De Health Data Access Body

Wie kan HDAB worden?

De Nederlandse overheid moet uiterlijk maart 2027 laten weten wie de Health Data Access Body zal worden; de instantie die gezondheidsdata beschikbaar gaat maken voor nuttig hergebruik. Deze HDAB verleent vergunningen, en is daarmee automatisch een overheidsorgaan. Immers, wie in een publiekrechtelijke wet is opgericht is overheid. Daarnaast is iedereen overheid die met openbaar gezag is bekleed, wat inhoudt dat men eenzijdig de rechtspositie van iemand kan vaststellen, zoals dus bepalen of iemand een vergunning krijgt. Er kan daarom bij het aanwijzen van de HDAB worden gekozen uit drie juridische opties:

men richt een geheel nieuw overheidsorgaan op in de Uitvoeringswetgeving-EHDS;
men wijst een bestaand overheidsorgaan aan als zijnde het orgaan dat voortaan ook de HDAB taken op zich neemt; of
men kiest voor een (bestaande of nieuwe) privaatrechtelijke organisatie, die met de uitvoeringswetgeving en de Kaderwet ZBO’s wordt ingebed in het publieke bestel en zo overheid wordt.

Juridische taken

Bij de inrichting van dit overheidsorgaan moet bedacht worden dat de HDAB zowel juridische, als feitelijke taken moet verrichten op grond van de EHDS. Alle juridische taken (die dus maken dat iets overheid is) kunnen niet worden uitbesteed. Dit betreft het verlenen van vergunningen, het opleggen van boetes of een last onder dwangsom. Deze bestuursrechtelijke besluitvorming zal niet eenvoudig zijn. De vergunningsaanvragen moeten worden getoetst aan de AVG en de EHDS, maar ook bijvoorbeeld aan het discriminatieverbod en de Europese vrij verkeersbepalingen. Er moet bovendien worden voldaan aan het overige Europese recht zoals de DataGovernanceVerordening, de DataVerordening en de Open Data Richtlijnen (geïmplementeerd in de Wet Hergebruik Overheidsinformatie), maar ook de Algemene wet bestuursrecht en het Intellectuele Eigendomsrecht. Er kan tegen een vergunning (of weigering ervan) bezwaar en beroep aangetekend worden. Als houders weigeren data beschikbaar te maken, moet een last onder bestuursdwang of dwangsom te worden opgelegd en ook daartegen kan geprocedeerd worden. De HDAB heeft dus flink wat goede juristen nodig.

Feitelijke taken

Daarnaast krijgt de HDAB onder de EHDS allerlei feitelijke taken, die eventueel wel kunnen worden uitbesteed. Het feit dat een overheid ergens verantwoordelijk voor is, betekent immers niet dat het dit zelf ook moet uitvoeren. Zo is de overheid ook verantwoordelijk voor goede scholen, maar dat zijn feitelijke taken, geen bestuursrechtelijke besluiten, en dus kan dit aan allerlei stichtingen worden uitbesteed. Op vergelijkbare wijze kan de HDAB opdrachten verlenen tot het uitvoeren van haar feitelijke taken, zoals het inrichten van een catalogus, anonimiseren of pseudonimiseren, het koppelen van databestanden, het in stand houden van een Nationaal Zeggenschapsregister, het controleren van de Beveiligde VerwerkingsOmgevingen, of het zorgen dat alle BVO’s interoperabel zijn. Dat zijn allemaal feitelijke taken die de HDAB zelf kan verrichten, maar die eventueel ook uitbesteed kunnen worden aan opdrachtnemers die dus niet overheid hoeven te zijn.

Wie kan niet HDAB worden

De HDAB mag geen belangen hebben bij de data of de vergunningsaanvraag, vanwege het verbod op tegenstrijdige belangen. Dit maakt dat het CBS eigenlijk afvalt als mogelijkheid, vanwege de commerciële activiteiten van microdata-services. De HDAB kan ook niet de Autoriteit Persoonsgegevens zijn, want die twee organisaties hebben tegengestelde taken (alles geheimhouden, versus meer data delen). Op gelijke wijze wordt de Markt Autoriteit apart genoemd in de EHDS, waaruit lijkt te volgen dat ook de ACM niet de HDAB kan worden. Het gerucht gaat dat VWS ervoor kiest om een enkel, geheel nieuw orgaan op te richten. Belangrijk is wel dat er streng wordt vastgehouden aan de EHDS eis dat er in de HDAB geen sprake mag zijn van tegenstrijdige belangen; zowel op organisatieniveau als ten aanzien van de mensen die werkzaam zijn in de HDAB. Dat een bestuurder van de HDAB ook lid is van bijvoorbeeld de Raad van Toezicht van datahouders of datagebruikers, is dus zeer onwenselijk.

