Zatraži ponudu
Javite nam se

Nazovite nas +385 95 1234 098
ili nam pišite na ured@presido.hr

Početna Blog Europski prostor zdravstvenih podataka

Europski prostor zdravstvenih podataka

Svi članci
25.03.2025.

Uredba (EU) 2025/327 o Europskom prostoru zdravstvenih podataka (EHDS) objavljena je u Službenom listu te će stupiti na snagu 26. ožujka 2025. Europski prostor zdravstvenih podataka (EHDS) ima za cilj standardizirati sigurnu razmjenu i upotrebu zdravstvenih podataka u EU-u kako bi se poboljšala zdravstvena skrb i potaknule inovacije. Za tvrtke to rezultira središnjim obvezama, posebno u područjima interoperabilnosti, sigurnosti podataka i usklađenosti.

Tvrtke koje razvijaju ili distribuiraju sustave elektroničkih zdravstvenih zapisa (EHR) moraju osigurati da njihovi sustavi podržavaju europski format razmjene EHR-a. Ovaj format je definiran od strane Europske komisije putem provedbenih akata i osigurava strojnu čitljivost i prekograničnu kompatibilnost podataka kao što su sažetci pacijenata, laboratorijski rezultati ili elektronički recepti.

Proizvođači sustava moraju osigurati da su njihovi EHR sustavi u skladu s EU tehničkim specifikacijama, koje uključuju interoperabilnost, sigurnost i bilježenje pristupa, uključujući EU izjavu o sukladnosti.

Wellness aplikacije (npr. uređaji za praćenje fitnessa) podliježu zahtjevima za označavanje i informacije ako proizvođač tvrdi da su interoperabilne sa sustavima EHR-a.

Vlasnici podataka, uključujući bolnice, liječničke ordinacije ili privatne pružatelje zdravstvene skrbi, moraju prikupljati elektroničke zdravstvene podatke u strukturiranim, interoperabilnim formatima i učiniti ih dostupnima za primarnu i sekundarnu upotrebu.

Za sekundarnu upotrebu (npr. istraživanje, donošenje politika), podaci moraju biti pseudonimizirani ili anonimizirani, uz stroge zahtjeve za sigurnost podataka.

Tvrtke koje žele pristupiti ovim podacima trebaju autorizaciju nacionalnih točaka pristupa zdravstvenim podacima, koje procjenjuju zahtjeve na temelju definiranih kriterija (npr. znanstvena vrijednost, zaštita podataka).

Tvrtke koje koriste zdravstvene podatke moraju osigurati transparentne uvjete korištenja i osigurati da se podaci koriste samo u odobrene svrhe (npr. medicinsko istraživanje, razvoj umjetne inteligencije). Izričito je zabranjena komercijalna uporaba u marketinške svrhe ili razvoj proizvoda koji su štetni za zdravlje. Osim toga, sigurno okruženje za obradu je obvezno kako bi se spriječio neovlašteni pristup. Kršenje ovih obveza može dovesti do visokih novčanih kazni.

Pružatelji usluga telemedicine i internetske ljekarne imaju posebne zahtjeve: moraju nuditi prekogranične usluge i podržavati elektronička sredstva identifikacije u skladu s Uredbom o eIDAS.

Integracija u infrastrukturu MyHealthEU na razini cijele EU obvezna je kako bi se mogli razmjenjivati ​​kartoni pacijenata preko granica.

Tvrtke također moraju bilježiti pristupe podacima i obavijestiti pogođene o pristupu trećih strana. Prilikom razvoja AI sustava ili medicinskih proizvoda moraju se uzeti u obzir etičke smjernice koje je odredio EHDS odbor. Suradnja s nacionalnim tijelima za digitalno zdravstvo ključna je za dokazivanje usklađenosti i primanje tehničke podrške.

EHDS zahtijeva od tvrtki značajna ulaganja u IT infrastrukturu, obuku i upravljanje usklađenošću. Istodobno, otvara mogućnosti za inovacije kroz objedinjeni pristup tržištu i poboljšanu dostupnost podataka.

