EHDS everywhere or just a layer on top?

Posted on 13 april 202628 april 2026 by Antoinette

EHDS everywhere or just a layer on top?

Building the EHDS as a new layer

Oskar Thunman wrote an insightful piece on how different countries prepare for the EHDS. More specifically, he describes how they build EHDS access services on top of their current national systems. As a legal expert in the field of health data, I am astounded by the lack of discussion regarding to what extent the EHDS Regulation actually allows this.

Maximum harmonisation

There is an ongoing discussion on the correct interpretation of Article 1(8): can secondary data users individually choose whether to apply for an EHDS permit? That seems contrary to the concept of a permit, and the workings of EU law. However, a similarly open-to-interpretation article seems to be lacking in respect to the chapters on the primary use of health data and ICT. EU Regulations are usually based on maximum harmonisation. They prescribe the exact rules that will always apply in every Member State, unless the regulation explicitly states that Member States may deviate. This is currently the case with the GDPR: it applies directly and everywhere in the EU, not solely when data crosses member state borders. Article 9(4) of the GDPR allows for certain national deviations, but the EHDS states that Member States may no longer maintain these.

What would the EU court say?

So, I wonder how it is possible that everybody presumes that continuing ‘business as usual’ within national borders is legally allowed? It is not allowed under the GDPR either. Why the different reading? And thus, to answer Oskar Thunman’s question “now what,” I’d say: let’s go to the EU Court and force Member States to actually build one “European Data Space,” as the Regulation appears to prescribe?

The EHDS, PFAS and marriage counseling

The EHDS has been in effect for a year. From PFAS to chronic complaints: this is how the reuse of health data works in practice.

The free flow of health-ICT

The Ministry of Health, Welfare and Sport (VWS) recently opened a consultation for the Global Technical Design of the Generic Function Addressing: a kind of address book for healthcare providers. This is an important step for Dutch healthcare, but if you view this document through the lens of European law, I do see some tension.

The Digital Omnibus and CJEU Scania

It is argued in various publications that the draft Digital Omnibus (concerning, among other things, amendments to the GDPR) would nullify the legal effect of the Scania judgment. However, a careful reading of the text suggests otherwise. The Commission is not proposing a nullification, but a demarcation of scope.

The free flow of health-ICT

Posted on 13 april 202620 april 2026 by Antoinette

The free flow of health ICT

Ontwerp van Zorg-adressering

The Dutch Ministry of Health, Welfare and Sport (VWS) recently opened a consultation on the concept Global Technical Design (GTO) of the Generic Function Addressing: a kind of address book for healthcare providers. This is an important step for Dutch healthcare, but if you view this document through a European lens, I do see some tension.

National health law versus EU free flow of services

The Ministry of Health, Welfare and Sport (VWS) seems to argue, based on health law (Article 168, paragraph 7 TFEU & the autonomy of Member States to organize their healthcare systems), that this structure is permissible. The system relies on typically Dutch anchors: the Chamber of Commerce (KvK) and the UZI/DEZI register. However, my legal intuition tells me that we are overlooking broader European market rules here. Doesn’t this technical design erect a wall for foreign ICT suppliers?

Can a Dutch CC registration be mandatory?

If a German software developer (e.g. of an EHR solution) is forced to have a Dutch Chamber of Commerce registration in order to connect their systems to the LRZa, this directly infringes upon Article 56 TFEU (the free movement of services) and the European Services Directive, which prohibits Member States from forcing foreign service providers to register in a local or national register in order to be allowed to provide their digital services. Furthermore, such a closed national approach seems to me to be at odds with the intended beneficial effect of the eIDAS Regulation and the European Health Data Space (EHDS). After all, these exist precisely to break down cross-border digital friction and vendor lock-in at the national level.

Which other Ministry knows more about this?

Are there experts in European law and/or the Services Directive who recognize this tension? Is the Netherlands building a legally untenable digital border here? I would like to brainstorm with someone knowledgeable about the free movement of ICT services to see if my intuition is correct and whether it makes sense to respond to this consultation together. Perhaps someone from the Ministry of Economic Affairs and Climate Policy? I look forward to hearing your thoughts and suggestions for experts.

The EHDS, PFAS and marriage counseling

The EHDS has been in effect for a year. From PFAS to chronic complaints: this is how the reuse of health data works in practice.

EHDS everywhere or just a layer on top?

EU countries build EHDS access services on top of their current national systems. But there is no discussion whether the EHDS allows this.

The Digital Omnibus and CJEU Scania

Het vrije verkeer van Zorg ICT

Posted on 13 april 202620 april 2026 by Antoinette

Vrije verkeer van zorg-ICT

Ontwerp van Zorg-adressering

Het Ministerie van VWS heeft onlangs een consultatie geopend voor het Globaal Technisch Ontwerp (GTO) van de Generieke Functie Adressering: een soort adresboek voor zorgverleners. Een belangrijke stap voor de Nederlandse zorg, maar als je dit document door een Europese bril bekijkt, dan zie ik toch enige spanning.

Nationaal gezondheidsrecht versus vrij verkeer

VWS lijkt vanuit het gezondheidsrecht (art. 168 lid 7 VWEU & de autonomie van lidstaten om hun zorgstelsels in te richten) te beredeneren dat deze inrichting is toegestaan. Het systeem leunt op typisch Nederlandse ankers: de Kamer van Koophandel (KvK) en het UZI/DEZI-register. Maar mijn juridische intuïtie zegt me dat we hier de bredere Europese marktregels over het hoofd zien. Werpt dit technische ontwerp niet een muur op voor buitenlandse ICT-leveranciers?

Kan je een KvK inschrijving eisen?

Als een Duitse softwareontwikkelaar (bijv. van een EPD-oplossing) wordt gedwongen om een Nederlandse KvK-inschrijving te hebben om hun systemen te kunnen koppelen aan het LRZa, dan raakt dat direct aan artikel 56 VWEU (het vrije verkeer van diensten) en aan de Europese Dienstenrichtlijn, die verbiedt dat lidstaten buitenlandse dienstverleners dwingen zich in een lokaal of nationaal register in te schrijven om hun digitale diensten te mogen leveren. Daarnaast lijkt zo’n gesloten nationale benadering mij haaks te staan op het beoogde nuttig effect van de eIDAS-verordening en van de European Health Data Space (EHDS). Die zijn er immers juist om grensoverschrijdende digitale frictie en ‘vendor lock-in’ op nationaal niveau af te breken.

