Data jako nové zlato
Jednou z ambicí současné Evropské komise je posílit postavení a konkurenceschopnost EU i v rámci datové ekonomiky.
Vytvořit jednotný evropský trh s daty, který umožní jejich volný tok napříč zeměmi a sektory a zároveň bude reflektovat ostatní veřejné zájmy a právní požadavky. Ať už zajištění vysoké úrovně ochrany osobních údajů (v souladu s GDPR), bezpečnosti dat (i s ohledem na požadavky nové regulace kybernetické bezpečnosti, především obecné NIS2 nebo Aktu o kybernetické odolnosti), zajištění souladu s návrhem nařízení o evropské digitální identitě či se stávající legislativní základnou i v dalších oblastech, např. s právem hospodářské soutěže, duševního vlastnictví nebo ochrany obchodního tajemství.
Datové prostory mají sloužit jako infrastruktura, která umožňuje sdílení a analýzu dat, a podporuje tak inovace, výzkum a rozvoj, zlepšuje veřejné služby a pomáhá řešit společenské výzvy.
Klíčovou ideou je zvýšit míru dostupnosti (drtivá většina dat není v současnosti využívána), informovanosti a kontroly, jíž mají občané a podniky nad svými údaji, což v ČR podporuje např. Národní asociace pacientských organizací, a současně zajistit účinné využívání veřejně přístupných datových sad s výraznou hodnotou pro širší společenské cíle.
Datová strategie v praxi
Tento cíl Evropská komise vymezila ve své Datové strategii. Konkrétní legislativní kroky na sebe nenechaly dlouho čekat.
Součástí nové datové regulace jsou legislativní předpisy dvojího charakteru. První, obecné a horizontální (průřezové) povahy, jsou nařízení o datech (Data Act) a nařízení o správě dat (DGA). Tyto předpisy mají vymezit základní rámec a být jakýmsi odrazovým můstkem pro sektorově specifické legislativní předpisy, který by mělo být ve finále 9. Jedná se např. o sdílení dat v zemědělství, finančním sektoru, energetice, udržitelnosti či zdravotnictví. Právě poslední zmíněné oblasti, zdravotnictví, je věnován tento článek.
Mezisektorové sdílení dat
Ve sdílení dat mezi hráči z různých sektorů je rozhodně velký potenciál. Nutnou podmínkou je ovšem vůle dotčených stran se do takovýchto iniciativ zapojit. Předpokladem je také přiměřeně nastavený legislativní rámec, který bude vytvářet příznivé a rovné podmínky pro reciprocitu a zároveň bude dostatečně důvěryhodný a bezpečný.
Pouze za splnění obou uvedených podmínek může dojít k vytvoření důvěry všech zúčastněných subjektů – ať už z veřejné nebo soukromé sféry. Jednalo by se o vhodný základ pro využití dat v jednotlivých sektorech nebo jejich spolupráci s cílem zvýšení efektivity a transparentnosti, lepších produktů a služeb šitých na míru, porozumění rizikům (např. narušení kybernetické bezpečnosti, zneužití osobních údajů), jakož i nižších nákladů a smysluplnější digitalizace.
Implementace a rozvoj datových prostorů budou realizovány v několika komplexních krocích. Zaprvé je třeba přijmout jasný a konzistentní právní rámec. Posléze bude nezbytné zajistit funkční technickou infrastrukturu, která umožní bezpečné a efektivní sdílení a analýzu dat. To může zahrnovat vývoj interoperabilních datových platforem, cloudových služeb, nástrojů pro správu dat a bezpečnostních mechanismů. Nástrojem pro zefektivnění fungování jsou rozhodně i standardizace a interoperabilita mezi různými datovými platformami a aplikacemi.
Evropský prostor pro zdravotní data
Návrh nařízení o evropském prostoru pro zdravotní data (European Health Data Space, EHDS) byl Evropskou komisí představen v rámci strategie "Zdraví pro všechny" (Health for All). Jedná se o iniciativou zaměřenou na zlepšení přístupu a kontroly fyzických osob nad jejich osobními, elektronicky zpracovávanými zdravotními daty. EHDS by měl zároveň umožnit efektivnější využívání dat pro poskytování zdravotní péče, výzkum a inovace.
Na jednotlivé aspekty návrhu nařízení se podíváme v této první částí článku.
Druhá část bude následně věnována kompatibilitě se stávající legislativní základnou, především GDPR. Neopomeneme ani odhadovaný časový rámec vyjednávání.
Návrh nařízení tvoří základní stavební kámen budoucí Evropské zdravotní unie.
Účel nařízení EHDS
Jaké konkrétní cíle si nařízní o EHDS klade?
Lepší a efektivnější dostupnost a kontrola elektronických zdravotních dat ze strany fyzických osob. Evropská komise zde vychází ze zjištění, že lidé se dnes potýkají s obtížemi při uplatňování svých práv v souvislosti s jejich elektronickými zdravotními daty, včetně přístupu a přenosu na vnitrostátní i přeshraniční úrovni.
