Why the EHDS?

Posted on 31 maart 202521 november 2025 by admin

Why the EHDS Regulation?

EHDS stands for European Health Data Space. It is a European law that will apply directly in the Netherlands, just like the GDPR. The European Union introduced the free movement of people, goods, capital, and services decades ago. Internal borders within the EU were abolished as much as possible. The goal of this was economic growth, in addition to, among other things, complicating war. Brussels quickly realized that this free movement would not function properly without the free flow of data. Therefore, a European, borderless data space was also needed. The GDPR was the first step in this process; to achieve the free flow of data, data protection had to be standardized in Europe. Countries can protect privacy themselves, but achieving the free flow of data required uniform data protection.

A data legislation matrix

A European data strategy was subsequently developed, best described as a legislative matrix. On the one hand, there are rules governing all data, regardless of content. These can be found in the GDPR, the Re-use of Government Information Act, the Data Regulation, and the Data Governance Regulation. On the other hand, there are (and will be) rules governing certain types of data. Nine Data Spaces have been designated for this purpose, including financial data, transport data, and therefore also healthcare data. Therefore, when reading the EHDS, one must remember that this law can only be properly understood as a cog in a larger system of laws that complement each other: European laws such as the GDPR and other data legislation, but also Dutch legislation such as the General Administrative Law Act.

An economic perspective on healthcare

The EHDS aims to improve healthcare in Europe by realizing the free movement of patients, healthcare providers, and medical scientists. It was expected that the free movement of goods would lead to economic growth and better products, and this proved to be true. Supporting regulations were developed, such as the two-week return policy for online orders throughout the EU. This gives consumers the confidence that they can order directly from anywhere in Europe. A reputable Italian organic farmer can thus serve the wine market in Wassenaar; prices will decrease, and quality will increase. Similar benefits are also expected to be realized in healthcare. The goal is for Dutch radiologists, for example, to be able to assess MRI scans from across the EU. Brussels expects this will make healthcare cheaper and better.

Broader data availability

In addition, the EHDS aims to stimulate innovation by making health data available for beneficial reuse. Universities, businesses, and citizens will soon be able to apply for a permit to work with health data. Whether you receive this permit will be assessed based on whether you are pursuing a useful purpose, such as education, scientific research, statistics, but also developing new products or training AI systems. If necessary, you can submit the decision on your application to a judge, who can assess it against, among other things, the prohibition on discrimination or scientific freedom. For example, it will no longer be permitted for an academic hospital to share data with physicians but not with scientists from the computer science faculty.

Within strict legal frameworks

Carelessness with health data is inconvenient, unethical, and unlawful. According to the GDPR, sharing is only permitted if there are sufficient “technical and organizational safeguards.” The EHDS prescribes what this entails. A permit must be requested (with some exceptions) from the Health Data Access Body, a new government body. The permit specifies the precise conditions, and the EHDS also contains a list of things that may not be done with the data. Violation of these conditions is punishable by fines. In such cases, the data is not given, but access to it in a secure processing environment. This should make more knowledge available securely throughout the Union. After all, in addition to a right to data protection, we also have a right to information.

The Dutch Bodily Material Act must be rewritten

The EHDS is about data, not bodily material. The Dutch draft Bodily Material Act is about material, not data. This might lead one to believe there's no overlap. But if you extract data from material, you're doing something with both data and material. That's why I'm discussing my thoughts on the draft act here. Spoiler alert: it's not good.

The Health Data Access Body

The Ministry of Health, Welfare and Sport will soon determine who will become the HDAB; who will be the source of permits for the beneficial reuse of health data. Who can be this, and who cannot? And what will this HDAB be responsible for?

The EHDS and the Secure Processing Environment

Under the EHDS, work must be performed in a Secure Processing Environment (SPE). Scientists don't receive data, but access it in a SPE that meets the strict technical and security standards established under the EHDS. What does this entail? And will everyone be required to work in such a SPE from now on? Will it become a supercomputer containing all our health data?

Waarom de EHDS?

Posted on 31 maart 202519 november 2025 by Antoinette

Waarom de EHDS?

EHDS staat voor European Health Data Space. Het is een Europese wet die rechtstreeks in Nederland zal gelden, zoals ook de AVG. De Europese Unie heeft decennia geleden al het vrije verkeer van personen, goederen, kapitaal en diensten geïntroduceerd. De interne grenzen binnen de EU werden zoveel mogelijk afgeschaft. Het doel hiervan was economische groei, naast o.a. het ingewikkelder maken van een oorlog. Al snel realiseerde Brussel zich, dat dit vrije verkeer niet goed zou functioneren zonder vrij verkeer van data. Er moest dus ook een Europese, grensvrije data ruimte komen. De AVG was de eerste stap daartoe; om de vrije stroom van data te realiseren, moest in Europa de gegevensbescherming gelijkgetrokken worden. Privacy beschermen kunnen landen zelf ook wel, maar juist voor het realiseren van een vrij verkeer van data, was uniforme gegevensbescherming nodig.

Een data wetgevingsmatrix

Er is vervolgens een Europese datastrategie uitgewerkt, die zich het beste laat omschrijven als een wetgevingsmatrix. Enerzijds zijn er regels over alle data, ongeacht de inhoud. Deze zijn terug te vinden in de AVG, de Wet hergebruik overheidsinformatie, de Data Verordening en de Data Governance Verordening. Anderzijds zijn (en komen) er regels over bepaalde soorten data. Daartoe zijn er negen Data Spaces aangewezen, waaronder financiële data, vervoersdata en dus ook gezondheidsdata. Men moet zich dus bij het lezen van de EHDS bedenken dat deze wet uitsluitend goed te begrijpen is, als radartje in een groter geheel van wetten die elkaar aanvullen: Europese wetten zoals de AVG en de overige datawetgeving, maar ook Nederlandse wetgeving zoals de algemene wet bestuursrecht.

