Σειρά EHDS – 1: Πέντε βασικές προτάσεις για τη δευτερογενή χρήση δεδομένων υγείας

Στις αρχές Μαρτίου 2024, οι νομοθέτες της ΕΕ κατέληξαν σε συμφωνία για τον Ευρωπαϊκό Χώρο Δεδομένων Υγείας (EHDS). Προς το παρόν, έχουμε μόνο ένα προσχέδιο του κειμένου που ετοιμάζεται, αλλά αρκετά ενδιαφέροντα σημεία μπορούν ήδη να επισημανθούν.

Αναμένουμε ότι το τελικό κείμενο του EHDS θα εγκριθεί από το Ευρωπαϊκό Κοινοβούλιο τον Απρίλιο του 2024 και από τα κράτη μέλη της ΕΕ αμέσως μετά.

1. Η βασική δομή δεν έχει αλλάξει.

Η βασική ιδέα πίσω από το EHDS δεν έχει αλλάξει. Οι κάτοχοι ηλεκτρονικών δεδομένων υγείας θα πρέπει να διαθέτουν τα δεδομένα τους σε Οργανισμούς Πρόσβασης Δεδομένων Υγείας (HDABs), οι οποίοι με τη σειρά τους θα τα διαθέσουν σε ασφαλή πλατφόρμα σε χρήστες δεδομένων που έχουν λάβει άδεια. Οι χρήστες δεδομένων μπορούν να κατεβάσουν μόνο ανώνυμα δεδομένα από την πλατφόρμα. Σύμφωνα με τις αιτιολογικές σκέψεις, η ανωνυμοποίηση θα πρέπει να πραγματοποιείται όσο το δυνατόν νωρίτερα στην αλυσίδα και, στις περισσότερες περιπτώσεις, πιθανώς από το υποκείμενο των δεδομένων. Σύμφωνα με την εμπειρία μας, η «ανωνυμοποίηση» των δεδομένων υγείας είναι ένα περίπλοκο ζήτημα, με διαφορετικές ρυθμιστικές αρχές και εταιρείες να ακολουθούν διαφορετικές προσεγγίσεις. Για να αντιμετωπιστεί αυτό, οι αιτιολογικές σκέψεις του EHDS αναφέρουν ότι η Επιτροπή θα πρέπει να θεσπίσει μια «ενιαία διαδικασία» για την ανωνυμοποίηση και την ψευδωνυμοποίηση.

Σε εξαιρετικές περιπτώσεις, ο χρήστης δεδομένων μπορεί να ζητήσει πρόσβαση σε ψευδώνυμα δεδομένα, αντί για ανώνυμα δεδομένα. Ο χρήστης δεδομένων πρέπει να προσδιορίσει μια κατάλληλη νομική βάση για την προβλεπόμενη χρήση, όπως το έννομο συμφέρον (άρθρο 6 παράγραφος 1 στοιχείο στ) GDPR). Μια αιτιολογική σκέψη του συμφωνηθέντος κειμένου αναφέρει τώρα ρητά ότι το ίδιο το EHDS παρέχει τις εγγυήσεις που απαιτούνται βάσει του άρθρου. 9 του ΓΚΠΔ για την επεξεργασία προσωπικών δεδομένων ειδικής κατηγορίας, όπως δεδομένα υγείας.

Τα δεδομένα που καλύπτονται από το EHDS δεν έχουν αλλάξει ουσιαστικά σε σύγκριση με την πρόταση της Επιτροπής. Εξακολουθεί να καλύπτει, για παράδειγμα, ηλεκτρονικά δεδομένα υγείας από ηλεκτρονικά ιατρικά αρχεία, δεδομένα από κλινικές δοκιμές (οι αιτιολογικές σκέψεις, αλλά όχι το νομικό κείμενο, τα περιορίζουν σε δεδομένα που σχετίζονται με δοκιμές που έχουν τελειώσει, και επίσης δεν υπάρχει ρητή εξαίρεση των κλειστών δοκιμών πριν από την έναρξη ισχύος του EHDS), δεδομένα εφαρμογών ευεξίας, γενετικά δεδομένα, προσωπικά δεδομένα υγείας που δημιουργούνται από ιατροτεχνολογικά προϊόντα και άλλα δεδομένα υγείας από ιατροτεχνολογικά προϊόντα, δεδομένα μητρώου και δεδομένα κοόρτης έρευνας (αλλά μόνο μετά την πρώτη δημοσίευση των αποτελεσμάτων) . Τα κράτη μέλη μπορούν να προσθέσουν κατηγορίες δεδομένων σε εθνικό επίπεδο και μπορούν να υιοθετήσουν περιορισμούς πρόσβασης σε εθνικό επίπεδο για ορισμένους τύπους ευαίσθητων δεδομένων, όπως γενετικά δεδομένα και βιοτράπεζες.

