EHDS everywhere or just a layer on top?

Posted on 13 april 202628 april 2026 by Antoinette

EHDS everywhere or just a layer on top?

Building the EHDS as a new layer

Oskar Thunman wrote an insightful piece on how different countries prepare for the EHDS. More specifically, he describes how they build EHDS access services on top of their current national systems. As a legal expert in the field of health data, I am astounded by the lack of discussion regarding to what extent the EHDS Regulation actually allows this.

Maximum harmonisation

There is an ongoing discussion on the correct interpretation of Article 1(8): can secondary data users individually choose whether to apply for an EHDS permit? That seems contrary to the concept of a permit, and the workings of EU law. However, a similarly open-to-interpretation article seems to be lacking in respect to the chapters on the primary use of health data and ICT. EU Regulations are usually based on maximum harmonisation. They prescribe the exact rules that will always apply in every Member State, unless the regulation explicitly states that Member States may deviate. This is currently the case with the GDPR: it applies directly and everywhere in the EU, not solely when data crosses member state borders. Article 9(4) of the GDPR allows for certain national deviations, but the EHDS states that Member States may no longer maintain these.

What would the EU court say?

So, I wonder how it is possible that everybody presumes that continuing ‘business as usual’ within national borders is legally allowed? It is not allowed under the GDPR either. Why the different reading? And thus, to answer Oskar Thunman’s question “now what,” I’d say: let’s go to the EU Court and force Member States to actually build one “European Data Space,” as the Regulation appears to prescribe?

The EHDS, PFAS and marriage counseling

The EHDS has been in effect for a year. From PFAS to chronic complaints: this is how the reuse of health data works in practice.

The free flow of health-ICT

The Ministry of Health, Welfare and Sport (VWS) recently opened a consultation for the Global Technical Design of the Generic Function Addressing: a kind of address book for healthcare providers. This is an important step for Dutch healthcare, but if you view this document through the lens of European law, I do see some tension.

The Digital Omnibus and CJEU Scania

It is argued in various publications that the draft Digital Omnibus (concerning, among other things, amendments to the GDPR) would nullify the legal effect of the Scania judgment. However, a careful reading of the text suggests otherwise. The Commission is not proposing a nullification, but a demarcation of scope.

The free flow of health-ICT

Posted on 13 april 202620 april 2026 by Antoinette

The free flow of health ICT

Ontwerp van Zorg-adressering

The Dutch Ministry of Health, Welfare and Sport (VWS) recently opened a consultation on the concept Global Technical Design (GTO) of the Generic Function Addressing: a kind of address book for healthcare providers. This is an important step for Dutch healthcare, but if you view this document through a European lens, I do see some tension.

National health law versus EU free flow of services

The Ministry of Health, Welfare and Sport (VWS) seems to argue, based on health law (Article 168, paragraph 7 TFEU & the autonomy of Member States to organize their healthcare systems), that this structure is permissible. The system relies on typically Dutch anchors: the Chamber of Commerce (KvK) and the UZI/DEZI register. However, my legal intuition tells me that we are overlooking broader European market rules here. Doesn’t this technical design erect a wall for foreign ICT suppliers?

Can a Dutch CC registration be mandatory?

If a German software developer (e.g. of an EHR solution) is forced to have a Dutch Chamber of Commerce registration in order to connect their systems to the LRZa, this directly infringes upon Article 56 TFEU (the free movement of services) and the European Services Directive, which prohibits Member States from forcing foreign service providers to register in a local or national register in order to be allowed to provide their digital services. Furthermore, such a closed national approach seems to me to be at odds with the intended beneficial effect of the eIDAS Regulation and the European Health Data Space (EHDS). After all, these exist precisely to break down cross-border digital friction and vendor lock-in at the national level.

Which other Ministry knows more about this?

Are there experts in European law and/or the Services Directive who recognize this tension? Is the Netherlands building a legally untenable digital border here? I would like to brainstorm with someone knowledgeable about the free movement of ICT services to see if my intuition is correct and whether it makes sense to respond to this consultation together. Perhaps someone from the Ministry of Economic Affairs and Climate Policy? I look forward to hearing your thoughts and suggestions for experts.

