EHDS Jurist

Menu

Categorie: EHDS

Waarom is de EHDS revolutionair?

Posted on by admin

Waarom is de EHDS revolutionair?

Meer data, want veiliger

De EHDS beoogt meer data beschikbaar te maken voor secundair gebruik door het veiliger te maken. De AVG blijft gewoon naast de EHDS gelden. Die privacy-verordening bepaalt reeds dat het gebruik van gezondheidsgegevens (kort samengevat) is toegestaan als er sprake is van een goed doel, als de wet gevolgd wordt en als er voldoende technische en organisatorische maatregelen zijn genomen. De EHDS bepaalt hetzelfde, maar meer in detail: men mag werken met gezondheidsgegevens als dit een nuttig doel heeft, zoals omschreven in de EHDS. Dit wordt getoetst door een nieuw op te richten overheidsorgaan, de Health Data Acces Body (HDAB), die behalve aan de EHDS ook toetst aan de AVG. Vervolgens krijgt men geen data, maar een vergunning om met die data te werken, waarin de exacte voorwaarden staan, zoals het feit dat gewerkt moet worden in een beveiligde verwerkingsomgeving (BVO). Men krijgt dus geen data maar toegang ertoe. De HDAB controleert periodiek of de BVO’s inderdaad (nog) veilig genoeg zijn.

Een recht op data

Tot zover lijkt er weinig nieuws te zijn; er moet een goed doel zijn, het moet rechtmatig gebeuren en er moet veilig gewerkt worden. Toch zijn de effecten van de EHDS, doordat een HDAB en een datavergunning in het leven worden geroepen, echt baanbrekend of revolutionair te noemen. Ten eerste omdat de data veel breder gedeeld moeten worden: als de HDAB bepaald heeft dat een wetenschapper met data mag werken (zoals beschreven in de vergunning), dan is de houder van de betreffende data verplicht om deze daadwerkelijk beschikbaar te maken. We hebben reeds allerlei wetten waarin staat dat houders verplicht zijn om data beschikbaar te stellen aan de overheid zelf, zoals in de CBS-wet en de Wet op het RIVM. Maar nu ontstaat er dus een plicht om data beschikbaar te maken aan vergunningshouders, zijnde niet-overheden. Als nu een academisch ziekenhuis data wil gebruiken van een verpleeghuis, dan kan dat verpleeghuis dit weigeren met een beroep op de AVG. Of dat beroep en die weigering terecht zijn, kan nooit ter toetsing voorgelegd worden aan een rechter, want het delen van data door het verpleeghuis is een gunst. Nu wordt dit dus een plicht. De keerzijde hiervan is dat het academische ziekenhuis feitelijk een recht op (het werken met) data krijgt. Dit staat niet letterlijk in de EHDS. Echter, een besluit op een vergunningsaanvraag, is een bestuursrechtelijk besluit. Als de vergunning geweigerd wordt, dan kan men bezwaar aantekenen (bij de DHAB zelf) en daarna zo nodig in beroep bij de bestuursrechter. Als die constateert dat het academisch ziekenhuis aan alle voorwaarden voor het verkrijgen van de vergunning voldoet, dan krijgt het die vergunning. Vergelijk het met een vergunning voor een dakkapel; als men aan alle voorwaarden voldoet, kan die niet meer zomaar geweigerd worden. Door een data-vergunning in het leven te roepen, creëert de EHDS dus indirect een recht op data

