De Health Data Access Body

Posted on 10 augustus 202523 april 2026 by Antoinette

De HDAB van Nederland

Wie kan Health Data Access Body worden?

De Nederlandse overheid moet uiterlijk maart 2027 laten weten wie de Health Data Access Body zal worden; de instantie die gezondheidsdata beschikbaar gaat maken voor nuttig hergebruik. Deze HDAB verleent vergunningen, en is daarmee automatisch een overheidsorgaan. Immers, wie in een publiekrechtelijke wet is opgericht is overheid. Daarnaast is iedereen overheid die met openbaar gezag is bekleed, wat inhoudt dat men eenzijdig de rechtspositie van iemand kan vaststellen, zoals dus bepalen of iemand een vergunning krijgt. Er kan daarom bij het aanwijzen van de HDAB worden gekozen uit drie juridische opties:

men richt een geheel nieuw overheidsorgaan op in de Uitvoeringswetgeving-EHDS;
men wijst een bestaand overheidsorgaan aan als zijnde het orgaan dat voortaan ook de HDAB taken op zich neemt; of
men kiest voor een (bestaande of nieuwe) privaatrechtelijke organisatie, die met de uitvoeringswetgeving en de Kaderwet ZBO’s wordt ingebed in het publieke bestel en zo overheid wordt.

Juridische taken

Bij de inrichting van dit overheidsorgaan moet bedacht worden dat de HDAB zowel juridische, als feitelijke taken moet verrichten op grond van de EHDS. Alle juridische taken (die dus maken dat iets overheid is) kunnen niet worden uitbesteed. Dit betreft het verlenen van vergunningen, het opleggen van boetes of een last onder dwangsom. Deze bestuursrechtelijke besluitvorming zal niet eenvoudig zijn. De vergunningsaanvragen moeten worden getoetst aan de AVG en de EHDS, maar ook bijvoorbeeld aan het discriminatieverbod en de Europese vrij verkeersbepalingen.

Er moet bovendien worden voldaan aan het overige Europese recht zoals de DataGovernanceVerordening, de DataVerordening en de Open Data Richtlijnen (geïmplementeerd in de Wet Hergebruik Overheidsinformatie), maar ook de Algemene wet bestuursrecht en het Intellectuele Eigendomsrecht. Er kan tegen een vergunning (of weigering ervan) bezwaar en beroep aangetekend worden. Als houders weigeren data beschikbaar te maken, moet een last onder bestuursdwang of dwangsom te worden opgelegd en ook daartegen kan geprocedeerd worden. De HDAB heeft dus flink wat goede juristen nodig.

Feitelijke taken

Daarnaast krijgt de HDAB onder de EHDS allerlei feitelijke taken, die eventueel wel kunnen worden uitbesteed. Het feit dat een overheid ergens verantwoordelijk voor is, betekent immers niet dat het dit zelf ook moet uitvoeren. Zo is de overheid ook verantwoordelijk voor goede scholen, maar dat zijn feitelijke taken, geen bestuursrechtelijke besluiten, en dus kan dit aan allerlei stichtingen worden uitbesteed.

Op vergelijkbare wijze kan de HDAB opdrachten verlenen tot het uitvoeren van haar feitelijke taken, zoals het inrichten van een catalogus, anonimiseren of pseudonimiseren, het koppelen van databestanden, het in stand houden van een Nationaal Zeggenschapsregister, het controleren van de Beveiligde VerwerkingsOmgevingen, of het zorgen dat alle BVO’s interoperabel zijn. Dat zijn allemaal feitelijke taken die de HDAB zelf kan verrichten, maar die eventueel ook uitbesteed kunnen worden aan opdrachtnemers die dus niet overheid hoeven te zijn.

Wie kan niet HDAB worden

De HDAB mag geen belangen hebben bij de data of de vergunningsaanvraag, vanwege het verbod op tegenstrijdige belangen. Dit maakt dat het CBS eigenlijk afvalt als mogelijkheid, vanwege de commerciële activiteiten van microdata-services. De HDAB kan ook niet de Autoriteit Persoonsgegevens zijn, want die twee organisaties hebben tegengestelde taken (alles geheimhouden, versus meer data delen). Op gelijke wijze wordt de Markt Autoriteit apart genoemd in de EHDS, waaruit lijkt te volgen dat ook de ACM niet de HDAB kan worden.

Het gerucht gaat dat VWS ervoor kiest om een enkel, geheel nieuw orgaan op te richten. Belangrijk is wel dat er streng wordt vastgehouden aan de EHDS eis dat er in de HDAB geen sprake mag zijn van tegenstrijdige belangen; zowel op organisatieniveau als ten aanzien van de mensen die werkzaam zijn in de HDAB. Dat een bestuurder van de HDAB ook lid is van bijvoorbeeld de Raad van Toezicht van datahouders of datagebruikers, is dus zeer onwenselijk.

HDAB versus Autoriteit Persoonsgegevens

Nota bene, de HDAB krijgt ook taken ten opzichte de natuurlijke personen op wie de data betrekking hebben (patiënten, of eigenlijk alle burgers). Het gaat daarbij om de manier waarop de HDAB zelf met persoonsgegevens omgaat. De HDAB moet aan allerlei AVG vereisten voldoen ten aanzien van transparantie. Daarnaast houdt de HDAB toezicht op datahouders en datagebruikers; ze toetst of een vergunningsaanvraag aan de AVG voldoet, en of er binnen de BVO’s gewerkt wordt conform de AVG.

Maar als blijkt dat door iemand anders de AVG wordt geschonden, bijvoorbeeld omdat het Nationaal Zeggenschapsregister niet is gerespecteerd, dan geeft de HDAB die informatie aan de Autoriteit Persoonsgegevens, die zal optreden. Wat dit tweede betreft moet er dus door de HDAB worden samengewerkt met de Autoriteit Persoonsgegevens. Wat het eerste betreft staat de HDAB zoals andere overheden onder toezicht van de AP.

Groot genoeg

Er kan tot slot gekozen worden voor een enkele HDAB of meerdere, waarbij er een als coördinerende HDAB moet worden aangewezen. Gezien het feit dat er een flink aantal goed opgeleide juristen nodig is in de HDAB, en gezien het feit dat we maar een klein landje zijn, lijkt het onlogisch om meerdere HDAB’s op te richten. Tegelijkertijd moet ervoor worden opgepast dat de HDAB die wordt opgericht, niet te klein is. Er is discussie over de vraag wanneer de EHDS van toepassing is. Er zijn mensen die zeggen dat dit alleen het geval is, als men er zelf voor kiest om gebruik te maken van de HDAB-route.

Als men inderdaad zelf mag kiezen of men een vergunning aanvraagt of niet, dan hoeft de HDAB niet zo groot te zijn. Als men vrijwel altijd een vergunning nodig heeft (tenzij men zich kan beroepen op een van de uitzonderingen in artikel 1), dan zal de HDAB groot genoeg moeten zijn. Immers, als er door wetenschappers meer vergunningen worden aangevraagd dan de HDAB kan verwerken, dan kan het wetenschappelijk onderzoek in Nederland stagneren door capaciteitstekorten bij de HDAB. Dat is natuurlijk niet de bedoeling.

Het vrije verkeer van Zorg ICT

Het Ministerie van VWS heeft onlangs een consultatie geopend voor het Globaal Technisch Ontwerp van de Generieke Functie Adressering: een soort adresboek voor zorgverleners. Een belangrijke stap voor de Nederlandse …

De Digitale Omnibus en het arrest Scania

Doet de concept-Digitale Omnibus het Scania-arrest teniet? Een nauwkeurige lezing wijst anders: de Commissie bakent de reikwijdte af, maar schrapt het arrest niet.

Wie mag er in de EHDS-Raad?

De EHDS-Raad is opgericht. Maar wie mag namens Nederland zitting nemen? Antoinette Vlieger analyseert de voorwaarden — en de onduidelijkheden in de verordening.

