EHDS Jurist

Menu

Maand: april 2025

Waarom is de EHDS revolutionair?

Posted on by admin

Waarom is de EHDS revolutionair?

Meer data, want veiliger

De EHDS beoogt meer data beschikbaar te maken voor secundair gebruik door het veiliger te maken. De AVG blijft gewoon naast de EHDS gelden. Die privacy-verordening bepaalt reeds dat het gebruik van gezondheidsgegevens (kort samengevat) is toegestaan als er sprake is van een goed doel, als de wet gevolgd wordt en als er voldoende technische en organisatorische maatregelen zijn genomen. De EHDS bepaalt hetzelfde, maar meer in detail: men mag werken met gezondheidsgegevens als dit een nuttig doel heeft, zoals omschreven in de EHDS. Dit wordt getoetst door een nieuw op te richten overheidsorgaan, de Health Data Acces Body (HDAB), die behalve aan de EHDS ook toetst aan de AVG. Vervolgens krijgt men geen data, maar een vergunning om met die data te werken, waarin de exacte voorwaarden staan, zoals het feit dat gewerkt moet worden in een beveiligde verwerkingsomgeving (BVO). Men krijgt dus geen data maar toegang ertoe. De HDAB controleert periodiek of de BVO’s inderdaad (nog) veilig genoeg zijn.

Een recht op data

Tot zover lijkt er weinig nieuws te zijn; er moet een goed doel zijn, het moet rechtmatig gebeuren en er moet veilig gewerkt worden. Toch zijn de effecten van de EHDS, doordat een HDAB en een datavergunning in het leven worden geroepen, echt baanbrekend of revolutionair te noemen. Ten eerste omdat de data veel breder gedeeld moeten worden: als de HDAB bepaald heeft dat een wetenschapper met data mag werken (zoals beschreven in de vergunning), dan is de houder van de betreffende data verplicht om deze daadwerkelijk beschikbaar te maken. We hebben reeds allerlei wetten waarin staat dat houders verplicht zijn om data beschikbaar te stellen aan de overheid zelf, zoals in de CBS-wet en de Wet op het RIVM. Maar nu ontstaat er dus een plicht om data beschikbaar te maken aan vergunningshouders, zijnde niet-overheden. Als nu een academisch ziekenhuis data wil gebruiken van een verpleeghuis, dan kan dat verpleeghuis dit weigeren met een beroep op de AVG. Of dat beroep en die weigering terecht zijn, kan nooit ter toetsing voorgelegd worden aan een rechter, want het delen van data door het verpleeghuis is een gunst. Nu wordt dit dus een plicht. De keerzijde hiervan is dat het academische ziekenhuis feitelijk een recht op (het werken met) data krijgt. Dit staat niet letterlijk in de EHDS. Echter, een besluit op een vergunningsaanvraag, is een bestuursrechtelijk besluit. Als de vergunning geweigerd wordt, dan kan men bezwaar aantekenen (bij de DHAB zelf) en daarna zo nodig in beroep bij de bestuursrechter. Als die constateert dat het academisch ziekenhuis aan alle voorwaarden voor het verkrijgen van de vergunning voldoet, dan krijgt het die vergunning. Vergelijk het met een vergunning voor een dakkapel; als men aan alle voorwaarden voldoet, kan die niet meer zomaar geweigerd worden. Door een data-vergunning in het leven te roepen, creëert de EHDS dus indirect een recht op data

Vrije wetenschap

Bovendien heeft in beginsel iedereen het recht om met gezondheidsdata te werken. Iedereen kan een vergunning aanvragen; elke natuurlijke en elke rechtspersoon in de hele Europese Unie. Wel is het voor het verkrijgen van een dergelijke vergunning nodig dat je een in de EHDS erkend doel nastreeft, maar er wordt dus geen onderscheid gemaakt tussen bijvoorbeeld citizen scientists en wetenschappers van academische instellingen. Uiteraard zal wel getoetst worden of de aanvrager gekwalificeerd is om de beoogde doelen te bereiken en dus beschikt over passende expertise. Maar mensen als Albert Einstein, die werken bij een octrooi-bureau, krijgen onder de EHDS dus meer mogelijkheden om te laten zien wat ze in huis hebben. Gevaarlijk is dat alles niet, omdat de HDAB de data zoveel mogelijk zal anonimiseren of pseudonimiseren, en niet overdraagt maar beschikbaar stelt in een beveiligde verwerkingsomgeving, waar geen data uit kunnen worden gehaald, alleen conclusies.

