang til tvistbilæggelsesorganer i overensstemmelse med artikel 10 i forordning (EU) 2023/2854.

5. Inden organet med ansvar for adgang til sundhedsdata udsteder en datatilladelse i henhold til artikel 68 eller besvarer en sundhedsdataanmodning indgivet i henhold til artikel 69, underretter organet sundhedsdataansøgeren om de anslåede gebyrer. Sundhedsdataansøgeren underrettes om muligheden for at trække ansøgningen om adgang til sundhedsdata eller sundhedsdataanmodningen tilbage. Hvis sundhedsdataansøgeren trækker sin ansøgning eller anmodning tilbage, opkræves sundhedsdataansøgeren kun de omkostninger, der allerede er afholdt.

6. Kommissionen fastsætter ved hjælp af gennemførelsesretsakter principper og regler for gebyrpolitikker og gebyrstrukturer, herunder fradrag til de i denne artikels stk. 1, fjerde afsnits omhandlede enheder, med henblik på at støtte sammenhæng og gennemsigtighed mellem medlemsstater vedrørende sådanne gebyrpolitikker og gebyrstrukturer. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

Artikel 63

Håndhævelse ved organerne med ansvar for adgang til sundhedsdata

1. Når organerne med ansvar for adgang til sundhedsdata udfører deres i artikel 57, stk. 1, litra a), nr. ii), omhandlede overvågnings- og tilsynsopgaver, har de ret til at anmode om og modtage alle nødvendige oplysninger fra sundhedsdatabrugere og sundhedsdataindehavere for at kontrollere overholdelsen af dette kapitel.

2. Hvis organer med ansvar for adgang til sundhedsdata konstaterer, at en sundhedsdatabruger eller sundhedsdataindehaver ikke opfylder kravene i dette kapitel, underretter de straks sundhedsdatabrugeren eller sundhedsdataindehaveren om disse konstateringer og træffer passende foranstaltninger. Det pågældende organ med ansvar for adgang til sundhedsdata giver den pågældende sundhedsdatabruger eller sundhedsdataindehaver mulighed for at tilkendegive deres synspunkter inden for en rimelig frist på højst fire uger.

Hvis konstateringen af manglende opfyldelse af kravene vedrører en mulig overtrædelse af forordning (EU) 2016/679, underretter det pågældende organ med ansvar for adgang til sundhedsdata straks tilsynsmyndighederne i henhold til nævnte forordning og giver dem alle relevante oplysninger om denne konstatering.

3. Med hensyn til sundhedsdatabrugeres manglende overholdelse har organer med ansvar for adgang til sundhedsdata beføjelse til at tilbagekalde den datatilladelse, der er udstedt i henhold til artikel 68, og uden unødigt ophold at standse den pågældende behandling af elektroniske sundhedsdata, der udføres af sundhedsdatabrugeren, og træffer passende og forholdsmæssige foranstaltninger til at sikre, at sundhedsdatabrugernes behandling opfylder kravene.

Som en del af sådanne håndhævelsesforanstaltninger kan organerne med ansvar for adgang til sundhedsdata også, hvor det er relevant, udelukke eller indlede procedurer for i overensstemmelse med national ret at udelukke den pågældende databruger fra enhver adgang til elektroniske sundhedsdata inden for det europæiske sundhedsdataområde i forbindelse med sekundær anvendelse i en periode på op til fem år.

4. Med hensyn til sundhedsdataindehaveres manglende overholdelse, hvis en sundhedsdataindehaver tilbageholder de elektroniske sundhedsdata fra organer med ansvar for adgang til sundhedsdata med åbenlys hensigt om at hindre anvendelsen af elektroniske sundhedsdata eller ikke overholder de i artikel 60, stk. 2, fastsatte frister, har organet med ansvar for adgang til sundhedsdata beføjelse til at pålægge sundhedsdataindehaveren tvangsbøder for hver dags forsinkelse, hvilket skal ske gennemsigtigt og forholdsmæssigt. Bødernes størrelse fastsættes af organet med ansvar for adgang til sundhedsdata i overensstemmelse med national ret. I tilfælde af gentagne overtrædelser fra sundhedsdataindehaverens side af forpligtelsen til samarbejde med organet med ansvar for adgang til sundhedsdata kan dette organ udelukke eller indlede procedurer i overensstemmelse med national ret for at udelukke sundhedsdataindehaveren fra at indgive ansøgninger om adgang til sundhedsdata i henhold til dette kapitel i en periode på op til fem år. I udelukkelsesperioden er sundhedsdataindehaveren fortsat forpligtet til at gøre data tilgængelige i henhold til dette kapitel, hvor det er relevant.

5. Organet med ansvar for adgang til sundhedsdata meddeler uden ophold den pågældende sundhedsdatabruger eller -indehaver de håndhævelsesforanstaltninger, der er truffet i henhold til stk. 3 og 4, og begrundelserne herfor og fastsætter en rimelig frist, inden for hvilken sundhedsdataindehaveren eller -brugeren skal overholde foranstaltningerne.

6. Alle håndhævelsesforanstaltninger, der er truffet af organet med ansvar for adgang til sundhedsdata i henhold til stk. 3, skal meddeles andre organer med ansvar for adgang til sundhedsdata gennem det i stk. 7 omhandlede IT-værktøj. Organer med ansvar for adgang til sundhedsdata kan gøre disse oplysninger offentligt tilgængelige på deres websteder.

7. Kommissionen fastlægger ved hjælp af gennemførelsesretsakter arkitekturen for et IT-værktøj, som en del af infrastrukturen for HealthData@EU, jf. artikel 75, der har til formål at støtte og gøre de i nærværende artikels omhandlede håndhævelsesforanstaltninger, navnlig tvangsbøder, tilbagekaldelse af datatilladelser og udelukkelser, gennemsigtige for andre organer med ansvar for adgang til sundhedsdata. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

8. Kommissionen udsteder senest den 26. marts 2032 i tæt samarbejde med udvalget for det europæiske sundhedsdataområde retningslinjer for håndhævelsesforanstaltninger, herunder tvangsbøder og andre foranstaltninger, der skal træffes af organer med ansvar for adgang til sundhedsdata.

Artikel 64

Generelle betingelser for, at organer med ansvar for adgang til sundhedsdata kan pålægge administrative bøder

1. Hvert organ med ansvar for adgang til sundhedsdata sikrer, at pålæggelsen af administrative bøder i henhold til denne artikel for overtrædelser som omhandlet i stk. 4 og 5 er effektiv, står i rimeligt forhold til overtrædelsen og har afskrækkende virkning i hver enkelt sag.

2. Afhængigt af omstændighederne i hver enkelt sag pålægges administrative bøder i tillæg til eller i stedet for håndhævelsesforanstaltninger som omhandlet i artikel 63, stk. 3 og 4. Organer med ansvar for adgang til sundhedsdata træffer afgørelse om, hvorvidt der skal pålægges en administrativ bøde, og om den administrative bødes størrelse i hver enkelt tilfælde, under behørig hensyntagen til følgende omstændigheder:

3. Hvis en sundhedsdataindehaver eller en sundhedsdatabruger forsætligt eller uagtsomt overtræder flere bestemmelser i denne forordning for den samme eller en forbundet datatilladelse eller sundhedsdataanmodning, må den administrative bødes samlede størrelse ikke overstige beløbet for den alvorligste overtrædelse.

4. I overensstemmelse med denne artikels stk. 2 straffes overtrædelser af sundhedsdataindehaverens eller sundhedsdatabrugerens forpligtelser i henhold til artikel 60 og artikel 61, stk. 1, 5 og 6, med administrative bøder på højest 10 000 000 EUR, eller hvis det drejer sig om en virksomhed, på højest 2 % af dens samlede globale årlige omsætning i det foregående regnskabsår, såfremt dette beløb er højere.

5. I overensstemmelse med stk. 2, straffes følgende overtrædelser med administrative bøder på højest 20 000 000 EUR, eller, hvis det drejer sig om en virksomhed, på højest 4 % af dens samlede globale årlige omsætning i det foregående regnskabsår, såfremt dette beløb er højere:

6. Uden at det berører de beføjelser, som organer med ansvar for adgang til sundhedsdata har i henhold til artikel 63, kan hver medlemsstat fastsætte regler om, hvorvidt og i hvilket omfang administrative bøder må pålægges offentlige myndigheder, der er etableret i den pågældende medlemsstat.

7. Udøvelsen af de beføjelser, som et organ med ansvar for adgang til sundhedsdata har i henhold til denne artikel, er underlagt fornødne proceduremæssige garantier i overensstemmelse med EU-retten og national ret, herunder effektive retsmidler og retfærdig procedure.

8. Hvis en medlemsstats retssystem ikke giver mulighed for at pålægge administrative bøder, kan denne artikel anvendes på en sådan måde, at det i overensstemmelse med dens nationale retlige rammer sikres, at disse retsmidler er effektive, og har en tilsvarende virkning som de administrative bøder, som pålægges af organer med ansvar for adgang til sundhedsdata. De bøder, der pålægges, skal under alle omstændigheder være effektive, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning. Den pågældende medlemsstat meddeler Kommissionen de bestemmelser i dens lovgivning, som den vedtager i medfør af dette stykke, senest den 26. marts 2029 og straks enhver senere lovgivning, der ændrer sådanne bestemmelser eller ændringer, der berører sådanne bestemmelser.

Artikel 65

Forholdet til tilsynsmyndighederne i henhold til forordning (EU) 2016/679

Den eller de tilsynsmyndigheder, der er ansvarlige for at overvåge og håndhæve anvendelsen af forordning (EU) 2016/679, er også kompetente med hensyn til at overvåge og håndhæve anvendelsen af retten til at fravælge behandlingen af personlige elektroniske sundhedsdata til sekundær anvendelse, jf. artikel 71. Disse tilsynsmyndigheder har beføjelse til at pålægge administrative bøder op til det beløb, der er omhandlet i artikel 83 i forordning (EU) 2016/679.

De tilsynsmyndigheder, der er omhandlet i nærværende artikels stk. 1, og de organer med ansvar for adgang til sundhedsdata, der er omhandlet i nærværende forordnings artikel 55, samarbejder, hvor det er relevant, om håndhævelsen af nærværende forordning inden for rammerne af deres respektive beføjelser. De relevante bestemmelser i forordning (EU) 2016/679 finder tilsvarende anvendelse.

AFDELING 3

Adgang til elektroniske sundhedsdata til sekundær anvendelse

Artikel 66

Dataminimering og formålsbegrænsning

1. Hvis organer med ansvar for adgang til sundhedsdata modtager en ansøgning om adgang til sundhedsdata, sikrer de, at der kun gives adgang til de elektroniske sundhedsdata, der er tilstrækkelige, relevante og begrænset til hvad der er nødvendigt i forhold det formål med sundhedsdatabrugerens behandling, der er angivet i ansøgningen om adgang til sundhedsdata, og i overensstemmelse med datatilladelsen udstedt i henhold til artikel 68.

2. Organer med ansvar for adgang til sundhedsdata leverer elektroniske sundhedsdata i et anonymiseret format, hvor formålet med sundhedsdatabrugerens behandling kan opfyldes med sådanne data, idet der tages hensyn til oplysningerne fra sundhedsdatabrugeren.

3. Hvis sundhedsdatabrugeren i tilstrækkelig grad har påvist, at formålet med behandlingen ikke kan opfyldes med anonymiserede data i overensstemmelse med artikel 68, stk. 1, litra c), giver organerne med ansvar for adgang til sundhedsdata adgang til elektroniske sundhedsdata i pseudonymiseret format. De oplysninger, der er nødvendige for at ophæve pseudonymiseringen, må kun være tilgængelige for organet med ansvar for adgang til sundhedsdata eller en enhed, der fungerer som en pålidelig tredjepart i overensstemmelse med national ret.