Vrije wetenschap

Bovendien heeft in beginsel iedereen het recht om met gezondheidsdata te werken. Iedereen kan een vergunning aanvragen; elke natuurlijke en elke rechtspersoon in de hele Europese Unie. Wel is het voor het verkrijgen van een dergelijke vergunning nodig dat je een in de EHDS erkend doel nastreeft, maar er wordt dus geen onderscheid gemaakt tussen bijvoorbeeld citizen scientists en wetenschappers van academische instellingen. Uiteraard zal wel getoetst worden of de aanvrager gekwalificeerd is om de beoogde doelen te bereiken en dus beschikt over passende expertise. Maar mensen als Albert Einstein, die werken bij een octrooi-bureau, krijgen onder de EHDS dus meer mogelijkheden om te laten zien wat ze in huis hebben. Gevaarlijk is dat alles niet, omdat de HDAB de data zoveel mogelijk zal anonimiseren of pseudonimiseren, en niet overdraagt maar beschikbaar stelt in een beveiligde verwerkingsomgeving, waar geen data uit kunnen worden gehaald, alleen conclusies.

Verplaatsing van medisch geheim bij secundair gebruik

Het volgende frappante feit is dat de bevoegdheid om te beslissen over het secundaire gebruik van gezondheidsgegevens, wordt weggehaald bij individuele zorgverleners, en wordt neergelegd bij de HDAB, de nieuw op te richten overheidsinstantie. De EHDS wordt daarom in de medische sector wel gezien als een zorgwekkende inperking van het medisch geheim. Het kan wat mij betreft beter gezien worden als een gedeeltelijke verplaatsing van het medisch geheim, die bovendien niet onlogisch is. Bedenk dat het medisch geheim is ingevoerd door artsen zelf, in een tijd dat de rechtsstaat nog niet bestond; 2000 jaar geleden. Dat was natuurlijk fantastisch, maar inmiddels hebben we wél een goed functionerende rechtsstaat, en een overheidsorgaan dat toeziet op de bescherming van privacy. Vroeger was er geen keuze waar de besluitvorming over secundair gebruik van data neergelegd moest worden, maar die keuze is er nu wel. En dan is een onafhankelijke overheidsinstantie een logischer keuze dan de artsen zelf. De meeste artsen zijn natuurlijk integer en welwillend, maar in elke beroepsgroep zitten helaas rotte appels. Een slechte arts heeft een persoonlijk belang bij het medisch geheim. Een onafhankelijke overheidsinstantie heeft dat niet. Er staat expliciet in de EHDS dat ervoor gewaakt moet worden dat de HDAB onafhankelijk is en blijft; er mag geen sprake zijn van tegenstrijdige belangen. Die zijn er wel bij de individuele zorgverlener. Bovendien kunnen we van zorgverleners niet verwachten dat ze allemaal de AVG kennen, en van een HDAB wel. Het belang van de privacy van de individuele patiënt botst ten slotte met het belang van medische vooruitgang van de samenleving als geheel; het belang van ander patiënten en van toekomstige generaties bij het kunnen onderzoeken en vinden van nieuwe behandelmethodes. Een onafhankelijke instantie is in een betere positie om de individuele versus collectieve belangen, de huidige versus toekomstige belangen tegen elkaar af te wegen. Het medisch geheim wordt, ten aanzien van secundair gebruik van data dus niet zozeer ingeperkt, als wel verplaatst door de EHDS. En dat is in onze behoorlijk goed functionerende rechtsstaat, juridisch gezien best een logische keuze.

Wanneer treedt de EHDS in werking?

De EHDS vereist flink wat voorbereiding. Er moet een Health Data Access Body worden opgericht, er moet van alles aan software en hardware worden gebouwd of aan elkaar geknoopt en er moet aanvullende wetgeving worden geschreven. Daarom zal de EHDS in verschillende fasen van kracht worden. Wat gebeurt er wanneer ten aanzien van het nuttig hergebruik van gezondheidsgegevens?

EHDS privacy juridisch data

De EHDS leidt tot meer gezondheids(data)veiligheid

De komst van de EHDS zorgt voor maatschappelijke onrust. Zijn onze gezondheidsgegevens straks nog wel veilig? De verordening zal inderdaad meer data beschikbaar maken voor nuttig hergebruik. Maar tegelijk zullen gezondheidsdata ook veel beter beveiligd zijn. Hulde aan de EHDS dus.

