SELETUSKIRI
Ettepanek: Euroopa parlamendi ja nõukogu määrus ühtse Euroopa terviseandmeruumi kohta (COM (2022) 197 lõplik)
SISUKORD
SISSEJUHATUS 2
EELNÕU SISU JA VÕRDLEV ANALÜÜS 4
Eestis kehtiv õigusruum ja praegune korraldus 7
Seosed muude EL õigusalgatustega 10
EELNÕU VASTAVUS SUBSIDIAARSUSE JA PROPORTSIONAALSUSE PÕHIMÕTTELE 11
ESIALGSE MÕJUDE ANALÜÜSI KOKKUVÕTE 13
Sotsiaalne mõju 13
Mõju majandusele 14
Mõju riigiasutuste ja kohaliku omavalitsuse asutuste korraldusele, kuludele ja tuludele 15
Mõju elu- ja looduskeskkonnale 17
Mõju riigi julgeolekule ja välissuhetele 17
EESTI SEISUKOHAD JA NENDE PÕHJENDUSED 18
ARVAMUSE SAAMINE JA KOOSKÕLASTAMINE 39
SISSEJUHATUS
Eelnõuga kujundatakse seisukoht Euroopa Komisjoni (edaspidi komisjon) 3. mail 2022. a avaldatud ettepanekule ühtse Euroopa terviseandmeruumi kohta.
Ühtse Euroopa terviseandmeruumi määruse ettepanek on esimene algatus EL andmestrateegia1 raames, mis näeb ette valdkondlike andmeruumide loomise konkreetsetes sektorites ja seab eesmärgiks luua ühtne andmeturg. Eelnõu reguleerib nii terviseandmete esmast kasutamist tervishoiuteenuse osutamise eesmärgil kui ka teisest kasutamist teadusuuringutes, innovatsioonis ja poliitikakujundamisel. Eelnõu eesmärgiks on võimaldada andmete laialdasemat piiriülest kasutamist ning ühtsete standardite kehtestamise kaudu anda hoogu digitaalsete tervishoiuteenuste ja -toodete ühtse turu edendamisele. Seega tugineb terviseandmeruum kolmel sambal: 1) inimeste juurdepääsu ja kontrolli parandamine oma terviseandmete üle; 2) teisene andmete kasutamine teadusuuringutes, innovatsioonis ja poliitikakujundamisel; 3) digitaalsete tervishoiuteenuste ja -toodete ühtse turu edendamine. Eelnõu panustab Euroopa terviseliidu eesmärkidesse tugevdada valmisolekut ja reageerimist tervisekriiside ajal ning luua vastupidavad tervishoiusüsteemid. See aitab kaasa ka Euroopa ravimistrateegia ja Euroopa vähktõve vastase võitluse kava rakendamisele.
Ettepaneku õiguslikuks aluseks on Euroopa Liidu toimimise lepingu (ELTL) artiklid 16 (isikuandmete kaitse) ja 114 (ühtne turg). Terviseandmeruumi toimimiseks täpsustatakse muude kehtivate või menetluses olevate andmehaldust reguleerivate EL õigusaktide reegleid, arvestades tervisesektori erisustega. Eelkõige on see seotud isikuandmete kaitse üldmääruse, tehisintellekti määruse eelnõu, Euroopa andmehalduse ja Euroopa andmemääruse eelnõuga. Täpsemad seosed on kirjeldatud vastavas peatükis.
Määruse reguleerimisalas on isikute õigus saada juurdepääs oma elektroonilistele terviseandmetele ja kontrollida andmeid olenemata sellest millises EL riigis nad viibivad või kus tervishoiuteenust osutatakse, sh õigus piiriüleselt liikudes jagada andmeid teises liikmesriigis töötavale tervishoiutöötajale. Samuti sätestatakse tervishoiutöötajate kohustus registreerida teenuse osutamisega seotud terviseandmed elektrooniliselt. Sätestatakse täpsemad tehnilised ja koostalituse nõuded terviseinfosüsteemidele, turuosapoolte kohustused ja turujärelevalve reeglid. Teisese andmekasutusega seoses nähakse ette nõuded andmete turvaliseks töötlemiseks ning liikmesriikide pädevate asutuste, andmevaldajate ja andmekasutajate kohustused. Kasutusele võetakse EL piiriülese andmevahetuse taristud (MyHealth@EU ja HealthData@EU), millega liitumine on liikmesriikidele kohustuslik ja mis võimaldavad esmast ja teisest andmekasutust.
Mõjuanalüüsi kohaselt on määruse jõustumisest oodatav kasu 11 miljardit eurot, mis on seotud elektroonilise andmevahetuse, telemeditsiini, digiretsepti laialdasemast kasutuselevõtust tuleneva kokkuhoiuga ning efektiivsuse kasvuga andmete teisesest kasutusest poliitikakujundamisel, innovatsioonis ja teadustegevuses. Terviseandmeruumi loomiseks vajalikke investeeringuid on kavas toetada erinevatest EL rahastusinstrumentidest (sh EU4Health programm, RRF, ERDF, InvestEU).
Eestis tuleb määruse jõustumisel üle vaadata ja vajadusel täiendada uue põlvkonna terviseinfosüsteemi (upTIS) arendusplaanid ning näha ette vahendid terviseandmeruumi määruse rakendamiseks. Kuna määruse kohaselt määratletakse tehnilised nõuded ja tingimused terviseinfosüsteemidele ja turvalistele andmete töötlemiskeskkondadele alles rakendusaktidega, siis ei ole praeguses staadiumis võimalik hinnata täpseid investeeringu- ja halduskulusid.
Seisukohtade kujundamisel on aluseks ELAKis 06.07.2020 kinnitatud VV 12.06.2020 seisukohad Euroopa Komisjoni digipaketi kohta, ELAK-is 01.03.2021 kinnitatud VV 11.02.2021 seisukohad Euroopa Parlamendi ja nõukogu määruse, Euroopa andmehaldust käsitleva õigusakti (COM(2020) 767 final), eelnõu kohta ning ELAKis 16.05.2022 kinnitatud VV 28.04.2022 seisukohad andmemääruse kohta.
Samuti on seisukohad kooskõlas siseriiklike kavadega:
• E-tervise visioon 20252,
• E-tervise strateegiline arenguplaan 20203,
• Rahvastiku tervise arengukava 2020 -20304,
• Eesti digiühiskonna arengukava 20305,
• Eesti vähitõrje tegevuskava 2021 –20306,
• Riiklik energia- ja kliimakava (REKK 2030)7,
• Digiriigi keskkonnasõbralikkuse hetkeolukorra ja võimaluste analüüs 20228.
Vabariigi Valitsuse otsuse eelnõu ja seletuskirja koostasid sotsiaalministeeriumi Euroopa Liidu ja väliskoostöö osakonna nõunik Elen Ohov (6269 241,
[email protected]), innovatsiooni asekantsleri nõunik Aurora Ursula Joala (
[email protected]), nutika arengu toetamise osakonna nõunik Raili Sillart (
[email protected]) ning teisese andmekasutuse valdkonna juht Silja Elunurm (
[email protected]). Seisukohad on kooskõlastanud valdkonna eest vastutav innovatsiooni asekantsler Nele Labi (
[email protected]).
Seisukohtade koostamisel on arvestatud huvigruppide sisendiga, mis on kajastatud seletuskirja lisas 1 (huvigruppide kaasamise tabel).
EELNÕU SISU JA VÕRDLEV ANALÜÜS
I peatükis sätestatakse määruse reguleerimisese ja kohaldamisala, esitatakse õigusaktis kasutatud mõisted ning selgitatakse selle seost teiste ELi õigusaktidega.
II peatükis täpsustatakse ja täiendatakse isikuandmete kaitse üldmääruses sätestatud füüsiliste isikute õigusi seoses nende elektrooniliste terviseandmetega. Lisaks kirjeldatakse peatükis tervishoiutöötajate kohustusi seoses elektrooniliste terviseandmete registreerimise ja edastamisega. Teatavat liiki elektroonilised terviseandmed on kindlaks määratud prioriteetsetena ja need tuleb etapiviisiliselt integreerida ühtsesse Euroopa terviseandmeruumi. Komisjonile antakse volitus rakendusaktiga kehtestada prioriteetsetele andmekategooriatele kohustuslikud Euroopa andmevahetusvormingu tehnilised spetsifikatsioonid. Liikmesriigid peavad määrama terviseandmete esmase kasutamise eest vastutava digitaalse tervishoiu asutuse, kes peab tagama selles peatükis sätestatud õiguste ja mehhanismide nõuetekohase rakendamise. Eelnõus sätestatakse asutuse ülesanded ja liikmesriikide kohustus tagada asutuse toimimiseks vajalikud ressursid. Liikmesriigid peavad määrama ka riikliku kontaktpunkti, kelle ülesanne on tagada peatükis sätestatud kohustuste ja nõuete täitmine piiriülese andmevahetuse kontekstis. Liikmesriikidel on kohustus liituda EL taristuga MinuTervis@EL (MyHealth@EU), mis on loodud elektrooniliste terviseandmete piiriülese vahetamise hõlbustamiseks. Samuti peavad liikmesriigid tagama, et tervishoiuteenuse osutajatel on võimalik riikliku kontaktpunkti kaudu andmeid piiriüleselt vahetada Piiriülese taristu kaudu peavad olema kättesaadavad prioriteetsetesse andmekategooriatesse kuuluvad terviseandmed ning seda võib laiendada ka muudele terviseandmetele ja teenustele (telemeditsiin, mobiiltervis, tervisetõendid, immuniseerimiskaardid jms).
III peatükis sätestatakse digitaalsete terviseinfosüsteemide turule laskmise ja kasutuselevõtuga seotud nõuded (oluliste nõuete ühtne kirjeldus, tehniline dokumentatsioon) ning nähakse ette kohustusliku vastavushindamise läbiviimine (CE-märgistus).
1. jagu (üldsätted) sätestatakse koosmõju meditsiiniseadmeid ja tehisintellektisüsteeme reguleerivate õigusaktidega. Digitaalseid tervise infosüsteeme võib turule lasta või kasutusele võtta üksnes juhul, kui need vastavad III peatükis sätetatud nõuetele.
2. jagu (ettevõtjate kohustused) sätestatakse digitaalsete terviseinfosüsteemidega seotud ettevõtjate (tootja, volitatud esindaja, importija, levitaja) kohustused. Eelnõu kohaselt peavad terviseinfosüsteemide tootjad läbi viima kohustusliku vastavushindamise ja koostama EL vastavusdeklaratsiooni (lisa IV), millega tootja kinnitab infosüsteemi vastavust määruse artikli 23 ühtsele kirjeldusele ja lisas II toodud koostalitlusvõime ja turvalisusega seotud olulistele nõuetele (enesesertifitseerimine). Eesmärgiks on tagada digitaalsete terviselugude ühilduvus ja võimaldada elektrooniliste terviseandmete hõlpsat edastamist süsteemide vahel.
3. jagu (nõuetele vastavus) – eelnõu kohaselt võtab komisjon rakendusaktidega vastu tervise infosüsteemidele kohaldatavate määruse II lisas toodud oluliste nõuete ühtse kirjelduse. Eelnõus sätestatakse ühtse kirjelduse peamised elemendid, näiteks andmestikud, kodeerimissüsteemid, andmete kvaliteediga seotud nõuded, andmevahetusstandardid, turvalisuse ja e-identimisega seotud nõuded. Tootja peab koostama tehnilise dokumentatsiooni, mis sisaldab määruse III lisas toodud elemente ja peab võimaldama kontrollida olulistele nõuetele vastavust. Tootja kinnitab oluliste nõuete täitmist EL vastavusdeklaratsioonis ja CE-vastavusmärgisega.
4. jagu (turujärelevalve) – turujärelevalvega seoses kohaldatakse määrust (EL) 2019/10209. eelnõus sätestatakse lisaks digitaalsete terviseinfosüsteemide eest vastutavate turujärelevalveasutuste kohustused, ohtude ja ohujuhtumite ning nõuetele mittevastavuse käsitlemine.
5. jagu (muud koostalitusvõimet käsitlevad sätted) – nähakse ette vabatahtliku märgistamise süsteem heaolurakendustele, mis on koostalitlusvõimelised digitaalsete terviseinfosüsteemidega ja vastavad määruse olulistele nõuetele. Märgise annab välja heaolurakenduse tootja. Märgise sisu ja vormi kehtestab komisjon rakendusaktiga. Komisjon loob ELi andmebaasi, milles registreeritakse sertifitseeritud digitaalsed terviseinfosüsteemid ja märgistatud heaolurakendused.
IV peatükis nähakse ette raamistik ja nõuded elektrooniliste terviseandmete teiseseks kasutuseks, nt teadusuuringutes, innovatsioonis, poliitikakujundamises, patsiendi ohutuse valdkonnas või reguleerimistegevuses.
1.jagu (üldtingimused) Eelnõus määratakse kindlaks andmekategooriad, mille alla kuuluvad andmed peavad andmevaldajad tegema kättesaadavaks, andmete teisese kasutuse eesmärgid ning keelatud kasutus (nt andmete kasutamine isikute vastu, ärireklaam, kindlusmaksete suurendamine, ohtlike toodete väljatöötamine).
2.jagu (juhtimine ja mehhanismid) Liikmesriigid peavad määrama terviseandmetele juurdepääsu asutuse (edaspidi juurdepääsuasutus) ja tagama, et andmevaldajad teevad elektroonilised andmed andmekasutajatele kättesaadavaks. Sätestatakse juurdepääsuasutuste, andmevaldajate ja andmekasutajate ülesanded ning kohustused ja juurdepääsuasutuste õigus määrata andmevaldajatele ja andmekasutajatele karistusi (nt trahv, andmeloa tühistamine). Juurdepääsuasutused ja üksikud andmevaldajad võivad võtta elektrooniliste terviseandmete teiseseks kasutuseks kättesaadavaks tegemise eest tasu. Eelnõus sätestatakse tasu võtmise üldised põhimõtted ja nõuded läbipaistvusele. Lisaks täpsustatakse eelnõus andmealtruismi organisatsioonide kohustusi kooskõlas andmehaldust käsitleva õigusaktiga ning järelevalveasutuste vahelist koostööd.
3. jagu (andmeluba) Üldise põhimõttena nähakse ette võimalikult väheste andmete kogumine ja eesmärgi piirang. Andmetele juurdepääsuks tuleb taotleda andmeluba, mille väljastab juurdepääsuasutus määruses sätestatud tingimustel. Samuti sätestatakse nõuded taotluses esitatavale teabele. Taotluse ja andmeloa vormi võib komisjon kehtestada rakendusaktiga. Andmetele juurdepääsu taotluse või andmepäringu võib ka esitada otse andmevaldajale, kui juurdepääsu taotletakse elektroonilistele terviseandmetele ainult ühelt andmevaldajalt ühes liikmesriigis. Avaliku sektori asutustele on teatud tingimustel ette nähtud erandina juurdepääs ilma andmeloata. Andmetele antakse juurdepääs anonüümitud või pseudonüümitud kujul. Anonüümitud andmeid võidakse andmepäringu korral väljastada lihtsustatud menetlusega. Pseudonüümitud andmetele juurdepääsu saamiseks tuleb täita täiendavaid nõudeid, nt juurdepääsu taotluses on nõutud täiendavate andmete esitamine. Terviseandmetele juurdepääsu asutused võimaldavad juurdepääsu elektroonilistele terviseandmetele üksnes turvalises töötlemiskeskkonnas. Eelnõus nähakse ette turvalisele töötlemiskeskkonnale esitatavad turva- ja koostalitlusvõime nõuded ning tehnilised ja korralduslikud meetmed andmete töötlemise turvalisuse tagamiseks.
4.jagu (piiriülene kasutus) Elektroonilistele terviseandmetele piiriülese juurdepääsu tagamisega seoses peavad liikmesriigid määrama riikliku kontaktpunkti, kes vastutab elektrooniliste terviseandmete kättesaadavaks tegemise eest teiseseks kasutuseks piiriüleses kontekstis. Riiklikud kontaktpunktid osalevad elektrooniliste terviseandmete teisese kasutuse piiriüleses taristus TerviseAndmed@EL (HealthData@EU), mille põhiplatvormi töötab välja ja millega seotud infotehnoloogilisi teenuseid pakub komisjon. Piiriüleses taristus võivad osaleda ka teised määruses ette nähtud volitatud osalejad (nt EL teadustaristu, kolmandad riigid). Volitatud osalejad peavad läbima vastavuskontrolli (vastavuskriteeriumid sätestatakse rakendusaktis). Juurdepääsu taotluseid menetlevad riiklikud juurdepääsuasutused, eelnõus nähakse ette milline juurdepääsuasutus on pädev luba andma piiriülese juurdepääsu taotluse korral. Eesmärgiks on, et ühes liikmesriigis asuv andmekasutaja saaks teisese kasutuse eesmärgil juurdepääsu elektroonilistele terviseandmetele teistes liikmesriikides, ilma et ta peaks taotlema kõigilt nendelt liikmesriikidelt andmeluba. Komisjon võib kahe või enama terviseandmetele juurdepääsu asutuse taotlusel tagada turvalise töötlemiskeskkonna rohkem kui ühest liikmesriigist pärit andmete jaoks vastavalt artikli 50 nõuetele.
5. jagu (andmestike kirjeldus ja kvaliteedi nõuded) Juurdepääsuasutused avaldavad andmekasutajatele kättesaadavatest andmestikest ja nende omadustest metaandmete kataloogi (teabeelemendid kehtestab komisjon rakendusaktiga). Andmestike kirjeldus võimaldab andmekasutajatel kindlaks teha kasutatava andmestiku sisu ja võimaliku kvaliteedi ning hinnata asjaomaste andmestike sobivust seatud eesmärkide täitmiseks. Komisjon koostab ELi andmestike kataloogi, mis ühendab terviseandmetele juurdepääsu asutuste ja teiste TerviseAndmed@EL (HealthData@EU) volitatud osalejate loodud riiklikke andmestike katalooge. Nähakse ette andmete kvaliteedi ja kasulikkuse märgis ja sätestatakse selle põhimõtted ja sisu (komisjon kehtestab rakendusaktiga visuaalsed tunnused ja tehnilised kirjeldused). Liidu või riikliku rahastamise abil kogutud ja töödeldud elektroonilisi terviseandmeid sisaldavatel andmestikel on märgise kasutamine kohustuslik (andmevaldaja kohustus), muudel juhtudel vabatahtlik.
V peatüki eesmärk on esitada muud meetmed liikmesriikide suutlikkuse suurendamise edendamiseks, et toetada ühtse Euroopa terviseandmeruumi arendamist. Need hõlmavad teabevahetust digitaalsete avalike teenuste kohta, rahastamist jne. Lisaks reguleeritakse peatükiga rahvusvahelist juurdepääsu isikustamata andmetele Euroopa terviseandmeruumis.
VI peatükiga luuakse ühtse Euroopa terviseandmeruumi nõukogu, mis hõlbustab koostööd digitaalse tervishoiu asutuste ja terviseandmetele juurdepääsu asutuste vahel ning eelkõige ühendab elektrooniliste terviseandmete esmast ja teisest kasutust. Konkreetsetele küsimustele või protsessidele keskendumiseks võib moodustada spetsiaalseid alarühmi, näiteks elektrooniliste terviseandmete esmase ja teisese kasutuse käsitlemiseks. Nõukogu ülesanne on edendada koostööd digitaalse tervishoiu asutuste ja terviseandmetele juurdepääsu asutuste vahel. Selles peatükis määratakse kindlaks ka nõukogu koosseis ja selle toimimise korraldus. Lisaks sisaldab peatükk sätteid, mis on seotud ELi taristu kaasvastutusrühmadega, kelle ülesanne on teha otsuseid seoses piiriülese digitaristuga, mis on vajalik nii elektrooniliste terviseandmete esmaseks kui ka teiseseks kasutuseks.