Artikel 67

Ansøgninger om adgang til sundhedsdata

1. En fysisk eller juridisk person kan indgive en ansøgning om adgang til sundhedsdata til de i artikel 53, stk. 1, omhandlede formål, til et organ med ansvar for adgang til sundhedsdata.

2. Ansøgningen om adgang til sundhedsdata skal indeholde:

3. Hvor der søges adgang til elektroniske sundhedsdata der holdes af sundhedsdataindehavere, der er etableret i mere end én medlemsstat, eller fra de relevante autoriserede deltagere i HealthData@EU, der er omhandlet i artikel 75, indgiver sundhedsdataansøgeren en enkelt ansøgning om adgang til sundhedsdata via organet med ansvar for adgang til sundhedsdata i den medlemsstat, hvor sundhedsdataansøgerens hovedforretningssted befinder sig, gennem de organer med ansvar for adgang til sundhedsdata i den medlemsstat hvor disse sundhedsdataindehavere er etableret eller gennem de tjenester, der leveres af Kommissionen i HealthData@EU, jf. artikel 75. Ansøgningen om adgang til sundhedsdata sendes automatisk til de relevante autoriserede deltagere i HealthData@EU og til organerne med ansvar for adgang til sundhedsdata i de medlemsstater, hvor sundhedsdataindehaverne, der er identificeret i ansøgningen om adgang til sundhedsdata, er etableret.

4. Hvis sundhedsdataansøgeren søger adgang til de personlige elektroniske sundhedsdata i pseudonymiseret format, forelægger sundhedsdataansøgeren sammen med ansøgningen om adgang til sundhedsdata en beskrivelse af, hvordan behandlingen vil være i overensstemmelse med gældende EU-ret eller national ret om databeskyttelse og privatlivets fred, navnlig med forordning (EU) 2016/679 og mere specifikt med artikel 6, stk. 1, deri.

5. Offentlige myndigheder og EU-institutioner, -organer, -kontorer og -agenturer giver de samme oplysninger som dem, der kræves i henhold til stk. 2 og 4, med undtagelse af stk. 2, litra h), i hvilke tilfælde de i stedet indsender elektroniske sundhedsdata om den periode, i hvilken dataene kan tilgås, hyppigheden af denne adgang eller hyppigheden af dataajourføringer.

Artikel 68

Datatilladelse

1. Med henblik på at give adgang til elektroniske sundhedsdata, vurderer organerne med ansvar for adgang til sundhedsdata om alle følgende kriterier er opfyldt:

2. Organet med ansvar for adgang til sundhedsdata tager også følgende i betragtning:

3. Hvis organet med ansvar for adgang til sundhedsdata konkluderer, at kravene i stk. 1 er opfyldt, og at de risici, der er omhandlet i stk. 2, er tilstrækkeligt afbødet, giver organet med ansvar for adgang til sundhedsdata adgang til elektroniske sundhedsdata ved at udstede en datatilladelse. Organer med ansvar for adgang til sundhedsdata afslår alle ansøgninger om adgang til sundhedsdata, for hvilke kravene i dette kapitel ikke er opfyldt.

Hvis kravene til udstedelse af en datatilladelse ikke er opfyldt, men kravene om at give et svar i et anonymiseret statistisk format i henhold til artikel 69 er opfyldt, kan organet med ansvar for adgang til sundhedsdata beslutte at give et sådant svar på betingelse af, at afgivelsen af svaret vil mindske risiciene, og, hvis formålet med ansøgningen om adgang til sundhedsdata kan opfyldes på denne måde, at sundhedsdataansøgeren indvilliger i at modtage et svar i et anonymiseret statistisk format i henhold til artikel 69.

4. Uanset forordning (EU) 2022/868 skal et organ med ansvar for adgang til sundhedsdata udstede eller afslå en datatilladelse senest tre måneder efter modtagelsen af en fuldstændig ansøgning om adgang til sundhedsdata. Hvis organet med ansvar for adgang til sundhedsdata konstaterer, at ansøgningen om adgang til sundhedsdata er ufuldstændig, underretter det sundhedsdataansøgeren herom og giver denne mulighed for at fuldstændiggøre den pågældende ansøgning. Hvis sundhedsdataansøgeren ikke fuldstændiggøre ansøgningen om adgang til sundhedsdata inden for fire uger, udstedes der ikke en datatilladelse.

Organet med ansvar for adgang til sundhedsdata kan forlænge fristen for besvarelse af en ansøgning om adgang til sundhedsdata med yderligere tre måneder, hvis det er nødvendigt, under hensyntagen til ansøgningen om adgang til sundhedsdatas hastende karakter og kompleksitet og omfanget af ansøgninger om adgang til sundhedsdata, der er indgivet til afgørelse. I sådanne tilfælde underretter organet med ansvar for adgang til sundhedsdata hurtigst muligt sundhedsdataansøgeren om, at der er behov for mere tid til at behandle ansøgningen om adgang til sundhedsdata, sammen med årsagerne til forsinkelsen.

5. Ved behandling af en ansøgning om adgang til sundhedsdata med henblik på grænseoverskridende adgang til elektroniske sundhedsdata, der er omhandlet i artikel 67, stk. 3, er organer med ansvar for adgang til sundhedsdata og relevante autoriserede deltagere i HealthData@EU, jf. artikel 75, fortsat ansvarlige for at vedtage afgørelser om at give eller nægte adgang til elektroniske sundhedsdata inden for deres ansvarsområde i overensstemmelse dette kapitel.

De pågældende organer med ansvar for adgang til sundhedsdata og autoriserede deltagere i HealthData@EU underretter hinanden om deres afgørelser. De kan tage hensyn til disse oplysninger, når de træffer afgørelse om at give eller nægte adgang til elektroniske sundhedsdata.

En datatilladelse udstedt af et organ med ansvar for adgang til sundhedsdata kan opnå gensidig anerkendelse fra de andre organer med ansvar for adgang til sundhedsdata.

6. Medlemsstaterne fastsætter bestemmelser om en fremskyndet procedure for ansøgning om adgang til sundhedsdata for offentlige myndigheder og EU-institutioner, -organer, -kontorer og -agenturer med et retligt mandat på folkesundhedsområdet, hvis behandlingen af elektroniske sundhedsdata skal foretages med henblik på de formål, der er fastsat i artikel 53, stk. 1, litra a), b) og c).

Hvis en sådan fremskyndet procedure finder anvendelse, skal organet med ansvar for adgang til sundhedsdata udstede eller afslå en datatilladelse senest to måneder efter modtagelsen af en fuldstændig ansøgning om adgang til sundhedsdata. Organet med ansvar for adgang til sundhedsdata kan om nødvendigt forlænge fristen for besvarelse af en ansøgning om adgang til sundhedsdata med yderligere en måned.

7. Efter udstedelsen af datatilladelsen anmoder organet med ansvar for adgang til sundhedsdata straks om de elektroniske sundhedsdata fra dataindehaveren. Organet med ansvar for adgang til sundhedsdata stiller de elektroniske sundhedsdata til rådighed for sundhedsdatabrugeren senest to måneder efter at have modtaget dem fra sundhedsdataindehaverne, medmindre organet angiver, at dataene skal leveres inden for en længere nærmere fastsat frist.

8. I de tilfælde, der er omhandlet i denne artikels stk. 5, første afsnit, kan organerne med ansvar for adgang til sundhedsdata og autoriserede deltagere i HealthData@EU, der har udstedt henholdsvis en datatilladelse eller en adgangsgodkendelse, beslutte at give adgang til de elektroniske sundhedsdata i det sikre databehandlingsmiljø, som Kommissionen stiller til rådighed, jf. artikel 75, stk. 9.

9. Hvis organet med ansvar for adgang til sundhedsdata afslår at udstede en datatilladelse, skal det give sundhedsdataansøgeren en begrundelse for dette afslag.

10. Hvis organet med ansvar for adgang til sundhedsdata udsteder en datatilladelse, fastsætter det i denne datatilladelse de generelle betingelser, der gælder for sundhedsdatabrugeren. Datatilladelsen skal indeholde følgende:

11. Sundhedsdatabrugere har ret til at få adgang til og behandle de elektroniske sundhedsdata i et sikkert databehandlingsmiljø i overensstemmelse med den datatilladelse, der er udstedt på grundlag af denne forordning.

12. Der udstedes en datatilladelse for den periode, der er nødvendig for at opfylde de ønskede formål, og denne periode må ikke overstige ti år. Denne periode kan forlænges én gang med en periode, som ikke overstiger ti år, efter anmodning fra sundhedsdatabrugeren, der skal omfatte en begrundelse og dokumentation til støtte for forlængelsen, hvilket skal indgives én måned før datatilladelsens udløb. Organet med ansvar for adgang til sundhedsdata kan opkræve gebyrer, som stiger for at afspejle omkostningerne og risiciene ved lagring af elektroniske sundhedsdata i en periode, der overstiger den første periode. For at reducere sådanne omkostninger og gebyrer kan organet med ansvar for adgang til sundhedsdata også foreslå sundhedsdatabrugeren at lagre datasættet i et lagringssystem med reduceret kapacitet. En sådan reduceret kapacitet må ikke påvirke sikkerheden af det behandlede datasæt. De elektroniske sundhedsdata i det sikre databehandlingsmiljø slettes senest seks måneder efter datatilladelsens udløb. Efter anmodning fra sundhedsdatabrugeren kan formlen for oprettelse af det ønskede datasæt lagres af organet med ansvar for adgang til sundhedsdata.

13. Hvis datatilladelsen skal ajourføres, skal sundhedsdatabrugeren indgive en anmodning om ændring af datatilladelsen.

14. Kommissionen kan ved hjælp af en gennemførelsesretsakt udvikle et logo til anerkendelse af det europæiske sundhedsdataområdes bidrag. Denne gennemførelsesretsakt vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

Artikel 69

Sundhedsdataanmodning

1. Sundhedsdataansøgeren kan indgive en sundhedsdataanmodning til de i artikel 53 omhandlede formål, med det formål at opnå et svar udelukkende i et anonymiseret statistisk format. Et organ med ansvar for adgang til sundhedsdata må ikke besvare en sundhedsdataanmodning i et andet format, og sundhedsdatabrugeren må ikke få adgang til de elektroniske sundhedsdata, der anvendes til at give dette svar.

2. En sundhedsdataanmodning, der er omhandlet i stk. 1, skal indeholde følgende oplysninger:

3. Organet med ansvar for adgang til sundhedsdata vurderer, om sundhedsdataanmodningen er fuldstændig, og tager hensyn til de risici, der er omhandlet i artikel 68, stk. 2.

4. Organet med ansvar for adgang til sundhedsdata foretager en vurdering af sundhedsdataanmodningen inden for tre måneder fra modtagelsen af anmodningen og forelægger om muligt efterfølgende svaret for sundhedsdatabrugeren inden for yderligere tre måneder.

Artikel 70

Modeller for støtte til adgang til elektroniske sundhedsdata til sekundær anvendelse

Senest den 26. marts 2027 fastsætter Kommissionen ved hjælp af gennemførelsesretsakter modellerne for ansøgningen om adgang til sundhedsdata, datatilladelsen og sundhedsdataanmodningen, der er omhandlet i henholdsvis artikel 67, 68 og 69. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

Artikel 71

Ret til at fravælge behandlingen af personlige elektroniske sundhedsdata til sekundær anvendelse (opt-out)

1. Fysiske personer har til enhver tid og uden at skulle give nogen grund hertil ret til at fravælge behandlingen af personlige elektroniske sundhedsdata vedrørende dem, til sekundær anvendelse i henhold til denne forordning. Udøvelsen af denne ret er reversibel.