EHDS privacy juridisch data

De rechtsstaat voor medisch wetenschappers

Als medisch wetenschapper kun je denken dat je (beroepsmatig) weinig te maken hebt met de rechtsstaat. Niets is minder waar. Begrip van de trias politica is bijvoorbeeld van belang om te weten wanneer je de AP kan negeren. Ook is het wel handig als je begrijpt dat een lobby begint met de vraag of VWS wel de juiste plek is.

Wie moet aanleveren aan de HDAB?​

Posted on by admin

Wie moet aanleveren aan de HDAB?

Acht stappen

EHDS-data moeten worden aangeleverd aan de Health Data Access Body als sprake is van een “houder” in de zin van de EHDS. Nu is dat een ingewikkeld geformuleerde kwestie en daarom moet ik hier een expliciet voorbehoud maken; ik doe een poging het te begrijpen en uit te leggen, meer dan dat is nu niet mogelijk. Alternatieve interpretaties heb ik evenwel (nog) niet kunnen vinden. Om te bepalen of data door iemand onder de EHDS moeten worden aangeleverd, moeten naar mijn idee acht stappen worden doorlopen, waarvan onderstaande mij de meest logische volgorde leek:

  1. Zijn de betreffende data EHDS-data?
  2. Valt dit binnen de werkingssfeer van het EU recht?
  3. Uitzondering voor rechtspraak, strafrecht en veiligheid?
  4. De micro-uitzondering?
  5. Als sprake is van persoonsgegevens: is de houder verwerkingsverantwoordelijke?
  6. Beschikt men rechtmatig over de data?
  7. Kan men feitelijk beschikken over de data?
  8. Valt men ook verder binnen de definitie van een houder?

Welke data sowieso niet

Allereerst moet de vraag worden beantwoord, of sowieso sprake is van EHDS-data. Als dat niet het geval is, dan is de EHDS niet van toepassing. Dat is ook niet het geval als iets buiten de werkingssfeer valt van het Europese recht. Nu is dat rijkelijk onduidelijk. In de AVG staat eenzelfde bepaling. Die onduidelijkheid is weggenomen doordat er in de (Nederlandse) Uitvoeringswet-AVG is bepaald, dat de AVG ook geldt buiten de werkingssfeer van de EU. Laten we hopen dat voor de EHDS hetzelfde wordt gedaan, dan is dat maar duidelijk. Voor zover de EHDS-data in handen zijn van de rechterlijke macht, of overheden die zich bezighouden met strafrecht of openbare veiligheid, zijn de data ook niet op te vragen. De volgende vraag die moet worden beantwoord, is of de houder een beroep kan doen op de micro-uitzondering; er hoeven geen data te worden aangeleverd door partijen die daar te klein voor zijn. Brussel meende dat dit een te zware administratieve belasting zou vormen. Er staat daarom in de EHDS dat niet hoeft te worden voldaan aan deze verordening door natuurlijke personen, door individuele wetenschappers, of door organisaties die bestaan uit minder dan tien man en die een omzet draaien van minder dat 2 Mio. Echter, soms zijn data die cruciaal zijn voor medisch-wetenschappelijk onderzoek, nu juist in handen van dergelijke kleine partijen. In de uitvoeringswetgeving die in Nederland nog zal worden geschreven, kan daarom opgenomen worden dat dergelijke micro-data(houders) alsnog worden meegenomen onder het bereik van de EHDS. 