The EHDS, PFAS and marriage counseling

The EHDS has been in effect for a year. From PFAS to chronic complaints: this is how the reuse of health data works in practice.

EHDS everywhere or just a layer on top?

EU countries build EHDS access services on top of their current national systems. But there is no discussion whether the EHDS allows this.

The Digital Omnibus and CJEU Scania

Het vrije verkeer van Zorg ICT

Posted on 13 april 202620 april 2026 by Antoinette

Vrije verkeer van zorg-ICT

Ontwerp van Zorg-adressering

Het Ministerie van VWS heeft onlangs een consultatie geopend voor het Globaal Technisch Ontwerp (GTO) van de Generieke Functie Adressering: een soort adresboek voor zorgverleners. Een belangrijke stap voor de Nederlandse zorg, maar als je dit document door een Europese bril bekijkt, dan zie ik toch enige spanning.

Nationaal gezondheidsrecht versus vrij verkeer

VWS lijkt vanuit het gezondheidsrecht (art. 168 lid 7 VWEU & de autonomie van lidstaten om hun zorgstelsels in te richten) te beredeneren dat deze inrichting is toegestaan. Het systeem leunt op typisch Nederlandse ankers: de Kamer van Koophandel (KvK) en het UZI/DEZI-register. Maar mijn juridische intuïtie zegt me dat we hier de bredere Europese marktregels over het hoofd zien. Werpt dit technische ontwerp niet een muur op voor buitenlandse ICT-leveranciers?

Kan je een KvK inschrijving eisen?

Als een Duitse softwareontwikkelaar (bijv. van een EPD-oplossing) wordt gedwongen om een Nederlandse KvK-inschrijving te hebben om hun systemen te kunnen koppelen aan het LRZa, dan raakt dat direct aan artikel 56 VWEU (het vrije verkeer van diensten) en aan de Europese Dienstenrichtlijn, die verbiedt dat lidstaten buitenlandse dienstverleners dwingen zich in een lokaal of nationaal register in te schrijven om hun digitale diensten te mogen leveren. Daarnaast lijkt zo’n gesloten nationale benadering mij haaks te staan op het beoogde nuttig effect van de eIDAS-verordening en van de European Health Data Space (EHDS). Die zijn er immers juist om grensoverschrijdende digitale frictie en ‘vendor lock-in’ op nationaal niveau af te breken.

Welk ander Ministerie weet hier meer van?

Zijn er experts op het gebied van Europees recht en/of de Dienstenrichtlijn die dit spanningsveld herkennen? Bouwt Nederland hier aan een juridisch onhoudbare digitale grens? Ik zou graag sparren met iemand die veel weet over het vrije verkeer van ICT-diensten, om te zien of mijn intuïtie klopt, en of het zinvol is om samen te reageren op deze consultatie. Misschien iemand van het Ministerie van Economische Zaken en Klimaat ? Ik hoor graag jullie gedachten en suggesties voor experts.

De definitie van wetenschap in de digitale Omnibus

Hoe definieert de EU 'wetenschappelijk onderzoek' in de Digitale Omnibus? Antoinette Vlieger reageert op de kritiek. Wetenschap is iets anders dan goede wetenschap en dit moet zo blijven.

Lang leve AI, zegt AI!

Veel mensen zijn bang dat hun baan op de tocht staat door AI. Ik besloot de vraag om te draaien en vroeg Gemini: welke klussen ga jij overnemen waar we blij van worden? Zie hier haar eigen, optimistische antwoord:

De EHDS, PFAS en relatietherapie

De EHDS is vandaag één jaar van kracht. Maar wat hebben we daar in de praktijk aan? Denk bijvoorbeeld aan: PFAS, de overgang en relatietherapie.

The Digital Omnibus and CJEU Scania

Posted on 13 april 202620 april 2026 by Antoinette

Does the draft Digital Omnibus (GDPR) abolish the Scania ruling? No.

