EHDS Jurist

Menu

Maand: maart 2025

Waarom de EHDS?

Posted on by admin

Waarom de EHDS?

EHDS staat voor European Health Data Space. Het is een Europese wet die rechtstreeks in Nederland zal gelden, zoals ook de AVG. De Europese Unie heeft decennia geleden al het vrije verkeer van personen, goederen, kapitaal en diensten geïntroduceerd. De interne grenzen binnen de EU werden zoveel mogelijk afgeschaft. Het doel hiervan was economische groei, naast o.a. het ingewikkelder maken van een oorlog. Al snel realiseerde Brussel zich, dat dit vrije verkeer niet goed zou functioneren zonder vrij verkeer van data. Er moest dus ook een Europese, grensvrije data ruimte komen. De AVG was de eerste stap daartoe; om de vrije stroom van data te realiseren, moest in Europa de gegevensbescherming gelijkgetrokken worden. Privacy beschermen kunnen landen zelf ook wel, maar juist voor het realiseren van een vrij verkeer van data, was uniforme gegevensbescherming nodig.

Een data wetgevingsmatrix

Er is vervolgens een Europese datastrategie uitgewerkt, die zich het beste laat omschrijven als een wetgevingsmatrix. Enerzijds zijn er regels over alle data, ongeacht de inhoud. Deze zijn terug te vinden in de AVG, de Wet hergebruik overheidsinformatie, de Data Verordening en de Data Governance Verordening. Anderzijds zijn (en komen) er regels over bepaalde soorten data. Daartoe zijn er negen Data Spaces aangewezen, waaronder financiële data, vervoersdata en dus ook gezondheidsdata. Men moet zich dus bij het lezen van de EHDS bedenken dat deze wet uitsluitend goed te begrijpen is, als radartje in een groter geheel van wetten die elkaar aanvullen: Europese wetten zoals de AVG en de overige datawetgeving, maar ook Nederlandse wetgeving zoals de algemene wet bestuursrecht.

Economisch perspectief op zorg

De EHDS heeft als doel om de gezondheidszorg in Europa te verbeteren door een vrij verkeer van patiënten, zorgverleners en medisch wetenschappers te realiseren. Men verwachtte dat het vrije verkeer van goederen zou leiden tot economische groei en betere producten, en dat bleek te kloppen. Er werden ondersteunende regels geschreven, zoals dat je in de hele EU je online-bestelde producten binnen twee weken mag terugsturen. Consumenten krijgen zo het vertrouwen dat je rechtstreeks kan bestellen in heel Europa. Een goede Italiaanse bio-boer, kan zo de wijnmarkt in Wassenaar bedienen; prijzen gaan omlaag, kwaliteit omhoog. Men verwacht dat dergelijke voordelen ook in de zorg te realiseren zijn. Het is de bedoeling dat bijvoorbeeld Nederlandse radiologen MRI’s uit de gehele EU kunnen beoordelen. Brussel verwacht dat de zorg daarmee goedkoper en beter zal worden.

Bredere databeschikbaarheid

Daarnaast wil de EHDS innovatie stimuleren door gezondheidsdata beschikbaar te maken voor nuttig hergebruik. Universiteiten, ondernemingen of burgers kunnen straks allemaal een vergunning aanvragen om met gezondheidsdata te mogen werken. Of je deze vergunning krijgt, wordt beoordeeld aan de hand van de vraag of je een nuttig doel nastreeft zoals onderwijs, wetenschappelijk onderzoek, statistiek, maar ook het ontwikkelen van nieuwe producten, of het trainen van AI-systemen. Het besluit op je aanvraag, kun je zo nodig voorleggen aan een rechter, die kan toetsen aan onder meer het discriminatieverbod of de wetenschappelijke vrijheid. Het is dan bijvoorbeeld niet meer toegestaan dat een academisch ziekenhuis wel data deelt met een medici, maar niet met wetenschappers van de informatica faculteit.

Binnen strakke wettelijke kaders

Onzorgvuldigheid met gezondheidsgegevens is ongemakkelijk, onethisch en onrechtmatig. Delen mag volgens de AVG alleen als er voldoende “technische en organisatorische waarborgen” zijn. De EHDS schrijft voor wat dit inhoudt. Er moet (uitzonderingen daargelaten) een vergunning worden aangevraagd bij de Health Data Access Body; een nieuw overheidsorgaan. In de vergunning staan de exacte voorwaarden opgenomen en ook de EHDS bevat een lijst van dingen die men niet met de data mag doen. Op schending van die voorwaarden staan boetes. Men krijgt vervolgens niet de data, maar toegang tot de data in een beveiligde verwerkingsomgeving. Zo zou er in de hele Unie op een veilige manier meer kennis beschikbaar moeten komen. We hebben namelijk behalve een recht op gegevensbescherming, ook recht op informatie.

