PROMEMORIASOCIAL- OCH HÄLSOVÅRDSMINISTERIET28.6.2022EU/2022/0140STATSRÅDETS SKRIVELSE TILL RIKSDAGEN OM KOMMISSIONENS FÖRSLAG TILL EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING OM ETT EUROPEISKT HÄLSODATAOMRÅDE
1
Bakgrund
Europeiska kommissionen gav den 3 maj 2022 ett förslag till Europaparlamentets och rådets förordning om ett europeiskt hälsodataområde (COM (2022) 197 final).
Utarbetandet av ett europeiskt dataområde är en av Europeiska kommissionens politiska tyngdpunkter åren 2019–2025 och hälsobranschen utgör en del av detta. Ett europeiskt hälsodataområde förbättrar utbytet av och tillgången till olika hälsodata (elektroniska patientjournaler, genomdata, patientregisterdata etc.). Det stöder inte enbart tillgången till hälso- och sjukvård (primär användning av hälsodata) utan även forskningen inom hälso- och sjukvårdsbranschen och utarbetandet av hälsopolitiken (sekundär användning).
Hela datasystemet byggs upp på en öppen plattform som garanterar medborgarnas dataskydd och deras rätt att överföra sina hälsodata från ett system till ett annat i enlighet med artikel 20 i EU:s allmänna dataskyddsförordning (EU) 2016/679.
Europeiska kommissionen och EU-länderna bereder och utvecklar det europeiska hälsodataområdet tillsammans. EU-länderna kommer att stödas av en ny ”gemensam åtgärd avseende det europeiska hälsodataområdet” vars syfte är att hjälpa EU-länderna och kommissionen att underlätta utbytet av hälso- och sjukvårdsdata för medborgarhälsan, vården, forskningen och innovationerna i Europa.
Det europeiska hälsodataområdet kommer att byggas på tre huvudpelare:
ett starkt system för informationshantering och regler för datautbyte
datakvaliteten
stark infrastruktur och hälsodatas interoperabilitet.
Det beredande arbetet främjades år 2020 genom verkstäder och utredningar i syfte var att skapa ramar för den primära och sekundära användningen av hälsodata i EU-länderna. Särskilda åtgärder var:
redogörelse över verkställandet av den allmänna dataskyddsförordningen inom hälso- och sjukvårdsbranschen i de olika länderna, inklusive en översikt över de juridiska och tekniska förfaringssätten för utbyte av hälsodata för primär och sekundär användning i EU-länderna
översikt över befintliga förvaltningsstrukturer i den sekundära användningen av hälsodata i EU-länderna
rekommendationer på EU-nivå till möjliga åtgärder (lagstiftningsåtgärder och andra åtgärder) som underlättar utbytet av hälsodata i EU för primär och sekundär användning.
EU:s datastrategi COM/2020/66 offentliggjordes den 19 februari 2020 och på grundval av den europeiska dataområdesstrategin som ingår i den har man för avsikt att bygga nödvändig infrastruktur på europeisk nivå. I samma sammanhang gjordes en grundlig analys över särdragen i hälso- och sjukvårdsbranschen. Infrastrukturen grundar sig på befintliga initiativ, såsom den digitala serviceinfrastrukturen för elektroniska hälso- och sjukvårdstjänster, europeiska kompetensnätverk och människans genomprojekt.
Förslaget är en del av en större helhet av föreslagna bestämmelser om en europeisk digital framtid och en europeisk datastrategi samt artificiell intelligens. Bestämmelsen kompletterar EU:s allmänna dataskyddsförordning och grundar sig delvis på och kompletterar Europaparlamentets och rådets förordning om europeisk dataförvaltning (COM/2020/767). I förslaget till bestämmelse beaktas EU:s direktiv om säkerhet i nätverk och informationssystem (NIS-direktivet) och förslaget till direktiv om säkerhet i nätverk och informationssystem (NIS2-förslaget) (COM (2020) 823 final), förslaget till cyberresiliensakten, förslaget till rättsakt om artificiell intelligens (COM (2021) 206 final) samt förslaget till EU:s dataakt (COM (2022) 068 final).
Covid-19-pandemin har klart påvisat vikten av digitala hälso- och sjukvårdstjänster och digitala verktyg. Europaparlamentets och rådets förordning om en ram för utfärdande, kontroll och godtagande av interoperabla intyg om vaccination, testning och tillfrisknande för att underlätta fri rörlighet under covid-19-pandemin har visat att EU kan vara en världsledande aktör inom utvecklingen av hälso- och sjukvårdsbranschens standarder. Medlemsstaterna har nu god beredskap för att fortsätta det här samarbetet.
2
Förslagets syfte
Förslagets centrala syfte är:
att stärka individer genom att möjliggöra bättre tillgång till deras elektroniska hälsodata och samtidigt underlätta fri rörlighet så att även hälsodata följer med;
att frigöra dataekonomin genom att möjliggöra en äkta inre marknad för digitala hälso- och sjukvårdstjänster och produkter;
att skapa exakta regler för hur icke-identifierbara hälsodata från individer kan användas för bland annat vetenskaplig forskning, innovationsverksamhet, beslutsfattande och regleringsuppgifter.
3
Förslagets huvudsakliga innehåll
EU:s datastrategi offentliggjordes år 2020 och på grundval av den europeiska dataområdesstrategin som ingår i den har man för avsikt att bygga nödvändig infrastruktur på europeisk nivå.
Förslaget till förordning delas med avseende på innehåll in i två centrala delar. Den första delen gäller samarbetet avseende den primära användningen mellan medlemsstaterna. Den andra delen gäller samarbetet avseende den sekundära användningen mellan medlemsstaterna.
I kapitel I i förslaget till förordning föreskrivs om bestämmelsens syfte, tillämpningsområde och definitioner.
Syftet med förslaget till förordning är att skapa ett europeiskt hälsodataområde (EHDS) genom att upprätta regler, gemensamma standarder och en gemensam praxis, strukturer och en styrmodell för primär och sekundär användning av elektroniska hälsodata. Bestämmelsen säkerställer fysiska personers rätt att få tillgång till och kontrollera sina elektroniska hälsodata, upprätta marknadsregler för patientdatasystem (EHR), fastställa regler och mekanismer för sekundär användning av elektroniska hälsodata och skapa en bindande struktur för gränsöverskridande elektroniska hälsodata för utbyte mellan medlemsstaterna för primär och sekundär användning.
Bestämmelsen föreslås avse tillverkare och producenter av patientjournalsystem (EHR) och de välfärdsapplikationer som finns på unionens marknad och är avsedda för unionens användare, personuppgiftsansvariga och personuppgiftsbiträden för unionens elektroniska hälsodata och medlemsstaternas personer och lagenliga medborgare i tredjeländernas medlemsstater, personuppgiftsansvariga och personuppgiftsbiträden i tredjeländer som har anslutit sig till eller är kompatibla med MinHälsa@EU-tjänsten som föreslås föreskrivas i artikel 12.5 och användarna av datamaterialet för vilka användningen av unionens datamaterial är möjlig. I artikel 1.4 och 1.5 i kapitel I i förslaget till förordning föreskrivs om förslagets förhållande till den allmänna dataskyddsförordningen och annan gällande och kommande EU-lagstiftning (förordningen om artificiell intelligens, dataförvaltningsakten och dataakten). Bestämmelsen tillämpas inte på rättigheter och skyldigheter som föreskrivs i unionslagstiftningen eller nationell lagstiftning och som hänför sig till rapporteringen som grundar sig på en individuell begäran eller en lagstadgad skyldighet.
I kapitel II i förslaget till förordning föreskrivs om primär användning av hälsodata.
I artikel 3 i kapitel II i förslaget till förordning föreslås rättigheter för de registrerade, som kompletterar dataskyddsförordningen, till deras e-hälsodata. Dessa rättigheter är bland annat rätten till tillgång till sina e-hälsodata kostnadsfritt och i ett lättläst format och få kopia på uppgifterna i ett sameuropeiskt kompatibelt format för utbyte av data. Patienterna ska även ha rätt att lägga till egna patientuppgifter i sina patientdata. Medlemsstaterna föreslås åläggas skyldighet att möjliggöra patienterna tillgång till sina e-hälsodata via minst en central nationell eller lokal aktör. Tillgången till hälsodata ska vara kostnadsfri. Samtidigt ska även den s.k. ärendehanteringen för någon annans räkning möjliggöras. Patienten ska ha rätt att även använda rättigheten enligt artikel 16 i dataskyddsförordningen att rätta sina personuppgifter elektroniskt avseende data i den föreslagna artikel 5. Patienten har även rätt att få och förmedla sina hälsodata som avses i artikel 5 till social- och hälsovårdens tjänsteproducenter, inklusive tjänsteproducenter belägna i olika medlemsstater. Patienterna har rätt att begränsa tillgången för professionella inom hälso- och sjukvården till alla eller endast separat utvalda hälsodata. Dessutom har patienterna rätt att kostnadsfritt få information om hur deras patientdata har behandlats. Genomförandet av patienternas rättigheter övervakas av tillsynsmyndigheterna enligt dataskyddsförordningen och medlemsstaternas hälsomyndigheter. Kommissionen kan ge närmare genomförandeakter om kraven på det tekniska genomförandet.
I artikel 4 i förslaget till förordning möjliggörs hälso- och sjukvårdspersonalens tillgång till e-hälsodata för att behandla en patient oberoende av medlemsland och nationalitet. Medlemsstaterna har möjlighet att fastställa regler för personalen för olika kategorier av hälsodata. Sjuk- och hälsovårdspersonal har enligt artikel 5 rätt att få tillgång till hälsodata oberoende av medlemsland. Om patienten har nekat tillgången till hälsodata så har inte sjuk- och hälsovårdspersonalen tillgång till dessa om det inte till exempel på grund av nödsituation är nödvändigt för att vårda patienten.
I artikel 6 i förslaget inrättas skyldigheten att förmedla följande e-hälsodata från ett medlemsland till ett annat för primär användning:
patientöversikter;
elektroniska recept;
elektronisk expediering;
bilddiagnostik och relaterade utlåtanden;
laboratorieresultat;
utskrivningsrapporter.
Kommissionen kan enligt förslaget till förordning anta delegerade akter för att ändra förteckningen ovan eller för att ändra företrädesordningen i förteckningen och att lägga till en punkt i förteckningen ifall punkten som tillförs är relevant för tillhandahållandet av hälso- och sjukvårdstjänster, om en betydande del av medlemsstaternas patientdatasystem använder uppgifterna i fråga och om det finns internationella standarder för den kategorin av datamaterial.
Genom bestämmelsen upphävs samtidigt artikel 14 i Europaparlamentets och rådets direktiv 2011/24/EU, dvs. det s.k. patientdirektivet, e-hälsa.
I artikel 6 i förslaget föreslås ett europeiskt format för utbyte av elektroniska patientjournaler (European electronic health record exchange format).
I artikel 7 i EHDS-förslaget fastställs kravet på att relevanta hälsodata ska registreras vid behandling av data som avses i artikel 5. Kommissionen kan genom genomförandeakter fastställa kraven för innehållet i data som ska registreras, vårdgivare som skyldigheten avser, hälsodatahelheterna och datakvalitetskrav.
Enligt artikel 8 i förslaget ska medlemsstaterna erkänna telemedicintjänster som vårdgivare i olika länder tillhandahåller. Enligt artikel 9 ska elektronisk identifiering möjliggöras för telemedicintjänster och tjänster som avses i artikel 3.5 i den föreslagna förordningen. Kommissionen har möjlighet att anta genomförandeakter om identifieringens och autentiseringens tekniska detaljer såsom föreskrivs om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG [COM (2021) 281 final]. Enligt förslaget anses nätapotek omfattas av bestämmelserna för telemedicin.
Enligt artikel 10 ska varje medlemsstat utse en nationell e-hälsomyndighet för genomförande av uppgifterna enligt förslaget. Hälsomyndigheten kan bestå av flera nationella myndigheter men endast en myndighet utses och den sköter ärenden med Europeiska kommissionen och andra medlemsstater. Hälsomyndighetens centrala uppgift är att genomföra de nationella, regionala eller lokala tekniska lösningarna och bestämmelserna och förfaringssätten som förslaget kräver. Kommissionen kan genom delegerade akter tilldela myndigheterna ytterligare uppgifter. Enligt artikel 11 har varje fysisk och juridisk person rätt att lämna in klagomål om en e-hälsomyndighets verksamhet.
I avsnitt 2 i kapitel II i förslaget till förordning föreskrivs om gränsöverskridande infrastruktur för primär användning av e-hälsodata. I artikel 12 föreskrivs om MinHälsa@EU (MyHealth@EU)-tjänsterna. Europeiska kommissionen tillhandahåller, precis som för närvarande, centrala e-tjänster och medlemsstaterna ska ha minst en utsedd nationell elektronisk kontaktpunkt. Den nationella elektroniska kontaktpunkten ska förmedla data som avses i artikel 5 i ett kompatibelt europeiskt format för utbyte av data via alla medlemsstaters nationella elektroniska kontaktpunkter. Kommissionen kan anta genomförandeakter för tekniska, interoperabla krav som fastställer samarbetet. Medlemsstaterna ska säkerställa att hälso- och sjukvårdspersonalen har tillgång till att behandla hälsodata som avses i artikel 5 och att apotek kan behandla recept- och expeditionsdata som förmedlas via tjänsten. De nationella kontaktpunkterna ska agera som gemensamt personuppgiftsansvariga och kommissionen som personuppgiftsbiträde i enlighet med EU:s dataskyddsförordning. Kommissionen kan anta genomförandeakter om de gemensamt personuppgiftsansvarigas ansvarsområden. Anslutandet till MinHälsa@EU-tjänsten kräver beslut av gruppen för de gemensamt personuppgiftsansvariga. Enligt artikel 13 kan medlemsstaterna även möjliggöra andra hälsostödande tjänster via MinHälsa@EU-tjänsten och medlemsstaterna och kommissionen kan utbyta patientdata även med andra strukturer, såsom exempelvis systemet för klinisk patienthantering. Syftet med bestämmelsen är att möjliggöra MinHälsa@EU-samarbete även med tredjeländer. Kommissionen kan genom genomförandeakter fastställa tekniska krav som stöder samarbetet.