De EHDS en de Beveiligde VerwerkingsOmgeving

Posted on 10 augustus 202523 april 2026 by Antoinette

De EHDS en de beveiligde verwerkingsomgeving

Technische Verseisten van de Europese Commissie

Er moet onder de EHDS worden gewerkt in een Beveiligde VerwerkingsOmgeving (BVO). Wetenschappers krijgen geen data, maar toegang daartoe in een BVO die voldoet aan krachtens de EHDS vastgestelde strenge technische en veiligheidsnormen. Wat deze vereisten exact gaan zijn, dat weten we nu nog niet. Deze worden uiterlijk maart 2027 door de Europese Commissie vastgesteld (zie tijdslijn). De Europese Commissie zal ook de lidstaten bijstaan om de veiligheid en de interoperabiliteit van de verschillende Beveiligde VerwerkingsOmgevingen te bevorderen. Dergelijke veiligheidsvereisten kunnen niet voorschreven worden in de EHDS zelf. Risico’s en beveiliging ontwikkelen zich immers sneller dan nieuwe Europese wetgeving.

HDAB en BG's houden toezicht

Let op: er zijn partijen die stellen dat er slechts één enkele BVO zal komen, die beheerd wordt door de HDAB. Dit zou dan een supercomputer worden waar alle Nederlandse gezondheidsgegevens in zouden komen te staan. Dit is niet het geval. De EHDS spreekt duidelijk van meerdere BVO’s. Iedere Betrouwbare Gegevenshouder (BG) moet ook beschikken over een BVO en waarschijnlijk kunnen onder meer de academische ziekenhuizen dit allemaal worden. De HDAB en de BG’s moeten altijd toezicht houden op wat er precies in hun BVO gebeurt, zodat aan de wetenschapper uitsluitend toegang wordt verleend in lijn met de exacte voorwaarden van zijn vergunning. Ergo, degene die over een BVO beschikt, moet in staat zijn om af te dwingen dat zowel de AVG als de EHDS nageleefd worden.

Wetenschappers mogen niet zomaar een andere wetenschapper toegang verlenen als die niet ook op de vergunning staat. En uitsluitend niet-persoonsgebonden data (dus anonieme of geaggregeerde data) mogen vanuit een dergelijke BVO worden gedownload. Ze mogen uiteraard wel van de ene naar de andere BVO, waartoe interoperabiliteit moet worden gerealiseerd. De log-gegevens van de verwerkingen in de BVO moeten minstens een jaar bewaard worden om te kunnen controleren of de vergunningsvoorwaarden juist zijn nageleefd. Op deze manier is de BVO een essentiële waarborg om de rechten en vrijheden van patiënten met betrekking tot de verwerking van hun gezondheidsgegevens voor secundair gebruik te beschermen.

Die BVO moet altijd verplicht zijn

Er is kritiek hoorbaar op de EHDS, die beoogt om meer gezondheidsdata beschikbaar te maken voor nuttig hergebruik. Belangrijk is het om voor ogen te houden dat de idee van deze wet is om meer data beschikbaar te maken, juist door dit veiliger te maken; in de gecertificeerde BVO’s dus. Belangrijk is het hierbij om op te merken dat er mensen zijn die denken dat je straks vrijelijk kan kiezen of je een datavergunning aanvraagt, en dat je daarmee zelf zorgt dat je onder de EHDS valt. Daaruit volgt dat je dus ook zelf zou kunnen kiezen of je verplicht in een BVO moet werken of niet. Dat je mag kiezen of je ergens toe verplicht bent, lijkt mij een onhoudbaar standpunt. Maar mocht blijken dat ik ongelijk heb, en men weldegelijk vrijelijk kan kiezen of men een vergunning aanvraagt, dan zou in de uitvoeringswetgeving moeten worden opgenomen dat werken in een (door de Europese Commissie beschreven) BVO vanaf 2029 altijd verplicht is, ook als men niet de route via de HDAB bewandelt.

Het vrije verkeer van Zorg ICT

De Digitale Omnibus en het arrest Scania

Doet de concept-Digitale Omnibus het Scania-arrest teniet? Een nauwkeurige lezing wijst anders: de Commissie bakent de reikwijdte af, maar schrapt het arrest niet.

Wie mag er in de EHDS-Raad?

De EHDS-Raad is opgericht. Maar wie mag namens Nederland zitting nemen? Antoinette Vlieger analyseert de voorwaarden — en de onduidelijkheden in de verordening.

Wanneer treedt de EHDS in werking?

Posted on 10 augustus 202523 april 2026 by Antoinette

EHDS Tijdlijn?

Primair in 2027, secundair in 2029

De EHDS vereist flink wat voorbereiding. Er moet een Health Data Access Body worden opgericht, er moet van alles aan software en hardware worden gebouwd of aan elkaar geknoopt en er moet aanvullende wetgeving worden geschreven. Daarom zal de EHDS in verschillende fasen van kracht worden. Op 26 maart 2027 worden de bepalingen rond primair gebruik al van kracht. Hoofdstuk IV over het hergebruik van gezondheidsgegevens, zal pas op 26 maart 2029 van toepassing zijn. Dat zijn de grote lijnen, maar sommige onderdelen van hoofdstuk IV treden ook al in werking per 26 maart 2027, andere juist later.

Er moeten nog een aantal handelingen worden verricht, per maart 2027. Nederland moet de Europese Commissie vertellen wie haar Health Data Access Body wordt. Ook moet ze vertellen wie de NCPSD wordt, de digitale gateway die de Nederlandse Gezondheidsdata Catalogus koppelt aan de overige Europese catalogi (Nederland heeft al besloten dat dit gewoon de HDAB zelf wordt). De Europese Commissie op haar beurt moet:

modellen vaststellen voor het aanvragen van toegang tot gezondheidsgegevens (een vergunning of een statistische vraag);
de vereisten vaststellen waaraan Beveiligde VerwerkingsOmgevingen moeten voldoen;
de verdere vereisten vaststellen ten behoeve van het HealthData@EU systeem;
vaststellen welke metadata de houders van datasets moeten aanleveren voor de gezondheidsdata catalogus;
kwaliteits- en gebruikslabels vaststellen ten aanzien van datasets.

Vervolgens wordt dus op 26 maart 2029 de bulk van hoofdstuk IV van kracht, wat betekent dat gebruikers van gezondheidsdata vanaf dan vergunningen kunnen aanvragen, of statistische vragen kunnen indienen, terwijl houders verplicht zijn data aan te leveren. De Health Data Access Body (plus het nationale contactpunt) moeten dan volledig operationeel zijn. Daarnaast wordt hetgeen de Europese Commissie in 2027 heeft vastgesteld dan van kracht (zie hierboven).

Echter, de EHDS geldt dan nog niet ten aanzien van het nuttig hergebruik van alle soorten EHDS-data. Pas op 26 maart 2031 geldt de EHDS ook ten aanzien van deze meer sensitieve data:

gegevens over factoren die van invloed zijn op de gezondheid, met inbegrip van sociaal-economische, milieu- en gedragsdeterminanten van gezondheid;
humaan-genetische, epigenomische en genomische gegevens;
andere humaan-moleculaire gegevens, zoals proteomische, transcriptomische, metabolomische, lipidomische en andere “-omische” gegevens;
gegevens afkomstig van klinische proeven, klinische studies, klinische onderzoeken en prestatiestudies;
gegevens afkomstig van onderzoekscohorten, vragenlijsten en enquêtes in verband met gezondheid, zodra de daarmee verband houdende resultaten gepubliceerd zijn

Nog weer later (26 maart 2035) wordt ook artikel 75 lid 5 van kracht, dat bepaalt dat derde-landen of internationale organisaties zich kunnen aansluiten als deelnemers in de European Health Data Space.

De eerste verplichtingen moeten dus in het eerste kwartaal van 2027 zijn gerealiseerd. Het wetgevingstraject om dat alles mogelijk te maken, start daarom Q2 2025. Het is daarmee belangrijk dat elke belanghebbende bij de EHDS zich per direct oriënteert op de vraag wat voor haar belangrijk is, ten aanzien van de juiste interpretatie en vooral de optimale implementerende wetgeving. Het zou goed zijn om deze wet aan te grijpen om zoveel mogelijk problemen tegelijk en op een constructieve manier op te lossen, ten behoeve van de Volksgezondheid.