Welk ander Ministerie weet hier meer van?

Zijn er experts op het gebied van Europees recht en/of de Dienstenrichtlijn die dit spanningsveld herkennen? Bouwt Nederland hier aan een juridisch onhoudbare digitale grens? Ik zou graag sparren met iemand die veel weet over het vrije verkeer van ICT-diensten, om te zien of mijn intuïtie klopt, en of het zinvol is om samen te reageren op deze consultatie. Misschien iemand van het Ministerie van Economische Zaken en Klimaat ? Ik hoor graag jullie gedachten en suggesties voor experts.

De definitie van wetenschap in de digitale Omnibus

Hoe definieert de EU 'wetenschappelijk onderzoek' in de Digitale Omnibus? Antoinette Vlieger reageert op de kritiek. Wetenschap is iets anders dan goede wetenschap en dit moet zo blijven.

Lang leve AI, zegt AI!

Veel mensen zijn bang dat hun baan op de tocht staat door AI. Ik besloot de vraag om te draaien en vroeg Gemini: welke klussen ga jij overnemen waar we blij van worden? Zie hier haar eigen, optimistische antwoord:

De EHDS, PFAS en relatietherapie

De EHDS is vandaag één jaar van kracht. Maar wat hebben we daar in de praktijk aan? Denk bijvoorbeeld aan: PFAS, de overgang en relatietherapie.

The Digital Omnibus and CJEU Scania

Posted on 13 april 202620 april 2026 by Antoinette

Does the draft Digital Omnibus (GDPR) abolish the Scania ruling? No.

Omnibus is being criticized

In various publications, the position is defended that the draft Digital Omnibus (concerning, among other things, amendments to the GDPR) would nullify the legal effect of the Scania judgment (C-319/22): in iBestuur among others, and on LinkedIn. However, a close reading of the text suggests otherwise. The Commission is not striking down Scania, but rather defining its scope.

Indirect personal data

In the Scania judgment, the EU Court ruled that if data (such as chassis numbers) constitute personal data for the recipient, they indirectly also constitute personal data for the provider. The fear of undermining this judgment is based on the addition proposed by the Commission to Article 4(1) of the GDPR: “Such information does not become personal for that entity merely because a potential subsequent recipient has means reasonably likely to be used to identify the natural person to whom the information relates.”

What is the difference

In my view, the crux of the correct interpretation of this sentence lies in the word ‘potential.’ A distinction must be made between an actual and a potential data transfer:

– The Scania doctrine (Actual transfer): In the Scania judgment, there was an actual provision of data to independent market participants. Because the data were actually transferred to a party with means of identification, the status of personal data indirectly extended to the original provider.

– The Omnibus text (Potential transfer): The proposed legislative text addresses exclusively the potential subsequent recipient. This provision aims to prevent internally processed, pseudonymized data from qualifying as personal data merely on the basis of the theoretical fact that there is a party somewhere in the world that could decrypt it.

A demarcation

Conclusion: With the draft Digital Omnibus, the European Commission does not annul the Scania judgment, but codifies the logical limits of the relative concept of personal data, as previously confirmed in the SRB case: if you actually transfer data to a party with identification capacity, the data also qualify as personal data for you. If it remains a hypothetical, potential recipient, this classification does not apply. The proposed addition thus offers, as the Commission itself states, a clarification of current case law, without undermining the Court’s fundamental principle of protection.

The EHDS, PFAS and marriage counseling

The EHDS has been in effect for a year. From PFAS to chronic complaints: this is how the reuse of health data works in practice.

EHDS everywhere or just a layer on top?

EU countries build EHDS access services on top of their current national systems. But there is no discussion whether the EHDS allows this.

The free flow of health-ICT

De Digitale Omnibus en het arrest Scania

Posted on 13 april 202620 april 2026 by Antoinette

Schaft de Digitale Omnibus (AVG) het Scania-arrest af? Nee

Omnibus onder vuur

In allerlei publicaties wordt de stelling verdedigd dat de concept-Digitale Omnibus (over onder meer aanpassingen in de AVG) de juridische werking van het Scania-arrest (C-319/22) teniet zou doen: in onder meer iBestuur, en op Linkedin. Een nauwkeurige lezing van de tekst suggereert echter anders. De Commissie zet geen streep door Scania, maar bakent de reikwijdte ervan af.

Indirect persoonsgegevens

In het arrest Scania oordeelde het EU Hof dat als gegevens (zoals chassis-nummers) voor de ontvanger persoonsgegevens zijn, zij dit indirect ook voor de verstrekker zijn. De vrees voor uitholling van dit arrest is gebaseerd op de door de Commissie voorgestelde toevoeging aan artikel 4 sub 1 AVG: “Such information does not become personal for that entity merely because a potential subsequent recipient has means reasonably likely to be used to identify the natural person to whom the information relates.” De crux voor de juiste lezing van deze zin, zit wat mij betreft in het woordje ‘potential.’

Wat is het verschil

Er moet een onderscheid worden gemaakt tussen een daadwerkelijke en een potentiële gegevensoverdracht:
– De Scania-doctrine (Daadwerkelijke overdracht): In het Scania-arrest was er sprake van een feitelijke terbeschikkingstelling van gegevens aan onafhankelijke marktdeelnemers. Omdat de data daadwerkelijk werden overgedragen aan een partij met identificatiemiddelen, werkte de status van persoonsgegeven indirect door naar de originele verstrekker.
– De Omnibus-tekst (Potentiële overdracht): De voorgestelde wetstekst adresseert uitsluitend de potentiële opvolgende ontvanger (“potential subsequent recipient”). Deze bepaling beoogt te voorkomen dat intern verwerkte, gepseudonimiseerde data kwalificeren als persoonsgegevens louter op basis van het theoretische feit dat er zich ergens in de wereld een partij bevindt die deze zou kunnen ontsleutelen.

