EHDS-serien – 1: Fem viktiga tips om sekundär användning av hälsodata

I början av mars 2024 nådde EU:s lagstiftare en överenskommelse om European Health Data Space (EHDS). För närvarande har vi bara ett utkast till texten som håller på att förberedas, men flera intressanta punkter kan redan lyftas fram.

Vi förväntar oss att den slutliga texten till EHDS kommer att antas av Europaparlamentet i april 2024 och av EU:s medlemsstater kort därefter.

1. Grundstrukturen har inte förändrats.

Grundtanken bakom EHDS har inte förändrats. Innehavare av elektronisk hälsodata kommer att behöva göra sina uppgifter tillgängliga för Health Data Access Agencies (HDABs), som i sin tur kommer att göra dem tillgängliga på en säker plattform för dataanvändare som har fått tillstånd. Dataanvändare kan bara ladda ner anonym data från plattformen. Enligt skälen bör anonymiseringen utföras så tidigt som möjligt i kedjan och i de flesta fall troligen av den registrerade. Enligt vår erfarenhet är “anonymisering” av hälsodata en komplicerad fråga, med olika tillsynsmyndigheter och företag som tar olika tillvägagångssätt; För att komma till rätta med detta sägs i EHDS-skälen att kommissionen bör upprätta ett “enhetligt förfarande” för anonymisering och pseudonymisering.

I undantagsfall kan dataanvändaren begära tillgång till pseudonymiserade uppgifter, istället för anonyma uppgifter. Dataanvändaren måste identifiera en lämplig rättslig grund för den avsedda användningen, såsom legitimt intresse (Art. 6(1)(f) GDPR). I ett skäl i den överenskomna texten anges nu uttryckligen att EHDS självt tillhandahåller de garantier som krävs enligt art. 9 i GDPR för behandling av särskild kategori personuppgifter, såsom hälsouppgifter.

De uppgifter som omfattas av EHDS har inte förändrats väsentligt jämfört med kommissionens förslag. Det omfattar fortfarande till exempel elektronisk hälsodata från elektroniska journaler, data från kliniska prövningar (skälen, men inte lagtexten, begränsar den till data relaterade till prövningar som har avslutats, och det finns inte heller något uttryckligt undantag från slutna prövningar före EHDS:s ikraftträdande), data om friskvårdsappar, genetiska data, personliga hälsodata genererade av medicintekniska produkter och andra hälsodata från medicintekniska produkter, registerdata och forskningskohortdata (men endast efter den första publiceringen av resultaten) . Medlemsstaterna kan lägga till datakategorier på nationell nivå och kan anta åtkomstbegränsningar på nationell nivå för vissa typer av känsliga uppgifter, såsom genetiska data och biobanker.

2. Ange en opt-out

En av de mest kontroversiella frågorna i EHDS var införandet av en (reversibel) rätt att välja bort för EU-medborgare. Kommissionens ursprungliga förslag innehöll inte en sådan rättighet under antagandet (korrekt enligt vår mening) att EHDS i sig innehöll tillräckliga garantier. Europaparlamentet och vissa medlemsstater var dock inte överens och insisterade på att införa en undantagsrätt.

Medlemsstaterna kommer att behöva tillhandahålla en tillgänglig och lättförståelig opt-out-mekanism. Efter att individer har valt bort (“och där elektroniska personliga hälsouppgifter som hänför sig till dem kan identifieras i en datamängd”), bör dessa individers uppgifter inte delas med dataanvändare, inte ens på anonym basis. anonym. Medlemsstaterna får anta undantag från undantagsregeln (det vill sägatillåta användning av uppgifter trots ett undantag), men endast till förmån för viss sekundär användning av offentliga organ och under strikta villkor.

Slutligen anger EHDS att registrerade inte kommer att behöva samla in och lagra personuppgifter enbart för att följa undantagsregeln. Med andra ord behöver läkemedelsföretagen inte ändra sin praxis att bara samla in pseudonyma data från kliniska prövningar för att bara följa reversibla undantag för prövningsdeltagare.