Het vrije verkeer van Zorg ICT

De Digitale Omnibus en het arrest Scania

Doet de concept-Digitale Omnibus het Scania-arrest teniet? Een nauwkeurige lezing wijst anders: de Commissie bakent de reikwijdte af, maar schrapt het arrest niet.

Wie mag er in de EHDS-Raad?

De EHDS-Raad is opgericht. Maar wie mag namens Nederland zitting nemen? Antoinette Vlieger analyseert de voorwaarden — en de onduidelijkheden in de verordening.

De EHDS leidt tot meer gezondheids(data)veiligheid

Posted on 10 augustus 202520 april 2026 by Antoinette

De EHDS leidt juist tot meer gezondheids(data)veiligheid

De komst van de EHDS zorgt voor maatschappelijke onrust. Zijn onze gezondheidsgegevens straks nog wel veilig? De verordening zal inderdaad meer data beschikbaar maken voor nuttig hergebruik, zoals wetenschappelijk onderzoek. Maar de idee van de Verordening is om meer data beschikbaar maken, juist door het beter te beveiligen. Daartoe wordt de vergunning geïntroduceerd en moet er een HDAB opgericht worden als gezondheidsdata-politie. De EHDS bevat bovendien een lijst verboden gebruik, die weleens verstrekkende gevolgen kon gaan hebben voor onder meer de tabaksindustrie.

Vergunning vereist

Allereerst bepaalt de EHDS dat men voor het werken met gezondheidsdata een vergunning moet aanvragen. Er is discussie over de vraag of men mag kiezen of men die aanvraagt, zoals het Ministerie van VWS zegt. Ik vind het een vreemd standpunt: je mag ook niet kiezen of je een kapvergunning aanvraagt, een bouwvergunning, of een horecavergunning. Het hele idee van de vergunning is dat de overheid op deze manier kan meekijken, om te zorgen dat men zich aan alle (veiligheids)regels houdt. Er zal, zo lees ik de verordening, bijna altijd een vergunning vereist zijn. Vervolgens bepaalt de EHDS dat gezondheidsdata uitsluitend mogen worden gebruikt conform de voorwaarden in die vergunning. Daarin moet o.a. zijn opgenomen wie exact de onderzoekers zijn die toegang mogen krijgen tot de data. Staat men niet in de vergunning, dan kan men ook niet bij de data. Bovendien is het ten strengste verboden om te achterhalen over welke personen de (anonieme of pseudonieme) data gaan.

HDAB houdt toezicht

De vergunning wordt aangevraagd bij de Health Data Access Body. In Nederland is men nu druk doende met het ontwerpen van allerlei ICT-middelen voor deze HDAB. Maar wie de EHDS goed bestudeert, zie dat de nieuw op te richten overheidsinstantie toch vooral de gezondheidsdata-politie zal zijn. Houdt men zich niet aan de vergunningsvoorwaarden of aan overige wetgeving, dan kan de HDAB flinke boetes opleggen (tot 20 Mio of 4% van de jaaromzet). Bovendien: belanghebbenden kunnen handhavingsverzoeken indienen bij de HDAB en zo de overheid dwingen om op te treden als er te slordig wordt omgegaan met gezondheidsgegevens. Dat kon de Autoriteit Persoonsgegevens ook al, kan je denken, maar de EHDS gaat echt verder. Er staat namelijk een bijzonder interessante lijst in de EHDS: het verboden gebruik.

Verboden onder de EHDS is dit:

het nemen van besluiten die nadelig zijn voor een natuurlijke persoon of een groep van natuurlijke personen op basis van hun elektronische gezondheidsgegevens; om als “besluiten” te kunnen worden aangemerkt voor de toepassing van dit punt, moeten zij juridische, sociale of economische gevolgen hebben of die natuurlijke personen op vergelijkbare wijze aanmerkelijk treffen;
het nemen van besluiten met betrekking tot een natuurlijke persoon of een groep natuurlijke personen in verband met vacatures, het aanbieden van minder gunstige voorwaarden bij het leveren van goederen of diensten, onder meer om die personen of groepen een verzekerings- of kredietovereenkomst te ontzeggen, hun bijdragen en verzekeringspremies of leningsvoorwaarden te wijzigen, of andere besluiten te nemen met betrekking tot een natuurlijke persoon of een groep natuurlijke personen die ertoe leiden dat zij gediscrimineerd worden op basis van de verkregen gezondheidsgegevens;
het verrichten van reclame- of marketingactiviteiten;
het ontwikkelen van producten of diensten die schadelijk kunnen zijn voor personen, de volksgezondheid of de samenleving in het algemeen, zoals illegale drugs, alcoholhoudende dranken, tabaks- en nicotineproducten, wapens, of producten of diensten die zodanig zijn ontworpen of gewijzigd dat zij tot verslaving leiden, in strijd zijn met de openbare orde of een risico voor de menselijke gezondheid inhouden;
het verrichten van activiteiten die in strijd zijn met ethische bepalingen die zijn neergelegd in het nationale recht.

Laat het tot je doordringen wat hier staat; je mag geen gezondheidsgegevens gebruiken voor het ontwikkelen van verslavende producten. Er is als gezegd onduidelijkheid over de vraag wanneer de EHDS van toepassing is. De lezing van het Ministerie van VWS is dat je kan kiezen of je een vergunning aanvraagt en of je dus onder de EHDS valt. Dan kan de tabaksindustrie dus ook kiezen of ze zich aan de verboden lijst moeten houden. Dat lijkt mij een onhoudbaar standpunt. Er staat in de EHDS: gebruikers van gezondheidsgegevens mogen gezondheidsgegevens voor secundair gebruik alleen raadplegen en verwerken overeenkomstig een gegevensvergunning. Het lijkt mij dat je dan altijd een vergunning nodig hebt (tenzij de EHDS niet van toepassing is op grond van artikel 1; daarin staan enige uitzonderingen). Als mijn lezing juist is, dan zal het effect van de lijst van verboden gebruik aanzienlijk zijn! Want dan zal het voortaan verboden zijn om gezondheidsdata te gebruiken voor het ontwikkelen van welk verslavend product dan ook. Hulde aan de opstellers van deze verordening dus.

De EHDS is dus top!

De komst van de EHDS zorgt voor maatschappelijke onrust. Men vreest bijvoorbeeld dat secundair gebruik ertoe kan leiden dat iemand geen verzekering of baan meer krijgt. Hieruit blijkt dat men de EHDS niet heeft gelezen, want dit staat expliciet in de lijst van verboden gebruik. Omdat de EHDS zeer gunstig is voor medisch wetenschappelijk onderzoek, kan het dus nuttig zijn om te benadrukken dat de EHDS van alles expliciet verbiedt. Het gunstige van de lijst verboden gebruik is bovendien dat de nieuw op te richten HDAB wordt aangewezen als de autoriteit die dit moet handhaven, en waar dus ook handhavingsverzoeken kunnen worden ingediend. Maar bovenal moeten we ons realiseren dat de EU via een omweg ons een juridisch middel in handen lijkt te hebben gegeven tegen de tabaksindustrie. Het is vooralsnog niet gelukt om tabak te verbieden, maar het lijkt wel te zijn gelukt om te verbieden onderzoek te doen naar de vraag hoe tabak nog verslavender kan worden gemaakt. De toekomst zal uitwijzen hoeveel plezier we gaan hebben van deze verboden lijst. Misschien is dit ook in te zetten tegen het verslavend maken van apps? Krijgt de HDAB straks mijn kind van de socials af? Ik kijk met spanning uit naar de fantastische voordelen die de EHDS ons kan brengen.

Het vrije verkeer van Zorg ICT

De Digitale Omnibus en het arrest Scania

Doet de concept-Digitale Omnibus het Scania-arrest teniet? Een nauwkeurige lezing wijst anders: de Commissie bakent de reikwijdte af, maar schrapt het arrest niet.

Wie mag er in de EHDS-Raad?

De EHDS-Raad is opgericht. Maar wie mag namens Nederland zitting nemen? Antoinette Vlieger analyseert de voorwaarden — en de onduidelijkheden in de verordening.