VII peatüki kohaselt võib komisjon võtta vastu delegeeritud õigusakte ühtse Euroopa terviseandmeruumi kohta. Pärast ettepaneku vastuvõtmist kavatseb komisjon luua eksperdirühma, kes nõustab ja abistab komisjoni delegeeritud õigusaktide ettevalmistamisel ning määruse rakendamisega seotud küsimustes.
VIII peatükk hõlmab läbivaatusklausleid ja karistusmeetmeid ning IX peatükk jõustumise ja kohaldamise tähtaegasid. Hõlpsamaks elluviimiseks kohaldatakse teatavate kohustuste suhtes üleminekuperioode. Selliste kohustuste hulgas on terviseandmete registreerimine, tervishoiutöötajate juurdepääs andmetele, andmete kättesaadavaks tegemine Euroopa vormingus, osalus piiriüleses digitaristus, digitaalsete tervise infosüsteemide enesesertifitseerimine ning heaolurakenduste vabatahtlik märgis.
Ühtse Euroopa terviseandmeruumiga seotud ettevalmistusi on toetanud mitmesugused uuringud, sealhulgas:
• uuring ELi liikmesriikide terviseandmeid käsitlevate eeskirjade hindamise kohta isikuandmete kaitse üldmääruse põhjal10;
• uuring digitaalsete tervishoiuteenuste ja -toodete, sealhulgas tehisintellekti piiriülesel pakkumisel esinevate õiguslünkade kohta ning praeguse terviseandmete piiriülese vahetamise raamistiku hindamine (avaldatakse peagi);
• taristut ja andmete ökosüsteemi käsitlev uuring, mis toetab ühtset Euroopa terviseandmeruumi käsitlevat mõjuhinnangut (avaldatakse peagi);
• uuring, mis toetab ühtset Euroopa terviseandmeruumi käsitleva ELi algatusega seotud poliitikavariantide mõju hindamist (avaldatakse peagi);
• uuring digitaalsete terviselugude koostalitlusvõime kohta Euroopa Liidus (MonitorEHR)11;
• uuring reaalandmete kasutamise kohta teadusuuringutes, kliinilises ravis, regulatiivsete otsuste tegemisel, tervisetehnoloogia hindamisel ja poliitikakujundamises ning selle kommenteeritud kokkuvõte12;
• turu-uuring telemeditsiini kohta13.
Andmekaitselist mõju14 on hinnatud ka EL tasemel Euroopa Andmekaitseinspektori esialgses arvamuses ühtse Euroopa terviseandmeruumi kohta.
Eestis kehtiv õigusruum ja praegune korraldus
Eestis reguleerib valdkonda tervishoiuteenuste korraldamise seadus15 ja tervise infosüsteemi põhimäärus16. Tervishoiuteenuse osutamisel vajalike isikuandmete töötlemise õiguslikuks aluseks on tervishoiuteenuste korraldamise seaduse (edaspidi TTKS) § 41 lg 11, mille kohaselt on tervishoiuteenuse osutajal, kellel on seadusest tulenev saladuse hoidmise kohustus, õigus andmesubjekti (patsiendi) nõusolekuta töödelda tervishoiuteenuse osutamiseks vajalikke isikuandmeid, sealhulgas eriliiki isikuandmeid. Lisaks on tervishoiuteenuse osutajatel õigus töödelda isikuandmeid tervishoiuteenuste kvaliteedi tagamise nõuete täitmiseks (TTKS § 41 lg 12) ning teatud tervisehoiuteenuse osutajatel teatavate täiendavate nõuete täitmisel ka tervishoiuteenuse osutamise kavandamiseks (TTKS § 41 lg 11). Tervishoiuteenuse osutaja on vastutava töötlejana kohustatud täitma kõiki andmekaitse üldmäärusest tulenevaid kohustusi ning tagama andmesubjekti õiguste realiseerimise (sealhulgas andmesubjekti õigus andmetega tutvumiseks ja õigus saada andmetest koopia art 15). Tervishoiuteenuse osutamist tõendavate andmete loetelu ning tervishoiuteenuse osutamise dokumenteerimise ja andmete säilitamise kord on sätestatud sotsiaalministri 18.09.2008 määrusega nr 56. Üldjuhul säilitatakse ambulatoorse ning statsionaarse tervishoiuteenuse osutamist tõendavaid andmeid 30 aastat patsiendile osutatud teenuse andmete kinnitamisest, teatud andmete säilitamisele on kehtestatud erinevad säilitamise tähtajad (nt õpilase tervisekaardi andmeid viis aastat kooli lõpetamisest või koolist lahkumisest, samuti kiirabikaardi andmeid ja saatekirja ning saatekirja vastust viis aastat andmete kinnitamisest, surmateatise ja surma põhjuse teatise andmeid kümme aastat andmete kinnitamisest jne) (TTKS § 42 lg 3 ja lg 4). Tervise infosüsteemis säilitatakse andmeid nende infosüsteemi vastuvõtmisest alates tähtajatult, kuid kehtivad mõned erisused.Tagamaks tervishoiuvaldkonnas vajalikku andmevahetust ning andmete kättesaadavust on TTKS-i alusel asutatud tervise infosüsteem (edaspidi TIS), mis kuulub riigi infosüsteemi. TIS-is töödeldakse tervishoiuvaldkonnaga seotud andmeid tervishoiuteenuse osutamise lepingu sõlmimiseks ja täitmiseks, tervishoiuteenuste kvaliteedi ja patsiendi (edaspidi andmesubjekt) õiguste tagamiseks, rahva tervise kaitseks ning terviseseisundit kajastavate registrite pidamiseks, tervisestatistika tegemiseks ja tervishoiu juhtimiseks (TTKS § 591 lg 1). Eesti tervise infosüsteem toimib opt-out mudelil. See tähendab, et andmesubjektilt ei küsita nõusolekut tema kohta käivate terviseandmete tervise infosüsteemi edastamiseks ja seal töötlemiseks, kuid tal on võimalus enda kohta käivate andmete töötlemist soovi korral piirata (opt-out võimalus). Andmesubjekt saab opt-out õigust realiseerida tervishoiuteenuse osutaja juurdepääsu piiramisega tervise infosüsteemis olevatele isikuandmetele. TIS põhimääruses on täpsustatud, et andmesubjektil on õigus keelata juurdepääs isikuandmetele nii täies ulatuses kui ka dokumentide kaupa. Seega ei ole andmesubjektil võimalik keelata andmete kogumist tervise infosüsteemi, vaid andmesubjektil on võimalus keelata tervishoiuteenuse osutajate juurdepääs enda andmetele. Sellise regulatsiooni eeliseks on terviseandmete kättesaadavuse tagamine ka olukorras, kui andmesubjekt on ühel ajahetkel enda andmed sulgenud, kuid otsustab hiljem, et ta soovib siiski, et tervishoiu teenuse osutajad pääseksid tema kohta käivatele andmetele ligi. TIS-i andmete kogumine võimaldab parimal viisil täita ka andmesubjekti enda kohustust teabe andmiseks tervishoiuteenuse osutajale (VÕS § 764).
Infosüsteemi kaasvastutavad töötlejad on Sotsiaalministeerium ja Eesti Haigekassa. Infosüsteemi peamine volitatud töötleja on Tervise ja Heaolu Infosüsteemide Keskus (TEHIK), kes peab, haldab ja arendab infosüsteemi, töötleb andmeid ning täidab muid vastutava töötleja pandud kohustusi õigusaktide ja nende alusel sätestatud nõuete kohaselt. Sihtasutus Eesti Tervishoiu Pildipank on volitatud töötleja meditsiiniliste ülesvõtete andmete haldamise, töötlemise ja arhiveerimise rollis ning Sotsiaalkindlustusamet volitatud töötlejana abistab andmesubjekti COVID-19 haigust põhjustava koroonaviiruse SARS-CoV-2 levikuga seotud vastavustõendi avalduse täitmisel, menetleb avaldusi, loob ja väljastab vastavustõendeid.
Tervishoiuteenuse osutaja on kohustatud edastama tervise infosüsteemi andmed patsiendile osutatud tervishoiuteenuse kohta ning tervishoiu juhtimiseks, sealhulgas seaduse alusel asutatud tervislikku seisundit kajastavate registrite pidamiseks, ravijärjekorra pidamiseks, meditsiiniliste ülesvõtete kättesaadavaks tegemiseks vastavalt sotsiaalministri 7.09.2008 määruses nr 53 sätestatud TIS-i edastatavate dokumentide nimekirjale ja andmekoosseisudele (TTKS § 592 lg 1). Patsiendile osutatud tervishoiuteenuse kohta edastatakse tervishoiuteenuse osutaja poolt tervise infosüsteemi dokumendid, mille täpne loetelu on määratud. Dokumendid kattuvad Euroopa terviseandmeruumis tooduga, ainus põhimõtteline erinevus on radioloogiliste ülesvõtete pildid, mille kohta laekub täna tervise infosüsteemi vaid kirjeldus. Euroopa terviseandmeruumi rakendumisel tuleb lisada dokumentide nimekirja ka radioloogilised ülesvõtted ning need inimesele kättesaadavaks teha.
Patsiendil on õigus edastada tervise infosüsteemi isikuandmeid teenuste pakkumiseks ja temaga ühenduse võtmiseks, samuti parema tervishoiuteenuse saamiseks ja terviseseisundi hindamiseks, sealhulgas tarkvaralahenduse kasutamiseks.
Tervise infosüsteemi andmete juurdepääsuõigused on järgmistel isikutel: andmesubjektid ehk inimesed, kelle terviseinfo on süsteemis; tervishoiuteenuse osutajad ja tervishoiuteenuse osutamisel osalevad isikud (nt füsioterapeudid, tegevusterapeudid, kliinilised psühholoogid jne); riikliku ekspertiisiasutuste eksperdid (nt kohtupsühhiaatria ekspert kohtupsühhiaatriaekspertiisi tegemiseks); muud isikud eriseaduses sätestatud alusel (TTKS § 593 lg 6)8. Hädaolukorras ei ole tänase õigusruumi kohaselt võimalik arstil suletud dokumenditele ligi pääseda, kuid Euroopa terviseandmeruumi jõustumisel tuleb erandkordadeks selline võimalus luua ning TTKS-i muuta.
Andmesubjekti nõusolekuta väljastatakse tervise infosüsteemist andmeid ka teadus- ja ajaloouuringu ning riikliku statistika vajadusteks või süüteo- või kohtumenetluses tõe väljaselgitamiseks, Terviseametile ja Andmekaitse Inspektsioonile nende ülesannete täitmise tagamiseks ning muul juhul, kui tervise infosüsteemist andmete väljastamine või edastamine on seaduses sätestatud (TTKS § 593 lg 7).
Terviseandmete piiriüleseks vahetuseks kasutatakse digitaalset keskkonda, mis võimaldab andmevahetusplatvormi kaudu jagada patsiendi haigusloo kokkuvõtet ja elektroonilist retsepti. Piiriülene kasutus on võimalik riikidega, kes on andmevahetusplatvormiga liitunud. Andmevahetusplatvormi toimimise tagab Sotsiaalministeerium ning juurdepääs tagatakse kooskõlas Eesti ja välisriigi õigusega.
Määruse eelnõu kohaselt hõlmavad elektroonilised terviseandmed ka geneetilisi andmeid (art 2(2)), mida andmevaldajad on artikli 33 kohaselt kohustatud väljastama kooskõlas artiklis 34 toodud teisese andmekasutuse eesmärkidega. Eestis on IGUS alusel geeniandmete puhul andmevaldajaks Tartu Ülikool geenivaramu pidajana. Andmeruumi määruse eelnõus on andmete teisese kasutuse eesmärgid sätestatud laiemalt kui kehtivas inimgeeniuuringute seaduses, hõlmates lisaks näiteks toodete ja teenuste väljatöötamise ning algoritmide treenimise, testimise ja hindamise.
Inimgeeniuuringute seadus17 (IGUS § 16 lg 1) määratleb eesmärgid, milleks geenivaramu andmeid on lubatud kasutada. Geenivaramut võib kasutada üksnes teaduslikuks uurimistööks, geenidoonori haiguste uurimiseks ja raviks, rahva tervise uurimiseks ja statistilistel eesmärkidel. Geenivaramu kasutamine muul otstarbel, eriti tsiviil- või kriminaalprotsessis tõendite kogumiseks või jälitustegevuseks, on keelatud. Muudel eesmärkidel on geenivaramu andmeid lubatud kasutada vaid geenidoonori nõusolekul (IGUS § 16 lg 11). Seega Eesti geenivaramu, nagu ka teiste sarnase ülesehitusega biopankade esmane kasutuseesmärk juba ongi teadustegevus ja innovatsioon.
Seosed muude EL õigusalgatustega
Euroopa terviseandmeruumi õigusakti eelnõu on seotud mitmete kehtivate või menetluses olevate EL õigusaktidega:
• isikuandmete kaitse üldmäärus18
• meditsiiniseadmete määrus19
• in vitro diagnostikameditsiiniseadmete määrus20
• tehisintellekti määrus (eelnõu)21
• Euroopa andmehalduse määrus22
• Euroopa andmemäärus (eelnõu)23
• Euroopa digiidentiteedi raamistiku määrus (eelnõu)24
• küberturvalisuse direktiiv25
• piiriülese tervishoiu direktiiv26
• Euroopa kliimamäärus27.
Isikuandmete kaitse üldmäärus (IKÜM) annab üldise horisontaalse raamistiku isikuandmete kaitsele ELis. Euroopa terviseandmeruumi määrus toetub IKÜM sätetele ja täiendab neid, tagades inimestele juurdepääsu oma terviseandmetele. Lisaks luuakse Euroopa terviseandmeruumi määrusega üldine raamistik andmete teiseseks kasutamiseks, võttes arvesse IKÜM nõudeid. Seega Euroopa terviseandmeruumi õigusakti ettepanek täiendab määruses (EL) 2016/679 sätestatud õigusi ja tagatisi ning aitab kaasa nende praktilisele rakendamisele.
Andmeturbega seoses toetub Euroopa terviseandmeruumi määrus EL küberturvalisuse direktiivile (NIS) ning sätestab täiendavalt erinõuded terviseinfosüsteemide turvalisusele ja terviseandmete kasutamise turvalisuse tagamisele. NIS direktiiviga kehtestatakse ühiskonna ja majanduse jaoks olulise tähtsusega teenustele miinimumstandardid võrgu- ja infosüsteemide kaitseks ning selle kohaldamisalasse kuulub ka tervisesektor. Eestis reguleerib valdkonda küberturvalisuse seadus, mille eesmärk on tugevdada ühiskonna jaoks olulise tähtsusega teenuste osutamisel ning riigi ja kohaliku omavalitsuse üksuste töös kasutatavate võrgu- ja infosüsteemide turvalisust ning kaitset.
Euroopa terviseandmeruumi õigusakt on tihedalt seotud teiste EL andmestrateegiast tulenevate õigusalgatustega. Avaliku sektori andmete teiseseks kasutamiseks nähakse üldised sätted ette andmehaldust käsitlevas õigusaktis (DGA). Euroopa terviseandmeruumi õigusaktiga reguleeritakse spetsiifiliselt terviseandmete kasutamist ja selle kohaldamisalas on nii avaliku kui erasektori andmed. Seetõttu on oluline, et need õigusaktid oleksid omavahel hästi kooskõlas ja nende koostoimes rakendamine oleks võimalikult tõhus (näiteks pädevate asutuste tööjaotus ja kattuvuste vältimine).
Euroopa terviseandmeruumi õigusakti koosmõju Euroopa andmemäärusega (DA) on piiratud, kuna nende õigusaktide kohaldamisala on erinev. Andmemääruse ettepanekuga reguleeritakse andmetest saadud väärtuse õiglane jaotamine andmemajanduses osalejate vahel ning soovitakse saavutada ühtlustatud standardid tööstuslike seadmete, kodumasinate, autode ja muude nn asjade internetti kuuluvate toodete kasutamisel tekkivate andmete kasutamiseks. Tegemist on horisontaalse õigusaktiga, mis sätestab üldised andmete jagamise ja kättesaadavaks tegemise põhimõtted.
Euroopa terviseandmeruumi õigusakt toetab tehisintellekti määruse (AIA) eesmärke, võimaldades tervishoius kasutatavate tehisintellekti süsteemide arendajatel tõhusamalt täita tehisintellekti määruse kohustusi, eelkõige andmete haldamise ja andmekvaliteediga seotud kohustusi. Samuti nähakse ette koostöö Euroopa tehisintellekti nõukoja ja Euroopa terviseandmeruumi nõukogu vahel.
Terviseinfosüsteemide vastavushindamise ja järelevalve nõuete sätestamisel tuleb arvestada meditsiiniseadmete valdkonda reguleerivate EL määrustega EL/2017/745 (meditsiiniseadmed) ja EL 2017/746 (in vitro diagnostikameditsiiniseadmed). Digitaalsete terviseinfosüsteemide, mis on mõeldud füüsiliste isikute elektrooniliste terviseandmete salvestamiseks ja jagamiseks, koosseisu võivad kuuluda ka mitmed tarkvaralised lahendused, mis oma sihtotstarbest ja funktsioonidest tulevalt kuuluvad meditsiiniseadme definitsiooni alla ja sellest tulenevalt kohalduvad neile tarkvaralistele lahendustele meditsiiniseadmetele kehtestatud nõuded. Tervise infosüsteemide ja tarkvaraliste lahenduste klassifitseerimisel meditsiiniseadmena on endiselt palju halle alasid ja piiripealseid juhtumeid, mis vajavad eritähelepanu. Seetõttu on oluline, et piiripealsete juhtumite klassifitseerimiseks oleks tagatud Euroopa-ülese ekspertrühma ressurss ja koostöö jätkumine ja antud välja suunised piiripealsete juhtumite klassifitseerimiseks.
EELNÕU VASTAVUS SUBSIDIAARSUSE JA PROPORTSIONAALSUSE PÕHIMÕTTELE
Eelnõu õiguslikuks aluseks on EL toimimise lepingu artiklid 16 ja 114. Artikkel 16 annab liidule pädevuse võtta vastu eeskirju, mis käsitlevad üksikisikute kaitset isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes ning liikmesriikides liidu õiguse reguleerimisalasse kuuluvate tegevuste läbiviimisel, ja selliste andmete vaba liikumist käsitlevad eeskirjad. Artikkel 114 annab ELile pädevuse võtta meetmeid, mille eesmärk on siseturu rajamine ja toimimine. Andmekaitse ja siseturu valdkondades on ELil liikmesriikidega jagatud pädevus.
Ettepaneku eesmärgiks on võimaldada terviseandmete laialdasemat piiriülest kasutamist ning ühtsete standardite kehtestamise kaudu anda hoogu digitaalsete tervishoiuteenuste ja -toodete ühtse turu edendamisele Eelnõu on kooskõlas subsidiaarsuse põhimõttega, kuna seatud eesmärki ei ole võimalik saavutada üksnes liikmesriikide tasandil võetavate meetmetega ning eesmärgid on paremini saavutatavad EL tasandil. Samuti toetab ettepanek EL isikute vaba liikumise õiguse realiseerimist, võimaldades terviseandmetele juurdepääsu inimeste piiriülesel liikumisel ühest liikmesriigist teise.
Ettepaneku mõjuanalüüsis on komisjon jõudnud järeldusele, et ainult koostööl ja vabatahtlikkusel põhinevad tegevused ei võimalda luua vajalikke tingimusi terviseandmeruumi eesmärkide saavutamiseks ning liikmesriikide meetmetest üksi ei piisa.
Piiriüleste tervishoiuteenuste direktiivi (2011/24/EL) digitaalsete aspektide hindamine näitab praeguse vabatahtliku süsteemi vähest tõhusust. Peamised probleemid seisnevad selles, et üksikisikutel on piiratud kontroll oma terviseandmete üle riiklikul ja piiriülesel tasandil, digitaalsete terviselahenduste tootjad seisavad silmitsi takistustega teiste liikmesriikide turgudele sisenemisel ja üksikisikud ei saa kasu uuenduslikest ravimeetoditest, kuna teadlaste ja ettevõtjate juurdepääs terviseandmetele on piiratud.