Economisch perspectief op zorg

De EHDS heeft als doel om de gezondheidszorg in Europa te verbeteren door een vrij verkeer van patiënten, zorgverleners en medisch wetenschappers te realiseren. Men verwachtte dat het vrije verkeer van goederen zou leiden tot economische groei en betere producten, en dat bleek te kloppen. Er werden ondersteunende regels geschreven, zoals dat je in de hele EU je online-bestelde producten binnen twee weken mag terugsturen. Consumenten krijgen zo het vertrouwen dat je rechtstreeks kan bestellen in heel Europa. Een goede Italiaanse bio-boer, kan zo de wijnmarkt in Wassenaar bedienen; prijzen gaan omlaag, kwaliteit omhoog. Men verwacht dat dergelijke voordelen ook in de zorg te realiseren zijn. Het is de bedoeling dat bijvoorbeeld Nederlandse radiologen MRI’s uit de gehele EU kunnen beoordelen. Brussel verwacht dat de zorg daarmee goedkoper en beter zal worden.

Bredere databeschikbaarheid

Daarnaast wil de EHDS innovatie stimuleren door gezondheidsdata beschikbaar te maken voor nuttig hergebruik. Universiteiten, ondernemingen of burgers kunnen straks allemaal een vergunning aanvragen om met gezondheidsdata te mogen werken. Of je deze vergunning krijgt, wordt beoordeeld aan de hand van de vraag of je een nuttig doel nastreeft zoals onderwijs, wetenschappelijk onderzoek, statistiek, maar ook het ontwikkelen van nieuwe producten, of het trainen van AI-systemen. Het besluit op je aanvraag, kun je zo nodig voorleggen aan een rechter, die kan toetsen aan onder meer het discriminatieverbod of de wetenschappelijke vrijheid. Het is dan bijvoorbeeld niet meer toegestaan dat een academisch ziekenhuis wel data deelt met een medici, maar niet met wetenschappers van de informatica faculteit.

Binnen strakke wettelijke kaders

Onzorgvuldigheid met gezondheidsgegevens is ongemakkelijk, onethisch en onrechtmatig. Delen mag volgens de AVG alleen als er voldoende “technische en organisatorische waarborgen” zijn. De EHDS schrijft voor wat dit inhoudt. Er moet (uitzonderingen daargelaten) een vergunning worden aangevraagd bij de Health Data Access Body; een nieuw overheidsorgaan. In de vergunning staan de exacte voorwaarden opgenomen en ook de EHDS bevat een lijst van dingen die men niet met de data mag doen. Op schending van die voorwaarden staan boetes. Men krijgt vervolgens niet de data, maar toegang tot de data in een beveiligde verwerkingsomgeving. Zo zou er in de hele Unie op een veilige manier meer kennis beschikbaar moeten komen. We hebben namelijk behalve een recht op gegevensbescherming, ook recht op informatie.

The Dutch Bodily Material Act must be rewritten

De Wet Zeggenschap Lichaamsmateriaal moet herschreven worden

De EHDS gaat over data en dus niet over lichaamsmateriaal. De concept-Wet Zeggenschap Lichaamsmateriaal gaat over materiaal en dus niet over data. Daarmee zou men dus kunnen denken dat er geen overlap is. Maar als je data uit materiaal haalt, dan doe je en iets met data, en ook iets met materiaal. Daarom bespreek ik hier wat ik vind van de concept-WZL. Spoiler alert: het is echt bagger.

The Health Data Access Body

Pseudonymization and the GDPR

Posted on 30 maart 202521 november 2025 by admin

Pseudonymization and the GDPR

Pseudonymisation is a term from the GDPR that causes a lot of confusion. Is this personal data, and therefore does the GDPR apply to it, or not? As is so often the case, the answer from lawyers is: it depends. That’s because pseudonymous data is not a category or type of data. Pseudonymisation is only listed in the GDPR as a technique: Article 4(5) states: “Pseudonymisation” is the processing of personal data in such a manner that the personal data can no longer be attributed to a specific data subject without the use of additional information, provided that such additional information is kept separately and is subject to technical and organisational measures to ensure that the personal data are not attributed to an identified or identifiable natural person.”

Simply put, pseudonymization means replacing “Antoinette Vlieger” with, for example, the number “1973.” The difference with anonymization is that there’s still a key or list that allows you to determine that number 1973 is Vlieger. In medical science, you almost always want to pseudonymize rather than anonymize. This allows findings to be relayed back to the treating physician if necessary, or additional information can be requested if it later proves necessary for the research.

But keep in mind that there’s always a difference between everyday language and legalese (like lawyers explaining at parties: this wasn’t murder but manslaughter, while for everyone around them it was murder). In everyday language, pseudonymization is therefore the processing of personal data in such a way that the personal data can no longer be attributed to a specific data subject without the use of additional information. However, the GDPR adds another component: “provided that such additional information is kept separately and is subject to technical and organizational measures to ensure that the personal data are not attributed to an identified or identifiable natural person.” It must also be recorded who has (exclusive) access to the key.

Does the GDPR apply to pseudonymous data?

So does the GDPR apply to such data or not? That depends on whether it is “personal data,” and the term “personal data” is a relative term. The GDPR applies when someone’s privacy is at stake, because the data can be traced back to a specific person. If an academic hospital is conducting research on patient number 1973, and they themselves have the list indicating that this concerns Vlieger, then that data is personal data for that hospital. If they provide this data (to train an AI tool) to mathematicians who do not have the list, then it is not personal data for those mathematicians; the GDPR does not apply. If the same set of data is given to Statistics Netherlands (CBS)—which also does not have the list, but can combine the data with its own data, making it clear who the data concerns—then the data is personal data for CBS. And even more complicated: if the mathematicians, for whom the data is not personal data, post the data on a public website, allowing Statistics Netherlands (CBS) to access it (for whom the data is personal data), then when it is made public it is again personal data and therefore the GDPR does apply; this also applies to the mathematicians.

The GDPR therefore applies to personal data; held by specific individuals and in a specific context. Pseudonymous data is sometimes personal data, and sometimes not. And you should be equally careful with the concept of anonymous data. Absolutely anonymous data is anonymous to everyone. This is not personal data, and the GDPR does not apply to it. But there is also relatively anonymous data; anonymous to me, but not to Statistics Netherlands (CBS). To avoid confusion, it is better to refer to only absolutely anonymous data as anonymous. The GDPR does not apply to this anyway. However, with regard to relatively anonymous data and pseudonymous data, the applicability of the GDPR must be assessed each time.

Is this confirmed in case law?

Many people are eager to know if the European courts have confirmed the above. However, there’s no case law on the concept of pseudonymization itself. While there is case law that does address pseudonymized data, it consistently applies the case law on the concept of “personal data.”