De rechtsstaat voor medisch wetenschappers

Posted on 10 juni 202520 april 2026 by Antoinette

De rechtsstaat voor medisch wetenschappers

We hebben tegenwoordig een (best) goed functionerende overheid. Er wordt weleens vergeten dat dit vroeger anders was, of dat dit in veel andere landen nog steeds niet zo is. Juristen leren tijdens hun opleiding dat het belangrijk is om de rechtsstaat te blijven verdedigen, zodat we nooit terugvallen naar een dictatuur. Als medisch wetenschapper kun je denken dat dit niet jouw taak is, dat je er niets vanaf hoeft te weten. Niets is minder waar. Begrip van de Trias Politica is bijvoorbeeld van belang om te weten wanneer je de Autoriteit Persoonsgegevens kan negeren. Ook is het nuttig als je begrijpt dat een lobbycampagne start met de vraag of het Ministerie van VWS wel de juiste plek is. Daarom zet ik hier voor medisch wetenschappers enige basisprincipes uiteen.

De Autoriteit Persoonsgegevens heeft weleens ongelijk

Een belangrijk onderdeel van onze rechtsstaat is de machtenscheiding, de Trias Politica. De wetgevende macht stelt de regels op (een Ministerie schrijft een concept-wet, maar het Parlement besluit). Voor zover de regels vaag zijn of er sprake is van uitzonderingen, geeft de rechtsprekende macht nadere invulling. Daarnaast hebben we de uitvoerende macht waar ook de handhavende instanties onder vallen. Zij kunnen boetes opleggen. Om machtsmisbruik te voorkomen, mogen zij echt alleen uitvoeren en geen regels opstellen of interpreteren. Dit betekent dat een instantie zoals de Autoriteit Persoonsgegevens niet kan bepalen wat het recht inhoudt (zo ook Zwenne en Hallinan p.27). De positie van de AP is hetzelfde als die van een politieagent. Deze kan wel bepalen dat bijvoorbeeld inbraken meer prioriteit krijgen dan wildplassen, maar hij kan niet zelf bepalen dat kinderen op een fatbike voortaan een boete krijgen. Op gelijke voet kan de AP wel vinden dat iets tot haar takenpakket behoort, maar als dat niet in de AVG staat, dan kan er geen boete worden opgelegd. Ook wat op de website van de AP staat, is niet per definitie juist. Net als de “opinies” van de EDPB zijn ze precies dat: een mening, waarvan uiteindelijk de rechter bepaalt of die juist is. Op gelijke wijze is het nuttig om bij gedragsregels van de IGJ de vraag te stellen of deze nu echt duidelijk uit een wet voortvloeien. Want zo niet, dan kan op grond van het legaliteitsbeginsel geen boete opgelegd bij het negeren van dergelijke regels. Een kritische houding is geen burgerlijke ongehoorzaamheid, maar een belangrijke bescherming van de rechtsstaat.

Stichting Proefprocessen nuttig voor duidelijkheid

Hieraan gerelateerd is het volgende punt: als er een probleem wordt geconstateerd, dan moet op de juiste plek om een oplossing worden gevraagd. Bijvoorbeeld; de AVG is een erg onduidelijke wet. De medisch-wetenschappelijke sector kijkt vragend naar het Ministerie van VWS voor duiding. Maar dit Ministerie kan helemaal geen uitleg geven aan een bestaande wet, die bovendien niet van haar afkomstig is. De AVG zou herschreven kunnen worden, maar dat kan alleen het Europees Parlement doen. Het heeft ook geen zin als ZonMw iemand betaalt voor het schrijven van gedragsregels of codes. Want als die niet daadwerkelijk door rechters worden gebruikt om invulling te geven aan een vage wet, dan hebben die codes domweg geen enkele juridische status. De AVG kan uitsluitend verduidelijkt worden door rechters, maar daarvoor zal men dus concrete vragen moeten voorleggen aan de rechtbank. Over het algemeen is men wars van procederen, maar maatschappelijk gezien hebben procedures een belangrijke functie: het recht wordt daar verduidelijkt. Daarom is het veel nuttiger als bijvoorbeeld de KNAW samen met de FNV een stichting proefprocessen voor medisch-wetenschappers opricht. Overigens is rechten geen harde wetenschap (daarom heet de studie dus rechtsgeleerdheid.) In veel conflicten is er voor beide kanten wel wat te zeggen; anders zou er niet zo vaak doorgeprocedeerd worden tot aan de hoogste rechter. Het is argumentatieleer op hoog niveau. Partijen die hiervan doordrongen zijn, weten dat argumenten van hoogleraren zwaar wegen, reden waarom weleens de portemonnee getrokken wordt om een bijzonder hoogleraar aan te stellen; dat is gewoon een vorm van lobbyen.

En check of je echt bij het juiste Ministerie zit

Wil men een nieuwe wet, dan moet men zich bovendien tot het juiste Ministerie wenden. Er wordt bijvoorbeeld geklaagd dat het BSN niet (of niet altijd?) gebruikt mag worden door wetenschappers om bestanden te koppelen. Men gebruikt regelmatig de (gepseudonimiseerde) NAW gegevens, maar dat is qua privacy slechter en leidt ook tot meer fouten. Er wordt dus gelobbied voor een aanpassing in de wet bij het Ministerie van VWS. Maar het BSN-verbod staat in de uitvoeringwet bij de AVG. Dan is het ook logisch om in diezelfde wet een regel op te nemen dat het BSN door wetenschappers gebruikt mag worden. Het is immers niet logisch om voor medische wetenschappers andere regels te schrijven dan voor sociale wetenschappers of criminologen. Het Ministerie van Justitie gaat over de (U)AVG en daarom is Justitie de juiste plek om te lobbyen voor een wetswijziging. En mocht men het niet eens worden over het juiste Ministerie voor een concept-wet, bedenk dan dat alle wetten uiteindelijk aangenomen worden door het Parlement. Een lobby bij de Tweede Kamer (die iets kan toevoegen aan een wetsvoorstel dat al ter tafel ligt) is dus logischer dan bij VWS, als het gaat over het adresseren van de BSN kwestie.

Conflictregels en logisch redeneren

Ook verder loont het de moeite om af en toe stil te staan bij het grotere rechtssysteem en de exacte rolverdeling. Zo zijn er de conflictregels. Tegenwoordig gaan er veel mensen aan de haal met de term “lex specialis.” Ze noemen iets een bijzondere wet, die dus voorgaat. Dat is te kort door de bocht. Allereerst moet men checken of er sowieso sprake is van twee verschilende regels die een andere kant uitwijzen. Zonder conflict, geen toepasselijkheid van conflictregels. Vervolgens is het belangrijk vast te stellen dat er een volgorde zit in de conflictregels: (i) hoger recht gaat altijd voor lager recht, (ii) bijzonder recht gaat voor algemeen recht en (iii) nieuw recht gaat voor oud recht. De tweede regel, de lex specialisregel, wordt dus uitsluitend toegepast als men er met de eerste regel niet uit komt. Gevolg hiervan is dat een bijzondere maar lagere wet (zoals de WGBO) nooit Europees recht opzij kan zetten. Wat wel mogelijk is, is dat een nationale wet (de wet politiegegevens) van toepassing is in plaats van de AVG, omdat de AVG zelf bepaalt dat die niet van toepassing is op politiegegevens. Maar dat maakt van de WPG nog geen lex specialis. Pas ook op voor ongeldige redeneringen. Als een wet bepaalt dat een dossier twee jaar moet worden bewaard, dan is er dus niets bepaald over wat er in het derde jaar moet gebeuren. Er staat niet in de wet dat het dossier na twee jaar moet worden vernietigd; dat hangt af van de vraag of er na die 2 jaar een andere goede reden dan de wet is, om het alsnog te bewaren.