Lab gegevens medisch EHDS

De Wet Zeggenschap Lichaamsmateriaal moet herschreven worden

De EHDS gaat over data en dus niet over lichaamsmateriaal. De concept-Wet Zeggenschap Lichaamsmateriaal gaat over materiaal en dus niet over data. Daarmee zou men dus kunnen denken dat er geen overlap is. Maar als je data uit materiaal haalt, dan doe je en iets met data, en ook iets met materiaal. Daarom bespreek ik hier wat ik vind van de concept-WZL. Spoiler alert: het is echt bagger.

EHDS privacy juridisch data

De Health Data Access Body

Het Ministerie van VWS gaat binnenkort bepalen wie de HDAB wordt; bij wie straks vergunningen worden aangevraagd voor nuttig hergebruik van gezondheidsgegevens. Wie kunnen dit worden, wie juist niet? En wat moet deze HDAB allemaal doen?

EHDS privacy juridisch data

De EHDS en de Beveiligde VerwerkingsOmgeving

Er moet onder de EHDS worden gewerkt in een Beveiligde VerwerkingsOmgeving (BVO). Wetenschappers krijgen geen data, maar toegang daartoe in een BVO die voldoet aan krachtens de EHDS vastgestelde strenge technische en veiligheidsnormen. Wat houdt dat in? En moet voortaan iedereen in een dergelijke BVO werken? Wordt dat een supercomputer met al onze gezondheidsdata?

Pseudonimiseren en de AVG

Posted on by admin

Pseudonimiseren en de AVG

Pseudonimisering is een term uit de AVG die voor veel verwarring zorgt. Zijn dit persoonsgegevens, en is de AVG daar dus op van toepassing, of niet? Zoals zo vaak is het antwoord van juristen: dat hangt ervanaf. Dat komt doordat pseudonieme gegevens geen categorie of soort gegevens zijn. Pseudonimiseren staat alleen in de AVG als een techniek: Artikel 4(5) bepaalt: „pseudonimisering” is het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld.”

Simpel gezegd betekent pseudonimiseren dus dat je “Antoinette Vlieger” vervangt voor bijvoorbeeld nummer “1973.” Het verschil met anonimiseren zit erin dat er nog wel een sleutel of een lijst bestaat, waarmee je kunt terugvinden dat nummer 1973 dus Vlieger is. In de medische wetenschap wil je vrijwel altijd pseudonimiseren in plaats van anonimiseren. Dan kunnen bevindingen zo nodig teruggekoppeld worden naar de behandelend arts of kan verzocht worden om enige aanvullende gegevens als die later nodig blijken voor het onderzoek.

Maar let erop dat er altijd een verschil is tussen gewoon taalgebruik en juridisch taalgebruik (zoals juristen op feestjes uitleggen: dit was geen moord maar doodslag, terwijl het voor iedereen om hen heen moord was). In het gewone spraakgebruik is pseudonimiseren dus het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt. Maar in de AVG wordt daar dus nog een component aan toegevoegd: “mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld.” Er moet ook worden vastgelegd wie er (exclusief) toegang hebben tot de sleutel.

Is de AVG op pseudonieme gegevens van toepassing?

Maar is de AVG nu op dergelijke gegevens van toepassing of niet? Dat hangt er vanaf of het “persoonsgegevens” zijn en dat begrip persoonsgegevens is een relatief begrip. De AVG is van toepassing zodra iemands privacy in het geding is, omdat de gegevens kunnen worden herleid naar een bepaalde persoon. Als een academisch ziekenhuis onderzoek doet naar patiënt nummer 1973, en zij hebben zelf de lijst waarin staat dat dit om Vlieger gaat, dan zijn het voor dat ziekenhuis persoonsgegevens. Geven zij deze data (om een AI-tool te trainen) aan wiskundigen die de lijst niet hebben, dan zijn het voor die wiskundigen geen persoonsgegevens; de AVG is niet van toepassing. Wordt dezelfde set data aan het CBS gegeven – die de lijst ook niet heeft, maar die wel de data kan combineren met eigen data, waardoor het duidelijk is over wie de data gaan – dan zijn de data voor het CBS weer wel persoonsgegevens. En nog weer ingewikkelder: als de wiskundigen, voor wie het dus geen persoonsgegevens zijn, de data op een openbare website plaatsen, waardoor het CBS erbij kan (voor wie het wel persoonsgegevens zijn), dan zijn het bij het openbaar maken weer wel persoonsgegevens en dus is daarop de AVG wel van toepassing; ook voor de wiskundigen.