The judgment in SRB/EDPS (CJEU, 26 April 2023, T-557/20, ECLI:EU:T:2023:219) clearly illustrates how the European Court of Justice addresses this issue. The EDPS states that the data the SRB shared with Deloitte were pseudonymized and therefore personal data (paragraph 32). The SRB argues that, for the recipient, Deloitte, the data are not pseudonymous but anonymous, since the SRB did not share with Deloitte the information that could be used to re-identify the data (paragraph 76). It is striking that the judges in the judgment do not address whether the data were pseudonymous or anonymous, but only whether they were personal data. And that is the end of the matter. The case is now on appeal and the Advocate General makes a clear statement on this (6 February 2025, C-413/23P, ECLI:EU:C:2025:59) in recital 52: It is not the case that pseudonymised data are automatically not personal data, because “under certain conditions” they are personal data; but not always.

EDPB Directive 01/2025 on pseudonymisation, of 16 January 2025, similarly states (recital 22): If pseudonymised data and additional information may be combined taking into account the means reasonably used by the controller or by another person, the pseudonymised data constitute personal data.

Is pseudonymization always mandatory?

So, sometimes the GDPR applies to pseudonymous data, sometimes not. But if you haven’t yet done so, is it mandatory under the GDPR? The legal answer to that, too, is: sometimes yes, sometimes no. The short answer is: if it’s possible, it must be done (and as quickly as possible), but if it’s not possible, you can still use the data, depending on the circumstances; for a compelling purpose and provided it’s very well secured.

The Dutch Bodily Material Act must be rewritten

The Health Data Access Body

The EHDS and the Secure Processing Environment

Pseudonimiseren en de AVG

Posted on 30 maart 202519 november 2025 by Antoinette

Pseudonimiseren en de AVG

Pseudonimisering is een term uit de AVG die voor veel verwarring zorgt. Zijn dit persoonsgegevens, en is de AVG daar dus op van toepassing, of niet? Zoals zo vaak is het antwoord van juristen: dat hangt ervanaf. Dat komt doordat pseudonieme gegevens geen categorie of soort gegevens zijn. Pseudonimiseren staat alleen in de AVG als een techniek: Artikel 4(5) bepaalt: „pseudonimisering” is het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld.”

Simpel gezegd betekent pseudonimiseren dus dat je “Antoinette Vlieger” vervangt voor bijvoorbeeld nummer “1973.” Het verschil met anonimiseren zit erin dat er nog wel een sleutel of een lijst bestaat, waarmee je kunt terugvinden dat nummer 1973 dus Vlieger is. In de medische wetenschap wil je vrijwel altijd pseudonimiseren in plaats van anonimiseren. Dan kunnen bevindingen zo nodig teruggekoppeld worden naar de behandelend arts of kan verzocht worden om enige aanvullende gegevens als die later nodig blijken voor het onderzoek.

Maar let erop dat er altijd een verschil is tussen gewoon taalgebruik en juridisch taalgebruik (zoals juristen op feestjes uitleggen: dit was geen moord maar doodslag, terwijl het voor iedereen om hen heen moord was). In het gewone spraakgebruik is pseudonimiseren dus het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt. Maar in de AVG wordt daar dus nog een component aan toegevoegd: “mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld.” Er moet ook worden vastgelegd wie er (exclusief) toegang hebben tot de sleutel.

Is de AVG op pseudonieme gegevens van toepassing?

Maar is de AVG nu op dergelijke gegevens van toepassing of niet? Dat hangt er vanaf of het “persoonsgegevens” zijn en dat begrip persoonsgegevens is een relatief begrip. De AVG is van toepassing zodra iemands privacy in het geding is, omdat de gegevens kunnen worden herleid naar een bepaalde persoon. Als een academisch ziekenhuis onderzoek doet naar patiënt nummer 1973, en zij hebben zelf de lijst waarin staat dat dit om Vlieger gaat, dan zijn het voor dat ziekenhuis persoonsgegevens. Geven zij deze data (om een AI-tool te trainen) aan wiskundigen die de lijst niet hebben, dan zijn het voor die wiskundigen geen persoonsgegevens; de AVG is niet van toepassing. Wordt dezelfde set data aan het CBS gegeven – die de lijst ook niet heeft, maar die wel de data kan combineren met eigen data, waardoor het duidelijk is over wie de data gaan – dan zijn de data voor het CBS weer wel persoonsgegevens. En nog weer ingewikkelder: als de wiskundigen, voor wie het dus geen persoonsgegevens zijn, de data op een openbare website plaatsen, waardoor het CBS erbij kan (voor wie het wel persoonsgegevens zijn), dan zijn het bij het openbaar maken weer wel persoonsgegevens en dus is daarop de AVG wel van toepassing; ook voor de wiskundigen.

De AVG is dus van toepassing als er sprake is van persoonsgegevens; in handen van bepaalde personen en in een bepaalde context. Pseudonieme gegevens zijn soms wel persoonsgegevens en soms ook niet. En bij het begrip anonieme gegevens moet je evengoed oppassen. Absoluut anonieme gegevens zijn voor iedereen anoniem. Dat zijn geen persoonsgegevens en daarop is de AVG niet van toepassing. Maar er zijn ook relatief anonieme gegevens; wel anoniem voor mij, niet voor het CBS. Het is beter, om verwarring te voorkomen, om uitsluitend absoluut anonieme gegevens aan te duiden als anoniem. Daarop is de AVG sowieso niet van toepassing. Maar ten aanzien van relatief anonieme gegevens en pseudonieme gegevens, moet telkens getoetst worden of de AVG van toepassing is.

Wordt dat bevestigd in jurisprudentie?

Nu willen veel mensen graag weten of de Europese rechters bevestigd hebben dat bovenstaande klopt. Maar er is geen jurisprudentie over het begrip pseudonimisering zelf. Er is wel rechtspraak waarin gesproken wordt over gepseudonimiseerde gegevens, maar daarbij wordt telkens gewoon de jurisprudentie over het begrip ‘persoonsgegevens’ toegepast.

