Why is the EHDS revolutionary?

Posted on 2 april 202521 november 2025 by admin

Why is the EHDS revolutionary?

More data, because it's safer

The EHDS aims to make more data available for secondary use by making it more secure. The GDPR will continue to apply alongside the EHDS. This privacy regulation already stipulates that the use of health data (in short) is permitted if there is a good purpose, if the law is followed, and if sufficient technical and organizational measures have been taken. The EHDS stipulates the same, but in more detail: working with health data is permitted if it serves a useful purpose, as described in the EHDS. This will be assessed by a newly established government body, the Health Data Access Body (HDAB), which will assess compliance with the GDPR in addition to the EHDS. Subsequently, users will not receive data, but a permit to work with that data, which will specify the precise conditions, such as the requirement to work in a secure processing environment (SEPA). In other words, users will not receive data, but access to it. The HDAB will periodically verify whether the SEPAs are indeed (still) sufficiently secure.

A right to data

So far, there seems to be little new; there must be a good purpose, the work must be done lawfully, and the work must be carried out safely. Yet, the effects of the EHDS, by creating an HDAB and a data permit, are truly groundbreaking or revolutionary. Firstly, because the data must be shared much more widely: if the HDAB has determined that a scientist is permitted to work with data (as described in the permit), then the data holder is obligated to actually make it available. We already have various laws requiring data holders to make data available to the government itself, such as the Statistics Netherlands Act (CBS Act) and the RIVM Act (RIVM Act). But now, there is an obligation to make data available to permit holders, i.e., non-governmental organizations.

If an academic hospital now wants to use data from a nursing home, that nursing home can refuse, invoking the GDPR. Whether that appeal and refusal are justified can never be submitted to a court, because sharing data by the nursing home is a favor. Now, this becomes an obligation. The downside of this is that the academic hospital effectively acquires a right to (work with) data. This is not explicitly stated in the EHDS. However, a decision on a permit application is an administrative decision. If the permit is denied, an objection can be filed (with the DHAB itself) and then, if necessary, appeal to the administrative court. If the court determines that the academic hospital meets all the conditions for obtaining the permit, it will be granted the permit. Compare this to a permit for a dormer window; if all the conditions are met, it can no longer simply be denied. By creating a data permit, the EHDS indirectly creates a right to data.

Academic freedom

Moreover, in principle, everyone has the right to work with health data. Anyone can apply for a permit; any natural person or legal entity throughout the European Union. Obtaining such a permit requires pursuing a recognized purpose under the EHDS, but no distinction is made between, for example, citizen scientists and scientists from academic institutions. Of course, applicants will be assessed for their qualifications to achieve the intended objectives and therefore possess appropriate expertise. However, people like Albert Einstein, who work at a patent office, will have more opportunities under the EHDS to demonstrate their capabilities. This isn’t dangerous, because the HDAB will anonymize or pseudonymize the data as much as possible, and will not transfer it but make it available in a secure processing environment from which no data can be extracted, only conclusions.

Transfer of confidentiality decisions in case of secondary use

The next striking fact is that the authority to decide on the secondary use of health data is being taken away from individual healthcare providers and placed with the HDAB, the newly established government agency. The EHDS is therefore seen in the medical sector as a worrying restriction of medical confidentiality. In my opinion, it would be better to view it as a partial relocation of medical confidentiality, which is also not illogical. Remember, medical confidentiality was introduced by doctors themselves, at a time when the rule of law did not yet exist; 2,000 years ago. That was fantastic, of course, but now we do have a well-functioning rule of law and a government agency that oversees the protection of privacy. Previously, there was no choice as to where decisions on secondary data use should be placed, but now there is. And in that case, an independent government agency is a more logical choice than the doctors themselves.

Most doctors are, of course, honest and well-meaning, but unfortunately, there are bad apples in every profession. A bad doctor has a personal interest in medical confidentiality. An independent government agency does not. The EHDS explicitly states that the HDAB must be safeguarded to ensure its independence; there must be no conflicting interests. Individual healthcare providers do, however. Moreover, we cannot expect healthcare providers to all be familiar with the GDPR, while an HDAB is. Ultimately, the importance of the privacy of the individual patient conflicts with the importance of medical progress for society as a whole; the interest of other patients and future generations in being able to research and discover new treatment methods. An independent agency is better positioned to weigh individual versus collective interests, current versus future interests. Therefore, with regard to secondary use of data, medical confidentiality is not so much restricted as displaced by the EHDS. And in our fairly well-functioning constitutional state, that is a logical choice from a legal perspective.

