ΜΕΡΟΣ IV ΤΡΑΠΕΖΕΣ ΔΕΔΟΜΕΝΩΝ ΥΓΕΙΑΣ
Ίδρυση Τράπεζας Παρόχου

26. Εντός καθορισμένου από την Αρχή χρονικού διαστήματος, κάθε πάροχος δημιουργεί Τράπεζα Παρόχου.

Βασικές λειτουργίες της Τράπεζας Παρόχου

27.-(1) Στην Τράπεζα Παρόχου εκτελούνται οι ακόλουθες βασικές λειτουργίες:

(α) Η καταχώριση, η τήρηση και η ηλεκτρονική αποθήκευση του βασικού συνόλου των δεδομένων υγείας του πολίτη∙

(β) η καταχώριση, η τήρηση και η ηλεκτρονική αποθήκευση-

(i) του εκτεταμένου συνόλου δεδομένων υγείας του πολίτη

(ii) τυχόν άλλων δεδομένων υγείας πέραν αυτών που καταχωρίζονται στο βασικό και στο εκτεταμένο σύνολο δεδομένων υγείας, προαιρετικά για κάθε πολίτη:

Νοείται ότι για τα δεδομένα υγείας που τηρούνται στην Τράπεζα Παρόχου, ο πάροχος διασφαλίζει την τήρηση κατ’ αναλογία, των μέτρων ασφαλείας που τηρούνται από την Τράπεζα, όπως καθορίζονται στο άρθρο 33 του παρόντος Νόμου∙

(γ) η επεξεργασία των δεδομένων υγείας∙

(δ) η τήρηση αντιγράφων ασφαλείας των δεδομένων υγείας που βρίσκονται στη δική του Τράπεζα Παρόχου:

Νοείται ότι η οποιαδήποτε ανάκτηση δεδομένων από αντίγραφα ασφαλείας καταγράφεται ώστε να είναι δυνατή η αξιολόγηση της φύσης και η εμβέλεια οποιασδήποτε απώλειας δεδομένων συνεπεία οποιασδήποτε διακοπής λειτουργίας του συστήματος και λογισμικού της Τράπεζας Παρόχου∙

(ε) η διάθεση προς τον πολίτη και τον νενομισμένο αντιπρόσωπό του των δεδομένων υγείας που τον αφορούν∙

(στ) η διαλειτουργικότητα με άλλα συστήματα ηλεκτρονικής υγείας για σκοπούς άλλη-λοενημέρωσης για εξυπηρέτηση της καλύτερης παροχής υπηρεσίας υγείας προς τον πολίτη.

(2) Το περιεχόμενο του εκτεταμένου συνόλου δεδομένων υγείας που αναφέρεται στην υποπαράγραφο (i) της παραγράφου (β) του εδαφίου (1) καθορίζεται με διάταγμα του Υπουργού κατόπιν εισήγησης της Αρχής.

(3) Ο πάροχος και οι εξουσιοδοτημένοι από αυτόν εργοδοτούμενοί του τηρούν πλήρως εμπιστευτικά τα δεδομένα υγείας που περιλαμβάνονται στην Τράπεζα Παρόχου που διατηρούν ως αποτέλεσμα της απασχόλησής τους, χωρίς επηρεασμό οποιωνδήποτε άλλων νόμιμων υποχρεώσεων τήρησης εμπιστευτικότητας.

(4) Οι λειτουργίες που αναφέρονται στον παρόν άρθρο αποτελούν το ελάχιστο σύνολο λειτουργιών που εκτελούνται στο ηλεκτρονικό σύστημα διαχείρισης της Τράπεζας Παρόχου.

Ίδρυση Ενιαίας Τράπεζας Ηλεκτρονικών Φακέλων Υγείας

28. Η Αρχή δημιουργεί και λειτουργεί την Ενιαία Τράπεζα Ηλεκτρονικών Φακέλων Υγείας στην οποία δημιουργείται και αποθηκεύεται ο Ηλεκτρονικός Φάκελος Υγείας του Πολίτη:

Νοείται ότι η Αρχή δύναται να αναθέτει το σχεδιασμό, την ανάπτυξη, τη διατήρηση και τη λειτουργία της Ενιαίας Τράπεζας σε ανάδοχο κατόπιν δημόσιου διαγωνισμού.

Γενικές αρχές που εφαρμόζονται από την Ενιαία Τράπεζα Ηλεκτρονικών Φακέλων Υγείας

29.-(1) Η Αρχή φροντίζει, ώστε να εφαρμόζονται οι ακόλουθες γενικές αρχές στην τήρηση της Ενιαίας Τράπεζας Ηλεκτρονικού Φακέλου Υγείας:

(α) Η αρχή της ασφάλειας, σύμφωνα με την οποία στο πλαίσιο κάθε αλλαγής ή εισαγωγής ή αναγνωσιμότητας δεδομένων υγείας από τους χρήστες διασφαλίζεται η ιδιωτικότητα, η εμπιστευτικότητα και η ακεραιότητα των δεδομένων υγείας.