Een afbakening dus

Conclusie: De Europese Commissie vernietigt met de concept- Digitale Omnibus het Scania-arrest niet, maar codificeert de logische grenzen van het relatieve persoonsgegevensbegrip, zoals eerder bevestigd in de SRB-zaak: indien u data daadwerkelijk overdraagt aan een partij met identificatiecapaciteit, kwalificeren de data ook voor u als persoonsgegevens. Blijft het bij een hypothetische, potentiële ontvanger, dan is deze kwalificatie niet aan de orde. De voorgestelde toevoeging biedt daarmee zoals de Commissie zelf ook stelt een verduidelijking van de huidige jurisprudentie, zonder afbreuk te doen aan de fundamentele beschermingsgedachte van het Hof.

De definitie van wetenschap in de digitale Omnibus

Hoe definieert de EU 'wetenschappelijk onderzoek' in de Digitale Omnibus? Antoinette Vlieger reageert op de kritiek. Wetenschap is iets anders dan goede wetenschap en dit moet zo blijven.

Lang leve AI, zegt AI!

De EHDS, PFAS en relatietherapie

De EHDS is vandaag één jaar van kracht. Maar wat hebben we daar in de praktijk aan? Denk bijvoorbeeld aan: PFAS, de overgang en relatietherapie.

Who can be a member in the EHDS-board?

Posted on 13 april 202621 april 2026 by Antoinette

Who can be member of the board?

The EHDS Board: a new job in Brussels

The European Health Data Space (EHDS) has been in force for a year. Currently, the European Commission is working hard on the practical elaborations. As a result, the first implementing regulation is now a fact. This regulation focuses on establishing the EHDS Board. But who is actually allowed to sit on this board on behalf of a Member State?

That question is less clear than it seems. Specifically, the EHDS stipulates that the board consists of two representatives per Member State. One member is appointed for primary data use, and the other for secondary use. This sounds quite broad. Consequently, you might think a country like the Netherlands can send anyone with relevant expertise. For example, this could be someone from the Health Data Access Body (HDAB) or a university professor. It could even be an expert from a national public health organization.

Affiliated with an authority?

However, the new implementing regulation tightens the reins. Member States must submit the names of their representatives. In addition, they must explicitly state to which “Member State authorities” these individuals are affiliated. What exactly is meant by this requirement? This can be interpreted in two different ways.

The broad interpretation: This could mean any public authority of a Member State. This aligns perfectly with the broad European definition of ‘authority’, as seen in the Farrell judgment. Therefore, organizations like the RIVM or ZonMw could simply join as full members instead of advisory experts.
The narrow interpretation: In this view, the word ‘authority’ refers exclusively to the Digital Health Authority (ADG) and the HDAB. This is analogous to how the GDPR handles the concept. In that case, we must establish these bodies quickly to participate in the EHDS Council.

Subgroups in the EHDS Board

Article 92(6) of the EHDS does not make the situation any clearer. It states that the Council may be divided into subgroups. Furthermore, it stipulates that the ADGs and HDABs must be represented in these specific subgroups.

Does this mean (a contrario) that the Board itself does not have to consist exclusively of such representatives? Or is this precisely proof that all Council members must come from those two specific authorities?

Preferably someone who sees the benefits

Ultimately, the answer to this question is crucial for structuring public data governance. If the narrow interpretation is correct, an organization like the RIVM cannot hold the seat for secondary use. However, excluding public health organizations would be a missed opportunity. Sending a representative who experiences the practical benefits of the EHDS seems like an excellent idea. Conversely, a regulator might act mainly from the perspective of enforcement and risk.

Therefore, I hope for the broad interpretation, but I fear the stringent one. If the narrow interpretation is indeed correct, quick action is essential. Member States must establish the ADG and the HDAB as soon as possible. Otherwise, they risk missing the first crucial meetings of the Board.

The EHDS, PFAS and marriage counseling

The EHDS has been in effect for a year. From PFAS to chronic complaints: this is how the reuse of health data works in practice.

EHDS everywhere or just a layer on top?

EU countries build EHDS access services on top of their current national systems. But there is no discussion whether the EHDS allows this.

The free flow of health-ICT

Wie mag er in de EHDS-Raad?

Posted on 13 april 202620 april 2026 by Antoinette

Wie mag in de EHDS-Raad?

Zit het RIVM straks in de EHDS-Raad?

De EHDS is een jaar van kracht en de Europese Commissie werkt hard aan de uitwerkingen. De eerste implementerende verordening (2026/771) is een feit: de oprichting van de EHDS-Raad. Maar wie mag daar namens Nederland in zitten? Dat is onduidelijker dan het lijkt. De EHDS zelf bepaalt dat de Raad bestaat uit “twee vertegenwoordigers” per lidstaat, één voor primair en één voor secundair gebruik. Dat klinkt ruim. Je zou zeggen: Nederland kan iedereen sturen die hier veel verstand van heeft, of dat nu iemand van de Health Data Access Body (HDAB) is, een hoogleraar, of een expert van het RIVM (een organisatie die bij uitstek zal profiteren van databeschikbaarheid).

Gelieerd aan een autoriteit?

Maar de nieuwe uitvoeringsverordening trekt de touwtjes strakker aan. Lidstaten moeten de namen van hun vertegenwoordigers doorgeven, plús “de autoriteit van de lidstaat waaraan zij gelieerd zijn.” Wat wordt hier precies mee bedoeld? Dit laat zich op twee manieren lezen:
– De ruime lezing: Het mag willekeurig welke publieke autoriteit van een lidstaat zijn (in lijn met de ruime Europese definitie van ‘autoriteit’, zoals in het Farrell-arrest). Het RIVM of ZonMw kan dan gewoon aanschuiven als lid, in plaats van als adviserend expert.
– De enge lezing: Het woord ‘autoriteit’ verwijst hier exclusief naar de Autoriteit Digitale Gezondheid (ADG) en de HDAB, analoog aan hoe de AVG met dit begrip omgaat. Dan zouden we dus snel deze organen in het leven moeten roepen, om sowieso mee te kunnen praten in de EHDS-raad.

Subgroepen in de EHDS-Raad

Artikel 92 lid 6 van de EHDS maakt het er niet helderder op. Dat stelt dat de Raad kan worden opgedeeld in subgroepen waarvan expliciet is bepaald dat de ADG’s en HDAB’s vertegenwoordigd moeten zijn. Betekent dit (a contrario) dat Raad zelf dus niet uitsluitend uit dergelijke vertegenwoordigers hoeft te bestaan? Of is dit juist het bewijs dat álle leden van de Raad uit die twee specifieke autoriteiten moeten komen?