The Dutch Bodily Material Act must be rewritten

The EHDS is about data, not bodily material. The Dutch draft Bodily Material Act is about material, not data. This might lead one to believe there's no overlap. But if you extract data from material, you're doing something with both data and material. That's why I'm discussing my thoughts on the draft act here. Spoiler alert: it's not good.

The Health Data Access Body

The Ministry of Health, Welfare and Sport will soon determine who will become the HDAB; who will be the source of permits for the beneficial reuse of health data. Who can be this, and who cannot? And what will this HDAB be responsible for?

The EHDS and the Secure Processing Environment

Under the EHDS, work must be performed in a Secure Processing Environment (SPE). Scientists don't receive data, but access it in a SPE that meets the strict technical and security standards established under the EHDS. What does this entail? And will everyone be required to work in such a SPE from now on? Will it become a supercomputer containing all our health data?

Waarom is de EHDS revolutionair?

Posted on 2 april 202519 november 2025 by Antoinette

Waarom is de EHDS revolutionair?

Meer data, want veiliger

De EHDS beoogt meer data beschikbaar te maken voor secundair gebruik door het veiliger te maken. De AVG blijft gewoon naast de EHDS gelden. Die privacy-verordening bepaalt reeds dat het gebruik van gezondheidsgegevens (kort samengevat) is toegestaan als er sprake is van een goed doel, als de wet gevolgd wordt en als er voldoende technische en organisatorische maatregelen zijn genomen. De EHDS bepaalt hetzelfde, maar meer in detail: men mag werken met gezondheidsgegevens als dit een nuttig doel heeft, zoals omschreven in de EHDS. Dit wordt getoetst door een nieuw op te richten overheidsorgaan, de Health Data Acces Body (HDAB), die behalve aan de EHDS ook toetst aan de AVG. Vervolgens krijgt men geen data, maar een vergunning om met die data te werken, waarin de exacte voorwaarden staan, zoals het feit dat gewerkt moet worden in een beveiligde verwerkingsomgeving (BVO). Men krijgt dus geen data maar toegang ertoe. De HDAB controleert periodiek of de BVO’s inderdaad (nog) veilig genoeg zijn.

Een recht op data

Tot zover lijkt er weinig nieuws te zijn; er moet een goed doel zijn, het moet rechtmatig gebeuren en er moet veilig gewerkt worden. Toch zijn de effecten van de EHDS, doordat een HDAB en een datavergunning in het leven worden geroepen, echt baanbrekend of revolutionair te noemen. Ten eerste omdat de data veel breder gedeeld moeten worden: als de HDAB bepaald heeft dat een wetenschapper met data mag werken (zoals beschreven in de vergunning), dan is de houder van de betreffende data verplicht om deze daadwerkelijk beschikbaar te maken. We hebben reeds allerlei wetten waarin staat dat houders verplicht zijn om data beschikbaar te stellen aan de overheid zelf, zoals in de CBS-wet en de Wet op het RIVM. Maar nu ontstaat er dus een plicht om data beschikbaar te maken aan vergunningshouders, zijnde niet-overheden. Als nu een academisch ziekenhuis data wil gebruiken van een verpleeghuis, dan kan dat verpleeghuis dit weigeren met een beroep op de AVG. Of dat beroep en die weigering terecht zijn, kan nooit ter toetsing voorgelegd worden aan een rechter, want het delen van data door het verpleeghuis is een gunst. Nu wordt dit dus een plicht. De keerzijde hiervan is dat het academische ziekenhuis feitelijk een recht op (het werken met) data krijgt. Dit staat niet letterlijk in de EHDS. Echter, een besluit op een vergunningsaanvraag, is een bestuursrechtelijk besluit. Als de vergunning geweigerd wordt, dan kan men bezwaar aantekenen (bij de DHAB zelf) en daarna zo nodig in beroep bij de bestuursrechter. Als die constateert dat het academisch ziekenhuis aan alle voorwaarden voor het verkrijgen van de vergunning voldoet, dan krijgt het die vergunning. Vergelijk het met een vergunning voor een dakkapel; als men aan alle voorwaarden voldoet, kan die niet meer zomaar geweigerd worden. Door een data-vergunning in het leven te roepen, creëert de EHDS dus indirect een recht op data.