Wel verantwoordelijken, niet verwerkers

Vervolgens moet worden vastgesteld of de opgevraagde data persoonsgegevens zijn in de zin van de AVG. Dat zijn gegevens over personen die identificeerbaar zijn; de AVG is pas van toepassing als redelijkerwijs kan worden achterhaald over welke personen de gegevens gaan, want alleen dan is de privacy in het geding. Om te bepalen of een natuurlijke persoon identificeerbaar is (AVG overweging 26): “moet rekening worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren, bijvoorbeeld selectietechnieken.” Dit is een relatief criterium: wat voor mij geen persoonsgegevens zijn (zoals een lijstje met BSN nummers), zijn dat voor het CBS vaak wel. Het is bovendien een context en tijd gerelateerd criterium. Gegevens die voor mijzelf geen persoonsgegevens zijn, zijn dat opeens wel (ook voor mij dus) als ik ze overdraag aan iemand voor wie het wel persoonsgegevens zijn. Als (en alleen als) er sprake blijkt te zijn van persoonsgegevens, dan moet in het kader van de EHDS de vraag worden gesteld of de houder van die data verwerkingsverantwoordelijke is, of uitsluitend een verwerker. Een verwerker is iemand die data verwerkt in opdracht van een verantwoordelijke, ook wel (joint)-controller genoemd. De term verantwoordelijke is niet een moreel begrip (iemand die zich verantwoordelijk zou moeten voelen), maar een feitelijk begrip (degene die bepaalt wat er met persoonsgegevens gedaan wordt). Het gaat om degene die daadwerkelijk beslissingen neemt over wat er met data gedaan wordt en waarom. Bijvoorbeeld een boekhouder, ingeschakeld door een diëtiste, is uitsluitend verwerker. De diëtiste is de verantwoordelijke die de besluiten neemt en die daarom verplicht is om zich te houden aan de AVG, en binnenkort dus ook aan de EHDS. De controller moet beide wetten naleven, de verwerker laat dat over aan zijn opdrachtgever. Een administratiekantoor van een zorgverlener, hoeft dus geen gezondheidsgegevens beschikbaar te maken voor (o.a.) onderzoek. Let echter op; dit onderscheid geldt uitsluitend als het om persoonsgegevens gaat. Ten aanzien van geanonimiseerde data, kan iedereen een verzoek van de HDAB krijgen, zo lijkt. Overigens moet men in gedachten houden dat de EHDS-verplichtingen dus rusten op alle AVG-verantwoordelijken en niet alleen op de partijen waar de data zijn ontstaan. Dus als een universiteit data heeft gekregen van een ziekenhuis om te analyseren, dan rust de EHDS-verplichting vervolgens op allebei. Als men in een project samenwerkt als joint-controllers ook. Academische instellingen kunnen dus de vruchten gaan plukken van deze verordening, maar krijgen ook verplichtingen om zelf data beschikbaar te stellen. 

Rechtmatigheidstoets

Check vervolgens aan de twee eisen die in de EHDS onder de definitie van houder staan. Samengevat komen die eisen erop neer dat men het recht (of de plicht) moet hebben om met de betreffende data te werken. De HDAB kan dus niet data opvragen die eigenlijk niet mogen bestaan, omdat ze bijvoorbeeld al lang geleden vernietigd hadden moeten worden. De andere eis is dat men de data feitelijk kan aanleveren. Een overheid mag immers nooit iemand een plicht opleggen waar hij niet aan kan voldoen. .

