De EHDS gaat over data en dus niet over lichaamsmateriaal. De concept-Wet Zeggenschap Lichaamsmateriaal gaat over materiaal en dus niet over data. Daarmee zou men dus kunnen denken dat er geen overlap is. Maar als je data uit materiaal haalt, dan doe je en iets met data, en ook iets met materiaal. Daarom bespreek ik hier wat ik vind van de concept-WZL. Spoiler alert: het is echt bagger.
Betrouwbare Gegevenshouders en de EHDS
Aanbeveling aan de HDAB
De EHDS creëert een aantal nieuwe rollen ten aanzien van het hergebruik van gezondheidsgegevens. Bekend is de Health Data Acces Body, een nieuwe overheidsinstantie waar een vergunning kan (of moet?) worden aangevraagd om te mogen werken met data in een beveiligde verwerkingsomgeving. Veel minder aandacht is er voor de rol van ‘betrouwbare gegevenshouders’ (BG’s). De HDAB kan deze BG’s aanwijzen, om zo de administratieve lasten voor zichzelf te verlichten. De betrouwbare houders mogen vanwege hun deskundigheid op het gebied van wetgeving en de veilige verwerking van gezondheidsgegevens, aanvragen volgens een vereenvoudigde procedure indienen, met een aanbeveling over het te nemen besluit. De HDAB moet wel verantwoordelijk blijven voor de daadwerkelijke afgifte van de vergunning en mag niet gebonden zijn aan de aanbeveling van de betrouwbare gegevenshouder.
De Awb vergewisplicht
Ik neem aan dat op het advies van de betrouwbare houders afdeling 3.3 van de Algemene wet bestuursrecht van toepassing is, over advisering. Belangrijk hiervan is artikel 3.9: ‘Indien een besluit berust op een onderzoek naar feiten en gedragingen dat door een adviseur is verricht, dient het bestuursorgaan zich ervan te vergewissen dat dit onderzoek op zorgvuldige wijze heeft plaatsgevonden.’ Dit heet de vergewisplicht. Als een academisch ziekenhuis dus de status van BG heeft, en een besluit schrijft op een aanvraag over data van haarzelf, dan mag de HDAB dit niet ongelezen accorderen. Het is wel toegestaan om marginaal te toetsen, maar het is niet toegestaan om niet te toetsen.
Academische ziekenhuizen als BG's
Bedenk hierbij dat er een verschil is tussen een feitelijke aanvraag bij een datahouder en een juridische aanvraag bij de HDAB. Bij een gewone datahouder kan men dus straks (feitelijk) contact opnemen om te vragen of de door de wetenschapper gewenste data sowieso bestaan, waarna men juridisch bij de HDAB een vergunning aanvraag en de gehele procedure doorloopt. Is de datahouder een betrouwbare gegevenshouder, dan heeft deze dus het recht om de juridische aanvraag door de wetenschappers bij de HDAB te doen vergezellen van een voorstel over het te nemen besluit. Bijvoorbeeld academische ziekenhuizen lijken logische partijen om te worden aangewezen als betrouwbare houders. Echter, wanneer de aanbevelingen volgens de HDAB regelmatig onjuist zijn (onterechte weigeringen of juist onterechte verleningen), dan kan de status van betrouwbare houder worden afgenomen.
De BG houdt toezicht op de gegevensgebruiker
Betrouwbare houders van gezondheidsgegevens, moeten naast expertise ook een eigen BVO hebben of althans erover kunnen beschikken. De vereenvoudigde procedure kan worden doorlopen bij een vergunningsaanvraag of een request (de statistische vraag) die uitsluitend data van betrouwbare houders betreffen. Wordt een dergelijk verzoek niet bij de betrouwbare houder maar bij de HDAB ingediend, dan stuurt deze het verzoek gewoon door. De betrouwbare houder schrijft haar advies binnen twee maanden, waarna de HDAB binnen twee maanden besluit. De betrouwbare houder verricht dan de uitvoerende taken (zoals anonimisering). Het werk wordt vervolgens dus uitgevoerd in de BVO van de betrouwbare houder, die daar toezicht houdt op de vraag of alle wet- en regelgeving wordt nageleefd. De HDAB controleert vervolgens de BG’s.
Met het recht het BSN te gebruiken
Op deze manier kan de BG dus behoorlijk zelfstandig allerlei werk verrichten, vandaar dat de BG expliciet beschreven is als een rol die de taak van de HDAB verlicht en zo leidt tot een efficiënter systeem. Dan moet er natuurlijk geen nationale wetgeving zijn, die daaraan in de weg staat, maar dat is nu wel het geval. Betrouwbare houders moeten wel het recht hebben om het BSN te gebruiken om bestanden op een privacy-veilige manier te koppelen. Daarnaast moeten ze zelfstandig het Nationaal Zeggenschapsregister met behulp van het BSN kunnen raadplegen. Mogen ze dat niet, dan moeten ze alsnog van alles via de HDAB doen, waardoor de rol van betrouwbare houder niet uit de verf kan komen.
Het Ministerie van VWS gaat binnenkort bepalen wie de HDAB wordt; bij wie straks vergunningen worden aangevraagd voor nuttig hergebruik van gezondheidsgegevens. Wie kunnen dit worden, wie juist niet? En wat moet deze HDAB allemaal doen?
Er moet onder de EHDS worden gewerkt in een Beveiligde VerwerkingsOmgeving (BVO). Wetenschappers krijgen geen data, maar toegang daartoe in een BVO die voldoet aan krachtens de EHDS vastgestelde strenge technische en veiligheidsnormen. Wat houdt dat in? En moet voortaan iedereen in een dergelijke BVO werken? Wordt dat een supercomputer met al onze gezondheidsdata?