Terveysalan mobiilisovelluksia koskevien käytännesääntöjen ensimmäiset versiot laadittiin Euroopan komission vuonna 2014 julkaiseman mobiiliterveysalan vihreän kirjan kuulemisen pohjalta. Kuulemisessa kävi ilmi, että ihmiset eivät useinkaan luota terveysalan mobiilisovelluksiin yksityisyyteen liittyvien huolenaiheiden vuoksi.
Kuulemisen jälkeen Euroopan komissio kannusti alan sidosryhmiä laatimaan terveysalan mobiilisovelluksia koskevat yksityisyyden suojaa koskevat käytännesäännöt luottamuksen lisäämiseksi.
Tavoitteena oli, että käytännesäännöt saisivat Euroopan tietosuojaviranomaisten virallisen hyväksynnän. Nykyisen yleisen tietosuoja-asetuksen (GDPR) nojalla käytännesääntöjen arviointi kuuluu Euroopan tietosuojaneuvoston toimivaltaan. Euroopan tietosuojaneuvoston hyväksymille koodeille voidaan myöntää yleinen pätevyys kaikkialla täytäntöönpanosäädöksellä.
Historia ja nykyinen tila
Mobiilia terveyssäännöstöä koskeva työ alkoi huhtikuussa 2015, kun alan jäsenten valmisteluryhmä alkoi kehittää käytännesääntöjen tekstiä. Euroopan komissio on toiminut välittäjänä, tarjonnut oikeudellista ja poliittista asiantuntemusta ja resursseja sekä valvonut tämän työn kehittämistä.
Tähän valmisteluryhmään kuuluivat App Association (ACT), App Developers Alliance, Apple, COCIR, Digital Europe, ECHA, DHACA, EFPIA, Google, Intel, Microsoft, Qualcomm ja Samsung. He työskentelivät säännöllisissä kokouksissa ja esittelivät työtä erilaisissa tilaisuuksissa saadakseen lisäpalautetta. Visiona oli, että käytännesääntöjen olisi oltava helposti ymmärrettäviä pk-yrityksille ja yksittäisille kehittäjille, joilla ei ehkä ole oikeudellista asiantuntemusta.
Valmisteluryhmä toimitti työn varhaisen version 29 artiklan mukaiselle työryhmälle kesäkuussa 2016 ensimmäistä palautekierrosta varten. Työryhmän esittämien parannusehdotusten jälkeen käytännesäännöt laadittiin uudelleen (.pdf), ja ne toimitettiin virallisesti 7. joulukuuta 2017 tietosuojadirektiivin mukaista hyväksyntää varten.
Työryhmä julkaisi arvionsa huhtikuussa 2018. Se totesi, että yleisen tietosuoja-asetuksen kriteereitä olisi sovellettava ja että voimassa olevissa käytännesäännöissä ei vielä ole otettu riittävästi huomioon näitä vaatimuksia. Tämän seurauksena säännöstöä ei hyväksytty.
Seuraavat vaiheet
Komissio toimii useiden alan sidosryhmien kanssa kannustaakseen nykyisen käytännesääntöjen luonnoksen jatkokehittämiseen, jotta se voidaan tulevaisuudessa toimittaa Euroopan tietosuojaneuvostolle virallisen hyväksynnän saamiseksi.
Tärkeimmät säännökset sovelluskehittäjille
Nykyinen käytännesääntöjen luonnos koostuu käytännön ohjeista sovelluskehittäjille tietosuojaperiaatteista samalla kun kehitetään mobiiliterveyssovelluksia. Käytännesäännöissä käsitellään erityisesti seuraavia aiheita:
Käyttäjän suostumus
Käyttäjän suostumuksen henkilötietojen käsittelyyn on oltava vapaa, täsmällinen ja informoitu. Terveystietojen käsittelyä varten on saatava nimenomainen suostumus. Suostumuksen peruuttamisen on johdettava käyttäjän henkilötietojen poistamiseen.
Käyttötarkoituksen rajoittaminen ja tietojen minimointi
Tietoja saa käsitellä vain tiettyjä ja laillisia tarkoituksia varten. Ainoastaan tietoja, jotka ovat ehdottoman välttämättömiä sovelluksen toimivuuden kannalta, voidaan käsitellä.
Sisäänrakennettu ja oletusarvoinen yksityisyys
Sovelluksen yksityisyysvaikutukset on otettava huomioon kaikissa kehitysvaiheissa ja missä tahansa käyttäjälle annetaan valinta. Sovelluskehittäjän on valittava oletusarvoisesti vähiten yksityisyyttä koskeva invasiivinen valinta.