Vrije wetenschap

Bovendien heeft in beginsel iedereen het recht om met gezondheidsdata te werken. Iedereen kan een vergunning aanvragen; elke natuurlijke en elke rechtspersoon in de hele Europese Unie. Wel is het voor het verkrijgen van een dergelijke vergunning nodig dat je een in de EHDS erkend doel nastreeft, maar er wordt dus geen onderscheid gemaakt tussen bijvoorbeeld citizen scientists en wetenschappers van academische instellingen. Uiteraard zal wel getoetst worden of de aanvrager gekwalificeerd is om de beoogde doelen te bereiken en dus beschikt over passende expertise. Maar mensen als Albert Einstein, die werken bij een octrooi-bureau, krijgen onder de EHDS dus meer mogelijkheden om te laten zien wat ze in huis hebben. Gevaarlijk is dat alles niet, omdat de HDAB de data zoveel mogelijk zal anonimiseren of pseudonimiseren, en niet overdraagt maar beschikbaar stelt in een beveiligde verwerkingsomgeving, waar geen data uit kunnen worden gehaald, alleen conclusies.

Verplaatsing van medisch geheim bij secundair gebruik

Het volgende frappante feit is dat de bevoegdheid om te beslissen over het secundaire gebruik van gezondheidsgegevens, wordt weggehaald bij individuele zorgverleners, en wordt neergelegd bij de HDAB, de nieuw op te richten overheidsinstantie. De EHDS wordt daarom in de medische sector wel gezien als een zorgwekkende inperking van het medisch geheim. Het kan wat mij betreft beter gezien worden als een gedeeltelijke verplaatsing van het medisch geheim, die bovendien niet onlogisch is. Bedenk dat het medisch geheim is ingevoerd door artsen zelf, in een tijd dat de rechtsstaat nog niet bestond; 2000 jaar geleden. Dat was natuurlijk fantastisch, maar inmiddels hebben we wél een goed functionerende rechtsstaat, en een overheidsorgaan dat toeziet op de bescherming van privacy. Vroeger was er geen keuze waar de besluitvorming over secundair gebruik van data neergelegd moest worden, maar die keuze is er nu wel. En dan is een onafhankelijke overheidsinstantie een logischer keuze dan de artsen zelf. De meeste artsen zijn natuurlijk integer en welwillend, maar in elke beroepsgroep zitten helaas rotte appels. Een slechte arts heeft een persoonlijk belang bij het medisch geheim. Een onafhankelijke overheidsinstantie heeft dat niet. Er staat expliciet in de EHDS dat ervoor gewaakt moet worden dat de HDAB onafhankelijk is en blijft; er mag geen sprake zijn van tegenstrijdige belangen. Die zijn er wel bij de individuele zorgverlener. Bovendien kunnen we van zorgverleners niet verwachten dat ze allemaal de AVG kennen, en van een HDAB wel. Het belang van de privacy van de individuele patiënt botst ten slotte met het belang van medische vooruitgang van de samenleving als geheel; het belang van ander patiënten en van toekomstige generaties bij het kunnen onderzoeken en vinden van nieuwe behandelmethodes. Een onafhankelijke instantie is in een betere positie om de individuele versus collectieve belangen, de huidige versus toekomstige belangen tegen elkaar af te wegen. Het medisch geheim wordt, ten aanzien van secundair gebruik van data dus niet zozeer ingeperkt, als wel verplaatst door de EHDS. En dat is in onze behoorlijk goed functionerende rechtsstaat, juridisch gezien best een logische keuze.

The Dutch Bodily Material Act must be rewritten

De Wet Zeggenschap Lichaamsmateriaal moet herschreven worden

De EHDS gaat over data en dus niet over lichaamsmateriaal. De concept-Wet Zeggenschap Lichaamsmateriaal gaat over materiaal en dus niet over data. Daarmee zou men dus kunnen denken dat er geen overlap is. Maar als je data uit materiaal haalt, dan doe je en iets met data, en ook iets met materiaal. Daarom bespreek ik hier wat ik vind van de concept-WZL. Spoiler alert: het is echt bagger.

The Health Data Access Body

Which data are covered by the EHDS?

