Het Ministerie van VWS gaat binnenkort bepalen wie de HDAB wordt; bij wie straks vergunningen worden aangevraagd voor nuttig hergebruik van gezondheidsgegevens. Wie kunnen dit worden, wie juist niet? En wat moet deze HDAB allemaal doen?
De EHDS en de beveiligde verwerkingsomgeving
Technische Verseisten van de Europese Commissie
Er moet onder de EHDS worden gewerkt in een Beveiligde VerwerkingsOmgeving (BVO). Wetenschappers krijgen geen data, maar toegang daartoe in een BVO die voldoet aan krachtens de EHDS vastgestelde strenge technische en veiligheidsnormen. Wat deze vereisten exact gaan zijn, dat weten we nu nog niet. Deze worden uiterlijk maart 2027 door de Europese Commissie vastgesteld (zie tijdslijn). De Europese Commissie zal ook de lidstaten bijstaan om de veiligheid en de interoperabiliteit van de verschillende Beveiligde VerwerkingsOmgevingen te bevorderen. Dergelijke veiligheidsvereisten kunnen niet voorschreven worden in de EHDS zelf. Risico’s en beveiliging ontwikkelen zich immers sneller dan nieuwe Europese wetgeving.
HDAB en BG's houden toezicht
Let op: er zijn partijen die stellen dat er slechts één enkele BVO zal komen, die beheerd wordt door de HDAB. Dit zou dan een supercomputer worden waar alle Nederlandse gezondheidsgegevens in zouden komen te staan. Dit is niet het geval. De EHDS spreekt duidelijk van meerdere BVO’s. Iedere Betrouwbare Gegevenshouder (BG) moet ook beschikken over een BVO en waarschijnlijk kunnen onder meer de academische ziekenhuizen dit allemaal worden. De HDAB en de BG’s moeten altijd toezicht houden op wat er precies in hun BVO gebeurt, zodat aan de wetenschapper uitsluitend toegang wordt verleend in lijn met de exacte voorwaarden van zijn vergunning. Ergo, degene die over een BVO beschikt, moet in staat zijn om af te dwingen dat zowel de AVG als de EHDS nageleefd worden. Wetenschappers mogen niet zomaar een andere wetenschapper toegang verlenen als die niet ook op de vergunning staat. En uitsluitend niet-persoonsgebonden data (dus anonieme of geaggregeerde data) mogen vanuit een dergelijke BVO worden gedownload. Ze mogen uiteraard wel van de ene naar de andere BVO, waartoe interoperabiliteit moet worden gerealiseerd. De log-gegevens van de verwerkingen in de BVO moeten minstens een jaar bewaard worden om te kunnen controleren of de vergunningsvoorwaarden juist zijn nageleefd. Op deze manier is de BVO een essentiële waarborg om de rechten en vrijheden van patiënten met betrekking tot de verwerking van hun gezondheidsgegevens voor secundair gebruik te beschermen.
Die BVO moet altijd verplicht zijn
Er is kritiek hoorbaar op de EHDS, die beoogt om meer gezondheidsdata beschikbaar te maken voor nuttig hergebruik. Belangrijk is het om voor ogen te houden dat de idee van deze wet is om meer data beschikbaar te maken, juist door dit veiliger te maken; in de gecertificeerde BVO’s dus. Belangrijk is het hierbij om op te merken dat er mensen zijn die denken dat je straks vrijelijk kan kiezen of je een datavergunning aanvraagt, en dat je daarmee zelf zorgt dat je onder de EHDS valt. Daaruit volgt dat je dus ook zelf zou kunnen kiezen of je verplicht in een BVO moet werken of niet. Dat je mag kiezen of je ergens toe verplicht bent, lijkt mij een onhoudbaar standpunt. Maar mocht blijken dat ik ongelijk heb, en men weldegelijk vrijelijk kan kiezen of men een vergunning aanvraagt, dan zou in de uitvoeringswetgeving moeten worden opgenomen dat werken in een (door de Europese Commissie beschreven) BVO vanaf 2029 altijd verplicht is, ook als men niet de route via de HDAB bewandelt.
De EHDS vereist flink wat voorbereiding. Er moet een Health Data Access Body worden opgericht, er moet van alles aan software en hardware worden gebouwd of aan elkaar geknoopt en er moet aanvullende wetgeving worden geschreven. Daarom zal de EHDS in verschillende fasen van kracht worden. Wat gebeurt er wanneer ten aanzien van het nuttig hergebruik van gezondheidsgegevens?
De komst van de EHDS zorgt voor maatschappelijke onrust. Zijn onze gezondheidsgegevens straks nog wel veilig? De verordening zal inderdaad meer data beschikbaar maken voor nuttig hergebruik. Maar tegelijk zullen gezondheidsdata ook veel beter beveiligd zijn. Hulde aan de EHDS dus.