Who can be a member in the EHDS-board?

Posted on 13 april 202621 april 2026 by Antoinette

Who can be member of the board?

The EHDS Board: a new job in Brussels

The European Health Data Space (EHDS) has been in force for a year. Currently, the European Commission is working hard on the practical elaborations. As a result, the first implementing regulation is now a fact. This regulation focuses on establishing the EHDS Board. But who is actually allowed to sit on this board on behalf of a Member State?

That question is less clear than it seems. Specifically, the EHDS stipulates that the board consists of two representatives per Member State. One member is appointed for primary data use, and the other for secondary use. This sounds quite broad. Consequently, you might think a country like the Netherlands can send anyone with relevant expertise. For example, this could be someone from the Health Data Access Body (HDAB) or a university professor. It could even be an expert from a national public health organization.

Affiliated with an authority?

However, the new implementing regulation tightens the reins. Member States must submit the names of their representatives. In addition, they must explicitly state to which “Member State authorities” these individuals are affiliated. What exactly is meant by this requirement? This can be interpreted in two different ways.

The broad interpretation: This could mean any public authority of a Member State. This aligns perfectly with the broad European definition of ‘authority’, as seen in the Farrell judgment. Therefore, organizations like the RIVM or ZonMw could simply join as full members instead of advisory experts.
The narrow interpretation: In this view, the word ‘authority’ refers exclusively to the Digital Health Authority (ADG) and the HDAB. This is analogous to how the GDPR handles the concept. In that case, we must establish these bodies quickly to participate in the EHDS Council.

Subgroups in the EHDS Board

Article 92(6) of the EHDS does not make the situation any clearer. It states that the Council may be divided into subgroups. Furthermore, it stipulates that the ADGs and HDABs must be represented in these specific subgroups.

Does this mean (a contrario) that the Board itself does not have to consist exclusively of such representatives? Or is this precisely proof that all Council members must come from those two specific authorities?

Preferably someone who sees the benefits

Ultimately, the answer to this question is crucial for structuring public data governance. If the narrow interpretation is correct, an organization like the RIVM cannot hold the seat for secondary use. However, excluding public health organizations would be a missed opportunity. Sending a representative who experiences the practical benefits of the EHDS seems like an excellent idea. Conversely, a regulator might act mainly from the perspective of enforcement and risk.

Therefore, I hope for the broad interpretation, but I fear the stringent one. If the narrow interpretation is indeed correct, quick action is essential. Member States must establish the ADG and the HDAB as soon as possible. Otherwise, they risk missing the first crucial meetings of the Board.

The EHDS, PFAS and marriage counseling

The EHDS has been in effect for a year. From PFAS to chronic complaints: this is how the reuse of health data works in practice.

EHDS everywhere or just a layer on top?

EU countries build EHDS access services on top of their current national systems. But there is no discussion whether the EHDS allows this.

The free flow of health-ICT

The Ministry of Health, Welfare and Sport (VWS) recently opened a consultation for the Global Technical Design of the Generic Function Addressing: a kind of address book for healthcare providers. This is an important step for Dutch healthcare, but if you view this document through the lens of European law, I do see some tension.

Wie mag er in de EHDS-Raad?

Posted on 13 april 202620 april 2026 by Antoinette

Wie mag in de EHDS-Raad?

Zit het RIVM straks in de EHDS-Raad?

De EHDS is een jaar van kracht en de Europese Commissie werkt hard aan de uitwerkingen. De eerste implementerende verordening (2026/771) is een feit: de oprichting van de EHDS-Raad. Maar wie mag daar namens Nederland in zitten? Dat is onduidelijker dan het lijkt. De EHDS zelf bepaalt dat de Raad bestaat uit “twee vertegenwoordigers” per lidstaat, één voor primair en één voor secundair gebruik. Dat klinkt ruim. Je zou zeggen: Nederland kan iedereen sturen die hier veel verstand van heeft, of dat nu iemand van de Health Data Access Body (HDAB) is, een hoogleraar, of een expert van het RIVM (een organisatie die bij uitstek zal profiteren van databeschikbaarheid).

Gelieerd aan een autoriteit?