HDAB versus Autoriteit Persoonsgegevens

Nota bene, de HDAB krijgt ook taken ten opzichte de natuurlijke personen op wie de data betrekking hebben (patiënten, of eigenlijk alle burgers). Het gaat daarbij om de manier waarop de HDAB zelf met persoonsgegevens omgaat. De HDAB moet aan allerlei AVG vereisten voldoen ten aanzien van transparantie. Daarnaast houdt de HDAB toezicht op datahouders en datagebruikers; ze toetst of een vergunningsaanvraag aan de AVG voldoet, en of er binnen de BVO’s gewerkt wordt conform de AVG. Maar als blijkt dat door iemand anders de AVG wordt geschonden, bijvoorbeeld omdat het Nationaal Zeggenschapsregister niet is gerespecteerd, dan geeft de HDAB die informatie aan de Autoriteit Persoonsgegevens, die zal optreden. Wat dit tweede betreft moet er dus door de HDAB worden samengewerkt met de Autoriteit Persoonsgegevens. Wat het eerste betreft staat de HDAB zoals andere overheden onder toezicht van de AP.

Groot genoeg

Er kan tot slot gekozen worden voor een enkele HDAB of meerdere, waarbij er een als coördinerende HDAB moet worden aangewezen. Gezien het feit dat er een flink aantal goed opgeleide juristen nodig is in de HDAB, en gezien het feit dat we maar een klein landje zijn, lijkt het onlogisch om meerdere HDAB’s op te richten. Tegelijkertijd moet ervoor worden opgepast dat de HDAB die wordt opgericht, niet te klein is. Er is discussie over de vraag wanneer de EHDS van toepassing is. Er zijn mensen die zeggen dat dit alleen het geval is, als men er zelf voor kiest om gebruik te maken van de HDAB-route. Als men inderdaad zelf mag kiezen of men een vergunning aanvraagt of niet, dan hoeft de HDAB niet zo groot te zijn. Als men vrijwel altijd een vergunning nodig heeft (tenzij men zich kan beroepen op een van de uitzonderingen in artikel 1), dan zal de HDAB groot genoeg moeten zijn. Immers, als er door wetenschappers meer vergunningen worden aangevraagd dan de HDAB kan verwerken, dan kan het wetenschappelijk onderzoek in Nederland stagneren door capaciteitstekorten bij de HDAB. Dat is natuurlijk niet de bedoeling.

De Wet Zeggenschap Lichaamsmateriaal moet herschreven worden

De EHDS gaat over data en dus niet over lichaamsmateriaal. De concept-Wet Zeggenschap Lichaamsmateriaal gaat over materiaal en dus niet over data. Daarmee zou men dus kunnen denken dat er geen overlap is. Maar als je data uit materiaal haalt, dan doe je en iets met data, en ook iets met materiaal. Daarom bespreek ik hier wat ik vind van de concept-WZL. Spoiler alert: het is echt bagger.

De EHDS en de Beveiligde VerwerkingsOmgeving

Er moet onder de EHDS worden gewerkt in een Beveiligde VerwerkingsOmgeving (BVO). Wetenschappers krijgen geen data, maar toegang daartoe in een BVO die voldoet aan krachtens de EHDS vastgestelde strenge technische en veiligheidsnormen. Wat houdt dat in? En moet voortaan iedereen in een dergelijke BVO werken? Wordt dat een supercomputer met al onze gezondheidsdata?

Wanneer treedt de EHDS in werking?

De EHDS vereist flink wat voorbereiding. Er moet een Health Data Access Body worden opgericht, er moet van alles aan software en hardware worden gebouwd of aan elkaar geknoopt en er moet aanvullende wetgeving worden geschreven. Daarom zal de EHDS in verschillende fasen van kracht worden. Wat gebeurt er wanneer ten aanzien van het nuttig hergebruik van gezondheidsgegevens?

De rechtsstaat voor medisch wetenschappers

We hebben tegenwoordig een (best) goed functionerende overheid. Er wordt weleens vergeten dat dit vroeger anders was, of dat dit in veel andere landen nog steeds niet zo is. Juristen leren tijdens hun opleiding dat het belangrijk is om de rechtsstaat te blijven verdedigen, zodat we nooit terugvallen naar een dictatuur. Als medisch wetenschapper kun je denken dat dit niet jouw taak is, dat je er niets vanaf hoeft te weten. Niets is minder waar. Begrip van de Trias Politica is bijvoorbeeld van belang om te weten wanneer je de Autoriteit Persoonsgegevens kan negeren. Ook is het nuttig als je begrijpt dat een lobbycampagne start met de vraag of het Ministerie van VWS wel de juiste plek is. Daarom zet ik hier voor medisch wetenschappers enige basisprincipes uiteen.

