AVG, doelbinding, wetenschap en corona

Posted on 14 mei 20259 augustus 2025 by admin

AVG, Doelbinding, Wetenschap en Corona

Medisch wetenschappers die data bijeen proberen te krijgen voor (onbetwist nuttig) onderzoek, worden nog weleens geconfronteerd met een weigering vanwege “doelbinding.” Zo was er iemand die data had verzameld voor onderzoek naar onverklaarbare oversterfte na Corona. Toen ze vervolgens diezelfde data wilde gebruiken voor onderzoek naar Long-Covid, werd dat niet toegestaan. Doelbinding! Maar klopt dat wel?

In dat wetsartikel over die grondslagen, staat ook uitgelegd wanneer je net iets anders met die gegevens mag gaan doen; als er een verenigbaar doel is. Netflix heeft bijvoorbeeld de NAW-gegevens van klanten primair verzameld om tegen betaling streaming te leveren. Toch mag het bedrijf die gegevens ook gebruiken om op te treden als er misbruik wordt gemaakt van de abonnementen. Dat hangt voldoende samen met elkaar en klanten kunnen ook redelijkerwijs verwachten dat zoiets gebeurt. Dat is dus “verenigbaar” gebruik van persoonsgegevens. Als daar geen sprake van is, als het onvoldoende samenhangt, dan zijn er drie mogelijkheden: een wet schrijft voor dat het toch mag, je hebt toestemming, of je moet gewoon nieuwe data verzamelen.

Het beginsel van doelbinding is te vinden in de AVG. Daar staat dat (1) persoonsgegevens alleen voor specifieke en rechtmatige doeleinden mogen worden verzameld, en (2) vervolgens niet op een “met die doeleinden onverenigbare wijze” mogen worden gebruikt. Dat tweede is het beginsel van doelbinding en het volgt logischerwijs uit het eerste. Voorschrijven dat je alleen voor specifieke rechtmatige doeleinden data mag verzamelen heeft geen zin, als je er vervolgens totaal iets anders mee mag gaan doen. Of er sprake is van goede “doeleinden” moet getoetst worden aan het artikel van de AVG waarin de “grondslagen” staan. Daar wordt regelmatig nogal moeilijk over gedaan, terwijl het dus gewoon neerkomt op de vraag: heb je een rechtmatig en goed doel om te doen wat je doet.

Dat laatste is natuurlijk een probleem voor wetenschappers. Want als data verzameld zijn om zorg te leveren aan iemand met klachten, dan is dat toch echt iets anders dan het gebruik van die data om te onderzoeken of je met behulp van AI eerder kunt achterhalen wat iemand heeft. Nog verder verwijderd wordt het verband, als je data verzameld hebt om cybercriminelen op te sporen, en vervolgens willen criminologen die data bestuderen om te onderzoeken waarom iemand eigenlijk cybercrimineel wordt. Valt zoiets te voorkomen? Dan is echt geen sprake meer van gebruik dat verband houdt met het eerdere doel, en het is ook geen gebruik dat de betrokkenen redelijkerwijs kunnen verwachten. Toestemming vragen aan die cybercriminelen, is een behoorlijk kansloze missie, maar nieuwe data genereren ook. En dus is er een wet nodig, die bepaalt dat zoiets is toegestaan.

Nu is het mooie dat ze dit in de AVG zelf al hebben opgelost. In het artikel over doelbinding staat direct erachter: de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd. In eenvoudiger bewoordingen: bij wetenschap en statistiek geldt het beginsel van doelbinding gewoon niet.

Dat betekent natuurlijk niet dat álles ineens is toestaan onder het mom van wetenschap, statistiek of archivering. Hoewel er een algemene uitzondering is op het doelbindingsbeginsel ten behoeve van wetenschap, kan een specifiek onderzoek alsnog verboden zijn. Je moet immers ook voldoen aan andere vereisten uit de AVG, zoals dat je voldoende technische en organisatorische maatregelen neemt om de boel te beveiligen; anonimiseren bijvoorbeeld, of pseudonimiseren, of werken in een super-beveiligde verwerkingsomgeving waar je eigenlijk uitsluitend met een koevoet in komt (zoals de criminologen hebben bedacht).

Als de gegevens waar je mee werkt bijzondere persoonsgegevens zijn (wat gezondheidsgegevens dus zijn,) dan moet je bovendien een uitzondering hebben op het verbod die te gebruiken. Dit verbod is eigenlijk gewoon het medisch geheim. Het staat alleen niet in het gezondheidsrecht, maar in de AVG. Het geldt niet voor mensen met een bepaald beroep, maar gewoon voor iedereen, ten aanzien van bepaalde soorten data. Heel handig. Een dergelijke uitzondering op het medisch geheim is: je mag gezondheidsgegevens gebruiken voor medisch wetenschappelijk onderzoek als je om toestemming hebt gevraagd, tenzij dat onredelijk is. Als het gaat om big data onderzoek, dan is dat onredelijk en is toestemming niet vereist.

Dat alles bij elkaar betekent dus: als je big data onderzoek doet naar bijvoorbeeld oversterfte en long-Covid, als de overheid dit financiert omdat het degelijk in elkaar steekt en echt nuttig is, als aan de vereisten is voldaan omdat gewerkt wordt in een zeer goed beveiligde verwerkingsomgeving, dan geldt het beginsel van doelbinding niet. Wat dat betreft heb je dus geen toestemming nodig. Misschien heb je wel nog toestemming nodig om het (universele) medisch geheim te doorbreken, maar dat is een andere kwestie. En daarvoor geldt: die toestemming is niet nodig, als het om zeer veel data gaat. Overigens worden die regels ten aanzien van toestemming anders onder de EHDS. Maar de AVG blijft daarnaast gewoon gelden, en er verandert dus niets aan de regel dat er een algemene uitzondering is op het beginsel van doelbinding ten behoeve van wetenschap en statistiek.

De Wet Zeggenschap Lichaamsmateriaal moet herschreven worden

De EHDS gaat over data en dus niet over lichaamsmateriaal. De concept-Wet Zeggenschap Lichaamsmateriaal gaat over materiaal en dus niet over data. Daarmee zou men dus kunnen denken dat er geen overlap is. Maar als je data uit materiaal haalt, dan doe je en iets met data, en ook iets met materiaal. Daarom bespreek ik hier wat ik vind van de concept-WZL. Spoiler alert: het is echt bagger.

De Health Data Access Body

Het Ministerie van VWS gaat binnenkort bepalen wie de HDAB wordt; bij wie straks vergunningen worden aangevraagd voor nuttig hergebruik van gezondheidsgegevens. Wie kunnen dit worden, wie juist niet? En wat moet deze HDAB allemaal doen?

De EHDS en de Beveiligde VerwerkingsOmgeving

Er moet onder de EHDS worden gewerkt in een Beveiligde VerwerkingsOmgeving (BVO). Wetenschappers krijgen geen data, maar toegang daartoe in een BVO die voldoet aan krachtens de EHDS vastgestelde strenge technische en veiligheidsnormen. Wat houdt dat in? En moet voortaan iedereen in een dergelijke BVO werken? Wordt dat een supercomputer met al onze gezondheidsdata?

Waarom is de EHDS revolutionair?

Posted on 2 april 20259 augustus 2025 by admin

Waarom is de EHDS revolutionair?

Meer data, want veiliger

De EHDS beoogt meer data beschikbaar te maken voor secundair gebruik door het veiliger te maken. De AVG blijft gewoon naast de EHDS gelden. Die privacy-verordening bepaalt reeds dat het gebruik van gezondheidsgegevens (kort samengevat) is toegestaan als er sprake is van een goed doel, als de wet gevolgd wordt en als er voldoende technische en organisatorische maatregelen zijn genomen. De EHDS bepaalt hetzelfde, maar meer in detail: men mag werken met gezondheidsgegevens als dit een nuttig doel heeft, zoals omschreven in de EHDS. Dit wordt getoetst door een nieuw op te richten overheidsorgaan, de Health Data Acces Body (HDAB), die behalve aan de EHDS ook toetst aan de AVG. Vervolgens krijgt men geen data, maar een vergunning om met die data te werken, waarin de exacte voorwaarden staan, zoals het feit dat gewerkt moet worden in een beveiligde verwerkingsomgeving (BVO). Men krijgt dus geen data maar toegang ertoe. De HDAB controleert periodiek of de BVO’s inderdaad (nog) veilig genoeg zijn.