Seni kasutatud lähenemisviisid, mis tuginevad peamiselt vabatahtlikule koostööle ning madala intensiivsusega pehmetele meetmetele, nagu koostalitlusvõimet toetavad suunised ja soovitused, ei ole andnud soovitud tulemusi (direktiivi 2011/24/EL artikli 14 hindamine). Üksikisikute juurdepääs oma elektroonilistele terviseandmetele ja nende kontroll on endiselt piiratud ning tervisevaldkonnas kasutatavate infosüsteemide koostalitlusvõimes on olulisi puudujääke. Lisaks on probleemide lahendamisel riiklikel lähenemisviisidel vaid piiratud ulatus ja need ei käsitle täielikult kogu ELi hõlmavat probleemi. Piiriülene terviseandmete vahetamine on praegu endiselt väga piiratud, mis on osaliselt seletatav terviseandmetele kohaldatavate standardite märkimisväärse mitmekesisusega. Näiteks kuigi elektrooniline terviselugu on olemas kahes kolmandikus liikmesriikidest, on piiriülese andmevahetuse platvormiga MyHealth@EU praeguseks liitunud ainult seitse liikmesriiki, et võimaldada piiriüleselt patsiendi koondandmete ja/või e-retseptide piiriülest vahetamist. Enamuses liikmesriikides on olemas ka tehnilist koostalitlusvõimet ja andmevahetust võimaldavad regulatsioonid ja meetmed ning ei ole õiguslikke takistusi elektroonilise terviseloo andmete jagamiseks üle riigipiiride. Samas on ainult neljas liikmesriigis kehtestatud eeskirjad, mis võimaldavad terviseandmetele digitaalset juurdepääsu, kui patsient soovib saada piiriülest tervishoiuteenust teises liikmesriigis.
EL isikuandmete kaitse üldmäärus annab üksikisikute ulatuslikud õigused oma andmetele juurdepääsu ja ülekantavusega seoses, kuid nende õiguste rakendamine praktikas on seni olnud takistatud tulenevalt liikmesriikides kehtivatest erinevates reeglitest ja terviseinfosüsteemide vähesest koostalitusvõimest (uuring määruse (EL) 2016/679 rakendamise kohta tervishoiusektoris). Lisaks vähendab isikuandmete kaitse üldmääruses sätestatud ülekantavuse õiguse kohaldamisala selle kohaldatavust tervishoiusektoris28. Seetõttu on vaja kehtestada täiendavad õiguslikult siduvad sätted ja kaitsemeetmed. Samuti on vaja töötada välja konkreetsed nõuded ja standardid, mis tuginevad elektrooniliste terviseandmete töötlemise valdkonnas sätestatud kaitsemeetmetele
Killustatus ja tõkked terviseandmetele juurdepääsul on takistuseks ka digitaalsete tervisetoodete ja -teenuste, sealhulgas tehisintellektil põhinevate toodete ja teenuste juurutamisel ja nende kasutamisel (direktiivi 2011/24/EL hindamine). Erinevused kohalikes, piirkondlikes ja riiklikes standardites ja spetsifikatsioonides on takistuseks digitaalsete tervishoiuteenuste ja -toodete tootjatele uutele turgudele sisenemisel ja mastaabiefekti saavutamisel, mis aeglustab digitaalsete lahenduste arendamist ja piiriülest kasutamist ning muudab nende rakendamise kulukamaks. Valdkonna reguleerimine EL tasandil on seega vajalik EL siseturu parema toimimise tagamiseks. Koostalitusvõimet tervishoiusektoris on seni käsitletud peamiselt mittesiduvate juhiste ja soovituste abil.
Enam kui pooltel liikmesriikidel puuduvad konkreetsed õigusaktid elektrooniliste terviseandmete taaskasutamise kohta, näiteks teadusuuringute, poliitikakujundamise või regulatiivsetel eesmärkidel. Üldjuhul tuginetakse isikuandmete kaitse üldmääruse üldistele sätetele ja sageli kasutatakse terviseandmete töötlemisel nõusolekupõhist lähenemist. Sellise olukorra tõttu on terviseandmete korduskasutamine piiratud.
Määruse (EL) 2016/679 artikli 9 lõike 4 kohaste riiklike erandite laialdane kasutamine on samuti tekitanud killustatuse ja andmetele juurdepääsu raskusi nii riiklikul tasandil kui ka liikmesriikide vahel. Teadlaste ja ettevõtjate piiratud võimalused teadus- ja arendustegevuste läbiviimiseks mõjutavad negatiivselt ka Euroopa majandust. EL ühtne raamistik soodustab juurdepääsu mitmete riikide erinevatele andmekogumitele, luues mastaabiefekti ning parandades seeläbi teadustulemuste täpsust ja representatiivsust kogu EL elanikkonna lõikes.
Ettepanekutega kavandatud meetmed on eesmärgi saavutamiseks proportsionaalsed ning võtavad arvesse EL ja liikmesriikide vahelist pädevuste jaotust. Näiteks tervise infosüsteemide sertifitseerimisel on valitud ettevõtjaid vähem koormavam enesesertifitseerimise skeem ning heaolurakenduste puhul vabatahtlik skeem. Liikmesriigid saavad jätkata oma digitaalsete tervishoiuteenuste ja andmebaaside korraldamist vastavalt oma vajadustele, lähtudes seejuures ühtsetest koostalitusvõime standarditest.
ESIALGSE MÕJUDE ANALÜÜSI KOKKUVÕTE
Sotsiaalne mõju
Euroopa terviseandmeruumi õigusaktil on oodatav positiivne sotsiaalne mõju üksikisikute õiguste parema tagamise, tervishoiusüsteemide tõhusama toimimise ning tervisealase teadus- ja arendustegevuse toetamise seisukohalt. Terviseandmete sihipärasel kasutamisel on potentsiaal muuta ravi tõhusamaks, kvaliteetsemaks, ohutumaks ja personaalsemaks ning parandada tervishoiuteenuste osutamist. Samuti toetab terviseandmete teadus- ja arendustegevuses kasutamise lihtsustamine uute ja tõhusamate meditsiinitoodete ja ravimeetodite kiiremat väljatöötamist.
Regulatsioon toetab üksikisikute suuremat kontrolli oma terviseandmete üle, luues võimaluse saada juurdepääs oma elektroonilistele terviseandmetele ning teha andmed kättesaadavaks tervishoiutöötajatele ja teistele tervise- ja sotsiaalteenuste osutajatele ühtses vormingus ka piiriüleselt. Isikuandmete kaitse vaatest kehtestab määrus võrreldes EL isikuandmete kaitse üldmäärusega21 isikutele konkreetsema ja ulatuslikuma õiguse pääseda ligi isiku enda tegevuse käigus loodud andmetele ja edastada neid kolmandatele isikutele. Seekaudu suurendab määrus isikute kontrolli oma andmete üle ning toetab EL põhiõiguste harta artikli 8 lõikes 1 sätestatud isikuandmete põhiõiguse kaitset.
Eestis võimaldatakse läbi keskse tervise infosüsteemi juba täna inimestele ligipääsu Eestis osutatud tervishoiuteenuse lähtedokumentidele. Inimese jaoks seisneb ühtse Euroopa terviseandmeruumi rakendumise lisandväärtus eelkõige võimaluses ja õiguses saada ülevaade ka teistes Euroopa Liidu riikides osutatud tervishoiuteenuste kohta, mille käigus paraneb üle- Euroopalisel liikumisel ravi järjepidevus ning väheneb ebavajalike kordusanalüüside ja –uuringute hulk.
Võimalus terviseandmetele juurde pääseda, neid analüüsida ja jagada muudab tervishoiu tõhusamaks, toetab paremaid meditsiinilisi otsuseid ja seeläbi parandab tervisenäitajaid. Tõhusam juurdepääs patsientide terviseandmetele muudab tervishoiutöötajate töö kergemaks ja tulemuslikumaks. Tervishoiutöötajate parem juurdepääs terviseandmetele loob muuhulgas eeldused tarbetute korduvuuringute vältimiseks, mis toob kasu patsientidele ja vähendab tervishoiukulusid. Terviseandmete kasutuse optimeerimine võib tuua märkimisväärset kasu ja parandada tervishoiusüsteemide tõhusust. Majanduskoostöö ja Arengu Organisatsiooni (OECD) hinnangul29 võib automaatsest andmete jagamisest saada muu hulgas otsest rahalist kokkuhoidu kuni 15 % haiglakuludest.
Ühtse Euroopa terviseandmeruumi raames saavad kasu ka teadlased, kelle jaoks muutub juurdepääs andmetele lihtsamaks tänu kesksete andmetele juurdepääsu asutuste määramisele ja ühtse andmeloa menetluse sisseviimisele. EL ühtne protsess ja raamistik võimaldab kokku hoida aega piiriüleste teadusprojektide jaoks nõusoleku saamiseks erinevatest EL riikidest. Teadlased saavad juurdepääsu suurele hulgale terviseandmetele ja võimaluse erinevate andmekogumite ühendamiseks, sealhulgas tervishoiuteenuste osutamise käigus saadavad reaalelu andmed ja tõendusmaterjal, mis võimaldavad läbimurde uuringuid ja uuendusi meditsiinis. Teadlased saavad lisaks Euroopa teadustaristutes juba kättesaadavatele andmetele võimaluse teada millised andmed on kättesaadavad, kus need asuvad ja milline on nende kvaliteet.
Mõju majandusele
Tervishoiuteenuste sektor moodustab ligikaudu 8 % ELi SKPst (2021) ja hõlmab nii avaliku kui ka erasektori teenuseosutajaid. See on oluline ökosüsteem nii eurooplaste heaolu kui ka ELi majanduse jaoks. Toimiv Euroopa terviseandmeruum võimaldaks ellu viia terviseandmetel põhineva majanduse potentsiaali. Komisjoni mõjuanalüüsi kohaselt on saadav majanduslik kogukasu 10 aasta jooksul eeldatavasti üle 11 miljardi euro.
Ühtne Euroopa terviseandmeruum ühendab terviseandmete esmaseks kasutuseks kolm peamist toodete turgu: 1) digitaalsed terviselood; 2) muud tervise- ja meditsiinitarkvara tooted (näiteks meditsiiniliste ülesvõtete tarkvara, digiretseptide loomise tarkvara, meditsiinilise diagnoosimise tarkvara ja telemeditsiin) ning 3) heaolurakendused.
Tööstussektor saab kasu ühtsetest koostalitlusvõime ja turvalisuse standarditest ja spetsifikatsioonidest kogu Euroopas, millega avatakse uusi turge, sealhulgas VKEdele. Samuti saab sektor kasu andmetest, mis võivad aidata neil välja töötada uusi ravimeid või uusi tehisintellektiga seotud lahendusi. Tööstusel on võimalik kasutada andmeid innovatsiooniks, arendada tooteid, mis võiksid parandada inimeste tervist ning toota uusi ja uuenduslikke ravimeid, seadmeid ja rakendusi, mis võivad aidata pakkuda paremat ja personaalsemat ravi. Selge ja üheselt arusaadav protsess terviseandmete teiseseks kasutuseks kogu Euroopa Liidus harmoniseeriks nende töökorraldust ning aitaks kokku hoida aega kui andmeid on vaja mitmest asutusest või mitmest riigist.
Terviseandmete korduskasutamise väärtus on hinnanguliselt 25–30 miljardit eurot aastas. Kümne aasta jooksul peaks see arv jõudma ligikaudu 50 miljardi euroni. Eeskirjade, struktuuride ja protsesside keerukus ning nende erinevused liikmesriikide sees ja vahel teevad terviseandmete hõlpsa kättesaamise ja jagamise siiski keeruliseks. Erilise barjääri tekitab riikide killustatus terviseandmetele rakenduva andmekvaliteedi ning standardite nõuete puudus, mis takistab andmete semantilist ja tehnilist koostalitlust. See takistab tervishoiuteenuste osutamist ja innovatsiooni, mistõttu patsiendid ei saa selle võimalustest kasu. Lisaks on tervishoiusüsteemid muutumas küberrünnete sihtmärgiks. Seetõttu peavad tervishoiusektor ja asjaomased küberturvalisuse asutused käsitama küberturvalisust olulise tegurina peamiste tervishoiuteenuste vastupidavuse ja kättesaadavuse tagamisel.
Patsientide ja tervishoiusüsteemide jaoks võib tervishoiuteenuste osutajate suurem koostalitlusvõime terviseandmete osas tuua kaasa märkimisväärse kokkuhoiu, arvestades, et ligikaudu 10 % ELi liikmesriikides tehtud piltdiagnostikast (milleks kulub ligi 14 miljardit eurot aastas) peetakse tarbetuks. Samuti võiks digiretseptide abil vähendada meditsiinitoodete väljastamise vigu keskmiselt 6 %7 ja rohkem digitaliseeritud riikides kuni 15 %8 võrra. Samuti prognoositakse, et Euroopas rakenduse MyHealth@EU süstemaatiline kasutamine piiriüleses kontekstis võiks piiriüleste digiretseptide teenuste abil summaarselt kokku hoida 2–3 miljardit eurot (mis vastab täiendavale ravimite väljastamisele 37–52 miljoni euro eest kümne aasta jooksul).
Digitaalsel tervishoiutööstusel on probleeme uute toodete ja teenuste turule laskmisega, arvestades andmete säilitamise ja jagamise standardite ja spetsifikatsioonide killustatust. Sageli sunnib see tervishoiuteenuste osutajaid võtma vastu uusi standardeid, mis takistavad uusi turule tulijaid. Eri organisatsioonide standardid ja spetsifikatsioonid on erinevad. Seetõttu ei saa paljud digitaalsete tervishoiutoodete tootjad ja digitaalsete tervishoiuteenuste osutajad turustada oma tooteid ja teenuseid teistes liikmesriikides, ilma et sellega kaasneks lisakulu nende kohandamiseks riiklikele standarditele. Lisaks mõjutab meditsiinitööstuse innovatsioonisuutlikkust see, et terviseandmetele on keeruline teiseseks kasutuseks juurde pääseda.
Vaatamata märkimisväärsetele edusammudele Euroopa teadustaristu rajamisel on teadlastel ja novaatoritel endiselt probleeme juurdepääsuga kriitilise tähtsusega andmetele, mille abil saab teadustulemused kiiremini patsientidele kasulikuks muuta. See on viinud näiteks Euroopa COVID-19 andmeplatvormi loomiseni. Terviseandmete taaskasutamise õigus- ja halduseeskirjad, raamistikud, protsessid, standardid ja taristu on killustatud ja erinevad ning see piirab teadlaste ja novaatorite juurdepääsu terviseandmetele. Samuti piirab see uuenduslike tervishoiutoodete ja -teenuste kättesaadavust.
Mõju riigiasutuste ja kohaliku omavalitsuse asutuste korraldusele, kuludele ja tuludele
Määruse rakendamisega kaasnevad liikmesriikide ametiasutustele finants- ja halduskulud. Määrusega nähakse ette, et liikmesriigid peavad määrama digitaalse tervishoiu asutuse ja terviseandmetele juurdepääsu asutuse ning sätestab nende asutuste täidetavad ülesanded. Eestis hakkavad ülesandeid täitma eelduslikult erinevad riigiasutused, sealhulgas juba täna keskseid e-tervise lahendusi pakkuv Tervise ja Heaolu Infosüsteemide Keskus (TEHIK). Lisanduvate ülesannetega seoses on oodata nendes asutustes töökoormuse kasvu ja võib kaasneda täiendava personali vajadus. Nende ülesannete täitmiseks võib ilmneda ka vajadus luua uusi struktuure või laiendada olemasolevaid ja vaadata üle olemasolevate riigiasutuste ülesannete jaotus.
Peamised kulud tulenevad EHDS-i toetava digitaalse infrastruktuuri kasutuselevõtust. See hõlmab MyHealth@EU katvuse lõpuleviimist ja vajaliku digitaalse infrastruktuuri täielikku kasutuselevõttu, mis ühendab terviseandmetele juurdepääsu asutusi, teadusuuringute infrastruktuure ja ELi asutusi. Kulusid peaksid kaasnema ka koostalitlusvõime edendamiseks kohustusliku sertifitseerimise ja vabatahtlike märgiste kaudu. Eelistatava variandi kogukulud Euroopas on 10 aasta jooksul eeldatavalt 0,7–2,5 miljardi euro võrra suuremad kui lähteväärtus.
ELi tasandil on ühtse Euroopa terviseandmeruumi toetamiseks ette nähtud 810 miljonit eurot. Ühtse Euroopa terviseandmeruumi tegevustele ja taristutele on eraldatud üle 330 miljoni euro: 280 miljonit eurot programmist „EL tervise heaks“ ja lisaks 50 miljonit eurot programmist „Digitaalne Euroopa“. Euroopa komisjoni poolt viidatud hinnangus nimetatud finantsinstrumentide vahendite ulatus ei ole Euroopa terviseandmeruumi siseriiklikuks rakendamiseks ette prognoositavad. Vajalikud vahendid tuleb täiendavalt ette näha nii määruse rakendamisest tulenevate investeeringute kui halduskulude tagamiseks.
Esmase ja teisese andmekasutusega seonduvad kulud võib jaotada kaheks: IT arenduskulud ning administratiivse haldusprotsessiga seotud kulud. Arenduskulude alla kuuluvad nii andmejagamisteenuse väljaarendamine kui ka andmekogude juures vajalike arenduste tegemine andmejagamisteenusega liidestumiseks, andmepäringute tegemiseks, andmete anonümiseerimiseks, turbetestid ja muu. Andmekogu halduskulud kätkevad endas andmepäringute sisulist läbivaatamist ja hindamist, andmejagamisteenuse arendamist ja projektijuhtimist, andmejagamisteenuse kasutajate taustakontrolli, andmeteenuse defineerimist, lepingute sõlmimist ja palju muud, mis on varasemalt kirjeldatud ka andmehalduse eelnõu seletuskirjas. Näiteks lisandub täiesti uue ülesandena andmekasutuse taotluste menetlemine ja lubade väljastamine. Eelduslikult suureneb ka andmete ettevalmistamise ja väljastamisega seotud ressursivajadus. Täna on TEHIKus u 1,5 ametikohta andmepäringutele vastamiseks, aastas esitatakse alla 10 suurema andmepäringu. Määruse jõustumisel eeldatavasti andmepäringute maht kasvab, kuid mahtu ei ole võimalik hetkel ette prognoosida. Soome kogemus näitab, et esimesel teisese andmekasutuse süsteemi käivitamise kahel esimesel aastal on esitatud 500 loataotlust. Samuti näitab Soome kogemus, et 80% andmeteenuste pakkumisega seotud kuludest langeb andmekogu juurde (nt TEHIK), ja 20% andmete väljastusega tegeleva keskse andmelubasid menetleva organisatsiooni juurde. Ehk keskse andmelubade asutuse loomine ei elimineeri andmekogu juures tekkivaid kulusid.
Võimalikke kulusid terviseandmete juurdepääsu asutusele aitab osaliselt katta vastavalt artiklile 42 terviseandmete teiseseks kasutuseks kättesaadavaks tegemise eest ette nähtud tasud. Siiski realistlikult ei kata need tasud investeeringuid ja halduskulusid tervikuna.
Oluline on välja tuua, et määrusega kaasneb märkimisväärne halduskoormus liikmesriikide määratud pädevatele asutustele (nt TEHIK), kes vastutavad andmejagamisteenuse osutajatele ja andmealtruismi organisatsioonidele kehtestatud nõuete täitmise järelevalve eest. Samal ajal kaasneb määruses toodud nõuete täitmise näol märkimisväärne halduskoormus ka kõigile andmejagamisteenust osutavatele isikutele ning andmevaldajatele, kes on kohustatud andmeid teiseseks kasutuseks võimaldama.