De Autoriteit Persoonsgegevens heeft weleens ongelijk

Een belangrijk onderdeel van onze rechtsstaat is de machtenscheiding, de Trias Politica. De wetgevende macht stelt de regels op (een Ministerie schrijft een concept-wet, maar het Parlement besluit). Voor zover de regels vaag zijn of er sprake is van uitzonderingen, geeft de rechtsprekende macht nadere invulling. Daarnaast hebben we de uitvoerende macht waar ook de handhavende instanties onder vallen. Zij kunnen boetes opleggen. Om machtsmisbruik te voorkomen, mogen zij echt alleen uitvoeren en geen regels opstellen of interpreteren. Dit betekent dat een instantie zoals de Autoriteit Persoonsgegevens niet kan bepalen wat het recht inhoudt (zo ook Zwenne en Hallinan p.27). De positie van de AP is hetzelfde als die van een politieagent. Deze kan wel bepalen dat bijvoorbeeld inbraken meer prioriteit krijgen dan wildplassen, maar hij kan niet zelf bepalen dat kinderen op een fatbike voortaan een boete krijgen. Op gelijke voet kan de AP wel vinden dat iets tot haar takenpakket behoort, maar als dat niet in de AVG staat, dan kan er geen boete worden opgelegd. Ook wat op de website van de AP staat, is niet per definitie juist. Net als de “opinies” van de EDPB zijn ze precies dat: een mening, waarvan uiteindelijk de rechter bepaalt of die juist is. Op gelijke wijze is het nuttig om bij gedragsregels van de IGJ de vraag te stellen of deze nu echt duidelijk uit een wet voortvloeien. Want zo niet, dan kan op grond van het legaliteitsbeginsel geen boete opgelegd bij het negeren van dergelijke regels. Een kritische houding is geen burgerlijke ongehoorzaamheid, maar een belangrijke bescherming van de rechtsstaat.

Stichting Proefprocessen nuttig voor duidelijkheid

Hieraan gerelateerd is het volgende punt: als er een probleem wordt geconstateerd, dan moet op de juiste plek om een oplossing worden gevraagd. Bijvoorbeeld; de AVG is een erg onduidelijke wet. De medisch-wetenschappelijke sector kijkt vragend naar het Ministerie van VWS voor duiding. Maar dit Ministerie kan helemaal geen uitleg geven aan een bestaande wet, die bovendien niet van haar afkomstig is. De AVG zou herschreven kunnen worden, maar dat kan alleen het Europees Parlement doen. Het heeft ook geen zin als ZonMw iemand betaalt voor het schrijven van gedragsregels of codes. Want als die niet daadwerkelijk door rechters worden gebruikt om invulling te geven aan een vage wet, dan hebben die codes domweg geen enkele juridische status. De AVG kan uitsluitend verduidelijkt worden door rechters, maar daarvoor zal men dus concrete vragen moeten voorleggen aan de rechtbank. Over het algemeen is men wars van procederen, maar maatschappelijk gezien hebben procedures een belangrijke functie: het recht wordt daar verduidelijkt. Daarom is het veel nuttiger als bijvoorbeeld de KNAW samen met de FNV een stichting proefprocessen voor medisch-wetenschappers opricht. Overigens is rechten geen harde wetenschap (daarom heet de studie dus rechtsgeleerdheid.) In veel conflicten is er voor beide kanten wel wat te zeggen; anders zou er niet zo vaak doorgeprocedeerd worden tot aan de hoogste rechter. Het is argumentatieleer op hoog niveau. Partijen die hiervan doordrongen zijn, weten dat argumenten van hoogleraren zwaar wegen, reden waarom weleens de portemonnee getrokken wordt om een bijzonder hoogleraar aan te stellen; dat is gewoon een vorm van lobbyen.