2. Medlemsstater sikrer, at der indføres en tilgængelig og letforståelig fravalgsmekanisme til udøvelsen af den i stk. 1 fastsatte ret, hvor fysiske personer udtrykkeligt kan tilkendegive, at de ikke ønsker deres personlige elektroniske sundhedsdata behandlet til sekundær anvendelse.

3. Når fysiske personer har udøvet deres ret til fravalg, og hvor personlige elektroniske sundhedsdata vedrørende dem kan identificeres i et datasæt, må personlige elektroniske sundhedsdata vedrørende disse fysiske personer ikke stilles til rådighed eller på anden måde behandles i henhold til datatilladelser udstedt i henhold til artikel 68 eller i henhold til sundhedsdataanmodninger godkendt i henhold til artikel 69, efter at den fysiske person har udøvet retten til fravalg.

Dette stykkes første afsnit berører ikke behandlingen til sekundær anvendelse af personlige elektroniske sundhedsdata, som vedrører disse fysiske personer, i henhold til datatilladelser eller sundhedsdataanmodninger, der blev udstedt eller godkendt, inden de fysiske personer udøvede deres ret til fravalg.

4. Uanset den i stk. 1 fastsatte ret til fravalg kan en medlemsstat i sin nationale ret fastsætte en mekanisme til at stille data, for hvilke der er gjort brug af retten til fravalg til rådighed, forudsat at alle følgende betingelser er opfyldt:

Den nationale ret vedrørende en sådan mekanisme skal fastsætte specifikke og passende foranstaltninger for at beskytte de fysiske personers grundlæggende rettigheder og personoplysninger.

Hvis en medlemsstat i sin nationale ret har givet mulighed for at anmode om adgang til data, for hvilke retten til fravalg er blevet udøvet, og betingelserne i dette stykkes første afsnit er opfyldt, kan disse data, medtages i forbindelse med udførelsen af opgaverne i henhold til artikel 57, stk. 1, litra a), nr. i) og iii), og litra b).

5. De regler om en mekanisme til gennemførelse af undtagelser, der som en undtagelse til stk. 1 er fastsat i stk. 4, skal respektere det væsentligste indhold af de grundlæggende rettigheder og frihedsrettigheder og skal være en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund for at opfylde formål af offentlighedens interesse inden for legitime videnskabelige og samfundsmæssige mål.

6. Enhver behandling, der udføres i overensstemmelse med mekanismen til gennemførelse af undtagelser, jf. nærværende artikels stk. 4, skal opfylde kravene i dette kapitel, navnlig forbuddet mod at reidentificere eller forsøg på at reidentificere fysiske personer i overensstemmelse med artikel 61, stk. 3. Enhver lovgivningsmæssig foranstaltning, som i national ret fastsætter en mekanisme som omhandlet i nærværende artikels stk. 4, skal omfatte specifikke bestemmelser om sikkerheden og beskyttelsen af fysiske personers rettigheder.

7. Medlemsstaterne giver straks Kommissionen meddelelse om de bestemmelser i deres nationale ret, som de vedtager i henhold til stk. 4, og om alle senere ændringer, der berører dem.

8. Hvis formålene med en sundhedsdataindehavers behandling af personlige elektroniske sundhedsdata, ikke eller ikke længere kræver, at den dataansvarlige identificerer en registreret, er den pågældende sundhedsdataindehaver ikke forpligtet til at beholde, indhente eller behandle yderligere oplysninger med henblik på at identificere den registrerede alene med det formål at overholde retten til fravalg i henhold til denne artikel.

Artikel 72

Forenklet procedure for adgang til elektroniske sundhedsdata fra en betroet sundhedsdataindehaver

1. Hvis et organ med ansvar for adgang til sundhedsdata modtager en ansøgning om adgang til sundhedsdata i henhold til artikel 67 eller en sundhedsdataanmodning i henhold til artikel 69, som kun omfatter elektroniske sundhedsdata, som en betroet sundhedsdataindehaver, der er udpeget i overensstemmelse med nærværende artikels stk. 2, er i besiddelse af, finder proceduren i nærværende artikels stk. 4-6 anvendelse.

2. Medlemsstaterne kan indføre en procedure, hvorefter sundhedsdataindehavere kan ansøge om at blive udpeget som betroede sundhedsdataindehavere, forudsat at sundhedsdataindehaverne opfylder følgende betingelser:

Medlemsstaterne udpeger betroede sundhedsdataindehavere efter en vurdering af opfyldelsen af disse betingelser foretaget af det relevante organ med ansvar for adgang til sundhedsdata.

Medlemsstaterne indfører en procedure for regelmæssigt at undersøge, om den betroede sundhedsdataindehaver fortsat opfylder disse betingelser.

Organer med ansvar for adgang til sundhedsdata angiver de betroede sundhedsdataindehavere i det artikel 77 omhandlede datasætkatalog.

3. Ansøgninger om adgang til sundhedsdata og sundhedsdataanmodninger som omhandlet i stk. 1 indgives til organet med ansvar for adgang til sundhedsdata, som kan videresende dem til den relevante betroede sundhedsdataindehaver.

4. Efter modtagelse af en ansøgning om adgang til sundhedsdata eller en sundhedsdataanmodning i henhold til denne artikels stk. 3 vurderer den betroede sundhedsdataindehaver ansøgningen om adgang til sundhedsdata eller sundhedsdataanmodningen i forhold til kriterierne i artikel 68, stk. 1 og 2, eller artikel 69, stk. 2 og 3, alt efter hvad der er relevant.

5. Den betroede sundhedsdataindehaver indgiver vurderingen, som den foretager i henhold til stk. 4, ledsaget af et forslag til afgørelse til organet med ansvar for adgang til sundhedsdata senest to måneder efter modtagelsen af ansøgningen om adgang til sundhedsdata eller sundhedsdataanmodningen fra organet med ansvar for adgang til sundhedsdata. Senest to måneder efter modtagelsen af vurderingen træffer organet med ansvar for adgang til sundhedsdata en afgørelse om ansøgningen om adgang til sundhedsdata eller sundhedsdataanmodningen. Organet med ansvar for adgang til sundhedsdata er ikke bundet af det forslag, der indgives af den betroede sundhedsdataindehaver.

6. Når organet med ansvar for adgang til sundhedsdata har besluttet at udstede datatilladelsen eller godkende sundhedsdataanmodningen, udfører den betroede sundhedsdataindehaver de opgaver, der er omhandlet i artikel 57, stk. 1, litra a), nr. i), og litra b).

7. Unionens tjeneste for adgang til sundhedsdata, som omhandlet i artikel 56, kan udpege sundhedsdataindehavere, der er EU-institutioner, -organer, -kontorer eller -agenturer, og som opfylder betingelserne, der er fastsat i nærværende artikels stk. 2, første afsnit, litra a), b) og c), som betroede sundhedsdataindehavere. I så fald finder nærværende artikels stk. 2, tredje og fjerde afsnit, samt stk. 3-6, tilsvarende anvendelse.

Artikel 73

Sikkert databehandlingsmiljø

1. Organer med ansvar for adgang til sundhedsdata må kun give adgang til elektroniske sundhedsdata i henhold til en datatilladelse gennem et sikkert databehandlingsmiljø, som er underlagt tekniske og organisatoriske foranstaltninger og sikkerheds- og interoperabilitetskrav. Navnlig skal man i forbindelse med det sikre databehandlingsmiljø overholde følgende sikkerhedsforanstaltninger:

2. Organer med ansvar for adgang til sundhedsdata sikrer, at sundhedsdataindehaverne kan uploade elektroniske sundhedsdata i det format, der er specificeret i datatilladelsen, og at de kan tilgås af sundhedsdatabrugeren i et sikkert databehandlingsmiljø.

Organer med ansvar for adgang til sundhedsdata gennemgår de elektroniske sundhedsdata i en anmodning om download for at sikre, at sundhedsdatabrugere kun må kunne downloade andre elektroniske sundhedsdata end personoplysninger, herunder elektroniske sundhedsdata i et anonymiseret statistisk format, fra det sikre databehandlingsmiljø.

3. Organer med ansvar for adgang til sundhedsdata sikrer, at kontroller af de sikre databehandlingsmiljøer foretages regelmæssigt, herunder af tredjeparter, og træffer øjeblikkelige korrigerende tiltag ved enhver mangel, risiko eller sårbarhed, der identificeres ved disse kontroller i de sikre databehandlingsmiljøer.

4. Hvis anerkendte dataaltruistiske organisationer i henhold til kapitel IV i forordning (EU) 2022/868 behandler personlige elektroniske sundhedsdata ved hjælp af et sikkert databehandlingsmiljø, skal disse miljøer også overholde de sikkerhedsforanstaltninger, der er fastsat i nærværende artikels stk. 1, litra a)-f).

5. Senest den 26. marts 2027 fastsætter Kommissionen ved hjælp af gennemførelsesretsakter de tekniske og organisatoriske krav og kravene til informationssikkerhed, fortrolighed, databeskyttelse og interoperabilitet for de sikre databehandlingsmiljøer, herunder for så vidt angår de tekniske karakteristika og værktøjer, der er til rådighed for sundhedsdatabrugeren i det sikre databehandlingsmiljø. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

Artikel 74

Dataansvar

1. Sundhedsdataindehaveren betragtes som dataansvarlig med hensyn til at stille de personlige elektroniske sundhedsdata, der ønskes i henhold til artikel 60, stk. 1, til rådighed for organet med ansvar for adgang til sundhedsdata.

Organet med ansvar for adgang til sundhedsdata betragtes som dataansvarlig med hensyn til behandling af de personlige elektroniske sundhedsdata, når det udfører sine opgaver i henhold til denne forordning.

Uanset dette stykkes andet afsnit anses organet med ansvar for adgang til sundhedsdata for at handle på vegne af sundhedsdatabrugeren, der handler som dataansvarlig for behandlingen af de personlige elektroniske sundhedsdata i henhold til en datatilladelse udstedt i henhold til artikel 68 i det sikre databehandlingsmiljø, når det leverer data gennem et sådant miljø, eller i forhold til behandlingen af sådanne data i henhold til en sundhedsdataanmodning godkendt i henhold til artikel 69 med henblik på at generere et svar.

2. I de situationer, der er omhandlet i artikel 72, stk. 6, betragtes den betroede sundhedsdataindehaver som dataansvarlig for behandlingen af personlige elektroniske sundhedsdata i forbindelse med levering af elektroniske sundhedsdata til sundhedsdatabrugeren i henhold til en datatilladelse eller en sundhedsdataanmodning. Den betroede sundhedsdataindehaver anses for at fungere som databehandler på vegne af sundhedsdatabrugeren, når vedkommende leverer data gennem et sikkert databehandlingsmiljø.