Liever iemand die ziet welke voordelen de EHDS oplevert

Het antwoord op deze vraag is cruciaal voor de inrichting van de Nederlandse data-governance. Als de enge lezing klopt, mag een organisatie als het RIVM niet de Nederlandse zetel voor secundair gebruik innemen in de EHDS-raad. Dit terwijl het mij juist een uitstekend idee lijkt om een afgevaardigde te sturen die primair de voordelen en kansen van de EHDS in de praktijk ervaart, in plaats van een toezichthouder die vooral vanuit handhaving en risico’s zal acteren. Ik hoop dus op de ruime interpretatie, maar vrees de stringente. Als die laatste interpretatie juist is, dan is het wel zaak om zo snel mogelijk de ADG en de HDAB op te richten, om de eerste vergaderingen van de EHDS-Raad niet te missen.

De definitie van wetenschap in de digitale Omnibus

Hoe definieert de EU 'wetenschappelijk onderzoek' in de Digitale Omnibus? Antoinette Vlieger reageert op de kritiek. Wetenschap is iets anders dan goede wetenschap en dit moet zo blijven.

Lang leve AI, zegt AI!

De EHDS, PFAS en relatietherapie

De EHDS is vandaag één jaar van kracht. Maar wat hebben we daar in de praktijk aan? Denk bijvoorbeeld aan: PFAS, de overgang en relatietherapie.

A persistent EHDS misunderstanding

Posted on 4 februari 202621 april 2026 by Antoinette

A persistent EHDS misunderstanding

Letter from the Dutch Minister of Helath

On January 20, 2026, the Dutch Minister of Health, Welfare and Sport sent a letter to the House of Representatives, informing it about the current status of the EHDS implementation. This letter was largely excellent and clear. However, it contained a persistent misunderstanding regarding the EHDS Catalogue and the Permit application process (DAAMS = Data Access Applications Management Solution).

On page 6, the letter lists four items or functions that must be developed in the coming years to ensure a well-functioning Health Data Access Body (HDAB)—the new government body where permits can be requested to reuse health data for public health purposes. The Minister describes the first of these as a national dataset catalog that provides insight into the location of data available for secondary use. This description is incorrect, as one can also apply for a permit concerning data that are not included in the catalog. Describing the catalog in this way would make the EHDS significantly less useful to science than the EU intended.

What should be included in the catalog?

To understand the difference between the EHDS Catalogue and the Permit DAAMS, we must first look at what belongs in the catalogue. Every entity (except micro entities) that holds EHDS data collected in a set is legally required to register those sets in the national catalogue. These datasets are defined as a “structured collection of electronic health data.” They must be labeled according to the Health DCAT-AP metadata standard so that researchers can more easily search throughout Europe for reusable datasets. The National Catalogue will hereto be linked to a European Catalogue.

What can you apply for at the HDAB?

However, what one can request from the HDAB, as a researcher, encompasses more than what is listed in the catalogue. One can apply for a permit to work with “data,” and this is defined separately in the EHDS (a definition that stems from the Data Governance Act). Data concerns: “any digital representation of acts, facts or information and any compilation of such acts, facts or information, including in the form of sound, visual or audiovisual recording.”

The difference is that datasets are “structured collections” of data, while “data” also includes all kinds of unstructured data that have never been collected in a structured set. Does it matter whether or not the application procedure (DAAMS) is restricted to the catalogue? Absolutely, it makes a big difference.

Dangers of limiting DAAMS to the Catalogue

Does it matter whether or not the application procedure (DAAMS) is restricted to the catalogue? Absolutely, it makes a big difference. Limiting the system creates three major obstacles:

You cannot label unstructured data: It is often mistakenly thought that data holders must register all unstructured data in the catalog. Healthcare institutions would have to inventory all healthcare data, regardless of scientific interest, which is highly inefficient and practically impossible to implement. Furthermore, providing metadata for unstructured data so that others understand it is extremely difficult. Because including all unstructured healthcare data in a catalog cannot be effectively implemented, it won’t work.
Unstructured data cannot be applied for: If not all EHDS data are in the catalogue, and the application process is limited to the catalogue, many types of data cannot be requested. Limiting the DAAMS to the catalogue means secondary use is restricted to data that has already been used for research or statistics. Extracting previously uncollected and unstructured data from the healthcare system will not be possible. Instead, it is more logical to search for data only when requested through a separate permit procedure.
Rare and new data cannot be collected: Existing datasets contain very little rare data, as scientists often choose readily available data to advance their careers. The EHDS licensing system is designed to solve the problem of data being difficult to find. If data holders must submit datasets annually and the application is limited to this, we could not request newly generated data during a pandemic. This contradicts the fact that the EHDS is explicitly intended to make fast data collection possible in such situations.

Split catalogue and application process for greater impact

The EHDS introduces a permit for both requesting data from society and reusing existing datasets. Article 67 of the EHDS contains a list of everything that must be submitted when applying for a permit. Notably, this article does not mention the catalog at all. It requires “a description of the requested electronic health data, including their scope, time range, format, sources and, where possible, the geographical coverage”. The word “data holder” surprisingly does not appear there.

Moreover, recital 73 states that the HDAB should assist health data users in the selection of suitable datasets or data sources for secondary use. This means the scientist, together with the HDAB, has to locate the data. A general indication of the sources is enough for the application, after which the HDAB must further assist.

To make scientific progress in new directions possible, the system must be designed correctly. The EHDS Permit DAAMS therefore should not require an applicant to designate a dataset that is already neatly listed in the catalogue. Only by splitting the catalogue and the application process can the EHDS achieve its true potential.

The EHDS, PFAS and marriage counseling

The EHDS has been in effect for a year. From PFAS to chronic complaints: this is how the reuse of health data works in practice.

EHDS everywhere or just a layer on top?

EU countries build EHDS access services on top of their current national systems. But there is no discussion whether the EHDS allows this.