En check of je echt bij het juiste Ministerie zit

Wil men een nieuwe wet, dan moet men zich bovendien tot het juiste Ministerie wenden. Er wordt bijvoorbeeld geklaagd dat het BSN niet (of niet altijd?) gebruikt mag worden door wetenschappers om bestanden te koppelen. Men gebruikt regelmatig de (gepseudonimiseerde) NAW gegevens, maar dat is qua privacy slechter en leidt ook tot meer fouten. Er wordt dus gelobbied voor een aanpassing in de wet bij het Ministerie van VWS. Maar het BSN-verbod staat in de uitvoeringwet bij de AVG. Dan is het ook logisch om in diezelfde wet een regel op te nemen dat het BSN door wetenschappers gebruikt mag worden. Het is immers niet logisch om voor medische wetenschappers andere regels te schrijven dan voor sociale wetenschappers of criminologen. Het Ministerie van Justitie gaat over de (U)AVG en daarom is Justitie de juiste plek om te lobbyen voor een wetswijziging. En mocht men het niet eens worden over het juiste Ministerie voor een concept-wet, bedenk dan dat alle wetten uiteindelijk aangenomen worden door het Parlement. Een lobby bij de Tweede Kamer (die iets kan toevoegen aan een wetsvoorstel dat al ter tafel ligt) is dus logischer dan bij VWS, als het gaat over het adresseren van de BSN kwestie.

Conflictregels en logisch redeneren

Ook verder loont het de moeite om af en toe stil te staan bij het grotere rechtssysteem en de exacte rolverdeling. Zo zijn er de conflictregels. Tegenwoordig gaan er veel mensen aan de haal met de term “lex specialis.” Ze noemen iets een bijzondere wet, die dus voorgaat. Dat is te kort door de bocht. Allereerst moet men checken of er sowieso sprake is van twee verschilende regels die een andere kant uitwijzen. Zonder conflict, geen toepasselijkheid van conflictregels. Vervolgens is het belangrijk vast te stellen dat er een volgorde zit in de conflictregels: (i) hoger recht gaat altijd voor lager recht, (ii) bijzonder recht gaat voor algemeen recht en (iii) nieuw recht gaat voor oud recht. De tweede regel, de lex specialisregel, wordt dus uitsluitend toegepast als men er met de eerste regel niet uit komt. Gevolg hiervan is dat een bijzondere maar lagere wet (zoals de WGBO) nooit Europees recht opzij kan zetten. Wat wel mogelijk is, is dat een nationale wet (de wet politiegegevens) van toepassing is in plaats van de AVG, omdat de AVG zelf bepaalt dat die niet van toepassing is op politiegegevens. Maar dat maakt van de WPG nog geen lex specialis. Pas ook op voor ongeldige redeneringen. Als een wet bepaalt dat een dossier twee jaar moet worden bewaard, dan is er dus niets bepaald over wat er in het derde jaar moet gebeuren. Er staat niet in de wet dat het dossier na twee jaar moet worden vernietigd; dat hangt af van de vraag of er na die 2 jaar een andere goede reden dan de wet is, om het alsnog te bewaren.

De WGBO is contractenrecht

Ook verder loont het de moeite om af en toe stil te staan bij het grotere rechtssysteem. Zo wordt vaak over het hoofd gezien dat de WGBO een onderdeel is van het contractenrecht; het staat gewoon in het burgerlijk wetboek tussen het huurrecht en het arbeidsrecht. Dat brengt drie dingen mee; allereerst is het zacht als boter. Het contractenrecht staat namelijk vol met open normen zoals de redelijkheid & billijkheid en de goeder trouw. Wat een zorgovereenkomst in een concreet geval inhoudt, wordt dus niet puur door de letter van de WGBO bepaald, maar net zo goed door de omstandigheden van het geval, en wat partijen in redelijkheid van elkaar mochten verwachten. Bovendien is de WGBO, als onderdeel van het contractenrecht ‘remedierecht.’ Dat betekent dat het geschreven is, voor als een partij niet doet wat er is afgesproken. Stel bijvoorbeeld dat een arts gegevens beschikbaar heeft gesteld voor onderzoek zonder toestemming te vragen. Dan kan men dat aan een rechter voorleggen, maar die toetst gewoon: is er wanprestatie? Check. Is er schade? Waarschijnlijk niet, behalve dat het vervelend wordt gevonden. En is er bewijs van causaal verband tussen de wanprestatie en die schade? Je zult begrijpen dat de patiënt niet altijd zoveel kan met de medische geheimhoudingsplicht in de WGBO (wel in de wet BIG dus). Dit geldt temeer omdat hij mogelijk 250 euro schadevergoeding kan krijgen, maar de procedure (zonder toevoeging) al snel 5.000 euro kost. De WGBO wordt namelijk, anders dan men denkt, alleen door de civiele rechter toegepast. De IGJ moet zich immers, op grond van het specialiteitsbeginsel beperken tot die wetten waarin staat dat ze worden gehandhaafd door de IGJ, en dat is bij de WGBO dus niet het geval. Kortom, staar je niet blind op de inhoud van een enkele regel en beoordeel het altijd in het grotere systeem.

Tag: autoriteit Persoonsgegevens