(β) Η αρχή της διασυνδεσιμότητας, με την οποία διασφαλίζεται η δυνατότητα διανομής και ανταλλαγής δεδομένων σε σημασιολογικό επίπεδο, ώστε να καθίσταται εφικτή τόσο η αναγνωσιμότητα των δεδομένων υγείας από τους χρήστες όσο και η αυτοματοποιημένη επεξεργασία των δεδομένων από άλλα συστήματα.

(γ) Η αρχή της ευρύτητας και περιεκτικότητας, σύμφωνα με την οποία παρέχεται η δυνατότητα υποστήριξης πολλών τύπων δεδομένων υγείας, υποστήριξης εισαγωγής δεδομένων σε δομημένη μορφή, καθώς και σε μορφή ελευθέρου κειμένου.

(δ) Η αρχή της μεταφοράς, σύμφωνα με την οποία τα δεδομένα υγείας είναι μεταφέρσιμα και συνενώσιμα με τους χρήστες, ανεξάρτητα από το υλισμικό, το λογισμικό και την εθνική γλώσσα που χρησιμοποιεί ο καθένας.

(ε) Η αρχή της εξέλιξης, σύμφωνα με την οποία παρέχεται η δυνατότητα υποστήριξης του Ηλεκτρονικού Φακέλου Υγείας για μακρά χρονικά διαστήματα, μέσω της συμβατότητας επεξεργασίας του από προηγούμενες και επόμενες εκδόσεις συστημάτων λογισμικού με τρόπο ώστε να διατηρείται διαχρονικά η δυνατότητα ανάκτησης δεδομένων από την Τράπεζα ανεξαρτήτως οποιωνδήποτε αναβαθμίσεων ή αλλαγών του λογισμικού της ή του υλισμικού της.

(στ) Η αρχή της διαθεσιμότητας και ανακτησιμότητας, σύμφωνα με την οποία διασφαλίζεται η αδιάλειπτη λειτουργία για παροχή δεδομένων υγείας προς το χρήστη.

(2) Οι τεχνικές προδιαγραφές που προσδιορίζουν την εφαρμογή των πιο πάνω γενικών αρχών καθορίζονται και επικαιροποιούνται με οδηγίες που εκδίδει η Αρχή.

Βασικές λειτουργίες της Ενιαίας Τράπεζας Ηλεκτρονικών Φακέλων

30.-(1) Η Αρχή φροντίζει, ώστε να εκτελούνται οι ακόλουθες βασικές λειτουργίες στην Ενιαία Τράπεζα Ηλεκτρονικών Φακέλων Υγείας:

(α) Δημιουργία, τήρηση και ηλεκτρονική αποθήκευση του Ηλεκτρονικού Φάκελου Υγείας κάθε πολίτη της Δημοκρατίας∙

(β) επεξεργασία των δεδομένων υγείας που περιλαμβάνονται στον Ηλεκτρονικό Φάκελο Υγείας και τυχόν μετατροπή τους σε ανώνυμες βάσεις δεδομένων, ώστε να μπορούν να τύχουν χρήσης από ηλεκτρονικές τράπεζες ανώνυμων βιοϊατρικών πληροφοριών που δύναται να δημιουργηθούν:

Νοείται ότι η εξαγωγή των δεδομένων υγείας από την Ενιαία Τράπεζα Ηλεκτρονικών Φακέλων Υγείας γίνεται μόνο με τη συγκατάθεση κάθε πολίτη για συμπερίληψη των προσωπικών του δεδομένων σε ανώνυμες βάσεις δεδομένων.

(γ) ηλεκτρονική επικοινωνία και διάθεση των δεδομένων υγείας στους εξουσιοδοτημένους χρήστες του Ηλεκτρονικού Φακέλου Υγείας∙ και

(δ) εξασφάλιση της διαλειτουργικότητας του Ηλεκτρονικού Φακέλου Υγείας με άλλα συστήματα ηλεκτρονικής υγείας.

(2) Οι λειτουργίες που αναφέρονται στο εδάφιο (1) αποτελούν το ελάχιστο σύνολο λειτουργιών που η Τράπεζα δύναται να επιτελεί.

(3) Η τήρηση και η αποθήκευση των δεδομένων του Ηλεκτρονικού Φακέλου Υγείας από την Τράπεζα Ηλεκτρονικού Φακέλου Υγείας γίνεται στο έδαφος της Δημοκρατίας και κρυπτογραφημένο και επικαιροποιημένο αντίγραφο του φακέλου τηρείται σε ασφαλή τοποθεσία τουλάχιστον είκοσι (20) χιλιομέτρων από τα κύρια αποθετήρια στο έδαφος της Δημοκρατίας.

(4) Σε εγκεκριμένο από την Αρχή χώρο εκτός του εδάφους της Δημοκρατίας και εντός της επικράτειας της Ευρωπαϊκής Ένωσης γίνεται τήρηση και αποθήκευση των κρυπτογραφημένων βάσεων δεδομένων.