Kapitel III i förslaget till förordning gäller patientjournalsystem (EHR) och friskvårdstillämpningar. I första avsnittet av det tredje kapitlet fastställs allmänna krav på patientjournalsystem (EHR) och i artikel 14 deras samspel med lagstiftningen om medicintekniska produkter och AI-system. I artikel 15 om utsläppande på marknaden, tillgängliggörande och ibruktagande och i artikel 16 om hälsopåståenden avseende dessa. I det andra avsnittet i kapitel III föreskrivs om skyldigheter för tillverkare av elektroniska patientjournalsystem, behöriga företrädare, importörernas skyldigheter, distributörernas skyldigheter, situationer där tillverkarens skyldigheter även gäller importörer och distributörer. I det tredje avsnittet föreskrivs om allmänna krav på interoperabiliteten som fastställs för patientjournalsystem: gemensamma krav, teknisk dokumentation, informationsblad, anmälan om EU-försäkran om överensstämmelse och CE-märkning. I det fjärde avsnittet föreskrivs om marknadskontrollen av patientjournalsystem: marknadskontrollmyndigheter, hantering av risker och allvarliga incidenter och hantering av bristande överensstämmelse. I det femte avsnittet föreskrivs om andra bestämmelser om interoperabilitet. I artikel 31 föreskrivs om frivillig märkning av hälsoappar som främjar hälsa och välfärd och som är interoperabla med patientjournalsystemen och i artikel 32 om registrering av patientjournalsystem och hälsoappar.
II kapitel IV föreslås att man föreskriver om sekundär användning av e-hälsodata.
Bestämmelsen påminner till stora delar om Finlands lag om sekundär användning av personuppgifter inom social- och hälsovården (nedan lagen om sekundär användning, 552/2019). I det första avsnittet i kapitlet föreskrivs om allmänna villkor för sekundär användning av e-hälsodata.
I artikel 33 föreskrivsom elektroniska dataklasser som åtminstone ska göras tillgängliga för sekundär användning.
Utöver datainnehållet i patientjournalsystemet (EHR) omfattas 12 olika typer av hälsodata av bestämmelsen. Bestämmelsen är mer omfattande för olika typer av hälsorelaterat datainnehåll men delvis även mer begränsat för socioekonomiska datatyper än vad som föreskrivs i lagen om sekundär användning. Kravet gäller både privata och offentliga aktörer men inte s.k. mikroföretag. De ovannämnda datatyperna ska omfatta dataset som behövs för tillhandahållande av offentliga och privata hälso- och sjukvårdstjänster, vetenskaplig forskning, innovationsverksamhet, beslutsfattande, officiell statistik, främjande av patientsäkerheten eller lagberedningsändamål och för behovet för forskarsamfunden och unionens institutioner, organ, myndigheter och inrättningar. Vid utlämning av dataset ska de immateriella rättigheterna beaktas. Kommissionen har möjlighet att anta delegerade akter med avseende på gruppen av datakategorier i artikel 33.1. Nationella tillståndsmyndigheter (Health data access bodies) ska ha möjlighet att bevilja tillstånd även till andra dataset som föreskrivits i nationell lagstiftning eller på grundval av frivilligt samarbete inom medlemslandet.
I artikel 34 föreskrivs om åtta olika sekundära användningsändamål.
Bestämmelsen motsvarar till stora delar användningsändamål avseende allmänt intresse enligt dataskyddsförordningen och enligt lagen om sekundär användning (vetenskaplig forskning, statistikföring, undervisning, inklusive utvecklings- och innovationsverksamhet som konstaterats i lagen om sekundär användning), men innefattar dessutom nya användningsändamål, såsom exempelvis utbildning, testning och utvärdering av algoritmer, inklusive medicintekniska produkter för utveckling av AI-system och e-hälsotjänster som främjar hälsan. Dessutom underlättar bestämmelsen personlig medicin genom att utnyttja hälsodata från vården av andra patienter. Bestämmelsen gör det möjligt för EU-institutioner, offentliga myndigheter, organ, institutioner, inklusive tillsynsmyndigheter, att få tillgång till hälsodata som behövs för att utföra sina uppgifter enligt nationell lagstiftning eller unionslagstiftning. Tillgång till privatägd data för att förhindra offentliga nödsituationer, reagera på dessa eller för att stöda återhämtningen från dessa ska säkerställas i enlighet med artikel 15 i den s.k. dataakten (Data Act).
Artikel 34 möjliggör även utveckling av konsumentprodukter och konsumenttjänster inom hälso- och sjukvårdsbranschen, dvs. tillämpningsområdet omfattar mer än bara utveckling av medicinsk utrustning och digitala hälsotjänster.
Som i lagen om sekundär användning finns även i artikel 46 i det här förslaget ett förslag till bestämmelse om förbjudna sekundära användningsändamål: syften enligt vilka beslut som är till nackdel för en individ fattas, som begränsar individers eller gruppers rätt att få försäkringar, reklam eller marknadsföring riktad till patienter och hälso- och sjukvårdspersonal, ge tillgång till hälsodata för tredje parter och utveckling av produkter och tjänster som kan ha en skadlig inverkan på individers och samhällens hälsa, beteende och moral.
I avsnitt två i kapitel IV föreslås det att föreskrivs om styrning och mekanismer för sekundär användning.
Det centrala i bestämmelsen är bestämmelsen om koncentrerade hälsodatatillståndsmyndigheter.
Bestämmelsen motsvarar väldigt mycket bestämmelsen och förfaringssätten för Tillståndsmyndigheten, dvs. Findata, i lagen om sekundär användning. Det kan finnas en eller flera myndigheter per medlemsland och myndigheten beviljar datatillstånd för sekundära användningsändamål som konstateras i förslaget. Ifall det finns fler än en myndighet är det dock endast en myndighet som representerar medlemsstaterna i förhållande till kommissionen och andra medlemsstater. Tillsynsmyndigheten ska ha ändamålsenliga resurser och samarbeta med olika intressenter, inklusive patientorganisationer. Medlemslandet ska underrätta kommissionen om tillståndsmyndighetens namn och tillståndsmyndigheten ska informera om sin verksamhet.
I artikel 37 föreskrivs om tillståndsmyndighetens många uppgifter. Uppgifterna påminner i stora drag om tillståndsmyndigheternas och Findatas uppgifter i lagen om sekundär användning. Kommissionen har rätt att ändra tillsynsmyndigheternas uppgifter genom delegerade akter. I artikel 38 föreskrivs om tillståndsmyndigheternas skyldigheter avseende genomförandet av öppenhet och de registrerades rättigheter för fysiska personer. I artikel 39 föreskrivs om tillståndsmyndighetens omfattande rapporteringsskyldighet.
I artikel 40 finns en hänvisning till bestämmelsen om dataaltruismen i den europeiska dataförvaltningsakten (COM (2020) 767 final). Uppgifter enligt förslaget kan även användas för användningsändamål enligt det här förslaget med beaktande av kraven om informationssäkerhet i det här förslaget och kravet att stöda myndigheterna enligt dataförvaltningsakten.
Enligt artikel 41 ska enskilda personuppgiftsansvariga som identifierats i medlemsstaterna eller unionslagstiftningen i enlighet med artikel 33 i det här förslaget samarbeta med tillståndsmyndigheterna.
Enligt artikel 41 ska personuppgiftsansvariga göra dataseten tillgängliga för tillståndsmyndigheterna inom två (2) månader från mottagandet av tillståndsansökan. I undantagsfall kan tidsfristen på två (2) månader förlängas med två (2) månader. Kommissionen kan genom delegerade akter fastställa ytterligare uppgifter åt den personuppgiftsansvarige.
I artikel 42 i förslaget föreskrivs om datatillstånd och avgifter för tillhandahållande av uppgifter för vilka det hänvisas till bestämmelserna enligt dataförvaltningsakten som till stora delar påminner om principerna i lagen om sekundär användning och lagen om grunderna för avgifter till staten. Ifall det finns oenigheter avseende avgifterna sker ändringssökandet i enlighet med förfarandet i dataförvaltningsakten. Kommissionen kan dock genom genomförandeakter fastställa principer och regler och politik och avgiftsstrukturer avseende avgifterna. I den föreslagna artikeln 43 föreskrivs om tillståndsmyndighetens rätt att återkalla beviljade datatillstånd och utesluta användaren från all tillgång till hälsodata för högst fem år. Dessutom kan tillståndsmyndigheten fastställa administrativa påföljdsavgifter eller utesluta användare i upp till fem år från deltagande i det europeiska hälsodataområdet. Kommissionen har rätt att genom en genomförandeakt fastställa IT-arkitekturen som ovanstående sanktioner kan informeras med. Varje fysisk eller juridisk person som påverkas av ett beslut som ett organ som ansvarar för tillgången till hälsodata fattar ska ha rätt till ett effektivt rättsskydd för sådana beslut. Kommissionen kan utfärda riktlinjer för sanktionerna.
I avsnitt 3 i kapitel IV föreskrivs om datatillstånd om sekundär användning
I artikel 44 föreskrivs, precis som i lagen om sekundär användning och i dataskyddsförordningen, om dataminimering och begränsning av ändamålet och i artikel 45 om tillståndsansökan och dess datainnehåll. I förslaget till förordning var det viktigt att tillståndsansökan kan lämnas till ett medlemsstats tillståndsmyndighet vars skyldighet är att underrätta andra länders tillståndsmyndigheter ifall datasetet är beläget i en annan tillståndsmyndighets medlemsstat. Tillståndsmyndigheten ska inom 15 dagar underrätta en annan tillståndsmyndighet om ansökan. Användning av hälsodata i pseudonymiserat format förutsätter att förfarandet uppfyller kraven i dataskyddsförordningen och att de etiska aspekterna av behandlingen är i enlighet med nationell lagstiftning. Medlemsstaternas och unionens institutioner omfattas i huvudsak av samma krav som fysiska och juridiska personer. Kommissionen kan enligt förslaget genom genomförandeakter fastställa mallar för tillståndsansökningarna. Kommissionen kan även anta delegerade akter avseende förteckningarna i punkterna 2, 4, 5 och 6 i denna artikel.
I artikel 46 föreskrivs om förutsättningarna för beviljande av datatillstånd. Förutsättningarna påminner om bestämmelserna i lagen om sekundär användning. Däremot är behandlingstiden i regel endast två månader och i undantagsfall 4 månader. Ifall tillståndsmyndigheten inte kan fatta beslut inom tidsfristen enligt förslaget beviljas datatillståndet automatiskt. Tillståndsmyndigheten ska tillhandahålla datasetet till den sökande senast två månader från mottagandet av datasetet. Negativa beslut ska motiveras enligt förslaget till förordning. Kommissionen har rätt att anta delegerade akter i ärenden som hänför sig till artikel 46.7.
Datatillstånd beviljas för en bestämd tid, dock högst för fem år. Minst en månad före utgången av tidsfristen kan datatillståndet förlängas för högst en tid som inte kan vara längre än fem år. Tillståndsmyndigheten har rätt att ta ut avgifter som motsvarar de ökande kostnaderna för lagringen av hälsodata eller föreslå färre behandlingsmöjligheter. Dataseten ska raderas senast sex månader efter det att datatillståndet har upphört.
Beskrivningen över hur datasetet har skapats är dock möjlig att lagra på den sökandes begäran. Bestämmelsen motsvarar dock bestämmelsen i lagen om sekundär användning så att tillståndsmyndigheten i lagen om sekundär användning på eget initiativ kan lagra datasetbeskrivningen och även skapa färdiga data.
På grundval av dataseten ska anonymt tillhandahållna resultat senast 18 månader efter att behandlingen har slutförts offentliggöras och informationen om detta ska publiceras på tillståndsmyndighetens webbplatser.
Dataanvändarna ska informera om kliniskt betydelsefulla resultat. Till skillnad från lagen om sekundär användning har bestämmelsen inte skrivits i ett möjliggörande format och bestämmelsen beaktar inte etiska aspekter och individernas kunskapsmässiga självbestämmanderätt.
Tillståndsmyndighetens ansvar som gemensamt personuppgiftsansvarig begränsas endast till beviljande av tillstånd och till behandlingsåtgärderna.
Såsom i lagen om sekundär användning kan vem som helst ansöka om datatillstånd och på grundval av begäran om data kan endast aggregerade statistiska uppgifter erhållas med samma 2 + 2 månaders tidsfrister.
Det behövs dock ingen separat datatillståndsansökan ifall datasetet utlämnas till Unionens institutioner, kontor, inrättningar och myndigheter och nationella myndigheter för att utföra sina lagstadgade uppgifter. Även för dessa är tidsfristen två + två månader. Bestämmelsen är i det här avseendet exceptionellt transparent.
Om ett dataset endast behövs från en personuppgiftsansvarig i ett medlemsland beviljas datatillstånd av myndigheten i fråga genom att informera tillståndsmyndigheten om detta. Bestämmelsen motsvarar de grundläggande principerna i lagen om sekundär användning.
Dataseten ska endast överlämnas, precis som i lagen om sekundär användning, till informationssäkra behandlingsmiljöer. Precis som för tillståndsmyndigheterna är även enskilda personuppgiftsansvariga och sökande av datatillstånd gemensamt personuppgiftsansvariga. Såsom i lagen om sekundär användning har man endast tillgång till anonyma resultat i informationssäkra behandlingsmiljöer. Kommissionen kan genom genomförandeakter fastställa tekniska krav, krav på informationssäkerhet och krav på interoperabilitet. I artikel 51 föreskrivs att tillståndsmyndigheterna, inklusive unionens institutioner, är gemensamt personuppgiftsansvariga tillsammans med dataanvändarna. Kommissionen kan genom genomförandeakter fastställa en avtalsmall för de gemensamt personuppgiftsansvariga.
