EHDS Jurist

Als medisch wetenschapper kun je denken dat je (beroepsmatig) weinig te maken hebt met de rechtsstaat. Niets is minder waar. Begrip van de trias politica is bijvoorbeeld van belang om te weten wanneer je de AP kan negeren. Ook is het wel handig als je begrijpt dat een lobby begint met de vraag of VWS wel de juiste plek is.

De EHDS creëert nieuwe rollen rond het hergebruik van gezondheidsgegevens. Bekend is de Health Data Acces Body, maar onbekend is de dataverzamelaar. Juist die dataverzamelaar is cruciaal voor het ontsluiten van data op een manier die efficiënter is, beter voor de wetenschap, en die bovenal kan bijdragen aan meer vertrouwen in het systeem. Het lijkt me nuttig als we in Nederland op congressen eens grondig gaan bespreken hoe we door gebruik van de rol van dataverzamelaar, het EHDS-systeem optimaal kunnen inrichten.

In discussies over het hergebruik van gezondheidsgegevens, wordt vaak gepraat over landsgrenzen. De privacy-aanhangers vinden veelal dat bij hergebruik “onze” data de grens niet over mogen. Wetenschappers stellen dat ze hun werk eigenlijk alleen kunnen doen als data uit verschillende landen kunnen worden gebruikt. Daarom verwelkomen ze de EHDS. Wat beide partijen over het hoofd zien, is dat er allang binnen de EU een vrij verkeer van gezondheidsdata bestaat.

Hergebruik van gezondheidsgegevens voor bijvoorbeeld wetenschappelijk onderzoek, mag nu als er door de patient toestemming is gegeven (uitzonderingen daargelaten). Onder de EHDS wordt dit anders. Hoe gaat dit eruit zien? Wie houdt daar toezicht op? En is dat allemaal wel ethisch?

De EHDS wordt door mensen die de overheid wantrouwen, beschouwd als een manipulatieve truc : De corona-pandemie zou worden aangegrepen om alles over ons burgers te weten te komen. Het frappante is dat ook deze achterdochtige mensen enorm geholpen gaan worden door de EHDS. Deze verordening kent namelijk behalve een data-vergunning, ook een request: een verzoek om een antwoord op een statistische vraag. Iedereen kan zoiets aanvragen en dat is dus geweldig voor onze rechtsstaat.

Op Linked-in klagen artsen en medisch-onderzoekers regelmatig over onwerkbare regels. Mijn antwoord daarop is; als het niet in de wet staat, dan kan je het vaak negeren. Tandartsen en pathologen leggen mij dan uit dat het gedragsregels zijn die de IGJ ook hanteert en die “dus” niet genegeerd kunnen worden. Aan hen bij deze de uitleg waarom bepaalde gedragsregels weldegelijk genegeerd kunnen worden.

Het BSN-verbod is voor wetenschappers bijzonder onpraktisch. Het wordt omhuld door allerlei onlogische percepties en is niet goed voor de privacy. Bovendien kan de EHDS niet goed uitgerold worden, als er nu niet iets aan gedaan wordt. Betrouwbare gegevenshouders moeten straks zelfstandig in een beveiligde verwerkingsomgeving data kunnen koppelen. Ook moeten zij het nationaal zeggenschapsregister kunnen raadplegen.

De EHDS introduceert de rol van betrouwbare gegevenshouder. Dat is een instelling met eigen gezondheidsdata, kennis van zaken en een beveiligde verwerkingsomgeving; een instelling die behoorlijk zelfstandig zijn werk kan blijven doen, zodat het systeem efficiënter kan draaien. Hij geeft echter geen vergunningen af, dat blijft de HDAB zelf doen.

In de gezondheidszorg worden recht en ethiek vaak door elkaar gehaald. Ethiek is een beargumenteerd oordeel, recht is een optelsom van regels. Deze door elkaar halen, leidt tot allerlei misvattingen. Juristen die de EHDS beschrijven, geven geen oordeel over ethiek. Maar het democratisch gekozen Europees parlement oordeelde juist wel.