In het arrest GAR/EDPS (HvJ EU 26 april 2023, T-557/20, ECLI:EU:T:2023:219) is goed te zien hoe de Europese rechter omgaat met deze kwestie. De EDPS stelt dat de gegevens die de GAR met Deloitte heeft gedeeld, gepseudonimiseerde gegevens waren en daarom persoonsgegevens (r.o. 32). De GAR voert aan dat het voor ontvanger Deloitte geen pseudonieme gegevens zijn maar anonieme, aangezien de GAR de informatie aan de hand waarvan opnieuw kon worden geïdentificeerd niet met Deloitte heeft gedeeld (r.o. 76). Opvallend is, dat in de rechters in de uitspraak niet ingaan op de vraag of het nu pseudonieme of anonieme gegevens betrof, maar uitsluitend op de vraag of het persoonsgegevens betrof. En daar blijft het bij. De zaak dient nu in hoger beroep en de Advocaat-Generaal doet er (6 februari 2025, C-413/23P, ECLI:EU:C:2025:59) duidelijk een uitspraak over in overweging 52: Het is niet zo dat gepseudonimiseerde gegevens automatisch geen persoonsgegevens zijn, want “onder bepaalde voorwaarden” zijn het wel persoonsgegevens; maar niet altijd dus.

In Richtlijn 01/2025 van de EDPB over pseudonimisering, van 16 Januari 2025 is gelijkelijk te lezen (overweging 22): Als gepseudonimiseerde gegevens en aanvullende informatie kunnen worden gecombineerd met inachtneming van de middelen die redelijkerwijs door de verwerkingsverantwoordelijke of door een andere persoon worden gebruikt, dan zijn de gepseudonimiseerde gegevens persoonsgegevens.

Is pseudonimisering altijd verplicht?

Op pseudonieme gegevens is dus soms de AVG wel van toepassing, soms niet. Maar als je dat pseudonimiseren nog niet gedaan had, is dat dan wel op grond van de AVG verplicht? Ook daarop is het juridische antwoord: soms wel, soms niet. De korte samenvatting is; als het kan dan moet het (en wel zo snel mogelijk), maar kan het niet, dan mag je alsnog met de data werken, afhankelijk van de omstandigheden; bij een zwaarwegend doel en mits zeer goed beveiligd.

The Dutch Bodily Material Act must be rewritten

De Wet Zeggenschap Lichaamsmateriaal moet herschreven worden

The Health Data Access Body

Contracts in medical research

Posted on 29 maart 202521 november 2025 by admin

The forest of contracts in medical research

On this page I attempt to explain to medical scientists what all the different contracts are that they might encounter. Imagine the following case: A scientist from the academic center LUMC conducts research funded by X, in a project together with another academic center UMCG, with data (or also cooperation) from village hospital Ter Gooi. Dutch law is described here.

1) The employment contract

First and foremost, there’s obviously an agreement between the scientist and the LUMC. This will usually be an employment contract. It could also be a self-employed person arrangement, but beware: if the scientist works almost exclusively and structurally for the LUMC, the court might still consider this an employment relationship, even if the parties call it something else. The tax authorities determine the exact difference, but the (very) short summary is: the more independent the scientist, the greater the chance that the self-employed relationship will not be considered employment.

Regarding the tangle of contracts, it is important to note the following: many contracts in this project will be in the name of the legal entity LUMC. In agreements with external parties, this entity can grant rights to its own scientists, but not obligations (Plien and Bianca cannot contract together that Annie has to do something). So if, for example, the funder X wants everything to remain confidential, then the agreement between X and LUMC will have to include that LUMC in turn includes in the agreement with the scientist that the latter must keep something confidential. The obligation that X wants will go through LUMC. The same applies to agreements about, for example, copyrights, which automatically arise with the author (scientist), but which may have to end up elsewhere. Perhaps, for example, X wants open source teaching materials to be written, which LUMC will then have to arrange with the scientist.

2) The relationship with financier X: subsidy or commerce?

If the research is funded by X, then this relationship must be legally constituted in some way. The question that must be asked is whether the funding is a grant or a commercial assignment. Note: the parties cannot decide this themselves.

A subsidy is money from a government (such as ZonMw), provided for certain activities, other than as payment for goods or services supplied to that government. The crux of the matter is therefore who you deliver something to. When funding oncological research, you are accountable to ZonMW, but you are not delivering a product to that government, but to society. What is delivered is solely the proof that the activity has taken place. That is therefore a subsidy. However, if the point is that the private financier obtains X patent rights with which its investment can be recouped, then you deliver the result to the financier itself and it is therefore not a subsidy.

With a real assignment, you enter into an agreement under the Civil Code (so all provisions regarding breach of contract apply). With a subsidy, the government (unilaterally) makes a subsidy decision in accordance with the General Administrative Law Act and the subsidy conditions. However, that decision doesn’t force the recipient to actually carry out the activity: you can simply repay the amount. Because the government often wants certainty that the activity will actually be carried out, a subsidy implementation agreement is then concluded, which is therefore not the same as a contract for services.

3) The consortium agreement

If the UMCG and LUMC have jointly secured funding, the financier doesn’t want the parties to pocket it and refer the results to the other. They also don’t want disputes to lead to no results, to the results being kept confidential, or to legal violations during project implementation. Therefore, financiers often require a consortium agreement.

From a legal point of view, however, this is something that is difficult to define. After all, the contractual collaboration could be the implementation of a subsidy or a commercial assignment. It could be decided that the subsidy implementation agreement also serves as a consortium agreement (and in that case X is also a party), or it could be separate.

The agreement is usually intended to be nothing more than a contractual collaboration for this specific project. However, care must be taken to avoid unintended consequences under corporate law; it’s important to ensure the collaboration doesn’t accidentally qualify as a general partnership or partnership. Note that this can even happen if there’s no written agreement at all, only a de facto collaboration. It can therefore be helpful to explicitly state that this is not the intention.

When only two parties are involved in the collaboration, it’s often called a collaboration agreement. When more parties are involved, an agreement is often drawn up called a consortium agreement. Legally speaking, this makes no difference; both are simply covered by contract law. The difference is that a consortium agreement always contains provisions regarding who can make which decisions; although there is no legal entity (such as a private limited company), bodies are established between which decision-making authority is divided. These are usually the consortium leader, the work package leaders, and the entire group.

Note that contract law is actually quite soft. The content of the agreement (under Dutch law) is richly supplemented by considerations of reasonableness and fairness, unforeseen circumstances, what the parties could reasonably expect from each other, and how the collaboration has evolved over time. We’ve adopted the practice of writing lengthy contracts from the Americans, where none of these requirements apply, but in the Netherlands, it’s not really necessary.