(5) Στον Ηλεκτρονικό Φάκελο Υγείας καταγράφεται οποιαδήποτε ανάκτηση δεδομένων από αντίγραφα ασφαλείας, ούτως ώστε να είναι δυνατή η αξιολόγηση της φύσης και η εμβέλεια οποιασδήποτε απώλειας δεδομένων συνεπεία οποιασδήποτε διακοπής λειτουργίας του συστήματος και λογισμικού της Τράπεζας.

(6) Η ανταλλαγή δεδομένων για τις ανάγκες πρόσβασης και ενημέρωσης δεδομένων γίνεται σύμφωνα με τα διεθνή και αποδεκτά προφίλ ολοκλήρωσης.

Έσοδα από εκμετάλλευση ανώνυμων βάσεων δεδομένων

31. Οποιαδήποτε έσοδα εισπράττονται από τυχόν μετατροπή δεδομένων υγείας που περιλαμβάνονται στον Ηλεκτρονικό Φάκελο Υγείας σε ανώνυμες βάσεις δεδομένων αλλά και από τη διάθεση αυτών των δεδομένων από τις ανώνυμες βάσεις δεδομένων σε τρίτους κατατίθενται στο πάγιο ταμείο της Δημοκρατίας και μέρος αυτών παραχωρείται στην Αρχή με σκοπό τη διαχείριση και διάθεσή τους προς όφελος του πολίτη.

Βασικά στοιχεία κάθε καταχώρισης στον Ηλεκτρονικό Φάκελο Υγείας

32. Οποιαδήποτε πρόσβαση στον Ηλεκτρονικό Φάκελο Υγείας καταγράφεται και η καταγραφή περιέχει τουλάχιστον τα ακόλουθα στοιχεία:

(α) Την ημερομηνία και ώρα πρόσβασης∙

(β) το μοναδικό αριθμό καταγραφής συναλλαγής∙

(γ) το είδος επεξεργασίας των δεδομένων∙

(δ) το μοναδικό ηλεκτρονικό αναγνωριστικό κωδικό του προσώπου που έχει πρόσβαση∙

(ε) το μοναδικό κωδικό ταυτοποίησης των δεδομένων που έχουν χρησιμοποιηθεί∙

(στ) τα κριτήρια αναζήτησης∙ και

(ζ) οποιαδήποτε μηνύματα σφάλματος για αναζητήσεις που καταλήγουν σε μηνύματα σφάλματος.

Μέτρα ασφάλειας που τηρούνται από την Τράπεζα

33.-(1) Η Αρχή για να αντιμετωπίσει την υποκλοπή πληροφορίας κατά τη μετάδοση του μηνύματος, την αλλοίωση της πληροφορίας, την παραποίηση της ταυτότητας του παραλήπτη ή/και του αποστολέα και την αλλαγή ή διαγραφή του λογισμικού της Τράπεζας, διασφαλίζει ότι τηρούνται τα πιο κάτω μέτρα ασφάλειας:

(α) Η αυθεντικότητα της ταυτότητας των χρηστών μιας ανταλλαγής δεδομένων∙

(β) η εξουσιοδοτημένη πρόσβαση του χρήστη και η απαγόρευση της πρόσβασης σε μη εξουσιοδοτημένα πρόσωπα∙

(γ) η τήρηση του απορρήτου των δεδομένων υγείας σύμφωνα με τις διατάξεις του περί της Προστασίας των Φυσικών Προσώπων Έναντι της Επεξεργασίας των Δεδομένων Προσωπικού Χαρακτήρα και της Ελεύθερης Κυκλοφορίας των Δεδομένων αυτών Νόμου και του Κανονισμού (ΕΕ) 2016/679∙

(δ) η διάθεση των δεδομένων υγείας μόνο στους χρήστες που είναι εξουσιοδοτημένοι∙

(ε) η κρυπτογράφηση όλων των δεδομένων υγείας που είναι στα αποθετήρια της Τράπεζας και στους χώρους τήρησης των αντιγράφων ασφαλείας∙

(στ) η διασφάλιση της ακεραιότητας των δεδομένων υγείας, ώστε να μην μπορούν να υποστούν αλλοίωση∙

(ζ) η δυνατότητα ελέγχου του προσώπου και του χρόνου που το πρόσωπο αυτό προέβη σε κάθε τροποποίηση ή επεξεργασία των δεδομένων∙

(η) η απόδοση οποτεδήποτε της ευθύνης για την εισαγωγή, πρόσβαση ή τροποποίηση κάθε δεδομένου σε κάθε χρήστη∙

(θ) η τεκμηρίωση των διαδικασιών της επεξεργασίας, ώστε να μπορούν να ελεγχθούν∙

(ι) η τήρηση αντιγράφων ασφαλείας, όπως καθορίζεται στις διατάξεις του άρθρου 30.

(2) Η Αρχή διασφαλίζει ότι-

(α) Kάθε αλλαγή υφιστάμενων δεδομένων ή εισαγωγή νέων δεδομένων στον Ηλεκτρονικό Φάκελο Υγείας φαίνεται ευκρινώς μαζί με την ημερομηνία και την ώρα που έχει γίνει∙ και

(β) η ημερομηνία και ώρα του λογισμικού της Τράπεζας είναι ορθή.