Vi förväntar oss att uteslutningsregeln väcker många frågor i praktiken. Till exempel säger texten ingenting om graden av granularitet som krävs för att välja bort. Det är också oklart hur undantaget kommer att hanteras eller av vem. Medlemsstaterna kan lita på HDAB för att göra detta, men är inte skyldiga att göra det, vilket kan leda till olika tillvägagångssätt. Det är också oklart hur opt-out kommer att fungera för datamängder som samlades in innan EHDS trädde i kraft och där det inte finns någon enkel länk till individer (t.ex, pseudonymiserade data). På samma sätt kommer reversibilitet för opt-out att vara svår att tillämpa för vissa datamängder även efter att EHDS träder i kraft (t.exför data från kliniska prövningar där endast sjukhuset kan etablera kopplingen till patienten).

3. Förbättrad text om skydd för immateriella rättigheter

Kommissionens ursprungliga förslag var ganska kavaljert när det gäller immateriella rättigheter. Den antagna texten utökar avsevärt denna aspekt av EHDS (och är i stort sett anpassad till datalagen) genom en detaljerad ordning för identifiering av data skyddade av immateriella rättigheter och affärshemligheter, åtgärder som HDAB måste vidta för att skydda relevanta uppgifter och en möjlighet att neka tillträde vid allvarliga risker för immateriella rättigheter eller affärshemligheter. Regimen för immateriella rättigheter innehåller också ett särskilt klagomålsförfarande.

4. Begränsad datalokalisering

Medan Europaparlamentet föreslog breda datalokaliseringskrav för alla elektroniska hälsouppgifter, förefaller den slutliga texten mycket mer moderat. Kort sagt kan medlemsstaterna (men är inte skyldiga att) kräva att personliga elektroniska hälsouppgifter som används för hälsoändamål (primärt bruk) lagras i EU.

På liknande sätt, i samband med sekundär användning, kommer HDAB att behöva lagra de uppgifter som den behandlar för EHDS-ändamål (det vill sägainsamling av data för delning med dataanvändare, anonymiseringsinsatser och leverans av den säkra plattformen) i unionen eller i ett tredjeland som tillhandahåller adekvat skydd i enlighet med GDPR, inklusive enheter certifierade enligt EU-ramverket USA .

Slutligen, i enlighet med art. 9(4) GDPR behåller medlemsstaterna rätten att begränsa eller villkora internationella överföringar av elektroniska personliga hälsouppgifter, till exempel till dataanvändare eller processorer utanför EU, utöver de villkor som ställs av själva GDPR.

5. Restriktioner för internationella överföringar av icke-personliga uppgifter

EHDS kan begränsa internationella överföringar av icke-personliga uppgifter på två sätt.

För det första anses icke-personliga hälsouppgifter som innehas av HDAB (men uppenbarligen inte betrodda innehavare av hälsodata) och som görs tillgängliga för sekundärt bruk som “mycket känsliga” (enligt lagen om datastyrning) , förutsatt att det finns risk för omidentifiering ” med medel utöver de som rimligen kan användas” (annars skulle det vara personuppgifter till att börja med). För dessa icke-personliga uppgifter kan Europeiska kommissionen fastställa skyddsåtgärder i sekundärlagstiftningen.

För det andra, i förhållande till sekundär användning, bör HDAB och dataanvändare förhindra internationella överföringar av icke-personliga uppgifter där en sådan överföring skulle skapa en konflikt med unions- eller medlemsstatslagstiftningen. Liksom GDPR är överföringar av icke-personliga uppgifter enligt ett utländskt domstolsbeslut eller administrativt beslut också begränsade, såvida inte det berörda tredjelandets rättsordning uppfyller vissa standarder. Med vissa undantag ska den registrerade informeras om uppgiftsförfrågan innan överföringen.

Leave a Reply

Your email address will not be published. Required fields are marked *