Ochrana soukromí a bezpečnost dat. To přímo souvisí s GDPR, které v horizontální rovině upravuje ochranu osobních údajů se zvláštním zaměřením na zdravotní data. Na základě studie, která posuzuje pravidla členských států EU týkající se zdravotních dat, právě nerovnoměrné provádění a výklad GDPR ze strany členských států vytváří značnou právní nejistotu, což vede k překážkám při sekundárním využití elektronických zdravotních dat.
Zlepšení interoperability (společný interoperabilní evropský formát) a bezpečné sdílení zdravotních dat mezi členskými státy a zdravotnickými organizacemi, a to tak, aby data byla dohledatelná, přístupná, interoperabilní a znovupoužitelná („zásady FAIR“).
Podpora datového altruismu, což je koncept dobrovolného sdílení osobních i neosobních dat jednotlivci nebo organizacemi bez (finanční) odměny a za účelem společenského prospěchu.
Podpora výzkumu a inovací.
Zlepšení kvality diagnostiky a péče tím, že se lékařům a zdravotním pracovníkům výrazně usnadní přístup k aktuálním a relevantním zdravotním datům.
Podpora vytváření digitálního zdravotnictví v EU, což by mělo vést k efektivnějšímu zdravotnímu systému.
V reakci na pandemii COVID-19 je důležité také zdokonalení schopnosti reakce na mimořádné situace v oblasti zdraví, jelikož tato zkušenost odhalila naléhavou potřebu včasné odezvy. To bude realizováno v rámci Evropského úřadu pro připravenost a reakci na mimořádné situace v oblasti zdraví (HERA).
K dosažení těchto, snad realistických, cílů je potřeba zajistit právní rámec sestávající z důvěryhodných mechanismů v oblasti správy a řízení zdravotních dat. V zájmu dosažení maximální unifikace pravidel napříč EU bylo rozhodnuto použít formu nařízení. To by mělo zajistit vyšší efektivitu a funkčnost navrhovaného rámce, a to třeba na rozdíl od směrnice o přeshraniční zdravotní péči. V této směrnici je úprava přeshraniční zdravotní péče (síť pro elektronické zdravotnictví) založena na báze dobrovolnosti a nebyla zavedena povinnost elektronizace zdravotní dokumentace. Celkový dopad směrnice byl summa summarum omezený.
Na koho EHDS dopadne?
Kapitola I návrhu EHDS upravuje předmět a oblast působnosti nařízení, zavádí definice a vysvětluje jeho vztah k jiným předpisům EU.
Návrh nařízení vymezuje okruh subjektů, na které nová úprava dopadne. Mělo by se jednat o:
výrobce a dodavatele systémů EHR (electronic health record system, systém pro vedení elektronické zdravotnické dokumentace) a aplikací v oblasti wellness uváděných na trh a do provozu v Unii a uživatele těchto produktů;
správce a zpracovatele usazené v Unii, kteří zpracovávají elektronická zdravotní data občanů Unie a státních příslušníků třetích zemí, kteří oprávněně pobývají na území členských států;
správce a zpracovatele usazené ve třetí zemi, kteří jsou napojeni na platformu MéZdraví@EU (MyHealth@EU) nebo jsou s ní interoperabilní;
uživatele dat, kterým držitelé dat v Unii zpřístupňují elektronická zdravotní data.
Jaký je rozdíl mezi primárním a sekundárním využíváním dat?
Primárním využitím je myšleno zpracování osobních dat pro účely poskytování zdravotních služeb. To znamená za účelem posouzení, udržení nebo obnovení zdravotního stavu fyzické osoby, které se tato data týkají, včetně vydání lékařského předpisu, vydávání a poskytování léčivých přípravků a zdravotnických prostředků, jakož i pro příslušné služby sociálního zabezpečení a správní nebo úhradové služby. Jedná se např. o pacientské souhrny, elektronické lékařské předpisy, elektronické dispenzace, snímky, zprávy, laboratorní výsledky.
Pod sekundárním využitím elektronických zdravotních dat si můžeme představit např. používání dat pro výzkum, inovace, vzdělávání, veřejný zájem, politiku, statistiky a regulační činnosti. Může se jednat o osobní elektronická zdravotní data, která byla původně shromážděna v souvislosti s primárním využitím, tedy pro poskytnutí zdravotní péče. Může však jít také o data již od počátku shromažďovaná pro účely sekundárního využití.
Původní návrh nařízení vymezuje zakázané účely, pro které nelze zdravotnická data sdílená v rámci EHDS využít. Jedná se o využití dat k rozhodnutí poškozující jednotlivce, například vyloučení z pojistných smluv či jiných příspěvků, reklamní a marketingové aktivity, poskytování dat třetím stranám, nebo vývoj produktů či služeb škodlivých pro jednotlivce nebo společnost.
Zdravotnická data by dále měla být využívána pouze pro bohulibé účely, jako jsou inovace, výzkum, veřejná politika, bezpečnost pacientů, regulační účely nebo personalizovaná medicína. Ratio legis je, aby výzkumní pracovníci, tvůrci politik a regulatorní orgány měli při své práci přístup ke kvalitním datům, a to bezpečným způsobem a s nižšími náklady, než pokud by se opírali o souhlasy jednotlivých lidí.