I avsnitt 4 i kapitel IV föreskrivs om en arkitektur baserad på nationella elektroniska kontaktpunkter för den sekundära användningen vid namn Hälsodata@EU, som delvis motsvarar den föreslagna MinHälsa@EU-tjänsten.
Utöver medlemsstaterna och EU-institutionerna kan dessutom organisationer som stöder målsättningarna som föreslås i lagstiftningen delta i samarbetet. Även tredjeländer kan delta ifall de uppfyller kraven i kapitel IV i den föreslagna bestämmelsen. För att underlätta samarbetet kan kommissionen dessutom anta kompletterande genomförandeakter om tredjeländers nationella kontaktpunkter och tekniska, organisatoriska, semantiska, juridiska och informationssäkerhetsmässiga krav. Kommissionen ges befogenhet att anta delegerade akter för att ta bort eller lägga till kategorier av behöriga aktörer i Hälsodata@EU-tjänsten. Som för MinHälsa@EU-tjänsten tillhandahåller kommissionen de koncentrerade tjänsterna som hör till MinHälsa@-tjänsten och den tekniska förbindelsen mellan tillståndsmyndigheterna. Kommissionen kan även tillhandahålla en informationssäker behandlingsmiljö om fler än två tillståndsmyndigheter kräver en sådan.
Ifall fler än två tillståndsmyndigheter lägger in hälsodata i den informationssäkra behandlingsmiljön måste de agera som gemensamt personuppgiftsansvariga. Myndigheterna i de medlemsstater som deltar i Hälsodata@EU-tjänsterna är gemensamt personuppgiftsansvariga och kommissionen är personuppgiftsbiträde. Kommissionen kan genom genomförandeakter fastställa minimikrav för Hälsodata@EU-samarbetet.
Deltagandet i samarbetet kräver beslut av de gemensamt personuppgiftsansvariga. Kommissionen kan anta genomförandeakter om innehållet i tillståndsansökningarna, avtalsmodeller och allmänna förfarandebestämmelser för gränsöverskridande ansökningar. Enhetliga tillståndsansökningar och avtalsmodeller underlättar å sin sida den gränsöverskridande verksamheten.
I avsnitt 5 i kapitel IV föreskrivs såsom i lagen om sekundär användning om beskrivning av dataset, datakvalitets- och funktionsmärkning, EU:s datasetkatalog och minimispecifikationer för dataset.
I kapitel V föreskrivs om kapacitetsuppbyggnad, offentlig upphandling och unionsfinansiering, överföring till tredjeland av icke-personliga elektroniska data, internationell tillgång till och överföring av icke-personliga e-hälsodata och om att medlemsstaterna kan fastställa ytterligare krav på den internationella tillgången till personliga hälsodata i enlighet med artikel 9.4 i dataskyddsförordningen.
I kapitel VI föreskrivs om förvaltningsmodellen och samarbetet som styrelsen för det nya europeiska hälsodataområdet (EHDS Board) skapas för och som ska bestå av representanter för medlemsstaternas hälsomyndigheter och tillståndsmyndigheter.
Andra nationella myndigheter, inklusive EHR-marknadstillsynsmyndigheten enligt förslaget och EDPB och EDPS kan bjudas in till sammanträdena om de frågor som behandlas är relevanta för dem.
Styrelsen för hälsodataområdet kan bjuda in experter och observatörer och samarbeta med externa experter. Unionens övriga institutioner, organ, kontor och byråer och forskningssamfund har också en observatörsroll.
Styrelsen för hälsodataområdet kan få stöd av undergrupper som representerar experter vid medlemsstaternas hälsomyndigheter och tillståndsmyndigheter.
Kommissionen kan anta bestämmelser för undergruppernas samarbete och förfaringssätt. Olika relevanta intressentgrupper, inklusive företrädare för patientgrupperna, ska vid behov inbjudas till styrelsens sammanträden.
Kommissionen är ordförande för sammanträdena och tillhandahåller sekreterartjänsterna.
Kommissionen kan dessutom anta genomförandeakter för att inrätta, förvalta och driva styrelsen för det europeiska hälsodataområdet.
Artikel 65 föreskriver om styrelsens uppgifter för att bistå medlemsstaterna i sina uppgifter, att utveckla den bästa praxisen, utveckla samarbetet och beredskapen, rapporteringen, utbyta information om riskerna och om användningen av uppgifter för primär användning mellan olika intressegrupper.
Uppgifterna för styrelsen för hälsodataområdet är likadana för den sekundära användningen som för den primära användningen. Utöver uppgifterna för den primära användningen har styrelsen dock skyldighet att delta i arbetet i datainnovationsstyrelsen som inrättas i enlighet med dataförvaltningsakten. I artikel 66 i kapitel VI föreskrivs om grupper för gemensamt personuppgiftsansvariga som består av medlemsstaternas företrädare för MinHälsa@EU-tjänsterna och separat för Hälsodata@EU-tjänsterna. Medlemsstaterna ska själva besluta om ordföranden men kommissionen tillhandahåller ett sekretariat. Uppgifterna för grupperna för gemensamt personuppgiftsansvariga är att utveckla tjänsterna och förvalta ovannämnda tjänster och fatta beslut om att godkänna deltagare att ansluta sig till tjänsten eller för att koppla bort dem.
I kapitel VII föreskrivs om utövande av delegering och kommittéförfarande.
I kapitel VIII föreskrivs om medlemsstaternas skyldighet att fastställa regler om sanktioner vid överträdelse av bestämmelserna.
Fem år efter att bestämmelsen har trätt i kraft genomför kommissionen en riktad utvärdering med särskilt avseende på kapitel III och eventuella ändringsförslag. Utvärderingen omfattar en bedömning av egencertifieringen av elektroniska patientjournalsystem och behovet att införa ett förfarande för bedömning av överensstämmelse som utförs av anmälda organ.
Bestämmelsen utvärderas dessutom sju år efter att den trätt i kraft och medlemsstaterna är skyldiga att bistå kommissionen för att uppfylla den här skyldigheten.
I kapitel IX föreskrivs om ikraftträdande.
Bestämmelsen träder i regel i kraft inom 12 månader. Övergångstiden för de nuvarande MinHälsa@EU-tjänsterna är ett år från ikraftträdandet. Med avseende på nya användningsfall är övergångstiden tre år och samma övergångstid gäller patientjournalsystem (EHR) avsedda för användningen i fråga. Patientjournalsystem som avses i kapitel III omfattas av en övergångstid på tre år.
4
Förslagets rättsliga grund och förhållande till proportionalitets- och subsidiaritetsprinciperna
Förslagets rättsliga grund är artiklarna 16 och 114 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget). Artikel 16 gäller skyddet av personuppgifter. Artikel 114 gäller genomförandet av och åtgärder för den inre marknaden och dess syfte är att tillnärma medlemsstaternas lagstiftning och säkerställa en enhetlig och icke-diskriminerande tillämpning av lagstiftningen inom unionen.
Dessa två rättsliga grunder är möjliga eftersom målen är centralt kopplade till varandra och det är omöjligt att fastställa vilken rättslig grund som är primär och vilken sekundär. De fastställda förfarandena för dessa två rättsliga grunder är inte motstridiga.
Vissa medlemsstater har vidtagit lagstiftningsåtgärder för att lösa de ovan beskrivna problemen genom att inrätta nationella certifieringssystem för elektroniska patientjournalsystem, medan andra inte har vidtagit åtgärder. Detta kan leda till en fragmenterad lagstiftning på den inre marknaden och till olika bestämmelser och praxis runt om i EU. Detta kan även medföra kostnader för företag då de ska iaktta olika system.
Artikel 114 i Fördraget om Europeiska unionens funktionssätt har en korrekt rättslig grund i förslaget eftersom största delen av förslagets bestämmelser är avsedda att förbättra verksamheten på den inre marknaden samt produkternas och tjänsternas fria rörlighet. I detta avseende kräver just artikel 114.3 i Fördraget om Europeiska unionens funktionssätt att man i strävan efter harmonisering garanterar en hög skyddsnivå för människornas hälsa med särskild beaktan av all ny utveckling som grundar sig på vetenskaplig information. Den här rättsliga grunden är således korrekt även då åtgärderna hänför sig till skyddet av folkhälsan. Förslaget motsvarar även artikel 168 i fördraget enligt vilket en hög hälsoskyddsnivå för människor ska säkerställas i all unionspolitik genom att samtidigt respektera medlemsstaternas ansvar för att fastställa sin egen hälsopolitik och ordna och tillhandahålla hälso- och sjukvårdstjänster.
Kommissionen anser att förslaget gynnar den inre marknaden eftersom produkter och tjänster som grundar sig på hälsouppgifter ofta utvecklas med hjälp av elektroniska hälsouppgifter från olika medlemsstater och senare marknadsförs i hela EU.
Förslaget är en del av den mer omfattande europeiska datastrategin och inre marknaden för data (single market for data flow). Kommissionen ska främja utvecklingen av gemensamma europeiska dataområden genom strategiska ekonomisektorer och allmännyttiga branscher. Det gemensamma europeiska hälsodataområdet är det första av dessa. Artikel 114 i EUF-fördraget är den allmänna rättsliga grunden för dessa förslag.
Enligt artikel 16 i EUF-fördraget har var och en rätt till skydd av de personuppgifter som rör honom eller henne. Europaparlamentet och rådet ska i enlighet med det ordinarie lagstiftningsförfarandet fastställa bestämmelser om skydd för enskilda personer när det gäller behandling av personuppgifter hos unionens institutioner, organ och byråer och i medlemsstaterna, när dessa utövar verksamhet som omfattas av unionsrättens tillämpningsområde, samt om den fria rörligheten för sådana uppgifter. Oberoende myndigheter ska kontrollera att dessa bestämmelser följs.
Enligt kommissionen möjliggör EU:s dataskyddsförordning skyddsåtgärder för viktiga hälsodata för fysiska personer men att dessa rättigheter inte har kunnat genomföras fullt ut på grund av skillnader i medlemsstaternas tillämpning av dataskyddsförordningen eftersom systemen inte är kompatibla och kraven och tekniska standarder som de omfattas av varierar i olika medlemsstater. Dessutom anser kommissionen att rätten enligt dataskyddsförordningen att överföra uppgifter från ett system till ett annat inte är en fullt genomförbar rättighet inom hälsovårdssektorn eftersom en stor del av hälsodata inte omfattas av den rätten. Därför är det nödvändigt att fastställa nya rättigheter och skyddsåtgärder och krav och standarder så att hälsodata kan användas i samhället. Bestämmelsens syfte är att utöka användningen av e-hälsodata men samtidigt stärka rättigheterna enligt artikel 16 i dataskyddsförordningen.
Bestämmelsen grundar sig också till stor del på unionens rätt till handlingsutrymme som dataskyddsförordningen möjliggör.
Kommissionen konstaterar att förslaget är förenligt med subsidiaritetsprincipen.
Statsrådet anser preliminärt att den föreslagna rättsliga grunden mot bakgrund av syftet med kommissionens förslag förefaller möjlig. Det är dock utmanande att göra en grundlig bedömning av efterlevnaden av den rättsliga grunden och subsidiaritets- och proportionalitetsprincipen i det här tidiga skedet eftersom den föreslagna förordningen innehåller många nya bestämmelser och eftersom några medlemsstater redan nu har lyft fram en korrekt rättslig grund avseende bestämmelsen.Några medlemsstater har föreslagit artikel 168 i EUF-fördraget som rättslig grund och Rådets rättstjänst kommer att ge ett utlåtande i ärendet. Frågan om att använda artikel 168 i EUF-fördraget som rättslig grund har lyfts fram. Det är sannolikt att Rådets rättstjänst ger sin bedömning i ärendet. Statsrådet bedömer frågan närmare då förhandlingarna framskrider. Det är viktigt att bedöma bestämmelsens subsidiaritet och proportionalitet också som en del av den mer omfattande helheten för bestämmelsen om dataekonomin som kan kompletteras med andra förslag om dataområden.
5
Förslagets konsekvenser
5.1
Kommissionens konsekvensbedömning
Kommissionen har genomfört en konsekvensbedömning om förslaget. I sin bedömning har kommissionen granskat olika alternativ för att uppnå förslagets allmänna mål. Genom dessa mål säkerställer man att européerna kan kontrollera sina egna e-hälsodata och dra nytta av många hälsorelaterade produkter och tjänster. Forskare, innovatörer, beslutsfattare och lagstiftare kan dra största möjliga nytta av e-hälsodata.
Konsekvensbedömningen fokuserade på följande alternativ:
Alternativ 1 bygger på ökat samarbete och frivillighet. Det omfattar digitala hälsoprodukter och hälsotjänster och sekundär användning av e-hälsodata. Det här alternativet stöds av förbättrad styrning och digital infrastruktur. Det skulle förändra det nuvarande systemet minst – och det beskrivs som ett lågintensivt ingrepp.
Alternativ 2 skulle stärka fysiska personers rätt att digitalt kontrollera sina hälsodata och tillhandahålla en EU-ram för sekundär användning av elektroniska hälsodata. Styrningen skulle bygga på medlemsstaternas nationella organ. De nationella organen genomför EU-politiken på nationell nivå och stöder utvecklingen av krav på EU-nivå. Två digitala infrastrukturer ska stöda gränsöverskridande delning och sekundär användning av hälsodata. Genomförandet stöds av en obligatorisk certifiering av EHR-systemen och frivillig märkning för friskvårdstillämpningar vilket också säkerställer insyn för myndigheter, upphandlare och användare. Det här alternativet beskrivs som en insats med medelhög intensitet.
Alternativ 3 ingriper kraftigare i det nuvarande systemet. Det här alternativet tilldelar befintliga eller nya EU-organ definitionen av krav på EU-nivå och tillgång till gränsöverskridande elektroniska hälsouppgifter. Det utvidgar också certifieringens omfattning.
I konsekvensbedömningen konstateras att det mest godtagbara alternativet är 2 eftersom det enligt bedömning är det mest ändamålsenliga och effektiva alternativet när det gäller att uppnå målen. Alternativ 1 skulle förbättra utgångsläget marginellt eftersom det fortfarande är frivilligt. Alternativ 3 är också effektivt men kostnaderna är högre och det är politiskt mindre genomförbart. Det skulle medföra större konsekvenser för företag.
