Ga verder naar contentGa verder naar content en skip ook inhoudsopgave
In- en Uitvoer
Home

Uitvoeringsbesluit (EU) 2019/1269 van de Commissie van 26 juli 2019 tot wijziging van Uitvoeringsbesluit 2014/287/EU tot vaststelling van de criteria voor de oprichting en evaluatie van Europese referentienetwerken en de leden daarvan en voor de bevordering van de uitwisseling van informatie en expertise in verband met de oprichting en evaluatie van dergelijke netwerken (Voor de EER relevante tekst.)

Uitvoeringsbesluit (EU) 2019/1269 van de Commissie van 26 juli 2019 tot wijziging van Uitvoeringsbesluit 2014/287/EU tot vaststelling van de criteria voor de oprichting en evaluatie van Europese referentienetwerken en de leden daarvan en voor de bevordering van de uitwisseling van informatie en expertise in verband met de oprichting en evaluatie van dergelijke netwerken (Voor de EER relevante tekst.)

DE EUROPESE COMMISSIE,

Gezien het Verdrag betreffende de werking van de Europese Unie,

Gezien Richtlijn 2011/24/EU van het Europees Parlement en de Raad van 9 maart 2011 betreffende de toepassing van de rechten van patiënten bij grensoverschrijdende gezondheidszorg(1), en met name artikel 12, lid 4, onder b) en c),

Overwegende hetgeen volgt:

  1. Bij Uitvoeringsbesluit 2014/287/EU van de Commissie(2) zijn de criteria voor de oprichting en evaluatie van Europese referentienetwerken en de leden daarvan en voor de bevordering van de uitwisseling van informatie en expertise in verband met de oprichting en evaluatie van die netwerken vastgesteld. In artikel 6 van dat besluit werd de lidstaten verzocht een bestuursraad van lidstaten in te stellen teneinde over de goedkeuring van de voorstellen voor netwerken, het lidmaatschap van die netwerken en de opheffing ervan te kunnen beslissen. De lidstaten hebben een bestuursraad van lidstaten ingesteld, die daarop in december 2016 23 Europese referentienetwerken (ERN's) goedkeurde en daar in februari 2017 een netwerk aan toevoegde. Alle netwerken zijn in 2017 met hun activiteiten begonnen.

  2. Om de efficiëntie van de Europese referentienetwerken te verbeteren, moet de bestuursraad van lidstaten het forum worden waar informatie en expertise kunnen worden uitgewisseld om zo de ontwikkeling van de ERN's aan te sturen, leidraden aan de netwerken en de lidstaten te geven en de Commissie over zaken met betrekking tot de oprichting van de netwerken van advies te voorzien. Om de uitwisseling van ervaringen te bevorderen en een proces te faciliteren dat aansluit op andere grensoverschrijdende initiatieven betreffende de uitwisseling van gezondheidsgegevens, moet de bestuursraad zich instellen op een hechte samenwerking met het e-gezondheidsnetwerk om waar mogelijk gemeenschappelijke benaderingen, gegevensstructuren en richtsnoeren te ontwikkelen om transparante toegang tot verschillende diensten te bevorderen en de regels voor zorgaanbieders te stroomlijnen. De bestuursraad moet daarnaast, op gebieden van gemeenschappelijk belang, de dialoog met andere relevante EU-fora (zoals de stuurgroep voor gezondheidsbevordering, ziektepreventie en beheer van niet-overdraagbare ziekten) bevorderen.

  3. Uit de huidige praktijk met 24 ERN's blijkt dat de leden bij de uitvoering van hun taken — bijvoorbeeld het op een efficiënte en veilige manier uitwisselen van gegevens betreffende de diagnoses en behandelingen van patiënten en het bijdragen aan wetenschappelijk onderzoek en aan de ontwikkeling van medische richtsnoeren — nauw moeten samenwerken om de netwerken echt doeltreffend te maken. Nauwe samenwerking vraagt om wederzijds vertrouwen tussen de leden van zo'n netwerk en om wederzijdse erkenning van met name elkaars expertise en competentie, de kwaliteit van de klinische zorg en specifieke middelen op het vlak van personeel, infrastructuur en apparatuur, zoals genoemd in punt 2 van bijlage II bij Gedelegeerd Besluit 2014/286/EU van de Commissie(3).