2. Εισαγωγή εξαίρεσης

Ένα από τα πιο αμφιλεγόμενα ζητήματα του EHDS ήταν η εισαγωγή ενός (αναστρέψιμου) δικαιώματος εξαίρεσης για τους πολίτες της ΕΕ. Η αρχική πρόταση της Επιτροπής δεν περιείχε τέτοιο δικαίωμα υπό την παραδοχή (σωστή κατά τη γνώμη μας) ότι το ίδιο το EHDS περιείχε επαρκείς εγγυήσεις. Ωστόσο, το Ευρωπαϊκό Κοινοβούλιο και ορισμένα κράτη μέλη δεν συμφώνησαν και επέμειναν στην εισαγωγή ενός δικαιώματος εξαίρεσης.

Τα κράτη μέλη θα πρέπει να προβλέψουν έναν προσβάσιμο και εύκολα κατανοητό μηχανισμό εξαίρεσης. Αφού τα άτομα εξαιρεθούν (“και όπου τα ηλεκτρονικά προσωπικά δεδομένα υγείας που σχετίζονται με αυτά μπορούν να αναγνωριστούν σε ένα σύνολο δεδομένων”), τα δεδομένα αυτών των ατόμων δεν θα πρέπει να κοινοποιούνται στους χρήστες δεδομένων, ακόμη και σε ανώνυμη βάση. ανώνυμα. Τα κράτη μέλη μπορούν να υιοθετήσουν εξαιρέσεις από τον κανόνα εξαίρεσης (δηλαδήεπιτρέπουν τη χρήση δεδομένων παρά την εξαίρεση), αλλά μόνο υπέρ ορισμένης δευτερεύουσας χρήσης από δημόσιους φορείς και υπό αυστηρές προϋποθέσεις.

Τέλος, το EHDS αναφέρει ότι τα υποκείμενα των δεδομένων δεν θα υποχρεούνται να συλλέγουν και να αποθηκεύουν προσωπικά δεδομένα απλώς και μόνο για να συμμορφωθούν με τον κανόνα εξαίρεσης. Με άλλα λόγια, οι φαρμακευτικές εταιρείες δεν χρειάζεται να αλλάξουν τις πρακτικές τους να συλλέγουν μόνο ψευδώνυμα δεδομένα κλινικών δοκιμών απλώς και μόνο για να συμμορφωθούν με τις αναστρέψιμες εξαιρέσεις για τους συμμετέχοντες στη δοκιμή.

Αναμένουμε ότι ο κανόνας αποκλεισμού θα εγείρει πολλά ερωτήματα στην πράξη. Για παράδειγμα, το κείμενο δεν αναφέρει τίποτα σχετικά με το επίπεδο ευκρίνειας που απαιτείται για την εξαίρεση. Δεν είναι επίσης σαφές πώς θα χειριστεί το opt-out ή από ποιον. Τα κράτη μέλη μπορούν να βασιστούν στην HDAB για να το πράξουν, αλλά δεν είναι υποχρεωμένα να το πράξουν, γεγονός που θα μπορούσε να οδηγήσει σε αποκλίσεις στις προσεγγίσεις. Δεν είναι επίσης σαφές πώς θα λειτουργήσει η εξαίρεση για σύνολα δεδομένων που συλλέγονται πριν από την έναρξη ισχύος του EHDS και όπου δεν υπάρχει εύκολη σύνδεση με άτομα (π.χ, ψευδώνυμα δεδομένα). Ομοίως, η αναστρεψιμότητα εξαίρεσης θα είναι δύσκολο να εφαρμοστεί για ορισμένα σύνολα δεδομένων ακόμη και μετά την έναρξη ισχύος του EHDS (π.χγια δεδομένα από κλινικές δοκιμές όπου μόνο το νοσοκομείο μπορεί να αποδείξει τη σχέση με τον ασθενή).