Een DPIA is een Data Protection Impact Assessment, oftewel een gegevensbeschermings-effectbeoordeling. Deze is op grond van de AVG in bepaalde gevallen verplicht. Wat is dit en wat is het niet? Wanneer is deze verplicht? En wat is de rol van de functionaris gegevensbescherming?

Medisch wetenschappers die data bijeen proberen te krijgen voor (onbetwist nuttig) onderzoek, worden nog weleens geconfronteerd met een weigering vanwege “doelbinding.” Zo was er iemand die data had verzameld voor onderzoek naar onverklaarbare oversterfte na Corona. Toen ze vervolgens diezelfde data wilde gebruiken voor onderzoek naar Long-Covid, werd dat niet toegestaan. Doelbinding! Maar klopt dat wel?

De EHDS beoogt meer gezondheidsdata beschikbaar te maken voor nuttig hergebruik door het veiliger te maken. De AVG blijft gewoon naast de EHDS gelden. Die bepaalt reeds dat dit hergebruik is toegestaan als er sprake is van een goed doel (zoals wetenschappelijk onderzoek), als de wet gevolgd wordt en als er maatregelen zijn genomen. Wat dat betreft brengt de EHDS niets nieuws. Toch is het revolutionair, wat er staat te gebeuren, onder meer omdat wetenschappers indirect een recht op data krijgen.

Wie moet data leveren aan de HDAB? Volgens de European Health Data Space Verordening (de EHDS) moeten houders van gezondheidsdata deze gaan aan leveren aan de nieuw op te richten Health Data Access Body, als iemand ze nodig heeft voor iets nuttigs, zoals medisch wetenschappelijk onderzoek. Voor wie geldt deze verplichting straks? Met 8 vragen komt u -denk ik- op het juiste antwoord.

De European Health Data Space beoogt om meer gezondheidsdata aan hen beschikbaar te maken voor onderzoek en bevat daarom een lijst. De lidstaten kunnen in hun eigen wetgeving daar nog data aan toevoegen, als ze vinden dat er iets ontbreekt. Het is dus belangrijk dat we de lijst goed bestuderen en bedenken welke data er niet op staan, die toch ook belangrijk zijn voor wetenschap en beleidsevaluaties. Bestudeer de lijst hier en deel je gedachten.

De EHDS is Europees recht. Maar wat is dat eigenlijk? Werkt dat rechtstreeks? Wat is het verschil tussen een richtlijn en een verordening? Wat is uitvoeringswetgeving? Zet Europees recht altijd nationaal recht opzij? Mag de EU regels schrijven over Volksgezondheid? En mag de privacy méér beschermd worden dan Europa voorschrijft?

In februari is de European Health Data Space Verordening van kracht geworden, een Europese wet over gezondheidsgegevens. In de komende jaren zal deze stap voor stap in werking treden. De wet bevat regels voor het primaire zorgproces, regels voor de zorg-ICT-markt, en regels over hergebruik van data ten behoeve van o.a. wetenschappelijk onderzoek. Maar waarom schreef de EU deze wet eigenlijk? Zouden we dat als lidstaten niet beter zelf kunnen bepalen allemaal?

Pseudonimisering is een term uit de AVG die voor verwarring zorgt. Zijn dit persoonsgegevens en is de AVG daar dus op van toepassing, of niet? Zoals zo vaak is het antwoord van juristen: dat hangt ervanaf. Dat komt doordat pseudonieme gegevens geen categorie gegevens zijn. Pseudonimiseren staat alleen in de AVG als een privacy beschermende techniek.

Al die contracten bij medisch-wetenschappelijk onderzoek! Medisch-wetenschappers kunnen behoorlijk de weg kwijtraken in het bos van contracten; Subsidieuitvoeringsovereenkomst, Consortiumovereenkomst, Clinical Trial Agreement, Data Transfer Agreement, Joint-Controllers Agreement.. en zo verder. Wat houdt dat allemaal in?

Het is niet altijd duidelijk of sprake is van een subsidie of een commerciële opdracht. Men denkt regelmatig: "het is aanbesteed dus het zal wel een opdracht zijn," maar dat klopt niet. De titel die men er zelf op plakt, is ook niet bepalend. Maar het verschil is wel belangrijk, onder meer voor de BTW. Ook vereist het subsidierecht allerlei stappen.