Za provedbu obveza predviđen je rok od dvije godine do 26. ožujka 2027., odnosno sličan onom iz Uredbe AI, iako države članice mogu postaviti nacionalne rokove za specifične zahtjeve. Tvrtke bi trebale prilagoditi procese u ranoj fazi kako bi ostale konkurentne i minimizirale regulatorne rizike.

Upoznajmo se s pojmovima…

1: Nositelj zdravstvenih podataka

Pojam "nositelj zdravstvenih podataka" (čl. 2(1)(t) EHDS) uključuje, među ostalim, svaku fizičku ili pravnu osobu koja razvija proizvode ili usluge namijenjene zdravlju, razvija ili proizvodi wellness aplikacije ili provodi istraživanja u vezi sa zdravstvenom skrbi, koja:

  • je u vezi s osobnim elektroničkim zdravstvenim podacima: u svojstvu voditelja obrade podataka ima pravo ili obvezu obrađivati ​​zdravstvene podatke, uključujući u svrhe istraživanja i inovacija; ili
  • je u odnosu na neosobne elektroničke zdravstvene podatke: ima mogućnost učiniti podatke dostupnima kroz kontrolu tehničkog dizajna proizvoda i povezanih usluga. Čini se da su ovi pojmovi preuzeti iz drugih relevantnih propisa, ali nisu definirani u EHDS-u.

U praksi to znači da su npr. bolnice, kao voditelji obrade, nositelji podataka svojih elektroničkih zdravstvenih kartona. Slično tome, farmaceutske tvrtke su vlasnici podataka kliničkih ispitivanja i biobanki. Tvrtke za medicinske proizvode mogu biti vlasnici podataka i to tzv. neosobnih podataka koje generiraju njihovi uređaji, ako imaju pristup tim podacima i mogućnost da ih proizvedu. Međutim, tvrtke za medicinske proizvode ne bi se kvalificirale kao nositelji podataka ako samo obrađuju osobne elektroničke zdravstvene podatke u ime bolnice.

Individualni istraživači i mikro poduzeća nisu nositelji podataka, osim ako zemlje članice EU ne odluče drugačije za svoj teritorij primjene.

2: Skupovi podataka obuhvaćeni EHDS-om

EHDS utvrđuje dugačak popis obuhvaćenih elektroničkih zdravstvenih podataka koji bi trebali biti dostupni za sekundarnu upotrebu prema EHDS-u (čl. 51. EHDS-a). Među ostalim uključuje:

  • elektronički zdravstveni kartoni;
  • ljudski genetski podaci;
  • biobanke;
  • podaci iz tzv. wellness aplikacija;
  • podatke o kliničkom ispitivanju – iako tek nakon završetka ispitivanja, prema uvodnim izjavama;
  • podaci o medicinskim proizvodima;
  • podaci iz matičnih knjiga; i
  • podaci iz istraživačkih aktivnosti i anketa, nakon prve objave rezultata – kvalifikator koji se ne čini primjenjivim za podatke kliničkih ispitivanja.

Države članice mogu dodati u skupove podataka koji će biti obuhvaćeno EHDS-om i kategorije podataka na nacionalnoj razini. Također im je dopušteno uvesti strože zaštitne mjere (na primjer opt-in privolu) za određene kategorije podataka, kao što su genetski podaci, biobanke i podaci iz wellness aplikacija (čudno, jer ti podaci nisu "osjetljiviji" od ostalih posebnih kategorija podataka).

EHDS ne sadrži jasno vremensko ograničenje. To sugerira da će se primjenjivati ​​na sve elektroničke zdravstvene podatke koje vlasnici podataka imaju, bez obzira na to kada su ih dobili ili generirali, te će stoga pokrivati ​​podatke prikupljene prije stupanja na snagu EHDS-a.

3: Katalog skupova podataka

Bez obzira na to prima li posjednik podataka stvarni zahtjev za podatke, nositelji podataka moraju svom tijelu za pristup zdravstvenim podacima (HDAB) dostaviti opis skupova podataka koje posjeduju i koji su obuhvaćeni EHDS-om (čl. 60. stavak 3. EHDS-a). Europska komisija će podzakonskim aktom utvrditi minimalne podatke potrebne u tom opisu (čl. 77. stavak 4. EHDS-a). S obzirom na širok opseg EHDS-a, očekujemo da će to zahtijevati znatne napore nositelja podataka.