Een recht op data

Tot zover lijkt er weinig nieuws te zijn; er moet een goed doel zijn, het moet rechtmatig gebeuren en er moet veilig gewerkt worden. Toch zijn de effecten van de EHDS, doordat een HDAB en een datavergunning in het leven worden geroepen, echt baanbrekend of revolutionair te noemen. Ten eerste omdat de data veel breder gedeeld moeten worden: als de HDAB bepaald heeft dat een wetenschapper met data mag werken (zoals beschreven in de vergunning), dan is de houder van de betreffende data verplicht om deze daadwerkelijk beschikbaar te maken. We hebben reeds allerlei wetten waarin staat dat houders verplicht zijn om data beschikbaar te stellen aan de overheid zelf, zoals in de CBS-wet en de Wet op het RIVM. Maar nu ontstaat er dus een plicht om data beschikbaar te maken aan vergunningshouders, zijnde niet-overheden. Als nu een academisch ziekenhuis data wil gebruiken van een verpleeghuis, dan kan dat verpleeghuis dit weigeren met een beroep op de AVG. Of dat beroep en die weigering terecht zijn, kan nooit ter toetsing voorgelegd worden aan een rechter, want het delen van data door het verpleeghuis is een gunst. Nu wordt dit dus een plicht. De keerzijde hiervan is dat het academische ziekenhuis feitelijk een recht op (het werken met) data krijgt. Dit staat niet letterlijk in de EHDS. Echter, een besluit op een vergunningsaanvraag, is een bestuursrechtelijk besluit. Als de vergunning geweigerd wordt, dan kan men bezwaar aantekenen (bij de DHAB zelf) en daarna zo nodig in beroep bij de bestuursrechter. Als die constateert dat het academisch ziekenhuis aan alle voorwaarden voor het verkrijgen van de vergunning voldoet, dan krijgt het die vergunning. Vergelijk het met een vergunning voor een dakkapel; als men aan alle voorwaarden voldoet, kan die niet meer zomaar geweigerd worden. Door een data-vergunning in het leven te roepen, creëert de EHDS dus indirect een recht op data.

Vrije wetenschap

Bovendien heeft in beginsel iedereen het recht om met gezondheidsdata te werken. Iedereen kan een vergunning aanvragen; elke natuurlijke en elke rechtspersoon in de hele Europese Unie. Wel is het voor het verkrijgen van een dergelijke vergunning nodig dat je een in de EHDS erkend doel nastreeft, maar er wordt dus geen onderscheid gemaakt tussen bijvoorbeeld citizen scientists en wetenschappers van academische instellingen. Uiteraard zal wel getoetst worden of de aanvrager gekwalificeerd is om de beoogde doelen te bereiken en dus beschikt over passende expertise. Maar mensen als Albert Einstein, die werken bij een octrooi-bureau, krijgen onder de EHDS dus meer mogelijkheden om te laten zien wat ze in huis hebben. Gevaarlijk is dat alles niet, omdat de HDAB de data zoveel mogelijk zal anonimiseren of pseudonimiseren, en niet overdraagt maar beschikbaar stelt in een beveiligde verwerkingsomgeving, waar geen data uit kunnen worden gehaald, alleen conclusies.

Verplaatsing van medisch geheim bij secundair gebruik

Het volgende frappante feit is dat de bevoegdheid om te beslissen over het secundaire gebruik van gezondheidsgegevens, wordt weggehaald bij individuele zorgverleners, en wordt neergelegd bij de HDAB, de nieuw op te richten overheidsinstantie. De EHDS wordt daarom in de medische sector wel gezien als een zorgwekkende inperking van het medisch geheim. Het kan wat mij betreft beter gezien worden als een gedeeltelijke verplaatsing van het medisch geheim, die bovendien niet onlogisch is. Bedenk dat het medisch geheim is ingevoerd door artsen zelf, in een tijd dat de rechtsstaat nog niet bestond; 2000 jaar geleden. Dat was natuurlijk fantastisch, maar inmiddels hebben we wél een goed functionerende rechtsstaat, en een overheidsorgaan dat toeziet op de bescherming van privacy. Vroeger was er geen keuze waar de besluitvorming over secundair gebruik van data neergelegd moest worden, maar die keuze is er nu wel. En dan is een onafhankelijke overheidsinstantie een logischer keuze dan de artsen zelf. De meeste artsen zijn natuurlijk integer en welwillend, maar in elke beroepsgroep zitten helaas rotte appels. Een slechte arts heeft een persoonlijk belang bij het medisch geheim. Een onafhankelijke overheidsinstantie heeft dat niet. Er staat expliciet in de EHDS dat ervoor gewaakt moet worden dat de HDAB onafhankelijk is en blijft; er mag geen sprake zijn van tegenstrijdige belangen. Die zijn er wel bij de individuele zorgverlener. Bovendien kunnen we van zorgverleners niet verwachten dat ze allemaal de AVG kennen, en van een HDAB wel. Het belang van de privacy van de individuele patiënt botst ten slotte met het belang van medische vooruitgang van de samenleving als geheel; het belang van ander patiënten en van toekomstige generaties bij het kunnen onderzoeken en vinden van nieuwe behandelmethodes. Een onafhankelijke instantie is in een betere positie om de individuele versus collectieve belangen, de huidige versus toekomstige belangen tegen elkaar af te wegen. Het medisch geheim wordt, ten aanzien van secundair gebruik van data dus niet zozeer ingeperkt, als wel verplaatst door de EHDS. En dat is in onze behoorlijk goed functionerende rechtsstaat, juridisch gezien best een logische keuze.

De Wet Zeggenschap Lichaamsmateriaal moet herschreven worden

De Health Data Access Body

De EHDS en de Beveiligde VerwerkingsOmgeving

Wie moet aanleveren aan de HDAB?

Posted on 2 april 20259 augustus 2025 by admin

Wie moet aanleveren aan de HDAB?

Acht stappen

EHDS-data moeten worden aangeleverd aan de Health Data Access Body als sprake is van een “houder” in de zin van de EHDS. Nu is dat een ingewikkeld geformuleerde kwestie en daarom moet ik hier een expliciet voorbehoud maken; ik doe een poging het te begrijpen en uit te leggen, meer dan dat is nu niet mogelijk. Alternatieve interpretaties heb ik evenwel (nog) niet kunnen vinden. Om te bepalen of data door iemand onder de EHDS moeten worden aangeleverd, moeten naar mijn idee acht stappen worden doorlopen, waarvan onderstaande mij de meest logische volgorde leek:

Zijn de betreffende data EHDS-data?
Valt dit binnen de werkingssfeer van het EU recht?
Uitzondering voor rechtspraak, strafrecht en veiligheid?
De micro-uitzondering?
Als sprake is van persoonsgegevens: is de houder verwerkingsverantwoordelijke?
Beschikt men rechtmatig over de data?
Kan men feitelijk beschikken over de data?
Valt men ook verder binnen de definitie van een houder?