De AVG is dus van toepassing als er sprake is van persoonsgegevens; in handen van bepaalde personen en in een bepaalde context. Pseudonieme gegevens zijn soms wel persoonsgegevens en soms ook niet. En bij het begrip anonieme gegevens moet je evengoed oppassen. Absoluut anonieme gegevens zijn voor iedereen anoniem. Dat zijn geen persoonsgegevens en daarop is de AVG niet van toepassing. Maar er zijn ook relatief anonieme gegevens; wel anoniem voor mij, niet voor het CBS. Het is beter, om verwarring te voorkomen, om uitsluitend absoluut anonieme gegevens aan te duiden als anoniem. Daarop is de AVG sowieso niet van toepassing. Maar ten aanzien van relatief anonieme gegevens en pseudonieme gegevens, moet telkens getoetst worden of de AVG van toepassing is.

Wordt dat bevestigd in jurisprudentie?

Nu willen veel mensen graag weten of de Europese rechters bevestigd hebben dat bovenstaande klopt. Maar er is geen jurisprudentie over het begrip pseudonimisering zelf. Er is wel rechtspraak waarin gesproken wordt over gepseudonimiseerde gegevens, maar daarbij wordt telkens gewoon de jurisprudentie over het begrip ‘persoonsgegevens’ toegepast.
In het arrest GAR/EDPS (HvJ EU 26 april 2023, T-557/20, ECLI:EU:T:2023:219) is goed te zien hoe de Europese rechter omgaat met deze kwestie. De EDPS stelt dat de gegevens die de GAR met Deloitte heeft gedeeld, gepseudonimiseerde gegevens waren en daarom persoonsgegevens (r.o. 32). De GAR voert aan dat het voor ontvanger Deloitte geen pseudonieme gegevens zijn maar anonieme, aangezien de GAR de informatie aan de hand waarvan opnieuw kon worden geïdentificeerd niet met Deloitte heeft gedeeld (r.o. 76). Opvallend is, dat in de rechters in de uitspraak niet ingaan op de vraag of het nu pseudonieme of anonieme gegevens betrof, maar uitsluitend op de vraag of het persoonsgegevens betrof. En daar blijft het bij. De zaak dient nu in hoger beroep en de Advocaat-Generaal doet er (6 februari 2025, C-413/23P, ECLI:EU:C:2025:59) duidelijk een uitspraak over in overweging 52: Het is niet zo dat gepseudonimiseerde gegevens automatisch geen persoonsgegevens zijn, want “onder bepaalde voorwaarden” zijn het wel persoonsgegevens; maar niet altijd dus.

In Richtlijn 01/2025 van de EDPB over pseudonimisering, van 16 Januari 2025 is gelijkelijk te lezen (overweging 22): Als gepseudonimiseerde gegevens en aanvullende informatie kunnen worden gecombineerd met inachtneming van de middelen die redelijkerwijs door de verwerkingsverantwoordelijke of door een andere persoon worden gebruikt, dan zijn de gepseudonimiseerde gegevens persoonsgegevens.

Is pseudonimisering altijd verplicht?

Op pseudonieme gegevens is dus soms de AVG wel van toepassing, soms niet. Maar als je dat pseudonimiseren nog niet gedaan had, is dat dan wel op grond van de AVG verplicht? Ook daarop is het juridische antwoord: soms wel, soms niet. De korte samenvatting is; als het kan dan moet het (en wel zo snel mogelijk), maar kan het niet, dan mag je alsnog met de data werken, afhankelijk van de omstandigheden; bij een zwaarwegend doel en mits zeer goed beveiligd.