Det bästa av de föreslagna alternativen säkerställer att EU-medborgarna får tillgång till och kan överföra sina elektroniska hälsouppgifter digitalt och möjliggör tillgång till dem oavsett vårdgivare och datakällor. MinHälsa@EU skulle bli obligatoriskt och européerna skulle kunna utbyta sina personliga elektroniska hälsouppgifter över gränserna på ett främmande språk. Obligatoriska krav och certifiering (för elektroniska patientjournaler och medicintekniska produkter som kräver driftskompabilitet EHR-systemen) och en frivillig märkning för friskvårdstillämpningar skulle säkerställa öppenhet för användare och upphandlare och minska gränsöverskridande marknadshinder för tillverkare.
Med avseende på certifieringen beslöt man att välja ett stegvist tillvägagångssätt som ger mindre förberedda medlemsstater och tillverkare mer tid att införa certifieringssystemet och bygga upp kapacitet. Samtidigt kan mer avancerade medlemsstater kräva särskilda kontroller på nationell nivå i samband med upphandling, finansiering och återbetalning av elektroniska patientjournalsystem. Bedömningen konstaterar också att kostnaderna för certifiering för en enskild tillverkare av ett elektroniskt patientjournalsystem skulle minska vilket skulle leda till en minskning av de totala kostnaderna för tillverkarna av systemen. Enligt bedömningen förefaller certifieringssystemet vara det mest proportionerliga för tillverkarna när det gäller administrativa bördor och kapacitet. De faktiska fördelarna för medlemsstaterna, patienterna och upphandlarna kommer dock att behöva analyseras noggrant i utvärderingen av den rättsliga ramen efter fem år.
När det gäller sekundär användning av elektroniska hälsodata skulle forskare, innovatörer, beslutsfattare och tillsynsmyndigheter kunna få tillgång till data av hög kvalitet för sitt arbete på ett informationssäkert sätt, med en tillförlitlig styrning och till lägre kostnader än att förlita sig på samtycke. Den gemensamma ramen för sekundär användning skulle minska fragmenteringen och hindren för gränsöverskridande tillträde. Medlemsstaterna skulle inrätta ett eller flera organ för tillgång till hälsouppgifter för det här arbetet. En del av kostnaderna kommer att kompenseras genom avgifter som tas ut av organ för tillgång till hälsouppgifter. Inrättandet av organ för tillgång till hälsouppgifter förväntas leda till lägre kostnader för tillsynsmyndigheter och beslutsfattare för att få tillgång till elektroniska hälsodata tack vare ökad insyn i läkemedlens effektivitet, vilket leder till lägre kostnader i samband med regleringsprocesser och offentlig upphandling på hälsoområdet. Digitaliseringen kan också minska onödiga tester och säkerställa insyn i utgifterna, vilket möjliggör besparingar i hälso- och sjukvårdsbudgeten. EU-medel kommer att stöda digitaliseringen.
Målet är att säkerställa insyn i informationen om datamängder för dataanvändare. Genomförandet av kravet ska även antas stegvis. Då skulle beskrivningen av datauppsättningen vara obligatorisk för alla dataset, med undantag för dem som innehas av mikroföretag, medan den egendeklarerade datakvalitetmärkningen endast skulle vara obligatorisk för datainnehavare med offentligt finansierade datamängder och frivilliga för andra.
Miljökonsekvenser
Bedömningen av miljöpåverkan, i linje med den europeiska klimatlagen 34, visar att detta förslag leder till begränsade effekter på klimatet och miljön. Ny digital infrastruktur och ökade volymer datatrafik och datalagring kan öka koldioxidavtrycket från IT-systemen och datautbytet, men den större interoperabiliteten inom hälso- och sjukvården skulle i hög grad uppväga sådana negativa effekter genom att minska reserelaterade föroreningar och energi- och pappersanvändning.
Ekonomiska konsekvenser
De totala ekonomiska fördelarna med detta alternativ förväntas under 10 år överstiga 11 miljarder euro. Detta belopp skulle fördelas nästan jämnt mellan fördelar som härrör från åtgärder för primära (5,6 miljarder euro) och sekundära (5,4 miljarder euro) användningsområden. När det gäller primär användning bedöms det uppstå ekonomiska fördelar från besparingar inom hälso- och sjukvården då telemedicin och utbyte av hälsodata effektiviserar tillhandahållandet av tjänster. När det gäller sekundär användning bedöms fördelar uppstå särskilt tack vare säkerställandet av tillgång till mer innovativa medicinska produkter och bättre beslutsmärkning.
De totala kostnaderna uppskattas till 0,7–2,0 miljarder euro för de kommande 10 åren Merparten av kostnaderna skulle härröra från primär användning (0,3–1,3 miljarder euro). De flesta kostnaderna skulle bäras av tillverkarna av patientjournalsystemen och utvecklare av produkter relaterade till dessa system. Mindre än 0,1 miljarder euro uppskattas gå till nationella myndigheters kostnader. När det gäller sekundär användning ansvarar myndigheter för kostnaderna för utbyggnaden av nationella kontaktpunkter och verksamheten, EU-organ samt främjandet av interoperabiliteten och datakvaliteten.
5.2
Nationell konsekvensbedömning
5.2.1
Allmänna konsekvenser
Bestämmelsen är till alla delar bindande och direkt tillämplig i alla medlemsstater. Den ersätter inte lagen om sekundär användning eller klientuppgiftslagen utan ska tillämpas vid sidan av dessa och det förutsätts också att de samordnas med förslaget till förordning. Dessutom ska en del av skyldigheterna i förordningen separat i den nationella lagstiftningen fastställas till olika rättssubjekt.
Enligt statsrådets rapport om EU-politik av den 28 januari 2021 ska EU särskilt fokusera på digitalisering och ny teknik genom innovationspolitiken som centrala ekonomiska reformatörer och som faktorer för den europeiska industrins konkurrenskraft. All verksamhet ska upprätthålla digital säkerhet, informationssäkerhet och skydd av personuppgifter och stärka den digitala delaktigheten och minska den digitala fattigdomen genom bland annat användningen av strukturfonder. I utvecklingen av digitala lösningar, artificiell intelligens och algoritmer är det viktigt att fästa uppmärksamhet vid likvärdighet, jämlikhet och icke-diskriminering.
Ett fungerande samarbete i EU är till fördel för Finland. Särskild fördel medför samarbetet i hybrid- och cyberfrågorna och frågor relaterade till digitalisering och banbrytande teknologier, såsom artificiell intelligens. Det ska understödas att EU strävar efter att stärka sin handlingsförmåga även inom hälso- och sjukvårdssektorn eftersom inget medlemsland i det integrerade Europa är skyddat från omfattande hot mot hälsan utan en gemensam och effektiv strategi.
Enligt regeringsprogrammet främjar Finland EU:s digitaliseringspolitik som på ett hållbart sätt reglerar de multinationella plattformstjänsterna, stärker EU:s digitala inre marknad och konkurrenskraft samt främjar allmänhetens och företagens dataskydd och digitala verksamhetsbetingelser. Finland främjar utarbetandet av en etiskt, ekonomiskt och socialt hållbar datapolitik och ett regelverk för politiken för artificiell politik.
Förslaget är en betydande helhet med omfattande effekter för EU:s framtida hälsopolitik. Det påverkar hur hälso- och sjukvården i framtiden tillhandahålls för människorna i Europa. Förslagets mål är att skapa en inre marknad för digitala hälso- och sjukvårdstjänster och bestämmelser om användningen av data för både primär användning och sekundär användning. Förslaget är en del av den mer omfattande europeiska datastrategin och inre marknaden för data (single market for data flow). Europeiska kommissionen ska främja utvecklingen av gemensamma europeiska dataområden genom strategiska ekonomisektorer och allmännyttiga branscher. Det gemensamma europeiska hälsodataområdet är det första av dessa som det gjorts ett lagstiftningsförslag om. Till vissa delar kan det även annars vara vägledande.
Bestämmelsen skapar fler rättigheter för medborgarna att kontrollera och bestämma över sina hälsodata och på motsvarande sätt får hälso- och sjukvårdspersonal fler rättigheter och skyldigheter för behandlingen av hälsodata. Medlemsstaternas medborgare får möjlighet att kontrollera och använda sina hälsodata i sitt hemland och inom hela EU. Hälso- och sjukvårdspersonal kan se uppgifter om patienten de vårdar oavsett patientens hemland. Det främjar människornas hälso- och sjukvård samt den faktiska inre marknaden för digitala hälso- och sjukvårdstjänster och produkter.
Förslaget till förordning möjliggör ett informationssäkert utbyte av hälsodata mellan länderna för att möjliggöra kontinuitet i vården som grundar sig på internationell vetenskaplig forskning, innovationer och kunskapsbaserade beslut. Avsaknaden av en sådan här modell hotar möjligheten till internationellt forskningssamarbete då informationssäkerheten ska kunna säkerställas.
I Isacuus-marknadsundersökningen som tidigare gjorts i Finland uppskattades det potentiella värdet av marknaden för databaserad forskning och experttjänster till 60 miljoner euro för Finland. I praktiken torde den nuvarande marknaden vara betydligt mindre. Om man uppskattar att 2/3 av detta inte genomförs på grund av att data inte kan utlämnas till andra länder utgör det en förlust på 40 miljoner euro per år för finländsk forskning och företag.
För att utvecklingen av finländska säkra verksamhetsmiljöer ska svara på de europeiska kraven uppskattar man att det krävs investeringar på totalt några miljoner euro. Om de föreslagna kraven på utlämnande av data, som är avsevärt striktare än för närvarande i Finland, fortsätter gälla måste de personuppgiftsansvariga betydligt effektivisera sina egna datasystem, processer och öka resurserna för den här verksamheten. Detta kan innebära investeringar på flera tiotals miljoner euro i de personuppgiftsansvarigas datasystem och en ökning av dataproduktionskostnaderna med flera miljoner euro varje år. Denna ökning av kostnaderna återspeglas ofrånkomligen i avgifterna som tas ut av kunder, såsom forskare.
Syftet för den föreslagna bestämmelsen ska understödas.
5.2.2
Ekonomiska konsekvenser och administrativa konsekvenser
Kommissionen planerar finansiera uppbyggnaden av EHDS med flera olika finansieringsinstrument på totalt 800 miljoner euro. Den största av dessa finansieringar riktas via EU4HEALTH-programmet, från vilket direktansökningar som konkurrensutsätts av kommissionen lanseras varje år (280 miljoner euro). Dessutom kan finansiering ansökas från Digital Europe-programmet, CEF-programmet och Horizon Europe-programmet. Redan nu har många medlemsstater finansierat utvecklingen av digitalisering och informationshantering med återhämtnings- och resiliensfaciliteten (Recovery and Resilience Fund).
En ansökning av EU-finansiering förutsätter att Finland ordnar med självfinansieringsandelen på högst 50 procent av ansökningssumman som krävs.
Dessutom är resursbristen på kvalificerad arbetskraft en utmaning eftersom många resurser är bundna till det nationella utvecklingsarbetet för social- och hälsovårdsreformen.
Förordningen har ekonomiska konsekvenser och tillräckliga resurser ska tryggas för genomförandet av den. Kostnader uppstår för bland annat social- och hälsovårdsministeriet för uppdateringen av flera lagar och förordningar relaterade till social- och hälsovårdens informationshantering och den allmänna styrningen för genomförandet av ändringarna. Uppdateringen av bestämmelser i kunduppgiftslagen och direktiv och motsvarande dokument medför kostnader för institutet för hälsa och välfärd. Eftersom författningarna är flera till antalet uppskattas resursbehovet vara flera årsverken, upp till 6–8 årsverken och kostnaden för dessa uppskattas till ungefär 600 000–800 000 euro.
Förordningen förutsätter även ändringar i Kanta-tjänsterna. Finland genomför redan EU-datautbyte men en eventuell utökning av datainnehåll som ska utbytas medför även kostnader under de kommande åren och på samma sätt kommer utvidgningen av genomförandet till nya länder att kräva omfattande testning och även täckande av underhållskostnader. I utvidgningsskedet uppskattas kostnadsbedömningen till 650 000 euro per år. Dessutom kan förordningen medföra ändringsbehov i Mina Kanta, Datalagret för egna uppgifter och informationslagret för kunduppgifter. Ändringsbehoven beror till exempel på utvidgningen av datainnehållet i Mina Kanta och ändringar i uträttandet av ärenden för en annan person och ändringar i patienternas rättigheter att kontrollera sina patientdata. Engångskostnaderna uppskattas vara kring 3–5 miljoner euro.
Rättigheterna avseende förvaltningen av patienternas patientdata medför ändringsbehov även för hälso- och sjukvårdens tjänsteproducenter och deras patientjournalsystem. Utöver ändringarna av datasystemen behövs resurser för uppdatering av verksamhetsmodeller och utbildning av personalen. Eftersom Finland i enlighet med kunduppgiftslagen har bestämmelser och förfaranden för att verifiera efterlevnaden av datasystemens informationssäkerhetsmässiga och funktionella krav torde förordningen inte i det här avseendet medföra ytterligare kostnader för datasystemens utvecklare.
Med avseende på den sekundära användningen av hälsodata har förordningen ekonomiska konsekvenser för de nationella hälsotillståndsmyndigheternas, personuppgiftsansvarigas och de informationssäkra behandlingsmiljöernas kostnader. Med avseende på den sekundära användningen befinner sig Finland i en god position jämfört med många andra länder. Den här typen av strukturer finns och utvecklas redan. Nödvändiga ytterligare investeringar beror dock på det slutliga innehållet i förordningen. Ändringen av bestämmelserna och anvisningarna för Findata och andra hälsotillståndsmyndigheter och de personuppgiftsavsvarigas egna anvisningar och verksamhetsmodeller uppskattas medföra engångskostnader på cirka 10–12 miljoner euro. Dessutom uppskattas de årliga kostnaderna öka med 5–6 miljoner euro per år på grund av den ökade arbetsmängden. Engångsinvesteringsbehoven för de personuppgiftsansvarigas datautbyte, tillståndsmyndigheternas databehandling och datasystemens informationssäkerhetsmässiga användningsmiljöer uppskattas vara 9–10 miljoner euro. De årliga driftskostnaderna uppskattas öka med cirka 0,3–0,5 miljoner euro per år.