HDAB će informacije koje dobije od vlasnika podataka učiniti javnima u standardiziranom, strojno čitljivom "katalogu skupova podataka". Nositelji podataka moraju svake godine provjeriti jesu li njihovi podaci u katalogu točni i ažurni (čl. 60. stavak 3. EHDS).

4: Kvaliteta podataka

Posjednici podataka mogu odlučiti primijeniti oznaku kvalitete podataka ili korisnosti podataka na (dio) svojih skupova podataka (čl. 78. EHDS). Međutim, takve su oznake obvezne za skupove podataka prikupljene i obrađene uz financiranje EU-a ili države članice. Skupovi podataka iz kliničkih ispitivanja ili biobanki koje dobivaju sredstva putem Unije ili nacionalnih istraživačkih programa stoga bi zahtijevali oznaku.

EHDS utvrđuje elemente koje oznake moraju pokrivati, uključujući, na primjer, informacije koje omogućuju procjenu tehničke kvalitete podataka, primijenjene prakse upravljanja podacima i kako izmijeniti ili spojiti skupove podataka.

5: Obveza dijeljenja podataka

Nositelji podataka koji prime zahtjev od svog HDAB-a za dijeljenje podataka obuhvaćenih EHDS-om moraju dostaviti te podatke HDAB-u u roku od 3 mjeseca – ovo razdoblje može se produljiti za još 3 mjeseca ako je opravdano (čl. 60. stavak 2. EHDS-a).

HDAB zatim čini podatke dostupnima u svom sigurnom okruženju za obradu (čl. 73. EHDS) korisniku zdravstvenih podataka u anonimiziranom obliku – ili u pseudonimiziranom obliku, ako korisnik može opravdati da umjesto toga zahtijeva takve podatke u pseudonimiziranom obliku (čl. 67. st. 1. (e) EHDS).

Uvodne izjave pokazuju da se anonimizacija mora dogoditi što je prije moguće u lancu sekundarne uporabe (Uvodna izjava 72 EHDS). U praksi bi to značilo da bi anonimizaciju u većini slučajeva trebao obaviti nositelj podataka, jer će on biti prvi subjekt u lancu. Unatoč tome, recital također kaže da HDAB ili nositelji podataka mogu obavljati ovu zadaću. Ovo će se s vremenom morati razjasniti kroz smjernice i praksu.

6: Pouzdani vlasnici zdravstvenih podataka

Za zahtjev za pristup koji uključuje skupove podataka jednog vlasnika podataka, vlasnici podataka mogu izabrati da budu označeni kao "pouzdani nositelji zdravstvenih podataka", u skladu s postupkom koji će uspostaviti države članice (čl. 72. EHDS). Ako je posjednik podataka "pouzdani nositelj zdravstvenih podataka", njegovi podaci mogu biti dostupni korisnicima podataka izravno putem sigurnog okruženja za obradu, umjesto putem platforme HDAB-a.

Iako se to prikazuje kao pojednostavljeni postupak, teško je razumjeti što su ta pojednostavljenja. Korisnici podataka još uvijek moraju podnijeti zahtjeve za pristup HDAB-u, a HDAB će izdati dozvolu, nakon (neobvezujuće) procjene pouzdanog nositelja podataka. U svjetlu toga i u svjetlu dodatne složenosti koja je uključena u upravljanje sigurnim okruženjem obrade, nejasno je koje poticaje posjednici podataka imaju da bi se kvalificirali kao pouzdani nositelji podataka (također pogledajte dolje u odjeljku 8).

7: Naknade

HDAB-ovi i pouzdani vlasnici podataka mogu naplatiti naknadu korisnicima podataka za stavljanje traženih podataka na raspolaganje, uključujući za procjenu aplikacije, za prikupljanje podataka i njihovu konsolidaciju, pripremu, anonimizaciju i za pružanje podataka (čl. 62. EHDS-a). Naknade moraju biti razmjerne trošku stavljanja podataka na raspolaganje i mogu uključivati ​​naknadu za troškove nositelja podataka – posjednici podataka trebali bi dati procjenu tih troškova HDAB-u.