De WGBO is contractenrecht

Ook verder loont het de moeite om af en toe stil te staan bij het grotere rechtssysteem. Zo wordt vaak over het hoofd gezien dat de WGBO een onderdeel is van het contractenrecht; het staat gewoon in het burgerlijk wetboek tussen het huurrecht en het arbeidsrecht. Dat brengt drie dingen mee; allereerst is het zacht als boter. Het contractenrecht staat namelijk vol met open normen zoals de redelijkheid & billijkheid en de goeder trouw. Wat een zorgovereenkomst in een concreet geval inhoudt, wordt dus niet puur door de letter van de WGBO bepaald, maar net zo goed door de omstandigheden van het geval, en wat partijen in redelijkheid van elkaar mochten verwachten. Bovendien is de WGBO, als onderdeel van het contractenrecht ‘remedierecht.’ Dat betekent dat het geschreven is, voor als een partij niet doet wat er is afgesproken. Stel bijvoorbeeld dat een arts gegevens beschikbaar heeft gesteld voor onderzoek zonder toestemming te vragen. Dan kan men dat aan een rechter voorleggen, maar die toetst gewoon: is er wanprestatie? Check. Is er schade? Waarschijnlijk niet, behalve dat het vervelend wordt gevonden. En is er bewijs van causaal verband tussen de wanprestatie en die schade? Je zult begrijpen dat de patiënt niet altijd zoveel kan met de medische geheimhoudingsplicht in de WGBO (wel in de wet BIG dus). Dit geldt temeer omdat hij mogelijk 250 euro schadevergoeding kan krijgen, maar de procedure (zonder toevoeging) al snel 5.000 euro kost. De WGBO wordt namelijk, anders dan men denkt, alleen door de civiele rechter toegepast. De IGJ moet zich immers, op grond van het specialiteitsbeginsel beperken tot die wetten waarin staat dat ze worden gehandhaafd door de IGJ, en dat is bij de WGBO dus niet het geval. Kortom, staar je niet blind op de inhoud van een enkele regel en beoordeel het altijd in het grotere systeem.

Het vrije verkeer van Zorg ICT

De Digitale Omnibus en het arrest Scania

Doet de concept-Digitale Omnibus het Scania-arrest teniet? Een nauwkeurige lezing wijst anders: de Commissie bakent de reikwijdte af, maar schrapt het arrest niet.

Wie mag er in de EHDS-Raad?

De EHDS-Raad is opgericht. Maar wie mag namens Nederland zitting nemen? Antoinette Vlieger analyseert de voorwaarden — en de onduidelijkheden in de verordening.

EHDS Dataverzamelaars

Posted on 4 juni 202520 april 2026 by Antoinette

EHDS Dataverzamelaars

De EHDS creëert een aantal nieuwe rollen rond het hergebruik van gezondheidsgegevens. Bekend is de Health Data Acces Body, een nieuwe overheidsinstantie waar een vergunning wordt aangevraagd om te mogen werken met data in een beveiligde verwerkingsomgeving. Veel minder aandacht is er voor de rol van betrouwbare gegevenshouder, en volledig onbekend is de dataverzamelaar. Maar juist die dataverzamelaar is cruciaal voor het ontsluiten van data op een manier die efficiënter is, die beter is voor de wetenschap, en die bovenal kan bijdragen aan meer vertrouwen in het systeem.

Efficiëntie - zoals bij de GGD

De EHDS verplicht houders van gezondheidsdata om deze beschikbaar te maken voor nuttig hergebruik, zoals wetenschappelijk onderzoek. Om het systeem efficiënter te maken, kan Nederland bepaalde organisaties aanwijzen als bemiddelingsentiteit. Maar let op; dit is een andere rol dan een databemiddelingsdienst zoals beschreven in de Data Governance Verordening. Omdat dit het er niet duidelijker op maakt, is het verstandig om in het kader van de EHDS te spreken van dataverzamelaars; dat is namelijk wat deze partijen doen. Ze verzamelen data van veel gelijksoortige datahouders. De plicht om data aan te leveren aan de Health Data Access Body wordt dan overgenomen van de losse datahouders door de verzamelaar. Zo zijn er bijvoorbeeld in Nederland veel GGD’s die allemaal data hebben die nuttig zijn voor medisch-wetenschappelijk onderzoek. Het is onlogisch als de HDAB bij elk onderzoek waarvoor GGD data nodig zijn, telkens opnieuw moet aankloppen bij alle losse GGD’s. De Nederlandse overheid zou daarom bijvoorbeeld de GGD GHOR kunnen aanwijzen als dataverzamelaar die de EHDS-plichten van alle losse GGD’s overneemt.

Wetenschappelijk belang - zoals bij huisartsen

Het tweede waarvoor een dataverzamelaar kan worden ingeschakeld, zijn de micro-datahouders. De EHDS bepaalt dat kleine datahouders geen data hoeven aan te leveren aan de HDAB: dat zou een te grote administratieve belasting zijn voor kleine organisaties. Maar sommige data die wetenschappelijk enorm belangrijk zijn, zijn nu juist in handen van kleine datahouders. Dat is in Nederland bijvoorbeeld het geval met de huisartsen. Wil men onderzoek doen naar het eerder kunnen opsporen van longkanker, dan zullen de dossiers van patiënten uit het ziekenhuis gekoppeld moeten worden aan wat er in de dossiers bij de huisartsen staat over eerder gemelde gezondheidsklachten. Belangrijk onderzoek, maar de betreffende data zullen, vanwege de kleine omvang van de gemiddelde huisartsenpraktijk, buiten de werking van de EHDS vallen. In de nationale wetgeving kunnen zulke micro-datahouders daarom verplicht worden om toch data aan te leveren aan een dataverzamelaar; bijvoorbeeld een Nivel, of een IPCI, waardoor deze data alsnog op een veilige en efficiënte manier beschikbaar komen voor belangrijk onderzoek. Hetzelfde geldt voor data van bijvoorbeeld tandartsen, fysiotherapeuten of diëtisten.

Voor vertrouwen - zoals bij diabetes

Het derde nut van de dataverzamelaars, is het vergroten van het vertrouwen in het systeem. Bijvoorbeeld diabetespatiënten kunnen zich zorgen maken om hun privacy, als commerciële ondernemingen direct toegang zouden hebben tot hun data. Zij kunnen vanwege die (heel begrijpelijke) zorg, de beschikbaarheid van hun data dus gaan tegenhouden. Maar stel nu dat we in Nederlandse wetgeving regelen dat de real-time metingen beschikbaar worden gemaakt aan de Diabetesvereniging, waarbij die vereniging (met hulp van bijvoorbeeld Zorginstituut Nederland) deze data beheert, dan zouden waarschijnlijk veel minder patiënten zich hiertegen verzetten. De Diabetesvereniging kan dan de gegevens anonimiseren, of statistische vragen beantwoorden. Als, met hulp van dergelijke organisaties, het vertrouwen in het systeem wordt vergroot, dan zal dat leiden tot een bredere beschikbaarheid van data voor wetenschappelijk onderzoek en het ontwikkelen van nieuwe, nuttige zorgproducten.

Bij lagere wetgeving

Kortom; er zijn allerlei goede redenen om op grote schaal gebruik te maken van de rol van dataverzamelaar; het systeem wordt efficiënter, er komt (op een veilige manier) meer data beschikbaar voor medisch wetenschappelijk onderzoek en bovendien kan dit leiden tot meer vertrouwen van patiënten in het systeem. In de uitvoeringswetgeving van de EHDS kan worden bepaald dat alle dataverzamelaars zullen worden bijgestaan door het Zorginstituut, die immers ook al was aangewezen om toezicht te houden om de kwaliteitsregistraties. De concrete dataverzamelaars moeten natuurlijk niet aangewezen worden in de wet zelf, want als een van hen niet blijkt te functioneren, dan zou het schrappen van een dataverzamelaar langs het Parlement moeten. Dat duurt te lang. De Minister van VWS moet daarom (onder toezicht van het Parlement) dataverzamelaars kunnen aanwijzen. Het lijkt me nuttig als we in Nederland op congressen eens grondig gaan bespreken hoe we door gebruik van de rol van dataverzamelaar, het EHDS-systeem optimaal kunnen inrichten.