The free flow of health-ICT

Een hardnekkig EHDS misverstand

Posted on 4 februari 202620 april 2026 by Antoinette

Een hardnekkig EHDS misverstand

Brief van de Minister

Op 20 januari 2026 stuurde de Minister van VWS een brief naar de Tweede Kamer, om deze te informeren over stand van zaken rond de implementatie van de EHDS. Dit was grotendeels een uitstekende en heldere brief. Echter, er stond een hardnekkig misverstand in. Op pagina 6 staan vier zaken of functies die de komende jaren ontwikkeld moeten worden ten behoeve van een goed functionerende Health Data Access Body, het nieuwe overheidsorgaan waar vergunningen kunnen worden aangevraagd om gezondheidsdata te hergebruiken ten behoeve van de Volksgezondheid. De Minster beschrijft de eerste daarvan als volgt: “Een nationale datasetcatalogus: door middel van een catalogus wordt inzichtelijk gemaakt waar welke datacategorieën voor secundair gebruik zich bevinden.” Deze omschrijving klopt niet, omdat men bij de HDAB ook data kan opvragen die niet in de catalogus staan. De catalogus toch zo omschrijven, zal ertoe leiden dat de EHDS een stuk minder nut heeft voor de wetenschap, dan de EU heeft beoogd.

Wat moet er in de catalogus staan?

Iedereen die houder is van EHDS-data die verzameld zijn in een set, wordt wettelijk verplicht om die sets aan te melden in de nationale catalogus. Dit zou de catalogus van Health-Ri kunnen zijn, maar ook bijvoorbeeld de catalogus van DANS, opgezet door onder meer de Koninklijke Academie van Wetenschappen. DANS behoort tot de meest vooraanstaande repositories van Europa. De op te richten HDAB zal hierin een keuze moeten maken. Wat datahouders bij de HDAB moeten aanmelden (jaarlijks) om te worden opgenomen in de catalogus, zijn al hun datasets. Deze zijn gedefinieerd als: “een gestructureerde verzameling van elektronische gezondheidsgegevens.” Deze datasets moeten straks een etiket krijgen volgens Health DCAT-AP (een standaard voor metadata) zodat onderzoekers makkelijker in heel Europa naar datasets kunnen zoeken, die zij voor hun onderzoek kunnen hergebruiken. De Nationale Catalogus wordt namelijk gekoppeld aan een Europese Catalogus.

Wat kan je bij de HDAB aanvragen?

Wat men bij de HDAB kan aanvragen, als onderzoeker, omvat echter meer dan wat er in de catalogus staat. Men kan namelijk een vergunning aan vragen om te werken met “data” en dit wordt in de EHDS apart gedefinieerd (waarbij verwezen wordt naar de Data Governance Verordening). Data betreft: “elke digitale weergave van handelingen, feiten of informatie en elke compilatie van dergelijke handelingen, feiten of informatie, ook in de vorm van geluidsopnames of visuele of audiovisuele opnames.” Het verschil zit erin dat datasets dus “gestructureerde verzamelingen” van data zijn, terwijl “data” dus ook allerlei ongestructureerde data betreffen, die nog nooit zijn verzameld in een gestructureerde set. Maakt dit uit? Jazeker, dit maakt veel uit.

Ongestructureerde data kan je niet labellen

Het eerste probleem is dat men in Nederland veelal lijkt te denken, dat datahouders dus alle “data” moet aanmelden in de catalogus, inclusief alle ongestructureerde data. Men zou dan als zorginstelling alle gezondheidsdata die men in huis heeft moeten inventariseren en aanmelden voor de catalogus, ongeacht de vraag of er ooit een wetenschapper in geïnteresseerd gaat zijn. Dat is niet bijzonder efficiënt. Bovendien valt niet in te zien hoe hier uitvoering aan moet worden gegeven. Data zelf worden natuurlijk niet in de catalogus gezet, alleen de metadata; een omschrijving van de data. Maar als dit ongestructureerde data betreft, dan wordt het bijzonder moeilijk om deze van metadata te voorzien, op een manier dat anderen begrijpen waar die ongestructureerde data over gaan. Omdat niet valt in te zien hoe dit moet worden uitgevoerd (alle ongestructureerde gezondheidsdata in Nederland opnemen in een catalogus), zal dit niet lukken.

Ongestructureerde data niet op te vragen?

Dit leidt tot het tweede probleem. Als niet alle EHDS-data daadwerkelijk in de catalogus staan, terwijl het aanvraagproces zich wel beperkt tot wat er in de catalogus staat, dan kunnen allerlei data dus niet aangevraagd worden. Het beperken van de DAAMS tot de data in de catalogus, leidt er dus toe dat alleen hergebruik van data mogelijk zal zijn, die al eerder voor onderzoek of statistiek zijn gebruik. Wat niet zal kunnen, op deze manier, is het onttrekken van nog niet eerder verzamelde, en dus nog ongestructureerde data aan het zorgsysteem. Het EHDS-systeem beperkt zich dan tot data die al eerder zijn gebruikt voor wetenschap of statistiek, maar strekt zich niet uit tot het beschikbaar maken of genereren van geheel nieuwe datasets. Wie oog heeft hiervoor, kan inderdaad erop aandringen dat we toch zoveel mogelijk (ongestructureerde) data in de catalogus gaan opnemen, maar logischer en efficiënter lijkt het, om pas naar data te gaan zoeken als iemand er daadwerkelijk om vraagt, middels een vergunnings-aanvraagprocedure die geheel los staat van de catalogus en waarin men gewoon beschrijft wat men nodig heeft en waar dit waarschijnlijk gevonden kan worden

Zeldzame en nieuwe data alsnog niet te verzamelen

Het derde probleem is dat de bestaande datasets, die zijn ontstaan onder het huidige gebrekkige systeem, weinig zeldzame data betreffen. Wetenschappers die carrière willen maken, zullen veelal ervoor kiezen om te werken met data die makkelijker verkrijgbaar zijn, in plaats van op zoek te gaan naar uiterst zeldzame data (want wie schrijft die blijft). Maar het vergunningensysteem van de EHDS moet het niet alleen mogelijk maken om data op te vragen die nu geweigerd worden (om welke reden dan ook), maar ook data die nu moeilijk vindbaar zijn. Op grond van de tekst van de EHDS kan men bijvoorbeeld een internationaal verzoek indienen, ten aanzien van de data van patiënten waarbij in de komende vijf jaar zowel henoch shönlein purpura als Long-Covid worden vastgesteld (een volstrekt willekeurig voorbeeld). Er dient dan evenwel een systeem te bestaan waarlangs een melding wordt gedaan aan de coördinerende HDAB als een dergelijke patiënt inderdaad blijkt te bestaan. Bovendien, als men jaarlijks datasets moet aanmelden in de catalogus, en de aanvraagprocedure is daartoe beperkt, dan zou men tijden een pandemie dus niet data kunnen opvragen die pas net zijn ontstaan. Dit terwijl de EHDS expliciet aangeeft mede bedoeld te zijn voor het snel verzamelen van data in dergelijke situaties.