3. Kommissionen kan ved hjælp af gennemførelsesretsakter fastlægge en model for aftaler mellem dataansvarlige og databehandlere i henhold til denne artikels stk. 1 og 2. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

AFDELING 4

Grænseoverskridende infrastruktur til sekundær anvendelse

Artikel 75

HealthData@EU

1. Hver medlemsstat udpeger ét nationalt kontaktpunkt for sekundær anvendelse. Dette nationale kontaktpunkt for sekundær anvendelse fungerer som en organisatorisk og teknisk portal, der giver mulighed for og er ansvarligt for at stille elektroniske sundhedsdata til rådighed til sekundær anvendelse i en grænseoverskridende sammenhæng. Det nationale kontaktpunkt for sekundær anvendelse kan være det i artikel 55, stk. 1, omhandlede koordinerende organ med ansvar for adgang til sundhedsdata. Hver medlemsstat underretter senest den 26. marts 2027 Kommissionen om navnet på og kontaktoplysninger for det nationale kontaktpunkt for sekundær anvendelse. Kommissionen og medlemsstaterne gør disse oplysninger offentligt tilgængelige.

2. Unionens tjeneste for adgang til sundhedsdata fungerer som EU-institutionernes, -organernes, -kontorernes og -agenturernes kontaktpunkt for sekundær anvendelse og er ansvarlig for at stille elektroniske sundhedsdata til rådighed til sekundær anvendelse.

3. De i stk. 1 omhandlede nationale kontaktpunkter for sekundær anvendelse, og Unionens tjeneste for adgang til sundhedsdata, der er omhandlet i stk. 2, tilsluttes den grænseoverskridende infrastruktur til sekundær anvendelse, dvs. HealthData@EU. De nationale kontaktpunkter for sekundær anvendelse og Unionens tjeneste for adgang til sundhedsdata letter grænseoverskridende adgang til elektroniske sundhedsdata til sekundær anvendelse for forskellige autoriserede deltagere i HealthData@EU. De nationale kontaktpunkter for sekundær anvendelse arbejder tæt sammen med hinanden og med Kommissionen.

4. Sundhedsrelaterede forskningsinfrastrukturer eller lignende infrastrukturer, hvis funktion er baseret på EU-retten, og som yder støtte til anvendelsen af elektroniske sundhedsdata til forskning, politikudformning, statistik, patientsikkerhed eller reguleringsmæssige formål, kan blive autoriserede deltagere i HealthData@EU og tilslutte sig det.

5. Tredjelande eller internationale organisationer kan blive autoriserede deltagere HealthData@EU, hvis de overholder bestemmelserne i dette kapitel og giver adgang for sundhedsdatabrugere, der befinder sig i Unionen, på tilsvarende vilkår og betingelser til de elektroniske sundhedsdata, der er tilgængelige for deres organer med ansvar for adgang til sundhedsdata, forudsat at kapitel V i forordning (EU) 2016/679 overholdes.

Kommissionen kan ved hjælp af gennemførelsesretsakter fastslå, at et nationalt kontaktpunkt for sekundær anvendelse i et tredjeland eller et system, der er oprettet på internationalt plan af en international organisation, opfylder kravene i HealthData@EU med henblik på sekundær anvendelse af sundhedsdata, er i overensstemmelse med dette kapitel og giver sundhedsdatabrugere, der befinder sig i Unionen, adgang til de elektroniske sundhedsdata, som det har adgang til, på vilkår og betingelser svarende til dem, der gælder for HealthData@EU. Overholdelsen af disse retlige, organisatoriske, tekniske og sikkerhedsmæssige krav, herunder kravene til sikre databehandlingsmiljøer i artikel 73, kontrolleres under Kommissionens kontrol. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2. Kommissionen gør listen over gennemførelsesretsakter vedtaget i henhold til dette stykke offentligt tilgængelig.

6. Hvert nationalt kontaktpunkt for sekundær anvendelse og hver autoriseret deltager HealthData@EU skal have den nødvendige tekniske kapacitet til at tilslutte sig og deltage i HealthData@EU. De skal opfylde de krav og tekniske specifikationer, der er nødvendige for at drive HealthData@EU og give dem mulighed for at forbinde sig med den.

7. Medlemsstaterne og Kommissionen opretter HealthData@EU for at støtte og lette grænseoverskridende adgang til elektroniske sundhedsdata til sekundær anvendelse, der forbinder de nationale kontaktpunkter for sekundær anvendelse og autoriserede deltagere i HealthData@EU og den i stk. 8 omhandlede centrale platform.

8. Kommissionen udvikler, udruller og driver en central platform for HealthData@EU ved at levere de informationsteknologitjenester, der er nødvendige for at støtte og lette informationsudvekslingen mellem organer med ansvar for adgang til sundhedsdata som en del af HealthData@EU. Kommissionen behandler kun elektroniske sundhedsdata på vegne af de dataansvarlige som databehandler.

9. Hvis to eller flere nationale kontaktpunkter for sekundær anvendelse anmoder herom, kan Kommissionen tilvejebringe et sikkert databehandlingsmiljø, som opfylder kravene i artikel 73, for data fra mere end én medlemsstat. Hvis to eller flere nationale kontaktpunkter for sekundær anvendelse eller autoriserede deltagere i HealthData@EU indlæser elektroniske sundhedsdata i et sikkert databehandlingsmiljø, der forvaltes af Kommissionen, er de fælles dataansvarlige, og Kommissionen er databehandler med henblik på behandlingen af data i dette miljø.

10. De nationale kontaktpunkter for sekundær anvendelse fungerer som fælles dataansvarlige for de behandlingsaktiviteter, der udføres i HealthData@EU, som de er involveret i, og Kommissionen fungerer som databehandler på vegne af disse nationale kontaktpunkter for sekundær anvendelse, uden at det berører opgaverne for organerne med ansvar for adgang til sundhedsdata forud for og efter disse behandlingsaktiviteter.

11. Medlemsstaterne og Kommissionen bestræber sig på at, HealthData@EU er interoperabelt med andre relevante fælles europæiske dataområder som omhandlet i forordning (EU) 2022/868 og (EU) 2023/2854.

12. Senest den 26. marts 2027 fastsætter Kommissionen ved hjælp af gennemførelsesretsakter regler om:

Gennemførelsesretsakterne omhandlet i dette stykkes første afsnit vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

13. Hvis resultatet af den i denne artikels stk. 5, omhandlede overensstemmelseskontrol er positivt, kan Kommissionen ved hjælp af gennemførelsesretsakter træffe afgørelser om at lade individuelle autoriserede deltagere tilslutte sig HealthData@EU. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

Artikel 76

Adgang til grænseoverskridende registre eller databaser over elektroniske sundhedsdata til sekundær anvendelse

1. I tilfælde af grænseoverskridende registre og databaser har det organ med ansvar for adgang til sundhedsdata, hvor sundhedsdataindehaveren for det specifikke register eller den specifikke database er registreret, kompetence til at træffe afgørelse om ansøgninger om adgang til sundhedsdata med henblik på at give adgang til elektroniske sundhedsdata i henhold til en datatilladelse. Hvis sådanne registre eller databaser har fælles dataansvarlige, er det organ med ansvar for adgang til sundhedsdata, der træffer afgørelse om ansøgningerne om adgang til sundhedsdata, der skal anvendes til at give adgang til elektroniske sundhedsdata, organet med ansvar for adgang til sundhedsdata i den medlemsstat, hvor en af de fælles dataansvarlige er etableret.

2. Hvis registre eller databaser fra en række medlemsstater organiserer sig i et enkelt netværk af registre eller databaser på EU-plan, kan de tilknyttede registre eller databaser udpege en koordinator for at sikre levering af data fra registrenes eller databasernes netværk til sekundær anvendelse. Organet med ansvar for adgang til sundhedsdata i den medlemsstat, hvor nettets koordinator er etableret, har kompetence til at træffe afgørelse om ansøgninger om adgang til sundhedsdata, der skal anvendes med henblik på at give adgang til elektroniske sundhedsdata for netværket af registre eller databaser.

AFDELING 5

Kvalitet og udnyttelse af sundhedsdata til sekundær anvendelse

Artikel 77

Beskrivelse af datasæt og datasætkatalog

1. Organer med ansvar for adgang til sundhedsdata giver via et offentligt tilgængeligt og standardiseret maskinlæsbart datasætkatalog en beskrivelse i form af metadata af de tilgængelige datasæt og deres karakteristika. Beskrivelsen af hvert datasæt skal indeholde oplysninger om kilden, omfanget, de vigtigste karakteristika og arten af de elektroniske sundhedsdata i datasættet og betingelserne for at stille disse data til rådighed.

2. Beskrivelserne af datasættene i det nationale datasætkatalog skal være tilgængelige på mindst ét af Unionens officielle sprog. Det datasætkatalog for EU-institutioner, -organer, -kontorer og -agenturer, der leveres af Unionens tjeneste for adgang til sundhedsdata, skal være tilgængeligt på alle Unionens officielle sprog.

3. Datasætkataloget stilles til rådighed for centrale informationssteder, der er oprettet eller udpeget i henhold til artikel 8 i forordning (EU) 2022/868.

4. Senest den 26. marts 2027 fastsætter Kommissionen ved hjælp af gennemførelsesretsakter de elementer, som sundhedsdataindehavere som minimum skal stille til rådighed for datasæt, og disse elementers karakteristika. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

Artikel 78

Datakvalitets- og dataudnyttelsesmærke

1. Datasæt, der stilles til rådighed via organer med ansvar for adgang til sundhedsdata, kan være forsynet med et EU-datakvalitets- og dataudnyttelsesmærke fra sundhedsdataindehaverne.

2. Datasæt med elektroniske sundhedsdata, der indsamles og behandles med støtte fra EU-midler eller national offentlig finansiering, skal være forsynet med et datakvalitets- og dataudnyttelsesmærke, der omfatter de elementer, der er fastsat i stk. 3.

3. Datakvalitets- og dataudnyttelsesmærket skal omfatte følgende krav, hvor det er relevant:

4. Hvis et organ med ansvar for adgang til sundhedsdata har grund til at tro, at et datakvalitets- og dataudnyttelsesmærke kan være unøjagtigt, vurderer det, om det datasæt, der er omfattet af mærket, opfylder de i stk. 3, omhandlede kvalitetskrav, og tilbagekalder mærket, hvis datasættet ikke opfylder kvalitetskravene.

5. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 97 for at ændre denne forordning ved at ændre, tilføje eller fjerne elementer, der skal være omfattet af det i nærværende artikels stk. 3 omhandlede datakvalitets- og dataudnyttelsesmærke.

6. Senest den 26. marts 2027 fastsætter Kommissionen ved hjælp af gennemførelsesretsakter de visuelle karakteristika og tekniske specifikationer for datakvalitets- og dataudnyttelsesmærket på grundlag af de i denne artikels stk. 3 omhandlede elementer. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. denne forordnings artikel 98, stk. 2. Disse gennemførelsesretsakter skal tage hensyn til kravene i artikel 10 i forordning (EU) 2024/1689 og eventuelle vedtagne fælles specifikationer eller harmoniserede standarder til støtte for disse krav, hvor det er relevant.

Artikel 79

EU-datasætkatalog

1. Kommissionen udarbejder et EU-datasætkatalog, der forbinder de nationale datasætkataloger, der er oprettet af organerne med ansvar for adgang til sundhedsdata i hver medlemsstat samt datasætkatalogerne over autoriserede deltagere i HealthData@EU.

2. EU-datasætkataloget, de nationale datasætkataloger samt datasætkatalogerne over autoriserede deltagere i HealthData@EU gøres offentligt tilgængelige.