  4. Wederzijds vertrouwen en erkenning van vakgenoten zijn evenzeer belangrijk wanneer zorgaanbieders zich bij een bestaand netwerk willen aansluiten, aangezien hiermee de juiste basisvoorwaarden voor toekomstige samenwerking binnen het netwerk worden gewaarborgd. Daarom moet een aanvraag om lidmaatschap, wanneer die aanvraag door een onafhankelijke door de Commissie aangewezen beoordelingsinstantie wordt beoordeeld, ook van de bestuursraad van het netwerk waarbij de zorgaanbieder zich wil aansluiten een gunstig advies ontvangen na een door het netwerk uitgevoerde beoordeling door vakgenoten op basis van de criteria en voorwaarden van punt 2 van bijlage II bij Gedelegeerd Besluit 2014/286/EU. Om de zorgaanbieder in staat te stellen zich over het advies van de bestuursraad van het netwerk uit te spreken, moet de zorgaanbieder worden toegestaan binnen een maand na de datum van ontvangst van dat advies opmerkingen over dat ontwerpadvies in te dienen.

  5. Voor het door de bestuursraad van het netwerk op te stellen ontwerpadvies en definitieve advies moeten redelijke termijnen worden vastgesteld. De termijn voor het definitieve advies moet daarom in beginsel worden vastgesteld op vier maanden. Als de zorgaanbieder opmerkingen indient over het ontwerpadvies van de bestuursraad van het netwerk, moet de termijn van vier maanden voor het uitbrengen van het definitieve advies echter met een maand worden verlengd om de bestuursraad van het netwerk in staat te stellen de ontvangen opmerkingen in overweging te nemen. Indien de bestuursraad van het netwerk het ontwerpadvies of het definitieve advies niet uitvaardigt binnen de gestelde termijn, moet om redenen van rechtszekerheid het definitieve advies worden geacht gunstig te zijn.

  6. Als een aanvraag om lidmaatschap een ongunstig advies ontvangt van de bestuursraad van het netwerk waarbij de zorgaanbieder zich wil aansluiten, terwijl zij wel door de lidstaat van vestiging van de zorgaanbieder werd bekrachtigd in de vorm van een schriftelijke verklaring, moet de lidstaat van vestiging de bestuursraad van lidstaten kunnen verzoeken op basis van de criteria en voorwaarden van punt 2 van bijlage II bij Gedelegeerd Besluit 2014/286/EU te besluiten of de aanvraag toch bij de Commissie kan worden ingediend.

  7. Om de zorgverleners in hun grensoverschrijdende samenwerking op afstand via de ERN's te ondersteunen bij het stellen van diagnoses en het behandelen van patiënten met zeldzame of weinig voorkomende complexe ziekten of aandoeningen en om wetenschappelijk onderzoek naar dergelijke ziekten of aandoeningen te vergemakkelijken heeft de Commissie een systeem voor het beheer van klinische gegevens van patiënten (Clinical Patient Management System, CPMS) voor ERN's ontwikkeld, ter bevordering van de oprichting en werking van de ERN's overeenkomstig artikel 12, lid 4, onder c), van Richtlijn 2011/24/EU.

  8. Het CPMS moet een gemeenschappelijke infrastructuur bieden die zorgverleners binnen de ERN's in staat stelt samen te werken bij de diagnose en de behandeling van patiënten met zeldzame of weinig voorkomende complexe ziekten of aandoeningen. Met behulp van dit systeem moet binnen de ERN's de uitwisseling van informatie en expertise betreffende dergelijke ziekten zo doeltreffend mogelijk kunnen plaatsvinden.