Aanvraagproces van catalogus splitsen, voor meer effect

De EHDS introduceert dus een vergunning, zowel voor het opvragen van data uit de samenleving, als voor het hergebruik van bestaande datasets. Artikel 67 EHDS bevat immers de lijst met alles dat men moet aandragen of invullen bij het aanvragen van een vergunning. Daar staat allereerst niets in over de catalogus. Maar er staat bovendien wel dat men moet aangeven: “een beschrijving van de gevraagde elektronische gezondheidsgegevens, waaronder hun reikwijdte, tijdspanne, format, bronnen en, indien mogelijk, de geografische dekking. Er staat dus wel dat men moet aangeven wat de databronnen zijn, maar het woord datahouder staat daar opvallend genoeg niet. Bovendien staat in overweging 73: “De instantie voor toegang tot gezondheidsgegevens, en in voorkomend geval de houders van gezondheidsgegevens, moet de gebruikers van gezondheidsgegevens bijstaan bij de selectie van de geschikte datasets of gegevensbronnen voor het beoogde doeleind van secundair gebruik.” Dit betekent dat, anders dan nu, niet de wetenschapper, maar de wetenschapper samen met de HDAB de betreffende data moet lokaliseren. Het is bij de aanvraag dus niet nodig dat de wetenschapper zelf precies weet wie de data heeft; een algemene indicatie van de bronnen is genoeg, waarna de HDAB de wetenschapper verder moet bijstaan. Daardoor zal wetenschappelijke vooruitgang in allerlei nieuwe richtingen mogelijk zijn. Maar dan moet het systeem wel zo ingericht zijn, dat de DAAMS niet vereist dat je een dataset in de catalogus aanwijst.

Het EPD moet voldoen aan Brusselse eisen

Ziekenhuizen en IT-leveranciers krijgen te maken met Europese eisen voor elektronische patiëntendossiers. De EHDS en de Nederlandse Wegiz botsen op essentiële punten.

De definitie van wetenschap in de digitale Omnibus

Hoe definieert de EU 'wetenschappelijk onderzoek' in de Digitale Omnibus? Antoinette Vlieger reageert op de kritiek. Wetenschap is iets anders dan goede wetenschap en dit moet zo blijven.

The concept of Science in the Omnibus

How does the EU define 'scientific research' in the Digital Omnibus? There has been criticism of this, but it is unjustified.

De Wet Zeggenschap Lichaamsmateriaal moet herschreven worden

Posted on 26 augustus 202520 april 2026 by Antoinette

De concept-WZL moet echt volledig herschreven worden

De WZL versus de EHDS

De European Health Data Space-Verordening gaat over data en dus niet over lichaamsmateriaal. De concept-Wet Zeggenschap Lichaamsmateriaal gaat over materiaal en dus niet over data. Daarmee zou men dus op basis van de namen van de beide wetten, kunnen denken dat er geen overlap is. Dan zou er dus geen reden zijn om de WZL op deze website te bespreken. Ik bespreek het toch, omdat er meer overlap is dan men denkt. Als je data uit materiaal haalt, dan doe je en iets met data, en iets met materiaal. Daar komt bij dat de Aanwijzingen voor de Regelgeving (regels over hoe men wetten moet schrijven), bepalen dat er altijd goed moet worden nagedacht of nieuwe wetten echt nodig zijn. Bovendien moet zoveel mogelijk worden geharmoniseerd met bestaande regels. Bovendien denken velen (onterecht) dat de WZL weldegelijk over data uit materiaal gaat, terwijl de EHDS daar dus expliciet over gaat. Om deze drie redenen behandel ik hier toch de concept-WZL. Spoiler alert: het is bagger.

Waarom die WZL?

Allereerst iets over de achtergrond van de WZL. Voor wetenschappers is het meestal te doen om data uit het materiaal, niet om het materiaal zelf (tenzij men bijvoorbeeld materiaal nodig heeft voor een les chirurgie). Dat vinden ze zo logisch, dat de twee door elkaar worden gehaald. Voor juristen is lichaamsmateriaal echt iets anders dan data uit het materiaal. Voorheen was dit juridisch prima gescheiden. In de WGBO is er een wetsartikel over hergebruik van materiaal (7:467 BW) en een wetsartikel over hergebruik van patiëntgegevens (7:458). Omdat men veelal dus data uit materiaal wil halen, bepaalt de wet: “onder onderzoek met van het lichaam afgescheiden anonieme stoffen en delen wordt verstaan onderzoek waarbij is gewaarborgd dat het bij het onderzoek te gebruiken lichaamsmateriaal en de daaruit te verkrijgen gegevens niet tot de persoon herleidbaar zijn.” Zodra je dus patiëntgegevens uit het materiaal haalt, val je niet langer onder het artikel over het materiaal, maar onder het artikel over gegevens. Zo werd doublure voorkomen, en dat was prima geregeld. Het probleem is dat men in de loop der tijd het wetsartikel over materiaal anders is gaan lezen. Sommigen meenden dat als er herleidbare gegevens werden onttrokken, er altijd toestemming nodig was (mogelijk op grond van een ongeldige a contrario redenering toegepast op 7:467 BW?), terwijl het andere wetsartikel zegt (7:458 BW) : toestemming tenzij onredelijk.

Wat is anoniem?