Tot slot: de vage definitie

De laatste vraag is of men een houder is in de zin van de EHDS: “een natuurlijke of rechtspersoon, overheidsinstantie, agentschap of ander orgaan in de gezondheidszorg- of de zorgsector, met inbegrip van, indien noodzakelijk, vergoedingsdiensten, alsook elke natuurlijke of rechtspersoon die producten of diensten ontwikkelt die bestemd zijn voor de gezondheids-, de gezondheidszorg- of de zorgsector, die wellnessapps ontwikkelt of vervaardigt, die wetenschappelijk onderzoek verricht in verband met de gezondheidszorg- of de zorgsector of optreedt als sterfteregister, alsook instellingen, organen of instanties van de Unie.”  Het belangrijkste is dat het gaat om: “elke natuurlijke of rechtspersoon of overheidsinstantie (…) in de gezondheidszorg of de zorgsector.” Het gaat dus niet alleen om overheid, niet alleen om ondernemingen, maar ook om (grotere) maatschappen van artsen. Bovendien gaat het niet uitsluitend om datahouders in de gezondheidszorg, maar ook die in de zorg. De zorgsector is daarbij gedefinieerd als “elke professionele dienst (…) met inbegrip van preventieve en ondersteunende maatregelen, om essentiële activiteiten van het dagelijks leven uit te voeren.” Dus ook de gegevens van kinderdagverblijven, UvA student-begeleiders, of coaches van asielzoekers, lijken hieronder te vallen (maar de Europese rechters zullen dat t.z.t. bepalen). Bovendien zijn inbegrepen ieder “die producten of diensten ontwikkelt die bedoeld zijn voor de gezondheidszorg of de zorgsector.” Dit betekent dat commerciële partijen ook verplicht worden om data aan te leveren aan wetenschappers (als aan de overige voorwaarden is voldaan).

De definitie van houder is zo breed dat het niet zinvol lijkt om te onderzoeken wie er allemaal wél onder valt. Beter kan men de vraag stellen; als het gaat om gegevens zoals opgenomen in het EHDS-lijstje, als men AVG-verantwoordelijke is (ipv verwerker) en men bovendien niet onder de micro-uitzondering valt, kan het dan zijn dat je niet valt binnen deze definitie van EHDS datahouder? Het enige antwoord dat mogelijkerwijs correct leek, was de (grotere) begrafenisondernemer. De laatste vraag, of men valt binnen deze definitie, zal dus meestal met ja worden beantwoord, als de eerdere 7 vragen bevestigend zijn beantwoord.

Pas op met het omdraaien van stappen

Tot slot: draai deze stappen niet zomaar om; je kunt weldegelijk EHDS-houder zijn (aanbieder van diensten aan zorgondernemingen, zoals vervoerders van lichaamsmaterialen), maar niet over EHDS-data beschikken. Vandaar dus dat het verstandiger is om te beginnen met de vraag of het sowieso EHDS data zijn, en als laatste vraag pas te beantwoorden of men houder is. Concluderend: zeer veel partijen zullen als houder van EHDS data deze op verzoek van de HDAB moeten aanleveren: alle gezondheidszorg- of zorgaanbieders, verpleeghuizen, dagopvang, alle vergoedingsdiensten, sterfteregisters, universiteiten, aanbieders van producten of diensten voor de gezondheidszorg aanbieden, inclusief aanbieders van fitbits, en dat alles ongeacht of het overheden, non-profit, of commerciële entiteiten zijn. 

Wanneer treedt de EHDS in werking?

De EHDS vereist flink wat voorbereiding. Er moet een Health Data Access Body worden opgericht, er moet van alles aan software en hardware worden gebouwd of aan elkaar geknoopt en er moet aanvullende wetgeving worden geschreven. Daarom zal de EHDS in verschillende fasen van kracht worden. Wat gebeurt er wanneer ten aanzien van het nuttig hergebruik van gezondheidsgegevens?

EHDS privacy juridisch data

De EHDS leidt tot meer gezondheids(data)veiligheid

De komst van de EHDS zorgt voor maatschappelijke onrust. Zijn onze gezondheidsgegevens straks nog wel veilig? De verordening zal inderdaad meer data beschikbaar maken voor nuttig hergebruik. Maar tegelijk zullen gezondheidsdata ook veel beter beveiligd zijn. Hulde aan de EHDS dus.

EHDS privacy juridisch data

De rechtsstaat voor medisch wetenschappers

Als medisch wetenschapper kun je denken dat je (beroepsmatig) weinig te maken hebt met de rechtsstaat. Niets is minder waar. Begrip van de trias politica is bijvoorbeeld van belang om te weten wanneer je de AP kan negeren. Ook is het wel handig als je begrijpt dat een lobby begint met de vraag of VWS wel de juiste plek is.