Artikel 80

Minimumsspecifikationer for datasæt med stor indvirkning

Kommissionen kan ved hjælp af gennemførelsesretsakter fastsætte minimumsspecifikationer for datasæt med stor indvirkning på sekundær anvendelse under hensyntagen til eksisterende EU-infrastrukturer, -standarder, -retningslinjer og -anbefalinger. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

AFDELING 6

Klager

Artikel 81

Retten til at indgive en klage til et organ med ansvar for adgang til sundhedsdata

1. Uden at det berører andre administrative klageadgange eller retsmidler, har fysiske og juridiske personer ret til at indgive en klage vedrørende de i dette kapitel fastlagte bestemmelser, individuelt eller, hvor det er relevant, kollektivt til et organ med ansvar for adgang til sundhedsdata forudsat at deres rettigheder eller interesser påvirkes negativt.

2. Det organ med ansvar for adgang til sundhedsdata, som klagen er indgivet til, underretter klageren om de fremskridt, der er gjort med behandlingen af klagen, og om den trufne afgørelse vedrørende klagen.

3. Organer med ansvar for adgang til sundhedsdata stiller let tilgængelige værktøjer til indgivelse af klager til rådighed.

4. Hvis klagen vedrører fysiske personers rettigheder i henhold til denne forordnings artikel 71, fremsendes klagen til den kompetente tilsynsmyndighed i henhold til forordning (EU) 2016/679. Det relevante organ med ansvar for adgang til sundhedsdata stiller de nødvendige oplysninger til rådighed for den pågældende tilsynsmyndighed i henhold til forordning (EU) 2016/679 med henblik på at lette vurderingen og undersøgelsen af klagen.

KAPITEL V

YDERLIGERE FORANSTALTNINGER

Artikel 82

Kapacitetsopbygning

Kommissionen støtter udveksling af bedste praksis og ekspertise med henblik på at opbygge kapacitet i medlemsstaterne til at styrke de digitale sundhedssystemer til primær anvendelse og sekundær anvendelse under hensyntagen til de specifikke omstændigheder for de forskellige kategorier af involverede interessenter. For at støtte denne kapacitetsopbygning udarbejder Kommissionen i tæt samarbejde og samråd med medlemsstaterne indikatorer for selvevaluering for primær anvendelse og sekundær anvendelse.

Artikel 83

Uddannelse og oplysning af sundhedsprofessionelle

1. Medlemsstaterne udvikler og gennemfører eller giver adgang til uddannelsesprogrammer og giver sundhedsprofessionelle adgang til oplysninger, så de kan forstå og effektivt udføre deres rolle i forbindelse med den primære anvendelse af og i forbindelse med adgang til elektroniske sundhedsdata, herunder i forbindelse med artikel 11, 13 og 16. Kommissionen støtter medlemsstaterne i den henseende.

2. Uddannelsesprogrammerne og oplysningerne skal være tilgængelige og økonomisk overkommelige for alle sundhedsprofessionelle, uden at dette berører tilrettelæggelsen af sundhedssystemerne på nationalt plan.

Artikel 84

Digital sundhedskompetence og digital sundhedsadgang

1. Medlemsstaterne fremmer og støtter digitale sundhedskompetencer og udviklingen af relevante kompetencer og færdigheder for patienter. Kommissionen støtter medlemsstaterne i den henseende. Bevidstgørelseskampagner eller -programmer har navnlig til formål at oplyse patienter og offentligheden generelt om primær anvendelse og sekundær anvendelse inden for rammerne af det europæiske sundhedsdataområde, herunder om de rettigheder, der følger heraf, samt om de fordele, risici og potentielle gevinster for videnskaben og samfundet forbundet med primær anvendelse og sekundær anvendelse.

2. De i stk. 1 omhandlede bevidstgørelseskampagner og -programmer skal skræddersys til specifikke gruppers behov og udvikles, revideres og om nødvendigt ajourføres.

3. Medlemsstaterne fremmer adgangen til den infrastruktur, som er nødvendig til effektiv administration af fysiske personers elektroniske sundhedsdata i forbindelse med både primær anvendelse og sekundær anvendelse.

Artikel 85

Yderligere krav til offentlige udbud og EU-finansiering

1. Ordregivende myndigheder, herunder digitale sundhedsmyndigheder og organer med ansvar for adgang til sundhedsdata og EU-institutioner, -organer, -kontorer eller -agenturer, henviser til de gældende tekniske specifikationer, standarder og profiler som omhandlet i artikel 15, 23, 36, 73, 75 og 78 i forbindelse med procedurer for offentlige indkøb og ved udarbejdelsen af deres udbudsdokumenter eller indkaldelser af forslag samt ved fastlæggelsen af betingelserne for EU-finansiering i forbindelse med denne forordning, herunder grundforudsætninger for struktur- og samhørighedsfondene.

2. Kriterierne for at opnå finansiering fra Unionen skal tage hensyn til de krav, der er udviklet inden for rammerne af kapitel II, III og IV.

Artikel 86

Lagring af personlige elektroniske sundhedsdata til primær anvendelse

I overensstemmelse med de generelle principper i EU-retten, herunder de grundlæggende rettigheder, der er nedfældet i artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder, sikrer medlemsstaterne, at et særligt højt beskyttelses- og sikkerhedsniveau er på plads ved behandlingen af personlige elektroniske sundhedsdata til primær anvendelse, idet de træffer passende tekniske og organisatoriske foranstaltninger. I den sammenhæng og i overensstemmelse med EU-retten og Unionens internationale forpligtelser er denne forordning ikke til hinder for, at man i henhold til national ret, og under hensyntagen til den nationale kontekst, kan kræve, at lagringen af personlige elektroniske sundhedsdata, jf. denne forordnings artikel 14, med henblik på primær anvendelse finder sted i Unionen i tilfælde, hvor personlige elektroniske sundhedsdata behandles af sundhedstjenesteydere i forbindelse med levering af sundhedsydelser eller af de nationale kontaktpunkter for digital sundhed, der er forbundet med MyHealth@EU.

Artikel 87

Lagring af personlige elektroniske sundhedsdata af organer med ansvar for adgang til sundhedsdata og sikre databehandlingsmiljøer

1. Organer med ansvar for adgang til sundhedsdata, betroede sundhedsdataindehavere og Unionens tjeneste for adgang til sundhedsdata lagrer og behandler personlige elektroniske sundhedsdata i Unionen, når de udfører pseudonymisering, anonymisering og enhver anden behandling af personoplysninger, som omhandlet i artikel 67-72, gennem sikre databehandlingsmiljøer som omhandlet i artikel 73 og artikel 75, stk. 9, eller via HealthData@EU. Dette krav finder anvendelse på enhver enhed, der udfører disse opgaver på vegne af sådanne organer eller indehavere eller af en sådan tjeneste.

2. Uanset denne artikels stk. 1 kan de oplysninger, der er omhandlet i nævnte stykke, lagres og behandles i et tredjeland eller et område eller én eller flere specificerede sektorer i det pågældende tredjeland, hvis et sådant land eller område eller en sådan sektor er omfattet af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet vedtaget i henhold til artikel 45 i forordning (EU) 2016/679.

Artikel 88

Overførsel fra tredjelande af andre elektroniske data end personoplysninger

1. Andre elektroniske sundhedsdata end personoplysninger, der af organer med ansvar for adgang til sundhedsdata stilles til rådighed for en sundhedsdatabruger i et tredjeland i medfør af en datatilladelse udstedt i henhold til denne forordnings artikel 68 eller en sundhedsdataanmodning godkendt i henhold til denne forordnings artikel 69 til autoriserede deltagere i et tredjeland eller til en international organisation, og som er baseret på en fysisk persons elektroniske sundhedsdata, der falder ind under en af kategorierne omhandlet i denne forordnings artikel 51, anses for at være meget følsomme, jf. artikel 5, stk. 13, i forordning (EU) 2022/868, hvis overførslen af sådanne andre elektroniske oplysninger end personoplysninger til tredjelande udgør en risiko for reidentifikation ved hjælp af midler, der er mere vidtgående end dem, der med rimelighed kan forventes at blive anvendt, navnlig i betragtning af det begrænsede antal fysiske personer, som disse data vedrører, det forhold, at de er geografisk spredte, eller den forventede teknologiske udvikling i den nærmeste fremtid.

2. Beskyttelsesforanstaltningerne for de kategorier af data, der er nævnt i denne artikels stk. 1, beskrives nærmere i en delegeret retsakt som omhandlet i artikel 5, stk. 13, i forordning (EU) 2022/868.

Artikel 89

International statslig adgang til andre elektroniske sundhedsdata end personoplysninger

1. Digitale sundhedsmyndigheder, organer med ansvar for adgang til sundhedsdata, autoriserede deltagere i de grænseoverskridende infrastrukturer, der er omhandlet i artikel 23 og 75, og sundhedsdatabrugere træffer alle rimelige tekniske, retlige og organisatoriske foranstaltninger, herunder kontraktlige ordninger, for at forhindre overførslen af andre elektroniske sundhedsdata end personoplysninger, der er lagret i Unionen, til et tredjeland eller til en international organisation, herunder statslig adgang i et tredjeland, hvis en sådan overførsel ville være i strid med EU-retten eller den relevante medlemsstats nationale ret.

2. Enhver dom afsagt af et tredjelands domstol og enhver afgørelse truffet af et tredjelands administrative myndighed, der kræver, at en digital sundhedsmyndighed, et organ med ansvar for adgang til sundhedsdata eller sundhedsdatabrugere overfører eller giver adgang til andre elektroniske sundhedsdata end personoplysninger inden for denne forordnings anvendelsesområde, der er lagret i Unionen, kan kun anerkendes eller håndhæves på nogen måde, hvis den bygger på en international aftale såsom en traktat om gensidig retshjælp mellem det anmodende tredjeland og Unionen eller en sådan aftale mellem det anmodende tredjeland og en medlemsstat.

3. Hvis der ikke findes en international aftale som omhandlet i stk. 2, og hvis en domstol eller en administrativ myndighed i et tredjeland har afsagt en afgørelse eller en dom mod en digital sundhedsmyndighed, et organ med ansvar for adgang til sundhedsdata eller en sundhedsdatabruger, der pålægger dem at overføre eller at give adgang til andre data end personoplysninger inden for denne forordnings anvendelsesområde, der er lagret i Unionen, og efterkommelse af en sådan afgørelse eller dom ville indebære en risiko for, at adressaten ville handle i strid med EU-retten eller den nationale ret i den relevante medlemsstat, må sådanne data kun overføres til eller tilgås af den pågældende domstol eller administrative myndighed i det pågældende tredjeland eller sådanne data kun videregives, hvis:

4. Hvis betingelserne i stk. 2 eller 3 er opfyldt, skal en digital sundhedsmyndighed, et organ med ansvar for adgang til sundhedsdata eller en dataaltruistisk organisation stille de data, der som minimum er tilladt, til rådighed som svar på en anmodning, på grundlag af en rimelig fortolkning af anmodningen.

5. De digitale sundhedsmyndigheder, organerne med ansvar for adgang til sundhedsdata og sundhedsdatabrugerne underretter sundhedsdataindehaveren om, at der foreligger en anmodning fra en administrativ myndighed i et tredjeland om at få adgang til vedkommendes data, inden anmodningen imødekommes, undtagen i tilfælde, hvor anmodningen tjener retshåndhævelsesformål, og så længe overholdelse er nødvendig for at bevare retshåndhævelsesaktivitetens effektivitet.

Artikel 90

Yderligere betingelser for overførsel af personlige elektroniske sundhedsdata til et tredjeland eller til en international organisation

Overførsel af personlige elektroniske sundhedsdata til et tredjeland eller til en international organisation bevilges i overensstemmelse med kapitel V i forordning (EU) 2016/679. Medlemsstaterne kan opretholde eller indføre yderligere betingelser for international adgang til og overførsel af personlige elektroniske sundhedsdata, herunder begrænsninger, i overensstemmelse med artikel 9, stk. 4, i forordning (EU) 2016/679, ud over kravene fastlagt i nærværende forordnings artikel 24, stk. 3, og artikel 75, stk. 5, og i kapitel V i forordning (EU) 2016/679.