Welke data sowieso niet

Allereerst moet de vraag worden beantwoord, of sowieso sprake is van EHDS-data. Als dat niet het geval is, dan is de EHDS niet van toepassing. Dat is ook niet het geval als iets buiten de werkingssfeer valt van het Europese recht. Nu is dat rijkelijk onduidelijk. In de AVG staat eenzelfde bepaling. Die onduidelijkheid is weggenomen doordat er in de (Nederlandse) Uitvoeringswet-AVG is bepaald, dat de AVG ook geldt buiten de werkingssfeer van de EU. Laten we hopen dat voor de EHDS hetzelfde wordt gedaan, dan is dat maar duidelijk. Voor zover de EHDS-data in handen zijn van de rechterlijke macht, of overheden die zich bezighouden met strafrecht of openbare veiligheid, zijn de data ook niet op te vragen. De volgende vraag die moet worden beantwoord, is of de houder een beroep kan doen op de micro-uitzondering; er hoeven geen data te worden aangeleverd door partijen die daar te klein voor zijn. Brussel meende dat dit een te zware administratieve belasting zou vormen. Er staat daarom in de EHDS dat niet hoeft te worden voldaan aan deze verordening door natuurlijke personen, door individuele wetenschappers, of door organisaties die bestaan uit minder dan tien man en die een omzet draaien van minder dat 2 Mio. Echter, soms zijn data die cruciaal zijn voor medisch-wetenschappelijk onderzoek, nu juist in handen van dergelijke kleine partijen. In de uitvoeringswetgeving die in Nederland nog zal worden geschreven, kan daarom opgenomen worden dat dergelijke micro-data(houders) alsnog worden meegenomen onder het bereik van de EHDS.

Wel verantwoordelijken, niet verwerkers

Vervolgens moet worden vastgesteld of de opgevraagde data persoonsgegevens zijn in de zin van de AVG. Dat zijn gegevens over personen die identificeerbaar zijn; de AVG is pas van toepassing als redelijkerwijs kan worden achterhaald over welke personen de gegevens gaan, want alleen dan is de privacy in het geding. Om te bepalen of een natuurlijke persoon identificeerbaar is (AVG overweging 26): “moet rekening worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren, bijvoorbeeld selectietechnieken.” Dit is een relatief criterium: wat voor mij geen persoonsgegevens zijn (zoals een lijstje met BSN nummers), zijn dat voor het CBS vaak wel. Het is bovendien een context en tijd gerelateerd criterium. Gegevens die voor mijzelf geen persoonsgegevens zijn, zijn dat opeens wel (ook voor mij dus) als ik ze overdraag aan iemand voor wie het wel persoonsgegevens zijn. Als (en alleen als) er sprake blijkt te zijn van persoonsgegevens, dan moet in het kader van de EHDS de vraag worden gesteld of de houder van die data verwerkingsverantwoordelijke is, of uitsluitend een verwerker. Een verwerker is iemand die data verwerkt in opdracht van een verantwoordelijke, ook wel (joint)-controller genoemd. De term verantwoordelijke is niet een moreel begrip (iemand die zich verantwoordelijk zou moeten voelen), maar een feitelijk begrip (degene die bepaalt wat er met persoonsgegevens gedaan wordt). Het gaat om degene die daadwerkelijk beslissingen neemt over wat er met data gedaan wordt en waarom. Bijvoorbeeld een boekhouder, ingeschakeld door een diëtiste, is uitsluitend verwerker. De diëtiste is de verantwoordelijke die de besluiten neemt en die daarom verplicht is om zich te houden aan de AVG, en binnenkort dus ook aan de EHDS. De controller moet beide wetten naleven, de verwerker laat dat over aan zijn opdrachtgever. Een administratiekantoor van een zorgverlener, hoeft dus geen gezondheidsgegevens beschikbaar te maken voor (o.a.) onderzoek. Let echter op; dit onderscheid geldt uitsluitend als het om persoonsgegevens gaat. Ten aanzien van geanonimiseerde data, kan iedereen een verzoek van de HDAB krijgen, zo lijkt. Overigens moet men in gedachten houden dat de EHDS-verplichtingen dus rusten op alle AVG-verantwoordelijken en niet alleen op de partijen waar de data zijn ontstaan. Dus als een universiteit data heeft gekregen van een ziekenhuis om te analyseren, dan rust de EHDS-verplichting vervolgens op allebei. Als men in een project samenwerkt als joint-controllers ook. Academische instellingen kunnen dus de vruchten gaan plukken van deze verordening, maar krijgen ook verplichtingen om zelf data beschikbaar te stellen.

Rechtmatigheidstoets

Check vervolgens aan de twee eisen die in de EHDS onder de definitie van houder staan. Samengevat komen die eisen erop neer dat men het recht (of de plicht) moet hebben om met de betreffende data te werken. De HDAB kan dus niet data opvragen die eigenlijk niet mogen bestaan, omdat ze bijvoorbeeld al lang geleden vernietigd hadden moeten worden. De andere eis is dat men de data feitelijk kan aanleveren. Een overheid mag immers nooit iemand een plicht opleggen waar hij niet aan kan voldoen. .

Tot slot: de vage definitie

De laatste vraag is of men een houder is in de zin van de EHDS: “een natuurlijke of rechtspersoon, overheidsinstantie, agentschap of ander orgaan in de gezondheidszorg- of de zorgsector, met inbegrip van, indien noodzakelijk, vergoedingsdiensten, alsook elke natuurlijke of rechtspersoon die producten of diensten ontwikkelt die bestemd zijn voor de gezondheids-, de gezondheidszorg- of de zorgsector, die wellnessapps ontwikkelt of vervaardigt, die wetenschappelijk onderzoek verricht in verband met de gezondheidszorg- of de zorgsector of optreedt als sterfteregister, alsook instellingen, organen of instanties van de Unie.” Het belangrijkste is dat het gaat om: “elke natuurlijke of rechtspersoon of overheidsinstantie (…) in de gezondheidszorg of de zorgsector.” Het gaat dus niet alleen om overheid, niet alleen om ondernemingen, maar ook om (grotere) maatschappen van artsen. Bovendien gaat het niet uitsluitend om datahouders in de gezondheidszorg, maar ook die in de zorg. De zorgsector is daarbij gedefinieerd als “elke professionele dienst (…) met inbegrip van preventieve en ondersteunende maatregelen, om essentiële activiteiten van het dagelijks leven uit te voeren.” Dus ook de gegevens van kinderdagverblijven, UvA student-begeleiders, of coaches van asielzoekers, lijken hieronder te vallen (maar de Europese rechters zullen dat t.z.t. bepalen). Bovendien zijn inbegrepen ieder “die producten of diensten ontwikkelt die bedoeld zijn voor de gezondheidszorg of de zorgsector.” Dit betekent dat commerciële partijen ook verplicht worden om data aan te leveren aan wetenschappers (als aan de overige voorwaarden is voldaan).

De definitie van houder is zo breed dat het niet zinvol lijkt om te onderzoeken wie er allemaal wél onder valt. Beter kan men de vraag stellen; als het gaat om gegevens zoals opgenomen in het EHDS-lijstje, als men AVG-verantwoordelijke is (ipv verwerker) en men bovendien niet onder de micro-uitzondering valt, kan het dan zijn dat je niet valt binnen deze definitie van EHDS datahouder? Het enige antwoord dat mogelijkerwijs correct leek, was de (grotere) begrafenisondernemer. De laatste vraag, of men valt binnen deze definitie, zal dus meestal met ja worden beantwoord, als de eerdere 7 vragen bevestigend zijn beantwoord.

Pas op met het omdraaien van stappen

Tot slot: draai deze stappen niet zomaar om; je kunt weldegelijk EHDS-houder zijn (aanbieder van diensten aan zorgondernemingen, zoals vervoerders van lichaamsmaterialen), maar niet over EHDS-data beschikken. Vandaar dus dat het verstandiger is om te beginnen met de vraag of het sowieso EHDS data zijn, en als laatste vraag pas te beantwoorden of men houder is. Concluderend: zeer veel partijen zullen als houder van EHDS data deze op verzoek van de HDAB moeten aanleveren: alle gezondheidszorg- of zorgaanbieders, verpleeghuizen, dagopvang, alle vergoedingsdiensten, sterfteregisters, universiteiten, aanbieders van producten of diensten voor de gezondheidszorg aanbieden, inclusief aanbieders van fitbits, en dat alles ongeacht of het overheden, non-profit, of commerciële entiteiten zijn.

De Wet Zeggenschap Lichaamsmateriaal moet herschreven worden

De Health Data Access Body

De EHDS en de Beveiligde VerwerkingsOmgeving

Welke data vallen onder de EHDS?