Het vrije verkeer van Zorg ICT

De Digitale Omnibus en het arrest Scania

Doet de concept-Digitale Omnibus het Scania-arrest teniet? Een nauwkeurige lezing wijst anders: de Commissie bakent de reikwijdte af, maar schrapt het arrest niet.

Wie mag er in de EHDS-Raad?

De EHDS-Raad is opgericht. Maar wie mag namens Nederland zitting nemen? Antoinette Vlieger analyseert de voorwaarden — en de onduidelijkheden in de verordening.

Het al bestaande vrije verkeer van gezondheidsgegevens

Posted on 2 juni 202520 april 2026 by Antoinette

Het (al bestaande) vrije verkeer van gezondheidsgegevens

Mijn data in mijn land?

In de discussies over het hergebruik van gezondheidsgegevens, wordt vaak gepraat over landsgrenzen. Dit secundaire gebruik is iets waarbij de juiste balans moet worden gevonden tussen enerzijds privacy en anderzijds het belang van bijvoorbeeld wetenschappelijk onderzoek of het kunnen toetsen of bepaald beleid werkt. De privacy-aanhangers vinden veelal dat bij hergebruik “onze” data de grens niet over mogen, of dat je in elk geval in het Nationaal Zeggenschapsregister moet kunnen aangeven dat dit met “jouw” data niet mag. Wetenschappers stellen daartegenover dat bijvoorbeeld bij zeldzame ziektes, ze hun werk eigenlijk alleen goed kunnen doen als data uit verschillende landen kunnen worden gebruikt. Daarom verwelkomen ze de EHDS, waarin onder andere staat dat ze data uit heel Europa zullen kunnen opvragen. Wat beide partijen over het hoofd zien, is dat er allang binnen de EU een vrij verkeer van gezondheidsdata bestaat.

Europees recht over data

Een van de doelstellingen van de EHDS is: het vrije verkeer van gezondheidsgegevens ondersteunen. Er staat “ondersteunen” want dit vrije verkeer is er al. Volkomen onopgemerkt, is hetgeen bepaald is in artikel 1 van de AVG: “Het vrije verkeer van persoonsgegevens in de Unie wordt noch beperkt noch verboden om redenen die verband houden met de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens.” De AVG is alleen van toepassing op persoonsgegevens (waarbij men redelijkerwijs kan achterhalen over welke personen het gaat). Daarom bestaat hiernaast de volstrekt onbekende Verordening 2018/1807 betreffende “het vrije verkeer van niet-persoonsgebonden gegevens in de Europese Unie.” De Open Datarichtlijn 2019/1024 bepaalt verder: “De voorwaarden voor het hergebruik van documenten mogen niet discriminerend zijn voor vergelijkbare categorieën van hergebruik, met inbegrip van hergebruik over de landsgrenzen heen.”

Wetenschappers kunnen dit nu al gebruiken

Het vrije verkeer van diensten en goederen in de EU ontstond in 1993, met de invoering van de interne markt. Al snel daarna realiseerde men zich dat de interne markt niet mogelijk was zonder ook een vrij verkeer van data. Gegevensbescherming kan prima in de wet van een losse lidstaat geregeld worden, maar voor het vrije verkeer was het harmoniseren (gelijktrekken) van wetgeving nodig. Juist het vrije verkeer van data was dus een belangrijk doel van de AVG, vandaar dat het in artikel 1 staat. Dit alles houdt in dat men ook nu al rechtstreeks data kan aanvragen bij bijvoorbeeld FinData. Dit verzoek mag niet anders behandeld worden dan het verzoek van Finse onderzoekers, want er geldt bovendien een discriminatieverbod tussen Europeanen. Er mag dus bij een aanvraag geen onderscheid gemaakt worden tussen Nederlandse of Finse wetenschappers. De EHDS maakt het straks mogelijk dat men met een enkele aanvraag bij de Nederlandse HDAB data opvraagt uit heel Europa. Maar het zou goed zijn als wetenschappers en statistici zouden weten dat het ook nu al verboden is om data bij een binnengrens (een grens tussen EU-landen) tegen te houden. Zij kunnen dus per direct in heel Europa verzoeken indienen om met gezondheidsdata te werken.

Zeggenschap hetzelfde voor de hele EU

En patiënten kunnen straks via een Nationaal Zeggenschapsregister bezwaar maken tegen bepaald hergebruik van data die over hen gaan. Het Ministerie van VWS moet nu uitdokteren hoe dit register er precies uit gaat zien. Maar het is dus op grond van Europees recht verboden om dit register zo in te richten dat Nederlandse wetenschappers wel kunnen werken met “onze” data, maar Belgische wetenschappers niet. Als je bedenkt dat die wetenschappers proberen om een medicijn te vinden tegen bijvoorbeeld kanker, een medicijn dat vervolgens internationaal beschikbaar zal komen, dan is het bijzonder logisch dat een wetgever ervoor zorgt dat elke wetenschapper in de EU toegang krijgt tot data, en niet alleen die van onze eigen academische ziekenhuizen. Overigens mogen op grond van de AVG data nu ook al stromen naar landen ten aanzien waarvan een adequaatheidsbesluit is genomen door de EU. Dat houdt in dat men in Brussel vindt dat de privacy afdoende beschermd wordt in bijvoorbeeld Japan. Landen als Japan kunnen zich op termijn aansluiten bij de EHDS, maar omdat ze geen onderdeel zijn van de EU, mag er wel in het Nationale Zeggenschapsregister worden gevraagd of je er bezwaar tegen hebt dat data over jou ook stromen richting dergelijke niet-EU landen.

Dus het BSN mag ook niet tegengehouden worden

Nota bene: dit vrije verkeer van data was dus bedoeld om het vrije verkeer van goederen en diensten binnen de EU te ondersteunen. En de gedachte daarvan was; hoe groter de markt, hoe meer concurrentie, wat zal leiden tot hogere kwaliteit tegen lagere grenzen. Brussel wil dat een goede wijnboer in Italië rechtstreeks kan verkopen aan mensen in Wassenaar. Op gelijke wijze moet een goede radioloog rechtstreeks MRI’s in Griekenland kunnen beoordelen. Daardoor komt in Europa betere zorg beschikbaar tegen een lagere prijs. Het dataverkeer dat daaronder ligt, mag zoiets niet in de weg staan. In Nederland zijn er mensen die denken dat het BSN niet over de grens gebruikt mag worden, omdat er nergens in de wet staat dat dit mag. Maar dat lijkt mij dus typisch iets dat, als ons Nederlandse recht dat inderdaad zou meebrengen, onverbindend is op grond van artikel 1 AVG. Persoonsgegevens mogen niet worden tegengehouden aan een EU binnengrens en dat geldt ook voor het BSN.

Het vrije verkeer van Zorg ICT

De Digitale Omnibus en het arrest Scania

Doet de concept-Digitale Omnibus het Scania-arrest teniet? Een nauwkeurige lezing wijst anders: de Commissie bakent de reikwijdte af, maar schrapt het arrest niet.

Wie mag er in de EHDS-Raad?

De EHDS-Raad is opgericht. Maar wie mag namens Nederland zitting nemen? Antoinette Vlieger analyseert de voorwaarden — en de onduidelijkheden in de verordening.

Zeggenschap over gezondheidsgegevens onder de EHDS

Posted on 2 juni 202520 april 2026 by Antoinette

Zeggenschap over gezondheidsgegevens onder de EHDS

Niemand is eigenaar van data

De European Health Data Space zal grote veranderingen met zich brengen ten aanzien van de zeggenschap van patiënten over het hergebruik van gezondheidsgegevens. Voor een goed begrip van dit stukje, worden eerst enige termen uitgelegd. Hoewel gezondheidsdata over een patiënt gaan, zijn ze niet van de patiënt. Ook het ziekenhuis is geen eigenaar van de data. Gezondheidsdata zijn feiten en zoals men niet eigenaar kan zijn van ‘de zon is heet’ zo kan men ook geen eigenaar zijn van ‘de patiënt heeft koorts.’ De patiënt heeft dus geen vermogensrecht op de data. Hij heeft wel een recht op bescherming van gegevens die over hem gaan, vanwege zijn recht op privacy. De patiënt kan op verschillende manieren deze rechten zelf uitoefenen (naast het optreden van de Autoriteit Persoonsgegevens). Enerzijds heeft hij bijvoorbeeld het recht om in te zien welke data iemand over hem heeft en kan hij deze data zo nodig laten corrigeren. Anderzijds kan er sprake zijn van zeggenschap voorafgaand aan eventueel gebruik van data over patiënten.