Verplaatsing van medisch geheim bij secundair gebruik

Het volgende frappante feit is dat de bevoegdheid om te beslissen over het secundaire gebruik van gezondheidsgegevens, wordt weggehaald bij individuele zorgverleners, en wordt neergelegd bij de HDAB, de nieuw op te richten overheidsinstantie. De EHDS wordt daarom in de medische sector wel gezien als een zorgwekkende inperking van het medisch geheim. Het kan wat mij betreft beter gezien worden als een gedeeltelijke verplaatsing van het medisch geheim, die bovendien niet onlogisch is. Bedenk dat het medisch geheim is ingevoerd door artsen zelf, in een tijd dat de rechtsstaat nog niet bestond; 2000 jaar geleden. Dat was natuurlijk fantastisch, maar inmiddels hebben we wél een goed functionerende rechtsstaat, en een overheidsorgaan dat toeziet op de bescherming van privacy. Vroeger was er geen keuze waar de besluitvorming over secundair gebruik van data neergelegd moest worden, maar die keuze is er nu wel. En dan is een onafhankelijke overheidsinstantie een logischer keuze dan de artsen zelf. De meeste artsen zijn natuurlijk integer en welwillend, maar in elke beroepsgroep zitten helaas rotte appels. Een slechte arts heeft een persoonlijk belang bij het medisch geheim. Een onafhankelijke overheidsinstantie heeft dat niet. Er staat expliciet in de EHDS dat ervoor gewaakt moet worden dat de HDAB onafhankelijk is en blijft; er mag geen sprake zijn van tegenstrijdige belangen. Die zijn er wel bij de individuele zorgverlener. Bovendien kunnen we van zorgverleners niet verwachten dat ze allemaal de AVG kennen, en van een HDAB wel. Het belang van de privacy van de individuele patiënt botst ten slotte met het belang van medische vooruitgang van de samenleving als geheel; het belang van ander patiënten en van toekomstige generaties bij het kunnen onderzoeken en vinden van nieuwe behandelmethodes. Een onafhankelijke instantie is in een betere positie om de individuele versus collectieve belangen, de huidige versus toekomstige belangen tegen elkaar af te wegen. Het medisch geheim wordt, ten aanzien van secundair gebruik van data dus niet zozeer ingeperkt, als wel verplaatst door de EHDS. En dat is in onze behoorlijk goed functionerende rechtsstaat, juridisch gezien best een logische keuze.

Lab gegevens medisch EHDS

De Wet Zeggenschap Lichaamsmateriaal moet herschreven worden

De EHDS gaat over data en dus niet over lichaamsmateriaal. De concept-Wet Zeggenschap Lichaamsmateriaal gaat over materiaal en dus niet over data. Daarmee zou men dus kunnen denken dat er geen overlap is. Maar als je data uit materiaal haalt, dan doe je en iets met data, en ook iets met materiaal. Daarom bespreek ik hier wat ik vind van de concept-WZL. Spoiler alert: het is echt bagger.

EHDS privacy juridisch data

De Health Data Access Body

Het Ministerie van VWS gaat binnenkort bepalen wie de HDAB wordt; bij wie straks vergunningen worden aangevraagd voor nuttig hergebruik van gezondheidsgegevens. Wie kunnen dit worden, wie juist niet? En wat moet deze HDAB allemaal doen?

EHDS privacy juridisch data

De EHDS en de Beveiligde VerwerkingsOmgeving

Er moet onder de EHDS worden gewerkt in een Beveiligde VerwerkingsOmgeving (BVO). Wetenschappers krijgen geen data, maar toegang daartoe in een BVO die voldoet aan krachtens de EHDS vastgestelde strenge technische en veiligheidsnormen. Wat houdt dat in? En moet voortaan iedereen in een dergelijke BVO werken? Wordt dat een supercomputer met al onze gezondheidsdata?