Posted on 1 april 20259 augustus 2025 by admin

Welke data vallen onder de EHDS?

Dit stuk is met name een verzoek aan medische wetenschappers om input. De EHDS staat voor European Health Data Space, een Europese Verordening die rechtstreeks in Nederland zal gelden als wet. Hoofdstuk 4 hiervan ziet op het beter en veiliger beschikbaar maken van gezondheidsdata voor nuttig hergebruik, zoals wetenschappelijk onderzoek. Dat houdt in dat data over gezondheid (beveiligd!) beschikbaar moeten worden gemaakt als een nieuw overheidsorgaan (de HDAB) daartoe besluit. De EHDS bevat in artikel 51 een lijst van data die (in beginsel) beschikbaar moeten worden gemaakt. Er staat echter ook dat de lidstaten hier data aan mogen toevoegen. Het is dus belangrijk dat we deze lijst goed bestuderen en bedenken welke data er niet op staan, die toch ook belangrijk zijn voor wetenschap en beleidsevaluaties. Welke data gebruikt u als wetenschapper, die nog niet op onderstaande lijst staan? Wat missen we? Deel vooral jullie gedachten via het contactformulier.

Onder de EHDS vallen in elk geval de volgende data:

elektronische gezondheidsgegevens afkomstig van EPD’s;
gegevens over factoren die van invloed zijn op de gezondheid, met inbegrip van sociaal-economische, milieu- en gedragsdeterminanten van gezondheid;
geaggregeerde gegevens over behoeften op het gebied van gezondheidszorg, de aan gezondheidszorg toegewezen middelen, de verstrekking van en toegang tot gezondheidszorg, uitgaven voor gezondheidszorg en financiering van gezondheidszorg;
gegevens over pathogenen die van invloed zijn op de menselijke gezondheid;
administratieve gegevens op het gebied van gezondheidszorg, onder meer over verstrekkingen, claims inzake vergoedingen en vergoedingen;
humaan-genetische, epigenomische en genomische gegevens;
andere humaan-moleculaire gegevens, zoals proteomische, transcriptomische, metabolomische, lipidomische en andere “-omische” gegevens;
via medische hulpmiddelen automatisch gegenereerde persoonlijke elektronische gezondheidsgegevens;
gegevens afkomstig van wellnessapps;
gegevens met betrekking tot de beroepsstatus, en met betrekking tot de specialisatie en instelling van gezondheidswerkers die betrokken zijn bij de behandeling van een natuurlijke persoon;
gegevens uit registers van gezondheidsgegevens op bevolkingsniveau zoals volksgezondheidsregisters;
gegevens afkomstig van medische registers en registers over sterfte;
gegevens afkomstig van klinische proeven, klinische studies, klinische onderzoeken en prestatiestudies waarop Verordening (EU) nr. 536/2014, Verordening (EU) 2024/1938 van het Europees Parlement en de Raad, Verordening (EU) 2017/745 en Verordening (EU) 2017/746 van toepassing zijn;
overige gezondheidsgegevens afkomstig van medische hulpmiddelen;
gegevens afkomstig van registers voor geneesmiddelen en medische hulpmiddelen;
gegevens afkomstig van onderzoekscohorten, vragenlijsten en enquêtes in verband met gezondheid, zodra de daarmee verband houdende resultaten gepubliceerd zijn;
gezondheidsgegevens afkomstig van biobanken en bijbehorende databanken.

We kunnen dus, als Nederland zijnde, hier categorieën aan toevoegen, maar ik kan zelf niet bedenken wat er nog ontbreekt. Iemand suggereerde dat wellicht de gegevens van een vrucht, (juridisch) nog niet zijnde een natuurlijke persoon, erbuiten valt. Maar het lijkt me dat een vrucht weliswaar geen eigen EPD heeft, maar wel in een EPD staat? Daarom aan u de vraag: welke gezondheidsdata ontbreken, terwijl deze weldegelijk belangrijk zijn voor de medische wetenschap? Ik hoor het graag via het contactformulier, dan geef ik dit door aan de schrijvers van de EHDS-uitvoeringswetgeving.

De Wet Zeggenschap Lichaamsmateriaal moet herschreven worden

De Health Data Access Body

De EHDS en de Beveiligde VerwerkingsOmgeving

Europees recht

Posted on 1 april 20259 augustus 2025 by admin

Europees recht

De EHDS is Europees recht. Maar wat is dat eigenlijk? Werkt dat rechtstreeks? Wat is het verschil tussen een richtlijn en een verordening? Zet Europees recht altijd nationaal recht opzij? Mag de EU eigenlijk wel regels schrijven over volksgezondheid? Wat houdt de EHDS-uitvoeringswetgeving in? En mag de privacy méér beschermd worden dan Europa voorschrijft?

Vroeger werden tussen staten verdragen gesloten. In eerste instantie waren dat contracten tussen de machtshebbers, met uitsluitend verplichtingen voor die machthebbers zelf. Later werden in verdragen ook rechten en plichten van burgers opgenomen. Vervolgens kwam de Europese Unie. Dit betrof iets geheel anders dan een internationale organisatie of een verdrag. Er werd een nieuwe overheidslaag in het leven geroepen; Europa werd een federatie vergelijkbaar met de Verenigde Staten. De EU schrijft wetgeving die rechtstreeks doorwerkte in de nationale rechtsorde, ongeacht of een Europees land dat nu wilde of niet. Daarom is er regelmatig discussie over de vraag of de EU wel bevoegd is om over een bepaald onderwerp regels te schrijven.

De EU heeft eerst voornamelijk bevoegdheden gekregen op het gebied van de economie; het vrije verkeer van personen, goederen, diensten en financiën. Ze was niet bevoegd ten aanzien van (o.a.) openbaarheid van bestuur of de volksgezondheid. Vervolgens veranderde de visie op data; deze worden nu gezien als een economisch goed, waarover de EU dus wel wetten mag schrijven. Ook zag men in dat het vrije verkeer eigenlijk uitsluitend kon functioneren als er ook een onderliggend vrij verkeer van data ontstond. In dat kader is de EU gaan werken aan een Europese data-strategie, waarbij amper betwist is dat de EU bevoegd is tot het creëren van een vrij verkeer van data, gelijk aan het vrije verkeer van goederen en diensten. De competentie (bevoegdheid regels te schrijven) ten aanzien van de volksgezondheid wordt nu – versneld door Corona – van de nationale landen verplaatst naar Brussel; er wordt gewerkt aan een Europese Volksgezondheidstrategie. Maar ten aanzien daarvan wordt nog wel benadrukt dat de competentie primair bij de lidstaten ligt.

Het unieke van de EU is dus dat het (bij de onderwerpen waartoe ze bevoegdheden heeft gekregen) in de kern een federatie is, een nieuwe bestuurslaag. Europees recht werkt rechtstreeks, of een land dat nu wil of niet. De EHDS wordt dus straks een rechtstreeks werkende wet, waar men zich in de rechtbank direct op kan beroepen. De EHDS is namelijk een verordening. Er worden door de EU ook richtlijnen geschreven. Richtlijnen zijn eigenlijk opdrachten aan nationale staten om bepaalde wetten te schrijven, waarbij nog enige vrijheid wordt gelaten hoe dat wordt vormgegeven. Toch geldt voor beide dat je je er niet zomaar aan kan onttrekken (al kan je natuurlijk altijd uit de EU stappen, maar dat is een wat extreme manier).