Welke data vallen onder de EHDS?

Posted on by admin

Welke data vallen onder de EHDS?

Dit stuk is met name een verzoek aan medische wetenschappers om input. De EHDS staat voor European Health Data Space, een Europese Verordening die rechtstreeks in Nederland zal gelden als wet. Hoofdstuk 4 hiervan ziet op het beter en veiliger beschikbaar maken van gezondheidsdata voor nuttig hergebruik, zoals wetenschappelijk onderzoek. Dat houdt in dat data over gezondheid (beveiligd!) beschikbaar moeten worden gemaakt als een nieuw overheidsorgaan (de HDAB) daartoe besluit. De EHDS bevat in artikel 51 een lijst van data die (in beginsel) beschikbaar moeten worden gemaakt. Er staat echter ook dat de lidstaten hier data aan mogen toevoegen. Het is dus belangrijk dat we deze lijst goed bestuderen en bedenken welke data er niet op staan, die toch ook belangrijk zijn voor wetenschap en beleidsevaluaties. Welke data gebruikt u als wetenschapper, die nog niet op onderstaande lijst staan? Wat missen we? Deel vooral jullie gedachten via het contactformulier.

Onder de EHDS vallen in elk geval de volgende data:

  • elektronische gezondheidsgegevens afkomstig van EPD’s;
  • gegevens over factoren die van invloed zijn op de gezondheid, met inbegrip van sociaal-economische, milieu- en gedragsdeterminanten van gezondheid;
  • geaggregeerde gegevens over behoeften op het gebied van gezondheidszorg, de aan gezondheidszorg toegewezen middelen, de verstrekking van en toegang tot gezondheidszorg, uitgaven voor gezondheidszorg en financiering van gezondheidszorg;
  • gegevens over pathogenen die van invloed zijn op de menselijke gezondheid;
  • administratieve gegevens op het gebied van gezondheidszorg, onder meer over verstrekkingen, claims inzake vergoedingen en vergoedingen;
  • humaan-genetische, epigenomische en genomische gegevens;
  • andere humaan-moleculaire gegevens, zoals proteomische, transcriptomische, metabolomische, lipidomische en andere “-omische” gegevens;
  • via medische hulpmiddelen automatisch gegenereerde persoonlijke elektronische gezondheidsgegevens;
  • gegevens afkomstig van wellnessapps;
  • gegevens met betrekking tot de beroepsstatus, en met betrekking tot de specialisatie en instelling van gezondheidswerkers die betrokken zijn bij de behandeling van een natuurlijke persoon;
  • gegevens uit registers van gezondheidsgegevens op bevolkingsniveau zoals volksgezondheidsregisters;
  • gegevens afkomstig van medische registers en registers over sterfte;
  • gegevens afkomstig van klinische proeven, klinische studies, klinische onderzoeken en prestatiestudies waarop Verordening (EU) nr. 536/2014, Verordening (EU) 2024/1938 van het Europees Parlement en de Raad, Verordening (EU) 2017/745 en Verordening (EU) 2017/746 van toepassing zijn;
  • overige gezondheidsgegevens afkomstig van medische hulpmiddelen;
  • gegevens afkomstig van registers voor geneesmiddelen en medische hulpmiddelen;
  • gegevens afkomstig van onderzoekscohorten, vragenlijsten en enquêtes in verband met gezondheid, zodra de daarmee verband houdende resultaten gepubliceerd zijn;
  • gezondheidsgegevens afkomstig van biobanken en bijbehorende databanken.

We kunnen dus, als Nederland zijnde, hier categorieën aan toevoegen, maar ik kan zelf niet bedenken wat er nog ontbreekt. Iemand suggereerde dat wellicht de gegevens van een vrucht, (juridisch) nog niet zijnde een natuurlijke persoon, erbuiten valt. Maar het lijkt me dat een vrucht weliswaar geen eigen EPD heeft, maar wel in een EPD staat? Daarom aan u de vraag: welke gezondheidsdata ontbreken, terwijl deze weldegelijk belangrijk zijn voor de medische wetenschap? Ik hoor het graag via het contactformulier, dan geef ik dit door aan de schrijvers van de EHDS-uitvoeringswetgeving.