Wie moet aanleveren aan de HDAB?​

Posted on by admin

Wie moet aanleveren aan de HDAB?

Acht stappen

EHDS-data moeten worden aangeleverd aan de Health Data Access Body als sprake is van een “houder” in de zin van de EHDS. Nu is dat een ingewikkeld geformuleerde kwestie en daarom moet ik hier een expliciet voorbehoud maken; ik doe een poging het te begrijpen en uit te leggen, meer dan dat is nu niet mogelijk. Alternatieve interpretaties heb ik evenwel (nog) niet kunnen vinden. Om te bepalen of data door iemand onder de EHDS moeten worden aangeleverd, moeten naar mijn idee acht stappen worden doorlopen, waarvan onderstaande mij de meest logische volgorde leek:

  1. Zijn de betreffende data EHDS-data?
  2. Valt dit binnen de werkingssfeer van het EU recht?
  3. Uitzondering voor rechtspraak, strafrecht en veiligheid?
  4. De micro-uitzondering?
  5. Als sprake is van persoonsgegevens: is de houder verwerkingsverantwoordelijke?
  6. Beschikt men rechtmatig over de data?
  7. Kan men feitelijk beschikken over de data?
  8. Valt men ook verder binnen de definitie van een houder?

Welke data sowieso niet

Allereerst moet de vraag worden beantwoord, of sowieso sprake is van EHDS-data. Als dat niet het geval is, dan is de EHDS niet van toepassing. Dat is ook niet het geval als iets buiten de werkingssfeer valt van het Europese recht. Nu is dat rijkelijk onduidelijk. In de AVG staat eenzelfde bepaling. Die onduidelijkheid is weggenomen doordat er in de (Nederlandse) Uitvoeringswet-AVG is bepaald, dat de AVG ook geldt buiten de werkingssfeer van de EU. Laten we hopen dat voor de EHDS hetzelfde wordt gedaan, dan is dat maar duidelijk. Voor zover de EHDS-data in handen zijn van de rechterlijke macht, of overheden die zich bezighouden met strafrecht of openbare veiligheid, zijn de data ook niet op te vragen. De volgende vraag die moet worden beantwoord, is of de houder een beroep kan doen op de micro-uitzondering; er hoeven geen data te worden aangeleverd door partijen die daar te klein voor zijn. Brussel meende dat dit een te zware administratieve belasting zou vormen. Er staat daarom in de EHDS dat niet hoeft te worden voldaan aan deze verordening door natuurlijke personen, door individuele wetenschappers, of door organisaties die bestaan uit minder dan tien man en die een omzet draaien van minder dat 2 Mio. Echter, soms zijn data die cruciaal zijn voor medisch-wetenschappelijk onderzoek, nu juist in handen van dergelijke kleine partijen. In de uitvoeringswetgeving die in Nederland nog zal worden geschreven, kan daarom opgenomen worden dat dergelijke micro-data(houders) alsnog worden meegenomen onder het bereik van de EHDS. 