Ondanks dat een Verordening dus (anders dan een richtlijn) rechtstreeks werkt als wet, moet er meestal wel een Uitvoeringswet bij geschreven worden, zoals ook de Uitvoeringswet-AVG. Dergelijke wetten zijn nodig om een Europese wet in te passen in ons nationale systeem; zo moet een EHDS-vergunningenstelsel aansluiten op wat is bepaald in de Algemene Wet Bestuursrecht over vergunningen. Er moeten ook vaak instanties worden aangewezen; in het geval van de EHDS dus de HDAB. Daarnaast moeten in de uitvoeringswet kwesties geregeld worden, die in de Verordening expliciet worden opengelaten, of ten aanzien waarvan de lidstaten een opdracht krijgen; een op een Richtlijn-lijkende taakstelling. Zo begint artikel 13(1) van de EHDS met de woorden: “De lidstaten zorgen ervoor dat…”

Bij het schrijven van dergelijke uitvoeringswetgeving, moet bovendien gelet worden op de vraag of een regel bedoeld is als minimum- of maximumharmonisatie. Bij minimumharmonisatie wordt er een ondergrens gegeven; alle lidstaten moeten minstens een bepaald niveau aan rechtsbescherming bieden, maar meer is ook goed. Bij maximumharmonisatie moet precies die regel ingevoerd worden. Er mag niet vanaf geweken worden, wat nog weleens over het hoofd wordt gezien ten aanzien van de AVG. Er dient bij het schrijven van Uitvoeringswetgeving bij Europees recht, dus altijd te worden gekeken: (1) hoe het geheel ingepast moet worden in de nationale wetgeving, (2) op welke onderdelen er duidelijke keuzes aan de landen wordt gelaten en (3) welke onderdelen minimum dan wel maximumharmonisatie betreffen en of afwijkingen dus zijn toestaan. Ten aanzien van gezondheidsdata is het belangrijk dat de AVG zegt (in artikel 9 lid 4) dat de lidstaten aanvullende regels mogen schrijven. Maar de EHDS zegt expliciet (overweging 52) dat dit lid 4 komt te vervallen.

Tot slot; er bestaan regels betreffende de hiërarchie tussen regels, als bij de rechter blijkt dat ze echt met elkaar in strijd zijn; de zogeheten conflictregels. Er zijn er drie: (i) hoger recht gaat altijd voor lager recht, (ii) een bijzondere regel gaat voor op algemene regels en (iii) nieuwe regels over hetzelfde onderwerp gaan voor op oudere regels. Deze drie worden in deze volgorde toegepast. Dit betekent onder meer dat de WGBO (Nederlands recht) nooit Europees recht opzij kan zetten, want dat is hoger recht. Nationaal recht zoals de WGBO kan uitsluitend Europese regels opzijzetten, als die Europese regels expliciet aangeven dat dit mag. We moeten de tekst van de EHDS dus goed te bestuderen, om te beoordelen of ons Nederlandse recht daarmee in strijd is en als dat het geval is, of dat wel mag. Als het niet mag, dan geldt de Nederlandse regel automatisch niet meer.

De Wet Zeggenschap Lichaamsmateriaal moet herschreven worden

De Health Data Access Body

De EHDS en de Beveiligde VerwerkingsOmgeving

Waarom de EHDS?

Posted on 31 maart 20259 augustus 2025 by admin

Waarom de EHDS?

EHDS staat voor European Health Data Space. Het is een Europese wet die rechtstreeks in Nederland zal gelden, zoals ook de AVG. De Europese Unie heeft decennia geleden al het vrije verkeer van personen, goederen, kapitaal en diensten geïntroduceerd. De interne grenzen binnen de EU werden zoveel mogelijk afgeschaft. Het doel hiervan was economische groei, naast o.a. het ingewikkelder maken van een oorlog. Al snel realiseerde Brussel zich, dat dit vrije verkeer niet goed zou functioneren zonder vrij verkeer van data. Er moest dus ook een Europese, grensvrije data ruimte komen. De AVG was de eerste stap daartoe; om de vrije stroom van data te realiseren, moest in Europa de gegevensbescherming gelijkgetrokken worden. Privacy beschermen kunnen landen zelf ook wel, maar juist voor het realiseren van een vrij verkeer van data, was uniforme gegevensbescherming nodig.

Een data wetgevingsmatrix

Er is vervolgens een Europese datastrategie uitgewerkt, die zich het beste laat omschrijven als een wetgevingsmatrix. Enerzijds zijn er regels over alle data, ongeacht de inhoud. Deze zijn terug te vinden in de AVG, de Wet hergebruik overheidsinformatie, de Data Verordening en de Data Governance Verordening. Anderzijds zijn (en komen) er regels over bepaalde soorten data. Daartoe zijn er negen Data Spaces aangewezen, waaronder financiële data, vervoersdata en dus ook gezondheidsdata. Men moet zich dus bij het lezen van de EHDS bedenken dat deze wet uitsluitend goed te begrijpen is, als radartje in een groter geheel van wetten die elkaar aanvullen: Europese wetten zoals de AVG en de overige datawetgeving, maar ook Nederlandse wetgeving zoals de algemene wet bestuursrecht.

Economisch perspectief op zorg

De EHDS heeft als doel om de gezondheidszorg in Europa te verbeteren door een vrij verkeer van patiënten, zorgverleners en medisch wetenschappers te realiseren. Men verwachtte dat het vrije verkeer van goederen zou leiden tot economische groei en betere producten, en dat bleek te kloppen. Er werden ondersteunende regels geschreven, zoals dat je in de hele EU je online-bestelde producten binnen twee weken mag terugsturen. Consumenten krijgen zo het vertrouwen dat je rechtstreeks kan bestellen in heel Europa. Een goede Italiaanse bio-boer, kan zo de wijnmarkt in Wassenaar bedienen; prijzen gaan omlaag, kwaliteit omhoog. Men verwacht dat dergelijke voordelen ook in de zorg te realiseren zijn. Het is de bedoeling dat bijvoorbeeld Nederlandse radiologen MRI’s uit de gehele EU kunnen beoordelen. Brussel verwacht dat de zorg daarmee goedkoper en beter zal worden.

Bredere databeschikbaarheid

Daarnaast wil de EHDS innovatie stimuleren door gezondheidsdata beschikbaar te maken voor nuttig hergebruik. Universiteiten, ondernemingen of burgers kunnen straks allemaal een vergunning aanvragen om met gezondheidsdata te mogen werken. Of je deze vergunning krijgt, wordt beoordeeld aan de hand van de vraag of je een nuttig doel nastreeft zoals onderwijs, wetenschappelijk onderzoek, statistiek, maar ook het ontwikkelen van nieuwe producten, of het trainen van AI-systemen. Het besluit op je aanvraag, kun je zo nodig voorleggen aan een rechter, die kan toetsen aan onder meer het discriminatieverbod of de wetenschappelijke vrijheid. Het is dan bijvoorbeeld niet meer toegestaan dat een academisch ziekenhuis wel data deelt met een medici, maar niet met wetenschappers van de informatica faculteit.

Binnen strakke wettelijke kaders

Onzorgvuldigheid met gezondheidsgegevens is ongemakkelijk, onethisch en onrechtmatig. Delen mag volgens de AVG alleen als er voldoende “technische en organisatorische waarborgen” zijn. De EHDS schrijft voor wat dit inhoudt. Er moet (uitzonderingen daargelaten) een vergunning worden aangevraagd bij de Health Data Access Body; een nieuw overheidsorgaan. In de vergunning staan de exacte voorwaarden opgenomen en ook de EHDS bevat een lijst van dingen die men niet met de data mag doen. Op schending van die voorwaarden staan boetes. Men krijgt vervolgens niet de data, maar toegang tot de data in een beveiligde verwerkingsomgeving. Zo zou er in de hele Unie op een veilige manier meer kennis beschikbaar moeten komen. We hebben namelijk behalve een recht op gegevensbescherming, ook recht op informatie.

De Wet Zeggenschap Lichaamsmateriaal moet herschreven worden

De Health Data Access Body

De EHDS en de Beveiligde VerwerkingsOmgeving

Pseudonimiseren en de AVG

Posted on 30 maart 20259 augustus 2025 by admin

Pseudonimiseren en de AVG

Pseudonimisering is een term uit de AVG die voor veel verwarring zorgt. Zijn dit persoonsgegevens, en is de AVG daar dus op van toepassing, of niet? Zoals zo vaak is het antwoord van juristen: dat hangt ervanaf. Dat komt doordat pseudonieme gegevens geen categorie of soort gegevens zijn. Pseudonimiseren staat alleen in de AVG als een techniek: Artikel 4(5) bepaalt: „pseudonimisering” is het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld.”