Förordningen inverkar även på kostnaderna som tas ut av forskare och andra kunder som behöver uppgifter. Åtminstone en del av investeringskostnaderna samt de ökade driftskostnaderna ska betalas av kunderna i form av ökade tillstånds- och servicekostnader.
Enligt statsrådet kan ändringen av styrmodellen eventuellt utnyttja det nuvarande samarbetet mellan olika myndigheter och institutioner (bl.a. SHM, THL, Fpa, Fimea, Valvira och Findata) för att bland annat överväga organiseringen av den nya digitala hälsomyndighetens uppgifter. Å andra sidan är det möjligt att nya myndigheter kan inrättas för de nya uppgifterna som medlemsstaterna enligt förslaget till förordning ska underrätta kommissionen om. Finland har redan en nationell elektronisk kontaktpunkt för utbyte av data för primär användning i Fpa och Finland har redan en tillståndsmyndighet i enlighet med lagen om sekundär användning. Enligt statsrådets preliminära bedömning medför förslaget till förordning dock ytterligare uppgifter för dessa myndigheter utan särskild EU-finansiering.
Konsekvenser som medför ytterligare arbete för Dataombudsmannens byrå är bland annat de uttryckliga samarbetsskyldigheterna med nationella myndigheter som ansvarar för digital hälso- och sjukvård och organ som ansvarar för tillgången till hälsodata och nya rättigheter för patienter. Tillsynen av dessa är väldigt arbetsdryg och enligt förslaget ska uppgiften utföras av tillsynsmyndigheterna enligt dataskyddsförordningen. Konsekvenser medförs sannolikt av bland annat ökade besvär (med beaktande av väldigt omfattande möjligheter för utlämnande av uppgifter). Finansieringsbehovet som de nya uppgifterna kräver är betydande.
Finansieringsbehovet som de nya uppgifterna kräver kan vara betydande och det skulle vara bra att så effektivt som möjligt utnyttja de befintliga EU-finansieringsprogrammen för dessa.
5.2.3
Lagstiftningskonsekvenser
Förordningen är direkt tillämplig i unionens medlemsstater och det har inte funnits någon motsvarande bestämmelse i unionen tidigare. Europeiska kommissionen har under år 2021 antagit andra lagstiftningsförslag, bland annat dataakten, dataförvaltningsakten och förordningen om artificiell intelligens som inverkar på det aktuella förslaget. På så sätt är det svårt att ännu i det här skedet bilda sig en klar helhet över den nya lagstiftningen.
Lagen om offentlighet i myndigheternas verksamhet (621/1999, offentlighetslagen) föreskriver om offentligheten av uppgifter i myndigheternas besittning och om offentlighetens begränsningar. I speciallagar föreskrivs dessutom om tillämpningen av offentlighetslagen fullt ut eller för vissa aktörer eller handlingar. Användningen av offentliga handlingar kan begränsas av andra rättigheter och skyldigheter riktade till handlingen som föreskrivs någon annanstans i lag. Lagen om informationshantering inom den offentliga förvaltningen (906/2018, informationshanteringslagen) kompletterar offentlighetslagen med avseende på informationshantering, informationssäkerhet och datasystemens och datalagrens kompabilitet och säkerställer å sin sida genomförandet av offentlighetsprincipen och god förvaltning.
I förslaget till förordning finns många detaljer som ska granskas i förhandlingsprocessen och som kräver precisering. Det juridiskt mest centrala är bestämmelsens förenlighet med annan redan gällande EU-reglering (särskilt dataskyddsförordningen) och nationella lagar (bland annat dataskyddslagen, offentlighetslagen, informationshanteringslagen, lagen om grunderna för avgifter till staten, arkiveringslagstiftningen och lagarna om social- och hälsovårdens patientdata och sekundär användning nedan) och EU-akter som samtidigt är under beredning (såsom exempelvis dataförvaltningsakten och förslagen till rättsakten om artificiell intelligens, dataakten och direktivet om säkerhet i nätverk och informationssystem).
Även om skäl 37 i förslaget anger flera stycken i artiklarna 6 och 9 i dataskyddsförordningen som rättslig grund för behandlingen, är det dock inte helt klart i förslaget till förordning exakt från vilka delar den rättsliga grunden för behandlingen härleds från punkterna om rättslig grund för behandling enligt artiklarna 6 och 9 i dataskyddsförordningen, vad som är en förenlig behandling med det ursprungliga ändamålet och vad som är den fortsatta behandlingen av personuppgifter. Även om tillämpningen av de många styckena i artiklarna 6 och 9 i dataskyddsförordningen, och om tillämpningen i sig är möjlig, skapar bestämmelsen ett oklart rättsläge för de registrerade och myndigheterna.
Den direkt tillämpliga förordningens regleringslogik som avviker från den nationella regleringen och den föreslagna villkors- och förfaranderegleringen ökar troligtvis behovet att samordna den nationella lagstiftningen med avseende på förslaget till förordning. Den föreslagna lagstiftningen förefaller till vissa delar vara överlappande avseende centrala lagar om behandling av patientuppgifter inom social- och hälsovården, såsom exempelvis kunduppgiftslagen, lagen om elektroniska recept, kund- och patientlagen, lagen om sekundär användning, biobankslagen, lagarna om prövning av läkemedel och klinisk prövning av läkemedel, lagen om genomcentret som är under beredning och eventuellt även tidigare nämnda allmänna förvaltningslagar och olika lagar om institutioner och myndigheter (såsom exempelvis THL, Valvira, Fpa, Fimea) som berörs av sekundär användning av dataset. Överlappning kan dessutom orsakas av skyldigheten att utse olika myndigheter som nämns i förslaget till förordning, såsom exempelvis en ny digital hälsomyndighet, nationella kontaktpunkter, tillståndsmyndighet för att utföra uppgifter som föreslås i den nya bestämmelsen.
Utöver lagarna ovan förutsätter de föreslagna förändringarna ändringar i förordningar, föreskrifter, verksamhetsmodeller och direktiv som utfärdats på grundval av ovannämnda lagar.
6
Förslagets förhållande till grundlagen samt de grundläggande och mänskliga rättigheterna
6.1
Skydd av personuppgifter
Förslaget om ett europeiskt hälsodataområde är av betydelse med tanke på skyddet av privatlivet och personuppgifter som tryggas i 10 § i grundlagen. Den föreslagna förordningen är även av betydelse med tanke på EU:s stadga om de grundläggande rättigheterna. I artikel 7 i EU:s stadga om grundläggande rättigheter tryggas respekten för privatlivet och i artikel 8 vars och ens rätt till skydd av de personuppgifter som rör honom eller henne.
Inom social- och hälsovården behandlas känsliga personuppgifter om till exempel en persons hälsotillstånd, sjukdom eller funktionsnedsättning eller personens vårdingrepp eller med dessa jämförbara åtgärder och personens behov av socialvård eller socialvårdstjänster, stödåtgärder och andra sociala förmåner som denne erhåller.
Förslaget till förordning påminner innehållsmässigt i stora delar till lagen om elektronisk behandling av kunduppgifter inom social- och hälsovården (klientuppgiftslagen, 784/2021), lagen om elektroniska recept (61/2007) och lagen om sekundär användning av personuppgifter inom social- och hälsovården (lagen om sekundär användning, 552/2019). Nedan går vi bland annat igenom grundlagsutskottets centrala utlåtandepraxis gällande dessa.
Enligt grundlagsutskottets utlåtandepraxis är det i regel tillräckligt med tanke på 10 § 1 mom. i grundlagen att bestämmelserna uppfyller kraven i EU:s allmänna dataskyddsförordning. Enligt utskottet ska skyddet för personuppgifter i första hand tillgodoses med stöd av EU:s allmänna dataskyddsförordning och den nationella allmänna lagstiftningen. Lagstiftaren bör således vara restriktiv när det gäller att införa nationell speciallagstiftning. Sådan lagstiftning bör vara avgränsad till nödvändiga bestämmelser inom ramen för det nationella handlingsutrymme som dataskyddsförordningen medger (se GrUU 14/2018 rd, s. 5).
I den nu föreslagna bestämmelsen utfärdas närmare bestämmelser som kompletterar dataskyddsförordningen för gränsöverskridande hälso- och sjukvård samt för gränsöverskridande sekundär användning av hälsorelaterade personuppgifter och delvis registrerades rättigheter som avviker från dataskyddsförordningen.
Enligt grundlagsutskottets utlåtandepraxis ska behovet av speciallagstiftning i enlighet med det riskbaserade synsätt som också krävs i dataskyddsförordningen bedömas utifrån de hot och risker som behandlingen av personuppgifter orsakar. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandling av känsliga uppgifter (GrUU 14/2018 rd, s. 5).
I den nu föreslagna förordningen har uppmärksamhet fästs på hot och risker som behandlingen av uppgifterna medför endast med några skyddsåtgärder varav de mest centrala är kraven på patientjournalsystemen och behandling i en informationssäker behandlingsmiljö. Ändringarna i klientuppgiftslagen och lagen om sekundär användning som genomförts i riksdagsberedningen visar att det är möjligt att mycket mer omfattande föreskriva om olika typer av skyddsåtgärder för hot och risker som behandlingen av personuppgifter medför.
Grundlagsutskottet har fäst särskild uppmärksamhet vid att inskränkningar i skyddet för privatlivet i respektive regleringssammanhang måste bedömas utifrån de allmänna villkoren för inskränkningar av de grundläggande fri- och rättigheterna (se GrUU 42/2016 rd, s. 2 och de utlåtanden som nämns där). Lagstiftarens handlingsutrymme vid utfärdandet av bestämmelser om behandling av känsliga personuppgifter begränsas i synnerhet av att skyddet för personuppgifter delvis ingår i skyddet för privatlivet som tryggas i samma moment i 10 § i grundlagen. Lagstiftaren bör tillgodose denna rätt på ett sätt som är godtagbart med avseende på de grundläggande fri- och rättigheterna överlag. Utskottet har därför ansett att särskilt tillåtande av behandling av känsliga uppgifter berör själva kärnan i skyddet för personuppgifter (GrUU 37/2013rd, s. 2/II), vilket inneburit att inrättandet av register med sådana uppgifter måste bedömas motvillkoren för inskränkningar i de grundläggande fri- och rättigheterna, särskilt lagstiftningens acceptabilitet och proportionalitet (GrUU 29/2016 rd s. 4–5 och till exempel GrUU 21/2012 rd, GrUU 47/2010 rd och GrUU 14/2009 rd). I sina analyser av omfattning, exakthet och innehåll i lagstiftning om rätten att få och lämna ut uppgifter trots sekretess har utskottet lagt vikt vid att de uppgifter som lämnas ut är av känslig art (se till exempel GrUU 38/2016 rd, s. 3).
Förslaget är ännu på grundval av dess innehåll och motiveringar ospecificerat på så sätt att det är svårt att bedöma dess godtagbarhet med avseende på det nationella systemet för grundläggande rättigheter som helhet. Hälsouppgifter är en sådan särskild kategori av personuppgifter som avses i artikel 9 i den allmänna dataskyddsförordningen som enligt huvudregeln i artikel 9.1 inte får behandlas. Enligt artikel 9.2 ska punkt 1 inte tillämpas om något av kraven i artikel 9.2 a–j uppfylls. Personuppgifter som hör till särskilda kategorier av personuppgifter får enligt detta behandlas bland annat med uttryckligt samtycke av den berörda personen (led a).
I förslaget till förordning grundar sig den gränsöverskridande behandlingen av personuppgifter till stora delar på den föreslagna regleringen. Undantaget är bestämmelsen om den s.k. dataaltruismen som grundar sig på samtycke. Behandlingen av personuppgifter, inklusive tillgången till och gränsöverskridande utlämnande av uppgifter, grundar sig på den föreslagna EU-lagstiftningen. Det förefaller som att behandlingen av personuppgifter är möjlig även om det inte finns någon nationell laglig grund för behandlingen av personuppgifter. Den registrerade har dock fortfarande rättigheter enligt dataskyddsförordningen, men förhållandet mellan förordningen och rättigheterna enligt dataskyddsförordningen är oklart, eftersom det i förslaget föreslås att vissa rättigheter ska utökas även om den rättsliga grunden för behandlingen för närvarande inte möjliggör sådana föreslagna nya rättigheter för registrerade enligt dataskyddsförordningen.
Konstitutionen ska enligt 1 § 2 mom. i grundlagen trygga människovärdets okränkbarhet och den enskilda människans frihet och rättigheter samt främja rättvisa i samhället. Omnämnandet av individens rättigheter och frihet omfattar också individens självbestämmanderätt som utgörgrunden för utövningen av många andra fri- och rättigheter, med andra ord friheten att bestämma över sig själv och sitt handlande (RP 309/1993 rd, s. 45/II). Bestämmelsen i 1 § 2 mom. i grundlagen ger uttryck för de grundläggande värderingarna i grundlagen och ska beaktas vid tolkningen av grundlagens övriga bestämmelser (RP 1/1998 rd, s. 74/I).
Enligt 10 § i grundlagen är vars och ens privatliv tryggat. Begreppet privatliv kan förstås som ett samlande begrepp för en persons privata krets. Utgångspunkten för skyddet för privatliv är att individen har rätt att leva sitt eget liv utan godtycklig eller ogrundad inblandning av myndigheter eller andra utomstående. Till privatlivet hör bland annat individens rätt att själv bestämma om sig själv och sin kropp (RP 309/1993 rd, s. 56–57) Även rätten till privatliv medverkar alltså till att uppfylla självbestämmanderätten.