Eestis ei ole praegu sellisel kujul andmekasutuse lubade süsteemi. Määruse kohaselt tuleb määrata terviseandmetele keskne juurdepääsu asutus, millel on keskne roll andmelubade protsessi haldamisel ning andmete väljastamisel. Kuna Eesti ei toeta määruses välja pakutud väiksemate tervishoiuasutuste ülesannet tagada andmete väljastamine, siis saab keskse juurdepääsu asutuse ülesandeks andmelubade tsentraalne haldamine. Eestis on veel otsustamisel andmelubade väljastamise üldine korraldus, sest tulenevalt Euroopa andmehaldust reguleeriva määruse rakendamisest tuleb muuta üldise andmeväljastuse senist korraldust ning andmelubade haldamistega tegeleb tulevikus Statistikaamet teabevärava kaudu. Euroopa terviseandmeruumi rakendusaktide väljatöötamise järgselt on Eestil vajalik otsustada, kas andmelubade haldus hakkab tervishoius toimuma eraldi.
Täiendavat ressurssi nõuab riigi tasandil ka andmekvaliteedi tagamine, mis on Euroopa terviseandmeruumi toimimise üheks põhieelduseks. Eestis on teisese andmekasutuse laiendamisel üheks piiravaks teguriks valdkonna spetsialistide vähesus. Pikemas perspektiivis on seega vajalik andmeanalüütikute koolitamine ja valdkondliku kompetentsi tõstmine. Soome kogemusele tuginedes on andmete teisest kasutust võimaldavate menetluste ja keskkondade kasutuselevõtmisel ja käivitamisel oluline osa ka andmekasutajate (nt teadlased, ettevõtjad) toetamisel ja nõustamisel.
Täiendav halduskoormus kaasneb määruse rakendamisel ka turujärelevalve korraldamisega seoses. Eestis tuleb üle vaadata ja täpsustada järelevalveasutuste (Tarbijakaitse ja Tehnilise Järelevalve Amet, Terviseamet, Andmekaitseinspektsioon) vaheline ülesannete jaotus ja ette näha täiendavad ressursid. Euroopa terviseandmeruumi regulatsiooni kohaselt võib turujärelevalve asutuseks olla ka digitaalse tervishoiu asutus ning turujärelevalve asutuste ülesanneteks saab muu hulgas ka digitaalsete tervise infosüsteemidest tulenevate ohtude ja ohujuhtumite käsitlemine.
Toote nõuetele vastavuse seaduse tähenduses tarbijale mõeldud toodete osas teostab Eestis turujärelevalvet Tarbijakaitse ja Tehnilise Järelevalve Amet, meditsiiniseadmete turujärelevalvet teostab Terviseamet. Turujärelevalveasutused teevad piiriülest koostööd, kuid riiklikku järelevalvet teostavad järelevalveasutused üksnes oma riigi territooriumil. Määruse rakendamisest tulenevad ülesanded turujärelevalve korraldamisel nt meditsiiniseadme regulatsiooni kohaldamisalasse kuuluvate digitaalsete tervise infosüsteemidega seotud ohtude ja ohujuhtumite käsitlemise osas toovad turujärelevalveasutusele lisaülesanded, mh täiendava aruandluskohustuse. Heaolurakenduste turujärelevalve osas lisandub vabatahtliku märgistamise korral märgise nõuetele vastavuse kontrollimine.
Mõju elu- ja looduskeskkonnale
Andmete esmane ja teisene taaskasutus (nii piiriülene kui Eesti sisene) võimaldab vähendada energiakulu ning keskkonna jalajälge tervikuna30. Keskkonnamõju hindamine kooskõlas Euroopa kliimamäärusega31 näitas, et käesoleva ettepaneku mõju kliimale ja keskkonnale oleks piiratud. Kuigi uued digitaristud ning andmeliikluse ja -salvestuse mahtude suurenemine võivad suurendada digisaastet, korvaks tervishoius saavutatav suurem koostalitlusvõime suurel määral sellise negatiivse mõju, vähendades reisimisega seotud saastet ning energia- ja paberikasutust.
Mõju riigi julgeolekule ja välissuhetele
Euroopa terviseliidu kontekstis toetab ühtne Euroopa terviseandmeruum ELi tervisealasteks hädaolukordadeks valmisoleku ja neile reageerimise asutuse (HERA)32 tööd. Seoses Euroopa vähktõvevastase võitluse kava33, ELi vähiuuringute missiooni34 ja Euroopa ravimistrateegiaga35 aitab ühtne Euroopa terviseandmeruum parandada vähktõve mõistmist, ennetamist, varajast avastamist, diagnoosimist, ravi ja seiret ELi-sisese turvalise piiriülese juurdepääsu kaudu füüsiliste isikute terviseandmetele, sealhulgas vähiga seotud andmetele, ning nende andmete operatiivse jagamise kaudu tervishoiuteenuse osutajate vahel.
Määruse artikkel 50 rakendamine tagab turvalise töötlemiskeskkonna, turvameetmetele vastavuse ja jälgimise, et ennetada võimalikke julgeolekuohte. Terviseandmetele juurdepääsu asutused tagavad turvaliste andmetöötluskeskkondade korrapärase auditeerimise. Kuna komisjon kehtestab rakendusaktidega turvalistele töötlemiskeskkondadele kohaldatavad tehnilised, infoturbe- ja koostalitlusnõuded, siis tuleb tagada siseriiklikud instrumendid ja võimekus nõuete rakendamiseks. Algatus hoogustab piiriülest teadus- ja kliinilist koostööd ning tervisevaldkonna innovatsiooni.
EESTI SEISUKOHAD JA NENDE PÕHJENDUSED
I ptk mõisted ja reguleerimisala
1. Eesti toetab ühtse Euroopa terviseandmeruumi toimimiseks vajaliku õigusraamistiku kehtestamist EL tasandil, mis hõlmab nii esmast kui teisest terviseandmete kasutamist.
Põhjendus
Eesti toetab ettepanekut luua vajalik õigusraamistik andmete esmaseks ja teiseseks kasutamiseks Euroopas. Paljudes Euroopa riikides on viimastel aastatel tehtud edusamme tervisesüsteemide digitaalse üleminekuga seoses, näiteks on loodud elektrooniliste terviseandmete vahetamise süsteemid ja kasutusele võetud digitaalsed retseptid. Eestis on digitaalne tervise infosüsteem kasutusel aastast 2008 ning Eesti on liitunud üle-euroopaliste algatustega digitaalse retsepti ja patsiendi terviseandmete kokkuvõtte piiriüleseks jagamiseks. Samas on areng eri riikides olnud ebaühtlane ja vabatahtlik koostöö ei ole seni aidanud kaasas käia tulevikuvajadustega ja tehnoloogia arenguvõimalustega. EL tasandi õigusraamistik loob täiendavaid stiimuleid, et muuta terviseandmed paremini juurdepääsetavaks ja kasutatavaks patsientidele ja tervishoiutöötajatele, aga ka teadlastele, ettevõtjatele, riigiasutustele ja teistele, kes terviseandmeid turvaliselt ja andmekaitse nõuetega kooskõlas kasutades saavad luua lisaväärtust. Kõige suuremat arenguhüpet ongi toimiva terviseandmeruumi loomisel oodata terviseandmete teiseses kasutamises teadusuuringutes, innovatsioonis, poliitikakujundamises ja reguleerivas tegevuses.
Ühtse Euroopa terviseandmeruumi rakendamiseks loodava õigusruumi aluspõhimõtted on kooskõlas teiste Euroopa Liidu ning siseriiklike andmete valdkonda puudutavate õigusaktide ja nõuetega. ELis on vastu võetud või menetluses mitmeid andmemajandusega seotud õigusakte, mis loovad andmeturuga seotud üldise raamistiku (vt eespool seosed muude EL õigusalgatustega). Eraldi terviseandmeid käsitlev EL regulatsioon on vajalik, et täpsustada valdkonnaülestes õigusaktides kehtestatud raamistiku ja reeglite kohaldumist, arvestades tervisesektori spetsiifikat. Euroopa terviseandmeruumi õigusalgatuse eesmärk on soodustada terviseandmete kasutamist, luua liikmesriikides ühetaolised tingimused ja taristu andmetele juurdepääsuks ning tervise infosüsteemide koostalitusvõime tagamiseks vajalik raamistik riigisisese ja piiriülese andmevahetuse toetamiseks. Ühtsete standardite kehtestamine ja turujärelevalve süsteemi loomine aitab edendada digitaalsete terviseinfosüsteemide ja innovaatiliste digitaalsete tervisetehnoloogiate ühtset turgu.
Lisaks regulatsioonile eeldab ühtse Euroopa terviseandmeruumi toimimine investeeringuid riiklikul ja ELi tasandil ning tihedat avaliku ja erasektori ning teadusasutuste koostööd. Terviseandmeruumi toimimiseks on oluline, et süsteem oleks inimeste jaoks usaldusväärne. Rõhku tuleb panna nii küberturvalisuse parandamisele kui teadlikkuse tõstmisele. Usaldust aitab tõsta ka see, kui inimestel on võimalus kontrollida oma andmetele juurdepääsu ja näha kes on andmeid kasutanud.
Euroopa terviseandmeruumi regulatsioon peaks looma EL tasandil vajaliku raamistiku ja ühtsed põhimõtted, et ELi ühtse lähenemise kaudu oleks tagatud terviseandmete koostalitusvõimelisus ja võimalikult ühetaoline lähenemine andmete kasutamisega seotud põhiõigustele ja kohustustele. Samas peaks liikmesriikidele jääma ka vajalik paindlikkus riigisiseselt andmehaldust korraldada, arvestades riigikorralduse ja tervishoiukorralduse eripärasid. Teatud juhtudel tuleks EL tasandil piirduda üldiste põhimõtete sätestamisega ja detailid võib jätta liikmesriikide reguleerida, näiteks liikmesriikide tervishoiukorraldusest tulenev andmete teisese kasutamise rakendamine.
2. Peame oluliseks, et terviseandmeruumi regulatsioon tugineks EL andmestrateegia üldistele põhimõtetele ja oleks tagatud selle tõhus koostoimimine teiste EL õigusaktidega. Õigusselguse seisukohalt peab Eesti vajalikuks täpsustada määruses kasutatavaid mõisteid ja terviseandmeruumi määruse koostoimimist teiste juba kokku lepitud või veel läbirääkimisjärgus olevate EL õigusaktidega, sh meditsiiniseadmete määrus, andmemäärus, andmehalduse määrus ja tehisintellekti määrus.
Põhjendus
ELis on vastu võetud või menetluses mitmeid andmemajandusega seotud õigusakte, mis loovad andmeturuga seotud üldise raamistiku. Eelkõige omavad puutumust isikuandmete kaitse üldmäärus (IKÜM), võrgu- ja infosüsteemide turvalisuse direktiiv (NIS), andmemäärus, andmehalduse määrus ja tehisintellekti määrus. Kooskõlas andmemääruse seisukohtadega toetab Eesti valdkondlikke EL õigusakte, milles on oluline täpsustada andmete skoopi, milliseid andmeid ja millistes suhetes on andmevaldajatel kohustus jagada ning millistel tingimustel ja viisil.
Õigusselguse tagamiseks peaks komisjon tegema täpsema õigusanalüüsi selgitamaks, millistes artiklites täiendab ühtne Euroopa terviseandmeruumi määrus varasemalt vastu võetud õigusakte, sh isikuandmete kaitse üldmäärus (IKÜM) ja meditsiiniseadmete regulatsioon (määrused EL/2017/745 ja EL/2017/746). Praegusel kujul sisaldab ühtse Euroopa terviseandmeruumi määrus mitmeid kordusi, mida õigusselguse huvides tuleks vältida.
Mõnede artiklis 2 toodud mõistete definitsioonid vajavad eelnõus täpsustamist, et määruse kohaldamisala ja eesmärgid oleks üheselt tõlgendatavad. Mõistete ebaselgust ja vastuolulisust IKÜM-iga illustreerib määruse ettepaneku keskne mõiste "andmevaldaja". Nii on määruse ettepanekus teisese andmekasutuse kohustusega hõlmatud kõik andmevaldajad, kelleks on füüsilised või juriidilised isikud, kes on tervishoiu- või hooldussektori üksus või asutus või kes teostab nende sektoritega seotud teadusuuringuid, samuti liidu institutsioon, organ või asutus, kellel on käesoleva määruse, kohaldatava liidu õiguse või liidu õigust rakendavate siseriiklike õigusaktide kohaselt õigus või kohustus või isikustamata andmete puhul toote ja sellega seotud teenuste tehnilise kavandi kontrollimise kaudu õigus teha teatavad andmed kättesaadavaks, sealhulgas neid registreerida, pakkuda või vahetada või piirata neile juurdepääsu. IKÜM-i kohaselt saaks kohustatud isikuks olla ainult vastutav töötleja, kuid määruse ettepanekus taolist selgust ei ole, sest määrus loob eraldiseisva otsekohalduva kohustuse kõikidele terviseandmete ja tervisega seotud andmete andmevaldajatele. Lisaks tuleks täpsustada eelnõus mõistega „terviseandmete esmane kasutamine“ seotud põhjenduspunkti ning viia see kooskõlla artiklis 2 lg 2 p 2) toodud mõistega.
Oluline on, et erinevate EL regulatsioonide kohaldamisalasse jäävatele toodetele rakenduvad nõuded oleksid tootjatele üheselt arusaadavad. Eelnõus kasutatakse mõisteid „turul kättesaadavaks tegemine“, „turule laskmine“, „turujärelevalve“, „turujärelevalveasutus“, „nõuetele mittevastavus“, „tootja“, „importija“, „turustaja“, „ettevõtja“, „parandusmeetmed“, „oht“, „tagasivõtmine“ ja „turult kõrvaldamine“ kooskõlas määruse (EL) 2019/102036 määratlustega. Defineerimata on mõiste „volitatud esindaja“, mis tuleb samuti defineerida, eriti arvestades, et eelnõus on artiklis 18 sätestatud volitatud esindaja roll erinev määruses (EL) 2019/1020 nimetutud volitatud esindaja rollist ehk tavapärastest Euroopa Liidu õigusaktidega ühtlustatud toodetega seotud volitatud esindaja rollist.
Samuti peame vajalikuks täpsustada uue regulatsiooni koostoimimist meditsiiniseadmete valdkonda reguleerivate õigusaktidega (eelkõige määrusega EL/2017/745). Eelnõu kohaselt ei mõjuta Euroopa terviseandmeruumi määrus meditsiiniseadmetele kohaldatavaid reegleid ning andmeruumi õigusaktiga terviseinfosüsteemidele sätestatavad turvalisuse ja koostalitusvõime nõuded on meditsiiniseadmetele esitatavaid nõudeid täiendavad. Leiame siiski, et tootjatel peab olema õigusselgus millised õigusaktid ja nõuded neile kohalduvad, eriti arvestades halle alasid tarkvaraliste lahenduste klassifitseerimisel meditsiiniseadmena. Selleks tuleks andmeruumi määruses täpsustada kuidas täiendavaid nõudeid ja kohustusi rakendatakse koosmõjus meditsiiniseadmete määrusega. Enamus tervishoiuteenuse osutajate kasutatavaid infosüsteeme (nt haiglate ja perearstide terviseinfosüsteemid) ei klassifitseerita meditsiiniseadmena. Samas sõltub see infosüsteemi konkreetsetest funktsioonidest, mis võivad sisaldada ka meditsiiniseadme definitsioonile vastavaid komponente, kui andmeid töödeldakse viisil, millega kaasneb näiteks diagnoosimisega või raviga seotud soovituste tegemine. Näitena võib tuua Eesti Tervishoiu Pildipanga digitaalse pilditöötlussüsteemi, mis on klassifitseeritud IIa klassi kuuluva meditsiiniseadmena. Lisaks, meditsiiniseadmete määruse kohaselt ei laiene madalaimasse I riskiklassi kuuluvatele meditsiiniseadmetele kolmanda osapoole sertifitseerimise kohustus ning nende seadmete puhul on nõutav üksnes tootja vastavusdeklaratsioon. Sarnaselt on ka terviseinfosüsteemide puhul ette nähtud kohustusliku tootja vastavusdeklaratsiooni koostamine ja terviseandmeruumi määrus ei peaks I klassi meditsiiniseadmetele sätestama rangemaid vastavushindamise nõudeid. Näiteks teavitamiskohustusega seoses ei ole hetkel I klassi meditsiiniseadmete levitajatel kohustust teavitada meditsiiniseadme Eestis levitamisest meditsiiniseadmete ja abivahendite andmekogus (MSA), mistõttu turujärelevalve I klassi meditsiiniseadmete osas on raskendatud, kuna puudub piisav ülevaade Eesti turul olevatest meditsiiniseadmetest. Eestis on kavas teavitamiskohustus I klassi meditsiiniseadmete levitajatele sisse viia, kui Euroopa meditsiiniseadmete andmebaas Eudamed on saavutanud täisfunktsionaalsuse ja I klassi meditsiiniseadmed on nõuetekohaselt Eudamedis registreeritud, mis lihtsustab teavitamistoimingute teostamist riiklikus andmekogus, mis liidestatakse Eudamediga. Peame oluliseks, et Euroopa andmeruumi määruse alusel loodav terviseinfosüsteemide EL andmebaas ja Eudamed meditsiiniseadmete andmebaas oleks omavahel hästi liidestatud ja võimaldaks turvalist andmete ristkasutust.
3. Terviseandmeruumi toimimiseks vajaliku piiriülese taristu ja tehniliste komponentide väljatöötamisel tuleks võimalikult suures osas ära kasutada Euroopa Liidus juba loodud keskseid lahendusi ja põhikomponente. Näiteks peame oluliseks, et e-identimise süsteemid tugineksid eIDAS regulatsioonile ja selle rakendamiseks loodud EL taristule, vältida tuleks eraldi e-identimise süsteemide loomist terviseandmetele juurdepääsuks.
Põhjendus
Määruse ettepanek viitab Euroopa Parlamendi ja nõukogu määruses (EL) nr 910/201437 sätestatud tingimustele, mille alusel liikmesriigid tuvastavad füüsilisi isikuid piiriülestes olukordades teise liikmesriigi väljastatud identimisvahendite abil. Seejuures on kehtestatud eeskirjad selliste e-identimise vahendite vastastikuseks tunnustamiseks. Vältimaks loata juurdepääsu terviseandmetele tuleb ühtse Euroopa terviseandmeruumi raames tagada turvaline juurdepääs elektroonilistele terviseandmetele, sealhulgas piiriülestes olukordades, kus tervishoiutöötaja ja patsient asuvad eri liikmesriikides. Asjatute lisakulutuste vältimiseks ning turvalisuse tagamise aspektist on oluline, et identimissüsteemide rakendamisel kasutataks ära juba Euroopas loodud ja üheselt vastu võetud eIDAS regulatsioonile vastavaid komponente. Eesti ei toeta terviseandmetele ligipääsemiseks eraldi identimissüsteemide loomist, kuna see tooks endaga kaasa põhjendamatuid lisakulutusi ning võib osutuda oluliseks barjääriks inimestele enda terviseandmete haldamisel ning tervishoiutöötajatele andmetele ligipääsemisel ning seega kvaliteetse tervishoiuteenuse osutamisel. Tulenevalt asjaolust, et terviseandmed on eriliigilised andmed tuleks tagada, et terviseandmetele juurdepääs oleks võimaldatud identimisvahenditega, millel on kõrgem38 tase.
4. Peame Euroopa terviseandmeruumi loomisel oluliseks terviseandmete kasutamise turvalisust ja usaldusväärsust. Terviseandmete töötlemise turvalisuse tagamisel ja rakendusaktides täpsemate nõuete sätestamisel tuleks lähtuda võrgu- ja infosüsteemide turvalisuse direktiivis (NIS direktiiv) sätestatud üldistest küberturvalisuse nõuetest. Terviseandmeruumi määruses valdkondlikust spetsiifikast tulenevate täiendavate nõuete kehtestamisel tuleks vältida dubleerivaid kohustusi.