Posted on 1 april 202521 november 2025 by admin

Which data are covered by the EHDS?

This web text is primarily a request for input from medical scientists. The EHDS stands for European Health Data Space, a European Regulation that will apply directly as law in the Netherlands. Chapter 4 of this regulation focuses on making health data more readily and securely available for beneficial reuse, such as scientific research. This means that health data must be made available (securely!) if a new government body (the HDAB) so decides. Article 51 of the EHDS contains a list of data that must (in principle) be made available. However, it also states that Member States may add data to this list. It is therefore important that we carefully examine this list and consider which data are not included, even though they are still important for science and policy evaluations. What data do you, as a scientist, use that are not yet included on the list below? What are we missing? Please share your thoughts via the contact form.

The EHDS includes at least the following data:

electronic health data from EHRs;
data on factors impacting on health, including socioeconomic, environmental and behavioural determinants of health;
aggregated data on healthcare needs, resources allocated to healthcare, the provision of and access to healthcare, healthcare expenditure and financing;
data on pathogens that impact human health;
healthcare-related administrative data, including on dispensations, reimbursement claims and reimbursements;
human genetic, epigenomic and genomic data;
other human molecular data such as proteomic, transcriptomic, metabolomic, lipidomic and other omic data;
personal electronic health data automatically generated through medical devices;
data from wellness applications;
data on professional status, and on the specialisation and institution of health professionals involved in the treatment of a natural person;
data from population-based health data registries such as public health registries;
data from medical registries and mortality registries;
data from clinical trials, clinical studies, clinical investigations and performance studies subject to Regulation (EU) No 536/2014, Regulation (EU) 2024/1938 of the European Parliament and of the Council, Regulation (EU) 2017/745 and Regulation (EU) 2017/746;
other health data from medical devices;
data from registries for medicinal products and medical devices;
data from research cohorts, questionnaires and surveys related to health, after the first publication of the related results;
health data from biobanks and associated databases.

So, as Member States, we can add categories here, but I can’t think of anything missing. Someone suggested that perhaps the data of a fetus, which is not yet (legally) a natural person, falls outside of this. But it seems to me that a fetus doesn’t have its own EHR, but is included in an EHR? Therefore, my question to you: what health data is missing, even though it is indeed important to medical science? I’d like to hear from you via the contact form, and I’ll pass this on to the authors of the EHDS implementing legislation.

The Dutch Bodily Material Act must be rewritten

The Health Data Access Body

The EHDS and the Secure Processing Environment

Welke data vallen onder de EHDS?

Posted on 1 april 202519 november 2025 by Antoinette

Welke data vallen onder de EHDS?

Dit stuk is met name een verzoek aan medische wetenschappers om input. De EHDS staat voor European Health Data Space, een Europese Verordening die rechtstreeks in Nederland zal gelden als wet. Hoofdstuk 4 hiervan ziet op het beter en veiliger beschikbaar maken van gezondheidsdata voor nuttig hergebruik, zoals wetenschappelijk onderzoek. Dat houdt in dat data over gezondheid (beveiligd!) beschikbaar moeten worden gemaakt als een nieuw overheidsorgaan (de HDAB) daartoe besluit. De EHDS bevat in artikel 51 een lijst van data die (in beginsel) beschikbaar moeten worden gemaakt. Er staat echter ook dat de lidstaten hier data aan mogen toevoegen. Het is dus belangrijk dat we deze lijst goed bestuderen en bedenken welke data er niet op staan, die toch ook belangrijk zijn voor wetenschap en beleidsevaluaties. Welke data gebruikt u als wetenschapper, die nog niet op onderstaande lijst staan? Wat missen we? Deel vooral jullie gedachten via het contactformulier.