4) Clinical Trial Agreement

When, instead of research with data, or in addition to research with data, research is also conducted with or on human subjects, the laws concerning medical research involving human subjects apply. In that case, too, an agreement must be concluded: the clinical research agreement, or CTA. This could, of course, simply be the consortium agreement, although there are two differences.

Firstly, in addition to the UMCG and LUMC (which are designing the research), Ter Gooi is now also a party to the agreement, because that’s where the research is (also) conducted. Previously, they only provided data, but that will change. The second difference is that the WMO (Social Support Act) now applies, meaning that various tasks and responsibilities under that law must be contractually established. For example, the WMO stipulates that research results must be made public, so it must be determined who will actually do that (not all three, of course). This publication requirement does not currently apply to purely data research, but that will change once the European Health Data Space Regulation comes into effect.

5) The Joint-Controllers Agreement

When LUMC doesn’t simply allow others to participate in the research, but actually designs the research together with UMCG (and a joint research plan has been drawn up), these two parties jointly determine the purposes and means of processing personal data, as defined by the GDPR (Data Protection Act). Note that this only applies if personal data is actually being processed, as this is not the case if the data has already been pseudonymized by Ter Gooi Hospital (or, for example, ZorgTTP, a party other than UMCG and LUMC themselves) in such a way that they can no longer determine which natural persons are involved. Therefore, just because data concerns individuals doesn’t automatically constitute personal data. The question is whether privacy is at stake because it can reasonably be determined who the data concerns; only then does the Privacy Act apply. If you have any doubts about this, simply call your data protection officer.

If the data is not (yet) sufficiently pseudonymized, UMCG and LUMC are required to sign a joint controller agreement (or a joint controller agreement). The most important aspect of this agreement is that the GDPR responsibilities are properly allocated. For example, a DPIA (Data Protection Impact Assessment) must be performed for high-risk processing, and UMCG is not supposed to assume that LUMC has performed this, or vice versa. Incidentally, patients don’t have much to do with this agreement: they can still contact either party to exercise their GDPR rights.

6) Joint-Data-Registry-Agreement

Yet another agreement governs the rights between LUMC and UMCG regarding the data, prior to the completion of the research. This can, of course, also be included in the consortium agreement or the joint controllers’ agreement. It is also sometimes concluded separately. There are no IP or property rights on raw data. If the plan is to jointly produce scientific publications after three years of data collection, it would be undesirable if UMCG publishes halfway through without LUMC having access to the data, or if LUMC denies UMCG access to the data halfway through. The law doesn’t automatically prohibit all of this (due to the lack of IP or property rights on raw data), so this must also be contractually agreed upon. A funder may also have requirements regarding the raw data, for example, that it be made FAIR immediately after publication of the results.

7) License Agreement

Where IP rights (such as copyrights or patents) do exist, agreements must also be made. These too can be included in the consortium agreement, or they can be dealt with separately. There are two types of IP rights: what is contributed to the collaboration is called Background. What arises during the collaboration is called Foreground. Existing IP rights may be necessary for the research. The party contributing these rights wants to protect these IP rights by stipulating that they may be used exclusively for this research. The other party, on the other hand, wants to be sure that the research will not be disrupted by a refusal to share the IP. The contributed Background is described in the agreement for this purpose. Subsequently, new IP is created during the research. The scientists at LUMC and UMCG simply want to be able to publish their articles (for the benefit of their careers) without encountering problems with these IP rights. They also want to be able to conduct follow-up research with the knowledge they have acquired, without the other party restricting this. If X is a commercial financier, he or she may want to keep the IP for himself or, as a philanthropist, ensure that it is made available to everyone. In order to do justice to everyone’s wishes and interests, contractual agreements must be made about this.

8) The Data Transfer Agreement with Ter Gooi

Suppose the research is not involving human subjects; Ter Gooi Hospital has only been asked to contribute data. Ter Gooi has no say in the research’s design. The hospital’s Data Protection Officer will have to determine, based on the GDPR, whether this data transfer is permitted. If all requirements are met (fulfillment of the principles of Article 5, a legal basis as in Article 6, an exception to the prohibition in Article 9, the requirements of Article 24 GDPR, and the security measures in accordance with Article 89 GDPR), Ter Gooi may transfer the data for the research.

LUMC and UMCG are then automatically obligated to comply with the GDPR when using data from Ter Gooi. This law does not, therefore, require a data transfer agreement (DTA), but to ensure the data is used exclusively for the purpose for which it was requested, one is usually done anyway. At most hospitals, the requirement to use a DTA is stipulated in their internal policy.

Since Open Data Regulation 2019/1024, certain organizations are also required to enter into a Data Protection Agreement (DTA): institutions entrusted with a public task, government-owned companies, and publicly funded research organizations. A contractual agreement must stipulate that recipients of pseudonymized data may absolutely not attempt to identify the individuals.

Note: in this case, there is no legal requirement for Ter Gooi and LUMC to enter into a data processing agreement, as LUMC does not act on behalf of Ter Gooi or vice versa. Nor is a joint controller agreement required, as LUMC and Ter Gooi are not jointly conducting the research. One of these three agreements is always entered into, never multiple.

The Dutch Bodily Material Act must be rewritten

The Health Data Access Body

The EHDS and the Secure Processing Environment

Contracten bij medisch onderzoek

Posted on 29 maart 202519 november 2025 by Antoinette

Het bos van contracten bij medisch onderzoek

In dit stuk doe ik een poging om aan medisch-wetenschappers uit te leggen, wat alle verschillende contracten zijn waarmee ze in aanraking kunnen komen. Stel je de volgende casus voor: Een wetenschapper van het LUMC doet onderzoek gefinancierd door X, in een project samen met UMCG, met data (of ook medewerking) van Ziekenhuis Ter Gooi.

1) De arbeidsovereenkomst

Allereerst is er natuurlijk sprake van een overeenkomst tussen de wetenschapper en het LUMC. Meestal zal dit een arbeidsovereenkomst zijn. Het kan ook een ZZP-constructie zijn, maar let op, als bijna uitsluitend en structureel voor LUMC wordt gewerkt, dan vindt de rechter dit mogelijk alsnog een arbeidsrelatie, ook al noemen partijen het anders. De belastingdienst bepaalt het exacte verschil, maar de (zeer) korte samenvatting is; hoe zelfstandiger de wetenschapper, hoe groter de kans dat de ZZP-relatie niet beschouwd wordt als arbeid.