Simpel gezegd betekent pseudonimiseren dus dat je “Antoinette Vlieger” vervangt voor bijvoorbeeld nummer “1973.” Het verschil met anonimiseren zit erin dat er nog wel een sleutel of een lijst bestaat, waarmee je kunt terugvinden dat nummer 1973 dus Vlieger is. In de medische wetenschap wil je vrijwel altijd pseudonimiseren in plaats van anonimiseren. Dan kunnen bevindingen zo nodig teruggekoppeld worden naar de behandelend arts of kan verzocht worden om enige aanvullende gegevens als die later nodig blijken voor het onderzoek.

Maar let erop dat er altijd een verschil is tussen gewoon taalgebruik en juridisch taalgebruik (zoals juristen op feestjes uitleggen: dit was geen moord maar doodslag, terwijl het voor iedereen om hen heen moord was). In het gewone spraakgebruik is pseudonimiseren dus het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt. Maar in de AVG wordt daar dus nog een component aan toegevoegd: “mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld.” Er moet ook worden vastgelegd wie er (exclusief) toegang hebben tot de sleutel.

Is de AVG op pseudonieme gegevens van toepassing?

Maar is de AVG nu op dergelijke gegevens van toepassing of niet? Dat hangt er vanaf of het “persoonsgegevens” zijn en dat begrip persoonsgegevens is een relatief begrip. De AVG is van toepassing zodra iemands privacy in het geding is, omdat de gegevens kunnen worden herleid naar een bepaalde persoon. Als een academisch ziekenhuis onderzoek doet naar patiënt nummer 1973, en zij hebben zelf de lijst waarin staat dat dit om Vlieger gaat, dan zijn het voor dat ziekenhuis persoonsgegevens. Geven zij deze data (om een AI-tool te trainen) aan wiskundigen die de lijst niet hebben, dan zijn het voor die wiskundigen geen persoonsgegevens; de AVG is niet van toepassing. Wordt dezelfde set data aan het CBS gegeven – die de lijst ook niet heeft, maar die wel de data kan combineren met eigen data, waardoor het duidelijk is over wie de data gaan – dan zijn de data voor het CBS weer wel persoonsgegevens. En nog weer ingewikkelder: als de wiskundigen, voor wie het dus geen persoonsgegevens zijn, de data op een openbare website plaatsen, waardoor het CBS erbij kan (voor wie het wel persoonsgegevens zijn), dan zijn het bij het openbaar maken weer wel persoonsgegevens en dus is daarop de AVG wel van toepassing; ook voor de wiskundigen.

De AVG is dus van toepassing als er sprake is van persoonsgegevens; in handen van bepaalde personen en in een bepaalde context. Pseudonieme gegevens zijn soms wel persoonsgegevens en soms ook niet. En bij het begrip anonieme gegevens moet je evengoed oppassen. Absoluut anonieme gegevens zijn voor iedereen anoniem. Dat zijn geen persoonsgegevens en daarop is de AVG niet van toepassing. Maar er zijn ook relatief anonieme gegevens; wel anoniem voor mij, niet voor het CBS. Het is beter, om verwarring te voorkomen, om uitsluitend absoluut anonieme gegevens aan te duiden als anoniem. Daarop is de AVG sowieso niet van toepassing. Maar ten aanzien van relatief anonieme gegevens en pseudonieme gegevens, moet telkens getoetst worden of de AVG van toepassing is.

Wordt dat bevestigd in jurisprudentie?

Nu willen veel mensen graag weten of de Europese rechters bevestigd hebben dat bovenstaande klopt. Maar er is geen jurisprudentie over het begrip pseudonimisering zelf. Er is wel rechtspraak waarin gesproken wordt over gepseudonimiseerde gegevens, maar daarbij wordt telkens gewoon de jurisprudentie over het begrip ‘persoonsgegevens’ toegepast.

In het arrest GAR/EDPS (HvJ EU 26 april 2023, T-557/20, ECLI:EU:T:2023:219) is goed te zien hoe de Europese rechter omgaat met deze kwestie. De EDPS stelt dat de gegevens die de GAR met Deloitte heeft gedeeld, gepseudonimiseerde gegevens waren en daarom persoonsgegevens (r.o. 32). De GAR voert aan dat het voor ontvanger Deloitte geen pseudonieme gegevens zijn maar anonieme, aangezien de GAR de informatie aan de hand waarvan opnieuw kon worden geïdentificeerd niet met Deloitte heeft gedeeld (r.o. 76). Opvallend is, dat in de rechters in de uitspraak niet ingaan op de vraag of het nu pseudonieme of anonieme gegevens betrof, maar uitsluitend op de vraag of het persoonsgegevens betrof. En daar blijft het bij. De zaak dient nu in hoger beroep en de Advocaat-Generaal doet er (6 februari 2025, C-413/23P, ECLI:EU:C:2025:59) duidelijk een uitspraak over in overweging 52: Het is niet zo dat gepseudonimiseerde gegevens automatisch geen persoonsgegevens zijn, want “onder bepaalde voorwaarden” zijn het wel persoonsgegevens; maar niet altijd dus.

In Richtlijn 01/2025 van de EDPB over pseudonimisering, van 16 Januari 2025 is gelijkelijk te lezen (overweging 22): Als gepseudonimiseerde gegevens en aanvullende informatie kunnen worden gecombineerd met inachtneming van de middelen die redelijkerwijs door de verwerkingsverantwoordelijke of door een andere persoon worden gebruikt, dan zijn de gepseudonimiseerde gegevens persoonsgegevens.

Is pseudonimisering altijd verplicht?

Op pseudonieme gegevens is dus soms de AVG wel van toepassing, soms niet. Maar als je dat pseudonimiseren nog niet gedaan had, is dat dan wel op grond van de AVG verplicht? Ook daarop is het juridische antwoord: soms wel, soms niet. De korte samenvatting is; als het kan dan moet het (en wel zo snel mogelijk), maar kan het niet, dan mag je alsnog met de data werken, afhankelijk van de omstandigheden; bij een zwaarwegend doel en mits zeer goed beveiligd.

De Wet Zeggenschap Lichaamsmateriaal moet herschreven worden

De Health Data Access Body

De EHDS en de Beveiligde VerwerkingsOmgeving

Contracten bij medisch onderzoek

Posted on 29 maart 20259 augustus 2025 by admin

Het bos van contracten bij medisch onderzoek

In dit stuk doe ik een poging om aan medisch-wetenschappers uit te leggen, wat alle verschillende contracten zijn waarmee ze in aanraking kunnen komen. Stel je de volgende casus voor: Een wetenschapper van het LUMC doet onderzoek gefinancierd door X, in een project samen met UMCG, met data (of ook medewerking) van Ziekenhuis Ter Gooi.

1) De arbeidsovereenkomst

Allereerst is er natuurlijk sprake van een overeenkomst tussen de wetenschapper en het LUMC. Meestal zal dit een arbeidsovereenkomst zijn. Het kan ook een ZZP-constructie zijn, maar let op, als bijna uitsluitend en structureel voor LUMC wordt gewerkt, dan vindt de rechter dit mogelijk alsnog een arbeidsrelatie, ook al noemen partijen het anders. De belastingdienst bepaalt het exacte verschil, maar de (zeer) korte samenvatting is; hoe zelfstandiger de wetenschapper, hoe groter de kans dat de ZZP-relatie niet beschouwd wordt als arbeid.

Voor de wirwar aan contracten is het belangrijk om het volgende op te merken: veel contracten in dit project zullen op naam komen van de rechtspersoon LUMC. Die kan in overeenkomsten met externe partijen wel rechten toekennen aan de eigen wetenschappers, maar geen plichten (Plien en Bianca kunnen niet samen contracteren dat Annie iets moet doen). Als dus bijvoorbeeld de financier X wil dat alles geheim blijft, dan zal er in de overeenkomst tussen X en LUMC moeten worden opgenomen, dat LUMC op haar beurt in de overeenkomst met de wetenschapper opneemt dat deze iets geheim moet houden. De verplichting die X wil, loopt via LUMC. Hetzelfde geldt voor afspraken over bijvoorbeeld auteursrechten, die automatisch ontstaan bij de auteur (wetenschapper), maar die wellicht elders terecht moeten komen. Misschien wil X bijvoorbeeld dat er open source lesmateriaal wordt geschreven, wat LUMC dan zal moeten regelen met de wetenschapper.