Onder de EHDS vallen in elk geval de volgende data:

elektronische gezondheidsgegevens afkomstig van EPD’s;
gegevens over factoren die van invloed zijn op de gezondheid, met inbegrip van sociaal-economische, milieu- en gedragsdeterminanten van gezondheid;
geaggregeerde gegevens over behoeften op het gebied van gezondheidszorg, de aan gezondheidszorg toegewezen middelen, de verstrekking van en toegang tot gezondheidszorg, uitgaven voor gezondheidszorg en financiering van gezondheidszorg;
gegevens over pathogenen die van invloed zijn op de menselijke gezondheid;
administratieve gegevens op het gebied van gezondheidszorg, onder meer over verstrekkingen, claims inzake vergoedingen en vergoedingen;
humaan-genetische, epigenomische en genomische gegevens;
andere humaan-moleculaire gegevens, zoals proteomische, transcriptomische, metabolomische, lipidomische en andere “-omische” gegevens;
via medische hulpmiddelen automatisch gegenereerde persoonlijke elektronische gezondheidsgegevens;
gegevens afkomstig van wellnessapps;
gegevens met betrekking tot de beroepsstatus, en met betrekking tot de specialisatie en instelling van gezondheidswerkers die betrokken zijn bij de behandeling van een natuurlijke persoon;
gegevens uit registers van gezondheidsgegevens op bevolkingsniveau zoals volksgezondheidsregisters;
gegevens afkomstig van medische registers en registers over sterfte;
gegevens afkomstig van klinische proeven, klinische studies, klinische onderzoeken en prestatiestudies waarop Verordening (EU) nr. 536/2014, Verordening (EU) 2024/1938 van het Europees Parlement en de Raad, Verordening (EU) 2017/745 en Verordening (EU) 2017/746 van toepassing zijn;
overige gezondheidsgegevens afkomstig van medische hulpmiddelen;
gegevens afkomstig van registers voor geneesmiddelen en medische hulpmiddelen;
gegevens afkomstig van onderzoekscohorten, vragenlijsten en enquêtes in verband met gezondheid, zodra de daarmee verband houdende resultaten gepubliceerd zijn;
gezondheidsgegevens afkomstig van biobanken en bijbehorende databanken.

We kunnen dus, als Nederland zijnde, hier categorieën aan toevoegen, maar ik kan zelf niet bedenken wat er nog ontbreekt. Iemand suggereerde dat wellicht de gegevens van een vrucht, (juridisch) nog niet zijnde een natuurlijke persoon, erbuiten valt. Maar het lijkt me dat een vrucht weliswaar geen eigen EPD heeft, maar wel in een EPD staat? Daarom aan u de vraag: welke gezondheidsdata ontbreken, terwijl deze weldegelijk belangrijk zijn voor de medische wetenschap? Ik hoor het graag via het contactformulier, dan geef ik dit door aan de schrijvers van de EHDS-uitvoeringswetgeving.

The Dutch Bodily Material Act must be rewritten

De Wet Zeggenschap Lichaamsmateriaal moet herschreven worden

The Health Data Access Body

European law

Posted on 1 april 202521 november 2025 by admin

European Law

The EHDS is European law. But what is that exactly? Does it have direct effect? What is the difference between a directive and a regulation? Does European law always override national law? Can the EU even write rules on public health? What does the EHDS implementing legislation entail? And can privacy be protected beyond what Europe prescribes?

In the past, treaties were concluded between states. Initially, these were contracts between those in power, with obligations imposed solely on those powers themselves. Later, treaties also included the rights and obligations of citizens. Then came the European Union. This was something completely different from an international organization or a treaty. A new layer of government was created; Europe became a federation similar to the United States. The EU drafted legislation that had direct effect on national legal systems, regardless of whether a European country wanted it or not. Therefore, there is frequent debate about whether the EU even has the authority to legislate on a particular topic.

The EU initially acquired powers primarily in the economic sphere: the free movement of people, goods, services, and finance. It had no jurisdiction over (among other things) government transparency or public health. Subsequently, the view on data changed; it is now seen as an economic asset, on which the EU can therefore legislate. It was also recognized that free movement could only truly function if there was also an underlying free movement of data. In that context, the EU began working on a European data strategy, with little dispute that the EU has the authority to create the free movement of data, similar to the free movement of goods and services. The competence (the authority to write regulations) regarding public health is now being shifted from the national governments to Brussels—accelerated by the coronavirus pandemic; a European Public Health Strategy is being developed. However, it is still emphasized that the competence in this regard lies primarily with the Member States.

The unique thing about the EU is that (in the areas for which it has been granted powers) it is essentially a federation, a new layer of government. European law has direct effect, whether a country wants it to or not. The European Convention on Human Rights (ECHDS) will soon become a directly applicable law, which can be directly invoked in court. The ECHDS is a regulation. The EU also writes directives. Directives are essentially mandates for national states to write certain laws, with some freedom in how they are implemented. However, in both cases, you cannot simply withdraw from them (although you can always leave the EU, but that would be a rather extreme approach).