Lab gegevens medisch EHDS

De Wet Zeggenschap Lichaamsmateriaal moet herschreven worden

De EHDS gaat over data en dus niet over lichaamsmateriaal. De concept-Wet Zeggenschap Lichaamsmateriaal gaat over materiaal en dus niet over data. Daarmee zou men dus kunnen denken dat er geen overlap is. Maar als je data uit materiaal haalt, dan doe je en iets met data, en ook iets met materiaal. Daarom bespreek ik hier wat ik vind van de concept-WZL. Spoiler alert: het is echt bagger.

EHDS privacy juridisch data

De Health Data Access Body

Het Ministerie van VWS gaat binnenkort bepalen wie de HDAB wordt; bij wie straks vergunningen worden aangevraagd voor nuttig hergebruik van gezondheidsgegevens. Wie kunnen dit worden, wie juist niet? En wat moet deze HDAB allemaal doen?

EHDS privacy juridisch data

De EHDS en de Beveiligde VerwerkingsOmgeving

Er moet onder de EHDS worden gewerkt in een Beveiligde VerwerkingsOmgeving (BVO). Wetenschappers krijgen geen data, maar toegang daartoe in een BVO die voldoet aan krachtens de EHDS vastgestelde strenge technische en veiligheidsnormen. Wat houdt dat in? En moet voortaan iedereen in een dergelijke BVO werken? Wordt dat een supercomputer met al onze gezondheidsdata?

Contracten bij medisch onderzoek

Posted on by admin

Het bos van contracten bij medisch onderzoek

In dit stuk doe ik een poging om aan medisch-wetenschappers uit te leggen, wat alle verschillende contracten zijn waarmee ze in aanraking kunnen komen. Stel je de volgende casus voor: Een wetenschapper van het LUMC doet onderzoek gefinancierd door X, in een project samen met UMCG, met data (of ook medewerking) van Ziekenhuis Ter Gooi.

1) De arbeidsovereenkomst

Allereerst is er natuurlijk sprake van een overeenkomst tussen de wetenschapper en het LUMC. Meestal zal dit een arbeidsovereenkomst zijn. Het kan ook een ZZP-constructie zijn, maar let op, als bijna uitsluitend en structureel voor LUMC wordt gewerkt, dan vindt de rechter dit mogelijk alsnog een arbeidsrelatie, ook al noemen partijen het anders. De belastingdienst bepaalt het exacte verschil, maar de (zeer) korte samenvatting is; hoe zelfstandiger de wetenschapper, hoe groter de kans dat de ZZP-relatie niet beschouwd wordt als arbeid.

Voor de wirwar aan contracten is het belangrijk om het volgende op te merken: veel contracten in dit project zullen op naam komen van de rechtspersoon LUMC. Die kan in overeenkomsten met externe partijen wel rechten toekennen aan de eigen wetenschappers, maar geen plichten (Plien en Bianca kunnen niet samen contracteren dat Annie iets moet doen). Als dus bijvoorbeeld de financier X wil dat alles geheim blijft, dan zal er in de overeenkomst tussen X en LUMC moeten worden opgenomen, dat LUMC op haar beurt in de overeenkomst met de wetenschapper opneemt dat deze iets geheim moet houden. De verplichting die X wil, loopt via LUMC. Hetzelfde geldt voor afspraken over bijvoorbeeld auteursrechten, die automatisch ontstaan bij de auteur (wetenschapper), maar die wellicht elders terecht moeten komen. Misschien wil X bijvoorbeeld dat er open source lesmateriaal wordt geschreven, wat LUMC dan zal moeten regelen met de wetenschapper.

2) De relatie tot financier X: subsidie of commercie?

Als het onderzoek gefinancierd wordt door X, dan moet deze relatie op de een of andere manier juridisch vorm krijgen. Daarbij dient de vraag te worden gesteld, of de financiering een subsidie is, of een commerciële opdracht. Let op: het is niet zo dat partijen dat zelf kunnen beslissen.

Een subsidie is geld afkomstig van een overheid (zoals ZonMw), verstrekt voor bepaalde activiteiten, anders dan als betaling voor aan die overheid geleverde goederen of diensten. De vraag aan wie je iets oplevert, is dus de crux. Bij financiering van oncologisch onderzoek, moet je wel verantwoording afleggen aan ZonMW, maar je levert niet een product af aan die overheid, maar aan de maatschappij. Wat er wordt opgeleverd is uitsluitend het bewijs dat de activiteit heeft plaatsgevonden. Dat is dus een subsidie. Maar als het erom gaat dat de private financier X patentrechten krijgt waarmee zijn investering terugverdiend kan worden, dan lever je het resultaat op aan de financier zelf en is het dus geen subsidie. 