  9. Het CPMS moet daarom een veilige IT-infrastructuur bieden met een gemeenschappelijke interface waar de zorgaanbieders die lid zijn van de ERN's, de met het netwerk verbonden partners(4) en de gastgebruikers (“zorgaanbieders met toegangsrecht tot het CPMS”) binnen de netwerken informatie kunnen uitwisselen over de betrokken patiënten, om door de uitwisseling van relevante informatie te bevorderen de toegang van deze patiënten tot veilige en hoogwaardige gezondheidszorg te verbeteren en tegelijkertijd doeltreffende samenwerking tussen de lidstaten op het gebied van gezondheidszorg te stimuleren.

  10. Om zeker te stellen dat de voorschriften inzake gegevensbescherming worden nageleefd en om te zorgen dat voor de elektronische uitwisseling van persoonsgegevens van patiënten tussen zorgaanbieders binnen de ERN's met de in artikel 12, lid 2, van Richtlijn 2011/24/EU genoemde doelstellingen een doeltreffende en veilige omgeving wordt gebruikt, mag een dergelijke uitwisseling alleen met de uitdrukkelijke toestemming van de betreffende patiënten en uitsluitend via het CPMS plaatsvinden. De zorgaanbieders zijn verantwoordelijk voor het waarborgen van de veiligheid van de gegevens die zij buiten het CPMS verwerken met het doel ze in te voeren in het CPMS, maar ook van de gegevens die niet in het CPMS worden ingevoerd, maar door hen in relatie tot het CPMS worden verwerkt (zoals toestemmingsverklaringen) of de gegevens die zij van het CPMS hebben gedownload en die buiten het CPMS worden verwerkt.

  11. In het CPMS worden gevoelige persoonsgegevens verwerkt van patiënten die aan zeldzame of weinig voorkomende complexe ziekten lijden. Deze gegevens worden uitsluitend verwerkt ten behoeve van de diagnose en de behandeling van patiënten, om ze in te voeren in relevante registers of andere databanken voor zeldzame en weinig voorkomende complexe ziekten, die in dienst staan van wetenschappelijk onderzoek, een klinisch doel of gezondheidsbeleid, en om contact op te nemen met potentiële deelnemers aan wetenschappelijk onderzoek. De zorgaanbieders in de ERN's moeten de patiëntengegevens in het CPMS kunnen verwerken zodra zij de specifieke, geïnformeerde en vrije toestemming van de patiënten hebben verkregen voor de drie manieren waarop zij hun gegevens kunnen gebruiken (medische beoordeling van het dossier om advies over de diagnose en de behandeling in te winnen, invoering van de gegevens in registers van zeldzame ziekten of andere databanken voor zeldzame en weinig voorkomende complexe ziekten en de mogelijkheid om patiënten te contacteren over deelname aan wetenschappelijk onderzoek). De toestemming moet voor elk van deze drie doeleinden afzonderlijk worden verkregen. De doeleinden en de waarborgen voor de verwerking van dergelijke gegevens in het CPMS moeten in dit besluit worden vastgesteld. De Commissie moet met name voor elk netwerk de algemene kenmerken van het CPMS vaststellen, de benodigde veilige IT-infrastructuur voor dat doeleinde verschaffen en onderhouden en de technische werking en beveiliging ervan garanderen. In overeenstemming met het beginsel van minimale gegevensverwerking mag de Commissie alleen persoonsgegevens verwerken die strikt noodzakelijk zijn om de administratieve werking van het CPMS voor elk netwerk te garanderen en mag zij daarom geen toegang krijgen tot de gezondheidsgegevens van patiënten die in de Europese referentienetwerken worden uitgewisseld tenzij dit strikt noodzakelijk is om aan haar verplichtingen als gezamenlijk verwerkingsverantwoordelijke te kunnen voldoen.

  12. Dit uitvoeringsbesluit moet alleen van toepassing zijn op de verwerking van persoonsgegevens binnen de ERN's die plaatsvindt in het CPMS en met name contactgegevens en gezondheidsgegevens betreft.