Voor de wirwar aan contracten is het belangrijk om het volgende op te merken: veel contracten in dit project zullen op naam komen van de rechtspersoon LUMC. Die kan in overeenkomsten met externe partijen wel rechten toekennen aan de eigen wetenschappers, maar geen plichten (Plien en Bianca kunnen niet samen contracteren dat Annie iets moet doen). Als dus bijvoorbeeld de financier X wil dat alles geheim blijft, dan zal er in de overeenkomst tussen X en LUMC moeten worden opgenomen, dat LUMC op haar beurt in de overeenkomst met de wetenschapper opneemt dat deze iets geheim moet houden. De verplichting die X wil, loopt via LUMC. Hetzelfde geldt voor afspraken over bijvoorbeeld auteursrechten, die automatisch ontstaan bij de auteur (wetenschapper), maar die wellicht elders terecht moeten komen. Misschien wil X bijvoorbeeld dat er open source lesmateriaal wordt geschreven, wat LUMC dan zal moeten regelen met de wetenschapper.

2) De relatie tot financier X: subsidie of commercie?

Als het onderzoek gefinancierd wordt door X, dan moet deze relatie op de een of andere manier juridisch vorm krijgen. Daarbij dient de vraag te worden gesteld, of de financiering een subsidie is, of een commerciële opdracht. Let op: het is niet zo dat partijen dat zelf kunnen beslissen.

Een subsidie is geld afkomstig van een overheid (zoals ZonMw), verstrekt voor bepaalde activiteiten, anders dan als betaling voor aan die overheid geleverde goederen of diensten. De vraag aan wie je iets oplevert, is dus de crux. Bij financiering van oncologisch onderzoek, moet je wel verantwoording afleggen aan ZonMW, maar je levert niet een product af aan die overheid, maar aan de maatschappij. Wat er wordt opgeleverd is uitsluitend het bewijs dat de activiteit heeft plaatsgevonden. Dat is dus een subsidie. Maar als het erom gaat dat de private financier X patentrechten krijgt waarmee zijn investering terugverdiend kan worden, dan lever je het resultaat op aan de financier zelf en is het dus geen subsidie.

Bij een echte opdracht sluit je een overeenkomst volgens het Burgerlijk Wetboek (dus alle bepalingen over wanprestatie zijn van toepassing). Bij een subsidie neemt de overheid (eenzijdig) een subsidiebesluit volgens de Algemene wet Bestuursrecht en de subsidievoorwaarden. Maar dat besluit dwingt de ontvanger niet om ook daadwerkelijk uitvoering te geven aan de activiteit: je kan het bedrag ook domweg terugbetalen. Omdat de overheid vaak zekerheid wil dat de activiteit daadwerkelijk wordt uitgevoerd, wordt er dan een subsidie-uitvoeringsovereenkomst gesloten, wat dus niet hetzelfde is als een opdrachtovereenkomst.

3) De consortium overeenkomst

Als er door UMCG en LUMC gezamenlijk geld is verkregen, dan wil de financier niet dat partijen dat in eigen zak steken en naar de ander verwijzen voor de resultaten. Ook wil de financier niet dat ruzie ertoe leidt dat er geen resultaten komen, dat de uitkomsten geheim worden gehouden, of dat de wet wordt geschonden bij uitvoering van het project. Financiers eisen daarom veelal een consortium-overeenkomst.

Juridisch gezien is dit echter iets dat zich lastig laat duiden. Die contractuele samenwerking kan immers de uitvoering zijn van een subsidie, of van een commerciële opdracht. Men kan besluiten dat de subsidie-uitvoeringsovereenkomst ook dienstdoet als consortiumovereenkomst (en dan is X dus ook partij), of het kan los.

De overeenkomst is meestal bedoeld om niets meer te zijn dan een contractuele samenwerking voor dit specifieke project. Maar er moet opgepast worden voor onbedoelde gevolgen uit het ondernemingsrecht; er moet voor worden gewaakt worden dat de samenwerking niet per ongeluk kwalificeert als vennootschap onder firma of maatschap. Nota bene, dat kan zelfs gebeuren als er helemaal geen schriftelijke overeenkomst is, alleen een feitelijke samenwerking. Het kan dus nuttig zijn om expliciet vast te leggen dat dit niet de bedoeling is.

Wanneer er in de samenwerking maar twee partijen betrokken zijn, dan wordt het vaak een samenwerkingsovereenkomst genoemd. Wanneer er meer partijen betrokken zijn, dan wordt er veelal een overeenkomst opgesteld die een consortium-overeenkomst wordt genoemd. Juridisch gezien maakt dat niets uit, ze vallen beiden gewoon onder het contractenrecht. Het verschil zit erin dat een consortium-overeenkomst altijd bepalingen bevat over de vraag wie welke besluiten mag nemen; hoewel er geen sprake is van een rechtspersoon (zoals een BV) worden er wel organen opgericht waartussen de bevoegdheid tot het nemen van besluiten wordt verdeeld. Meestal zijn dit de consortiumleider, de werkpakketleiders, en de gehele groep.

Let erop dat het contractenrecht eigenlijk zacht als boter is. De inhoud van de overeenkomst wordt (onder Nederlands recht) rijkelijk aangevuld door de redelijkheid & billijkheid, onvoorziene omstandigheden, wat partijen in redelijkheid van elkaar mochten verwachten, en de vraag hoe de samenwerking in de loop van de tijd is geëvolueerd. Het schrijven van dikke contracten hebben we overgenomen van de Amerikanen, waar dat alles niet geldt, maar in Nederland is het eigenlijk niet nodig.

4) Clinical Trial Agreement

Op het moment dat er in plaats van onderzoek met data, of naast onderzoek met data (ook) onderzoek wordt gedaan met of bij mensen, dan wordt de Wet medisch-wetenschappelijk onderzoek met mensen van toepassing. Ook dan moet er een overeenkomst worden gesloten; de klinisch onderzoek-overeenkomst, die we dan vreemd genoeg ineens een Engelse naam gaan geven; de CTA. Dit kan natuurlijk gewoon de consortium-overeenkomst betreffen, al zijn er dus twee verschillen.