Bij een echte opdracht sluit je een overeenkomst volgens het Burgerlijk Wetboek (dus alle bepalingen over wanprestatie zijn van toepassing). Bij een subsidie neemt de overheid (eenzijdig) een subsidiebesluit volgens de Algemene wet Bestuursrecht en de subsidievoorwaarden. Maar dat besluit dwingt de ontvanger niet om ook daadwerkelijk uitvoering te geven aan de activiteit: je kan het bedrag ook domweg terugbetalen. Omdat de overheid vaak zekerheid wil dat de activiteit daadwerkelijk wordt uitgevoerd, wordt er dan een subsidie-uitvoeringsovereenkomst gesloten, wat dus niet hetzelfde is als een opdrachtovereenkomst. 

3) De consortium overeenkomst

Als er door UMCG en LUMC gezamenlijk geld is verkregen, dan wil de financier niet dat partijen dat in eigen zak steken en naar de ander verwijzen voor de resultaten. Ook wil de financier niet dat ruzie ertoe leidt dat er geen resultaten komen, dat de uitkomsten geheim worden gehouden, of dat de wet wordt geschonden bij uitvoering van het project. Financiers eisen daarom veelal een consortium-overeenkomst.

Juridisch gezien is dit echter iets dat zich lastig laat duiden. Die contractuele samenwerking kan immers de uitvoering zijn van een subsidie, of van een commerciële opdracht. Men kan besluiten dat de subsidie-uitvoeringsovereenkomst ook dienstdoet als consortiumovereenkomst (en dan is X dus ook partij), of het kan los.

De overeenkomst is meestal bedoeld om niets meer te zijn dan een contractuele samenwerking voor dit specifieke project. Maar er moet opgepast worden voor onbedoelde gevolgen uit het ondernemingsrecht; er moet voor worden gewaakt worden dat de samenwerking niet per ongeluk kwalificeert als vennootschap onder firma of maatschap. Nota bene, dat kan zelfs gebeuren als er helemaal geen schriftelijke overeenkomst is, alleen een feitelijke samenwerking. Het kan dus nuttig zijn om expliciet vast te leggen dat dit niet de bedoeling is.

Wanneer er in de samenwerking maar twee partijen betrokken zijn, dan wordt het vaak een samenwerkingsovereenkomst genoemd. Wanneer er meer partijen betrokken zijn, dan wordt er veelal een overeenkomst opgesteld die een consortium-overeenkomst wordt genoemd. Juridisch gezien maakt dat niets uit, ze vallen beiden gewoon onder het contractenrecht. Het verschil zit erin dat een consortium-overeenkomst altijd bepalingen bevat over de vraag wie welke besluiten mag nemen; hoewel er geen sprake is van een rechtspersoon (zoals een BV) worden er wel organen opgericht waartussen de bevoegdheid tot het nemen van besluiten wordt verdeeld. Meestal zijn dit de consortiumleider, de werkpakketleiders, en de gehele groep.

Let erop dat het contractenrecht eigenlijk zacht als boter is. De inhoud van de overeenkomst wordt (onder Nederlands recht) rijkelijk aangevuld door de redelijkheid & billijkheid, onvoorziene omstandigheden, wat partijen in redelijkheid van elkaar mochten verwachten, en de vraag hoe de samenwerking in de loop van de tijd is geëvolueerd. Het schrijven van dikke contracten hebben we overgenomen van de Amerikanen, waar dat alles niet geldt, maar in Nederland is het eigenlijk niet nodig.

4) Clinical Trial Agreement

Op het moment dat er in plaats van onderzoek met data, of naast onderzoek met data (ook) onderzoek wordt gedaan met of bij mensen, dan wordt de Wet medisch-wetenschappelijk onderzoek met mensen van toepassing. Ook dan moet er een overeenkomst worden gesloten; de klinisch onderzoek-overeenkomst, die we dan vreemd genoeg ineens een Engelse naam gaan geven; de CTA. Dit kan natuurlijk gewoon de consortium-overeenkomst betreffen, al zijn er dus twee verschillen.