Drie vormen van zeggenschap

Daar zijn drie vormen van. De eerste vorm is dat er geen zeggenschap is. Dit is bijvoorbeeld het geval bij de data die het CBS verzamelt. Dergelijke data betreffen grote hoeveelheden mensen en bovendien zijn de data essentieel voor de overheid om haar werk te kunnen doen. Er is dan geen zeggenschap, vanuit de gedachte dat elke burger een goed functionerende overheid wil, en dat is alleen mogelijk met gebruik van data. De tweede mogelijkheid is opt-out zeggenschap (er mag geen bezwaar zijn gemaakt) en de derde mogelijkheid is opt-in zeggenschap (er moet vooraf toestemming worden gevraagd). Het Nederlands recht kent nu een opt-in regeling, tenzij dit onredelijk is. Toestemming betekent dus een opt-in en dit is een sub-vorm van zeggenschap. De EHDS schrijft expliciet voor, dat de opt-in wordt afgeschaft (al is er discussie over de reikwijdte hiervan en zijn er uitzonderingen). Ten aanzien van hergebruik zal als zeggenschapsvorm voortaan de opt-out gelden, tenzij de nationale overheid (rechtmatig) heeft bepaald dat er geen zeggenschap kan worden uitgeoefend over specifieke datastromen.

Het nationale zeggenschapsregister

Ten aanzien van sommige gevoelige data, mag in nationale wetgeving wel eventueel gekozen worden voor een opt-in. Dat is onder meer het geval bij genetische gegevens, data uit wellness-apps en uit lichaamsmateriaal. Die Nederlandse wetgeving moet bovendien duidelijk maken hoe de zeggenschap precies kan worden uitgeoefend. Er wordt nu in Nederland gesproken over een Nationaal Zeggenschapsregister, waarin men bezwaar kan maken tegen bepaalde vormen van hergebruik (en waarin dus eventueel de toestemming voor gevoelige gegevens kan worden verleend). Deze uitoefening van zeggenschap geldt dan ten aanzien van alle daarna te verlenen datavergunningen, tot het moment dat het bezwaar eventueel wordt ingetrokken. Het bezwaar werkt dus niet terug; is eenmaal een vergunning afgegeven, dan mag men die data tot het einde van het onderzoek gebruiken. Hoe een en ander exact eruit gaat zien, is voor individuele wetenschappers niet relevant. Wel relevant is de vraag of het register niet dusdanig wordt ingericht, dat ten aanzien van bepaalde data de opt-out heel vaak wordt uitgeoefend of de opt-in juist niet, want dit zou de databeschikbaarheid voor een bepaalde discipline binnen de medische wetenschap kunnen bemoeilijken.

De AP, het vrije verkeer van data en ethiek

Tot slot drie opmerkingen: de EHDS is bedoeld om de juiste balans te vinden tussen bescherming van de privacy en het nut van databeschikbaarheid. De AVG blijft gewoon gelden en de Autoriteit Persoonsgegevens behoudt al haar handhavende taken ten aanzien van de privacy. De HDAB is dus het nieuw op te richten overheidsorgaan, dat als taak het tegenovergestelde belang dient, de databeschikbaarheid. Vanuit die taakverdeling is het logisch, dat het niet de HDAB maar de AP is, die handhavend optreedt als het uitoefenen van zeggenschap in het Nationaal Zeggenschapsregister niet op de goede manier wordt nageleefd. Daarnaast; er zijn mensen die vinden dat je in het Nationaal Zeggenschapsregister moet kunnen aangeven dat je data de grens niet over mogen, maar dat lijkt me in strijd met het Europese recht over het vrije verkeer van data. Tot slot: er zijn partijen die vinden dat de opt-out onethisch is, dat altijd om toestemming moet worden gevraagd. Aan hen geef ik graag mee dat de EHDS een Europese wet is, die is vastgesteld door het democratisch gekozen Europese Parlement. Ook de huidige Nederlandse regering heeft in het regeerakkoord vastgelegd dat een opt-out voldoende is. Daaruit lijkt te kunnen worden geconcludeerd dat de meerderheid van de samenleving de opt-out niet onethisch vindt.

Het vrije verkeer van Zorg ICT

De Digitale Omnibus en het arrest Scania

Doet de concept-Digitale Omnibus het Scania-arrest teniet? Een nauwkeurige lezing wijst anders: de Commissie bakent de reikwijdte af, maar schrapt het arrest niet.

Wie mag er in de EHDS-Raad?

De EHDS-Raad is opgericht. Maar wie mag namens Nederland zitting nemen? Antoinette Vlieger analyseert de voorwaarden — en de onduidelijkheden in de verordening.

De EHDS-request en de post-covid rechtsstaat

Posted on 1 juni 202520 april 2026 by Antoinette

De EHDS-request en de post-Covid rechtsstaat

De EHDS wordt door mensen die de overheid wantrouwen, beschouwd als een manipulatieve truc : De corona-pandemie zou worden aangegrepen om alles over ons burgers te weten te komen. Het frappante is dat ook deze achterdochtige mensen enorm geholpen gaan worden door de EHDS, ook in tijden van een pandemie, en ook als ze niet zoveel snappen van statistiek. De EHDS kent namelijk behalve een data-vergunning, ook een request: een verzoek om een antwoord op een statistische vraag. Iedereen kan zoiets aanvragen en dat is dus geweldig voor onze rechtsstaat, want hiermee kunnen burgers zelfstandig gaan controleren of bepaalde beleidskeuzes een goed idee waren.

Geen data naar onderzoeker, maar antwoord naar vrager

Naast de gezondheidsgegevens-vergunning, kent de EHDS ook een request. Dit is in de Nederlandse versie vertaald als verzoek. Wellicht was het duidelijker geweest als dit was vertaald als EHDS-vraag. Het resultaat is namelijk gewoon dat men een antwoord krijgt. De EHDS bepaalt dat bij een vergunningsaanvraag die wellicht niet kan worden toegewezen, altijd moet worden nagegaan of deze kan worden afgedaan als vraag. Men kan ook zelf besluiten om geen aanvraag voor een vergunning, maar een vraag in te dienen. De mogelijkheid hangt samen met de privacy, die zoveel mogelijk dient te worden beschermd. De idee is om -waar redelijkerwijs mogelijk- geen data aan onderzoekers beschikbaar te stellen, maar uitsluitend het antwoord op hun vraag te geven. Er bestaat nu juridisch geen enkele manier om een dergelijk antwoord op een vraag af te dwingen. Men kan onder de Wet Open Overheid of de Wet Hergebruik Overheidsinformatie wel elektronische gegevens opvragen, maar niet een analyse daarvan. Onder de EHDS echter kun je dus vragen of iemand een bepaalde berekening voor jou uitvoert. Potentiële kennis wordt daarmee veel breder beschikbaar. De EHDS-vraag moet daarom gezien worden als een grote vooruitgang (hoewel het uiteraard niet gratis zal zijn).

Wie pakt dit op? Vrije markt tegen wantrouwen

Opvallend genoeg is men helemaal niet bezig met de vraag wie dit gaat uitvoeren in Nederland. Het besluit op een dergelijke EHDS-vraag is namelijk een bestuursrechtelijk besluit dat de Health Data Access Body zelf zal moeten nemen. Maar het genereren van het inhoudelijke antwoord (het uitvoeren van de analyse) is een feitelijke handeling, die ook uitbesteed kan worden. De HDAB kan dit dus uitbesteden aan een enkele overheidsinstantie die ervaring heeft met het analyseren van gezondheidsdata, zoals het CBS of het RIVM. Maar er kan ook voor gekozen worden om enige marktwerking toe te laten. De vragen zullen op grond van de EHDS wel beantwoord moeten worden in een beveiligde verwerkingsomgeving. Maar ook alle betrouwbare gegevenshouders (wat onder meer de academische ziekenhuizen waarschijnlijk zullen zijn,) beschikken over een dergelijke BVO. Enige marktwerking is over het algemeen gunstig voor prijs en kwaliteit, dus het zou gunstig zijn als de HDAB iedereen met (toegang tot) een BVO de gelegenheid geeft om te offreren voor het beantwoorden van EHDS-vragen. Liefst geeft men ook de aanvrager de mogelijkheid om te kiezen wie het antwoord op zijn vraag zal genereren. Dat zou goed zijn om achterdocht in de samenleving tegen te gaan. Zo kan de EHDS, die dus gezien wordt als truc van de boze overheid, juist zorgen dat dit wantrouwen afneemt.