2) De relatie tot financier X: subsidie of commercie?

Als het onderzoek gefinancierd wordt door X, dan moet deze relatie op de een of andere manier juridisch vorm krijgen. Daarbij dient de vraag te worden gesteld, of de financiering een subsidie is, of een commerciële opdracht. Let op: het is niet zo dat partijen dat zelf kunnen beslissen.

Een subsidie is geld afkomstig van een overheid (zoals ZonMw), verstrekt voor bepaalde activiteiten, anders dan als betaling voor aan die overheid geleverde goederen of diensten. De vraag aan wie je iets oplevert, is dus de crux. Bij financiering van oncologisch onderzoek, moet je wel verantwoording afleggen aan ZonMW, maar je levert niet een product af aan die overheid, maar aan de maatschappij. Wat er wordt opgeleverd is uitsluitend het bewijs dat de activiteit heeft plaatsgevonden. Dat is dus een subsidie. Maar als het erom gaat dat de private financier X patentrechten krijgt waarmee zijn investering terugverdiend kan worden, dan lever je het resultaat op aan de financier zelf en is het dus geen subsidie.

Bij een echte opdracht sluit je een overeenkomst volgens het Burgerlijk Wetboek (dus alle bepalingen over wanprestatie zijn van toepassing). Bij een subsidie neemt de overheid (eenzijdig) een subsidiebesluit volgens de Algemene wet Bestuursrecht en de subsidievoorwaarden. Maar dat besluit dwingt de ontvanger niet om ook daadwerkelijk uitvoering te geven aan de activiteit: je kan het bedrag ook domweg terugbetalen. Omdat de overheid vaak zekerheid wil dat de activiteit daadwerkelijk wordt uitgevoerd, wordt er dan een subsidie-uitvoeringsovereenkomst gesloten, wat dus niet hetzelfde is als een opdrachtovereenkomst.

3) De consortium overeenkomst

Als er door UMCG en LUMC gezamenlijk geld is verkregen, dan wil de financier niet dat partijen dat in eigen zak steken en naar de ander verwijzen voor de resultaten. Ook wil de financier niet dat ruzie ertoe leidt dat er geen resultaten komen, dat de uitkomsten geheim worden gehouden, of dat de wet wordt geschonden bij uitvoering van het project. Financiers eisen daarom veelal een consortium-overeenkomst.

Juridisch gezien is dit echter iets dat zich lastig laat duiden. Die contractuele samenwerking kan immers de uitvoering zijn van een subsidie, of van een commerciële opdracht. Men kan besluiten dat de subsidie-uitvoeringsovereenkomst ook dienstdoet als consortiumovereenkomst (en dan is X dus ook partij), of het kan los.

De overeenkomst is meestal bedoeld om niets meer te zijn dan een contractuele samenwerking voor dit specifieke project. Maar er moet opgepast worden voor onbedoelde gevolgen uit het ondernemingsrecht; er moet voor worden gewaakt worden dat de samenwerking niet per ongeluk kwalificeert als vennootschap onder firma of maatschap. Nota bene, dat kan zelfs gebeuren als er helemaal geen schriftelijke overeenkomst is, alleen een feitelijke samenwerking. Het kan dus nuttig zijn om expliciet vast te leggen dat dit niet de bedoeling is.

Wanneer er in de samenwerking maar twee partijen betrokken zijn, dan wordt het vaak een samenwerkingsovereenkomst genoemd. Wanneer er meer partijen betrokken zijn, dan wordt er veelal een overeenkomst opgesteld die een consortium-overeenkomst wordt genoemd. Juridisch gezien maakt dat niets uit, ze vallen beiden gewoon onder het contractenrecht. Het verschil zit erin dat een consortium-overeenkomst altijd bepalingen bevat over de vraag wie welke besluiten mag nemen; hoewel er geen sprake is van een rechtspersoon (zoals een BV) worden er wel organen opgericht waartussen de bevoegdheid tot het nemen van besluiten wordt verdeeld. Meestal zijn dit de consortiumleider, de werkpakketleiders, en de gehele groep.

Let erop dat het contractenrecht eigenlijk zacht als boter is. De inhoud van de overeenkomst wordt (onder Nederlands recht) rijkelijk aangevuld door de redelijkheid & billijkheid, onvoorziene omstandigheden, wat partijen in redelijkheid van elkaar mochten verwachten, en de vraag hoe de samenwerking in de loop van de tijd is geëvolueerd. Het schrijven van dikke contracten hebben we overgenomen van de Amerikanen, waar dat alles niet geldt, maar in Nederland is het eigenlijk niet nodig.

4) Clinical Trial Agreement

Op het moment dat er in plaats van onderzoek met data, of naast onderzoek met data (ook) onderzoek wordt gedaan met of bij mensen, dan wordt de Wet medisch-wetenschappelijk onderzoek met mensen van toepassing. Ook dan moet er een overeenkomst worden gesloten; de klinisch onderzoek-overeenkomst, die we dan vreemd genoeg ineens een Engelse naam gaan geven; de CTA. Dit kan natuurlijk gewoon de consortium-overeenkomst betreffen, al zijn er dus twee verschillen.

Ten eerste is nu behalve UMCG en LUMC (die het onderzoek vormgeven), ook Ter Gooi een partij bij de overeenkomst, want daar wordt het onderzoek (ook) uitgevoerd. Voorheen leverde die uitsluitend data aan, maar nu wordt dat anders. Het tweede verschil zit erin dat de WMO dus van toepassing is, zodat er allerlei taken en verantwoordelijkheden uit die wet contractueel moeten worden vastgelegd. Zo staat er in de WMO dat de resultaten van het onderzoek verplicht openbaar moeten worden gemaakt, dus dient te worden bepaald wie dat feitelijk gaat doen (niet alle drie natuurlijk). Die publicatieplicht bestaat nu overigens nog niet ten aanzien van puur dataonderzoek, maar dat wordt anders zodra de European Health Data Space Verordening van kracht wordt.

5) De Joint-Controllers Agreement

Op het moment dat LUMC niet gewoon anderen laat meewerken aan het onderzoek, maar daadwerkelijk samen met UMCG vormgeeft aan het onderzoek (en er dus een gezamenlijk onderzoeksplan is opgesteld), dan stellen deze twee samen de doelen en middelen vast van de verwerkingen van persoonsgegevens, in de zin van de AVG (gegevensbeschermingswet). Let erop dat dit alleen van toepassing is als er daadwerkelijk gewerkt wordt met persoonsgegevens, want dat is niet het geval als de gegevens al zo gepseudonimiseerd zijn door ziekenhuis Ter Gooi (of bijvoorbeeld ZorgTTP, een andere partij dan UMCG en LUMC zelf dus), dat zij niet meer kunnen achterhalen over welke natuurlijke personen dit gaat. Het is dus niet zo dat als gegevens over personen gaan, het automatisch persoonsgegevens zijn. De vraag is of de privacy in het geding is omdat redelijkerwijs achterhaald kan worden over wie de gegevens gaan; pas dan is de privacywet van toepassing. Bij twijfel over dit alles: bel gewoon je functionaris-gegevensbescherming.

Zijn de data (nog) niet afdoende gepseudonimiseerd, dan zijn UMCG en LUMC verplicht om een joint-controllersovereenkomst te tekenen (of een gezamenlijke-verwerkingsverantwoordelijken-overeenkomst). Het belangrijkste van deze overeenkomst, is dat de AVG-verantwoordelijkheden goed worden verdeeld. Er moet bijvoorbeeld bij risicovolle verwerkingen een DPIA worden verricht, een Data Protection Impact Assessment en het is niet de bedoeling dat UMCG denkt dat LUMC deze heeft verricht en andersom. Overigens hebben patiënten verder niet zoveel te maken met die overeenkomst: voor de uitoefening van hun AVG-rechten, kunnen ze zich alsnog richten tot beide partijen.