Omnibus is being criticized

In various publications, the position is defended that the draft Digital Omnibus (concerning, among other things, amendments to the GDPR) would nullify the legal effect of the Scania judgment (C-319/22): in iBestuur among others, and on LinkedIn. However, a close reading of the text suggests otherwise. The Commission is not striking down Scania, but rather defining its scope.

Indirect personal data

In the Scania judgment, the EU Court ruled that if data (such as chassis numbers) constitute personal data for the recipient, they indirectly also constitute personal data for the provider. The fear of undermining this judgment is based on the addition proposed by the Commission to Article 4(1) of the GDPR: “Such information does not become personal for that entity merely because a potential subsequent recipient has means reasonably likely to be used to identify the natural person to whom the information relates.”

What is the difference

In my view, the crux of the correct interpretation of this sentence lies in the word ‘potential.’ A distinction must be made between an actual and a potential data transfer:

– The Scania doctrine (Actual transfer): In the Scania judgment, there was an actual provision of data to independent market participants. Because the data were actually transferred to a party with means of identification, the status of personal data indirectly extended to the original provider.

– The Omnibus text (Potential transfer): The proposed legislative text addresses exclusively the potential subsequent recipient. This provision aims to prevent internally processed, pseudonymized data from qualifying as personal data merely on the basis of the theoretical fact that there is a party somewhere in the world that could decrypt it.

A demarcation

Conclusion: With the draft Digital Omnibus, the European Commission does not annul the Scania judgment, but codifies the logical limits of the relative concept of personal data, as previously confirmed in the SRB case: if you actually transfer data to a party with identification capacity, the data also qualify as personal data for you. If it remains a hypothetical, potential recipient, this classification does not apply. The proposed addition thus offers, as the Commission itself states, a clarification of current case law, without undermining the Court’s fundamental principle of protection.

The EHDS, PFAS and marriage counseling

The EHDS has been in effect for a year. From PFAS to chronic complaints: this is how the reuse of health data works in practice.

EHDS everywhere or just a layer on top?

EU countries build EHDS access services on top of their current national systems. But there is no discussion whether the EHDS allows this.

The free flow of health-ICT

De Digitale Omnibus en het arrest Scania

Posted on 13 april 202620 april 2026 by Antoinette

Schaft de Digitale Omnibus (AVG) het Scania-arrest af? Nee

Omnibus onder vuur

In allerlei publicaties wordt de stelling verdedigd dat de concept-Digitale Omnibus (over onder meer aanpassingen in de AVG) de juridische werking van het Scania-arrest (C-319/22) teniet zou doen: in onder meer iBestuur, en op Linkedin. Een nauwkeurige lezing van de tekst suggereert echter anders. De Commissie zet geen streep door Scania, maar bakent de reikwijdte ervan af.

Indirect persoonsgegevens

In het arrest Scania oordeelde het EU Hof dat als gegevens (zoals chassis-nummers) voor de ontvanger persoonsgegevens zijn, zij dit indirect ook voor de verstrekker zijn. De vrees voor uitholling van dit arrest is gebaseerd op de door de Commissie voorgestelde toevoeging aan artikel 4 sub 1 AVG: “Such information does not become personal for that entity merely because a potential subsequent recipient has means reasonably likely to be used to identify the natural person to whom the information relates.” De crux voor de juiste lezing van deze zin, zit wat mij betreft in het woordje ‘potential.’

Wat is het verschil

Er moet een onderscheid worden gemaakt tussen een daadwerkelijke en een potentiële gegevensoverdracht:
– De Scania-doctrine (Daadwerkelijke overdracht): In het Scania-arrest was er sprake van een feitelijke terbeschikkingstelling van gegevens aan onafhankelijke marktdeelnemers. Omdat de data daadwerkelijk werden overgedragen aan een partij met identificatiemiddelen, werkte de status van persoonsgegeven indirect door naar de originele verstrekker.
– De Omnibus-tekst (Potentiële overdracht): De voorgestelde wetstekst adresseert uitsluitend de potentiële opvolgende ontvanger (“potential subsequent recipient”). Deze bepaling beoogt te voorkomen dat intern verwerkte, gepseudonimiseerde data kwalificeren als persoonsgegevens louter op basis van het theoretische feit dat er zich ergens in de wereld een partij bevindt die deze zou kunnen ontsleutelen.