Põhjendus
Euroopa terviseandmeruumi aluspõhimõtted on turvalisus ja privaatsus. Ettepanekuga kehtestatakse lisaks digitaalsete tervise infosüsteemide koostalitlusvõimele ka nende turvakriteeriumid. Andmete töötlemisega seotud turvariskide maandamiseks nähakse eelnõus ette turvaliste töötlemiskeskkondade kasutusele võtmine ja sätestatakse põhinõuded nende turvalisusele (art 50 lg 4).
Eestile on oluline ühtse Euroopa terviseandmeruumi rakendamisel tagada isikuandmete kaitse, säilitada usaldus digitaalsete terviseteenuste kasutamiseks ja inimeste kindlustunne andmete piiriüleseks vahelduseks ning veenduda, et inimestel on vajalikud digitaalsed oskused teenuse kasutamiseks. Isikuandmete kaitse aspektist on vajalik tagada nii inimeste kui tervishoiutöötajate sihipärane süsteemi kasutus ning võimaldada ligipääs ainult volitatud isikutele. Seda tagab kasutajate autentimine ühtsete nõuete alusel ning tervise infosüsteemi salvestuvad logid tervise infosüsteemis tehtud tegevuste kohta. Lisaks ühtse Euroopa terviseandmeruumi määrusest tulenevatele küberturvalisuse nõuetele tulenevalt, rakenduvad täiendavad küberturvalisuse nõuded ka riigisiseselt. Näiteks peavad perearstid oma infosüsteemides rakendama alates 2024.a Eesti infoturbestandardit (E-ITS).
Artikli 23 kohaselt sätestab komisjon terviseinfosüsteemidele (electronic health record system - EHR) nõuded, sh turvalisusega seoses (art 3 (e)). Turvalisuse nõuded on toodud ka eelnõu II lisa p. 1.4 ja p.3, kus nähakse ette baasnõuded. Kuna täpsemad nõuded on määruse eelnõu kohaselt paljuski jäetud rakendusaktide tasandil reguleerimiseks ning komisjonile antakse volitus tehniliste tingimuste väljatöötamiseks, siis on praeguses staadiumis keeruline hinnata kuidas uued nõuded hakkavad seostuma uue võrgu- ja infosüsteemide turvalisuse direktiiviga (NIS2). Rakendusaktide väljatöötamisel on oluline kaasata liikmesriikide vastava valdkonna eksperte tagamaks üle-euroopaliste kehtestatud nõuete vastavust Eestis kehtestatud miinimumnõuetele olukorras, kus Eesti terviseandmeid saab hakata kasutama ka piiriüleselt. Samuti tuleb tagada küberturbenõuete regulaarne ülevaatamine, sest tehnoloogiad on pidevalt arenemises.
II ptk esmane kasutus
5. Eesti toetab üldpõhimõttena isikuandmete kaitse üldmääruses sätestatud füüsiliste isikute õiguste täpsustamist Euroopa terviseandmeruumi määruses, et aidata kaasa isikuandmete kaitse üldmääruse ühetaolisele rakendamisele kõikides liikmesriikides. Peame oluliseks isikute õigust saada juurdepääs oma terviseandmetele, neid lisada ja parandada ning kontrollida andmete kasutamist, sh võimalust andmeid jagada tervise- ja sotsiaalsektori teenuse osutajatega või piirata nende kasutamist, sealhulgas piiriüleselt.
Põhjendus
Oluline aspekt eelnõu juures on paremate tingimuste loomine selleks, et inimestel oleks võimalik olla senisest enam kaasatud oma tervisega seotud otsuste tegemisse (patsientide võimestamine). Seda eesmärki teenivad andmetele juurdepääsu, ülekandmise ja jagamisega seotud õiguste sätestamine, samuti õigus oma terviseandmeid lisada ja vigade korral nõuda nende parandamist.
Isikuandmete kaitse üldmääruse (IKÜM) artikli 15 kohaselt on kõikidel andmesubjektidel (sh patsientidel tervishoiuteenuse osutamise raames, kus vastutavaks töötlejaks on tervishoiuteenuse osutaja) õigus tutvuda oma andmetega (art lg 1) ja saada ka andmetest koopia (art 15 lg 3). Seejuures täpsustab üldmäärus, et kui andmesubjekt esitab taotluse elektrooniliselt, esitatakse ka teave üldkasutatavate elektrooniliste vahendite kaudu, kui andmesubjekt ei taotle teisiti. Seega äärmiselt oluline on, et terviseandmeruumi määruse ja IKÜM-i normide omavaheliste seoste osas valitseks selgus ja üheselt mõistetav oleks, mis täiendavaid kohustusi terviseandmeruumi määrus terviseandmete vastutavatele töötlejatele kaasa toob. Nii näiteks sätestab määruse eelnõu art 3 lg 2 kõikidele andmetele juurdepääsu võimaldamise, kuid tingimusel, et need on elektroonsed ja lg 2, et tuleb anda nendest ka koopia. Kui juurdepääsu võimaldamine on sätestatud ainult juhuks kui andmed on elektroonsed, siis see justkui kitsendab IKÜM art 15 lg 1. Teiseks võib see viia lõppastmes selleni, et neid andmeid ei hakata üldse elektroonseks muutma (et vältida taolise juurdepääsu loomise vajalikkust), mis omakorda muudaks kogu määruse eesmärkide realiseerumise küsitavaks.
Eelnõu kohaselt nähakse IKÜM-is sätestatud andmete ülekantavuse õiguse rakendamiseks ette, et tervishoiuteenuse osutajad peavad aktsepteerima Euroopa andmevahetusvormingus andmeid (lg 8) ja selliste andmete väljastamise eest ei tohi nõuda tasu. Samuti sätestatakse inimese õigus anda oma terviseandmeid teistele tervishoiu- ja sotsiaalteenuse osutajate kasutusse. Samas tuleb andmetele juurdepääsu ja ülekantavuse võimaldamisel arvestada sellega, et tervishoiutöötajatele ja teenuse osutajatele ei tooks see kaasa liigset halduskoormust. Eestis on tervishoiuteenuse osutamise kohta vormistatud dokumentidele kehtestatus ajalised nõuded, mille jooksul peab tervishoiuteenuse osutaja need kesksesse infosüsteemi esitama. Need ajavahemikud on täpsustatud TTKS § 592 lõikes 2 punktis 1. On oluline, et ühtse Euroopa terviseandmeruumi rakendamisel ei lühendataks tervishoiuteenuse osutajatele antud tähtaegasid ning eelistatult jääksid need igale riigile sisemiselt otsustada.
Terviseandmeruumi määruse eelnõu kohaselt on füüsilistel isikutel õigus piirata kas osaliselt või täielikult tervishoiutöötajate juurdepääsu oma terviseandmetele. See on kooskõlas Eestis täna kehtiva regulatsiooniga, mille kohaselt on Eestis patsiendiportaali vahendusel võimalik oma andmeid täielikult või osaliselt sulgeda.
Terviseandmeruumi määrusest tulenevalt peaks tervishoiuteenuste osutajatele tekkima tulevikus võimalus patsiendi poolt suletud ravidokumente avada elupäästvates olukordades, näiteks elustamisel saada ligipääs ravimite nimekirjale, mille vastu patsient on allergiline. Kuna sellist võimalust täna Eestis kehtivad õigusaktid ette ei näe, siis vajab see lisaarendusi terviseinfosüsteemis. On oluline, et tervishoiutöötaja peaks sellises olukorras oma tegevust põhjendama. Isikuandmete kaitse vaatest on oluline, et IKÜM artiklist 15 tulenevalt on andmesubjektil õigus saada infot kes ja mis eesmärgil on tema andmeid töödelnud. Edaspidi võiks kaaluda lahendusi, mis lihtsustaks inimeste kontrolli oma terviseandmete piiriülese kasutamise üle, näiteks automaatteavituste saamise võimalus, kui terviseandmeid on vaadatud välisriigist.
Füüsilistele isikutele võimaluse andmine lisada digitaalsesse terviselukku elektrooniliselt iseenda terviseandmeid on oluline, sest üha laialdasemalt kasutatakse tervisenäitajate jälgimiseks erinevaid nutirakendusi ja enesejälgimise vahendeid, eelkõige krooniliste haigustega patsientide puhul. Näiteks saaks sellisel juhul patsient, kes põeb hüpertooniat või diabeeti, asendada enda paberkandjal kaasaskantavad vererõhu või veresuhkru päevikud digitaalse lahendusega. Sellised andmed võivad olla tervishoiutöötajatele väärtuslikuks lisainfoks raviprotsessis ja anda lisaväärtust ka andmete teisesel kasutamisel. Täiendades patsiendiportaali võimalusega inimesel lisada käsimüügist ostetavaid ravimeid või toidulisandeid, võib see osutuda vajalikuks infoks kasutatavatest käsimüügiravimitest või ravimite kõrvalmõjudest ülevaate saamisel.
Terviseandmete lisamise ja parandamise võimalusega seoses on oluline, et infosüsteemis oleks märge, mis võimaldaks eristada inimese enda lisatud andmeid tervishoiutöötaja sisestatud andmetest. Samuti peaks võimalus andmeid parandada olema piiratud nende andmetega, mida inimene on ise sisestanud või mis on tema kohta käivad üldandmed (kontaktaadress jms). Tervishoiutöötaja sisestatud tervishoiuteenuse osutamisega seotud andmeid peaks saama parandada ainult teenuse osutaja, kuid inimestel on võimalik taotleda selliste andmete parandamist. Vältimaks liigse halduskoormuse tekkimist tervishoiutöötajatele on oluline määratleda, millised andmed kuuluvad parandamisele ning tagada, et tervishoiutöötajatele ülevaatamiseks ja parandamiseks kuvatud dokumendid sisaldaksid sisulisi ning mitte vormilisi vigu.
6. Toetame füüsiliste isikute oma terviseandmetele juurdepääsu lihtsustamiseks riigi pakutavate kesksete juurdepääsuteenuste tagamist. Leiame, et kesksete juurdepääsuteenuste kaudu peaks olema tagatud juurdepääs esmajärjekorras määruses toodud prioriteetsetesse andmekategooriatesse kuuluvate andmete puhul ning igale tervishoiuteenuse osutajale juurdepääsuteenuse loomise kohustuse panemine ei ole põhjendatud ja proportsionaalne. Samuti tuleks volitamisteenustega seoses vältida halduskoormust, mis kaasneks volituste paberkujul esitamise võimalusega.
Põhjendus
Peame oluliseks, et määruses on liikmesriikidele jäetud võimalus tagada andmetele juurdepääsu õiguste teostamine kesksete juurdepääsu lahenduste kaudu, mis peaks minimaalselt hõlmama määruses toodud prioriteetseid andmekategooriaid (patsiendi terviseandmete kokkuvõte; e-retseptid; e-retsepti alusel ravimi väljastamine; meditsiinilised ülesvõtted ja nende kirjeldused; laboriuuringute tulemused; teave haiglast väljakirjutamise kohta). Terviseandmetele juurdepääsu lihtsustamiseks on paljudes EL riikides juba loodud patsiendiportaalid või muud sarnased kesksed terviseandmetele juurdepääsu teenused. Eestis saavad inimesed oma elektroonilistele terviseandmetele juurdepääsu patsiendiportaali kaudu. Kui terviseandmed on kättesaadavad patsiendiportaalis, puudub inimestel vajadus pöörduda üksikute tervishoiuteenuse osutajate poole, mis lihtsustab ligipääsu oma terviseandmetele ning vähendab tervishoiutöötajate lisakulutusi. Samas IKÜM kohaselt säilib inimestel võimalus tutvuda tema kohta teenuseosutaja (nt haiga või perearsti infosüsteemis) registreeritud andmetega.
Samuti on teenuseosutajatele ligipääs võimaldatud tervise infosüsteemi (TIS) kaudu ja seega valdaval enamusel juhtudest puudub riigisiseselt vajadus eraldi taotleda terviseandmete ülekandmist ühelt teenuseosutajalt teisele. Eestis on teenuseosutajatel TISis andmetele juurdepääsu õigus seotud ravisuhtega ja ei ole vajalik igakordne eraldi nõusoleku küsimine.
Samas vajab eelnõu sõnastus täpsustamist, kuna määruse ettepaneku art 3 lg 5 sätestab liikmesriikidele kohustuse tagada tervishoiuteenuse osutaja eest IKÜM-ist tulenevate ülesannete täitmist nt artiklist 15 tulenevat isiku õigust tutvuda tema andmetega. Riik ei saa olla vastutav eraettevõtja tegevuse osas, seega ei ole see artikkel kooskõlas IKÜM-iga. Ehk kuigi määruse ettepaneku art 3 lg 1 on suunatud tervishoiuteenuse osutajale, kes teenust pakuvad (nö esmane kasutus), siis lg 2 tuleks määruses sisustada selliselt, et tuleks välja lisandväärtus IKÜM-ile. Tagatud peaks olema andmesubjekti juurdepääs vähemalt teatud ühiselt kokku lepitud andmekategooriatele ning, et seda kohustust võib riik täita ka läbi keskse süsteemi. Kindlasti ei peaks määrus tekitama riigile kohustust tagada andmete tutvumisõigust tervishoiuteenuse osutaja eest (määruse ettepaneku lg 1 ja lg 5 p 1). Iga vastutav töötleja peaks siiski täitma IKÜM-is tal lasuvaid kohustusi. Selliselt on korraldatud inimeste juurdepääs terviseandmetele täna ka Eestis. Inimestel on võimalik patsiendiportaali kaudu tutvuda keskselt kogutavate andmetega terviseinfosüsteemis ning lisaks on neil õigus taotleda juurdepääsu konkreetse tervishoiuteenuse osutaja poolt tema kohta kogutavatele andmetele.
Artikkel 3 lg 5 b paneb liikmesriikidele kohustuse luua volitamisteenus, mis võimaldab füüsilisel isikul lubada oma valitud teistel füüsilistel isikutel tema nimel tema elektroonilistele terviseandmetele juurde pääseda. Volitamisteenuse abil antakse lube tasuta, elektrooniliselt või paberkujul. Eesti toetab ühtse Euroopa terviseandmeruumi määruse ettepanekut, mis võimaldab inimesel määrata enda terviseandmetele ligipääs enda poolt volitatud esindajale. Eestis on isikul juba praegu õigus ning võimalus volitada enda nimel andmeid saama teist isikut. Volituste paberkujul esitamise võimalusega seoses leiame, et see ei ole kooskõlas määruse eesmärgiga ning ei toeta Euroopa keskkonna ja kliimaeesmärke. Samuti võib see kaasa tuua täiendava koormuse tervishoiuteenuse osutajatele. Eesti tervishoiusüsteemis võib osutuda täiendavaks väljakutseks vastutavate töötlejatena eraõiguslike tervishoiuteenuse osutajate juures peetavate andmekogude elektroonsete andmestike kättesaadavuse tagamine ning paralleelselt paberil ja elektroonsel kujul volitamisteenuste toimivuse tagamine. Paberkujul volituse esitamise võimalus peaks seega jääma iga liikmesriigi otsustada.
7. Toetame piiriülese koostalitusvõime tagamise eesmärgil esmase andmekasutuse prioriteetsete andmekategooriate määratlemist ja Euroopa andmevahetusvormingule ühtsete nõuete kehtestamist. Nõustume, et piiriülese andmevahetuse taristuga liitumine peaks olema liikmesriikidele kohustuslik ja toetame esmase andmekasutusega seotud piiriülese andmevahetuse laiendamist uutele terviseandmete kategooriatele. Peame terviseandmete esmase kasutamisega seoses vajalikuks, et määruses jäetakse liikmesriikidele piisav paindlikkus riigisiseselt andmehaldust ja taristu toimimist korraldada, et oleks tagatud tervishoiuteenuste osutamiseks vajalikud juurdepääsuõigused ning kvaliteetne ja kättesaadav terviseandmestik.
Põhjendus
Terviseandmete esmase kasutusega seotud piiriülene andmevahetus tugineb juba töös olevale MinuTervis@EL andmevahetuse platvormile, mis on loodud EL vabatahtliku koostöö raames e-retseptide ja patsiendi koondandmete vahetamiseks. Eelnõuga muudetakse platvormi kasutamine liikmesriikidele kohustuslikuks ning laiendatakse tulevikus muudele terviseandmetele (laboritulemused jms). Samuti sätestatakse prioriteetsed andmekategooriad ja kohustuslikuna elektrooniliste andmete ühtne Euroopa vorming.
Määruses artiklis 5 toodud andmekategooriad katavad ära olulisemad esmase andmekasutuse valdkonnad, kus piiriülest andmevahetust tuleks edendada. Prioriteetsete andmekategooriatena nähakse ette patsiendi koondandmed; digiretseptid; digiretsepti alusel ravimi väljastamine; meditsiinilised ülesvõtted ja nende kirjeldused; laboriuuringute tulemused; teave haiglast väljakirjutamise kohta. Andmete sisu täpsustatakse määruse I lisas. Prioriteetsetesse kategooriatesse kuuluvad andmed peavad vastama Euroopa andmevahetusvormingule, et neid oleks võimalik vahetada piiriüleselt EL andmevahetusplatvormi MinuTervis@EL kaudu. Samuti on tervishoiutöötajatel kohustus neid andmeid elektrooniliselt registreerida.
Komisjonile antakse volitus delegeeritud aktiga määruses sätestatud kriteeriumitele vastavaid andmekategooriaid lisada, et tulevikus oleks võimalik laiendada piiriülest andmevahetust täiendavatele terviseandmetele. Eesti toetab uute kasutusjuhtude lisamist ning peame oluliseks, et liikmesriigid oleksid hästi kaasatud otsustus- ja ettevalmistusprotsessis (sh tehniliste spetsifikatsioonide väljatöötamine). See on hädavajalik riigisiseselt vajalike taristu investeeringute planeerimiseks. Samuti on vajalik delegeeritud aktiga uute kasutusjuhtude lisamisel jätta liikmesriikidele piisav üleminekuaeg. Rahvusvaheline koostöö Euroopa Liidu riikide vahel peab olema pidev, et tagada ühtsete semantiliste ja tehniliste nõuete kasutuselevõtt, mis annab aluse andmete piiriüleseks vahetamiseks.
Patsiendi terviseandmete kokkuvõte ja e-retseptide vahetus on Euroopas juba käivitatud, enamus liikmesriike on valmis liituma 2025. aastaks. Eesti on liitunud e-retsepti vahetamisega, võimalik praegu Soome, Portugali ja Horvaatiaga. Riikide valmisoleku korral liituvad ülejäänud EL riigid platvormiga järk-järgult. Alates 2022. aasta sügisest on võimalik ka patsiendi terviseandmete kokkuvõtte vahetamine Eestil Portugali, Prantsusmaa ning Luksemburgiga. Määruse jõustumisel muutub piiriülese taristu kasutamine kohustuslikuks, mis laiendab ka Eesti inimeste võimalusi kasutada e-retsepti teistes EL riikides ja tervishoiuteenuse saamisel teises liikmesriigis anda tervishoiutöötajatele juurdepääs oma terviseloole. Tagamaks meie inimeste kindlustunne reisimisel ning piiriüleste teenuste kasutamisel toetab Eesti nende teenuste kohustuslikuks muutmist. E-tervise võrgustikus on alustatud ettevalmistusi muude kasutusjuhtude lisamiseks (nt laboritulemuste vahetamise standardi loomine).
