Spring naar inhoud
EHDS Jurist — Mr. Dr. Antoinette Vlieger
NL/EN
Terug naar de verordening
Artikel 44

Omgaan met risico’s van EPD-systemen en met ernstige incidenten

  1. Wanneer een markttoezichtautoriteit van één lidstaat reden heeft om aan te nemen dat een EPD-systeem een risico inhoudt voor de gezondheid, veiligheid of rechten van natuurlijke personen of voor de bescherming van persoonsgegevens, voert die markttoezichtautoriteit met betrekking tot het desbetreffende EPD-systeem een evaluatie uit waarbij alle in deze verordening vastgestelde relevante vereisten aan bod komen. De fabrikant, de gemachtigde vertegenwoordiger van de fabrikant en alle andere relevante marktdeelnemers werken daartoe zo nodig met de markttoezichtautoriteit samen en nemen alle passende maatregelen om ervoor te zorgen dat het desbetreffende EPD-systeem dat risico niet langer inhoudt wanneer het in de handel wordt gebracht, of roepen het EPD-systeem binnen een redelijke termijn terug of nemen het binnen een redelijke termijn uit de handel.

  2. Indien de markttoezichtautoriteiten van een lidstaat van oordeel zijn dat de niet-conformiteit van het EPD-systeem niet tot hun nationale grondgebied beperkt is, stellen zij de Commissie en de markttoezichtautoriteiten van de andere lidstaten in kennis van de resultaten van de in lid 1 van dit artikel bedoelde evaluatie en van de corrigerende maatregelen die zij van de marktdeelnemer hebben vereist op grond van artikel 16, lid 2, van Verordening (EU) 2019/1020.

  3. Wanneer een markttoezichtautoriteit tot de vaststelling komt dat een EPD-systeem schade heeft toegebracht aan de gezondheid of veiligheid van natuurlijke personen of bepaalde aspecten van de bescherming van algemene belangen, verstrekt de fabrikant naargelang het geval onmiddellijk informatie en documentatie aan de getroffen natuurlijke persoon of gebruiker en, in voorkomend geval, aan andere derden die zijn getroffen door die schade, met inachtneming van de gegevensbeschermingsregels.

  4. De in lid 1 bedoelde marktdeelnemer in kwestie zorgt ervoor dat alle desbetreffende EPD-systemen die deze marktdeelnemer in de Unie in de handel heeft gebracht aan corrigerende maatregelen worden onderworpen.

  5. De markttoezichtautoriteit stelt de Commissie en de markttoezichtautoriteiten of, waar van toepassing, de toezichthoudende autoriteiten in het kader van Verordening (EU) 2016/679, van andere lidstaten onverwijld in kennis van de in lid 2 bedoelde corrigerende maatregelen. Hierbij wordt informatie verstrekt over alle bekende bijzonderheden, met name de gegevens die nodig zijn om het desbetreffende EPD-systeem te identificeren en om de oorsprong en de toeleveringsketen van het EPD-systeem, de aard van het risico en de aard en de duur van de getroffen nationale maatregelen vast te stellen.

  6. Wanneer een vaststelling van een markttoezichtautoriteit of een ernstig incident waarvan zij op de hoogte is gesteld betrekking heeft op de bescherming van persoonsgegevens, stelt die markttoezichtautoriteit de relevante toezichthoudende autoriteiten uit hoofde van Verordening (EU) 2016/679 daarvan onverwijld in kennis en werkt zij met hen samen.

  7. De fabrikanten van EPD-systemen die in de handel zijn gebracht of in gebruik zijn genomen, melden elk ernstig incident met een EPD-systeem aan de markttoezichtautoriteiten van de lidstaten waar een dergelijk ernstig incident zich heeft voorgedaan en van de lidstaten waar die EPD-systemen in de handel zijn gebracht of in gebruik zijn genomen. Daarbij wordt ook een beschrijving van de door de fabrikant genomen of voorgenomen corrigerende maatregelen gegeven. De lidstaten kunnen voor gebruikers van EPD-systemen die in de handel zijn gebracht of in gebruik zijn genomen, ook in de mogelijkheid voorzien om dergelijke incidenten te melden.

De krachtens de eerste alinea van dit lid vereiste melding vindt, onverminderd de vereisten inzake melding van incidenten uit hoofde van Richtlijn (EU) 2022/2555, plaats onmiddellijk nadat de fabrikant een oorzakelijk verband tussen het EPD-systeem en het ernstige incident of de redelijke waarschijnlijkheid van een dergelijk verband heeft vastgesteld, en in ieder geval uiterlijk drie dagen nadat de fabrikant kennis heeft gekregen van het ernstige incident met het EPD-systeem.

  1. De in lid 7 bedoelde markttoezichtautoriteiten stellen de andere markttoezichtautoriteiten onverwijld in kennis van het ernstige incident en van de corrigerende maatregelen die de fabrikant heeft genomen of voornemens is te nemen of die van hem worden verlangd om het risico op herhaling van het ernstige incident tot een minimum te beperken.

  2. Wanneer haar taken niet door de autoriteit voor digitale gezondheid worden verricht, werkt de markttoezichtautoriteit samen met de autoriteit voor digitale gezondheid. De markttoezichtautoriteit stelt de autoriteit voor digitale gezondheid in kennis van ernstige incidenten, van EPD-systemen die een risico vormen, met inbegrip van risico’s in verband met interoperabiliteit, beveiliging en patiëntveiligheid, van corrigerende maatregelen, en van terugroepacties of het uit de handel nemen van die EPD-systemen.

  3. In geval van incidenten die een risico vormen voor de patiëntveiligheid of de informatiebeveiliging kunnen de markttoezichtautoriteiten onmiddellijk maatregelen nemen en van de fabrikant van het betrokken EPD-systeem, diens gemachtigde vertegenwoordiger en andere marktdeelnemers, indien van toepassing, eisen dat zij onmiddellijke corrigerende maatregelen nemen.