Wanneer treedt de EHDS in werking?

De EHDS vereist flink wat voorbereiding. Er moet een Health Data Access Body worden opgericht, er moet van alles aan software en hardware worden gebouwd of aan elkaar geknoopt en er moet aanvullende wetgeving worden geschreven. Daarom zal de EHDS in verschillende fasen van kracht worden. Wat gebeurt er wanneer ten aanzien van het nuttig hergebruik van gezondheidsgegevens?

EHDS privacy juridisch data

De EHDS leidt tot meer gezondheids(data)veiligheid

De komst van de EHDS zorgt voor maatschappelijke onrust. Zijn onze gezondheidsgegevens straks nog wel veilig? De verordening zal inderdaad meer data beschikbaar maken voor nuttig hergebruik. Maar tegelijk zullen gezondheidsdata ook veel beter beveiligd zijn. Hulde aan de EHDS dus.

EHDS privacy juridisch data

De rechtsstaat voor medisch wetenschappers

Als medisch wetenschapper kun je denken dat je (beroepsmatig) weinig te maken hebt met de rechtsstaat. Niets is minder waar. Begrip van de trias politica is bijvoorbeeld van belang om te weten wanneer je de AP kan negeren. Ook is het wel handig als je begrijpt dat een lobby begint met de vraag of VWS wel de juiste plek is.

Waarom de EHDS?

Posted on by admin

Waarom de EHDS?

EHDS staat voor European Health Data Space. Het is een Europese wet die rechtstreeks in Nederland zal gelden, zoals ook de AVG. De Europese Unie heeft decennia geleden al het vrije verkeer van personen, goederen, kapitaal en diensten geïntroduceerd. De interne grenzen binnen de EU werden zoveel mogelijk afgeschaft. Het doel hiervan was economische groei, naast o.a. het ingewikkelder maken van een oorlog. Al snel realiseerde Brussel zich, dat dit vrije verkeer niet goed zou functioneren zonder vrij verkeer van data. Er moest dus ook een Europese, grensvrije data ruimte komen. De AVG was de eerste stap daartoe; om de vrije stroom van data te realiseren, moest in Europa de gegevensbescherming gelijkgetrokken worden. Privacy beschermen kunnen landen zelf ook wel, maar juist voor het realiseren van een vrij verkeer van data, was uniforme gegevensbescherming nodig.

Een data wetgevingsmatrix

Er is vervolgens een Europese datastrategie uitgewerkt, die zich het beste laat omschrijven als een wetgevingsmatrix. Enerzijds zijn er regels over alle data, ongeacht de inhoud. Deze zijn terug te vinden in de AVG, de Wet hergebruik overheidsinformatie, de Data Verordening en de Data Governance Verordening. Anderzijds zijn (en komen) er regels over bepaalde soorten data. Daartoe zijn er negen Data Spaces aangewezen, waaronder financiële data, vervoersdata en dus ook gezondheidsdata. Men moet zich dus bij het lezen van de EHDS bedenken dat deze wet uitsluitend goed te begrijpen is, als radartje in een groter geheel van wetten die elkaar aanvullen: Europese wetten zoals de AVG en de overige datawetgeving, maar ook Nederlandse wetgeving zoals de algemene wet bestuursrecht.