Ten eerste is nu behalve UMCG en LUMC (die het onderzoek vormgeven), ook Ter Gooi een partij bij de overeenkomst, want daar wordt het onderzoek (ook) uitgevoerd. Voorheen leverde die uitsluitend data aan, maar nu wordt dat anders. Het tweede verschil zit erin dat de WMO dus van toepassing is, zodat er allerlei taken en verantwoordelijkheden uit die wet contractueel moeten worden vastgelegd. Zo staat er in de WMO dat de resultaten van het onderzoek verplicht openbaar moeten worden gemaakt, dus dient te worden bepaald wie dat feitelijk gaat doen (niet alle drie natuurlijk). Die publicatieplicht bestaat nu overigens nog niet ten aanzien van puur dataonderzoek, maar dat wordt anders zodra de European Health Data Space Verordening van kracht wordt.

5) De Joint-Controllers Agreement

Op het moment dat LUMC niet gewoon anderen laat meewerken aan het onderzoek, maar daadwerkelijk samen met UMCG vormgeeft aan het onderzoek (en er dus een gezamenlijk onderzoeksplan is opgesteld), dan stellen deze twee samen de doelen en middelen vast van de verwerkingen van persoonsgegevens, in de zin van de AVG (gegevensbeschermingswet). Let erop dat dit alleen van toepassing is als er daadwerkelijk gewerkt wordt met persoonsgegevens, want dat is niet het geval als de gegevens al zo gepseudonimiseerd zijn door ziekenhuis Ter Gooi (of bijvoorbeeld ZorgTTP, een andere partij dan UMCG en LUMC zelf dus), dat zij niet meer kunnen achterhalen over welke natuurlijke personen dit gaat. Het is dus niet zo dat als gegevens over personen gaan, het automatisch persoonsgegevens zijn. De vraag is of de privacy in het geding is omdat redelijkerwijs achterhaald kan worden over wie de gegevens gaan; pas dan is de privacywet van toepassing. Bij twijfel over dit alles: bel gewoon je functionaris-gegevensbescherming.

Zijn de data (nog) niet afdoende gepseudonimiseerd, dan zijn UMCG en LUMC verplicht om een joint-controllersovereenkomst te tekenen (of een gezamenlijke-verwerkingsverantwoordelijken-overeenkomst). Het belangrijkste van deze overeenkomst, is dat de AVG-verantwoordelijkheden goed worden verdeeld. Er moet bijvoorbeeld bij risicovolle verwerkingen een DPIA worden verricht, een Data Protection Impact Assessment en het is niet de bedoeling dat UMCG denkt dat LUMC deze heeft verricht en andersom. Overigens hebben patiënten verder niet zoveel te maken met die overeenkomst: voor de uitoefening van hun AVG-rechten, kunnen ze zich alsnog richten tot beide partijen.

6) Joint-Data-Registry-Agreement

Weer een andere overeenkomst, regelt de rechten tussen LUMC en UMCG, ten aanzien van de data, voorafgaand aan afronding van het onderzoek. Dit kan natuurlijk ook worden opgenomen in de consortium-overeenkomst, of in de joint-controllers-overeenkomst. Hij wordt ook wel apart gesloten. Op ruwe data bestaan namelijk geen IE- of eigendomsrechten. Als het plan is om na drie jaar data verzamelen, samen de wetenschappelijke publicaties te verzorgen, dan is het niet fijn als UMCG halverwege al gaat publiceren zonder LUMC over de data; of als LUMC halverwege UMCG de toegang tot de data ontzegt. Het recht regels niet automatisch dat dit alles niet mag (bij gebrek aan IE- of eigendomsrechten op ruwe data dus), reden waarom dit ook contractueel zal moeten worden geregeld. Een financier kan ook wensen hebben ten aanzien van de ruwe data, bijvoorbeeld dat deze FAIR gemaakt worden direct na publicatie van de resultaten.