  13. Bij artikel 26 van Verordening (EU) 2016/679 van het Europees Parlement en de Raad(5) en artikel 28 van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad(6) wordt aan de gezamenlijke verwerkingsverantwoordelijken voor verwerkingsactiviteiten van persoonsgegevens een verplichting opgelegd hun respectieve verantwoordelijkheden voor de naleving van hun verplichtingen uit hoofde van die verordeningen op transparante wijze vast te stellen. De verordeningen voorzien ook in de mogelijkheid om die verantwoordelijkheden te laten vaststellen bij een Unierechtelijke of lidstaatrechtelijke bepaling die op de gezamenlijke verwerkingsverantwoordelijken van toepassing is.

  14. Uitvoeringsbesluit 2014/287/EU moet daarom dienovereenkomstig worden gewijzigd.

  15. Overeenkomstig artikel 42, lid 1, van Verordening (EU) 2018/1725 is de Europese Toezichthouder voor gegevensbescherming geraadpleegd, en op 13 september 2018 heeft hij een advies uitgebracht.

  16. De in dit besluit vastgestelde maatregelen zijn in overeenstemming met het advies van het bij artikel 16 van Richtlijn 2011/24/EU opgerichte comité,

HEEFT HET VOLGENDE BESLUIT VASTGESTELD:

Artikel 1

Uitvoeringsbesluit 2014/287/EU wordt als volgt gewijzigd:

  1. Het volgende artikel 1 bis wordt ingevoegd:

    Voor de toepassing van dit uitvoeringsbesluit wordt verstaan onder:

    a) “coördinator van Europese referentienetwerken” :
    de persoon die als coördinator van het netwerk is aangesteld door het als coördinerend lid aangewezen lid van een Europees referentienetwerk, zoals bedoeld in overweging 3 en artikel 4 van Gedelegeerd Besluit 2014/286/EU;
    b) “bestuursraad van het netwerk” :
    een orgaan dat voor het bestuur van het netwerk verantwoordelijk is en uit vertegenwoordigers van elk lid van het netwerk bestaat, zoals bedoeld in overweging 3 van en bijlage I, punt 1, onder b), ii), bij Gedelegeerd Besluit 2014/286/EU;
    c) “met het netwerk verbonden partner” :
    (geassocieerd nationaal centrum, samenwerkend nationaal centrum en nationaal coördinatiecentrum), zoals bedoeld in overweging 14 van en bijlage I, punt 7), onder c), bij Gedelegeerd Besluit 2014/286/EU, en in de verklaring van de bestuursraad van lidstaten van 10 oktober 2017;
    d) “gastgebruiker” :
    een zorgaanbieder die geen lid of met het netwerk verbonden partner is en die, na goedkeuring door de coördinator van het desbetreffende Europese referentienetwerk, gedurende een beperkte periode het recht heeft om patiënten in het CPMS in te voeren en aan het panel met betrekking tot die patiënt deel te nemen of aan een specifiek panel als deskundige deel te nemen.”.

  2. Aan artikel 8 worden de volgende leden 4, 5 en 6 toegevoegd:

    “4.

    Indien de Commissie concludeert dat aan de eisen van artikel 8, leden 2 en 3, wordt voldaan, brengt de bestuursraad van het netwerk waarbij de zorgaanbieder zich wil aansluiten, na een door het netwerk uitgevoerde beoordeling door vakgenoten op basis van de criteria en voorwaarden van punt 2 van bijlage II bij Gedelegeerd Besluit 2014/286/EU, een advies over de lidmaatschapsaanvraag uit.

    5.

    Voordat hij het in lid 4 bedoelde advies afgeeft en binnen een termijn van drie maanden na de bevestiging van de Commissie dat aan de eisen van artikel 8, leden 2 en 3, wordt voldaan, zendt de bestuursraad van het netwerk een ontwerpadvies aan de zorgaanbieder die een aanvraag heeft ingediend, die nog binnen een maand na ontvangst van het ontwerpadvies opmerkingen aan het netwerk kan zenden. Als de bestuursraad van het netwerk geen opmerkingen over dat ontwerpadvies ontvangt, brengt hij binnen vier maanden nadat de Commissie heeft bevestigd dat aan de eisen van artikel 8, leden 2 en 3, wordt voldaan, een definitief advies over de aanvraag voor het lidmaatschap uit.