Long live AI, says AI!

Many people are afraid that their jobs are at risk due to AI. I decided to turn the question around and asked Gemini: which jobs are you going to take over, in a way that make us happy? Here is her own optimistic answer.

Lang leve AI, zegt AI!

Veel mensen zijn bang dat hun baan op de tocht staat door AI. Ik besloot de vraag om te draaien en vroeg Gemini: welke klussen ga jij overnemen waar we blij van worden? Zie hier haar eigen, optimistische antwoord:

The EHDS, PFAS and marriage counseling

The EHDS has been in effect for a year. From PFAS to chronic complaints: this is how the reuse of health data works in practice.

Wanneer kan je medische gedragsregels negeren?

Posted on 1 juni 202520 april 2026 by Antoinette

Wanneer kun je medische gedragsregels negeren?

Op Linked-in klagen artsen en medisch-onderzoekers regelmatig over onwerkbare regels. Bijvoorbeeld dat je als radioloog, voor het gebruik van een door iemand anders gemaakte MRI-scan toestemming moet vragen van de patiënt, en dat die toestemming dan maar 72 uur geldig zou zijn. Mijn antwoord daarop is; als het niet in de wet staat, dan kan je het wellicht negeren. Dan krijg ik een stortvloed aan reacties. Tandartsen en pathologen leggen mij uit dat het gedragsregels zijn die ook de IGJ hanteert en die “dus” niet genegeerd kunnen worden. Aan hen bij deze de uitleg waarom en wanneer bepaalde (maar niet alle) gedragsregels weldegelijk genegeerd kunnen worden.

Soft law is geen recht

Gedragsregels zijn soft law en anders dan de naam doet vermoeden, is dat (net als ethiek) geen recht. Het zijn regels volgend uit ethiek, onderling afgestemde gedragingen, of contractuele afspraken waar men zich aan houdt, maar het is geen recht. Soft law wordt onder meer gehanteerd, als men geen wetten kan uitvaardigen of handhaven, zoals in internationaal recht. Ook wordt soft law gehanteerd als men geen formele wet wil uitvaardigen, omdat het flexibeler is en men bijvoorbeeld wil afwachten hoe een nieuw maatschappelijk fenomeen zich gaat ontwikkelen (zoals bij franchise). Ook kiest men soft law als de sector zelf veel expertise en goede bedoelingen heeft. De sector wordt dan gevraagd om regels op te stellen. Soft law is voor dit alles fantastisch. Maar met soft law kun je niet om de regel heen (artikel 5:4 Algemene Wet Bestuurecht) die bepaalt dat de bevoegdheid tot het opleggen van een boete slechts bestaat voor zover zij bij of krachtens de wet is verleend.

Er moet een open norm zijn

Maar binnen de gezondheidszorg wordt soft law behandeld als onderdeel van het recht. Soms is dat juist, maar soms ook niet. Soft law kan uitsluitend recht worden als er een open norm in de wet staat. Een voorbeeld van een dergelijke open norm is: “De zorgaanbieder biedt goede zorg aan.” Wat is dan goede zorg? Dat houdt iets anders in voor een kinderpsychiater dan voor een hartchirurg, en het is anders in 1995 dan in 2025. En dus zijn er allerlei gedragsregels en protocollen aan de hand waarvan (tucht)rechters invulling geven aan het begrip goede zorg. Maar bijvoorbeeld de Coreon Gedragscode vereist dat een medisch-ethische commissie wordt ingeschakeld bij het vermoeden dat een onderzoek vanuit privacy oogpunt vragen kan oproepen, wat zo is als zonder toestemming persoonsgegevens worden gebruikt.” Er staat nergens in de wet een open norm waar dit uit zou kunnen volgen en dus is deze regel geen onderdeel van het recht.

Er moet een rechter zijn die dit zo doet

Het tweede dat nodig is om van soft law recht te maken, is een (tucht)rechter die daadwerkelijk die gedragsregels gebruikt om invulling te geven aan de open norm. Denk aan de Trias Politica: de wetgever kan wetten schrijven, de rechtsprekende macht zegt hoe dit er in praktijk precies uitziet. De executieve macht voert uit, maar kan geen regels schrijven. Bijvoorbeeld de politie kan niet zelf verzinnen dat kinderen op fatbikes voortaan boetes krijgen. En hoe de AVG gelezen moeten worden, daar kan de Autoriteit Persoonsgegevens wel wat van vinden, maar meer dan dat is het niet. De Europese rechter zei onlangs over de European Data Protection Board precies dat: een “opinion” is alleen maar een mening. Ook de IGJ heeft dus alleen maar een mening, en kan geen regels schrijven. De IGJ kan inderdaad boetes opleggen aan de hand van gedragsregels, maar het is vervolgens aan de rechtsprekende macht om te controleren of die boete terecht is, of dat deze vernietigd moet worden.

En het moet voldoen aan het bestuursrecht

En bij die toets, kijkt de rechter dus of er sowieso sprake is van een open norm, die met een gedragsregel ingevuld zou kunnen worden. Bovendien toetst die rechter of voldaan is aan alle bestuursrechtelijk beginselen, zoals het rechtszekerheidsbeginsel en het legaliteitsbeginsel. Of wat dacht u van de regel: geen straf zonder schuld? Was er bovendien geen sprake van een noodgeval of een uitzondering? Aan dat alles toetst een rechter, maar dan moeten jullie artsen en onderzoekers het natuurlijk wel aan die rechter voorleggen. Hij kan niet uit zichzelf aan het werk. Dus als jullie van mening zijn dat de IGJ of de AP te ver gaat, gooi dan gewoon een keer je kont tegen de krib en ga in beroep bij de bestuursrechter. Die is namelijk bedoeld om jou en de rechtsstaat te beschermen. Let bij de beoordeling van de vraag of een gedragsregel misschien onverbindend zou kunnen zijn, goed op de vraag of we het hebben over de WGBO of over het bestuursrecht. De wgbo is een onderdeel van het contractenrecht en dat is inhoudelijk zo zacht als boter: daar geldt altijd de aanvullende werking van de redelijkheid en billijkheid, wat betekent dat er dus altijd een open norm is, waarlangs soft law onderdeel kan zijn geworden van het recht. Maar het in bestuursrecht (alles wat kan leiden tot een boete) geldt dus het legaliteitsbeginsel en is er daarom veel minder ruimte voor soft law.

En zo niet, dan negeer je dit dus.

Kortom: bepaalde gedragsregels of protocollen zijn inderdaad onderdeel van het recht, maar dat geldt niet voor alle gedragsregels. Wanneer moet je als arts of medisch onderzoeker wel een gedragsregel volgen? (i) Als er een open norm in de wet staat, zoals “goed zorgverlener,” wat dus in het contractenrecht veel vaker het geval is dan in het bestuursrecht, (ii) als een (tucht)rechter er daadwerkelijk toe is overgegaan om die gedragsregels te gebruiken om invulling te geven aan de open norm en (iii) als dit alles rechtmatig is, voorspelbaar, en het schenden van de regel bovendien verwijtbaar was en er dus geen noodsituatie o.i.d. was. Is dat alles niet het geval? Negeer de gedragsregel dan, als deze ertoe leidt dat je een minder goede zorgverlener bent. Want daar draait het uiteindelijk natuurlijk om; dat je probeert een goede zorgverlener te zijn.