7) Licentieovereenkomst

Daar waar wel sprake is van IE rechten (zoals auteursrechten of patenten), moeten er ook afspraken worden gemaakt. Ook hiervoor geldt: het kan opgenomen worden in de consortium-overeenkomst, en het kan ook apart. De IE-rechten zijn er in twee soorten; dat wat wordt ingebracht in de samenwerking wordt Background genoemd. Dat wat ontstaat tijdens de samenwerking, wordt Foreground genoemd. Het kan zijn dat er bestaande IE-rechten nodig zijn voor het onderzoek. Degene die dit inbrengt, wil deze IE-rechten beschermen door te bedingen dat het uitsluitend voor dit onderzoek mag worden gebruikt. De andere Partij wil juist zekerheid hebben dat het onderzoek niet spaak loopt omdat alsnog geweigerd wordt die IE te delen. De ingebrachte Background wordt daartoe beschreven in de overeenkomst. Vervolgens ontstaat er tijdens het onderzoek nieuwe IE. De wetenschappers van LUMC en UMCG willen gewoon hun artikelen kunnen publiceren (ten behoeve van hun carrière) zonder dat dit problemen oplevert ten aanzien van die IE-rechten. Ook willen ze met de opgedane kennis vervolgonderzoek kunnen doen, zonder dat de ander dit beperkt. Als X een commerciële financier is, dan zal die mogelijk de IE voor zichzelf willen houden, of als filantroop juist zorgdragen dat deze voor iedereen beschikbaar komt. Om recht te doen aan ieders wensen en belangen, moeten hier dus contractuele afspraken over worden gemaakt.

8) De Data Transfer Agreement met Ter Gooi

Stel dat er geen sprake is van mensgebonden onderzoek; Ziekenhuis Ter Gooi heeft uitsluitend de vraag gekregen om data bij te dragen. Ter Gooi beslist niet mee over hoe het onderzoek eruit komt te zien. De Functionaris Gegevensbescherming van het ziekenhuis zal moeten bepalen aan de hand van de AVG of deze gegevensoverdracht mag plaatsvinden. Als aan alle vereisten is voldaan (voldaan aan de beginselen van artikel 5, een grondslag als in artikel 6, een uitzondering op het verbod van artikel 9, de vereisten van artikel 24 UAVG en de beveiliging volgens artikel 89 AVG), dan mag Ter Gooi de gegevens overdragen voor het onderzoek.

LUMC en UMCG zijn vervolgens, bij het gebruik van de gegevens uit Ter Gooi, automatisch verplicht zich te houden aan de AVG. Uit die wet volgt dus niet de verplichting om een data transfer agreement (DTA) overeen te komen, maar om zeker te weten dat de data uitsluitend worden gebruikt waarvoor ze werden aangevraagd, doet men dat meestal toch. Bij de meeste ziekenhuizen is de verplichting tot het gebruik van een DTA vastgelegd in het interne beleid.

Sinds juni 2024 is het bovendien voor bepaalde organisaties verplicht om een DTA overeen te komen;
met een publieke taak belaste instellingen, overheidsondernemingen en publiek gefinancierde onderzoeksorganisaties. Die plicht volgt niet uit de AVG, maar uit artikel 6 van de Wet Hergebruik Overheidsinformatie. Er moet dan verplicht contractueel worden vastgelegd dat de ontvangers van gepseudonimiseerde gegevens, absoluut niet mag proberen om te achterhalen welke personen dit zijn.

Nota bene: in deze casus is er dus geen verplichting op grond van de wet dat Ter Gooi en LUMC een verwerkersovereenkomst moeten sluiten, want LUMC doet niets in opdracht van Ter Gooi of andersom. Ook hoeft er geen joint-controllers-overeenkomst te worden gesloten, want LUMC en Ter Gooi geven niet samen vorm aan het onderzoek. Men sluit altijd een van deze drie overeenkomsten af, nooit meerdere.

Lab gegevens medisch EHDS

De Wet Zeggenschap Lichaamsmateriaal moet herschreven worden

De EHDS gaat over data en dus niet over lichaamsmateriaal. De concept-Wet Zeggenschap Lichaamsmateriaal gaat over materiaal en dus niet over data. Daarmee zou men dus kunnen denken dat er geen overlap is. Maar als je data uit materiaal haalt, dan doe je en iets met data, en ook iets met materiaal. Daarom bespreek ik hier wat ik vind van de concept-WZL. Spoiler alert: het is echt bagger.

EHDS privacy juridisch data

De Health Data Access Body

Het Ministerie van VWS gaat binnenkort bepalen wie de HDAB wordt; bij wie straks vergunningen worden aangevraagd voor nuttig hergebruik van gezondheidsgegevens. Wie kunnen dit worden, wie juist niet? En wat moet deze HDAB allemaal doen?

EHDS privacy juridisch data

De EHDS en de Beveiligde VerwerkingsOmgeving

Er moet onder de EHDS worden gewerkt in een Beveiligde VerwerkingsOmgeving (BVO). Wetenschappers krijgen geen data, maar toegang daartoe in een BVO die voldoet aan krachtens de EHDS vastgestelde strenge technische en veiligheidsnormen. Wat houdt dat in? En moet voortaan iedereen in een dergelijke BVO werken? Wordt dat een supercomputer met al onze gezondheidsdata?