Maar de nieuwe uitvoeringsverordening trekt de touwtjes strakker aan. Lidstaten moeten de namen van hun vertegenwoordigers doorgeven, plús “de autoriteit van de lidstaat waaraan zij gelieerd zijn.” Wat wordt hier precies mee bedoeld? Dit laat zich op twee manieren lezen:
– De ruime lezing: Het mag willekeurig welke publieke autoriteit van een lidstaat zijn (in lijn met de ruime Europese definitie van ‘autoriteit’, zoals in het Farrell-arrest). Het RIVM of ZonMw kan dan gewoon aanschuiven als lid, in plaats van als adviserend expert.
– De enge lezing: Het woord ‘autoriteit’ verwijst hier exclusief naar de Autoriteit Digitale Gezondheid (ADG) en de HDAB, analoog aan hoe de AVG met dit begrip omgaat. Dan zouden we dus snel deze organen in het leven moeten roepen, om sowieso mee te kunnen praten in de EHDS-raad.

Subgroepen in de EHDS-Raad

Artikel 92 lid 6 van de EHDS maakt het er niet helderder op. Dat stelt dat de Raad kan worden opgedeeld in subgroepen waarvan expliciet is bepaald dat de ADG’s en HDAB’s vertegenwoordigd moeten zijn. Betekent dit (a contrario) dat Raad zelf dus niet uitsluitend uit dergelijke vertegenwoordigers hoeft te bestaan? Of is dit juist het bewijs dat álle leden van de Raad uit die twee specifieke autoriteiten moeten komen?

Liever iemand die ziet welke voordelen de EHDS oplevert

Het antwoord op deze vraag is cruciaal voor de inrichting van de Nederlandse data-governance. Als de enge lezing klopt, mag een organisatie als het RIVM niet de Nederlandse zetel voor secundair gebruik innemen in de EHDS-raad. Dit terwijl het mij juist een uitstekend idee lijkt om een afgevaardigde te sturen die primair de voordelen en kansen van de EHDS in de praktijk ervaart, in plaats van een toezichthouder die vooral vanuit handhaving en risico’s zal acteren. Ik hoop dus op de ruime interpretatie, maar vrees de stringente. Als die laatste interpretatie juist is, dan is het wel zaak om zo snel mogelijk de ADG en de HDAB op te richten, om de eerste vergaderingen van de EHDS-Raad niet te missen.

De definitie van wetenschap in de digitale Omnibus

Hoe definieert de EU 'wetenschappelijk onderzoek' in de Digitale Omnibus? Antoinette Vlieger reageert op de kritiek. Wetenschap is iets anders dan goede wetenschap en dit moet zo blijven.

Lang leve AI, zegt AI!

Veel mensen zijn bang dat hun baan op de tocht staat door AI. Ik besloot de vraag om te draaien en vroeg Gemini: welke klussen ga jij overnemen waar we blij van worden? Zie hier haar eigen, optimistische antwoord:

De EHDS, PFAS en relatietherapie

De EHDS is vandaag één jaar van kracht. Maar wat hebben we daar in de praktijk aan? Denk bijvoorbeeld aan: PFAS, de overgang en relatietherapie.

A persistent EHDS misunderstanding

Posted on 4 februari 202621 april 2026 by Antoinette

A persistent EHDS misunderstanding

Letter from the Dutch Minister of Helath

On January 20, 2026, the Dutch Minister of Health, Welfare and Sport sent a letter to the House of Representatives, informing it about the current status of the EHDS implementation. This letter was largely excellent and clear. However, it contained a persistent misunderstanding regarding the EHDS Catalogue and the Permit application process (DAAMS = Data Access Applications Management Solution).

On page 6, the letter lists four items or functions that must be developed in the coming years to ensure a well-functioning Health Data Access Body (HDAB)—the new government body where permits can be requested to reuse health data for public health purposes. The Minister describes the first of these as a national dataset catalog that provides insight into the location of data available for secondary use. This description is incorrect, as one can also apply for a permit concerning data that are not included in the catalog. Describing the catalog in this way would make the EHDS significantly less useful to science than the EU intended.

What should be included in the catalog?