3. Βελτιωμένο κείμενο για την προστασία της πνευματικής ιδιοκτησίας

Η αρχική πρόταση της Επιτροπής ήταν αρκετά επιβλητική όσον αφορά τα δικαιώματα πνευματικής ιδιοκτησίας. Το εγκριθέν κείμενο διευρύνει σημαντικά αυτή την πτυχή του EHDS (και ευθυγραμμίζεται σε μεγάλο βαθμό με το νόμο περί δεδομένων) μέσω ενός λεπτομερούς καθεστώτος για την αναγνώριση των δεδομένων που προστατεύονται από πνευματική ιδιοκτησία και εμπορικά απόρρητα, μέτρα που πρέπει να λάβει η HDAB για την προστασία των σχετικών δεδομένων και δυνατότητα να αρνηθεί την πρόσβαση σε περίπτωση σοβαρών κινδύνων για δικαιώματα πνευματικής ιδιοκτησίας ή εμπορικά μυστικά. Το καθεστώς πνευματικής ιδιοκτησίας περιλαμβάνει επίσης ειδική διαδικασία καταγγελίας.

4. Περιορισμένος εντοπισμός δεδομένων

Ενώ το Ευρωπαϊκό Κοινοβούλιο πρότεινε ευρείες απαιτήσεις εντοπισμού δεδομένων για όλα τα ηλεκτρονικά δεδομένα υγείας, το τελικό κείμενο φαίνεται πολύ πιο μετριοπαθές. Εν ολίγοις, τα κράτη μέλη μπορούν (αλλά δεν είναι υποχρεωμένα) να απαιτούν την αποθήκευση προσωπικών ηλεκτρονικών δεδομένων υγείας που χρησιμοποιούνται για σκοπούς υγείας (πρωταρχική χρήση) στην ΕΕ.

Ομοίως, σε σχέση με τη δευτερεύουσα χρήση, το HDAB θα πρέπει να αποθηκεύει τα δεδομένα που επεξεργάζεται για σκοπούς EHDS (δηλαδήσυλλογή δεδομένων για κοινή χρήση δεδομένων με χρήστες δεδομένων, προσπάθειες ανωνυμοποίησης και παράδοση της ασφαλούς πλατφόρμας) στην Ένωση ή σε τρίτη χώρα που παρέχει επαρκή προστασία σύμφωνα με τον GDPR, συμπεριλαμβανομένων οντοτήτων που έχουν πιστοποιηθεί σύμφωνα με το EU-Framework USA .

Τέλος, σύμφωνα με το άρθ. 9(4) GDPR, τα κράτη μέλη διατηρούν το δικαίωμα να περιορίζουν ή να δεσμεύουν τις διεθνείς διαβιβάσεις ηλεκτρονικών προσωπικών δεδομένων υγείας, για παράδειγμα σε χρήστες ή επεξεργαστές δεδομένων εκτός της ΕΕ, πέρα ​​από τους όρους που επιβάλλει ο ίδιος ο GDPR.

5. Περιορισμοί στις διεθνείς διαβιβάσεις μη προσωπικών δεδομένων

Το EHDS μπορεί να περιορίσει τις διεθνείς μεταφορές μη προσωπικών δεδομένων με δύο τρόπους.

Πρώτον, τα μη προσωπικά δεδομένα υγείας που διατηρούνται από το HDAB (αλλά προφανώς δεν είναι αξιόπιστοι κάτοχοι δεδομένων υγείας) και διατίθενται για δευτερεύουσα χρήση θεωρούνται «ιδιαίτερα ευαίσθητα» (σύμφωνα με το νόμο περί διακυβέρνησης δεδομένων), υπό την προϋπόθεση ότι υπάρχει κίνδυνος εκ νέου ταυτοποίησης». μέσω μέσων πέραν αυτών που μπορούν εύλογα να χρησιμοποιηθούν» (διαφορετικά θα ήταν προσωπικά δεδομένα αρχικά). Για αυτά τα μη προσωπικά δεδομένα, η Ευρωπαϊκή Επιτροπή μπορεί να θεσπίσει μέτρα προστασίας στο παράγωγο δίκαιο.

Δεύτερον, σε σχέση με τη δευτερεύουσα χρήση, το HDAB και οι χρήστες δεδομένων θα πρέπει να αποτρέπουν διεθνείς μεταφορές μη προσωπικών δεδομένων, όταν μια τέτοια μεταφορά θα δημιουργούσε σύγκρουση με το δίκαιο της Ένωσης ή του κράτους μέλους. Όπως και ο GDPR, οι διαβιβάσεις μη προσωπικών δεδομένων βάσει αλλοδαπής δικαστικής απόφασης ή διοικητικής απόφασης περιορίζονται επίσης, εκτός εάν το νομικό καθεστώς της οικείας τρίτης χώρας πληροί ορισμένα πρότυπα. Με ορισμένες εξαιρέσεις, το υποκείμενο των δεδομένων πρέπει να ενημερωθεί για το αίτημα δεδομένων πριν από τη διαβίβαση.

Leave a Reply

Your email address will not be published. Required fields are marked *