Eestis on tervishoiu teenuse osutajatel TTKS-st tulenev kohustus tervise infosüsteemi andmeid saata. Tervise infosüsteemi edastatavate andmete koosseis ning nende säilitamise tingimused ja kord on sätestatud sotsiaalministri määrusega. Seega on Eestis EL määruses sätestatud prioriteetsete andmekategooriatega seotud andmete registreerimise ja edastamise nõuded täidetud. EL määruse rakendamine ei eelda põhimõttelisi muudatusi TIS andmekoosseisudes. Kuna ühtse Euroopa terviseandmeruumi määruse eelnõu kohaselt tuleb tagada inimestele ligipääs ka nende radioloogilistele uuringutulemustele (näiteks röntgenülesvõtted jmt uuringud), siis tulevikus peame võimaldama inimesele ligipääsu ka uuringute piltidele. Hetkel on tulenevalt sotsiaalministri määrusest inimesel ligipääs vaid uuringute kirjeldustele.
Piiriülese andmevahetuse aluseks on kvaliteetsed ja semantiliselt koostalitlusvõimelised andmed. Laiendades piiriüleseid kasutusjuhte andmevahetusel tuleb senisest rohkem rõhku panna andmekvaliteedi tagamisele ning on oluline rakendada andmekvaliteedi nõudeid juba planeeritavate protsesside loomisel, mitte üksnes tagantjärele parandamisel. Tagamaks jätkusuutlikku ja kasumlikku piiriülest andmevahetust on vajalik Euroopa Liidu riikide ühine panus andmekvaliteedi probleemi ennetamisse ja lahendamisse. Andmekvaliteedi nõuded ei tohiks olla liiga koormavad tervishoiutöötajatele ning rakendada tuleks proaktiivseid kontrollimehhanisme ning lahendusi, mis võimaldaks esitatavate dokumentide kontrolle juba kokkulepitud standardite põhjal.
Määruse kohaselt antakse komisjonile volitus määrata rakendusaktidega kindlaks nõuded elektrooniliste terviseandmete registreerimiseks tervishoiuteenuse osutajate ja füüsiliste isikute poolt, sh tervishoiuteenuse osutajate kategooriad, kellele kohustus laieneb, ja terviseandmete kategooriad, mida tuleb elektrooniliselt registreerida. Leiame, et EL tasandil sellise detailsusega andmete elektroonilise registreerimise reguleerimine on küsitav ja võiks jääda iga liikmesriigi otsustada. Eestis on tervise infosüsteemi põhimääruses reguleeritud, millised andmed peavad tervishoiuteenuse osutajad registreerima. Tervise ja Heaolu Infosüsteemide Keskuse veebilehel ning publitseerimiskeskuses on avaldatud millises vormingus need andmed peavad olema. On oluline, et põhimõtteliste muudatuste tegemisel jäetakse liikmesriikidele piisav aeg muudatused sisse viia õiguslikul ja tehnilisel tasandil.
Määruse kohaselt võivad liikmesriigid kehtestada reeglid, millega nähakse ette eri ametikohtadel töötavatele tervishoiutöötajatele vajalike isikustatud elektrooniliste terviseandmete kategooriad. Eestis on tervishoiutöötajate juurdepääsuõigus määratletud ravisuhtega ja inimesel on võimalik kontrollida kes on andmeid vaadanud. See funktsioon on kasutatav andmejälgija kaudu, mis on kättesaadav eesti.ee veebilehel ja patsiendiportaalis. Kui inimesel on kahtlus, et tervishoiuteenuse osutaja on tema andmeid vaadanud õigusliku aluseta, on tal õigus pöörduda selgituste saamiseks tervishoiutöötaja poole või mitterahuldava selgituse korral pöörduda Andmekaitse Inspektsiooni poole. Sama põhimõte peaks edaspidi laienema ka piiriüleselt andmetele juurdepääsule. Peame oluliseks, et patsiendile jääb ka piiriüleste terviseteenuste osutamisel võimalus kontrollida, kes on tema terviseandmetele ligi pääsenud ning vajadusel nõuda põhjendusi.
8. Leiame, et digitaalse tervishoiusasutuse ülesannete täitmise korraldus ja riigisisene ülesannete jaotus peaks jääma liikmesriigi otsustada. Teeme ettepaneku täpsemalt piiritleda komisjonile volituse andmine eelnimetatud asutusele täiendavate ülesannete delegeeritud aktiga sätestamiseks. Peame oluliseks, et komisjon täiendavate ülesannete kehtestamisel konsulteeriks liikmesriikidega ja võtaks arvesse halduskoormusega seotud mõjusid.
Põhjendus
Eelnõu artikli 10 kohaselt peavad liikmesriigid määrama terviseandmete esmase kasutamise eest vastutava digitaalse tervishoiu asutuse, kes peab tagama terviseandmete esmase kasutamisega seotud õiguste ja mehhanismide nõuetekohase rakendamise. Eelnõus sätestatakse asutuse ülesanded ja liikmesriikide kohustus tagada asutuse toimimiseks vajalikud ressursid. Leiame, et eelnõu sõnastust võiks täpsustada, kuna digitaalse tervishoiuasutuse ülesanded võivad riigisiseselt jääda erinevate asutuste vastutusvaldkonda ning regulatsiooniga ei tohiks sekkuda liikmesriikide tervishoiukorraldusse. Näiteks on asutuse ühe ülesandena sätestatud kohustus pakkuda kooskõlas siseriiklike õigusaktidega telemeditsiiniteenuseid. Kuna telemeditsiini teenuste pakkumine on osa üldisest tervishoiukorraldusest, siis sellisena kohustuse sätestamine ei ole määruse reguleerimisala arvestades asjakohane.
Artiklis 10 toodud ülesannete täitmine peaks olema liikmesriigi kohustus ja EL tasandil ei peaks detailselt reguleerima digitaalse tervishoiu asutuse ülesandeid. See oleks õiguslikult selgem ja annaks liikmesriikidele suurema paindlikkuse otsustada ülesannete jaotus riigisiseselt. Eestis täidaks digitaalse tervishoiu asutuse ülesandeid peamiselt Tervise ja Heaolu Infosüsteemide Keskus koostöös Sotsiaalministeeriumi, Eesti Haigekassa ja Terviseametiga. Väga mitmed digitaalse tervishoiuasutusele määratavatest ülesannetest on täna TEHIK-us täitmisel. Oluline on tagada vastavate ekspertide osalemine rahvusvahelises töös, et täita artiklist 10 tulenevaid kohustusi. Peame oluliseks, et siseriikliku digitaalse tervishoiu asutuse töökorraldus lähtuks upTISi toimimise loogikast.
Artikli 11 kohaselt on isikutel õigus esitada digitaalsele tervishoiuasutusele kaebuseid, mis tuleb liigse viivituseta lahendada. Eelnõu sätestab kaebuste menetlemise digitaalse tervishoiuasutuse kohustusena, kuid ka siin peaks liikmesriikidele jääma paindlikkus otsustada kaebuste menetlemise kord ja piisaks, kui nähakse ette liikmesriikide kohustus tagada määruses sätestatud individuaalsete õigustega seoses kaebuste esitamise ja lahendamise süsteem. Piiriülesel terviseandmete kasutamisel peab inimesele olema üheselt selge, millise asutuse poole inimene peab probleemi korral pöörduma, näiteks olukorras kus välisriigi tervishoiuteenuse osutaja ei ole vajalikke terviseandmeid dokumenteerinud.
Samuti peame oluliseks määratleda IKÜM-i järelevalveasutuste ja digitaalsete tervishoiuasutuste vastastikune mõju. Hetkel näeb nii IKÜM kui Euroopa terviseandmeruum ette sõltumatute järelevalveasutuste määramist, kuid pole lõpuni selge milline on nende omavaheline ülesannete jaotus.
9. Peame oluliseks, et liikmesriikide pädevatele asutustele pandav aruandluskohustus ei oleks liigselt koormav. Teeme ettepaneku vähendada tegevusaruannete esitamise sagedust ja luua võimalused aruandluseks vajalike andmete automaatseks koondamiseks.
Põhjendus
Eelnõus nähakse ette liikmesriikide digitaalsete tervishoiuasutuste kohustus koostada (vajaduse korral koostöös turujärelevalveasutustega) ja komisjonile esitada iga-aastane tegevusaruanne, mis sisaldab põhjalikku ülevaadet asutuse tegevusest. Artiklis 10 sätestatakse tegevusaruandes nõutud teave ja selle struktuur kokku ühtse Euroopa terviseandmeruumi nõukogus, et andmed oleksid võrreldavad. Leiame, et aruandluskohustused tuleks viia miinimumini ja aruanded peaksid sisaldama üksnes teavet, mis on hädavajalik määruse rakendamise hindamiseks. Teeme ettepaneku, et iga-aastaste tegevusaruannete esitamine võiks toimuda mitte sagedamini kui iga 2 aasta tagant. Võimalikult suures ulatuses tuleks kasutada aruandluseks vajalike andmete automaatset koondamist, et vältida liigset halduskoormust. Samuti tuleks komisjonil kaaluda erinevate üle-Euroopaliste aruannete perioodide ühtlustamist, eriti olukorras kus aruannete aluseks on samad andmed.
III ptk digitaalsed terviseinfosüsteemid ja heaolurakendused
10. Eesti toetab ühtsete koostalitus- ja turvalisusnõuete kehtestamist digitaalsetele terviseinfosüsteemidele ning EL vastavushindamise deklaratsiooni koostamise kohustuse panemist terviseinfosüsteemi tootjatele. Leiame, et määruses vajab täpsustamist nõuete kohaldamine juhul, kui terviseinfosüsteemi komponendid kuuluvad lisaks meditsiiniseadme mõiste alla. Ühtse turu toimimise seisukohalt on oluline turuosapoolte kohustuste määratlemine ning turujärelevalve korralduse ja nõuete ühtlustamine. Toetame turujärelevalve osas määruse (EL) 2019/1020 reeglite kohaldamist, kuna sellega tagatakse toodete turujärelevalve valdkonnas EL-s ühtlustatud lähenemine.
Põhjendus
Kooskõlas VV seisukohtadega andmemääruse kohta, toetab Eesti määruse ettepanekus sätestatud nõudeid, mis aitavad tõsta koostalitusvõimet ja leiab, et tegemist on valdkonnaga, kus peab olema tagatud harmoniseeritud lähenemine. Koostalitusstandardite loomine on kriitilise tähtsusega selleks, et andmete liikumine ühtsetel alustel ka praktikas siseturul toimima saaks. Eesti peab oluliseks, et koostalitusvõimega seotud nõuete ja rakendusaktide välja töötamise puhul toimub põhjalik liikmesriikide kaasamine, et tagada nõuete ühtne ja mõistlik Euroopa Liidu ülene rakendamine. Andmeruumide siseste või üleste standardite ja rakendusaktide kehtestamine ilma piisava liikmesriikide ja turuosaliste kaasamiseta tekitab riski, et kehtestatud nõuded ei ole EL üleselt ühtselt ja mõistlikult rakendatavad. Siin näeb Eesti väga olulist rolli loodaval ühtesse Euroopa terviseandmeruumi nõukogul ning selle alagruppidel. On oluline tagada kõikide liikmesriikide esindajate kaasatus ning selged ja üheselt mõistetavad otsustusprotsessid, mis võtavad arvesse liikmesriikides otsustusprotsessidele kuluvat aega.
Terviseinfosüsteemina on eelnõus määratletud seade või tarkvara, mille tootja on ette näinud selleks, et digitaalseid terviselugusid salvestada, vahendada, importida, eksportida, teisendada, redigeerida või vaadata. Eelnõus sätestatakse tootja kohustus kinnitada nõuetele vastavust vastavusdeklaratsiooniga. Vastavusdeklaratsioon on Euroopa Liidu õiguse kohaselt tootja (või tema volitatud esindaja) poolt terviseinfosüsteemi kohta koostatud deklaratsioon, et see on läbinud asjakohased vastavustõendamise menetlused ja vastab asjakohasele liidu õigusele.
Leiame, et määruses vajab täpsustamist vastavushindamise nõuete kohaldamine juhul, kui terviseinfosüsteemi komponent kuulub ka meditsiiniseadme mõiste alla. Füüsiliste isikute elektrooniliste terviseandmete salvestamiseks ja jagamiseks mõeldud terviseinfosüsteemide koosseisu võivad kuuluda ka mitmed tarkvaralised lahendused, mis oma sihtotstarbest ja funktsioonidest tulevalt kuuluvad meditsiiniseadme definitsiooni alla. Kuna meditsiiniseadme määratluse alla kuuluvale tarkvarale kohalduvad lisaks EL meditsiiniseadme määruse (EL) 2017/745 nõuded, siis on oluline tagada õigusselgus meditsiiniseadme määruse ja Euroopa terviseandmeruumi määruse vahel.
11. Peame oluliseks heaolurakenduste turu korrastamist ning EL kvaliteedi- ja hindamisraamistiku loomist. Samas leiame, et eelnõus ette nähtud vabatahtliku märgistamise skeem ei ole sobiv lahendus, kuna see võib olla tarbijaid eksitav ning ei ole selge sellise märgise sisu ja õiguslik tähendus, sealhulgas kuidas tagatakse rakenduste tegelik nõuetele vastavus. Peame asjakohaseks heaolurakendustele vabatahtliku kolmanda osapoole sertifitseerimisskeemi loomist.
Põhjendus
Vabatahtlik märgistus ei anna kindlust, et rakendused vastavad nõuetele. Selle eelduseks on toimiv riikliku järelevalve süsteem, mida vabatahtliku märgise korral on keeruline korraldada. Sel juhul vajaks täpsustamist järelevalve ulatus, sisu ja vastutuse jaotus. Näiteks ei ole selge kas riiklik järelevalve kohalduks kõigile vabatahtliku märgisega rakendustele, mis on registreeritud EL andmebaasis ning millised õiguseid ja kohustused sellega tootjale kaasnevad. Arvestades heaolurakenduste kasvavat arvu, oleks sellise ulatusliku riikliku järelevalve tegemine märkimisväärne halduskoormus, millel ei ole selget lisaväärtust rahvatervise seisukohalt. Samuti on risk, et riikliku järelevalve ulatus ja sisu on riigiti erinev, sõltuvalt pädevate asutuste ressurssidest igas liikmesriigis. Seega ei oleks tarbijatel kindlust, et vabatahtliku märgisega rakendused on sisuliselt kvaliteetsed ning tehniliselt vastavad turvalisuse ja koosvõime nõuetele.
Teeme ettepaneku kaaluda vabatahtliku kolmanda osapoole sertifitseerimisskeemi loomist, et toetada koostalitlusvõimeliste rakenduste arendamist ning levikut. Sel juhul oleks selge raamistik, millistele nõuetele vastavust hinnatakse ja hindamist viib läbi sõltumatu vastavushindamise asutus, mis annab täiendava kindluse. Kuigi kolmanda osapoole sertifitseerimine on kallim ja aeganõudvam, siis ei oleks see kõikidele rakendustele kohustuslik ning võimaldaks endiselt turule tulla ka rakendustel, mille puhul sertifitseerimine ei ole vajalik. Samas on kolmanda osapoole sertifitseerimisel selge eelis, kuna see aitaks välja sõeluda kvaliteetsed ning tervise- ja sotsiaalteenustele tegelikku lisaväärtust andvad rakendused. Sellise kolmanda osapoole sertifitseerimise alusel saaksid liikmesriigid paremini langetada ka heaolurakenduste (nn digiravimid) hüvitamisega ja tervisesüsteemi integreerimisega seotud otsuseid. Tarkvaralised heaolurakendused on oma rakendatavuselt piiriülese mõjuga, mistõttu on algatuses esitatud probleemipüstitus tervitatav. Peame oluliseks, et sertifitseerimise ühetaolisel rakendumisel oleks kavandatud ja tagatud ka instrumendid ning ELi ülene võimekus turujärelevalve mehhanismide rakendamiseks niivõrd spetsiifilises ja nõudlikus valdkonnas.
IV ptk teisene kasutus
12. Eesti peab vajalikuks terviseandmete teisese kasutamisega seoses täpsemalt määratleda andmekasutuse eesmärgid ja kohustatud subjektide ring ning kitsendada andmekategooriaid. Peame põhjendatuks juurdepääsuasutuste ja andmevaldajate õigust küsida andmete kättesaadavaks tegemisega seotud kulude katteks läbipaistvat, kulupõhist ja õiglast tasu.
Põhjendus
Elektrooniliste terviseandmete teisene kasutus toimub siis, kui terviseandmeid töödeldakse selleks, et kujundada ja hinnata rahvatervisealast poliitikat või teha teadusuuringuid. See võib suurendada patsientide ohutust ning hoogustada uute ravimite ja meditsiiniseadmete, samuti personaalmeditsiini ja tehisintellektil põhinevate toodete väljatöötamist. Andmekasutajateks võivad olla teadlased, ettevõtjad, riigiasutused jne. Andmete töötlemine teisese kasutuse eesmärgil on lubatud üksnes artiklis 34 toodud eesmärkidel. Artikli 35 kohaselt on keelatud kasutada andmeid selleks, et teha üksikisikutele kahjulikke otsuseid, nt suurendada kindlustusmakseid, turustada tervishoiutöötajatele või patsientidele tervisetooteid või kavandada kahjulikke tooteid või teenuseid.
Määruse ettepaneku art 33 lg 1 sätestab kõikide terviseandmete andmevaldajate otsekohalduva kohustuse elektrooniliste terviseandmete ja tervisega seotud andmete teiseseks kasutuseks kättesaadavaks tegemiseks. Andmevaldajate ring on ettepaneku kohaselt väga ulatuslik, hõlmates kõik avalik-õiguslikud, kasumit mittetaotlevad või eraõiguslikud tervishoiu- või hooldusteenuse osutajad, organisatsioonid, ühendused või muud üksused, kes teevad tervishoiusektorit käsitlevaid teadusuuringuid ning töötlevad eespool nimetatud kategooriate terviseandmeid ja tervisega seotud andmeid, va mikroettevõtjad. Tervishoiuteenustega seotud andmete teisese kasutuse puhul ei toeta Eesti kohustuste panemist üksikutele tervishoiuteenuse osutajatele, vaid see peaks olema liikmesriigi ülesanne luua vajalik keskne taristu. Oluline on vältida liigset koormust tervishoiuteenuse osutajatele ja toetada andmevaldajate suutlikkuse tõstmist (teadlikkus, taristu jne) läbi kesksete riiklike meetmete. Näiteks on Eestis IGUS alusel geeniandmete puhul andmevaldajaks Tartu Ülikool geenivaramu pidajana, kelle peamine eesmärk on geneetiliste uuringute teostamine ja korraldamine, kuid geneetilisi andmeid säilitavad tervishoiuteenuse osutamise vajadusest ka tervishoiuteenuse osutajad. Andmeruumi määrus kohustaks ka viimaseid andmeid teisesse kasutusse suunama, kuigi Eestis on juba loodud keskne geeneetiliste uuringute taristu.
Samuti on äärmiselt laialt defineeritud andmete kategooriad, mille kättesaadavus teiseseks kasutuseks tuleb tagada, nt kogu digitaalne terviselugu (tähele tuleb panna, et tervishoiuteenuse osutajate infosüsteemides on talletatud kordades laiem informatsioon kui tervise infosüsteemis) ning andmed tervisele mõju avaldavate tegurite, sh sotsiaalsete, keskkonna- ja käitumuslike tegurite kohta. Kusjuures art 33 lg 7 alusel on Komisjonile jäetud ka õigus loetelu täiendamiseks. Peame vajalikuks prioriseerida artiklis 33 lg 1 nimetatud elektrooniliste andmete kategooriad, milledele vastav kohustus esmajärjekorras kehtestada. Vastupidisel juhul on elektroonseid andmeid valdavad teabevaldajad hõlmatud määratlemata kohustusega, kusjuures vastava kohustuse täitmine tervishoiuteenuse osutajate puhul võib oluliselt mõju avaldada nende avalike ülesannete täitmisele, milleks on tervishoiuteenuse osutamine. Nii tuleb sarnaselt esmase kasutusega kokku leppida miinimumkategooriad teiseseks kasutuseks või lähtuda esmajärjekorras nendest, mis on artiklis 5 nimetatud prioriteetsed kategooriad. Täpsustamist vajab ka kliinilistest uuringutest saadud andmete juurdepääs, sh kuidas see on kliiniliste katsete EL regulatsiooniga kooskõlas ja kellele kohustus laieneb. Enamasti viivad katseid läbi ravimitootjad, kes peaks olema sel juhul määruse kohaselt kohustatud subjektid.