To understand the difference between the EHDS Catalogue and the Permit DAAMS, we must first look at what belongs in the catalogue. Every entity (except micro entities) that holds EHDS data collected in a set is legally required to register those sets in the national catalogue. These datasets are defined as a “structured collection of electronic health data.” They must be labeled according to the Health DCAT-AP metadata standard so that researchers can more easily search throughout Europe for reusable datasets. The National Catalogue will hereto be linked to a European Catalogue.

What can you apply for at the HDAB?

However, what one can request from the HDAB, as a researcher, encompasses more than what is listed in the catalogue. One can apply for a permit to work with “data,” and this is defined separately in the EHDS (a definition that stems from the Data Governance Act). Data concerns: “any digital representation of acts, facts or information and any compilation of such acts, facts or information, including in the form of sound, visual or audiovisual recording.”

The difference is that datasets are “structured collections” of data, while “data” also includes all kinds of unstructured data that have never been collected in a structured set. Does it matter whether or not the application procedure (DAAMS) is restricted to the catalogue? Absolutely, it makes a big difference.

Dangers of limiting DAAMS to the Catalogue

Does it matter whether or not the application procedure (DAAMS) is restricted to the catalogue? Absolutely, it makes a big difference. Limiting the system creates three major obstacles:

You cannot label unstructured data: It is often mistakenly thought that data holders must register all unstructured data in the catalog. Healthcare institutions would have to inventory all healthcare data, regardless of scientific interest, which is highly inefficient and practically impossible to implement. Furthermore, providing metadata for unstructured data so that others understand it is extremely difficult. Because including all unstructured healthcare data in a catalog cannot be effectively implemented, it won’t work.
Unstructured data cannot be applied for: If not all EHDS data are in the catalogue, and the application process is limited to the catalogue, many types of data cannot be requested. Limiting the DAAMS to the catalogue means secondary use is restricted to data that has already been used for research or statistics. Extracting previously uncollected and unstructured data from the healthcare system will not be possible. Instead, it is more logical to search for data only when requested through a separate permit procedure.
Rare and new data cannot be collected: Existing datasets contain very little rare data, as scientists often choose readily available data to advance their careers. The EHDS licensing system is designed to solve the problem of data being difficult to find. If data holders must submit datasets annually and the application is limited to this, we could not request newly generated data during a pandemic. This contradicts the fact that the EHDS is explicitly intended to make fast data collection possible in such situations.

Split catalogue and application process for greater impact

The EHDS introduces a permit for both requesting data from society and reusing existing datasets. Article 67 of the EHDS contains a list of everything that must be submitted when applying for a permit. Notably, this article does not mention the catalog at all. It requires “a description of the requested electronic health data, including their scope, time range, format, sources and, where possible, the geographical coverage”. The word “data holder” surprisingly does not appear there.

Moreover, recital 73 states that the HDAB should assist health data users in the selection of suitable datasets or data sources for secondary use. This means the scientist, together with the HDAB, has to locate the data. A general indication of the sources is enough for the application, after which the HDAB must further assist.

To make scientific progress in new directions possible, the system must be designed correctly. The EHDS Permit DAAMS therefore should not require an applicant to designate a dataset that is already neatly listed in the catalogue. Only by splitting the catalogue and the application process can the EHDS achieve its true potential.

The EHDS, PFAS and marriage counseling

The EHDS has been in effect for a year. From PFAS to chronic complaints: this is how the reuse of health data works in practice.

EHDS everywhere or just a layer on top?

EU countries build EHDS access services on top of their current national systems. But there is no discussion whether the EHDS allows this.

The free flow of health-ICT

Een hardnekkig EHDS misverstand

Posted on 4 februari 202620 april 2026 by Antoinette

Een hardnekkig EHDS misverstand

Brief van de Minister

Op 20 januari 2026 stuurde de Minister van VWS een brief naar de Tweede Kamer, om deze te informeren over stand van zaken rond de implementatie van de EHDS. Dit was grotendeels een uitstekende en heldere brief. Echter, er stond een hardnekkig misverstand in. Op pagina 6 staan vier zaken of functies die de komende jaren ontwikkeld moeten worden ten behoeve van een goed functionerende Health Data Access Body, het nieuwe overheidsorgaan waar vergunningen kunnen worden aangevraagd om gezondheidsdata te hergebruiken ten behoeve van de Volksgezondheid. De Minster beschrijft de eerste daarvan als volgt: “Een nationale datasetcatalogus: door middel van een catalogus wordt inzichtelijk gemaakt waar welke datacategorieën voor secundair gebruik zich bevinden.” Deze omschrijving klopt niet, omdat men bij de HDAB ook data kan opvragen die niet in de catalogus staan. De catalogus toch zo omschrijven, zal ertoe leiden dat de EHDS een stuk minder nut heeft voor de wetenschap, dan de EU heeft beoogd.