Artikel 91

Ansøgninger om adgang til sundhedsdata og sundhedsdataanmodninger fra tredjelande

1. Uden at det berører artikel 67, 68 og 69, anses ansøgninger om adgang til sundhedsdata og sundhedsdataanmodninger indgivet af en sundhedsdatabruger, der er etableret i et tredjeland, som berettigede til vurdering af organer med ansvar for adgang til sundhedsdata og Unionens tjeneste for adgang til sundhedsdata, såfremt det pågældende tredjeland:

2. Ved hjælp af gennemførelsesretsakter kan Kommissionen fastslå, at et tredjeland opfylder kravene i denne artikels stk. 1, litra b). Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2. Kommissionen gør listen over gennemførelsesretsakter vedtaget i henhold til nærværende stykke offentligt tilgængelig.

3. Kommissionen overvåger udviklingstendenser i tredjelande og internationale organisationer, der kan påvirke anvendelsen af gennemførelsesretsakterne vedtaget i henhold til stk. 2, og sørger for, at der foretages en regelmæssig gennemgang af, hvordan denne artikel anvendes.

Hvis Kommissionen finder, at et tredjeland ikke længere opfylder kravet i denne artikels stk. 1, litra b), vedtager den en gennemførelsesretsakt om ophævelse af den gennemførelsesretsakt, der er omhandlet i denne artikels stk. 2, vedrørende det pågældende tredjeland, som nyder godt af adgang. Denne gennemførelsesretsakt vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

KAPITEL VI

EUROPÆISK STYRING OG KOORDINERING

Artikel 92

Udvalget for det europæiske sundhedsdataområde

1. Der oprettes herved et udvalg for det europæiske sundhedsdataområde for at lette samarbejdet og udvekslingen af oplysninger mellem medlemsstaterne og Kommissionen. Udvalget for det europæiske sundhedsdataområde sammensættes af to repræsentanter pr. medlemsstat, dvs. én repræsentant til formål forbundet med primær anvendelse og én repræsentant til formål forbundet med sekundær anvendelse, der udpeges af hver medlemsstat. Hver medlemsstat har én stemme. Medlemmerne af udvalget for det europæiske sundhedsdataområde forpligter sig til at handle uafhængigt og i offentlighedens interesse.

2. En repræsentant for Kommissionen og én af de i stk. 1 omhandlede repræsentanter for medlemsstaterne, leder i fællesskab møderne i udvalget for det europæiske sundhedsdataområde.

3. Markedsovervågningsmyndigheder, der er omhandlet i artikel 43, Databeskyttelsesrådet og Den Europæiske Tilsynsførende for Databeskyttelse, Det Europæiske Lægemiddelagentur, Det Europæiske Center for Forebyggelse af og Kontrol med Sygdomme og Den Europæiske Unions Agentur for Cybersikkerhed (ENISA) indbydes til at deltage i møderne, hvis det er relevant ifølge Udvalget for det europæiske sundhedsdataområde.

4. Udvalget for det europæiske sundhedsdataområde kan indbyde nationale myndigheder, eksperter og observatører samt EU-institutioner, -organer, -kontorer og -agenturer ud over dem, der er omhandlet i stk. 3, og forskningsinfrastrukturer og andre lignende infrastrukturer til at deltage i møderne.

5. Udvalget for det europæiske sundhedsdataområde kan samarbejde med eksterne eksperter, hvis det er relevant.

6. Afhængigt af de funktioner, der er forbundet med anvendelsen af elektroniske sundhedsdata, kan udvalget for det europæiske sundhedsdataområde arbejde i undergrupper vedrørende bestemte emner, hvor digitale sundhedsmyndigheder eller organer med ansvar for adgang til sundhedsdata skal være repræsenteret. Disse undergrupper støtter udvalget for det europæiske sundhedsdataområde med særlig ekspertise og kan afholde fælles møder efter behov.

7. Udvalget for det europæiske sundhedsdataområde vedtager efter forslag fra Kommissionen sin forretningsorden og en adfærdskodeks. Denne forretningsorden skal indeholde bestemmelser om de i denne artikels stk. 6 omhandlede underudvalgs sammensætning, organisation, funktionsmåde og samarbejde såvel som om samarbejdet mellem udvalget for det europæiske sundhedsdataområdes og det i artikel 93 omhandlede interessentforum.

Udvalget for det europæiske sundhedsdataområde vedtager så vidt muligt afgørelser ved konsensus. Hvis der ikke kan opnås konsensus, vedtager udvalget for det europæiske sundhedsdataområde afgørelse med et flertal på to tredjedele af medlemsstaterne.

8. Udvalget for det europæiske sundhedsdataområde samarbejder med andre relevante organer, enheder og eksperter såsom Det Europæiske Datainnovationsråd, der er oprettet ved artikel 29 i forordning (EU) 2022/868, kompetente myndigheder, der er udpeget i overensstemmelse med artikel 37 i forordning (EU) 2023/2854, tilsynsorganer, der er udpeget i overensstemmelse med artikel 46b i forordning (EU) nr. 910/2014, Det Europæiske Databeskyttelsesråd, der er oprettet ved artikel 68 i forordning (EU) 2016/679, cybersikkerhedsorganer, herunder ENISA og den europæiske åbne videnskabscloud, med henblik på at finde avancerede løsninger hen imod søgbar, tilgængelig, interoperabel og genanvendelig (FAIR) anvendelse af data inden for forskning og innovation.

9. Udvalget for det europæiske sundhedsdataområde bistås af et sekretariat, som varetages af Kommissionen.

10. Udvalget for det europæiske sundhedsdataområde offentliggør sine mødedatoer og referaterne af sine drøftelser og udgiver hvert andet år en aktivitetsrapport.

11. Kommissionen vedtager ved hjælp af gennemførelsesretsakter de foranstaltninger, der er nødvendige for, at udvalget for det europæiske sundhedsdataområde kan oprettes og drives. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 98, stk. 2.

Artikel 93

Interessentforum

1. Der oprettes hermed et interessentforum med henblik på at lette udvekslingen af oplysninger og fremme samarbejdet blandt interessenter i forbindelse med gennemførelsen af denne forordning.

2. Interessentforummet skal have en afbalanceret sammensætning og bestå af relevante interessenter, herunder repræsentanter for patientsammenslutninger, sundhedsprofessionelle, industrien, forbrugerorganisationer, videnskabelige forskere og akademiske kredse, og repræsentere deres holdninger. Hvis kommercielle interesser er repræsenteret i interessentforummet, skal repræsentationen af sådanne interesser være på grundlag af en afbalanceret kombination af store virksomheder, små og mellemstore virksomheder og nystartede virksomheder. Interessentforummets opgaver omfatter både primær anvendelse og sekundær anvendelse.

3. Medlemmerne af interessentforummet udpeges af Kommissionen på grundlag af en offentlig indkaldelse af interessetilkendegivelser og en gennemsigtig udvælgelsesprocedure. Medlemmerne af interessentforummet afgiver en årlig interesseerklæring, som gøres offentligt tilgængelig og ajourføres, når det er relevant.

4. Interessentforummet kan nedsætte stående eller midlertidige underudvalg, hvis det er relevant, med henblik på at undersøge specifikke spørgsmål vedrørende denne forordnings formål. Interessentforummet vedtager sin forretningsorden.

5. Interessentforummet afholder regelmæssige møder, som ledes af en repræsentant for Kommissionen.

6. Interessentforummet udarbejder en årlig rapport om sine aktiviteter. Denne rapport gøres offentligt tilgængelig.

Artikel 94

Opgaver for udvalget for det europæiske sundhedsdataområde

1. Udvalget for det europæiske sundhedsdataområde har følgende opgaver i forbindelse med primære anvendelse i overensstemmelse med kapitel II og III:

2. Udvalget for det europæiske sundhedsdataområde har følgende opgaver i forbindelse med sekundær anvendelse i overensstemmelse med kapitel IV:

Artikel 95

Styringsgrupper for MyHealth@EU og HealthData@EU

1. Styringsgruppen for MyHealth@EU og styringsgruppen HealthData@EU (»styringsgrupperne«) nedsættes hermed for de i artikel 23 og 75 fastsatte grænseoverskridende infrastrukturer. Hver styringsgruppe består af én repræsentant for hver medlemsstat, der udpeges fra de relevante nationale kontaktpunkter.

2. Styringsgrupperne træffer operationelle beslutninger om udvikling og drift af MyHealth@EU og HealthData@EU.

3. Styringsgrupperne træffer afgørelser ved konsensus. Hvis der ikke kan opnås konsensus, vedtages en afgørelse med to tredjedele af medlemmerne. Ved vedtagelsen af afgørelser har hver medlemsstat én stemme.

4. Styringsgrupperne vedtager forretningsordener, der fastsætter deres sammensætning, organisation, funktionsmåde og samarbejde.

5. Andre autoriserede deltagere kan indbydes til at udveksle oplysninger og synspunkter om relevante spørgsmål vedrørende MyHealth@EU og HealthData@EU. Hvor sådanne autoriserede deltagere indbydes, har de observatørstatus.

6. Interessenter og relevante tredjeparter, herunder repræsentanter for patienter, sundhedsprofessionelle, forbrugere og industrien, kan indbydes til at deltage i styringsgruppernes møder som observatører.

7. Styringsgrupperne vælger formænd til deres møder.

8. Styringsgrupperne bistås af et sekretariat, som varetages af Kommissionen.

Artikel 96

Kommissionens rolle og ansvarsopgaver i forbindelse med det europæiske sundhedsdataområdes funktion

1. Ud over sin rolle med hensyn til at stille elektroniske sundhedsdata, som Unionens institutioner, organer, kontorer eller agenturer er i besiddelse af, til rådighed i overensstemmelse med artikel 55, artikel 56 og artikel 75, stk. 2, og sine opgaver i henhold til kapitel III, navnlig artikel 40, udvikler, vedligeholder, hoster og driver Kommissionen de infrastrukturer og centrale tjenester, der er nødvendige for at støtte det europæiske sundhedsdataområdes funktion, for alle relevante forbundne enheder ved hjælp af:

2. De tjenester, der er omhandlet i denne artikels stk. 1, skal opfylde tilstrækkelige kvalitetsstandarder med hensyn til tilgængelighed, sikkerhed, kapacitet, interoperabilitet, vedligeholdelse, overvågning og udvikling, så det sikres, at det europæiske sundhedsdataområde fungerer effektivt. Kommissionen stiller disse tjenester til rådighed i overensstemmelse med de operationelle afgørelser fra de relevante styringsgrupper, der er nedsat i artikel 95.

3. Kommissionen udarbejder hvert andet år en rapport om de infrastrukturer og tjenester, der understøtter det europæiske sundhedsdataområde, og som den tilvejebringer i overensstemmelse med stk. 1, og gør rapporten offentlig tilgængelig.

KAPITEL VII

DELEGATION AF BEFØJELSER OG UDVALGSPROCEDURE

Artikel 97

Udøvelse af de delegerede beføjelser

1. Beføjelsen til at vedtage delegerede retsakter tillægges Kommissionen på de i denne artikel fastlagte betingelser.

2. Beføjelsen til at vedtage delegerede retsakter, jf. artikel 14, stk. 2, artikel 49, stk. 4, og artikel 78, stk. 5, tillægges Kommissionen for en ubegrænset periode fra 25. marts 2025.

