Artikel 73 VO (EU) 2025/327

(1) Die Zugangsstellen für Gesundheitsdaten gewähren den Zugang zu elektronischen Gesundheitsdaten aufgrund einer Datengenehmigung nur über eine sichere Verarbeitungsumgebung, die technischen und organisatorischen Maßnahmen sowie Sicherheits- und Interoperabilitätsanforderungen unterliegt. Bei einer sicheren Verarbeitungsumgebung werden insbesondere die folgenden Sicherheitsmaßnahmen eingehalten:

a)

Begrenzung des Zugangs zur sicheren Verarbeitungsumgebung auf befugte natürliche Personen, die in der gemäß Artikel 68 erteilten Datengenehmigung aufgeführt sind;

b)

Minimisierung des Risikos unbefugten Lesens, Kopierens, Änderns oder Entfernens elektronischer Gesundheitsdaten, die in der sicheren Verarbeitungsumgebung gehostet werden, durch dem Stand der Technik entsprechende technische und organisatorische Maßnahmen;

c)

Beschränkung der Eingabe elektronischer Gesundheitsdaten und der Inspektion, Änderung oder Löschung elektronischer Gesundheitsdaten in der sicheren Verarbeitungsumgebung auf eine begrenzte Zahl befugter identifizierbarer Personen;

d)

Sicherstellung, mittels einer persönlichen und eindeutigen Nutzerkennung und vertraulicher Zugriffsverfahren, dass Gesundheitsdatennutzer ausschließlich auf die von ihrer Datengenehmigung erfassten Daten zugreifen können;

e)

Führung identifizierbarer Protokolle über den Zugang zur und die Tätigkeiten in der sicheren Verarbeitungsumgebung für den Zeitraum, der für die Verifizierung und Überprüfung aller Verarbeitungsvorgänge in dieser Umgebung erforderlich ist; die Protokolle über den Zugang werden mindestens ein Jahr lang aufbewahrt;

f)

Sicherstellung der Befolgung und Überwachung der in diesem Absatz genannten Sicherheitsmaßnahmen, um potenzielle Sicherheitsbedrohungen zu mindern.

(2) Die Zugangsstellen für Gesundheitsdaten stellen sicher, dass elektronische Gesundheitsdaten von Gesundheitsdateninhabern in dem durch die Datengenehmigung festgelegten Format von diesen Gesundheitsdateninhabern hochgeladen und vom Gesundheitsdatennutzer in einer sicheren Verarbeitungsumgebung abgerufen werden können.

Die Zugangsstellen für Gesundheitsdaten überprüfen die in einer Download-Anfrage enthaltenen elektronischen Gesundheitsdaten, um sicherzustellen, dass die Gesundheitsdatennutzer nur in der Lage sind, nicht personenbezogene elektronische Gesundheitsdaten, einschließlich elektronischer Gesundheitsdaten in einem anonymisierten statistischen Format, aus der sicheren Verarbeitungsumgebung herunterzuladen.

(3) Die Zugangsstellen für Gesundheitsdaten sorgen dafür, dass regelmäßig Audits der sicheren Verarbeitungsumgebungen durchgeführt werden, auch durch Dritte, und ergreifen Abhilfemaßnahmen für alle durch diese Audits in den sicheren Verarbeitungsumgebungen festgestellten Mängel, Risiken oder Schwachstellen.

(4) Werden von anerkannten datenaltruistischen Organisationen gemäß Kapitel IV der Verordnung (EU) 2022/868 personenbezogene elektronische Gesundheitsdaten unter Verwendung einer sicheren Verarbeitungsumgebung verarbeitet, erfüllen diese Umgebungen auch die in Absatz 1 Buchstaben a bis f des vorliegenden Artikels festgelegten Sicherheitsmaßnahmen.

(5) Bis zum 26. März 2027 legt die Kommission im Wege von Durchführungsrechtsakten die technischen und organisatorischen Anforderungen sowie die Anforderungen an die Informationssicherheit, die Vertraulichkeit, den Datenschutz und die Interoperabilität der sicheren Verarbeitungsumgebungen fest, auch in Bezug auf die technischen Merkmale und Instrumente, die dem Gesundheitsdatennutzer in den sicheren Verarbeitungsumgebungen zur Verfügung stehen. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 98 Absatz 2 genannten Prüfverfahren erlassen.