Een afbakening dus

Conclusie: De Europese Commissie vernietigt met de concept- Digitale Omnibus het Scania-arrest niet, maar codificeert de logische grenzen van het relatieve persoonsgegevensbegrip, zoals eerder bevestigd in de SRB-zaak: indien u data daadwerkelijk overdraagt aan een partij met identificatiecapaciteit, kwalificeren de data ook voor u als persoonsgegevens. Blijft het bij een hypothetische, potentiële ontvanger, dan is deze kwalificatie niet aan de orde. De voorgestelde toevoeging biedt daarmee zoals de Commissie zelf ook stelt een verduidelijking van de huidige jurisprudentie, zonder afbreuk te doen aan de fundamentele beschermingsgedachte van het Hof.

De definitie van wetenschap in de digitale Omnibus

Hoe definieert de EU 'wetenschappelijk onderzoek' in de Digitale Omnibus? Antoinette Vlieger reageert op de kritiek. Wetenschap is iets anders dan goede wetenschap en dit moet zo blijven.

Lang leve AI, zegt AI!

De EHDS, PFAS en relatietherapie

De EHDS is vandaag één jaar van kracht. Maar wat hebben we daar in de praktijk aan? Denk bijvoorbeeld aan: PFAS, de overgang en relatietherapie.

Who can be a member in the EHDS-board?

Posted on 13 april 202621 april 2026 by Antoinette

Who can be member of the board?

The EHDS Board: a new job in Brussels

The European Health Data Space (EHDS) has been in force for a year. Currently, the European Commission is working hard on the practical elaborations. As a result, the first implementing regulation is now a fact. This regulation focuses on establishing the EHDS Board. But who is actually allowed to sit on this board on behalf of a Member State?

That question is less clear than it seems. Specifically, the EHDS stipulates that the board consists of two representatives per Member State. One member is appointed for primary data use, and the other for secondary use. This sounds quite broad. Consequently, you might think a country like the Netherlands can send anyone with relevant expertise. For example, this could be someone from the Health Data Access Body (HDAB) or a university professor. It could even be an expert from a national public health organization.

Affiliated with an authority?

However, the new implementing regulation tightens the reins. Member States must submit the names of their representatives. In addition, they must explicitly state to which “Member State authorities” these individuals are affiliated. What exactly is meant by this requirement? This can be interpreted in two different ways.

The broad interpretation: This could mean any public authority of a Member State. This aligns perfectly with the broad European definition of ‘authority’, as seen in the Farrell judgment. Therefore, organizations like the RIVM or ZonMw could simply join as full members instead of advisory experts.
The narrow interpretation: In this view, the word ‘authority’ refers exclusively to the Digital Health Authority (ADG) and the HDAB. This is analogous to how the GDPR handles the concept. In that case, we must establish these bodies quickly to participate in the EHDS Council.

Subgroups in the EHDS Board

Article 92(6) of the EHDS does not make the situation any clearer. It states that the Council may be divided into subgroups. Furthermore, it stipulates that the ADGs and HDABs must be represented in these specific subgroups.

Does this mean (a contrario) that the Board itself does not have to consist exclusively of such representatives? Or is this precisely proof that all Council members must come from those two specific authorities?

Preferably someone who sees the benefits

Ultimately, the answer to this question is crucial for structuring public data governance. If the narrow interpretation is correct, an organization like the RIVM cannot hold the seat for secondary use. However, excluding public health organizations would be a missed opportunity. Sending a representative who experiences the practical benefits of the EHDS seems like an excellent idea. Conversely, a regulator might act mainly from the perspective of enforcement and risk.