Bovendien werd lichaamsmateriaal voorheen meestal beschouwd als anoniem: aan een druppel bloed kun je niet zien van wie het afkomstig is. Maar inmiddels kan men DNA uit een druppel bloed halen en dus betoogde men dat lichaamsmateriaal eigenlijk nooit meer anoniem is. Dat strookt niet met de Europese (AVG) jurisprudentie over wanneer iets een persoonsgegeven is. Daar wordt uitgegaan van een relatief begrip. Het is afhankelijk van de vraag wie de data verwerkt en wat die verwerking precies inhoudt, of de privacy in het geding is en of de AVG dus van toepassing is. Die (jurisprudentie over de ) AVG is relevant, omdat bij het schrijven van de Uitvoeringswet AVG (artikel 24) specifiek is verwezen naar de WGBO: het was de bedoeling dat deze artikelen hetzelfde zouden bepalen. Maar dit relatieve denken over persoonsgegevens lijkt geen effect te hebben gehad op het denken over lichaamsmateriaal. Mogelijk is dit veroorzaakt doordat de experts die hieromtrent worden aangehaald, medisch-wetenschappers en geen juristen zijn. Zij zullen hebben geconcludeerd dat materiaal technisch gezien nooit meer anoniem is, maar dat is iets anders dan de vraag of het juridisch gezien anoniem is.

Al die Biobanken...

Omdat de wet bepaalt dat men bij materiaal een opt-out kan uitoefenen tenzij het geen anoniem materiaal is, denken velen nu dat lichaamsmateriaal nooit anoniem is en er dus (bijna) altijd om toestemming moet worden gevraagd. Dat is voor wetenschappers vaak moeilijk werkbaar. Deze moeilijkheid zit wat mij betreft dus in een verkeerde lezing van de wetsartikelen en wat dit betreft was een wetswijziging mijns inziens dus ook niet nodig. Dat neemt niet weg dat tegelijkertijd de Tweede Kamer onrustig werd van het feit dat er inmiddels zeer veel materiaal (van miljoenen Nederlanders) opgeslagen bleek te liggen bij biobanken, zonder dat daar veel toezicht op wordt gehouden. Er moest dus een wet komen en dat argument is nog niet van tafel: en dus moet er “een” WZL komen. Maar de verwarring over materiaal versus data uit dat materiaal, is met deze concept-wet zeggenschap lichaamsmateriaal alleen maar groter geworden.

Dubbele regels

De WZL bepaalt zelf expliciet “Deze wet is van toepassing op handelingen met lichaamsmateriaal (…).” Dit is al problematisch. Allereerst omdat het artikel uit de WGBO bepaalde: dit artikel is van toepassing op lichaamsmateriaal, tenzij je er (herleidbare) data uithaalt, want dan val je onder het artikel over data. Deze tenzij-bepaling staat niet in de WZL. Dat betekent, dat als men persoonsgegevens uit lichaamsmateriaal haalt, men straks onder de WZL valt omdat het lichaamsmateriaal betreft, en men ook onder de AVG (en straks de EHDS) valt omdat het persoonsgegevens (en gezondheidsgegevens) betreft. Dat betekent dat je op grond van de WZL moet controleren of er bezwaar is gemaakt (via een apart systeem) terwijl er ook op grond van de EHDS moet worden gecontroleerd of er bezwaar is gemaakt in het Nationaal Zeggenschapsregister. Dit terwijl men de administratieve lasten juist wil verlagen en de Aanwijzingen voor de Regelgeving voorschrijven dat er zoveel mogelijk moet worden geharmoniseerd. Waarom er in de WZL niet wordt aangesloten bij de EHDS, is me dan ook een raadsel. Nota bene, er kan dus niet voor worden gekozen om het verkrijgen van data uit materiaal alleen onder de WZL te laten vallen, want dat is een Nederlandse wet, die de Europese AVG niet opzij kan zetten. Het moet dus andersom: er moet expliciet bepaald dat als men persoonsgegevens aan materiaal onttrekt, men niet meer onder de WZL maar onder de AVG valt. Dat ontbreekt nu.

Maar de WZL gaat dus niet over de data zelf

Maar het is bovendien problematisch, omdat het vrijwel iedereen ontgaat dat de WZL gaat over handelingen met materiaal (waaronder het eruit halen van data), maar dus niet over die data. Zelfs de Raad van State schreef onlangs in een advies: “Ook wordt een regeling geïntroduceerd voor de (verdere) verwerking van persoonsgegevens (over de gezondheid) voor deze situatie.” Dat is dus niet zo. Maar als zelfs de Raad van State hierover in verwarring verkeert, dan zal dat bij vrijwel het gehele veld zo zijn. Nog ernstiger wordt het als men nader bekijkt wanneer de wet exact van toepassing wordt: “Deze wet is van toepassing op handelingen met lichaamsmateriaal dat is (…) afgenomen (…) in verband met de geneeskunst (…) en met welke handelingen een ander doel wordt beoogd dan (…) zijn gezondheidstoestand te beoordelen.” Lichaamsmateriaal (zoals druppels bloed of een stukje huid) wordt veelal afgenomen ten behoeve van zorg aan een specifieke patiënt. Daarna wordt het opgeslagen, nog steeds voor die specifieke patiënt, vanwege de verplichting om bij te houden wat men doet en waarom. De WZL zal daarop dus niet van toepassing zijn, terwijl het artikel uit de WGBO over materiaal wordt ingetrokken. Dat betekent dat, zolang er geen wetenschapper interesse heeft in het materiaal, er geen regeling op van toepassing is. Maar het wordt nog vreemder. Want als een wetenschapper na drie jaar interesse krijgt in het materiaal, dan wordt de WZL van toepassing en die bepaalt dan (in 2028) dat bij het afnemen informatie moet worden gegeven aan de patiënt. Maar dat was dus drie jaar eerder, in 2025. Hoe kan een wet nu bepalen dat deze van toepassing wordt in 2028, die dan op dat moment voorschrijft dan men drie jaar daarvoor iets moet doen? Ik begrijp het echt niet.