Wel verantwoordelijken, niet verwerkers

Vervolgens moet worden vastgesteld of de opgevraagde data persoonsgegevens zijn in de zin van de AVG. Dat zijn gegevens over personen die identificeerbaar zijn; de AVG is pas van toepassing als redelijkerwijs kan worden achterhaald over welke personen de gegevens gaan, want alleen dan is de privacy in het geding. Om te bepalen of een natuurlijke persoon identificeerbaar is (AVG overweging 26): “moet rekening worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren, bijvoorbeeld selectietechnieken.” Dit is een relatief criterium: wat voor mij geen persoonsgegevens zijn (zoals een lijstje met BSN nummers), zijn dat voor het CBS vaak wel. Het is bovendien een context en tijd gerelateerd criterium. Gegevens die voor mijzelf geen persoonsgegevens zijn, zijn dat opeens wel (ook voor mij dus) als ik ze overdraag aan iemand voor wie het wel persoonsgegevens zijn. Als (en alleen als) er sprake blijkt te zijn van persoonsgegevens, dan moet in het kader van de EHDS de vraag worden gesteld of de houder van die data verwerkingsverantwoordelijke is, of uitsluitend een verwerker. Een verwerker is iemand die data verwerkt in opdracht van een verantwoordelijke, ook wel (joint)-controller genoemd. De term verantwoordelijke is niet een moreel begrip (iemand die zich verantwoordelijk zou moeten voelen), maar een feitelijk begrip (degene die bepaalt wat er met persoonsgegevens gedaan wordt). Het gaat om degene die daadwerkelijk beslissingen neemt over wat er met data gedaan wordt en waarom. Bijvoorbeeld een boekhouder, ingeschakeld door een diëtiste, is uitsluitend verwerker. De diëtiste is de verantwoordelijke die de besluiten neemt en die daarom verplicht is om zich te houden aan de AVG, en binnenkort dus ook aan de EHDS. De controller moet beide wetten naleven, de verwerker laat dat over aan zijn opdrachtgever. Een administratiekantoor van een zorgverlener, hoeft dus geen gezondheidsgegevens beschikbaar te maken voor (o.a.) onderzoek. Let echter op; dit onderscheid geldt uitsluitend als het om persoonsgegevens gaat. Ten aanzien van geanonimiseerde data, kan iedereen een verzoek van de HDAB krijgen, zo lijkt. Overigens moet men in gedachten houden dat de EHDS-verplichtingen dus rusten op alle AVG-verantwoordelijken en niet alleen op de partijen waar de data zijn ontstaan. Dus als een universiteit data heeft gekregen van een ziekenhuis om te analyseren, dan rust de EHDS-verplichting vervolgens op allebei. Als men in een project samenwerkt als joint-controllers ook. Academische instellingen kunnen dus de vruchten gaan plukken van deze verordening, maar krijgen ook verplichtingen om zelf data beschikbaar te stellen. 

Rechtmatigheidstoets

Check vervolgens aan de twee eisen die in de EHDS onder de definitie van houder staan. Samengevat komen die eisen erop neer dat men het recht (of de plicht) moet hebben om met de betreffende data te werken. De HDAB kan dus niet data opvragen die eigenlijk niet mogen bestaan, omdat ze bijvoorbeeld al lang geleden vernietigd hadden moeten worden. De andere eis is dat men de data feitelijk kan aanleveren. Een overheid mag immers nooit iemand een plicht opleggen waar hij niet aan kan voldoen. .

Tot slot: de vage definitie

De laatste vraag is of men een houder is in de zin van de EHDS: “een natuurlijke of rechtspersoon, overheidsinstantie, agentschap of ander orgaan in de gezondheidszorg- of de zorgsector, met inbegrip van, indien noodzakelijk, vergoedingsdiensten, alsook elke natuurlijke of rechtspersoon die producten of diensten ontwikkelt die bestemd zijn voor de gezondheids-, de gezondheidszorg- of de zorgsector, die wellnessapps ontwikkelt of vervaardigt, die wetenschappelijk onderzoek verricht in verband met de gezondheidszorg- of de zorgsector of optreedt als sterfteregister, alsook instellingen, organen of instanties van de Unie.”  Het belangrijkste is dat het gaat om: “elke natuurlijke of rechtspersoon of overheidsinstantie (…) in de gezondheidszorg of de zorgsector.” Het gaat dus niet alleen om overheid, niet alleen om ondernemingen, maar ook om (grotere) maatschappen van artsen. Bovendien gaat het niet uitsluitend om datahouders in de gezondheidszorg, maar ook die in de zorg. De zorgsector is daarbij gedefinieerd als “elke professionele dienst (…) met inbegrip van preventieve en ondersteunende maatregelen, om essentiële activiteiten van het dagelijks leven uit te voeren.” Dus ook de gegevens van kinderdagverblijven, UvA student-begeleiders, of coaches van asielzoekers, lijken hieronder te vallen (maar de Europese rechters zullen dat t.z.t. bepalen). Bovendien zijn inbegrepen ieder “die producten of diensten ontwikkelt die bedoeld zijn voor de gezondheidszorg of de zorgsector.” Dit betekent dat commerciële partijen ook verplicht worden om data aan te leveren aan wetenschappers (als aan de overige voorwaarden is voldaan).