Grundlagsutskottet har ansett att rätten att bestämma över information om sig själv bör anses vara central med avseende på skyddet av personuppgifter (se till exempel GrUU 23/2020 rd, s.9, GrUU 2/2018 rd, s. 8). Grundlagsutskottet har ansett att självbestämmanderätten är kopplad till ett flertal grundläggande fri- och rättigheter, särskilt till 7 § om personlig frihet och integritet och 10 § om skydd för privatlivet i grundlagen (se GrUU 48/2014 rd, s. 2/II).
I 6 § i patientlagen finns det bestämmelser om patientens självbestämmanderätt. När det gäller rätten att bestämma över information om sig själv är det av betydelse att sekretessbelagda uppgifter i journalhandlingar enligt 13 § 2 mom. inte får lämnas ut utan patientens skriftliga samtycke. Motsvarande bestämmelser finns i klientlagen. I båda lagarna finns det också bestämmelser om situationer där självbestämmanderätten kan begränsas till exempel genom att lämna ut uppgifter som är nödvändiga för vården av patienten till en annan verksamhetsenhet inom hälso- och sjukvården, om samtycke inte kan fås på grund av att patienten är medvetslös eller på grund av någon annan jämförbar orsak.
Enligt artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna ska personuppgifter behandlas på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Enligt artikel 6 i den allmänna dataskyddsförordningen är behandlingen av personuppgifter lagenlig bland annat när den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. Enligt artikel 9 i den allmänna dataskyddsförordningen kan särskilda personuppgiftsgrupper som motsvarar känsliga uppgifter likaså behandlas på grundval av samtycke, utom då unionsrätten eller medlemsstaternas nationella rätt föreskriver att förbudet mot behandling av särskilda kategorier av personuppgifter inte kan upphävas av den registrerade. Enligt skäl 43 i den allmänna dataskyddsförordningen börsamtycket dock inte utgöra en giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige. Detta gäller särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar.
Enligt grundlagsutskottet kan till följd av det anförda under vissa förutsättningar trots bestämmelserna i grundlagen också behandling av känsliga personuppgifter stödja sig på samtycke, även om det är fråga om myndighetsverksamhet. Detta undanröjer dock inte behovet av att, i synnerhet i den nu aktuella typen av sammanhang med nära koppling till de grundläggande fri- och rättigheterna och de mänskliga rättigheterna, säkerställa att regleringen i sin helhet skapar tillräckliga förutsättningar för ett faktiskt skydd av känsliga personuppgifter (GrUU 20/2020 rd, s. 5–6).
Grundlagsutskottet har uttryckt oro över vad syftet med den valda regleringen, som lösgör sig från kravet på samtycke, innebär med tanke på att det måste finnas godtagbara grunder för en inskränkning av självbestämmanderätten. Grundlagsutskottet har ansett det möjligt att trots sekretessbestämmelserna binda utlämnandet av uppgifter även till att det är nödvändigt för ett visst syfte, om det datainnehåll som utlämnas inte har specificerats i lagstiftningen. I det här förslaget till förordning har datainnehållet som ska utlämnas inte specificerats och å andra sidan inte heller kopplats till nödvändighet.
Grundlagsutskottet har i sitt utlåtande om den nya kunduppgiftslagen (GrUU 4/2021) ansett att bestämmelser som bättre säkerställer självbestämmanderätten kan göras vid riksdagsbehandlingen på så sätt att den föreslagna begränsningen av självbestämmanderätten inte är huvudregel, utan att det i stället föreskrivs att samtycke är ett villkor för utlämnande enligt 20 och 21 §. Grundlagsutskottet anser att det trots grundlagen kan föreskrivas om ett sådant brett samtycke som avses i den gällande lagen, om samtycket kan begränsas genom förbud av det slag som föreslås i 18 § (se även GrUU 10/2012 rd, s. 2–4). Regleringen av samtycket ska uppfylla de villkor som nämns i utskottets praxis. Samtycket ska grunda sig till exempel på tillräcklig information som ges i ett förfarande enligt 15 § (se även till exempel GrUU 23/2020 rd, s. 4–5), det ska vara frivilligt och det ska också kunna återkallas. Om sättet att ge sitt samtycke ska det föreskrivas exempelvis på motsvarande vis som i den gällande lagen Enligt grundlagsutskottet skapar en sådan reglering i den aktuella lagstiftningskontexten tillräckliga förutsättningar för ett faktiskt förverkligande av självbestämmanderätten (se även GrUU 20/2020 rd, s. 5–6). Utskottet betonar att detta inte hindrar att det i samtyckeskravet bestäms om undantag och annan rätt att få information på det sätt som föreskrivs exempelvis i 13 § i patientlagen. Det väsentliga är då att det på det sätt som den allmänna dataskyddsförordningen förutsätter föreskrivs om behandlingen i en lag som uppfyller förutsättningarna enligt förordningen och som utgör den grund förbehandlingen som avses i artiklarna 6 och 9 i förordningen.
Mot bakgrund av den nationella konstitutionella praxisen är det viktigt att i bedömningen av förslaget beakta hur de registrerades kunskapsmässiga självbestämmanderätt kan genomföras då behandlingen inte grundar sig på samtycke och då den registrerade inte har rätt att förbjuda till exempel sekundär användning.
Grundlagsutskottet har lyft fram riskerna med behandlingen av känsliga uppgifter. Utskottet anser att omfattande databaser med känsliga uppgifter medför allvarliga risker för informationssäkerheten och missbruk av uppgifter. Riskerna kan i sista hand utgöra ett hot mot personers identitet. Enligt utskottet föranleder till exempel registreringen av biometriska kännetecken som anses utgöra känsliga uppgifter ett särskilt behov att se till att de personuppgifter som sparas i systemet blir skyddade mot risker för missbruk och mot alla slag av olaglig åtkomst och användning (GrUU 13/2016 s. 4, GrUU 14/2009 rd, s. 3/I). Även i enlighet med skäl 51 i den allmänna dataskyddsförordningen bör de särskilda personuppgifter som avses i artikel 9 och som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheterna och friheter åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna. Utskottet har därför särskilt påpekat att det måste finnas exakta och noga avgränsade bestämmelser om att det är tillåtet att behandla känsliga uppgifter bara om det är absolut nödvändigt och att bestämmelserna måste vara detaljerade och omfattande, inom de ramar som den allmänna dataskyddsförordningen tillåter (GrUU 65/2018rd, s. 45, GrUU 15/2018 rd, s. 40).
Den föreslagna regleringslösningen medför allvarliga risker för informationssäkerheten och missbruk av uppgifterna som i sista hand kan utgöra ett hot mot personens identitet. Som tidigare redan konstaterats kan förhandlingarna om förslaget till förordning utnyttja skyddsåtgärderna som redan tidigare har använts för hantering av riskerna ovan i till exempel den nationella lagstiftningen. I förhandlingarna ska uppmärksamhet även fästas vid en exakt och noga avgränsad bestämmelse.
Grundlagsutskottet har bedömt bestämmelserna om myndigheternas rätt att få och skyldighet att lämna ut uppgifter trots sekretessbestämmelserna med avseende på skyddet för privatliv och personuppgifter i 10 § 1 mom. i grundlagen och då noterat bland annat vad och vem rätten att få uppgifter gäller och hur rätten är kopplad till nödvändighetskriteriet (GrUU 15/2018 rd). Myndigheternas rätt att få och möjlighet att lämna ut uppgifter kan gälla "behövliga uppgifter" för ett visst syfte, om lagen ger en uttömmande förteckning över innehållet i uppgifterna Om innehållet däremot inte anges i form av en förteckning, ska det i lagstiftningen ingå ett krav på att "uppgifterna är nödvändiga" för ett visst syfte (se till exempel GrUU 17/2016 rd, s. 2–3). I sina analyser av exakthet och innehåll har utskottet lagt vikt vid att de uppgifter som lämnas ut är av känslig art. Om de föreslagna bestämmelserna om utlämnande av information också hänför sig till känsliga uppgifter, har ett villkor för att lagförslaget kan behandlas i vanlig lagstiftningsordning varit att bestämmelserna måste preciseras så att de följer grundlagsutskottets praxis förbestämmelser som rör rätten att få och att lämna ut myndighetsuppgifter trots sekretess (GrUU 38/2016 rd, s. 3). Å andra sidan har grundlagsutskottet ansett att grundlagen inte tillåter en vag och ospecificerad rätt att få uppgifter, låt vara att den är knuten till nödvändighetskriteriet (se till exempel GrUU 71/2014 rd s. 3/I, GrUU 62/2010 rd, s. 4/I och GrUU 59/2010 rd, s. 4/I).
Enligt grundlagsutskottets utlåtandepraxis ska nationella myndigheters och EU-institutioners rätt att få uppgifter enligt förslaget till förordning preciseras och förtydligas väsentligt.
Behovet av bestämmelser som är mer detaljerade än dataskyddsförordningen bör dock motiveras i varje enskilt fall, också inom ramen för förordningen. Då finns det skäl att det riskbaserade synsättet i förordningen också vägs in. Detta förefaller inte ha skett i det här förslaget.
Utskottet har framhållit att även lagstiftningen om behandling av känsliga personuppgifter bör vara så tydlig och begriplig som möjligt (GrUU 14/2018 rd, s. 6).
Den föreslagna förordningen kan inte anses vara tydlig eller lättförståelig.
Utskottet har i sin praxis särskilt lyft fram behovet av reglering i de fall där personuppgifterna behandlas av en myndighet (se till exempel GrUU 14/2018 rd, s. 4). Grundlagsutskottet har dock tidigare också fäst uppmärksamhet vid att bestämmelserna i 8 § i personuppgiftslagen (523/1999), som stiftades med utskottets medverkan (GrUU 25/1998 rd) och senare upphävdes, tillät behandling av personuppgifter i första hand på grundval av samtycke. Också känsliga personuppgifter kunde med stöd av 12 § i den lagen behandlas i undantagsfall, om den registrerade hade gett sitt uttryckliga samtycke till det (GrUU 1/2018 rd, s. 9). Enligt grundlagsutskottet kan motsvarande konstateras om offentlighetslagen, som har stiftats med grundlagsutskottets medverkan. Enligt 26 § i den lagen kan en myndighet ur en sekretessbelagd myndighetshandling lämna ut uppgifter bland annat när sekretessplikt har föreskrivits till skydd för någons intressen och denne samtycker till att uppgifter lämnas ut. Ett sådant dokument kan innehålla känsliga personuppgifter. (GrUU 43/1998 rd, se även GrUU 42/2016 rd, s. 3).
Grundlagsutskottet har starkt lyft fram kravet på ändamålsbundenhet i synnerhet i fråga om behandling av känsliga uppgifter. Enligt grundlagsutskottet har man haft skäl att förhålla sig negativt till användningen av uppgifter för ändamål utanför det egentliga syftet med insamling och lagring till exempel i samband med register som innehåller omfattande biometriska identifikatorer (GrUU 14/2009 rd). Det har därmed endast varit möjligt att göra exakta och små undantag i ändamålsbundenheten. Bestämmelserna får inte heller leda till att någon annan verksamhet än den som är förknippad med det ursprungliga ändamålet blir det huvudsakliga ändamålet eller ens ett viktigt ändamål (se även till exempel GrUU 14/2017 rd, s. 6).
Det är dock oklart om förslaget till förordning kan leda till att den sekundära användningen av personuppgifter blir det huvudsakliga eller ett betydande användningsändamål i förhållande till deras primära användningsändamål. Grundlagsutskottet har i sitt utlåtande om den s.k. coronablinkern (GrUU 42/2020 rd/RP 225/2020 rd) konstaterat att det i bedömningen av regeringens dåvarande proposition inte i tillräcklig utsträckning framgick på vilket sätt systemet säkerställer att de restriktioner för användningsändamålet som föreskrivs i lagen om smittsamma sjukdomar iakttas också efter det att uppgifterna lämnas ut till utländska myndigheter. Utskottet anser att det måste säkerställas att det informationssystem som används i en annan stat inte sparar platsdata eller uppgifter om kontakter i telefonen eller använder uppgifterna för ändamål som strider mot 43 c § 1 mom. i lagen om smittsamma sjukdomar, exempelvis för polisundersökning, förundersökning eller rättegång. I det hänseendet bör social- och hälsovårdsutskottet granska lagförslaget också med avseende på EU:s dataskyddsförordning. Bestämmelserna måste vid behov preciseras, om de EU-regler som ska genomföras tillåter det.
Även om den nu föreslagna EHDS-regleringen föreslår s.k. förbjudna användningsändamål är det inte förbjudet att använda uppgifter som omfattas av regleringen för exempelvis polisundersökning, förundersökning eller rättegångar. Förhandlingarna om förslaget ska fästa uppmärksamhet vid detta.
Grundlagsutskottet har i sitt utlåtande om lagen om sekundär användning (GrUU 1/2018 rd) fäst uppmärksamhet vid utlämnande av uppgifter till utvecklings- och innovationsverksamhet.
Även i EHDS-förslaget föreslås en väldigt motsvarande bestämmelse om utvecklings- och innovationsverksamhet som i den gällande lagen om sekundär användning. Enligt grundlagsutskottet gäller dock utvecklings- och innovationsverksamheten själva kärnan i skyddet för personuppgifter som hör till privatlivet (GrUU 37/2013 rd. s. 2/I). Med anledning av detta fäste utskottet särskild uppmärksamhet vid kraven på den föreslagna behandlingen, anonymiseringen av uppgifter och behandling på grundval av samtycke.
Enligt grundlagsutskottets utlåtande om lagen om sekundär användning (GrUU 1/2018 rd) innebär lagförslaget till vissa delar att användningsändamålet för känsliga uppgifter ändras i mycket väsentlig grad och gäller en ytterst omfattande datamängd. Grundlagsutskottet anser att grunderna för lagförslagets bestämmelser om sekundär användning för undervisning, informationsledning och myndigheternas planering och utredningar är godtagbara med hänsyn till 10 § 1 mom., i grundlagen.