Rekisteröidyn oikeudet ja tietovaatimukset
Käyttäjällä on oikeus tutustua henkilötietoihinsa, pyytää oikaisuja ja vastustaa jatkokäsittelyä. Sovelluksen kehittäjän on annettava käyttäjälle tiettyjä tietoja käsittelystä.
Tietojen säilyttäminen
Henkilötietoja ei saa säilyttää pidempään kuin on tarpeen.
Turvatoimet
On toteutettava teknisiä ja organisatorisia toimenpiteitä, joilla varmistetaan käsiteltävien henkilötietojen luottamuksellisuus, eheys ja saatavuus sekä suojaudutaan vahingossa tapahtuvalta tai laittomalta tuhoamiselta, häviämiseltä, muuttamiselta, luovuttamiselta, tietoihin pääsyltä tai muulta laittomalta käsittelymuodolta.
Mainonta mobiilisovelluksissa
Henkilötietojen käsittelyyn perustuva mainonta (opt-in-suostumus) ja mainonta, joka ei perustu henkilötietoihin (opt-out-suostumus), on erotettu toisistaan.
Henkilötietojen käyttö toissijaisiin tarkoituksiin
Kaikkien toissijaisiin tarkoituksiin tapahtuvan käsittelyn on oltava yhteensopivaa alkuperäisen tarkoituksen kanssa. Jatkokäsittelyä tieteellisiä ja historiallisia tutkimus- tai tilastollisia tarkoituksia varten pidetään alkuperäisen tarkoituksen mukaisena. Toiseen käsittelyyn ei-yhteensopiviin tarkoituksiin tarvitaan uusi suostumus.
Tietojen luovuttaminen kolmansille osapuolille käsittelytoimia varten
Käyttäjälle on ilmoitettava asiasta ennen julkistamista, ja sovelluskehittäjän on tehtävä sitova oikeudellinen sopimus kolmannen osapuolen kanssa.
Tiedonsiirrot
Tietojen siirtämisessä EU/ETA:n ulkopuolelle on oltava oikeudelliset takeet, jotka mahdollistavat tällaisen siirron, esimerkiksi Euroopan komission päätös tietosuojan riittävyydestä, Euroopan komission mallisopimukset tai yritystä koskevat sitovat säännöt.
Henkilötietojen tietoturvaloukkaukset
Koodi sisältää tarkistuslistan, jota on noudatettava henkilötietojen tietoturvaloukkauksen yhteydessä, erityisesti velvollisuus ilmoittaa asiasta tietosuojaviranomaiselle.
Lapsilta kerätyt tiedot
Kansallisessa lainsäädännössä määritellystä ikärajasta riippuen on noudatettava kaikkein rajoittavinta tietojenkäsittelytapaa ja otettava käyttöön prosessi vanhempien suostumuksen saamiseksi.
Viimeisimmät uutiset
Aiheeseen liittyvää
Aiheesta laajemmin
Euroopan komissio pyrkii tarjoamaan kansalaisille turvallisia ja laadukkaita digitaalisia palveluja terveydenhuollon ja hoidon alalla.
Katso myös
Eurooppalainen virtuaalisia ihmisen kaksosia koskeva aloite on EU:n kehys, jolla tuetaan virtuaalisten ihmisen kaksosten seuraavan sukupolven ratkaisujen kehittämistä ja käyttöönottoa terveydenhuollossa.
Eurooppalainen syöpäkuvantamisaloite vapauttaa kuvantamisen ja tekoälyn voiman syöpäpotilaiden, kliinikoiden ja tutkijoiden hyödyksi.
Aktiivisena ja terveenä ikääntymistä koskeva eurooppalainen innovaatiokumppanuus on aloite, jonka tavoitteena on edistää digitaalisen innovoinnin käyttöä aktiivisena ja terveenä ikääntymisenä.
Yli miljoonan genomin aloite voi parantaa sairauksien ehkäisyä, mahdollistaa yksilöllisemmät hoidot ja tukea uraauurtavaa tutkimusta.
Euroopan komissio antoi tiedonannon ja komission yksiköiden valmisteluasiakirjan terveyden ja hoidon digitaalisesta muutoksesta Euroopan unionin toimien vauhdittamiseksi.
Euroopan komissio on antanut suosituksen eurooppalaisesta terveystietojen vaihtamismuodosta terveystietojen siirtämiseksi rajojen yli.
Euroopan komissio perusti kaksi sähköistä terveydenhuoltoa käsittelevää asiantuntijaryhmää: sähköisten terveyspalvelujen sidosryhmä ja väliaikainen sähköisten terveyspalvelujen työryhmä.