Ten eerste is nu behalve UMCG en LUMC (die het onderzoek vormgeven), ook Ter Gooi een partij bij de overeenkomst, want daar wordt het onderzoek (ook) uitgevoerd. Voorheen leverde die uitsluitend data aan, maar nu wordt dat anders. Het tweede verschil zit erin dat de WMO dus van toepassing is, zodat er allerlei taken en verantwoordelijkheden uit die wet contractueel moeten worden vastgelegd. Zo staat er in de WMO dat de resultaten van het onderzoek verplicht openbaar moeten worden gemaakt, dus dient te worden bepaald wie dat feitelijk gaat doen (niet alle drie natuurlijk). Die publicatieplicht bestaat nu overigens nog niet ten aanzien van puur dataonderzoek, maar dat wordt anders zodra de European Health Data Space Verordening van kracht wordt.

5) De Joint-Controllers Agreement

Op het moment dat LUMC niet gewoon anderen laat meewerken aan het onderzoek, maar daadwerkelijk samen met UMCG vormgeeft aan het onderzoek (en er dus een gezamenlijk onderzoeksplan is opgesteld), dan stellen deze twee samen de doelen en middelen vast van de verwerkingen van persoonsgegevens, in de zin van de AVG (gegevensbeschermingswet). Let erop dat dit alleen van toepassing is als er daadwerkelijk gewerkt wordt met persoonsgegevens, want dat is niet het geval als de gegevens al zo gepseudonimiseerd zijn door ziekenhuis Ter Gooi (of bijvoorbeeld ZorgTTP, een andere partij dan UMCG en LUMC zelf dus), dat zij niet meer kunnen achterhalen over welke natuurlijke personen dit gaat. Het is dus niet zo dat als gegevens over personen gaan, het automatisch persoonsgegevens zijn. De vraag is of de privacy in het geding is omdat redelijkerwijs achterhaald kan worden over wie de gegevens gaan; pas dan is de privacywet van toepassing. Bij twijfel over dit alles: bel gewoon je functionaris-gegevensbescherming.

Zijn de data (nog) niet afdoende gepseudonimiseerd, dan zijn UMCG en LUMC verplicht om een joint-controllersovereenkomst te tekenen (of een gezamenlijke-verwerkingsverantwoordelijken-overeenkomst). Het belangrijkste van deze overeenkomst, is dat de AVG-verantwoordelijkheden goed worden verdeeld. Er moet bijvoorbeeld bij risicovolle verwerkingen een DPIA worden verricht, een Data Protection Impact Assessment en het is niet de bedoeling dat UMCG denkt dat LUMC deze heeft verricht en andersom. Overigens hebben patiënten verder niet zoveel te maken met die overeenkomst: voor de uitoefening van hun AVG-rechten, kunnen ze zich alsnog richten tot beide partijen.

6) Joint-Data-Registry-Agreement

Weer een andere overeenkomst, regelt de rechten tussen LUMC en UMCG, ten aanzien van de data, voorafgaand aan afronding van het onderzoek. Dit kan natuurlijk ook worden opgenomen in de consortium-overeenkomst, of in de joint-controllers-overeenkomst. Hij wordt ook wel apart gesloten. Op ruwe data bestaan namelijk geen IE- of eigendomsrechten. Als het plan is om na drie jaar data verzamelen, samen de wetenschappelijke publicaties te verzorgen, dan is het niet fijn als UMCG halverwege al gaat publiceren zonder LUMC over de data; of als LUMC halverwege UMCG de toegang tot de data ontzegt. Het recht regels niet automatisch dat dit alles niet mag (bij gebrek aan IE- of eigendomsrechten op ruwe data dus), reden waarom dit ook contractueel zal moeten worden geregeld. Een financier kan ook wensen hebben ten aanzien van de ruwe data, bijvoorbeeld dat deze FAIR gemaakt worden direct na publicatie van de resultaten.

7) Licentieovereenkomst

Daar waar wel sprake is van IE rechten (zoals auteursrechten of patenten), moeten er ook afspraken worden gemaakt. Ook hiervoor geldt: het kan opgenomen worden in de consortium-overeenkomst, en het kan ook apart. De IE-rechten zijn er in twee soorten; dat wat wordt ingebracht in de samenwerking wordt Background genoemd. Dat wat ontstaat tijdens de samenwerking, wordt Foreground genoemd. Het kan zijn dat er bestaande IE-rechten nodig zijn voor het onderzoek. Degene die dit inbrengt, wil deze IE-rechten beschermen door te bedingen dat het uitsluitend voor dit onderzoek mag worden gebruikt. De andere Partij wil juist zekerheid hebben dat het onderzoek niet spaak loopt omdat alsnog geweigerd wordt die IE te delen. De ingebrachte Background wordt daartoe beschreven in de overeenkomst. Vervolgens ontstaat er tijdens het onderzoek nieuwe IE. De wetenschappers van LUMC en UMCG willen gewoon hun artikelen kunnen publiceren (ten behoeve van hun carrière) zonder dat dit problemen oplevert ten aanzien van die IE-rechten. Ook willen ze met de opgedane kennis vervolgonderzoek kunnen doen, zonder dat de ander dit beperkt. Als X een commerciële financier is, dan zal die mogelijk de IE voor zichzelf willen houden, of als filantroop juist zorgdragen dat deze voor iedereen beschikbaar komt. Om recht te doen aan ieders wensen en belangen, moeten hier dus contractuele afspraken over worden gemaakt.

8) De Data Transfer Agreement met Ter Gooi

Stel dat er geen sprake is van mensgebonden onderzoek; Ziekenhuis Ter Gooi heeft uitsluitend de vraag gekregen om data bij te dragen. Ter Gooi beslist niet mee over hoe het onderzoek eruit komt te zien. De Functionaris Gegevensbescherming van het ziekenhuis zal moeten bepalen aan de hand van de AVG of deze gegevensoverdracht mag plaatsvinden. Als aan alle vereisten is voldaan (voldaan aan de beginselen van artikel 5, een grondslag als in artikel 6, een uitzondering op het verbod van artikel 9, de vereisten van artikel 24 UAVG en de beveiliging volgens artikel 89 AVG), dan mag Ter Gooi de gegevens overdragen voor het onderzoek.