Subsidie of opdracht

Posted on by admin

Subsidie of opdracht?

Het is niet altijd direct duidelijk of sprake is van een subsidie of een commerciële opdracht. Onder subsidie wordt wettelijk verstaan: “de aanspraak op financiële middelen, door een bestuursorgaan verstrekt met het oog op bepaalde activiteiten van de aanvrager, anders dan als betaling voor aan het bestuursorgaan geleverde goederen of diensten.” Voor het onderscheid tussen een subsidie en een commerciële overeenkomst, is dat laatste van belangAls de politie bijvoorbeeld kogelvrije vesten inkoopt, dan is het een commercieel contract, want hoewel de politie werkt ten dienste van de samenleving, worden die vesten echt ingekocht voor, en geleverd aan de politie zelf. Dat is anders wanneer een academisch ziekenhuis van de overheid geld krijgt om onderzoek te doen naar een zeldzame ziekte. De eventueel ontwikkelde nieuwe behandeling, is bedoeld voor patiënten, niet voor de overheid. Ook wordt de behandeling niet opgeleverd aan de overheid, maar alleen bewijs dat de gesubsidieerde activiteit daadwerkelijk is uitgevoerd. Voor de vraag of we te maken hebben met een commerciële opdracht of een subsidie, moet daarom met name worden gekeken naar de vraag wat er precies moet worden opgeleverd en voor wie dat bedoeld is; wordt er een dienst of product geleverd aan de subsidieverstrekker, of wordt uitsluitend bewijs van de activiteit opgeleverd?

Niet zelf kiezen

Partijen mogen of kunnen niet zelf beslissen of iets een opdracht is of een subsidie. Als het valt onder bovenstaande definitie, dan is het een subsidie en andersom. Komt men er op grond van bovenstaande nog niet uit, dan neemt de rechter nog in overweging: (i) is de betaling (lager dan) de kostprijs of zit er een winstmarge op, en (ii) wie was de initiatiefnemer tot de activiteit. De idee erachter is dat een commerciële opdrachtnemer winst wil maken en over het algemeen niet aan het werk gaat voordat duidelijk is of er iemand gaat betalen. Het onderscheid tussen subsidies en commerciële contracten is belangrijk voor de BTW; deze hoeft niet te worden betaald over subsidies, reden waarom wederpartijen kunnen bepleiten dat iets een subsidie is, terwijl dat in feite niet het geval is. Let er ook op dat in de definitie van subsidie niets staat over de vraag of er een call of een aanbesteding is geweest. Een aanbesteding maakt dus (anders dan wel wordt gedacht) niet dat het geen subsidie is; men kan zich vergist hebben en bovendien; op grond van Europees recht moeten ook subsidies steeds vaker verplicht aanbesteed worden.

Lab gegevens medisch EHDS

De Wet Zeggenschap Lichaamsmateriaal moet herschreven worden

De EHDS gaat over data en dus niet over lichaamsmateriaal. De concept-Wet Zeggenschap Lichaamsmateriaal gaat over materiaal en dus niet over data. Daarmee zou men dus kunnen denken dat er geen overlap is. Maar als je data uit materiaal haalt, dan doe je en iets met data, en ook iets met materiaal. Daarom bespreek ik hier wat ik vind van de concept-WZL. Spoiler alert: het is echt bagger.

EHDS privacy juridisch data

De Health Data Access Body

Het Ministerie van VWS gaat binnenkort bepalen wie de HDAB wordt; bij wie straks vergunningen worden aangevraagd voor nuttig hergebruik van gezondheidsgegevens. Wie kunnen dit worden, wie juist niet? En wat moet deze HDAB allemaal doen?

EHDS privacy juridisch data

De EHDS en de Beveiligde VerwerkingsOmgeving

Er moet onder de EHDS worden gewerkt in een Beveiligde VerwerkingsOmgeving (BVO). Wetenschappers krijgen geen data, maar toegang daartoe in een BVO die voldoet aan krachtens de EHDS vastgestelde strenge technische en veiligheidsnormen. Wat houdt dat in? En moet voortaan iedereen in een dergelijke BVO werken? Wordt dat een supercomputer met al onze gezondheidsdata?