Artikkel 34 sätestab väga lahtise loetelu eesmärkidest, milleks on võimalik terviseandmeid teiseseks kasutuseks töödelda, hõlmates terviseandmete töötlemist näiteks avaliku huviga seotud tegevuseks rahvatervise ja töötervishoiu valdkonnas, haridus- või õppetegevuseks tervishoiu- või hooldussektoris, tervishoiu- või hooldussektoriga seotud teadusuuringute tegemisel jne. Võttes arvesse ulatuslikku eraelu puutumatuse riivet, mis terviseandmete teisene töötlemine kaasa toob, sätestab artikkel 34 põhjendamatult üldise loetelu eesmärkidest, milleks tohib elektroonilisi terviseandmeid teisese kasutuse raames töödelda. Seetõttu leiame, et määruse IV peatükis kirjeldatud eesmärke ja tingimusi terviseandmete teiseseks kasutamiseks tuleb täiendavalt täpsustada ja kitsendada. Muuhulgas tuleks tagada, et selle hindamisel, kas väljastada luba terviseandmete teiseseks kasutamiseks, ei võta terviseandmetele juurdepääsu asutus arvesse üksnes asjaolu, kas taotlus vastab ühele art-s 34 lg 1 nimetatud eesmärkidest, vaid hindab ka seda, kas taotluses kirjeldatud eesmärgil terviseandmetele ligipääsu saamine ja töötlemine on proportsionaalne ega kujuta põhjendamatut riski isikuandmete kaitse või laiemalt eraelu puutumatuse õigusele.
Tervishoius tekkivate elektrooniliste terviseandmete osas peaks määruse ettepanek täpsustama kas teisese andmekasutuse kohustusega on hõlmatud ainult tervishoius tekkivad algandmed (nn raw data), milline mõiste omakorda vajaks liikmesriikides kokkuleppimist, või on elektrooniliste terviseandmete mõistega hõlmatud ka töödeldud/tuletatud andmed, mis juba iseenesest võivad olla hõlmatud intellektuaalse omandi kaitse normide ja ärisaladustega või taolised andmed võivad avaldada intellektuaalse omandi või ärisaladuse kaitse objekte.
Kuna andmete ettevalmistamisega ning andmeväljastusega kaasneb palju administratiivseid kulutusi, siis toetame regulatsioonist tulenevat õigust küsida andmeväljastusega kaasnevate administratiivsete kulude katteks põhjendatud tasu. Eestis hetkel kehtivas õigusruumis ei ole terviseandmete väljastamise eest tasu küsimine lubatud, kuigi AvTS näeb võimaluse eriseaduses vastav regulatsioon sätestada. Näeme sellest tulenevalt vajadust tervishoiuteenuste korraldamise seaduse muutmiseks. Siiski realistlikult ei kata need tasu investeeringuid ja halduskulusid tervikuna.
13. Eesti peab oluliseks, et andmemääruse ja teiste EL õigusaktide ning terviseandmeruumi määruse koosmõjus oleks hädaolukorras tagatud riigiasutuste juurdepääs vajalikele andmetele, sealhulgas ka isikustatud kujul. Selleks peame vajalikuks määruses selgelt sätestada millistel alustel on avaliku võimu teostajatel õigus isikuandmetele juurde pääseda.
Põhjendus
Terviseandmeruumi määruse art 33 lg 6 on viidatud andmemääruse artiklile 15, mis on aga andmemääruse eelnõus väljapakutud kujul probleemne. Andmemääruse ettepaneku art 15 üldine sõnastus ei ole praegusel kujul piisav selleks, et riik saaks selle alusel juurdepääsu isikustatud kujul terviseandmetele. Arvestades mh ka pandeemia kogemusi, võib nõustuda, et kriisides ja hädaolukordades võib tekkida ootamatu vajadus saada isikuandmeid kriisi lahendamisega seoses. Seejuures ei ole aga piisav, kui andmemääruses üksnes markeeritakse, et andmeid taotlev haldusorgan peab nimetama õigusliku aluse, millele ta tugineb. Peame samas asjakohaseks, et terviseandmetele juurdepääsu asutus on liikmesriigis pädev asutus, kes peab olema kaasatud hädaolukorras andmetele juurdepääsuõiguse andmisel eesmärgiga tagada, et terviseandmeid töödeldakse turvaliselt ja kooskõlas kõrgete tehniliste nõuetega.
Lisaks sellele võib lugeda ka art 34 lõikest 1 punktist b välja võimaluse, et terviseandmetele juurdepääs võimaldatakse juhul, kui eesmärk on „avaliku sektori asutuste või liidu institutsioonide, organite ja asutuste, sealhulgas reguleerivate asutuste toetamine tervishoiu ja hooldussektoris nende volitustes kindlaks määratud ülesannete täitmisel“. Arvestades ka põhjenduspunkti 41 sõnastust on võimalik tõlgendus, et selle sätte kohaldamisala ei piirdu tervishoiu- ja hooldussektoriga, vaid tegemist on mitteammendava loeteluga, mis võimaldab mistahes avaliku sektori asutustel taotleda juurdepääsu terviseandmetele neile määratud ülesannete täitmisel. Tervishoiuteenuse osutamine kui võlaõiguslik suhe põhineb üldjuhul patsiendi soovil saada raviteenust. Üldpõhimõttena on arsti ja patsiendi usaldussuhtest tekkinud andmed arstisaladuse kaitse all. Euroopa Inimõiguste Kohus on leidnud, et isikuandmed, eriti meditsiinilised andmed, on oluline osa eraelu puutumatuse õigusest. Sellest tulenevalt peame oluliseks ettepanekus täpsustada avaliku sektori asutuste andmetele juurdepääsu aluseid, mis eelnõus on sätestatud liialt üldsõnaliselt. Avaliku võimu juurdepääs peab olema siiski väga erandlikel põhjustel õigustatav. Kui avaliku võimu juurdepääs terviseandmetele tekkis isiku enda taotlusel algavas haldusmenetluses (näiteks taotleb isik puude määramist või mingit abi seoses terviseseseisundiga, oleks võimalik anda isikule võimalus otsustada, kas anda juurdepääs vastavatele terviseandmetele (isikuandmete töötlemine nõusoleku alusel).
14. Eesti toetab andmeloa menetluse üldiseid põhimõtteid, kuid leiame, et määruses tuleks täpsustada eetiliste aspektide hindamine, võttes arvesse siseriikliku eetikakomitee menetlust. Samuti leiame, et komisjonil võiks olla suurem koordineeriv roll piiriülese teisese andmekasutuse võimaldajana, näiteks keskse EL andmelubade menetluse ja riikide vahelise andmetele juurdepääsu võimaldamise koordineerimise kaudu. Peame oluliseks, et andmeloaga seotud menetlustähtajad oleksid realistlikud ning ei toeta kohustust väljastada andmeluba, kui terviseandmetele juurdepääsu asutus ei tee tähtaja jooksul otsust.
Põhjendus
Terviseandmetele juurdepääsu asutused peavad tagama läbipaistvuse ja avaldatama teabe andmetele juurdepääsu rakenduste kohta. Lisaks peavad andmekasutajad avalikustama elektrooniliste terviseandmete kasutamise tulemused ja teavitama terviseandmetele juurdepääsu asutusi kõigist leidudest, mis on inimeste tervise seisukohast olulised. Lihtsatel juhtudel võivad kasutajad taotleda andmeid otse üksikult terviseandmete pakkujalt, kui privaatsuse ja turvalisuse kaitsemeetmed on samaväärselt tagatud. Kolmandate riikide teadlased ja innovaatorid saavad juurdepääsu teiseseks kasutuseks vajalikele andmetele samadel tingimustel kui ELi-sisesed ja nad peavad täitma samu nõudeid. Kõik liikmesriigid peavad osalema ELi teisese kasutuse taristus (TerviseAndmed@EU), et hõlbustada piiriüleseid uuringuid. Seda taristut katsetatakse programmi „EL tervise heaks“ raames toimuvas projektis, mis algab 2022. aastal.
Need, kes soovivad terviseandmeid taaskasutada, peavad taotlema luba terviseandmetele juurdepääsu asutuselt. Andmeloas on sätestatud, kuidas ja millisel eesmärgil andmeid võib kasutada. Määruse kohaselt saab andmeid näha ja töödelda ainult eraldatud turvalises keskkonnas, mille tagavad terviseandmetele juurdepääsu asutused, andmetöötluskeskkondadele on selged küberturvalisuse standardid. Loa taotlenud kasutaja saab turvalisest töötlemiskeskkonnast välja võtta ainult anonüümseid andmeid. Kui teadlased, ettevõtted või avalik-õiguslikud asutused vajavad juurdepääsu isikustatud elektroonilistele terviseandmetele, saavad nad neile juurdepääsu üksnes pseudonüümitud kujul, st andmed sisaldavad teavet haiguse, sümptomite ja ravimite kohta, kasutajale isikut avaldamata. Kasutajal on keelatud püüda andmesubjektide isikuid tuvastada.
Eesti ei toeta regulatsioonist tulenevat kohustust väljastada andmeluba, kui terviseandmetele juurdepääsu asutus ei tee ettenähtud tähtaja jooksul otsust, sest tulenevalt regulatsiooni rakendumisega võimalikust suurenevast halduskoormusest võib see kaasa tuua olukorra, kus andmeluba väljastatakse valedel asjaoludel. Eesti eelistab elektroonilist loa taotlemist ja menetlust.
Ka Eestis on veel otsustamisel terviseandmeruumi andmelubade väljastamise üldine korraldus, sest tulenevalt Euroopa andmehaldust reguleeriva määruse rakendamisega tuleb muuta üldise andmeväljastuse senist korraldust ning andmelubade haldamistega tegeleb tulevikus Statistikaamet teabevärava kaudu. Euroopa terviseandmeruumi rakendusaktide väljatöötamise järgselt on Eestil vajalik otsustada kas andmelubade haldus hakkab tervishoius toimuma eraldi.
Erilist tähelepanu tuleb pöörata andmete eetilise kasutuse põhimõtetele terviseandmeruumi raamistikus. Määruse rakendumisel ei saa eirata liikmesriikide eetikakomiteede kehtivat regulatsiooni. Eestis kehtiv isikuandmete kaitse seadus näeb ette terviseandmete töötlemise korral kohustusliku eetikakomitee menetluse (IKS § 6 lg 4). Ka inimgeeniuuringute seadus (IGUS) näeb ühe kohustusliku tingimusena andmete väljastamisel ette eetikakomitee loa (IGUS § 29). Määrusega nähakse ette andmete väljastamine andmeloa alusel (art 46) (kus eetilist hindamist ei ole üldse tingimuseks seatud) ning eelnõus ei ole ka täpsustatud eetiliste aspektide hindamist andmeloa menetluse osana. Seega ei ole selge, kas andmeluba asendab seniseid riigisiseseid andmeväljastamise protseduure ja tingimusi, sh eetikakomitee luba, või on mõeldud neid täiendama. Lisaks sisaldub määruses regulatsioon (art 48), mille kohaselt ei ole andmeluba vaja juhul, kui andmeid soovivad saada avaliku sektori ning Euroopa Liidu asutused, kes vajavad andmeid oma ülesannete täitmisel. IKS § 6 lg 5 kohaselt on teadusuuringuks ka täidesaatva riigivõimu analüüsid ja uuringud, mis tehakse poliitika kujundamise eesmärgil, kuid Andmekaitse Inspektsioon kontrollib enne nimetatud isikuandmete töötlemise algust nii avaliku ülekaaluka huvi olemasolu töötlemiseks, eesmärke, andmesubjekti riive ulatust jne, välja arvatud juhul, kui poliitika kujundamiseks tehtava uuringu eesmärgid ja isikuandmete töötlemise ulatus tulenevad õigusaktist. Inimgeeniuuringute seadusest tuleneb põhimõtete, mille kohaselt eeldab geenivaramu andmete väljastus alati eetikakomitee luba ning andmete väljastamine on võimalik vaid geeniuurijale. Seega avaliku sektori ja Euroopa Liidu asutusel, kel puudub pädevus geeniuuringute läbiviimiseks, ei ole õigust taotleda geeniandmete väljastamist ja seda põhimõtet ei tohiks muuta. Seetõttu peame oluliseks täna kehtiva regulatsiooni kooskõla tagamist terviseandmeruumi rakendamisel seoses eetikakomiteede loa menetlusega. Samal seisukohal39 on ka Euroopa andmekaitsenõukoda, kes soovitab pöörata erilist tähelepanu andmete eetilisele kasutamisele Euroopa terviseandmeruumi määruses ning võtta arvesse olemasolevaid eetikakomiteesid ja nende rolli.
Regulatsiooni tasandil vajab täpsustamist, milline on andmeväljastuse protsess, kui loa taotlemiseks on vajalik andmete küsimine mitmest riigist ning on oluline, et sellisel juhul ei tekiks välisriikidest andmete pärimisega liigset halduskoormust. Näiteks olukorras kus on teada, et ühes liikmesriigis on järjekorrad andmelubade väljastamiseks märkimisväärselt lühemad. Tuginedes naaberriik Soome kogemustele, kus andmelubade menetlemise ajad ületavad poolt aastat, leiab Eesti, et olukorras kus andmeväljastus tuleb mitmest liikmesriigist, ei ole regulatsioonis sätestatud tähtajad (2 kuud) piisavad ning vajaksid ülevaatamist. Samuti vajab täpsustamist, kuidas toimub piiriüleste andmepäringute korral andmete kasutajate identifitseerimine. Eesti teeb ettepaneku kaaluda Euroopa Liidu tasandil terviseandmeid väljastava koordineeriva funktsiooni loomist, mis toetaks andmete teisest kasutust, kui andmeid on vaja mitmest liikmesriigist.
Määruse art 44 lg 1 kohaselt antakse juurdepääs „ainult taotletud elektroonilistele terviseandmetele, mis on vastavuses andmekasutaja poolt andmetele juurdepääsu taotluses osutatud töötlemise eesmärgiga ja kooskõlas antud andmeloaga“ ning lg 2 kohaselt „terviseandmetele juurdepääsu asutus esitab elektroonilised terviseandmed anonüümitud kujul, kui andmekasutaja saab selliste andmetega töötlemise eesmärgi saavutada, võttes arvesse andmekasutaja esitatud teavet.“ Antud piirangud on olulised aitamaks tagada, et andmesaajale tehtaks kättesaadavaks niivõrd minimaalsel määral isikuandmeid kui võimalik asjakohase eesmärgi saavutamiseks. Määruses jääb aga ebaselgeks, kes peab teostama vajaliku andmete puhastamise või anonüümimise – sellist kohustust ei ole spetsiifiliselt kehtestatud ei terviseandmetele juurdepääsu asutusele ega ka andmevaldajale. Antud tegevust ei saa teostada ka andmekasutaja, kuivõrd sellisel juhul saaks ta ligipääsu ning töötleks andmeid viisil, mis ei vasta art 44 nõuetele. Seetõttu tuleks määruses täpsustada, kuidas toimub art-s 44 kirjeldatud kohustuste täitmine, ja seda eriti ka piiriüleste andmeväljastuste puhul.
15. Eesti nõustub, et terviseandmetele juurdepääsu asutuste põhipädevus peaks olema terviseandmete taaskasutamise võimestamine ja andmete kättesaadavuse võimaldamine. Seejuures leiame, et terviseandmete juurdepääsuasutuse õigus teavitada patsiente ja tervishoiutöötajaid, näiteks uuringu juhuleidudest, võib sellist pädevust ületada.
Põhjendus
Ettepaneku kohaselt on terviseandmete juurdepääsu asutusel õigus teavitada patsiente või tervishoiutöötajaid teisese andmekasutuse raames ilmneda võinud inimese tervisele mõju omavatest leidudest. Mõistetav ei ole määruse ettepanekus antud õiguse koosmõju kliinilisi uuringuid reguleerivate õigusaktidega. Kui üldjuhul peab uuringu subjekt leiust informeerimiseks andma nõusoleku nt kliinilisse uuringusse kaasamisel antavas teadlikus nõusolekus, siis ebaselgeks jääb, kas vastav artikkel 38 lg 3 kehtestab patsiendi nõusolekust sõltumatu informeerimisõiguse (arvestades veel, et teatud riikides ei eelda teisene andmekasutus õigusliku alusena isiku nõusolekut), või rakendub see ainult juhul kui andmesubjekt on vastavat infot saada soovinud. Seega inimesele võib tulla täieliku üllatusena mingi teisese andmekasutuse töötlemise raames tuvastatud tervist mõjutav asjaolu, millest informeerib terviseandmete juurdepääsu asutus (haldusorgan). Teisalt eeldab taoline informeerimisõiguse täitmine tervishoiuteenuse osutaja osalemist protsessis. Inimese tervist puudutava informatsiooni andmine peaks siiski toimuma tervishoiuteenuse osutaja vahendusel, kes peaks samas ka hindama selle leiu mõju konkreetsele inimesele, andma juhised järgnevaks käitumiseks, vajadusel suunama täiendavatele uuringutele või pakkuma täiendavat tervishoiuteenust, et inimene ei jääks tema tervist mõjutava informatsiooniga üksi ja ilma järgneva teenuseta. Vajalik on selgitada, kas eeldatud on, et terviseandmete juurdepääsu asutuses asuvad tööle tervishoiuspetsialistid, kes vastavat informeerimisõigust teostaksid või kuidas on mõeldud vastava regulatsiooni rakendamine.
16. Toetame turvaliste andmetöötluskeskkondade kasutusele võtmist, kuna see aitab andmete töötlemisel maandada turvalisuse ja isikuandmete kaitsega seotud riske. Samas peab liikmesriikidele jääma võimalus näha ette erandeid ning lubada näiteks pseudonüümitud andmete töötlemisel ja privaatsust säilitavate tehnoloogiate rakendamisel andmeid töödelda ka muul viisil väljaspool turvalist andmetöötluskeskkonda, kui on tagatud samaväärsed turvameetmed. Turvaliste töötlemiskeskkondade loomisel tuleks eelistada EL tasandi keskseid lahendusi, mis võimaldaks optimeerida taristu investeeringu- ja ülalpidamiskulusid. Kõigile andmevaldajatele turvalise töötlemiskeskkonna pakkumise kohustuse panemine ei ole põhjendatud ja proportsionaalne ning vältida tuleks andmete väljastamisega seonduvat liigset koormust üksikutele andmevaldajatele (sh tervishoiuteenuse osutajatele).
Põhjendus
Määruse eelnõu artiklis 50 on välja toodud nõuded terviseandmete turvalisele töötlemiskeskkonnale ning nõue, et terviseandmetele juurdepääsu asutused võimaldavad juurdepääsu elektroonilistele terviseandmetele üksnes turvalises töötlemiskeskkonnas koos tehniliste ja korralduslike meetmete ning turva- ja koostalitlusvõime nõuetega. Eesti ei pea põhjendatuks piirata andmetöötlust üksnes nimetatud turvalise töötlemiskeskkonnaga ning turva- ja koostalitlusvõime nõuetele vastavate alternatiivide kasutamine peab jääma liikmesriikide otsustada. Ühe tehnilise lahenduse eelistamine teistele võimalikele tehnilistele lahendustele läheb vastuollu IKÜM-i põhjenduspunktis 15 toodud tehnoloogilise neutraalsuse põhimõttega. See kahjustaks andmemajanduse arendamist tervishoiu valdkonnas, välistades uued ja esilekerkivad tehnilised lahendused elektrooniliste terviseandmete analüüsimiseks. Leiame, et regulatsioon peab määrama nõuded, mille alusel on lubatud andmetöötlus väljaspool turvalist andmetöötluskeskkonda või lubama riikidel kehtestada selle osas siseriiklikke erisusi tulenevalt riikide spetsiifikast. Innovatsiooni tagamise seisukohast on vajalik olla paindlik ja kohanduda erinevatele lahendustele, mistõttu ei ole põhjendatud ühe lahenduse eelistamine, nt teatud tüüpi AI algoritmide kasutamine ei pruugi keskses andmetöötluskeskkonnas olla võimalik.
