BIJLAGE II

Essentiële vereisten voor de geharmoniseerde softwarecomponenten van EPD-systemen en voor producten waarvoor aanspraak is gemaakt op interoperabiliteit met EPD-systemen

De in deze bijlage vastgestelde essentiële vereisten zijn van overeenkomstige toepassing op medische hulpmiddelen, hulpmiddelen voor in-vitrodiagnostiek, AI-systemen en wellnessapps die naar verluidt interoperabel zijn met EPD-systemen.

1.   Algemene vereisten

1.1.

De geharmoniseerde softwarecomponenten van EPD-systemen moeten de door de fabrikant beoogde prestaties leveren en zodanig zijn ontworpen en vervaardigd dat zij onder normale gebruiksomstandigheden geschikt zijn voor het beoogde doeleind en de veiligheid van de patiënt niet in gevaar brengen.

1.2.

De geharmoniseerde softwarecomponenten van EPD-systemen moeten zodanig zijn ontworpen en ontwikkeld dat het EPD-systeem kan worden geleverd en geïnstalleerd, met inachtneming van de instructies en informatie van de fabrikant, zonder dat dit negatieve gevolgen heeft voor de kenmerken en prestaties ervan tijdens het beoogde gebruik.

1.3.

EPD-systemen moeten zodanig zijn ontworpen en ontwikkeld dat de interoperabiliteits-, veiligheids- en beveiligingskenmerken ervan de rechten van natuurlijke personen waarborgen, in overeenstemming met het beoogde doeleind van het EPD-systeem, zoals uiteengezet in hoofdstuk II.

1.4.

De geharmoniseerde softwarecomponenten van EPD-systemen dat bedoeld is om samen met andere producten, waaronder medische hulpmiddelen, te worden gebruikt, moeten zodanig zijn ontworpen en vervaardigd dat de interoperabiliteit en compatibiliteit betrouwbaar en veilig zijn, en dat persoonlijke elektronische gezondheidsgegevens tussen het hulpmiddel en het EPD-systeem kunnen worden gedeeld met betrekking tot die geharmoniseerde softwarecomponenten van een EPD-systeem.

2.   Vereisten inzake interoperabiliteit

2.1.

Wanneer EPD-systemen zijn ontworpen om persoonlijke elektronische gezondheidsgegevens op te slaan of te bemiddelen, voorzien ze in een interface die toegang biedt tot de persoonlijke elektronische gezondheidsgegevens die ze door middel van de Europese interoperabiliteitssoftwarecomponent voor EPD-systemen verwerken in het Europees uitwisselingsformat voor elektronische patiëntendossiers.

2.2.

Wanneer EPD-systemen zijn ontworpen om persoonlijke elektronische gezondheidsgegevens op te slaan of te bemiddelen, zijn ze in staat om door middel van de Europese interoperabiliteitssoftwarecomponent voor EPD-systemen persoonlijke elektronische gezondheidsgegevens te ontvangen in het Europees uitwisselingsformat voor elektronische patiëntendossiers.

2.3.

Wanneer EPD-systemen zijn ontworpen om toegang te verlenen tot persoonlijke elektronische gezondheidsgegevens, zijn ze in staat om door middel van de Europese interoperabiliteitssoftwarecomponent voor EPD-systemen persoonlijke elektronische gezondheidsgegevens te ontvangen in het Europees uitwisselingsformat voor elektronische patiëntendossiers.

2.4.

EPD-systemen met een functionaliteit voor het invoeren van gestructureerde persoonlijke elektronische gezondheidsgegevens maken het mogelijk gegevens in te voeren die voldoende granulariteit bieden om de ingevoerde persoonlijke elektronische gezondheidsgegevens te kunnen verstrekken in het Europees uitwisselingsformat voor elektronische patiëntendossiers.

2.5.

De geharmoniseerde softwarecomponenten van EPD-systemen mogen geen kenmerken bevatten die de rechtmatige toegang, het delen van persoonlijke elektronische gezondheidsgegevens of het gebruik van persoonlijke elektronische gezondheidsgegevens voor toegestane doeleinden verbieden, beperken of onnodig belasten.

2.6.

De geharmoniseerde softwarecomponenten van EPD-systemen mogen geen kenmerken bevatten die de rechtmatige export van persoonlijke elektronische gezondheidsgegevens met het oog op de overstap op een ander EPD-systeem verbieden, beperken of onnodig belasten.

3.   Eisen inzake beveiliging en logbestanden

3.1.

EPD-systemen die zijn ontworpen om door gezondheidswerkers te worden gebruikt, moeten voorzien in betrouwbare mechanismen voor de identificatie en authenticatie van gezondheidswerkers.

3.2.

De Europese logsoftwarecomponenten van EPD-systemen die zijn ontworpen om zorgaanbieders of andere personen toegang te bieden tot persoonlijke elektronische gezondheidsgegevens, moeten voldoende loggingmechanismen bieden om ten minste de volgende informatie over elke toegangsgebeurtenis of groep van gebeurtenissen in een logbestand te registreren: a) identificatie van de zorgaanbieder of andere personen die toegang hebben gehad tot de persoonlijke elektronische gezondheidsgegevens; b) identificatie van de specifieke natuurlijke persoon of personen die toegang heeft of hebben gehad tot de persoonlijke elektronische gezondheidsgegevens; c) de categorieën gegevens waartoe toegang is verkregen; d) het tijdstip en de datum van inzage; e) de herkomst van de gegevens.

3.3.

De geharmoniseerde softwarecomponenten van EPD-systemen moeten instrumenten of mechanismen bevatten om de gegevens in het logbestand te evalueren en te analyseren, of de verbinding met en het gebruik van externe software voor dezelfde doeleinden ondersteunen.

3.4.

De geharmoniseerde softwarecomponenten van EPD-systemen waarin persoonlijke elektronische gezondheidsgegevens worden opgeslagen, moeten verschillende bewaringstermijnen ondersteunen, alsmede toegangsrechten die rekening houden met de oorsprong en categorieën van de elektronische gezondheidsgegevens.