Legal Alert | Rozporządzenie EHDS – nowe wyzwania dla sektora ochrony zdrowia

Co reguluje EHDS? 

• Primary use – pierwotne wykorzystywanie danych

Primary use dotyczy danych zdrowotnych wykorzystywanych bezpośrednio w procesie opieki nad pacjentem. EHDS zapewnia pacjentom nieodpłatny dostęp do danych oraz możliwość ich transgranicznego udostępniania podmiotom medycznym, w tym placówkom medycznym udzielającym świadczeń zdrowotnych. Pacjent ma prawo do ograniczenia dostępu do danych, a państwa członkowskie mogą wprowadzić odwracalny mechanizm opt-out, tj. możliwość czasowego wyłączenia (i późniejszego włączenia) udostępniania danych zdrowotnych pacjenta dla primary use, zgodnie z prawem krajowym.

• Secondary use – wtórne wykorzystywanie danych 

EHDS wprowadza jednolity model secondary use, czyli możliwość wtórnego wykorzystania danych zdrowotnych, wyłącznie na podstawie zezwolenia właściwego organu. Przetwarzanie odbywa się co do zasady w kontrolowanym środowisku, z naciskiem na minimalizację i zapewnienie bezpieczeństwa danych. Przewidziano także uproszczone tryby, np. zapytania statystyczne bez udostępniania danych źródłowych. EHDS ustanawia również mechanizm opt-out dla secondary use, który pozwala pacjentom sprzeciwić się wykorzystaniu ich danych do celów innych niż bezpośrednia opieka zdrowotna. Mechanizm ten ma na celu wzmocnienie zaufania do systemu i zapewnienie, że wtórne wykorzystanie danych odbywa się z poszanowaniem autonomii jednostki.

 

Obowiązki producentów, dostawców, importerów i dystrybutorów rozwiązań cyfrowych 

EHDS w praktyce przekłada się na nowe wymagania dla rynku technologii medycznych i dostawców rozwiązań cyfrowych w ochronie zdrowia – w szczególności - systemów Elektronicznej Dokumentacji Medycznej (EDM), usług e-zdrowia (np. portale pacjenta, systemów obrazowania i laboratoryjnych, aplikacji do zdalnego monitorowania stanu zdrowia pacjentów) oraz aplikacji wellness, obejmujących m.in.:

• Interoperacyjność i format danych: zapewnienie eksportu/importu danych i wymiany informacji zgodnie z europejskimi specyfikacjami, w tym formatami dla EDM.
• Bezpieczeństwo i aktualizacje: utrzymywanie zgodności w cyklu życia produktu, w tym zarządzanie podatnościami, poprawki bezpieczeństwa oraz (tam, gdzie wymagane) logowanie i audyt dostępu.
• Ocena zgodności dla wybranych systemów (w szczególności EDM): przygotowanie dokumentacji technicznej i deklaracji zgodności UE oraz spełnienie dodatkowych wymogów reżimu zgodności przewidzianego w EHDS, w tym przygotowanie i utrzymanie dokumentacji technicznej, wystawienie deklaracji zgodności UE oraz umieszczenie oznakowania zgodności CE na produkcie.
• Obowiązki w łańcuchu dostaw (importerzy/dystrybutorzy): weryfikacja, czy produkt spełnia wymagania EHDS przed udostępnieniem na rynku oraz reagowanie na niezgodności i współpraca z właściwymi organami.
• Integracja i współpraca z instytucjami: gotowość do współdziałania z krajowymi punktami kontaktowymi ds. e-zdrowia oraz innymi właściwymi podmiotami w ramach infrastruktury EHDS.

Dla całego sektora technologicznego oznacza to konieczność przeglądu produktów, umów i modeli wsparcia, a także przygotowania się do certyfikacji i audytów zgodności z EHDS. Warto już teraz zaplanować mapowanie procesów, ocenę ryzyk RODO oraz dostosowanie dokumentacji technicznej i umów z klientami do nowych obowiązków.

 

EHDS a RODO - kluczowe zagadnienia w zakresie ochrony danych osobowych 

EHDS nie zastępuje RODO, lecz stanowi regulację sektorową, która doprecyzowuje zasady dostępu do danych zdrowotnych i wprowadza dodatkowe obowiązki techniczne i organizacyjne. Przetwarzanie danych o zdrowiu nadal wymaga zgodności z przepisami RODO.

Dane o zdrowiu należą do najbardziej wrażliwych informacji (danych szczególnych kategorii), dlatego ich przetwarzanie wymaga szczególnej ostrożności i zgodności z zasadami ochrony danych. Niezależnie od nowych regulacji EHDS, każda organizacja powinna jasno określić, na jakiej podstawie przetwarza dane, zapewnić odpowiednie zabezpieczenia oraz wykazać, że odbywa się to w sposób zgodny z zasadami RODO – w szczególności z zasadą minimalizacji, ograniczenia celu i rozliczalności.