Kuna turvaliste töötlemiskeskkondade kohaldatavad tehnilised, infoturbe- ja koostalitlusnõuded määratakse komisjoni kehtestatud rakendusaktidega, on keeruline hinnata nende nõuete sobivust riiklikele standarditele. Eesti leiab, et vajalikud proportsionaalsed riskimaandamise meetmed tuleb luua koostöös üle-euroopaliste ekspertidega ning turvalise andmetöötluskeskkonna loomine ning ülalpidamine ei tohiks riikidele tekitada ebaproportsionaalseid lisakulutusi. Vajalik on keskne lähenemine Euroopa üleselt ning võimalusel kasutada tsentraalseid komponente kulude optimeerimiseks. Eesti ei nõustu regulatsiooni nõudega, mille kohaselt igal andmevaldajal peaks olema oma turvaline andmetöötluskeskkond ning näeb alternatiivina riiklikku tsentraalset keskkonda või üle-euroopalist lahendust.
17. Eesti leiab, et terviseandmetele juurdepääsu asutuse ja teisese andmekasutaja käsitlemine kaasvastutavate töötlejatena vajab täiendavat õigusanalüüsi. Peame vajalikuks määruses täpsustada andmevaldajate, andmekasutajate ja juurdepääsuasutuste vastutuse jaotus kooskõlas isikuandmete kaitse üldmäärusega.
Põhjendus
Ettepaneku artikkel 51 näeb ette, et terviseandmete juurdepääsu asutus ja teisene andmekasutaja on kaasvastutavate töötlejate rollis. See tähendab, et elektrooniliste terviseandmete töötlemiseks antud loa alusel peaksid terviseandmetele juurdepääsu asutused ja andmekasutajad olema kaasvastutavad töötlejad määruse (EL) 2016/679 artikli 26 tähenduses ning kehtivad nimetatud määruse kohased kaasvastutavate töötlejate kohustused. Leiame, et taoline käsitlus ei ole kooskõlas andmekaitse üldmäärusega. Üldmääruse kohaselt on isikud kaasvastutavad töötlejad siis, kui nad otsustavad koos andmetöötlemise eesmärgi ja määravad ka vahendid töötlemiseks. Teisese andmekasutuse puhul ei määra töötlemise eesmärki terviseandmete juurdepääsu asutus, ja vahend (töötlemine turvalise töötlemisekeskkonna kaudu) on ette nähtud otsekohalduvas määruses, ehk seda otsust ei tee kumbki kaasvastutavatest töötlejatest, vaid see on teisese andmetöötluse eeltingimuseks. Kuna teisesel andmekasutajal peab endal olema töötlemiseks õiguslik alus (see ei tulene määruse regulatsioonist, mis sätestab kohustuse andmevaldajatel teiseseks kasutuseks andmeid väljastada), siis töötlemise eesmärgi määrab andmekasutaja (nt otsustab teadusuuringu läbiviija milleks, milliseid andmeid ta soovib kasutada). Eeltoodust tulenevalt tegutseb terviseandmete juurdepääsu asutus pigem volitatud töötlejana täitmaks tehnilist rolli juurdepääsu võimaldajana andmetöötluskeskkonna kaudu. Vastutavad töötlejad on siinkohal andmevaldaja, kes andmed teisesesse kasutusse suunab ja kelle vastutava töötleja roll lõpeb andmete kättesaadavaks tegemisega töötlemiskeskkonnas, ning sealt edasi andmekasutaja, kes tegutseb eraldiseseisva vastutava töötlejana.
Kindlasti on vajalik teostada täiendav mõju hindamine terviseandmete juurdepääsu asutustele langeva vastutuse ulatuse osas kõikide teisese andmekasutuse juhtude korral kaasvastutava töötlejana toimimise puhuks, juhul kui taolisele seisukohale siiski jäädakse. Samuti peaks komisjon välja töötama rakendusaktiga vormi, mida terviseandmetele juurdepääsu asutused ja andmekasutajad saavad kasutada kaasvastutavate töötlejate kokkuleppe sõlmimiseks, juhul kui kaasvastutavate isikute rollide juurde jäädakse, selleks, et toetada terviseandmetele juurdepääsu asutusi ja andmekasutajaid.
18. Peame oluliseks andmete kvaliteedi ja koosvõime tagamiseks vajalike põhimõtete ja meetmete kokku leppimist EL tasandil ning nõustume vabatahtliku andmete kvaliteedimärgise kasutuselevõtuga. Samas oleme seisukohal, et terviseandmeruumi määruse ja rakendusaktidega tuleks kohustuslikuna sätestada üksnes koosvõimeks ja taaskasutuseks vajalik miinimumregulatsioon, vältides ebavajaliku halduskoormuse tekitamist ja sellest tulenevaid barjääre kvaliteedimärgise kasutuselevõtul.
Põhjendus
Andmete usaldusväärsuse ja võrreldavuse tagamiseks on äärmiselt oluline liikmesriikidega kokku leppida ühtsed põhimõtted andmete kvaliteedi ja koosvõime parendamiseks ning säilitamiseks. Kiiremad ja asjakohasemad tervisejuhtimise otsused, kvaliteetsed terviseteenused ning igakülgselt toetatud teadus- ja arendustegevus on võimalik vaid kvaliteetse ning kõrge tehnilise ja semantilise koosvõimega terviseandmestikku kasutades.
Eestis kehtivad andmekvaliteedi kontrollid vastavalt kehtestatud standarditele. Tulenevalt terviseinfosüsteemi põhimäärusest on infosüsteemi volitatud töötlejal andmekvaliteedi tagamiseks õigus kontrollida infosüsteemi edastatud dokumendi vastavust standardile. Vastutav töötleja ja volitatud töötleja ei hinda osutatud teenuse kohta esitatud andmeid sisuliselt. Kui infosüsteemi volitatud töötleja avastab infosüsteemis ebakorrektsed andmed või teda teavitatakse andmete ebaõigsusest või ebakorrektsusest, peab volitatud töötleja andmete õigsust kontrollima ning ebaõiged või ebakorrektsed andmed parandama. Hetkel Eestis kehtivad meditsiinidokumentide kontrollid on välja toodud Tervise ja Heaolu Infosüsteemide teabekeskuse kodulehel. Eesti üldiselt toetab keskset üle-euroopalist lähenemist andmekvaliteedi tagamisele ning andmete kvaliteedi ja kasulikkuse märgise kasutuselevõttu.
Peame vajalikuks tugevdada rahvusvahelist koostööd andmete kvaliteedi tõstmiseks ning tagada keskne lähenemine. Oluline on tagada Eesti ja teiste liikmesriikide ekspertide kaasatus komisjoni delegeeritud aktide ja rakendusaktide väljatöötamisel ning piisav aeg muudatuste rakendamiseks. Peame oluliseks, et kehtestatavad nõuded reguleeriks koosvõimeks ja taaskasutuseks vajalikku miinimumi ning ei asetaks liigset halduskoormust väiksematele organisatsioonidele. Silmas tuleb pidada ka andmemääruse eelnõuga kehtestatavaid koosvõimenõudeid.
Eesti on andmemääruse seisukohtades juba välja toonud, et toetame ühtsete nõuete seadmist andmestike kirjeldamisele, tagamaks andmete laiemat leitavust ja taaskasutatavust. Oluline on, et komisjoni poolt kehtestatavate rakendusaktidega ei kehtestataks ebaproportsionaalseid ega ebavajalikke nõudeid minimaalsetele teabeelementidele. Eesti soovib, et regulatsiooni tasandil reguleeritakse üksnes koosvõimeks ja taaskasutuseks vajalikku miinimumi vältides ebamõistlikku halduskoormust väiksematele organisatsioonidele, seega toetame, et artiklis 56 lõige 3 kirjeldatud vabatahtliku märgise nõuetest oleks kohustuslikuna sätestatud vaid lõike nõudeid a) – c) (andmete dokumentatsioon, tehniline kvaliteet, andmekvaliteedi juhtimise protsessid) ning need peaksid jääma ka rakendusaktides minimaalsele tasandile. Seetõttu suhtume reservatsiooniga komisjoni õigusesse rakendusaktidega kehtestada täiendavaid nõudeid. Andmestike üldkirjeldus peaks olema kooskõlas DCAT-AP standardiga, mida rakendusaktid võivad laiendada aga mitte asendada. Rakendamise tehniliseks eelduseks on semantilise koosvõime ja tehnilise standardi rakendusaktid ning seega tuleb liikmesriikidega keskselt üle vaadata rakendumise tähtajad, et need oleksid realistlikud.
Leiame, et andmeruumide üleste andmete leitavuse parandamiseks ning andmete ristkasutuse toetamiseks võib olla otstarbekas kasutada juba olemasolevat keskkonda data.europa.eu. Nendime, et loodav (tervise)andmeruum ei jää viimaseks omataoliste seas. Eesti peab oluliseks artiklis 57 välja pakutud eraldiseisva Euroopa Liidu terviseandmestiku kataloogi loomise mõju hindamist alternatiivselt lahendusele, kus kasutatakse juba olemasolevat data.europa.eu andmekataloogide keskkonda.
VI ptk juhtimine ja koordineerimine
19. Toetame liikmesriikide koostöö tõhustamiseks ja piiriülese digitaristu sujuvamaks toimimiseks Euroopa terviseandmeruumi nõukogu loomist.
Põhjendus
Ettepanekuga tugevdatakse ka olemasolevat terviseandmete kasutuse juhtimist riiklikul ja ELi tasandil. See tugineb praegusele andmete esmase kasutuse alasele koostööle e-tervise võrgustiku raames. Liikmesriigid teevad ELi tasandil koostööd, et tagada kahe (esmase ja teisese) piiriülese digitaristu sujuv toimimine. Luuakse uus ühtse Euroopa terviseandmeruumi nõukogu, mida juhib komisjon ja mis koosneb kõigi liikmesriikide digitaalse tervishoiu asutuste ja terviseandmetele juurdepääsu asutuste esindajatest ning, sõltuvalt töövaldkonnast, vaatlejatest. Nõukogu aitab kaasa määruse järjepidevale kohaldamisele kogu ELis, koordineerib ja vahetab parimaid tavasid ning teeb ELi tasandil koostööd teiste asutustega. Oluline on tagada nõukogu selge ja üheselt arusaadav toimimine ning tagada laiapõhjaline liikmesriikide vastavate ekspertide kaasatus loodavates alarühmades.
20. Eesti toetab lähenemist, mis võimaldab karistuse määrade ja menetluse liigi osas jätta teatava pädevuse ja paindlikkuse nende kehtestamiseks liikmesriikidele. Ennekõike on tähtis, et ei viidataks karistuste haldusõiguslikule iseloomule, sest halduskaristuse mõistel puudub Euroopa Liidus üheselt mõistetav definitsioon. Peame oluliseks paindlikkust, mis jätab liikmesriigile võimaluse, et iga rikkumise eest ei pea määrama karistust (ultima ratio). Teeme ettepaneku sätestada, et karistused on võimalik määrata üksnes tõsisemate (või konkreetsete) rikkumiste puhul. Leiame, et karistused tuleks sätestada vaid juriidilistele isikutele.
Põhjendus
Määruse artikli 69 kohaselt peavad liikmesriigid kehtestama määruse rikkumise korral kohaldatavad karistusnormid ja võtma kõik vajalikud meetmed nende rakendamise tagamiseks. Karistused peavad olema tõhusad, proportsionaalsed ja hoiatavad. Määruse artikli 43 kohaselt võivad terviseandmetele juurdepääsu asutused määrata andmevaldajatele ja andmekasutajatele teisese andmekasutamisega seotud nõuete mittetäitmise korral karistusi. Näiteks võidakse andmeluba tühistada ja välistada andmekasutaja juurdepääs elektroonilistele terviseandmetele kuni viieks aastaks. Andmevaldajale, kes tahtlikult takistab andmetele juurdepääsu, on juurdepääsuasutusel õigus määrata trahv. Trahvisumma määrab juurdepääsuasutus ning see peab olema läbipaistev ja proportsionaalne Komisjon võib esitada suuniseid karistuste kohta, mida terviseandmetele juurdepääsu asutused peavad kohaldama.
Leiame, et määruse eelnõus on jäetud liikmesriikidele piisav paindlikkus karistuse määrade ja menetluse liigi kehtestamiseks. Euroopa Liidu õiguses ei ole kunagi halduskaristuse mõistet sisustatud, selles kontekstis tuntakse üksnes kriminaalõiguslikke ja mitte-kriminaalõiguslikke karistusi. Seejuures viimaste korral, kui õigusakt ei viita sanktsiooni liigile, on liikmesriigil diskretsioon neid mistahes menetluses kohaldada.40 Seega juhul, kui läbirääkimiste käigus tehakse ettepanekuid tekstis halduskaristuse (administrative penalties) mõistele viitamiseks, siis Eesti seda ei toeta, kuna EL õiguses ei ole ühtset arusaama, mida see mõiste tähendab. Mööname samas, et piiriüleste menetluste ja ühetaolise rakendamise huvides tuleks kaaluda võimalusi määra ülempiiride ja aluspõhimõtete ühtlustamiseks. Vajadusele ühetaoliseks lähenemiseseks on tähelepanu juhitud ka Euroopa Andmekaitsenõukogu arvamuses41.
Samuti leiame, et liikmesriikidele peaks jääma paindlikkus sanktsioneerida vaid teatud raskemaid rikkumisi (ultima ratio põhimõte), s.t et iga rikkumine ei pea olema kohustuslikus korras karistatav. Teeme ettepaneku täiendada teksti selliselt, et karistused on üksnes tõsisemate (või konkreetsete) rikkumiste korral.
Liikmesriigil peab jääma maksimaalne paindlikkus, et kasutada enda õigussüsteemis kõige sobivamat sanktsioonisüsteemi ja -liiki. Täiendavalt tuleks kaaluda seda, et sätestada karistused üksnes teatud raskemate rikkumiste eest. Kuna tegemist on kõrges ülemmääras rahatrahvidega, mille puhul ei ole isikule tagatavate põhiõiguste ulatus selge, tuleks piirduda üksnes juriidiliste isikute sanktsioneerimisega.
21. Eesti toetab määruse rakendamisel astmelist üleminekuaega ning peame vajalikuks, et üleminekuajad oleksid realistlikud, arvestades seejuures rakendusaktide vastuvõtmise ajakava ja tehniliste võimekuste loomiseks vajalikku aega.
Põhjendus
Ühtse Euroopa terviseandmeruumi määruse artikkel 72 sätestab, et määrust kohaldatakse alates 12 kuu möödumisest selle jõustumisest, millele rakenduvad mõned erandid (artiklid 3, 4, 5, 6, 7, 12, 14, 23, 31). Eesti toetab rakendamiseks välja pakutud astmelist üleminekuaega, kuid niivõrd lühikeses ajaraamis määruse rakendamine ei ole realistlik võttes arvesse andmete teiseseks kasutuseks nõutava tehnilise võimekuse, sh turvalise andmetöötluskeskkonna, loomist. Näiteks IV peatükis sätestatud teisese andmekasutusega seotud sätete rakendamise üleminekuaeg peaks olema vähemalt 3 aastat IV peatükis toodud rakendusaktide vastuvõtmisest, sest alles siis tekivad lõplikud standardid, tingimused ja nõuded nii turvalistele töötlemiskeskkondadele, teisese kasutuse andmekategooriatele, kui ka ülesanded terviseandmete juurdepääsu asutustele ja kohustused andmevaldajatele.
Teisese andmekasutuse piiriülene võimekus sõltub tervikuna Euroopa andmeruumi koosvõime tagamisest, st kesksete tehniliste nõuete, standardite ning spetsifikatsioonide loomisest. Enne kõikidele tervisevaldkonna andmevaldajatele langeva teisese andmekasutuse võimaldamise kohustuse heakskiitmist on vajalik saada suurem selgus rakendusaktides kavandatavate aspektide kohta. Kui EL ebaõnnestub rakendusaktide kokkulepete saavutamises, võib lisanduda järjekordne killustatuse kiht, mis takistaks terviseandmeruumi eesmärkide saavutamist ja tulemuseks on mitte soodsam keskkond teadusuuringuteks ja innovatsiooniks, vaid pigem ebaselguse ja halduskoormuse suurenemine.
Kuna andmete vahetamine piiriüleselt saab võimalikuks vaid olukorras, kus kõik liikmesriigid on suutnud luua võimekuse turvaliseks andmevahetuseks, tuleb üleminekuaja sätestamisel arvestada tehnilise võimekuse loomiseks kuluvat aega ja liikmesriikide tehnilise valmisoleku erinevat taset. Euroopa terviseandmeruumist on võimalik oodatud kasu saada vaid siis, kui on tagatud liikmesriikide ühetaoline võimekus selle rakendamiseks. Eesti ei poolda killustatud rakendamist.
ARVAMUSE SAAMINE JA KOOSKÕLASTAMINE
Seisukohad on kooskõlastatud majandus- ja kommunikatsiooniministeeriumi, haridus- ja teadusministeeriumi, justiitsministeeriumi ja rahandusministeeriumiga.
Komisjoni ettepanekud edastati arvamuse avaldamiseks justiitsministeeriumile, majandus-ja kommunikatsiooniministeeriumile, haridus-ja teadusministeeriumile, Statistikaametile, Tervisekassale, Terviseametile, Tervise Arengu Instituudile, Ravimiametile, Tervise ja Heaolu Infosüsteemide Keskusele, Andmekaitse Inspektsioonile, Eesti Puuetega Inimeste Kojale, Eesti Patsientide Liidule, Kliinikumi Patsientide Nõukojale, Eesti Perearstide Seltsile, Haiglate Liidule, Eesti Arstide Liidule, Eesti Õdede Liidule, Põhja-Eesti Regionaalhaiglale, Tartu Ülikooli Kliinikumile, Ida-Viru Keskhaiglale, Ida-Tallinna Keskhaiglale, Tervisetehnoloogiate ja Connected Health klastrile, Eesti Infotehnoloogia ja Telekommunikatsiooni Liidule, Eesti bioeetika ja inimuuringute nõukogule, TÜ Genoomi instituudile, TalTechi Tervisetehnoloogiate instituudile.
08.06.2022 toimus eelnõu tutvustus füüsiliselt ja virtuaalselt, kus osalesid järgnevate organisatsioonide esindajad: riigikantselei, justiitsministeerium, majandus- ja kommunikatsiooniministeerium, Statistikaamet, Tervisekassa, Terviseamet, Tervise Arengu Instituut, Eesti Puuetega Inimeste Koda, Eesti Perearstide Selts, Eesti Arstide Liit, Eesti Õdede Liit, Põhja-Eesti Regionaalhaigla, Tartu Ülikooli Kliinikum, Ida-Viru Keskhaigla, Ida-Tallinna Keskhaigla, Tervisetehnoloogia ja Connected Health klaster, Eesti Infotehnoloogia ja Telekommunikatsiooni Liit, Tartu Ülikool, TalTech Tervisetehnoloogiate instituut. Eelnõu tutvustuse jätkukohtumised toimusid virtuaalselt 30.06.2022 (fookuses andmete teisene kasutamine) ja 05.07.2022 (fookuses andmete esmane kasutamine, andmekvaliteet ja andmete parandamine).
Arvamuse saatsid justiitsministeerium ja andmekaitse inspektsioon, majandus- ja kommunikatsiooniministeerium, haridus-ja teadusministeerium, Tartu Ülikool, TalTech (Tallinna Tehnikaülikool), Roche, Cybernetica AS.
Saabunud sisendid on esitatud kaasamise tabelis (lisa 1).