    Als de bestuursraad van het netwerk opmerkingen ontvangt, wordt de termijn voor de indiening van het definitieve advies verlengd tot vijf maanden vanaf het moment van de bevestiging van de Commissie dat aan de eisen van artikel 8, leden 2 en 3, wordt voldaan. Bij ontvangst van opmerkingen wijzigt de bestuursraad van het netwerk zijn advies en motiveert hij of de opmerkingen al dan niet een wijziging van zijn beoordeling rechtvaardigen. Indien de bestuursraad van het netwerk het ontwerpadvies of het definitieve advies niet uitvaardigt binnen de gestelde termijn, wordt het definitieve advies geacht gunstig te zijn.

    6.

    In het geval van een negatief advies van de bestuursraad van het netwerk kan de bestuursraad van lidstaten op verzoek van de lidstaat van vestiging en na herbeoordeling van de aanvraag op basis van de criteria en voorwaarden van punt 2 van bijlage II bij Gedelegeerd Besluit 2014/286/EU alsnog een gunstig advies uitbrengen. Dat gunstige advies moet bij de aanvraag worden gevoegd.”.

  3. In artikel 9 wordt lid 1 vervangen door:

    “1.

    Indien overeenkomstig artikel 8, lid 5 of 6, een gunstig advies wordt uitgebracht, benoemt de Commissie een beoordelingsinstantie die de bijbehorende aanvraag voor het lidmaatschap beoordeelt.”.

  4. In hoofdstuk IV wordt het volgende artikel 15 bis ingevoegd:

    De lidstaten wordt verzocht binnen de bestuursraad van lidstaten informatie en expertise uit te wisselen om richting te geven aan de ontwikkeling van de ERN's, de netwerken en de lidstaten van richtsnoeren te voorzien en de Commissie omtrent de oprichting van de netwerken te adviseren.”.

  5. Het volgende artikel 16 bis wordt ingevoegd:

    1.

    Hierbij wordt een systeem voor het beheer van klinische gegevens van patiënten (Clinical Patient Management System, CPMS) opgezet voor de elektronische uitwisseling van persoonsgegevens van patiënten tussen zorgaanbieders die toegangsrecht hebben tot het CPMS binnen de ERN's.

    2.

    Het CPMS is een veilig IT-instrument dat door de Commissie ter beschikking wordt gesteld om ervoor te zorgen dat binnen de ERN's patiëntgegevens kunnen worden gedeeld en gehost en direct contact over patiëntendossiers mogelijk is.

    3.

    Het biedt onder meer een viewer voor medisch beeldmateriaal, voorzieningen voor gegevensrapportering, op maat gemaakte gegevenssets en ingebouwde waarborgen voor gegevensbescherming overeenkomstig bijlage I.”.

  6. Het volgende artikel 16 ter wordt ingevoegd:

    1.

    Persoonsgegevens van patiënten, bestaande uit naam, geslacht, geboortedatum en -plaats en andere persoonsgegevens die nodig zijn voor de diagnose en de behandeling, worden binnen de ERN's uitsluitend uitgewisseld en verwerkt via het CPMS. Zij worden uitsluitend verwerkt om, ten bate van de diagnostiek en de behandeling, de samenwerking bij de medische beoordeling van een patiëntendossier te bevorderen, om ten behoeve van wetenschappelijk onderzoek, klinische doeleinden en gezondheidsbeleid de gegevens in registers en andere databanken voor zeldzame en weinig voorkomende complexe ziekten in te voeren, en om contact op te nemen met potentiële deelnemers voor wetenschappelijk onderzoek. De verwerking vindt plaats op basis van een in overeenstemming met bijlage IV verkregen toestemming.

    2.