3. Den i artikel 14, stk. 2, artikel 49, stk. 4, og artikel 78, stk. 5, omhandlede delegation af beføjelser kan til enhver tid tilbagekaldes af Europa-Parlamentet eller Rådet. En afgørelse om tilbagekaldelse bringer delegationen af de beføjelser, der er angivet i den pågældende afgørelse, til ophør. Den får virkning dagen efter offentliggørelsen af afgørelsen i Den Europæiske Unions Tidende eller på et senere tidspunkt, der angives i afgørelsen. Den berører ikke gyldigheden af delegerede retsakter, der allerede er i kraft.

4. Inden vedtagelsen af en delegeret retsakt hører Kommissionen eksperter, som er udpeget af hver enkelt medlemsstat, i overensstemmelse med principperne i den interinstitutionelle aftale af 13. april 2016 om bedre lovgivning.

5. Så snart Kommissionen vedtager en delegeret retsakt, giver den samtidigt Europa-Parlamentet og Rådet meddelelse herom.

6. En delegeret retsakt vedtaget i henhold til artikel 14, stk. 2, artikel 49, stk. 4, eller artikel 78, stk. 5, træder kun i kraft, hvis hverken Europa-Parlamentet eller Rådet har gjort indsigelse inden for en frist på tre måneder fra meddelelsen af den pågældende retsakt til Europa-Parlamentet og Rådet, eller hvis Europa-Parlamentet og Rådet inden udløbet af denne frist begge har underrettet Kommissionen om, at de ikke agter at gøre indsigelse. Fristen forlænges med tre måneder på Europa-Parlamentets eller Rådets initiativ.

Artikel 98

Udvalgsprocedure

1. Kommissionen bistås af et udvalg. Dette udvalg er et udvalg som omhandlet i forordning (EU) nr. 182/2011.

2. Når der henvises til dette stykke, anvendes artikel 5 i forordning (EU) nr. 182/2011.

KAPITEL VIII

DIVERSE

Artikel 99

Sanktioner

Medlemsstaterne fastsætter regler om sanktioner, der skal anvendes i tilfælde af overtrædelser af bestemmelserne i denne forordning, navnlig overtrædelser, som ikke er underlagt administrative bøder i henhold til artikel 63 og 64, og træffer alle nødvendige foranstaltninger for at sikre, at de anvendes. Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning. Medlemsstaterne giver senest den 26. marts 2027 Kommissionen meddelelse om disse regler og foranstaltninger og underretter den straks om senere ændringer, der berører dem.

Medlemsstaterne tager hensyn til følgende ikkeudtømmende og vejledende kriterier for pålæggelse af sanktioner i forbindelse med overtrædelse af denne forordning, hvor det er relevant:

Artikel 100

Ret til erstatning

Enhver fysisk eller juridisk person, som har lidt materiel eller immateriel skade som følge af en overtrædelse af denne forordning, har ret til erstatning i overensstemmelse med EU-ret eller national ret.

Artikel 101

Repræsentation af fysiske personer

Hvis en fysisk person finder, at vedkommendes rettigheder i henhold til denne forordning er blevet krænket, har den pågældende ret til at give et organ, en organisation eller en sammenslutning, der ikke arbejder med gevinst for øje, og som er etableret i overensstemmelse med national ret, og som har vedtægtsmæssige mål af samfundsmæssig interesse og beskæftiger sig med beskyttelse af personoplysninger, bemyndigelse til på vedkommendes vegne at indgive en klage eller til at udøve de i artikel 21 og 81 omhandlede rettigheder.

Artikel 102

Evaluering, revision og statusrapport

1. Senest den 26. marts 2033 foretager Kommissionen en målrettet evaluering af denne forordning og forelægger en rapport om de vigtigste resultater heraf for Europa-Parlamentet, Rådet, Det Europæiske Økonomiske og Sociale Udvalg og Regionsudvalget, eventuelt ledsaget af et forslag til ændring heraf. Denne evaluering skal omfatte følgende:

2. Senest den 26. marts 2035 foretager Kommissionen en overordnet evaluering af denne forordning og forelægger en rapport om de vigtigste resultater heraf for Europa-Parlamentet, Rådet, Det Europæiske Økonomiske og Sociale Udvalg og Regionsudvalget, eventuelt ledsaget af et forslag til ændring heraf eller andre nødvendige foranstaltninger. Denne evaluering skal omfatte en vurdering af effektiviteten og funktionen af de systemer, der giver adgang til elektroniske sundhedsdata med henblik på videre behandling, foretaget på grundlag af EU-retten eller national ret, jf. artikel 1, stk. 7, med hensyn til deres indvirkning på gennemførelsen af denne forordning.

3. Medlemsstaterne forelægger Kommissionen alle de oplysninger, der er nødvendige for udarbejdelsen af de i stk. 1 og 2 omhandlede rapporter, og Kommissionen tager behørigt hensyn til disse oplysninger i disse rapporter.

4. Hvert år efter den 25. marts 2025 og indtil slutningen af det år, hvor alle denne forordnings bestemmelser finder anvendelse som fastsat i artikel 105, forelægger Kommissionen Rådet en statusrapport om status for forberedelserne til den fulde gennemførelse af denne forordning. Denne statusrapport skal indeholde oplysninger om graden af fremskridt og medlemsstaternes beredskab i relation til gennemførelsen af denne forordning, herunder en vurdering af, om det er muligt at nå de frister, der er fastsat i artikel 105, og rapporten kan også indeholde henstillinger til medlemsstaterne om at forbedre beredskabet, når det kommer til anvendelsen af denne forordning.

Artikel 103

Ændring af direktiv 2011/24/EU

Artikel 14 i direktiv 2011/24/EU udgår med virkning fra den 26. marts 2031.

Artikel 104

Ændringer til forordning (EU) 2024/2847

I forordning (EU) 2024/2847 foretages følgende ændringer:

KAPITEL IX

UDSKUDT ANVENDELSE, OVERGANGSBESTEMMELSER OG AFSLUTTENDE BESTEMMELSER

Artikel 105

Ikrafttræden og anvendelse

Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Denne forordning finder anvendelse fra den 26. marts 2027.

Artikel 3-15, artikel 23, stk. 2-6, og artikel 25, 26, 27, 47, 48 og 49 finder dog anvendelse som følger:

Kapitel III finder anvendelse på EPJ-systemer, der tages i brug i Unionen, jf. artikel 26, stk. 2, fra den 26. marts 2031.

Kapitel IV finder anvendelse fra den 26. marts 2029. Dog finder artikel 55, stk. 6, artikel 70, artikel 73, stk. 5, artikel 75, stk. 1 og 12, artikel 77, stk. 4, og artikel 78, stk. 6, anvendelse fra den 26. marts 2027, artikel 51, stk. 1, litra b), f), g), m) og p), finder anvendelse fra den 26. marts 2031, og artikel 75, stk. 5, finder anvendelse fra den 26. marts 2035.

De gennemførelsesretsakter, der er omhandlet i artikel 13, stk. 4, artikel 15, stk. 1, artikel 23, stk. 4, og artikel 36, stk. 1, finder anvendelse fra de i nærværende artikels stk. 3 omhandlede datoer afhængig af de i henholdsvis artikel 14, stk. 1, litra a), b) og c), eller artikel 14, stk. 1, litra d), e) og f), omhandlede kategorier af personlige elektroniske sundhedsdata.

De gennemførelsesretsakter, der er omhandlet i artikel 70, artikel 73, stk. 5, artikel 75, stk. 12, artikel 77, stk. 4, og artikel 78, stk. 6, finder anvendelse fra den 26. marts 2029.

Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.

Udfærdiget i Strasbourg, den 11. februar 2025.

På Europa-Parlamentets vegne

R. METSOLA

Formand

På Rådets vegne

A. SZŁAPKA

Formand

EUT C 486 af 21.12.2022, s. 123.

EUT C 157 af 3.5.2023, s. 64.

Europa-Parlamentets holdning af 24.4.2024 (endnu ikke offentliggjort i EUT) og Rådets afgørelse af 21.1.2025.

Kommissionens gennemførelsesafgørelse (EU) 2019/1269 af 26. juli 2019 om ændring af gennemførelsesafgørelse 2014/287/EU om fastsættelse af kriterier for etablering og evaluering af europæiske netværk af referencecentre og deres medlemmer og for lettelse af udvekslingen af oplysninger og ekspertise om etablering og evaluering af sådanne netværk (EUT L 200 af 29.7.2019, s. 35).

Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1).

Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39).

Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 af 23. juli 2014 om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked og om ophævelse af direktiv 1999/93/EF (EUT L 257 af 28.8.2014, s. 73).

Europa-Parlamentets og Rådets afgørelse (EU) 2022/2481 af 14. december 2022 om etablering af politikprogrammet for det digitale årti 2030 (EUT L 323 af 19.12.2022, s. 4).

Kommissionens henstilling (EU) 2019/243 af 6. februar 2019 om et europæisk format for udveksling af elektroniske patientjournaler (EUT L 39 af 11.2.2019, s. 18).

Europa-Parlamentets og Rådets forordning (EU) 2024/1689 af 13. juni 2024 om harmoniserede regler for kunstig intelligens og om ændring af forordning (EF) nr. 300/2008, (EU) nr. 167/2013, (EU) nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 og (EU) 2019/2144 samt direktiv 2014/90/EU, (EU) 2016/797 og (EU) 2020/1828 (forordningen om kunstig intelligens) (EUT L, 2024/1689, 12.7.2024, ELI: http://data.euro...).

Europa-Parlamentets og Rådets forordning (EU) 2017/745 af 5. april 2017 om medicinsk udstyr, om ændring af direktiv 2001/83/EF, forordning (EF) nr. 178/2002 og forordning (EF) nr. 1223/2009 og om ophævelse af Rådets direktiv 90/385/EØF og 93/42/EØF (EUT L 117 af 5.5.2017, s. 1).

Europa-Parlamentets og Rådets forordning (EU) 2022/868 af 30. maj 2022 om europæisk datastyring og om ændring af forordning (EU) 2018/1724 (forordning om datastyring) (EUT L 152 af 3.6.2022, s. 1).

Europa-Parlamentets og Rådets forordning (EU) 2023/2854 af 13. december 2023 om harmoniserede regler om fair adgang til og anvendelse af data og om ændring af forordning (EU) 2017/2394 og direktiv (EU) 2020/1828 (dataforordningen) (EUT L, 2023/2854, 22.12.2023, ELI: http://data.eur...).

Europa-Parlamentets og Rådets direktiv 2011/24/EU af 9. marts 2011 om patientrettigheder i forbindelse med grænseoverskridende sundhedsydelser (EUT L 88 af 4.4.2011, s. 45).

Europa-Parlamentets og Rådets forordning (EU) 2024/2847 af 23. oktober 2024 om horisontale cybersikkerhedskrav til produkter med digitale elementer og om ændring af forordning (EU) nr. 168/2013 og (EU) 2019/1020 og direktiv (EU) 2020/1828 (forordningen om cyberrobusthed) (EUT L, 2024/2847, 20.11.2024, ELI: http://data.eur...).

Europa-Parlamentets og Rådets forordning (EU) 2017/746 af 5. april 2017 om medicinsk udstyr til in vitro-diagnostik og om ophævelse af direktiv 98/79/EF og Kommissionens afgørelse 2010/227/EU (EUT L 117 af 5.5.2017, s. 176).