Wat moet er in de catalogus staan?

Iedereen die houder is van EHDS-data die verzameld zijn in een set, wordt wettelijk verplicht om die sets aan te melden in de nationale catalogus. Dit zou de catalogus van Health-Ri kunnen zijn, maar ook bijvoorbeeld de catalogus van DANS, opgezet door onder meer de Koninklijke Academie van Wetenschappen. DANS behoort tot de meest vooraanstaande repositories van Europa. De op te richten HDAB zal hierin een keuze moeten maken. Wat datahouders bij de HDAB moeten aanmelden (jaarlijks) om te worden opgenomen in de catalogus, zijn al hun datasets. Deze zijn gedefinieerd als: “een gestructureerde verzameling van elektronische gezondheidsgegevens.” Deze datasets moeten straks een etiket krijgen volgens Health DCAT-AP (een standaard voor metadata) zodat onderzoekers makkelijker in heel Europa naar datasets kunnen zoeken, die zij voor hun onderzoek kunnen hergebruiken. De Nationale Catalogus wordt namelijk gekoppeld aan een Europese Catalogus.

Wat kan je bij de HDAB aanvragen?

Wat men bij de HDAB kan aanvragen, als onderzoeker, omvat echter meer dan wat er in de catalogus staat. Men kan namelijk een vergunning aan vragen om te werken met “data” en dit wordt in de EHDS apart gedefinieerd (waarbij verwezen wordt naar de Data Governance Verordening). Data betreft: “elke digitale weergave van handelingen, feiten of informatie en elke compilatie van dergelijke handelingen, feiten of informatie, ook in de vorm van geluidsopnames of visuele of audiovisuele opnames.” Het verschil zit erin dat datasets dus “gestructureerde verzamelingen” van data zijn, terwijl “data” dus ook allerlei ongestructureerde data betreffen, die nog nooit zijn verzameld in een gestructureerde set. Maakt dit uit? Jazeker, dit maakt veel uit.

Ongestructureerde data kan je niet labellen

Het eerste probleem is dat men in Nederland veelal lijkt te denken, dat datahouders dus alle “data” moet aanmelden in de catalogus, inclusief alle ongestructureerde data. Men zou dan als zorginstelling alle gezondheidsdata die men in huis heeft moeten inventariseren en aanmelden voor de catalogus, ongeacht de vraag of er ooit een wetenschapper in geïnteresseerd gaat zijn. Dat is niet bijzonder efficiënt. Bovendien valt niet in te zien hoe hier uitvoering aan moet worden gegeven. Data zelf worden natuurlijk niet in de catalogus gezet, alleen de metadata; een omschrijving van de data. Maar als dit ongestructureerde data betreft, dan wordt het bijzonder moeilijk om deze van metadata te voorzien, op een manier dat anderen begrijpen waar die ongestructureerde data over gaan. Omdat niet valt in te zien hoe dit moet worden uitgevoerd (alle ongestructureerde gezondheidsdata in Nederland opnemen in een catalogus), zal dit niet lukken.

Ongestructureerde data niet op te vragen?

Dit leidt tot het tweede probleem. Als niet alle EHDS-data daadwerkelijk in de catalogus staan, terwijl het aanvraagproces zich wel beperkt tot wat er in de catalogus staat, dan kunnen allerlei data dus niet aangevraagd worden. Het beperken van de DAAMS tot de data in de catalogus, leidt er dus toe dat alleen hergebruik van data mogelijk zal zijn, die al eerder voor onderzoek of statistiek zijn gebruik. Wat niet zal kunnen, op deze manier, is het onttrekken van nog niet eerder verzamelde, en dus nog ongestructureerde data aan het zorgsysteem. Het EHDS-systeem beperkt zich dan tot data die al eerder zijn gebruikt voor wetenschap of statistiek, maar strekt zich niet uit tot het beschikbaar maken of genereren van geheel nieuwe datasets. Wie oog heeft hiervoor, kan inderdaad erop aandringen dat we toch zoveel mogelijk (ongestructureerde) data in de catalogus gaan opnemen, maar logischer en efficiënter lijkt het, om pas naar data te gaan zoeken als iemand er daadwerkelijk om vraagt, middels een vergunnings-aanvraagprocedure die geheel los staat van de catalogus en waarin men gewoon beschrijft wat men nodig heeft en waar dit waarschijnlijk gevonden kan worden