    De Commissie wordt beschouwd als een verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens met betrekking tot het beheer van toegangsrechten en verwerkt deze gegevens op basis van de uitdrukkelijke toestemming van de personen die door de zorgaanbieders als gebruikers zijn aangewezen en voor zover nodig door het betreffende ERN zijn goedgekeurd, om ervoor te zorgen dat:

    1. aan deze personen toegangsrechten worden verleend;

    2. deze personen hun rechten kunnen uitoefenen en aan hun verplichtingen kunnen voldoen, en

    3. zij aan haar verplichtingen als verwerkingsverantwoordelijke kan voldoen.

    3.

    De Commissie heeft geen toegang tot persoonsgegevens van patiënten, tenzij dit strikt noodzakelijk is om aan haar verplichtingen als gezamenlijk verwerkingsverantwoordelijke te kunnen voldoen.

    4.

    Alleen personen die door ERN's zijn goedgekeurd en tot de categorieën behoren van personeelsleden of andere personen die met de zorgaanbieders met toegangsrecht tot het CPMS verbonden zijn, kunnen toegang krijgen tot de persoonsgegevens van de patiënten in het CPMS.

    5.

    De naam van de patiënt en de geboorteplaats en de exacte geboortedatum worden in het CPMS versleuteld en gepseudonimiseerd. Andere persoonsgegevens die nodig zijn voor de diagnose en de behandeling, worden gepseudonimiseerd. CPMS-gebruikers van andere zorgaanbieders krijgen in de context van paneldiscussies en de beoordeling van patiëntendossiers alleen gepseudonimiseerde gegevens te zien.

    6.

    De Commissie waarborgt de veilige doorgifte en hosting van persoonsgegevens.

    7.

    De zorgaanbieders met toegangsrecht tot het CPMS verwijderen gegevens die niet langer nodig zijn. De persoonsgegevens van patiënten worden niet langer bewaard dan in het belang van de zorg voor de patiënt, de diagnose of de zorg binnen een ERN aan de familieleden van de patiënt nodig is. Elke zorgaanbieder met toegangsrecht tot het CPMS moet op zijn minst om de 15 jaar toetsen of het nodig is de gegevens van de patiënten waarvoor hij de verwerkingsverantwoordelijke is, te bewaren.

    8.

    De doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking van persoonsgegevens in het CPMS wordt zowel door de Commissie als door de zorgaanbieders met toegangsrecht tot het CPMS met regelmaat getest, beoordeeld en geëvalueerd.”.

  7. Het volgende artikel 16 quater wordt ingevoegd:

    1.

    Elk van de zorgaanbieders die patiëntgegevens verwerkt in het CPMS, is met de Commissie gezamenlijk verwerkingsverantwoordelijke voor het verwerken van deze gegevens in het CPMS.

    2.

    Voor de toepassing van lid 1 worden de verantwoordelijkheden onder de gezamenlijke verwerkingsverantwoordelijken verdeeld in overeenstemming met bijlage III.

    3.

    Elk van de gezamenlijke verwerkingsverantwoordelijken moet voldoen aan de relevante EU- of nationale wetgeving die op de betreffende verwerkingsverantwoordelijke van toepassing is.”.

  8. Bijlage III wordt toegevoegd overeenkomstig bijlage I bij dit besluit.

  9. Bijlage IV wordt toegevoegd overeenkomstig bijlage II bij dit besluit.

Artikel 2

Dit besluit treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Gedaan te Brussel, 26 juli 2019.

Voor de Commissie

De voorzitter

Jean-Claude Juncker

BIJLAGE I

BIJLAGE III

DE VERDELING VAN VERANTWOORDELIJKHEDEN TUSSEN GEZAMENLIJKE VERWERKINGSVERANTWOORDELIJKEN

1. Het behoort tot de verantwoordelijkheid van de Commissie om:

  1. het CPMS op te zetten, in werking te houden en te beheren;

  2. waar nodig, zorgaanbieders de technische middelen te bieden om patiënten in staat te stellen via het CPMS overeenkomstig Verordening (EU) 2018/1725 hun rechten uit te oefenen en de verzoeken van de betrokkenen in behandeling te nemen en, als de toepasselijke wetgeving dat vereist, eraan gevolg te geven;