Niemand is eigenaar

Een volgend probleem is dat het wetsvoorstel lijkt te zijn gebaseerd op uitgangspunten die incorrect zijn. De Consultatieversie tweede nota van wijziging wetsvoorstel zeggenschap lichaamsmateriaal d.d. 10 juni 2024, verwijst viermaal naar een rapport. Dit bevat een aantal opmerkelijke stellingen. Zo is op p.55 te lezen: “Ons recht beschouwt van het lichaam afgescheiden materialen in eerste instantie als ‘voor menselijke beheersing vatbare stoffen’ (artikel 3:2 BW). Er kan dan van eigendom worden gesproken. Degene van wie het lichaamsmateriaal afkomstig is, wordt eigenaar van dat materiaal.” Dit is onjuist. Artikel 3:2 BW stelt “Zaken zijn de voor menselijke beheersing vatbare stoffelijke objecten,” waar artikel 5:1 BW aan toevoegt: “Eigendom is het meest omvattende recht dat een persoon op een zaak kan hebben.” Dit kan-hebben brengt geenszins mee dat elke zaak vatbaar is voor eigendom. Je kan pas eigenaar zijn van een zaak, als die ook vatbaar is voor bezit, want je kan alleen eigenaar worden door bezitsverschaffing, inbezitneming, of bezit plus verjaring. Alles “buiten de handel” zoals dat al eeuwen geduid wordt, is niet vatbaar voor bezit en daarmee ook niet vatbaar voor eigendom. Als er onterecht te veel huid wordt weggesneden, is dit mogelijk mishandeling, maar men kan geen aangifte doen van diefstal bij de politie. Niemand is eigenaar van lichaamsmateriaal, zoals ook niemand eigenaar is van gezondheidsdata (men kan geen eigenaar kan zijn van “de zon is heet,” en dus ook niet van “de patiënt heeft koorts.”

Wel zeggenschap, maar harmoniseer

Gevoelsmatig vinden we dat de patiënt misschien iets van zeggenschap zou moeten hebben over dat lichaamsmateriaal, maar dit staat los van het concept eigendom. Op gelijke wijze heeft de patiënt op grond van de AVG zeggenschapsrechten over data om zijn privacy te beschermen, die dus geheel los staan van de vraag of er sprake is van eigendom. De AVG stelt dat altijd een afweging moet worden gemaakt tussen het belang van privacy versus het belang van datagebruik. En zo zou het ook moeten zijn bij lichaamsmateriaal. De WZL zou dan ook, waar mogelijk, zoveel mogelijk moeten aansluiten bij de AVG en de aanstaande EHDS, en de subtiele balans die in deze twee verordeningen gezocht wordt tussen het belang van privacy en het belang van vrije data. Maar de WZL sluit onterecht helemaal niet aan bij de EHDS. Wat dat betreft was het recente rapport van de Raad van State weldegelijk juist. Een dergelijk gebrek aan harmonisatie is in strijd met artikel 2.45 van de voornoemde Aanwijzingen voor de Regelgeving dat voorschrijft dat daar wel zoveel mogelijk naar gestreefd moet worden.

Lichamelijke integriteit niet in het geding

Dat er niet is gekozen voor maximale aansluiting bij de AVG en de EHDS, lijkt er bovendien mee samen te hangen (behalve dat data en materiaal door elkaar worden gehaald,) dat ook lichaam en lichaamsmateriaal door elkaar worden gehaald. Op het moment dat er materiaal wordt afgenomen van een patiënt, op dat moment, is de lichamelijke integriteit in het geding. Op het moment dat een sample vijf jaar later uit een archief getrokken wordt voor onderzoek, is dat niet meer het geval. Er zijn bij afname drie situaties te onderscheiden; afname voor zorg, afname voor zorg en onderzoek, en afname uitsluitend voor onderzoek. Op deze derde kwestie is de Wet medisch-wetenschappelijk onderzoek met mensen van toepassing (de WMO). Deze kent zware waarborgen ter bescherming van de gezondheid en lichamelijke integriteit van de patiënt. Er was onduidelijkheid over de vraag in hoeverre deze wet eveneens van toepassing was in situatie twee: bij afname van een extra buisje bloed. Ook in dat geval, is het lichaam van de patiënt in het geding en spelen er ethische vragen. Maar als er een bestaand sample uit de kast wordt getrokken voor onderzoek, dan spelen er uitsluitend privacy vraagstukken.

Dus waarom een ethische toets?

De WZL bepaalt desondanks dat beheerders van materiaal altijd een reglement moeten hebben waarover een ethische commissie een positief oordeel heeft gegeven. Maar dat is heel vreemd voor de situatie waarin er helemaal geen ethische vragen zijn: de situatie waarin materiaal uitsluitend is afgenomen ten behoeve van zorg. Als men pas achteraf bedenkt dat dit materiaal wellicht ook nuttig kan zijn voor onderzoek, is de lichamelijke integriteit totaal niet in het geding. Dan speelt uitsluitend de vraag of de privacy van de patiënt voldoende wordt beschermd, waar de AVG en de EHDS al op zien. Waarom daartoe een Medisch Ethische Toetsingscommissie moet worden ingeschakeld, is onbegrijpelijk. Deze toestingscommissies zijn uitermate waardevol bij medisch onderzoek met mensen. Patiënten die denken dat ze wellicht overlijden, zeggen op alles ja. En dan moet er dus een toetsingscommissie meekijken: of het risico voor de patiënt niet te groot is, of de kans op nuttig effect van het onderzoek niet te klein is. Die ethische constellatie speelt totaal niet bij het uit de kast trekken van een drie jaar eerder afgenomen stukje huid. En dus is het onbegrijpelijk waarom de ethische toetsingscommissie daarbij moet worden betrokken.

Kortom: terug naar de tekentafel

Al met al is de WZL een ondoorgrondelijk wet, terwijl de Memorie van Toelichting nu juist stelt dat deze beoogt om duidelijkheid te bieden. Ook is de WZL niet in lijn met de Aanwijzingen voor de Regelgeving omdat niet optimaal wordt aangesloten bij de AVG en de EHDS. Daarom moet de concept-WZL gewoon van tafel. Geen kleine aanpassinkjes, zoals eerder het geval was. Er dient een geheel nieuwe WZL geschreven te worden (i) die dubbele toepassing van regels op eenzelfde handeling uitsluit, (ii) die zoveel mogelijk aansluit bij de AVG en de EHDS, (iii) die zeggenschap regelt via het Nationaal Zeggenschapsregister, (iv) die in navolging van de AVG kiest voor een risico- en belangenafweging en (v) die de ethische toets nalaat als de privacy wel, maar de lichamelijke integriteit niet in het geding is.