 

Anonimizacja i pseudonimizacja – wniosek praktyczny

Nowe EDHS ustanawia zasadę pierwszeństwa anonimizacji danych, ale w określonych przypadkach dopuszcza model pseudonimizacji (gdy użytkownik danych wykaże, że nie da się osiągnąć celu na danych zanonimizowanych). Warto rozróżnić te pojęcia: anonimizacja oznacza nieodwracalne przekształcenie danych tak, aby nie dało się zidentyfikować danej osoby fizycznej. Pseudonimizacja polega natomiast na zastąpieniu identyfikatorów (np. imienia i nazwiska pacjenta) kodem, przy zachowaniu możliwości ponownego powiązania danych z osobą przy użyciu dodatkowych informacji (np. „klucza” - osobno przechowywanej listy, która pozwala przypisać kod do konkretnej osoby).

W każdym przypadku:

• pseudonimizacja to nadal dane osobowe (pełne zastosowanie RODO),
• a anonimizacja musi być rzeczywista (ryzyko reidentyfikacji, czyli ustalenia konkretnej osoby fizycznej, trzeba oceniać realnie).

W praktyce największym wyzwaniem będzie wykazanie, że anonimizacja rzeczywiście eliminuje możliwość identyfikacji osoby – zwłaszcza gdy dane są szczegółowe (np. rzadkie jednostki chorobowe) albo mają wysoką wartość diagnostyczną. Organizacje powinny już teraz ustalić standard oceny ryzyka reidentyfikacji (kiedy uznajemy dane za zanonimizowane, a kiedy tylko za spseudonimizowane), a także zasady kontroli dostępu, logowania i walidacji wyników, tak aby ograniczyć możliwość powiązania danych z konkretnymi osobami.

DPIA, bezpieczeństwo i rozliczalność 

W projektach EHDS kluczowe będzie prawidłowe określenie ról (administrator, procesor, współadministrator), weryfikacja umów z dostawcami oraz – w wielu przypadkach – przeprowadzenie oceny skutków dla ochrony danych (DPIA), ze względu na przetwarzanie w tych projektach danych szczególnych kategorii.

 

Sankcje

Organy ochrony danych osobowych uzyskają nowe uprawnienia w zakresie monitorowania zgodności z EHDS. Wśród ich kompetencji znajdzie się możliwość nakładania sankcji administracyjnych na podmioty, które nie dostosują się do nowych regulacji.

Zgodnie z Rozporządzeniem naruszenie przez posiadacza lub użytkownika danych dotyczących zdrowia może skutkować nałożeniem kary pieniężnej:

• I próg: administracyjne kary pieniężne do 10 000 000 euro - w przypadku przedsiębiorstwa - do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (stosuje się kwotę wyższą). 
• II próg: administracyjne kary pieniężne do 20 000 000 EUR albo - w przypadku przedsiębiorstwa - do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (stosuje się kwotę wyższą), m.in. za przetwarzanie danych uzyskanych na podstawie zezwolenia na dostęp do danych niezgodnie z dopuszczalnymi celami oraz deanonimizację lub próbę deanonimizacji osób, których dane udostępniono w ramach EHDS. 

Niezależnie od sankcji wynikających z EHDS, podkreślamy, że przetwarzanie danych zdrowotnych pozostaje objęte reżimem RODO. W praktyce oznacza to konieczność stałego zapewnienia zgodności z zasadami i obowiązkami wynikającymi z RODO, a w razie naruszeń – ryzyko zastosowania środków administracyjnych i kar pieniężnych na zasadach przewidzianych w RODO. 

 

Oś czasu i kluczowe daty 

Rozporządzenie formalnie weszło w życie 25 marca 2025 r., jednak jego wdrażanie zostało podzielone na następujące etapy:

• marzec 2027 r. - przyjęcie kluczowych aktów wykonawczych, określających szczegółowe zasady funkcjonowania EHDS.
• marzec 2029 r. - pierwszy pakiet obowiązków operacyjnych - primary use: wymiana pierwszej grupy priorytetowych kategorii danych (karty pacjenta, e-recepty i ich realizacja); secondary use: uruchomienie mechanizmów dla szerokiego zakresu danych (np. dane z elektronicznej dokumentacji medycznej).
• marzec 2031 r. - uruchomienie we wszystkich państwach UE wymiany drugiej grupy priorytetowych danych zdrowotnych wymienionych w EHDS (obrazy medyczne, wyniki badań laboratoryjnych, sprawozdania z wypisów ze szpitali); objęcie secondary use także pozostałych kategorii danych (np. danych genomowych).