De definitie van houder is zo breed dat het niet zinvol lijkt om te onderzoeken wie er allemaal wél onder valt. Beter kan men de vraag stellen; als het gaat om gegevens zoals opgenomen in het EHDS-lijstje, als men AVG-verantwoordelijke is (ipv verwerker) en men bovendien niet onder de micro-uitzondering valt, kan het dan zijn dat je niet valt binnen deze definitie van EHDS datahouder? Het enige antwoord dat mogelijkerwijs correct leek, was de (grotere) begrafenisondernemer. De laatste vraag, of men valt binnen deze definitie, zal dus meestal met ja worden beantwoord, als de eerdere 7 vragen bevestigend zijn beantwoord.

Pas op met het omdraaien van stappen

Tot slot: draai deze stappen niet zomaar om; je kunt weldegelijk EHDS-houder zijn (aanbieder van diensten aan zorgondernemingen, zoals vervoerders van lichaamsmaterialen), maar niet over EHDS-data beschikken. Vandaar dus dat het verstandiger is om te beginnen met de vraag of het sowieso EHDS data zijn, en als laatste vraag pas te beantwoorden of men houder is. Concluderend: zeer veel partijen zullen als houder van EHDS data deze op verzoek van de HDAB moeten aanleveren: alle gezondheidszorg- of zorgaanbieders, verpleeghuizen, dagopvang, alle vergoedingsdiensten, sterfteregisters, universiteiten, aanbieders van producten of diensten voor de gezondheidszorg aanbieden, inclusief aanbieders van fitbits, en dat alles ongeacht of het overheden, non-profit, of commerciële entiteiten zijn. 

Lab gegevens medisch EHDS

De Wet Zeggenschap Lichaamsmateriaal moet herschreven worden

De EHDS gaat over data en dus niet over lichaamsmateriaal. De concept-Wet Zeggenschap Lichaamsmateriaal gaat over materiaal en dus niet over data. Daarmee zou men dus kunnen denken dat er geen overlap is. Maar als je data uit materiaal haalt, dan doe je en iets met data, en ook iets met materiaal. Daarom bespreek ik hier wat ik vind van de concept-WZL. Spoiler alert: het is echt bagger.

EHDS privacy juridisch data

De Health Data Access Body

Het Ministerie van VWS gaat binnenkort bepalen wie de HDAB wordt; bij wie straks vergunningen worden aangevraagd voor nuttig hergebruik van gezondheidsgegevens. Wie kunnen dit worden, wie juist niet? En wat moet deze HDAB allemaal doen?

EHDS privacy juridisch data

De EHDS en de Beveiligde VerwerkingsOmgeving

Er moet onder de EHDS worden gewerkt in een Beveiligde VerwerkingsOmgeving (BVO). Wetenschappers krijgen geen data, maar toegang daartoe in een BVO die voldoet aan krachtens de EHDS vastgestelde strenge technische en veiligheidsnormen. Wat houdt dat in? En moet voortaan iedereen in een dergelijke BVO werken? Wordt dat een supercomputer met al onze gezondheidsdata?

Welke data vallen onder de EHDS?

Posted on by admin

Welke data vallen onder de EHDS?

Dit stuk is met name een verzoek aan medische wetenschappers om input. De EHDS staat voor European Health Data Space, een Europese Verordening die rechtstreeks in Nederland zal gelden als wet. Hoofdstuk 4 hiervan ziet op het beter en veiliger beschikbaar maken van gezondheidsdata voor nuttig hergebruik, zoals wetenschappelijk onderzoek. Dat houdt in dat data over gezondheid (beveiligd!) beschikbaar moeten worden gemaakt als een nieuw overheidsorgaan (de HDAB) daartoe besluit. De EHDS bevat in artikel 51 een lijst van data die (in beginsel) beschikbaar moeten worden gemaakt. Er staat echter ook dat de lidstaten hier data aan mogen toevoegen. Het is dus belangrijk dat we deze lijst goed bestuderen en bedenken welke data er niet op staan, die toch ook belangrijk zijn voor wetenschap en beleidsevaluaties. Welke data gebruikt u als wetenschapper, die nog niet op onderstaande lijst staan? Wat missen we? Deel vooral jullie gedachten via het contactformulier.

