Een DPIA is een Data Protection Impact Assessment, oftewel een gegevensbeschermings-effectbeoordeling. Deze is op grond van de AVG in bepaalde gevallen verplicht. Wat is dit en wat is het niet? Wanneer is deze verplicht? En wat is de rol van de functionaris gegevensbescherming?
Medisch wetenschappers die data bijeen proberen te krijgen voor (onbetwist nuttig) onderzoek, worden nog weleens geconfronteerd met een weigering vanwege “doelbinding.” Zo was er iemand die data had verzameld voor onderzoek naar onverklaarbare oversterfte na Corona. Toen ze vervolgens diezelfde data wilde gebruiken voor onderzoek naar Long-Covid, werd dat niet toegestaan. Doelbinding! Maar klopt dat wel?
De EHDS beoogt meer gezondheidsdata beschikbaar te maken voor nuttig hergebruik door het veiliger te maken. De AVG blijft gewoon naast de EHDS gelden. Die bepaalt reeds dat dit hergebruik is toegestaan als er sprake is van een goed doel (zoals wetenschappelijk onderzoek), als de wet gevolgd wordt en als er maatregelen zijn genomen. Wat dat betreft brengt de EHDS niets nieuws. Toch is het revolutionair, wat er staat te gebeuren, onder meer omdat wetenschappers indirect een recht op data krijgen.
Wie moet data leveren aan de HDAB? Volgens de European Health Data Space Verordening (de EHDS) moeten houders van gezondheidsdata deze gaan aan leveren aan de nieuw op te richten Health Data Access Body, als iemand ze nodig heeft voor iets nuttigs, zoals medisch wetenschappelijk onderzoek. Voor wie geldt deze verplichting straks? Met 7 vragen komt u -denk ik- op het juiste antwoord.
De European Health Data Space beoogt om meer gezondheidsdata aan hen beschikbaar te maken voor onderzoek en bevat daarom een lijst. De lidstaten kunnen in hun eigen wetgeving daar nog data aan toevoegen, als ze vinden dat er iets ontbreekt. Het is dus belangrijk dat we de lijst goed bestuderen en bedenken welke data er niet op staan, die toch ook belangrijk zijn voor wetenschap en beleidsevaluaties. Bestudeer de lijst hier en deel je gedachten.
De EHDS is Europees recht. Maar wat is dat eigenlijk? Werkt dat rechtstreeks? Wat is het verschil tussen een richtlijn en een verordening? Wat is uitvoeringswetgeving? Zet Europees recht altijd nationaal recht opzij? Mag de EU regels schrijven over Volksgezondheid? En mag de privacy méér beschermd worden dan Europa voorschrijft?
In februari is de European Health Data Space Verordening van kracht geworden, een Europese wet over gezondheidsgegevens. In de komende jaren zal deze stap voor stap in werking treden. De wet bevat regels voor het primaire zorgproces, regels voor de zorg-ICT-markt, en regels over hergebruik van data ten behoeve van o.a. wetenschappelijk onderzoek. Maar waarom schreef de EU deze wet eigenlijk? Zouden we dat als lidstaten niet beter zelf kunnen bepalen allemaal?
Pseudonimisering is een term uit de AVG die voor verwarring zorgt. Zijn dit persoonsgegevens en is de AVG daar dus op van toepassing, of niet? Zoals zo vaak is het antwoord van juristen: dat hangt ervanaf. Dat komt doordat pseudonieme gegevens geen categorie gegevens zijn. Pseudonimiseren staat alleen in de AVG als een privacy beschermende techniek.
Al die contracten bij medisch-wetenschappelijk onderzoek! Medisch-wetenschappers kunnen behoorlijk de weg kwijtraken in het bos van contracten; Subsidieuitvoeringsovereenkomst, Consortiumovereenkomst, Clinical Trial Agreement, Data Transfer Agreement, Joint-Controllers Agreement.. en zo verder. Wat houdt dat allemaal in?
Het is niet altijd duidelijk of sprake is van een subsidie of een commerciële opdracht. Men denkt regelmatig: "het is aanbesteed dus het zal wel een opdracht zijn," maar dat klopt niet. De titel die men er zelf op plakt, is ook niet bepalend. Maar het verschil is wel belangrijk, onder meer voor de BTW. Ook vereist het subsidierecht allerlei stappen.