LUMC en UMCG zijn vervolgens, bij het gebruik van de gegevens uit Ter Gooi, automatisch verplicht zich te houden aan de AVG. Uit die wet volgt dus niet de verplichting om een data transfer agreement (DTA) overeen te komen, maar om zeker te weten dat de data uitsluitend worden gebruikt waarvoor ze werden aangevraagd, doet men dat meestal toch. Bij de meeste ziekenhuizen is de verplichting tot het gebruik van een DTA vastgelegd in het interne beleid.

Sinds juni 2024 is het bovendien voor bepaalde organisaties verplicht om een DTA overeen te komen;
met een publieke taak belaste instellingen, overheidsondernemingen en publiek gefinancierde onderzoeksorganisaties. Die plicht volgt niet uit de AVG, maar uit artikel 6 van de Wet Hergebruik Overheidsinformatie. Er moet dan verplicht contractueel worden vastgelegd dat de ontvangers van gepseudonimiseerde gegevens, absoluut niet mag proberen om te achterhalen welke personen dit zijn.

Nota bene: in deze casus is er dus geen verplichting op grond van de wet dat Ter Gooi en LUMC een verwerkersovereenkomst moeten sluiten, want LUMC doet niets in opdracht van Ter Gooi of andersom. Ook hoeft er geen joint-controllers-overeenkomst te worden gesloten, want LUMC en Ter Gooi geven niet samen vorm aan het onderzoek. Men sluit altijd een van deze drie overeenkomsten af, nooit meerdere.

The Dutch Bodily Material Act must be rewritten

De Wet Zeggenschap Lichaamsmateriaal moet herschreven worden

The Health Data Access Body

Subsidy or assignment

Posted on 28 maart 202521 november 2025 by admin

Subsidy or assignment?

It is not always immediately clear whether there is a subsidy or a commercial assignment. A subsidy is legally defined as: “the claim to financial resources, provided by an administrative body for the purpose of certain activities of the applicant, other than as payment for goods or services supplied to the administrative body.” The latter is important for the distinction between a subsidy and a commercial agreement. For example, if the police purchase bulletproof vests, then it is a commercial contract, because although the police work for the benefit of society, those vests are actually purchased for, and supplied to, the police themselves. This is different when an academic hospital receives government funding to conduct research into a rare disease. Any new treatment developed is intended for patients, not for the government. Moreover, the treatment is not delivered to the government, but only proof that the subsidized activity has actually been carried out. To determine whether we are dealing with a commercial assignment or a subsidy, we must therefore look in particular at what exactly must be delivered and for whom it is intended; is a service or product provided to the grant provider, or is only evidence of the activity provided?

No free choice

Parties may not, or cannot, decide for themselves whether something is a contract or a subsidy. If it falls under the above definition, it is a subsidy, and vice versa. If the above still doesn’t lead to a decision, the court will also consider: (i) is the payment (lower than) the cost price or is there a profit margin, and (ii) who initiated the activity. The underlying idea is that a commercial contractor wants to make a profit and generally doesn’t start work until it’s clear whether someone will pay. The distinction between subsidies and commercial contracts is important for VAT; VAT doesn’t have to be paid on subsidies, which is why opposing parties can argue that something is a subsidy when in fact it isn’t. Also note that the definition of a subsidy doesn’t specify whether there was a call for tenders or a call for tenders. Therefore, a call for tenders (contrary to popular belief) doesn’t mean it’s not a subsidy; one could be mistaken, and moreover, under European law, subsidies are increasingly required to be put out to tender.

The Dutch Bodily Material Act must be rewritten

The Health Data Access Body

The EHDS and the Secure Processing Environment

Subsidie of opdracht

Posted on 28 maart 202519 november 2025 by Antoinette

Subsidie of opdracht?

Het is niet altijd direct duidelijk of sprake is van een subsidie of een commerciële opdracht. Onder subsidie wordt wettelijk verstaan: “de aanspraak op financiële middelen, door een bestuursorgaan verstrekt met het oog op bepaalde activiteiten van de aanvrager, anders dan als betaling voor aan het bestuursorgaan geleverde goederen of diensten.” Voor het onderscheid tussen een subsidie en een commerciële overeenkomst, is dat laatste van belang. Als de politie bijvoorbeeld kogelvrije vesten inkoopt, dan is het een commercieel contract, want hoewel de politie werkt ten dienste van de samenleving, worden die vesten echt ingekocht voor, en geleverd aan de politie zelf. Dat is anders wanneer een academisch ziekenhuis van de overheid geld krijgt om onderzoek te doen naar een zeldzame ziekte. De eventueel ontwikkelde nieuwe behandeling, is bedoeld voor patiënten, niet voor de overheid. Ook wordt de behandeling niet opgeleverd aan de overheid, maar alleen bewijs dat de gesubsidieerde activiteit daadwerkelijk is uitgevoerd. Voor de vraag of we te maken hebben met een commerciële opdracht of een subsidie, moet daarom met name worden gekeken naar de vraag wat er precies moet worden opgeleverd en voor wie dat bedoeld is; wordt er een dienst of product geleverd aan de subsidieverstrekker, of wordt uitsluitend bewijs van de activiteit opgeleverd?

Niet zelf kiezen

Partijen mogen of kunnen niet zelf beslissen of iets een opdracht is of een subsidie. Als het valt onder bovenstaande definitie, dan is het een subsidie en andersom. Komt men er op grond van bovenstaande nog niet uit, dan neemt de rechter nog in overweging: (i) is de betaling (lager dan) de kostprijs of zit er een winstmarge op, en (ii) wie was de initiatiefnemer tot de activiteit. De idee erachter is dat een commerciële opdrachtnemer winst wil maken en over het algemeen niet aan het werk gaat voordat duidelijk is of er iemand gaat betalen. Het onderscheid tussen subsidies en commerciële contracten is belangrijk voor de BTW; deze hoeft niet te worden betaald over subsidies, reden waarom wederpartijen kunnen bepleiten dat iets een subsidie is, terwijl dat in feite niet het geval is. Let er ook op dat in de definitie van subsidie niets staat over de vraag of er een call of een aanbesteding is geweest. Een aanbesteding maakt dus (anders dan wel wordt gedacht) niet dat het geen subsidie is; men kan zich vergist hebben en bovendien; op grond van Europees recht moeten ook subsidies steeds vaker verplicht aanbesteed worden.