I bestämmelsen om hälsodataområdet är det fråga om en ännu mer omfattande datamängd och delvis mer omfattande användningsändamål och bestämmelsen möjliggör utlämnande av dataset mellan medlemsstaterna och även till andra myndigheter i medlemsstaterna och till EU-institutionerna och i vissa fall även till tredjeländer. I skäl 37 i förslaget anges flera samtidiga rättsliga grunder för behandling enligt dataskyddsförordningen men det preciseras inte vilken av dem som är primär. Mångfalden av förordningsförslagets rättsliga grund ger inget tydligt rättsläge för den registrerade eftersom rättigheter enligt dataskyddsförordningen beror på behandlingens rättsliga grund, Bestämmelsen ska preciseras väsentligt och dess förhållande till dataskyddsförordningen ska förtydligas.
Enligt artikel 5.1 b i dataskyddsförordningen ska uppgifterna samlas in för särskilda, uttryckligt angivna och berättigade ändamål och uppgifter som samlats in på detta sätt får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Enligt artikeln anses dock inte senare behandling för arkivändamål i allmänt intresse eller för vetenskapliga eller historiska forskningsändamål eller för statistiska ändamål vara oförenliga med de ursprungliga ändamålen.
Användningsändamålen enligt förordningsförslaget är delvis, till exempel med avseende på vetenskaplig forskning, förenliga med de ursprungliga användningsändamålen. Även om skäl 37 i förslaget till förordning anger flera olika punkter i artiklarna 6 och 9 i dataskyddsförordningen är det dock inte helt klart i förslaget till förordning exakt från vilka delar den rättsliga grunden för behandlingen härleds från punkterna om rättslig grund för behandling enligt artiklarna 6 och 9 i dataskyddsförordningen, vad som är förenligt med det ursprungliga ändamålet och vad som är den fortsatta behandlingen av personuppgifter. Även om tillämpningen av de många punkterna i artiklarna 6 och 9 i dataskyddsförordningen, och om tillämpningen i sig är möjlig, skapar bestämmelsen ett oklart rättsläge för de registrerade och myndigheterna.
Enligt artikel 6.4 kan fortsatt behandling av uppgifter regleras i medlemsstatens eller unionens lagstiftning som i det demokratiska samhället skapar en nödvändig och proportionerlig åtgärd för att trygga målen som avses i artikel 23 i förordningen. Dessa mål som föreskrivs i artikel 23 är bland annat viktiga mål relaterade till det allmänna intresset, såsom medborgarhälsa och socialskydd samt skyddet för den registrerade eller andras rättigheter och friheter. Dessutom ska behandlingen ha en grund enligt artikel 6.1 och behandlingen av känsliga uppgifter en grund enligt artikel 9.2. Enligt artikel 9 i dataskyddsförordningen ska känsliga uppgifter om bland annat personens hälsa och genetiskt arv anses vara s.k. uppgifter som hör till särskilda kategorier av personuppgifter. Enligt skäl 51 i förordningen ska personuppgifter som med avseende på de grundläggande rättigheterna och friheterna anses vara av känslig karaktär åtnjuta särskilt skydd eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna.
Det är svårt att avgöra på grundval av EHDS-förslaget om det i det demokratiska samhället utgör en direkt och proportionerlig åtgärd i samhället för att trygga målsättningarna som avses i artikel 23 i artikeln.
Bestämmelsens förhållande till dataskyddsförordningen och annan befintlig EU-lagstiftning och EU-lagstiftning under beredning och internationella bestämmelser ska i den fortsatta beredningen och förhandlingarna väsentligt förtydliga och säkerställa att bestämmelsen är nödvändig och proportionerlig i förhållande till de grundläggande rättigheterna.
6.2
Författningsnivå
Kommissionen föreslås få omfattande rätt att anta delegerade akter. Förslaget till förordning förefaller vara i enlighet med artikel 290 i EUF-fördraget men statsrådet fäster uppmärksamhet vid att då det i de delegerade akterna förefaller var fråga om bestämmelsens centrala delar (till exempel förteckningen över uppgifter som överförs för primär användning som avses i artikel 6) som kan anses vara en central del av bestämmelsen vid fastställandet av dess tillämpningsområde, så ska de föreskrivas i lagstiftningsakter på unionsnivå. Grundlagsutskottet har till exempel påmint att befogenheten att anta delegerade akter ska begränsas enligt artikel 290 i EUF-fördraget till allmänna akter som kompletterar eller ändrar vissa delar i lagstiftningsakten som inte är centrala. GrUU 35/2004 rd, GrUU 12/2012 rd).
Förslaget till förordning ger dessutom mycket befogenhet till kommissionen att reglera även frågor inom lagstiftningens område genom genomförandeakter.
6.3
Offentlighetsprincipen och god förvaltning
En myndighets dataset omfattas av offentlighetsprincipen. Offentlighet är huvudregeln som å andra sidan måste frångås på grund av olika viktiga intressen. Sådana kan till exempel vara integritetsskydd och affärshemligheter. Kraven på god förvaltning omfattar att myndigheten har ordnat sin informationsförvaltning så att dessa andra intressen inte äventyras.
Förslaget till förordning inverkar inte direkt på regleringen om handlingarnas offentlighet eller sekretessgrunderna. Genom förordningen strävar man däremot efter sådana administrativa strukturer och förfaringssätt med vilka sekretessbelagda dataset eller väsentligt relaterade sekretessbelagda dataset mer omfattande än för närvarande, utöver den gränsöverskridande hälso- och sjukvården, kan utlämnas för sekundära användningsändamål eller för utförande av myndigheternas lagstadgade uppgifter.
Förslaget till förordning omfattar dock även bestämmelser som avviker från de grundläggande principerna för genomförandet av offentlighetsprincipen. Offentlighetsprincipen innefattar utgångsmässigt det att uppgifterna på vissa utlämningssätt är kostnadsfritt tillgängliga. Förslaget till förordning möjliggör dock att en avgift tas ut för sekundär användning av uppgifter. Eftersom det är fråga om en möjlighet för medlemsstaterna att ta ut en avgift och då avgiften grundar sig på medförda kostnader kan förslaget till förordning i det här avseendet anses vara i linje med offentlighetsprincipen.
Det är viktigt att granska bestämmelserna om myndighetsverksamhet i förslaget till förordning som en helhet med avseende på genomförandet av god förvaltning och rättsskydd. Bestämmelserna om internationell tillgång i förslaget till förordning kan anses ha anknytningar till frågeställningarna relaterade till 124 § i grundlagen även om utmaningen är att det är fråga om nationell doktrin.
7
Ålands behörighet
Landskapet Åland ansvarar för genomförandet av Europeiska unionens förordningar till den del som angelägenheten tillhör dess behörighet enligt självstyrelselagen för Åland. Om fördelningen av lagstiftningsbefogenheterna mellan riket och landskapet stadgas i självstyrelselagen för Åland (1144/1991). Om landskapets lagstiftningsbefogenheter stadgas i lagens 18 § och om rikets lagstiftningsbehörighet i 27 § och 29 §.
Enligt själsstyrelselagen för Åland 18 § 1 punkten har landskapet lagstiftningsbehörighet i fråga om landskapsregeringen och under denna lydande myndigheter och inrättningar, och enligt 4 punkten i fråga om kommunernas förvaltning. I övervakning av lagstiftningen har man ansett att offentligheten av myndigheternas handlingar och skyddet av personuppgifter hos myndigheterna tillhör landskapets lagstiftningsbehörighet. Därför tillhör den föreslagna regleringen till nämnda delar landskapet Ålands behörighet. Enligt 27 § 3 punkten i självstyrelselagen för Åland har riket lagstiftningsbehörighet i fråga om statsmyndigheternas organisation och verksamhet.
Enligt förslaget till förordning kan myndigheter ta ut avgifter för sekundär användning. Enligt 18 § 5 punkten i självstyrelselagen för Åland har landskapet lagstiftningsbehörighet i frågor som gäller grunderna för avgifter till landskapet som tas ut. I övrigt har riket enligt 27 § 36 punkten lagstiftningsbehörighet i frågor som gäller avgifter med undantag som föreskrivs i 18 § 5 punkten.
Bestämmelsen enligt förslaget ålägger dessutom medlemsstaterna att inrätta en behörig tillståndsmyndighet enligt förordningen, en hälsoinformationsmyndighet och en central kontaktpunkt för att stöda sekundär användning. Det kan finnas en eller flera myndigheter och medlemsstaten måste underrätta kommissionen om dessa.
Eftersom EU-rätten möjliggör flera myndigheter tillämpas inte bestämmelsen i 59 b § i självstyrelselagen för Åland, enligt vilken medlemsstaterna enligt gemenskapsrätten i något fall där både landskapet och riket har behörighet endast får utse en förvaltningsmyndighet, då det hör till riket att utse myndigheten. Däremot är det väsentligt i bestämmelsen i paragrafen att landskapsmyndigheterna och riksmyndigheterna ska samråda om de åtgärder de kommer att vidta är beroende av varandra. Sådant beroende kan anses finnas eftersom förordningens mål om att förenhetliga dataförvaltningen endast kan uppnås genom enhetliga åtgärder mellan landskapet och riket. I förhandlingarna är det även möjligt att kartlägga behovet av överenskommelseförordningar enligt 32 § i självstyrelselagen för Åland enligt vilken uppgifter som hör till landskapsförvaltningen kan överföras på en riksmyndighet.
Enligt 27 § 30 punkten i självstyrelselagen för Åland (1144/1991) har riket lagstiftningsbehörighet i fråga om behörigheten att vara verksam inom hälso- och sjukvården, apoteksväsendet, mediciner och produkter av läkemedelstyp, narkotiska ämnen samt framställning av gifter och fastställande av deras användningsändamål. Det förefaller som att Åland till största delen har lagstiftningsbehörighet. En del av tjänsterna som omfattas av bestämmelsen har genomförts i rikets lagstiftning både på grundval av kunduppgiftslagen och lagen om sekundär användning. Även tillhandahållaren av social- och hälsovård i landskapet Åland får ansluta sig som användare av de nationella datasystemtjänsterna. Om tillhandahållaren av social- och hälsovårdstjänster i landskapet Åland vill ansluta sig som användare av datasystemtjänsterna ska denna iaktta bestämmelserna i kunduppgiftslagen vid användning av datasystemtjänsterna.
Vid tolkningen av lydelsen i självstyrelselagen ska det beaktas att informationsnätverk inte kunde beaktas vid stiftandet av självstyrelselagen (se GrUU 22/2001 rd). Därmed hör även de bestämmelser i förordningen till rikets behörighet som ålägger tillståndsmyndigheten att utöva dataaltruism i enlighet med datahanteringsakten.
8
Behandling av förslaget i Europeiska unionens organ och den nationella behandlingen
Behandlingen av förslaget i rådets arbetsgrupp för folkhälsa inleddes i maj 2022 genom presentation av förslaget och anföranden av medlemsstaterna. Medlemsstaternas preliminära kommentarer var huvudsakligen väldigt positiva.
Behandlingen av förslaget inleddes under Frankrikes ordförandeskap i juni och fortsätter i juli under Tjeckiens ordförandeskap. En politisk diskussion fördes om förslaget i Rådet för sysselsättning, socialpolitik, hälso- och sjukvård och konsumentfrågor den 14 juni 2022. Tjeckien har meddelat att behandlingen av förslaget prioriteras väldigt högt under deras ordförandeskap.
Utlåtanden om förslaget till förordning har begärts av Europeiska dataskyddsstyrelsen (EDPB) och Europeiska datatillsynsmannen (EDPS).
9
Nationell behandling av förslaget
Förslaget har behandlats den 27 juni 2022 i skriftligt förfarande i EU19-kommunikationssektionen och i EU8-konkurrenskraftssektionen, den 28 juni 2022 i EU33-hälsosektionen och den 30 juni 2022 i EU-ministerutskottets skriftliga behandling.
Stora utskottet
10
Statsrådets ståndpunkt
Statsrådet anser att förslaget till förordning är en betydande del av kommissionens mer omfattande datastrategi och ett verktyg för främjandet av den inre marknaden med hjälp av data. Förslaget utgöt i framtiden en betydande helhet med omfattande effekter för EU:s hälsopolitik och ett steg närmare en mer omfattande hälsounion. Främjandet av användningen av hälsodata är av nationell betydelse för Finland och statsrådet anser att förslaget har ett europeiskt mervärde.
Statsrådet understöder målen i den föreslagna förordningen. Statsrådet betonar dock att förutsättningarna för skapandet av ett sameuropeiskt dataunderlag och arbetsmängden detta kräver ska utredas närmare i den fortsatta beredningen genom att bland annat beakta medlemsstaternas olika situationer och de projektrelaterade kostnaderna.
Statsrådet stöder målet att påskynda samarbetet kring MinHälsa@EU-projektet samt att främja både utbytet och den sekundära användningen av hälsodata. Samtidigt ska man säkerställa bestämmelsernas enhetlighet med kraven för de grundläggande rättigheterna och friheterna och skyddet av personuppgifterna.
Statsrådet anser att det är bra att motsvarande nationella bestämmelser och erfarenheter i Finland används i förslaget och anser att det kommer att gynna behandlingen av förslaget på europeisk nivå.
Patienternas och personalens rättigheter och skyldigheter
Enligt statsrådets bedömning medför förslaget nya rättigheter som är mer omfattande än dataskyddsförordningen avseende hälsodata för patienter och hälso- och sjukvårdspersonal. Förslaget bör preciseras under förhandlingarna i det avseendet huruvida det i de nya rättigheterna och skyldigheterna är fråga om användning av rörelsefrihet enligt dataskyddsförordningen eller komplettering av förordningen, och hurudana konsekvenser de nya rättigheterna och skyldigheterna har för den registrerades rättigheter.
Gränsöverskridande primär användning av hälsodata
Statsrådet anser att det är bra att den primära användningen av hälsodata utnyttjar det gränsöverskridande MinHälsa@EU-samarbetet mellan medlemsstaterna och till exempel Finlands och Estlands erfarenheter av förmedling av e-recept.