Europa-Parlamentets og Rådets forordning (EU) 2019/1020 af 20. juni 2019 om markedsovervågning og produktoverensstemmelse og om ændring af direktiv 2004/42/EF og forordning (EF) nr. 765/2008 og (EU) nr. 305/2011 (EUT L 169 af 25.6.2019, s. 1).

Kommissionens henstilling 2003/361/EF af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder (EUT L 124 af 20.5.2003, s. 36).

Rådets forordning (EF) nr. 723/2009 af 25. juni 2009 om fællesskabsrammebestemmelser for et konsortium for en europæisk forskningsinfrastruktur (ERIC) (EUT L 206 af 8.8.2009, s. 1).

Europa-Parlamentets og Rådets forordning (EU) 2018/1724 af 2. oktober 2018 om oprettelse af en fælles digital portal, der giver adgang til oplysninger, procedurer og bistands- og problemløsningstjenester, og om ændring af forordning (EU) nr. 1024/2012 (EUT L 295 af 21.11.2018, s. 1).

Europa-Parlamentets og Rådets forordning (EU) 2019/881 af 17. april 2019 om ENISA (Den Europæiske Unions Agentur for Cybersikkerhed), om cybersikkerhedscertificering af informations- og kommunikationsteknologi og om ophævelse af forordning (EU) nr. 526/2013 (forordningen om cybersikkerhed) (EUT L 151 af 7.6.2019, s. 15).

EUT L 123 af 12.5.2016, s. 1.

Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennemførelsesbeføjelser (EUT L 55 af 28.2.2011, s. 13).

Europa-Parlamentets og Rådets forordning (EF) nr. 223/2009 af 11. marts 2009 om europæiske statistikker og om ophævelse af Europa-Parlamentets og Rådets forordning (EF, Euratom) nr. 1101/2008 om fremsendelse af fortrolige statistiske oplysninger til De Europæiske Fællesskabers Statistiske Kontor, Rådets forordning (EF) nr. 322/97 om EF-statistikker og Rådets afgørelse 89/382/EØF, Euratom om nedsættelse af et udvalg for De Europæiske Fællesskabers statistiske program (EUT L 87 af 31.3.2009, s. 164).

Europa-Parlamentets og Rådets forordning (EU) nr. 536/2014 af 16. april 2014 om kliniske forsøg med humanmedicinske lægemidler og om ophævelse af direktiv 2001/20/EF (EUT L 158 af 27.5.2014, s. 1).

Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktivet om databeskyttelse inden for elektronisk kommunikation) (EFT L 201 af 31.7.2002, s. 37).

Europa-Parlamentets og Rådets direktiv (EU) 2016/943 af 8. juni 2016 om beskyttelse af fortrolig knowhow og fortrolige forretningsoplysninger (forretningshemmeligheder) mod ulovlig erhvervelse, brug og videregivelse (EUT L 157 af 15.6.2016, s. 1).

Europa-Parlamentets og Rådets direktiv 2014/24/EU af 26. februar 2014 om offentlige udbud og om ophævelse af direktiv 2004/18/EF (EUT L 94 af 28.3.2014, s. 65).

Europa-Parlamentets og Rådets forordning (EF) nr. 1338/2008 af 16. december 2008 om fællesskabsstatistikker over folkesundhed og arbejdsmiljø (EUT L 354 af 31.12.2008, s. 70).

Europa-Parlamentets og Rådets forordning (EF) nr. 765/2008 af 9. juli 2008 om kravene til akkreditering og markedsovervågning i forbindelse med markedsføring af produkter og om ophævelse af Rådets forordning (EØF) nr. 339/93 (EUT L 218 af 13.8.2008, s. 30).

Europa-Parlamentets og Rådets direktiv (EU) 2019/882 af 17. april 2019 om tilgængelighedskrav for produkter og tjenester (EUT L 151 af 7.6.2019, s. 70).

Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, om ændring af forordning (EU) nr. 910/2014 og direktiv (EU) 2018/1972 og om ophævelse af direktiv (EU) 2016/1148 (NIS 2-direktivet) (EUT L 333 af 27.12.2022, s. 80).

Europa-Parlamentets og Rådets direktiv (EU) 2015/1535 af 9. september 2015 om en informationsprocedure med hensyn til tekniske forskrifter samt forskrifter for informationssamfundets tjenester (EUT L 241 af 17.9.2015, s. 1).

Europa-Parlamentets og Rådets forordning (EU) 2018/1807 af 14. november 2018 om en ramme for fri udveksling af andre data end personoplysninger i Den Europæiske Union (EUT L 303 af 28.11.2018, s. 59).

Europa-Parlamentets og Rådets forordning (EU) 2024/1938 af 13. juni 2024 om kvalitets- og sikkerhedsstandarder for substanser af menneskelig oprindelse bestemt til anvendelse i mennesker og om ophævelse af direktiv 2002/98/EF og 2004/23/EF (EUT L, 2024/1938, 17.7.2024, ELI: http://data.euro...).

Europa-Parlamentets og Rådets direktiv 2001/83/EF af 6. november 2001 om oprettelse af en fællesskabskodeks for humanmedicinske lægemidler (EFT L 311 af 28.11.2001, s. 67).

Europa-Parlamentets og Rådets forordning (EF) nr. 726/2004 af 31. marts 2004 om fastlæggelse af EU-procedurer for godkendelse og overvågning af humanmedicinske lægemidler og om oprettelse af et europæisk lægemiddelagentur (EUT L 136 af 30.4.2004, s. 1).

BILAG I

Vigtigste karakteristika for prioriterede kategorier af personlige elektroniske sundhedsdata til primær anvendelse

BILAG II

Væsentlige krav til de harmoniserede softwarekomponenter i EPJ-systemer og til produkter, for hvilke der er angivet interoperabilitet med EPJ-systemer

De væsentlige krav fastlagt i dette bilag finder tilsvarende anvendelse på medicinsk udstyr, medicinsk udstyr til in vitro-diagnostik, AI-systemer og wellnessapplikationer, der angiver at være interoperable med EPJ-systemer.

1. Generelle krav

| | 1.1. | De harmoniserede softwarekomponenter i et EPJ-system skal have den af fabrikanten tilsigtede ydeevne og skal designes og fremstilles på en sådan måde, at de under normale anvendelsesbetingelser er egnede til deres erklærede formål, og at deres anvendelse ikke udgør en risiko for patientsikkerheden. | | | ---- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |

| | 1.2. | De harmoniserede softwarekomponenter i EPJ-systemet skal designes og udvikles på en sådan måde, at EPJ-systemet kan leveres og installeres efter fabrikantens anvisninger og oplysninger, uden at det forringer dets egenskaber og ydeevne under den tilsigtede anvendelse. | | | ---- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |

| | 1.3. | Et EPJ-system skal designes og udvikles på en sådan måde, at dets interoperabilitets- og sikkerhedselementer beskytter fysiske personers rettigheder i overensstemmelse med det erklærede formål med EPJ-systemet, jf. kapitel II. | | | ---- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |

| | 1.4. | De harmoniserede softwarekomponenter i et EPJ-system, der er beregnet til at blive anvendt sammen med andre produkter, herunder medicinsk udstyr, skal designes og fremstilles på en sådan måde, at interoperabilitet og kompatibilitet er pålidelig og sikker, og at personlige elektroniske sundhedsdata kan deles mellem udstyret og EPJ-systemet i forbindelse med disse harmoniserede softwarekomponenter i EPJ-systemet. | | | ---- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |

2. Krav til interoperabilitet

| | 2.1. | Hvis et EPJ-system er designet til at lagre eller formidle personlige elektroniske sundhedsdata, skal det tilvejebringe en grænseflade, der giver adgang til de personlige elektroniske sundhedsdata, som det behandler, i det europæiske format for udveksling af elektroniske patientjournaler, ved hjælp af den europæiske interoperabilitetssoftwarekomponent for EPJ-systemer. | | | ---- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |

| | 2.2. | Hvis et EPJ-system er designet til at lagre eller formidle personlige elektroniske sundhedsdata, skal det kunne modtage personlige elektroniske sundhedsdata i det europæiske format for udveksling af elektroniske patientjournaler ved hjælp af den europæiske interoperabilitetssoftwarekomponent for EPJ-systemer. | | | ---- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |

| | 2.3. | Hvis et EPJ-system er designet med henblik på at give adgang til personlige elektroniske sundhedsdata, skal det kunne modtage personlige elektroniske sundhedsdata i det europæiske format for udveksling af elektroniske patientjournaler ved hjælp af den europæiske interoperabilitetskomponent for EPJ-systemer. | | | ---- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |

| | 2.4. | Et EPJ-system, der omfatter en funktion til indlæsning af strukturerede personlige elektroniske sundhedsdata, skal gøre det muligt at indlæse oplysninger med en tilstrækkelig detaljeringsgrad til at muliggøre levering af de indlæste personlige elektroniske sundhedsdata i det europæiske format for udveksling af elektroniske patientjournaler. | | | ---- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |

| | 2.5. | De harmoniserede softwarekomponenter i et EPJ-system må ikke indeholde elementer, der forbyder, begrænser eller pålægger en urimelig byrde for autoriseret adgang, elektronisk udveksling af sundhedsdata eller brug af personlige elektroniske sundhedsdata til tilladte formål. | | | ---- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |

| | 2.6. | De harmoniserede softwarekomponenter i et EPJ-system må ikke indeholde elementer, der forbyder, begrænser eller pålægger en urimelig byrde for autoriseret eksport af personlige elektroniske sundhedsdata med henblik på at erstatte EPJ-systemet med et andet produkt. | | | ---- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |

3. Krav til sikkerhed og logning.

| | 3.1. | Et EPJ-system, der skal anvendes af sundhedsprofessionelle, skal tilvejebringe pålidelige mekanismer til identifikation og autentificering af sundhedsprofessionelle | | | ---- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------- |

| | 3.2. | Den europæiske logningssoftwarekomponent i et EPJ-system, der er udformet med henblik på at give sundhedstjenesteydere eller andre personer adgang til personlige elektroniske sundhedsdata, skal omfatte tilstrækkelige logningsmekanismer, der som minimum registrerer følgende oplysninger om hver adgangshændelse eller gruppe af hændelser: a) identifikation af sundhedstjenesteyderen eller andre personer, der har fået adgang til de personlige elektroniske sundhedsdata b) identifikation af den eller de specifikke fysiske personer, der har fået adgang til de personlige elektroniske sundhedsdata c) kategorierne af data, der er tilgået d) tidspunktet og datoen for adgang e) dataenes oprindelse eller oprindelser. | | | ---- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |

| | 3.3. | De harmoniserede softwarekomponenter i et EPJ-system skal omfatte værktøjer eller mekanismer til gennemgang og analyse af logdata, eller det skal understøtte tilslutning og brug af ekstern software til samme formål. | | | ---- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |

| | 3.4. | De harmoniserede softwarekomponenter i et EPJ-system, der lagrer personlige elektroniske sundhedsdata, skal understøtte forskellige lagringsperioder og adgangsrettigheder, der tager hensyn til oprindelsen og kategorierne af elektroniske sundhedsdata. | | | ---- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |

BILAG III

Teknisk dokumentation

Den tekniske dokumentation, der er omhandlet i artikel 37, skal som minimum indeholde følgende oplysninger, alt efter hvad der er relevant for et EPJ-systems harmoniserede softwarekomponenter i det pågældende EPJ-system:

BILAG IV

EU-overensstemmelseserklæring

EU-overensstemmelseserklæringen for de harmoniserede softwarekomponenter i et EPJ-system skal indeholde alle følgende oplysninger:

ELI: data.europa.eu/eli/reg/2025/327/oj

ISSN 1977-0634 (electronic edition)