Onder de EHDS vallen in elk geval de volgende data:

  • elektronische gezondheidsgegevens afkomstig van EPD’s;
  • gegevens over factoren die van invloed zijn op de gezondheid, met inbegrip van sociaal-economische, milieu- en gedragsdeterminanten van gezondheid;
  • geaggregeerde gegevens over behoeften op het gebied van gezondheidszorg, de aan gezondheidszorg toegewezen middelen, de verstrekking van en toegang tot gezondheidszorg, uitgaven voor gezondheidszorg en financiering van gezondheidszorg;
  • gegevens over pathogenen die van invloed zijn op de menselijke gezondheid;
  • administratieve gegevens op het gebied van gezondheidszorg, onder meer over verstrekkingen, claims inzake vergoedingen en vergoedingen;
  • humaan-genetische, epigenomische en genomische gegevens;
  • andere humaan-moleculaire gegevens, zoals proteomische, transcriptomische, metabolomische, lipidomische en andere “-omische” gegevens;
  • via medische hulpmiddelen automatisch gegenereerde persoonlijke elektronische gezondheidsgegevens;
  • gegevens afkomstig van wellnessapps;
  • gegevens met betrekking tot de beroepsstatus, en met betrekking tot de specialisatie en instelling van gezondheidswerkers die betrokken zijn bij de behandeling van een natuurlijke persoon;
  • gegevens uit registers van gezondheidsgegevens op bevolkingsniveau zoals volksgezondheidsregisters;
  • gegevens afkomstig van medische registers en registers over sterfte;
  • gegevens afkomstig van klinische proeven, klinische studies, klinische onderzoeken en prestatiestudies waarop Verordening (EU) nr. 536/2014, Verordening (EU) 2024/1938 van het Europees Parlement en de Raad, Verordening (EU) 2017/745 en Verordening (EU) 2017/746 van toepassing zijn;
  • overige gezondheidsgegevens afkomstig van medische hulpmiddelen;
  • gegevens afkomstig van registers voor geneesmiddelen en medische hulpmiddelen;
  • gegevens afkomstig van onderzoekscohorten, vragenlijsten en enquêtes in verband met gezondheid, zodra de daarmee verband houdende resultaten gepubliceerd zijn;
  • gezondheidsgegevens afkomstig van biobanken en bijbehorende databanken.

We kunnen dus, als Nederland zijnde, hier categorieën aan toevoegen, maar ik kan zelf niet bedenken wat er nog ontbreekt. Iemand suggereerde dat wellicht de gegevens van een vrucht, (juridisch) nog niet zijnde een natuurlijke persoon, erbuiten valt. Maar het lijkt me dat een vrucht weliswaar geen eigen EPD heeft, maar wel in een EPD staat? Daarom aan u de vraag: welke gezondheidsdata ontbreken, terwijl deze weldegelijk belangrijk zijn voor de medische wetenschap? Ik hoor het graag via het contactformulier, dan geef ik dit door aan de schrijvers van de EHDS-uitvoeringswetgeving.

Lab gegevens medisch EHDS

De Wet Zeggenschap Lichaamsmateriaal moet herschreven worden

De EHDS gaat over data en dus niet over lichaamsmateriaal. De concept-Wet Zeggenschap Lichaamsmateriaal gaat over materiaal en dus niet over data. Daarmee zou men dus kunnen denken dat er geen overlap is. Maar als je data uit materiaal haalt, dan doe je en iets met data, en ook iets met materiaal. Daarom bespreek ik hier wat ik vind van de concept-WZL. Spoiler alert: het is echt bagger.

EHDS privacy juridisch data

De Health Data Access Body

Het Ministerie van VWS gaat binnenkort bepalen wie de HDAB wordt; bij wie straks vergunningen worden aangevraagd voor nuttig hergebruik van gezondheidsgegevens. Wie kunnen dit worden, wie juist niet? En wat moet deze HDAB allemaal doen?