Even though a Regulation (unlike a Directive) has direct effect as law, an Implementing Act usually needs to be written alongside it, such as the GDPR Implementing Act. Such laws are necessary to integrate European law into our national system; for example, an EHDS licensing system must be in line with the provisions of the General Administrative Law Act on licensing. Authorities also often need to be designated; in the case of the EHDS, this is the HDAB. In addition, the Implementing Act must regulate matters that are explicitly left open in the Regulation, or in respect of which the Member States are given a task; a task similar to a Directive. For example, Article 13(1) of the EHDS begins with the words: “Member States shall ensure that…”

When drafting such implementing legislation, it is also important to consider whether a rule is intended as minimum or maximum harmonization. Minimum harmonization sets a lower limit; all Member States must provide at least a certain level of legal protection, but more is also acceptable. Maximum harmonization requires the implementation of precisely that rule. Deviations from it are not permitted, which is often overlooked with regard to the GDPR. Therefore, when drafting implementing legislation for European law, consideration should always be given to: (1) how the whole should be integrated into national legislation, (2) which areas allow clear choices to the countries, and (3) which areas concern minimum or maximum harmonization and whether deviations are therefore permitted. Regarding health data, it is important that the GDPR states (in Article 9, paragraph 4) that Member States may draft additional rules. However, the European Data Protection and Security Council (EHDS) explicitly states (recital 52) that this paragraph 4 will no longer apply to EHDS-data.

Finally, there are rules regarding the hierarchy of rules if the court finds they are truly in conflict; these are the so-called conflict rules. There are three: (i) higher law always takes precedence over lower law, (ii) a specific rule takes precedence over general rules, and (iii) new rules on the same subject take precedence over older rules. These three are applied in this order. This means, among other things, that the WGBO (Dutch law) can never override European law, because that is higher law. National law, such as the WGBO, can only override European rules if those European rules explicitly state that this is permitted. We must therefore carefully study the text of the EHDS to assess whether our Dutch law conflicts with it, and if so, whether it is permitted. If it is not permitted, the Dutch rule automatically no longer applies.

The Dutch Bodily Material Act must be rewritten

The Health Data Access Body

The EHDS and the Secure Processing Environment

Europees recht

Posted on 1 april 202519 november 2025 by Antoinette

Europees recht

De EHDS is Europees recht. Maar wat is dat eigenlijk? Werkt dat rechtstreeks? Wat is het verschil tussen een richtlijn en een verordening? Zet Europees recht altijd nationaal recht opzij? Mag de EU eigenlijk wel regels schrijven over volksgezondheid? Wat houdt de EHDS-uitvoeringswetgeving in? En mag de privacy méér beschermd worden dan Europa voorschrijft?

Vroeger werden tussen staten verdragen gesloten. In eerste instantie waren dat contracten tussen de machtshebbers, met uitsluitend verplichtingen voor die machthebbers zelf. Later werden in verdragen ook rechten en plichten van burgers opgenomen. Vervolgens kwam de Europese Unie. Dit betrof iets geheel anders dan een internationale organisatie of een verdrag. Er werd een nieuwe overheidslaag in het leven geroepen; Europa werd een federatie vergelijkbaar met de Verenigde Staten. De EU schrijft wetgeving die rechtstreeks doorwerkte in de nationale rechtsorde, ongeacht of een Europees land dat nu wilde of niet. Daarom is er regelmatig discussie over de vraag of de EU wel bevoegd is om over een bepaald onderwerp regels te schrijven.

De EU heeft eerst voornamelijk bevoegdheden gekregen op het gebied van de economie; het vrije verkeer van personen, goederen, diensten en financiën. Ze was niet bevoegd ten aanzien van (o.a.) openbaarheid van bestuur of de volksgezondheid. Vervolgens veranderde de visie op data; deze worden nu gezien als een economisch goed, waarover de EU dus wel wetten mag schrijven. Ook zag men in dat het vrije verkeer eigenlijk uitsluitend kon functioneren als er ook een onderliggend vrij verkeer van data ontstond. In dat kader is de EU gaan werken aan een Europese data-strategie, waarbij amper betwist is dat de EU bevoegd is tot het creëren van een vrij verkeer van data, gelijk aan het vrije verkeer van goederen en diensten. De competentie (bevoegdheid regels te schrijven) ten aanzien van de volksgezondheid wordt nu – versneld door Corona – van de nationale landen verplaatst naar Brussel; er wordt gewerkt aan een Europese Volksgezondheidstrategie. Maar ten aanzien daarvan wordt nog wel benadrukt dat de competentie primair bij de lidstaten ligt.