Države članice mogu odlučiti smanjiti naknade za određene korisnike podataka, kao što su javna tijela i sveučilišta; ostaje za vidjeti kako će tu moć provoditi u praksi. Također nije jasno može li to utjecati na udio naknade koju primaju vlasnici podataka za svoj udio u troškovima.

8: Voditelji obrade podataka

EHDS sadrži poseban jezik o GDPR označavanju nekoliko strana u postupku (čl. 74. EHDS). Nositelji podataka su „voditelji obrade” za dijeljenje osobnih zdravstvenih podataka s HDAB-om na temelju zahtjeva za pristup. Pravna osnova za ovo dijeljenje je „zakonska obveza” prema čl. 6 (1) (c) GDPR i čl. 9 (2) (i) ili (j) GDPR odstupanje za zdravstvene podatke.

HDAB i pouzdani nositelj podataka također su voditelji obrade za svoje aktivnosti obrade (npr. prikupljanje, pripremu i anonimizaciju), unatoč činjenici da do obrade nikada ne bi došlo bez zahtjeva korisnika podataka. Međutim, HDAB i pouzdani nositelj podataka smatraju se "izvršiteljima obrade" korisnika podataka (voditelja obrade podataka) za pružanje podataka u njihovom sigurnom okruženju obrade. Ova kvalifikacija izvršitelja obrade nema puno smisla, pravno i praktično. HDAB-ovi nužno suodlučuju o svrsi obrade procjenom zahtjeva za pristup i davanjem dozvole. Štoviše, sami odlučuju o  sredstvima koja se koriste za obradu jer se koristi njihova sigurna platforma za obradu. Praktično, ovaj navodni odnos izvršitelja i voditelja obrade značit će da će HDAB i pouzdani nositelj podataka zahtijevati čl. 28 GDPR - sporazum sa svakim korisnikom podataka, dajući korisniku podataka, među ostalim, pravo revizije HDAB-a i pouzdanog nositelja podataka. Istodobno, EHDS predviđa da bi HDAB trebao revidirati upotrebu sigurnog okruženja za obradu od strane korisnika podataka (čl. 57 (1) (a) (ii) & 73 (1) (e & f) EHDS), što znači da će barem u teoriji obje strane morati revidirati jedna drugu.

Dakle, nikako ne možemo izbjeći usklađivanje s više regulativa pa i s GDPR-om, što znači reviziju cjelokupne dokumentacije.

Imate pitanja? Kontaktirajte nas!
Odgovaramo u najbržem mogućem roku.

Pročitajte još i ...
Provedba regulative vezane za Europski prostor zdravstvenih podataka
Europski prostor zdravstvenih podataka i tzv. wellness aplikacije
Snimka edukacije "Kako uspješno odgovoriti na pitanja AZOP-a?"
Prikaži sve članke
Newsletter
Prijavi se i ostvari eksluzivan pristup novostima iz svijeta GDPR-a.
Zatvori

Presido d.o.o. prikuplja vaše osobne podatke kada pristupite stranici www.presido.hr. Vaša privatnost i osobni podaci su nam bitni te vas stoga obavještavamo da upotrebljavamo kolačiće kako bi vam osigurali bolje korisničko iskustvo i funkcionalnost korištenja stranice.

Više informacija o kolačićima možete pronaći ovdje

Posebno napominjemo kako koristimo kolačiće multimedijskog sadržaja kako bi se mogle očitati neke od naših besplatnih edukacija, video lekcija ili seminara koje vam pružamo radi usavršavanja vaših znanja i kompetencija.

Vaša prava kao ispitanika su pravo na pristup, pravo na brisanje, pravo na ispravak, pravo na prigovor, pravo na prenosivost te pravo na ograničenje obrade. Privolu u bilo kojem trenutku možete povući.

Zahtjeve za ostvarivanjem prava možete poslati na ured@presido.hr. Uvijek smo vam na raspolaganju.