EHDS privacy juridisch data

De EHDS en de Beveiligde VerwerkingsOmgeving

Er moet onder de EHDS worden gewerkt in een Beveiligde VerwerkingsOmgeving (BVO). Wetenschappers krijgen geen data, maar toegang daartoe in een BVO die voldoet aan krachtens de EHDS vastgestelde strenge technische en veiligheidsnormen. Wat houdt dat in? En moet voortaan iedereen in een dergelijke BVO werken? Wordt dat een supercomputer met al onze gezondheidsdata?

Europees recht

Posted on by admin

Europees recht

De EHDS is Europees recht. Maar wat is dat eigenlijk? Werkt dat rechtstreeks? Wat is het verschil tussen een richtlijn en een verordening? Zet Europees recht altijd nationaal recht opzij? Mag de EU eigenlijk wel regels schrijven over volksgezondheid? Wat houdt de EHDS-uitvoeringswetgeving in? En mag de privacy méér beschermd worden dan Europa voorschrijft?

Vroeger werden tussen staten verdragen gesloten. In eerste instantie waren dat contracten tussen de machtshebbers, met uitsluitend verplichtingen voor die machthebbers zelf. Later werden in verdragen ook rechten en plichten van burgers opgenomen. Vervolgens kwam de Europese Unie. Dit betrof iets geheel anders dan een internationale organisatie of een verdrag. Er werd een nieuwe overheidslaag in het leven geroepen; Europa werd een federatie vergelijkbaar met de Verenigde Staten. De EU schrijft wetgeving die rechtstreeks doorwerkte in de nationale rechtsorde, ongeacht of een Europees land dat nu wilde of niet. Daarom is er regelmatig discussie over de vraag of de EU wel bevoegd is om over een bepaald onderwerp regels te schrijven.

De EU heeft eerst voornamelijk bevoegdheden gekregen op het gebied van de economie; het vrije verkeer van personen, goederen, diensten en financiën. Ze was niet bevoegd ten aanzien van (o.a.) openbaarheid van bestuur of de volksgezondheid. Vervolgens veranderde de visie op data; deze worden nu gezien als een economisch goed, waarover de EU dus wel wetten mag schrijven. Ook zag men in dat het vrije verkeer eigenlijk uitsluitend kon functioneren als er ook een onderliggend vrij verkeer van data ontstond. In dat kader is de EU gaan werken aan een Europese data-strategie, waarbij amper betwist is dat de EU bevoegd is tot het creëren van een vrij verkeer van data, gelijk aan het vrije verkeer van goederen en diensten. De competentie (bevoegdheid regels te schrijven) ten aanzien van de volksgezondheid wordt nu – versneld door Corona – van de nationale landen verplaatst naar Brussel; er wordt gewerkt aan een Europese Volksgezondheidstrategie. Maar ten aanzien daarvan wordt nog wel benadrukt dat de competentie primair bij de lidstaten ligt.

Het unieke van de EU is dus dat het (bij de onderwerpen waartoe ze bevoegdheden heeft gekregen) in de kern een federatie is, een nieuwe bestuurslaag. Europees recht werkt rechtstreeks, of een land dat nu wil of niet. De EHDS wordt dus straks een rechtstreeks werkende wet, waar men zich in de rechtbank direct op kan beroepen. De EHDS is namelijk een verordening. Er worden door de EU ook richtlijnen geschreven. Richtlijnen zijn eigenlijk opdrachten aan nationale staten om bepaalde wetten te schrijven, waarbij nog enige vrijheid wordt gelaten hoe dat wordt vormgegeven. Toch geldt voor beide dat je je er niet zomaar aan kan onttrekken (al kan je natuurlijk altijd uit de EU stappen, maar dat is een wat extreme manier). 