  3. ervoor te zorgen dat het CPMS aan de voorwaarden die op de communicatie- en informatiesystemen van de Commissie(1) van toepassing zijn, voldoet;

  4. de technische middelen te bepalen en te realiseren die patiënten in staat stellen hun rechten overeenkomstig Verordening (EU) 2018/1725 uit te oefenen;

  5. eventuele inbreuken in verband met persoonsgegevens in het CPMS aan de zorgaanbieders mee te delen;

  6. sets van persoonsgegevens uit het CPMS te exporteren indien de verwerker van de persoonsgegevens verandert;

  7. de categorieën van personeelsleden en andere met de zorgaanbieders met toegangsrecht tot het CPMS verbonden personen aan wie toegang tot het CPMS kan worden verleend, aan te wijzen;

  8. ervoor te zorgen dat de naam en de geboorteplaats van de patiënt (tenzij die nodig zijn voor de diagnose en de behandeling) en de exacte geboortedatum worden versleuteld en gepseudonimiseerd en dat andere persoonsgegevens die nodig zijn voor de diagnose en de behandeling, worden gepseudonimiseerd in het CPMS;

  9. passende waarborgen voor de veiligheid en vertrouwelijkheid van de persoonsgegevens van patiënten die via het CPMS worden verwerkt, in te bouwen.

2. Het behoort tot de verantwoordelijkheid van elke zorgaanbieder met toegangsrecht tot het CPMS om:

  1. de patiënten te selecteren wier persoonsgegevens via het CPMS worden verwerkt;

  2. de uitdrukkelijke, geïnformeerde, vrijelijk verleende en specifieke toestemming van de patiënten wier gegevens via het CPMS worden verwerkt, te verkrijgen en bij te houden, met inachtneming van de in bijlage IV opgenomen verplichte minimumeisen voor de toestemmingsverklaring;

  3. als contactpunt voor zijn patiënten op te treden, onder meer wanneer zij hun rechten uitoefenen, te reageren op verzoeken van patiënten of hun vertegenwoordigers en ervoor te zorgen dat patiënten wier gegevens via het CPMS worden verwerkt, hun rechten kunnen uitoefenen in overeenstemming met de gegevensbeschermingswetgeving, zo nodig met gebruikmaking van de technische middelen die overeenkomstig punt 1, onder ii), door de Commissie worden verstrekt;

  4. ten minste om de 15 jaar te toetsen of het nodig is om de persoonsgegevens van specifieke patiënten via het CPMS te verwerken;

  5. de veiligheid en de vertrouwelijkheid te waarborgen van elke verwerking van persoonsgegevens van patiënten door die zorgaanbieder buiten het CPMS, voor zover die gegevens ten dienste van of in verband met de verwerking van persoonsgegevens van patiënten via het CPMS worden verwerkt;

  6. eventuele inbreuken in verband met persoonsgegevens met betrekking tot patiëntgegevens die via het CPMS worden verwerkt, mee te delen aan de Commissie, de bevoegde toezichthoudende autoriteiten en, waar vereist, aan patiënten, overeenkomstig de artikelen 33 en 34 van Verordening (EU) 2016/679 of op verzoek van de Commissie;

  7. in overeenstemming met de in punt 1, onder vii), van deze bijlage bedoelde toegangscriteria de personeelsleden en andere met de betreffende zorgaanbieders verbonden personen aan wie toegang tot de persoonsgegevens van patiënten binnen het CPMS wordt verleend, aan te wijzen en deze aan de Commissie mee te delen;

  8. ervoor zorgen dat hun personeelsleden en andere met de betreffende zorgaanbieders verbonden personen die toegang hebben tot de persoonsgegevens van patiënten binnen het CPMS voldoende zijn opgeleid om te garanderen dat zij hun taken uitvoeren overeenkomstig de toepasselijke regels inzake de bescherming van persoonsgegevens en aan het beroepsgeheim zijn gebonden overeenkomstig artikel 9, lid 3, van Verordening (EU) 2016/679.

BIJLAGE III

BIJLAGE II

BIJLAGE IV