Therefore, I hope for the broad interpretation, but I fear the stringent one. If the narrow interpretation is indeed correct, quick action is essential. Member States must establish the ADG and the HDAB as soon as possible. Otherwise, they risk missing the first crucial meetings of the Board.

The EHDS, PFAS and marriage counseling

The EHDS has been in effect for a year. From PFAS to chronic complaints: this is how the reuse of health data works in practice.

EHDS everywhere or just a layer on top?

EU countries build EHDS access services on top of their current national systems. But there is no discussion whether the EHDS allows this.

The free flow of health-ICT

Wie mag er in de EHDS-Raad?

Posted on 13 april 202620 april 2026 by Antoinette

Wie mag in de EHDS-Raad?

Zit het RIVM straks in de EHDS-Raad?

De EHDS is een jaar van kracht en de Europese Commissie werkt hard aan de uitwerkingen. De eerste implementerende verordening (2026/771) is een feit: de oprichting van de EHDS-Raad. Maar wie mag daar namens Nederland in zitten? Dat is onduidelijker dan het lijkt. De EHDS zelf bepaalt dat de Raad bestaat uit “twee vertegenwoordigers” per lidstaat, één voor primair en één voor secundair gebruik. Dat klinkt ruim. Je zou zeggen: Nederland kan iedereen sturen die hier veel verstand van heeft, of dat nu iemand van de Health Data Access Body (HDAB) is, een hoogleraar, of een expert van het RIVM (een organisatie die bij uitstek zal profiteren van databeschikbaarheid).

Gelieerd aan een autoriteit?

Maar de nieuwe uitvoeringsverordening trekt de touwtjes strakker aan. Lidstaten moeten de namen van hun vertegenwoordigers doorgeven, plús “de autoriteit van de lidstaat waaraan zij gelieerd zijn.” Wat wordt hier precies mee bedoeld? Dit laat zich op twee manieren lezen:
– De ruime lezing: Het mag willekeurig welke publieke autoriteit van een lidstaat zijn (in lijn met de ruime Europese definitie van ‘autoriteit’, zoals in het Farrell-arrest). Het RIVM of ZonMw kan dan gewoon aanschuiven als lid, in plaats van als adviserend expert.
– De enge lezing: Het woord ‘autoriteit’ verwijst hier exclusief naar de Autoriteit Digitale Gezondheid (ADG) en de HDAB, analoog aan hoe de AVG met dit begrip omgaat. Dan zouden we dus snel deze organen in het leven moeten roepen, om sowieso mee te kunnen praten in de EHDS-raad.

Subgroepen in de EHDS-Raad

Artikel 92 lid 6 van de EHDS maakt het er niet helderder op. Dat stelt dat de Raad kan worden opgedeeld in subgroepen waarvan expliciet is bepaald dat de ADG’s en HDAB’s vertegenwoordigd moeten zijn. Betekent dit (a contrario) dat Raad zelf dus niet uitsluitend uit dergelijke vertegenwoordigers hoeft te bestaan? Of is dit juist het bewijs dat álle leden van de Raad uit die twee specifieke autoriteiten moeten komen?

Liever iemand die ziet welke voordelen de EHDS oplevert

Het antwoord op deze vraag is cruciaal voor de inrichting van de Nederlandse data-governance. Als de enge lezing klopt, mag een organisatie als het RIVM niet de Nederlandse zetel voor secundair gebruik innemen in de EHDS-raad. Dit terwijl het mij juist een uitstekend idee lijkt om een afgevaardigde te sturen die primair de voordelen en kansen van de EHDS in de praktijk ervaart, in plaats van een toezichthouder die vooral vanuit handhaving en risico’s zal acteren. Ik hoop dus op de ruime interpretatie, maar vrees de stringente. Als die laatste interpretatie juist is, dan is het wel zaak om zo snel mogelijk de ADG en de HDAB op te richten, om de eerste vergaderingen van de EHDS-Raad niet te missen.