Enligt statsrådets preliminära bedömning skulle EU-medborgarna gynnas av att fler länder deltar i tjänsterna som grundar sig på det nuvarande patientdirektivet och avtalet för att underlätta rörligheten och kontinuiteten i vården. Statsrådet anser att förslaget gynnar till exempel invånarna vid gränsområden. Statsrådet anser att de föreslagna MinHälsa@EU-tjänsterna omfattande ska gynna medlemsstaterna då de trätt i kraft och inte bara de medlemsstater i vilka medborgarna ofta reser mellan medlemsstaterna. Statsrådet anser att de nya tjänsterna å andra sidan indirekt främjar även fördjupandet av hälsounionen. Även om samarbetet syftar till en organisatorisk, teknisk, semantisk och juridisk interoperabilitet så översätts dock inte data som utbyts till olika språk. Detta försvårar de föreslagna målen och fördelarna och uppmärksamhet bör fästas vid detta.
Statsrådet anser att det är särskilt viktigt att uppmärksamhet fästs vid konsekvenserna för de gränsöverskridande nätapotekstjänsterna i förslaget. De föreslagna ändringarna kan ha betydande konsekvenser för tillgången till och distributionen av läkemedel samt för genomförandet av läkemedelsersättningar i Finland. Statsrådet anser att det för Finland är nödvändigt att säkerställa att förordningen inte försvagar den nationella läkemedelssäkerheten och apotekstillsynen.
Krav för friskvårdstillämpningar och datasystem
Enligt statsrådet är det viktigt att i den fortsatta beredningen säkerställa en hög kravnivå på skyddet av personuppgifter och informationssäkerheten och verifieringsförfarandet. Statsrådet anser att självvärdering inte är tillräckligt för att säkerställa patientjournalsystemens informationssäkerhet och att det även i fortsättningen är motiverat att förutsätta en hög nivå på detta. I samband med lagstiftningsåtgärderna ska alltid deras nödvändighet och proportionalitet bedömas med avseende på de grundläggande rättigheterna och friheterna och skyddet av personuppgifterna. I samband med behandlingen av personuppgifter ska man beakta principen för ändamålsbundenheten relaterad till personuppgifterna och fästa uppmärksamhet vid att behandling av personuppgifter för annat ändamål än det ursprungliga inte får bli det huvudsakliga eller ens ett betydande användningssätt. Bestämmelsen ska vara exakt och precis i detta avseende. I den fortsatta beredningen ska en hög kravnivå på skyddet av personuppgifter säkerställas, dock med beaktande av främjandet av det europeiska dataområdet som förordningen syftar till och som är en central konkurrensfaktor för Europa.
Förordningen föreskriver även om friskvårdstillämpningar som är möjliga att ge en ”stämpel” för att visa att kraven uppfylls. Enligt statsrådet ska kravnivån på friskvårdstillämpningarna och verifieringen av dessa vara på en hög nivå i även framtiden men de föreslagna kraven i förordningen är inte direkt tillämpliga med friskvårdstillämpningarna utan gäller framför allt elektroniska patientjournalsystem.
Statsrådet fäster uppmärksamhet vid att nya och delvis nya krav på patientdatasystem och friskvårdstillämpningar och det europeiska elektroniska formatet för utbyte av hälsodata inte ska medföra betydande tilläggskostnader för tillhandahållare av social- och hälsovårdstjänster.
Gränsöverskridande sekundär användning av hälsodata
Enligt statsrådet är en sameuropeisk reglering nödvändig för att möjliggöra framtida forskning, tillgång till och utbyte av internationell data relaterad till sekundär användning av hälsodata och relaterade känsliga personuppgifter vilket i sin tur är avgörande för en effektiv utveckling av nya läkemedel, behandlingar, verksamhetsmodeller och hälsotekniska lösningar.
Statsrådet understöder att förordningen utöver registeruppgifter innefattar hela datahelheten, inklusive genomdata, biobanksdata och kliniska prövningar av läkemedel. Detta kan dock samtidigt ställa nya krav på verksamhetsmodellernas flexibilitet för att möjliggöra olika användningsfall.
Enligt statsrådet ska den fortsatta beredningen fästa uppmärksamhet vid att förslaget inte inskränker forskningsfriheten utan grund.
Utkastet till förslag ställer betydande krav på förvaltnings- och nätverksstrukturen. Statsrådet anser att kontaktpunkterna som inrättar i olika länder är användbara och främjar gränsöverskridande utbyte av data. Statsrådet anser det viktigt att den föreslagna styrelsen för hälsodataområdet (European Digital and Health Data Board) främjar medlemsstaternas ömsesidiga samarbete.
Enligt statsrådet ska man i förhandlingarna fästa uppmärksamhet vid att organet som ansvarar för tillgången till hälsodata inte kan lämna ut dataset enligt förslaget till förordning utan tillståndsprövning om organet i fråga inte har fattat datatillståndsbeslut inom utsatt tid. Användningsändamålet för undervisning och utvecklings- och innovationsverksamhet ska, med beaktande av grundlagsutskottets utlåtandepraxis, precisera den rättsliga grunden och innehållet för att även möjliggöra utveckling av hälsoteknologin. Statsrådet anser att uppmärksamhet ska fästas vid forskningsprocessen som helhet och att men i granskningen även beaktar användningen av offentliga medel och återanvändningen enligt FAIR-principerna.
Statsrådet stöder förordningens mål om att fastställa en verksamhetsmodell för ett informationssäkert utbyte av hälsodata och hälsorelaterade data mellan olika länder inom unionen och även internationellt för sekundära användningsändamål och för att möjliggöra utförandet av lagstadgade uppgifter för nationella myndigheter och EU-myndigheter. Enligt statsrådet ska informationssäkerhetssystemen avseende gränsöverskridande informationsutbyte fungera genast från början då data börjar utbytas mellan medlemsstaterna. Med beaktande av de behandlade datamängdernas och användningsändamålens omfattning är det enligt statsrådet motiverat att tillföra olika skyddsåtgärder för att ytterligare öka informationssäkerheten.
Statsrådet understöder att förslaget föreskriver om förbjudna sekundära användningsändamål men fäster uppmärksamhet vid att det inte föreslås motsvarande förbjudna användningsändamål för den primära användningen. Enligt statsrådet ska den fortsatta beredningen säkerställa att ett datasystem i en annan stat inte lagrar känsliga personuppgifter enligt förslaget för ändamål som strider mot förslaget, såsom till polisundersökning, förundersökning eller rättegångar.
Även om de föreslagna tillståndsmyndigheterna går relativt snabbt att inrätta och driva enligt de nya verksamhetsmodellerna kommer förändringen av forskarna och de personuppgiftsansvariga på det övriga fältet att ta tid och kräva stora insatser för att hantera förändringen. I genomförandet av den gränsöverskridande sekundära användningen ska man enligt statsrådet utnyttja befintlig erfarenhet och europeiska samarbetsprojekt samt piloter.
Enligt statsrådet fungerar principerna för FAIR Data som offentliggjordes år 2016 som en utmärkt grund även för bestämmelsen om sekundär användning i EHDS-förslaget.
Förhållande till annan lagstiftning
Bestämmelsens förhållande till dataskyddsförordningen och annan befintlig EU-lagstiftning och EU-lagstiftning under beredning och internationella bestämmelser ska i den fortsatta beredningen och förhandlingarna väsentligt förtydliga och säkerställa att bestämmelsen är nödvändig och proportionerlig i förhållande till de grundläggande rättigheterna. Enligt statsrådets preliminära bedömning finns det många detaljer i förslaget till förordning som ska granskas i lagstiftningsprocessen och som kräver precisering. Det juridiskt mest centrala är bestämmelsens överensstämmelse med annan befintlig EU-reglering (särskilt dataskyddsförordningen) och nationella lagar och lagar som samtidigt är under beredning och EU-lagar. Statsrådet anser att regleringen på grund av det ömsesidiga beroendet mellan olika lagar och lagförslag ska bedömas som en helhet med avseende på EU-lagstiftningens kvalitet, tydlighet och funktionalitet. Statsrådet fäster även uppmärksamhet vid de föreslagna iakttagelserna i U-skrivelsens punkt om förslagets rättsliga grund.
Proportionaliteten och förenligheten mellan de föreslagna bestämmelserna om sökande av ändring och påföljdsavgifter med det nationella systemet ska bedömas närmare allteftersom förhandlingarna fortskrider.
Bestämmelsens förhållande till dataskyddsförordningen och annan befintlig EU-lagstiftning och EU-lagstiftning under beredning och internationella bestämmelser ska i den fortsatta beredningen och förhandlingarna väsentligt förtydliga och säkerställa att bestämmelsen är nödvändig och proportionerlig i förhållande till de grundläggande rättigheterna.
Överföring av lagstiftningsbehörighet
Statsrådet fäster uppmärksamhet vid att om de delegerade akterna gäller grunderna för individers rättigheter och skyldigheter ska de föreskrivas i lagstiftningsakter på unionsnivå. Befogenheten att anta delegerade akter kan gälla andra än aktens centrala delar. I detta avseende förefaller till exempel en ändring av eller tillägg till förteckningen enligt artikel 6 i förslaget genom en delegerad akt eller kommissionens föreslagna befogenhet att ta bort eller lägga till aktörer som hör till MinHälsa@EU-tjänsten vara problematiska eftersom de ingriper centralt i förordningens tillämpningsområde. Statsrådet förhåller sig avvaktande till den här typen av överföring av befogenhet och bedömer omfattningen och ändamålsenligheten av den föreslagna överföringen av kommissionens befogenhet då förhandlingarna framskrider.
Med beaktande av att förslaget till förordning till centrala delar gäller författningsrättslig gränsöverskridande behandling av känsliga personuppgifter och behandlingen av personuppgifter enligt grundlagen ska regleras genom lag, ska förhandlingarna enligt statsrådet säkerställa att genomförandeakterna inte beslutar om behandling av personuppgifter som faller inom lagstiftningens område. Enligt statsrådet ska nationella myndigheter även i fortsättningen ha behörighet att besluta om handlingarnas offentlighet och även om utlämnande av sekretessbelagda handlingar i enlighet med den nationella lagstiftningen. Dessutom ska medlemsstaterna, med beaktande av medlemsstaternas olika tekniska och ekonomiska färdigheter, trygga möjligheten att påverka vilka tjänster och med vilken tidtabell i fortsättningen ska omfattas av bestämmelsen. Med avseende på tredjeländerna bör särskild uppmärksamhet fästas vid kraven på ett tillräckligt dataskydd som härrör direkt från dataskyddsförordningen. Dataskyddet avseende tredjeländer gäller tillräcklighet, som bedöms separat, och inte om fullständig motsvarighet med dataskyddsförordningen.
Konsekvenserna av ändringen av förvaltningsmodellen
Genom förslaget blir det nuvarande gränsöverskridande utbytet av hälsodata via MinHälsa@EU-tjänsterna obligatoriskt.
Även om kommissionen bedömer att ett förpliktande samarbete genom EU-reglering påskyndar det nuvarande och kommande utbyte av hälsodata, medför regleringsförslaget enligt statsrådets preliminära bedömning dock inte verktyg för att påskynda det samarbetet. Däremot ska befintliga och nya tjänster genomföras med orealistiskt korta tidsfrister för ikraftträdande: nuvarande användningsfall inom ett år och nya användningsfall inom tre år från att förslaget trätt i kraft. Kommissionens konsekvensbedömning fokuserar enligt den allmänna modellen också på mål, genomförande och förväntade resultat vilket inte beaktas tillräckligt i genomförandets omfattning, komplexitet, iteration och risker. Därför anser statsrådet att genomförandet av målen i förslaget förutsätter fortsatt beredning och man där ska beakta bland annat realistiska tidsfrister för ikraftträdande, genomförbarhet, upprepad förekomst och riskhantering.
Statsrådet anser att det är viktigt att utnyttja samarbetet mellan olika myndigheter och institutioner. Det är viktigt att fästa uppmärksamhet vid resurserna till de ökade myndighetsuppgifterna.
Statsrådet förhåller sig reserverat till tanken om att samarbetande medlemsstater i det här samarbetet är gemensamt personuppgiftsansvariga enligt dataskyddsförordningen även om samarbetet under pandemin (EFGS och DCC) mellan de gemensamt personuppgiftsansvariga redan framgångsrikt har inövats.
Statsrådet bedömer strukturerna som stöder verksamheten då vi mer säkert känner till förvaltningsmodellens och samarbetsmodellens slutliga form. Det förväntas dock att beredningen som grundar sig på samarbetet med nätverket för e-hälsotjänsterna enligt artikel 14 i patientdirektivet kommer att slutföras. Det är viktigt att i den fortsatta beredningen av förslaget säkerställa att förslaget möjliggör användning av redan befintliga infrastrukturer och deras tjänster och leder inte till överlappande åtgärder som finansieras med offentliga medel. Centralt i den nya samarbetsmodellen är att säkerställa att medlemsstaternas åsikter beaktas och att frågor som omfattas lagstiftning inte kan överföras till kommissionen genom genomförandeakter. Dessutom ska deltagande av olika intressentgrupper möjliggöras i förvaltningsmodellen från början.
Övergångsperioder och verkställande
Enligt förslaget ska förordningen tillämpas 12 månader efter ikraftträdandet.
Det finns endast några övergångsperioder i förslaget till förordning och även de är väldigt korta. Statsrådet anser därför att tillräckligt med tid ska säkerställas för genomförandet.
Statsrådet fäster uppmärksamhet vid att genomförandet av förslaget ska tryggas genom realistiska övergångsperioder, resurser, finansiering, informationssäkerhetslösningar som fungerar från början och genom att från början lyssna på alla centrala intressentgrupper, såsom exempelvis patientorganisationer och forskningssamfund, centrala förvaltningsbranscher och sekundära användare, såsom exempelvis högskolor och forskningsinstitut. Detta är även i linje med FUI-färdplanen enligt regeringsprogrammet.
Statsrådet reserverar möjlighet att fördjupa och precisera sin ståndpunkt då beredningen framskrider.