Tento společný rámec pro sekundární využití zdravotnických dat by měl snížit roztříštěnost a překážky i pro přeshraniční sdílení údajů. Tomu má napomoci rovněž zřízení jednoho nebo více subjektů pro přístup ke zdravotním datům (s jedním koordinačním subjektem) v rámci každého členského státu. Tyto subjekty následně mohou poskytovat přístup k elektronickým zdravotním datům třetím stranám, a to na základě nařízení o správě dat (DGA)
Některé kategorie elektronických zdravotních dat jsou pro sdílení v rámci EHDS určeny jako prioritní a to v rámci postupného procesu s přechodným obdobím.
Kdo to zaplatí?
Sekundární využití elektronických zdravotních dat s sebou často ponese náklady. Návrh nařízení, konkrétně Kapitola IV, proto obsahuje ustanovení o transparentnosti výpočtu poplatků za zpřístupnění dat. Soukromí držitelé, subjekty mimo veřejný sektor (např. soukromé zdravotnické zařízení nebo farmaceutické společnosti), mohou rovněž účtovat poplatky za shromažďování dat.
Část nákladů bude kompenzována z poplatků účtovaných subjekty pro přístup ke zdravotním datům. Očekává se, že zřízení těchto subjektů sníží náklady regulatorních orgánů a tvůrců politik na přístup k elektronickým zdravotním datům.
Kdo bude držitelem zdravotních dat?
Držiteli těchto dat mohou být veřejní, neziskoví nebo soukromí poskytovatelé zdravotních služeb nebo péče anebo veřejné, neziskové a soukromé organizace, sdružení nebo jiné subjekty provádějící výzkum týkající se zdravotnictví.
Aby se zabránilo nepřiměřené zátěži pro malé subjekty, jsou od povinnosti zpřístupnit svá data pro sekundární využití v rámci systému EHDS osvobozeny mikropodniky.
Národní orgány pro digitální zdravotnictví
Dle kapitoly II budou členské státy muset zřídit orgán pro digitální zdravotnictví, který bude odpovědný za monitorování práv a fungování mechanismů zavedených novým nařízením.
Členské státy rovněž určí vnitrostátní kontaktní místo pověřené prosazováním povinností a požadavků nařízení. Dále je navržena společná, ústřední infrastruktura portálu MéZdraví@EU pro usnadnění přeshraniční výměny elektronických zdravotních dat mezi vnitrostátními kontaktními místy.
Autocertifikace, dobrovolné označování a databáze
Kapitola III návrhu nařízení se zaměřuje na zavedení povinného systému autocertifikace pro systémy EHR. To má zajistit, že tyto systémy budou splňovat základní požadavky týkající se interoperability a bezpečnosti dat.
Tato kapitola rovněž obsahuje ustanovení o dobrovolném označení pro aplikace v oblasti wellness (např. fitness aplikace), které jsou interoperabilní se systémy EHR. Zřizuje také databázi EU, v níž budou registrovány certifikované systémy EHR a označené aplikace v oblasti wellness.
Jak to celé bude fungovat?
Další část návrhu nařízení je už věnována sekundárnímu využití zdravotních dat. Upravuje rovněž povinnost členských států zřídit subjekt pro přístup ke zdravotním datům pro sekundární využití a zajistit, aby držitelé dat zpřístupňovali elektronická data uživatelům dat.
Kromě toho tato kapitola rovněž obsahuje ustanovení o provádění datového altruismu ve zdravotnictví, a to opět dle nařízení o správě dat (DGA).
V dané kapitole jsou rovněž stanoveny úkoly a povinnosti subjektu pro přístup ke zdravotním datům, držitelů dat a uživatelů dat. Držitelé dat by měli zejména spolupracovat se subjektem pro přístup ke zdravotním datům, aby byla zajištěna dostupnost elektronických zdravotních dat pro sekundární využití. Dále jsou definovány povinnosti subjektů pro přístup ke zdravotním datům a uživatelů dat jako společných správců zpracovaných elektronických zdravotních dat.
Z praktického hlediska jsou stanoveny zejména požadavky na zajištění bezpečného zpracovatelského prostředí.
V neposlední řadě tato kapitola obsahuje ustanovení týkající se popisu datového souboru a jeho kvality. Uživatelům dat by to umožnilo zjistit obsah a potenciální kvalitu použitého datového souboru a posoudit, zda jsou tyto datové soubory vhodné pro daný účel.
Kapitola VI vytváří „Radu pro evropský prostor pro zdravotní data“ (Radu pro EHDS), která usnadní spolupráci mezi orgány pro digitální zdravotnictví a subjekty pro přístup ke zdravotním datům, zejména vztah mezi primárním a sekundárním využitím elektronických zdravotních dat.
Kapitola VIII obsahuje ustanovení o spolupráci a sankcích uživatelů nebo držitelů dat dle rozhodnutí členských států, a závěrečná ustanovení.
V příštím díle článku se zaměříme na vztah pravidel pro EHDS a dalších regulací a právních předpisů, včetně GDPR.