Economisch perspectief op zorg

De EHDS heeft als doel om de gezondheidszorg in Europa te verbeteren door een vrij verkeer van patiënten, zorgverleners en medisch wetenschappers te realiseren. Men verwachtte dat het vrije verkeer van goederen zou leiden tot economische groei en betere producten, en dat bleek te kloppen. Er werden ondersteunende regels geschreven, zoals dat je in de hele EU je online-bestelde producten binnen twee weken mag terugsturen. Consumenten krijgen zo het vertrouwen dat je rechtstreeks kan bestellen in heel Europa. Een goede Italiaanse bio-boer, kan zo de wijnmarkt in Wassenaar bedienen; prijzen gaan omlaag, kwaliteit omhoog. Men verwacht dat dergelijke voordelen ook in de zorg te realiseren zijn. Het is de bedoeling dat bijvoorbeeld Nederlandse radiologen MRI’s uit de gehele EU kunnen beoordelen. Brussel verwacht dat de zorg daarmee goedkoper en beter zal worden.

Bredere databeschikbaarheid

Daarnaast wil de EHDS innovatie stimuleren door gezondheidsdata beschikbaar te maken voor nuttig hergebruik. Universiteiten, ondernemingen of burgers kunnen straks allemaal een vergunning aanvragen om met gezondheidsdata te mogen werken. Of je deze vergunning krijgt, wordt beoordeeld aan de hand van de vraag of je een nuttig doel nastreeft zoals onderwijs, wetenschappelijk onderzoek, statistiek, maar ook het ontwikkelen van nieuwe producten, of het trainen van AI-systemen. Het besluit op je aanvraag, kun je zo nodig voorleggen aan een rechter, die kan toetsen aan onder meer het discriminatieverbod of de wetenschappelijke vrijheid. Het is dan bijvoorbeeld niet meer toegestaan dat een academisch ziekenhuis wel data deelt met een medici, maar niet met wetenschappers van de informatica faculteit.

Binnen strakke wettelijke kaders

Onzorgvuldigheid met gezondheidsgegevens is ongemakkelijk, onethisch en onrechtmatig. Delen mag volgens de AVG alleen als er voldoende “technische en organisatorische waarborgen” zijn. De EHDS schrijft voor wat dit inhoudt. Er moet (uitzonderingen daargelaten) een vergunning worden aangevraagd bij de Health Data Access Body; een nieuw overheidsorgaan. In de vergunning staan de exacte voorwaarden opgenomen en ook de EHDS bevat een lijst van dingen die men niet met de data mag doen. Op schending van die voorwaarden staan boetes. Men krijgt vervolgens niet de data, maar toegang tot de data in een beveiligde verwerkingsomgeving. Zo zou er in de hele Unie op een veilige manier meer kennis beschikbaar moeten komen. We hebben namelijk behalve een recht op gegevensbescherming, ook recht op informatie.

Wanneer treedt de EHDS in werking?

De EHDS vereist flink wat voorbereiding. Er moet een Health Data Access Body worden opgericht, er moet van alles aan software en hardware worden gebouwd of aan elkaar geknoopt en er moet aanvullende wetgeving worden geschreven. Daarom zal de EHDS in verschillende fasen van kracht worden. Wat gebeurt er wanneer ten aanzien van het nuttig hergebruik van gezondheidsgegevens?

EHDS privacy juridisch data

De EHDS leidt tot meer gezondheids(data)veiligheid

De komst van de EHDS zorgt voor maatschappelijke onrust. Zijn onze gezondheidsgegevens straks nog wel veilig? De verordening zal inderdaad meer data beschikbaar maken voor nuttig hergebruik. Maar tegelijk zullen gezondheidsdata ook veel beter beveiligd zijn. Hulde aan de EHDS dus.

EHDS privacy juridisch data

De rechtsstaat voor medisch wetenschappers

Als medisch wetenschapper kun je denken dat je (beroepsmatig) weinig te maken hebt met de rechtsstaat. Niets is minder waar. Begrip van de trias politica is bijvoorbeeld van belang om te weten wanneer je de AP kan negeren. Ook is het wel handig als je begrijpt dat een lobby begint met de vraag of VWS wel de juiste plek is.