Ondanks dat een Verordening dus (anders dan een richtlijn) rechtstreeks werkt als wet, moet er meestal wel een Uitvoeringswet bij geschreven worden, zoals ook de Uitvoeringswet-AVG. Dergelijke wetten zijn nodig om een Europese wet in te passen in ons nationale systeem; zo moet een EHDS-vergunningenstelsel aansluiten op wat is bepaald in de Algemene Wet Bestuursrecht over vergunningen. Er moeten ook vaak instanties worden aangewezen; in het geval van de EHDS dus de HDAB.  Daarnaast moeten in de uitvoeringswet kwesties geregeld worden, die in de Verordening expliciet worden opengelaten, of ten aanzien waarvan de lidstaten een opdracht krijgen; een op een Richtlijn-lijkende taakstelling. Zo begint artikel 13(1) van de EHDS met de woorden: “De lidstaten zorgen ervoor dat…” 

Bij het schrijven van dergelijke uitvoeringswetgeving, moet bovendien gelet worden op de vraag of een regel bedoeld is als minimum- of maximumharmonisatie. Bij minimumharmonisatie wordt er een ondergrens gegeven; alle lidstaten moeten minstens een bepaald niveau aan rechtsbescherming bieden, maar meer is ook goed. Bij maximumharmonisatie moet precies die regel ingevoerd worden. Er mag niet vanaf geweken worden, wat nog weleens over het hoofd wordt gezien ten aanzien van de AVG. Er dient bij het schrijven van Uitvoeringswetgeving bij Europees recht, dus altijd te worden gekeken: (1) hoe het geheel ingepast moet worden in de nationale wetgeving, (2) op welke onderdelen er duidelijke keuzes aan de landen wordt gelaten en (3) welke onderdelen minimum dan wel maximumharmonisatie betreffen en of afwijkingen dus zijn toestaan. Ten aanzien van gezondheidsdata is het belangrijk dat de AVG zegt (in artikel 9 lid 4) dat de lidstaten aanvullende regels mogen schrijven. Maar de EHDS zegt expliciet (overweging 52) dat dit lid 4 komt te vervallen.

Tot slot; er bestaan regels betreffende de hiërarchie tussen regels, als bij de rechter blijkt dat ze echt met elkaar in strijd zijn; de zogeheten conflictregels. Er zijn er drie: (i) hoger recht gaat altijd voor lager recht, (ii) een bijzondere regel gaat voor op algemene regels en (iii) nieuwe regels over hetzelfde onderwerp gaan voor op oudere regels. Deze drie worden in deze volgorde toegepast. Dit betekent onder meer dat de WGBO (Nederlands recht) nooit Europees recht opzij kan zetten, want dat is hoger recht. Nationaal recht zoals de WGBO kan uitsluitend Europese regels opzijzetten, als die Europese regels expliciet aangeven dat dit mag. We moeten de tekst van de EHDS dus goed te bestuderen, om te beoordelen of ons Nederlandse recht daarmee in strijd is en als dat het geval is, of dat wel mag. Als het niet mag, dan geldt de Nederlandse regel automatisch niet meer.

Lab gegevens medisch EHDS

De Wet Zeggenschap Lichaamsmateriaal moet herschreven worden

De EHDS gaat over data en dus niet over lichaamsmateriaal. De concept-Wet Zeggenschap Lichaamsmateriaal gaat over materiaal en dus niet over data. Daarmee zou men dus kunnen denken dat er geen overlap is. Maar als je data uit materiaal haalt, dan doe je en iets met data, en ook iets met materiaal. Daarom bespreek ik hier wat ik vind van de concept-WZL. Spoiler alert: het is echt bagger.

EHDS privacy juridisch data

De Health Data Access Body

Het Ministerie van VWS gaat binnenkort bepalen wie de HDAB wordt; bij wie straks vergunningen worden aangevraagd voor nuttig hergebruik van gezondheidsgegevens. Wie kunnen dit worden, wie juist niet? En wat moet deze HDAB allemaal doen?

EHDS privacy juridisch data

De EHDS en de Beveiligde VerwerkingsOmgeving

Er moet onder de EHDS worden gewerkt in een Beveiligde VerwerkingsOmgeving (BVO). Wetenschappers krijgen geen data, maar toegang daartoe in een BVO die voldoet aan krachtens de EHDS vastgestelde strenge technische en veiligheidsnormen. Wat houdt dat in? En moet voortaan iedereen in een dergelijke BVO werken? Wordt dat een supercomputer met al onze gezondheidsdata?