Het unieke van de EU is dus dat het (bij de onderwerpen waartoe ze bevoegdheden heeft gekregen) in de kern een federatie is, een nieuwe bestuurslaag. Europees recht werkt rechtstreeks, of een land dat nu wil of niet. De EHDS wordt dus straks een rechtstreeks werkende wet, waar men zich in de rechtbank direct op kan beroepen. De EHDS is namelijk een verordening. Er worden door de EU ook richtlijnen geschreven. Richtlijnen zijn eigenlijk opdrachten aan nationale staten om bepaalde wetten te schrijven, waarbij nog enige vrijheid wordt gelaten hoe dat wordt vormgegeven. Toch geldt voor beide dat je je er niet zomaar aan kan onttrekken (al kan je natuurlijk altijd uit de EU stappen, maar dat is een wat extreme manier).

Ondanks dat een Verordening dus (anders dan een richtlijn) rechtstreeks werkt als wet, moet er meestal wel een Uitvoeringswet bij geschreven worden, zoals ook de Uitvoeringswet-AVG. Dergelijke wetten zijn nodig om een Europese wet in te passen in ons nationale systeem; zo moet een EHDS-vergunningenstelsel aansluiten op wat is bepaald in de Algemene Wet Bestuursrecht over vergunningen. Er moeten ook vaak instanties worden aangewezen; in het geval van de EHDS dus de HDAB. Daarnaast moeten in de uitvoeringswet kwesties geregeld worden, die in de Verordening expliciet worden opengelaten, of ten aanzien waarvan de lidstaten een opdracht krijgen; een op een Richtlijn-lijkende taakstelling. Zo begint artikel 13(1) van de EHDS met de woorden: “De lidstaten zorgen ervoor dat…”

Bij het schrijven van dergelijke uitvoeringswetgeving, moet bovendien gelet worden op de vraag of een regel bedoeld is als minimum- of maximumharmonisatie. Bij minimumharmonisatie wordt er een ondergrens gegeven; alle lidstaten moeten minstens een bepaald niveau aan rechtsbescherming bieden, maar meer is ook goed. Bij maximumharmonisatie moet precies die regel ingevoerd worden. Er mag niet vanaf geweken worden, wat nog weleens over het hoofd wordt gezien ten aanzien van de AVG. Er dient bij het schrijven van Uitvoeringswetgeving bij Europees recht, dus altijd te worden gekeken: (1) hoe het geheel ingepast moet worden in de nationale wetgeving, (2) op welke onderdelen er duidelijke keuzes aan de landen wordt gelaten en (3) welke onderdelen minimum dan wel maximumharmonisatie betreffen en of afwijkingen dus zijn toestaan. Ten aanzien van gezondheidsdata is het belangrijk dat de AVG zegt (in artikel 9 lid 4) dat de lidstaten aanvullende regels mogen schrijven. Maar de EHDS zegt expliciet (overweging 52) dat dit lid 4 komt te vervallen.

Tot slot; er bestaan regels betreffende de hiërarchie tussen regels, als bij de rechter blijkt dat ze echt met elkaar in strijd zijn; de zogeheten conflictregels. Er zijn er drie: (i) hoger recht gaat altijd voor lager recht, (ii) een bijzondere regel gaat voor op algemene regels en (iii) nieuwe regels over hetzelfde onderwerp gaan voor op oudere regels. Deze drie worden in deze volgorde toegepast. Dit betekent onder meer dat de WGBO (Nederlands recht) nooit Europees recht opzij kan zetten, want dat is hoger recht. Nationaal recht zoals de WGBO kan uitsluitend Europese regels opzijzetten, als die Europese regels expliciet aangeven dat dit mag. We moeten de tekst van de EHDS dus goed te bestuderen, om te beoordelen of ons Nederlandse recht daarmee in strijd is en als dat het geval is, of dat wel mag. Als het niet mag, dan geldt de Nederlandse regel automatisch niet meer.