6) Joint-Data-Registry-Agreement

Weer een andere overeenkomst, regelt de rechten tussen LUMC en UMCG, ten aanzien van de data, voorafgaand aan afronding van het onderzoek. Dit kan natuurlijk ook worden opgenomen in de consortium-overeenkomst, of in de joint-controllers-overeenkomst. Hij wordt ook wel apart gesloten. Op ruwe data bestaan namelijk geen IE- of eigendomsrechten. Als het plan is om na drie jaar data verzamelen, samen de wetenschappelijke publicaties te verzorgen, dan is het niet fijn als UMCG halverwege al gaat publiceren zonder LUMC over de data; of als LUMC halverwege UMCG de toegang tot de data ontzegt. Het recht regels niet automatisch dat dit alles niet mag (bij gebrek aan IE- of eigendomsrechten op ruwe data dus), reden waarom dit ook contractueel zal moeten worden geregeld. Een financier kan ook wensen hebben ten aanzien van de ruwe data, bijvoorbeeld dat deze FAIR gemaakt worden direct na publicatie van de resultaten.

7) Licentieovereenkomst

Daar waar wel sprake is van IE rechten (zoals auteursrechten of patenten), moeten er ook afspraken worden gemaakt. Ook hiervoor geldt: het kan opgenomen worden in de consortium-overeenkomst, en het kan ook apart. De IE-rechten zijn er in twee soorten; dat wat wordt ingebracht in de samenwerking wordt Background genoemd. Dat wat ontstaat tijdens de samenwerking, wordt Foreground genoemd. Het kan zijn dat er bestaande IE-rechten nodig zijn voor het onderzoek. Degene die dit inbrengt, wil deze IE-rechten beschermen door te bedingen dat het uitsluitend voor dit onderzoek mag worden gebruikt. De andere Partij wil juist zekerheid hebben dat het onderzoek niet spaak loopt omdat alsnog geweigerd wordt die IE te delen. De ingebrachte Background wordt daartoe beschreven in de overeenkomst. Vervolgens ontstaat er tijdens het onderzoek nieuwe IE. De wetenschappers van LUMC en UMCG willen gewoon hun artikelen kunnen publiceren (ten behoeve van hun carrière) zonder dat dit problemen oplevert ten aanzien van die IE-rechten. Ook willen ze met de opgedane kennis vervolgonderzoek kunnen doen, zonder dat de ander dit beperkt. Als X een commerciële financier is, dan zal die mogelijk de IE voor zichzelf willen houden, of als filantroop juist zorgdragen dat deze voor iedereen beschikbaar komt. Om recht te doen aan ieders wensen en belangen, moeten hier dus contractuele afspraken over worden gemaakt.

8) De Data Transfer Agreement met Ter Gooi

Stel dat er geen sprake is van mensgebonden onderzoek; Ziekenhuis Ter Gooi heeft uitsluitend de vraag gekregen om data bij te dragen. Ter Gooi beslist niet mee over hoe het onderzoek eruit komt te zien. De Functionaris Gegevensbescherming van het ziekenhuis zal moeten bepalen aan de hand van de AVG of deze gegevensoverdracht mag plaatsvinden. Als aan alle vereisten is voldaan (voldaan aan de beginselen van artikel 5, een grondslag als in artikel 6, een uitzondering op het verbod van artikel 9, de vereisten van artikel 24 UAVG en de beveiliging volgens artikel 89 AVG), dan mag Ter Gooi de gegevens overdragen voor het onderzoek.

LUMC en UMCG zijn vervolgens, bij het gebruik van de gegevens uit Ter Gooi, automatisch verplicht zich te houden aan de AVG. Uit die wet volgt dus niet de verplichting om een data transfer agreement (DTA) overeen te komen, maar om zeker te weten dat de data uitsluitend worden gebruikt waarvoor ze werden aangevraagd, doet men dat meestal toch. Bij de meeste ziekenhuizen is de verplichting tot het gebruik van een DTA vastgelegd in het interne beleid.

Sinds juni 2024 is het bovendien voor bepaalde organisaties verplicht om een DTA overeen te komen;
met een publieke taak belaste instellingen, overheidsondernemingen en publiek gefinancierde onderzoeksorganisaties. Die plicht volgt niet uit de AVG, maar uit artikel 6 van de Wet Hergebruik Overheidsinformatie. Er moet dan verplicht contractueel worden vastgelegd dat de ontvangers van gepseudonimiseerde gegevens, absoluut niet mag proberen om te achterhalen welke personen dit zijn.

Nota bene: in deze casus is er dus geen verplichting op grond van de wet dat Ter Gooi en LUMC een verwerkersovereenkomst moeten sluiten, want LUMC doet niets in opdracht van Ter Gooi of andersom. Ook hoeft er geen joint-controllers-overeenkomst te worden gesloten, want LUMC en Ter Gooi geven niet samen vorm aan het onderzoek. Men sluit altijd een van deze drie overeenkomsten af, nooit meerdere.

De Wet Zeggenschap Lichaamsmateriaal moet herschreven worden

De Health Data Access Body

De EHDS en de Beveiligde VerwerkingsOmgeving

Subsidie of opdracht

Posted on 28 maart 20259 augustus 2025 by admin

Subsidie of opdracht?

Het is niet altijd direct duidelijk of sprake is van een subsidie of een commerciële opdracht. Onder subsidie wordt wettelijk verstaan: “de aanspraak op financiële middelen, door een bestuursorgaan verstrekt met het oog op bepaalde activiteiten van de aanvrager, anders dan als betaling voor aan het bestuursorgaan geleverde goederen of diensten.” Voor het onderscheid tussen een subsidie en een commerciële overeenkomst, is dat laatste van belang. Als de politie bijvoorbeeld kogelvrije vesten inkoopt, dan is het een commercieel contract, want hoewel de politie werkt ten dienste van de samenleving, worden die vesten echt ingekocht voor, en geleverd aan de politie zelf. Dat is anders wanneer een academisch ziekenhuis van de overheid geld krijgt om onderzoek te doen naar een zeldzame ziekte. De eventueel ontwikkelde nieuwe behandeling, is bedoeld voor patiënten, niet voor de overheid. Ook wordt de behandeling niet opgeleverd aan de overheid, maar alleen bewijs dat de gesubsidieerde activiteit daadwerkelijk is uitgevoerd. Voor de vraag of we te maken hebben met een commerciële opdracht of een subsidie, moet daarom met name worden gekeken naar de vraag wat er precies moet worden opgeleverd en voor wie dat bedoeld is; wordt er een dienst of product geleverd aan de subsidieverstrekker, of wordt uitsluitend bewijs van de activiteit opgeleverd?

Niet zelf kiezen

Partijen mogen of kunnen niet zelf beslissen of iets een opdracht is of een subsidie. Als het valt onder bovenstaande definitie, dan is het een subsidie en andersom. Komt men er op grond van bovenstaande nog niet uit, dan neemt de rechter nog in overweging: (i) is de betaling (lager dan) de kostprijs of zit er een winstmarge op, en (ii) wie was de initiatiefnemer tot de activiteit. De idee erachter is dat een commerciële opdrachtnemer winst wil maken en over het algemeen niet aan het werk gaat voordat duidelijk is of er iemand gaat betalen. Het onderscheid tussen subsidies en commerciële contracten is belangrijk voor de BTW; deze hoeft niet te worden betaald over subsidies, reden waarom wederpartijen kunnen bepleiten dat iets een subsidie is, terwijl dat in feite niet het geval is. Let er ook op dat in de definitie van subsidie niets staat over de vraag of er een call of een aanbesteding is geweest. Een aanbesteding maakt dus (anders dan wel wordt gedacht) niet dat het geen subsidie is; men kan zich vergist hebben en bovendien; op grond van Europees recht moeten ook subsidies steeds vaker verplicht aanbesteed worden.