Zeldzame en nieuwe data alsnog niet te verzamelen

Het derde probleem is dat de bestaande datasets, die zijn ontstaan onder het huidige gebrekkige systeem, weinig zeldzame data betreffen. Wetenschappers die carrière willen maken, zullen veelal ervoor kiezen om te werken met data die makkelijker verkrijgbaar zijn, in plaats van op zoek te gaan naar uiterst zeldzame data (want wie schrijft die blijft). Maar het vergunningensysteem van de EHDS moet het niet alleen mogelijk maken om data op te vragen die nu geweigerd worden (om welke reden dan ook), maar ook data die nu moeilijk vindbaar zijn. Op grond van de tekst van de EHDS kan men bijvoorbeeld een internationaal verzoek indienen, ten aanzien van de data van patiënten waarbij in de komende vijf jaar zowel henoch shönlein purpura als Long-Covid worden vastgesteld (een volstrekt willekeurig voorbeeld). Er dient dan evenwel een systeem te bestaan waarlangs een melding wordt gedaan aan de coördinerende HDAB als een dergelijke patiënt inderdaad blijkt te bestaan. Bovendien, als men jaarlijks datasets moet aanmelden in de catalogus, en de aanvraagprocedure is daartoe beperkt, dan zou men tijden een pandemie dus niet data kunnen opvragen die pas net zijn ontstaan. Dit terwijl de EHDS expliciet aangeeft mede bedoeld te zijn voor het snel verzamelen van data in dergelijke situaties.

Aanvraagproces van catalogus splitsen, voor meer effect

De EHDS introduceert dus een vergunning, zowel voor het opvragen van data uit de samenleving, als voor het hergebruik van bestaande datasets. Artikel 67 EHDS bevat immers de lijst met alles dat men moet aandragen of invullen bij het aanvragen van een vergunning. Daar staat allereerst niets in over de catalogus. Maar er staat bovendien wel dat men moet aangeven: “een beschrijving van de gevraagde elektronische gezondheidsgegevens, waaronder hun reikwijdte, tijdspanne, format, bronnen en, indien mogelijk, de geografische dekking. Er staat dus wel dat men moet aangeven wat de databronnen zijn, maar het woord datahouder staat daar opvallend genoeg niet. Bovendien staat in overweging 73: “De instantie voor toegang tot gezondheidsgegevens, en in voorkomend geval de houders van gezondheidsgegevens, moet de gebruikers van gezondheidsgegevens bijstaan bij de selectie van de geschikte datasets of gegevensbronnen voor het beoogde doeleind van secundair gebruik.” Dit betekent dat, anders dan nu, niet de wetenschapper, maar de wetenschapper samen met de HDAB de betreffende data moet lokaliseren. Het is bij de aanvraag dus niet nodig dat de wetenschapper zelf precies weet wie de data heeft; een algemene indicatie van de bronnen is genoeg, waarna de HDAB de wetenschapper verder moet bijstaan. Daardoor zal wetenschappelijke vooruitgang in allerlei nieuwe richtingen mogelijk zijn. Maar dan moet het systeem wel zo ingericht zijn, dat de DAAMS niet vereist dat je een dataset in de catalogus aanwijst.

Het EPD moet voldoen aan Brusselse eisen

Ziekenhuizen en IT-leveranciers krijgen te maken met Europese eisen voor elektronische patiëntendossiers. De EHDS en de Nederlandse Wegiz botsen op essentiële punten.

De definitie van wetenschap in de digitale Omnibus

Hoe definieert de EU 'wetenschappelijk onderzoek' in de Digitale Omnibus? Antoinette Vlieger reageert op de kritiek. Wetenschap is iets anders dan goede wetenschap en dit moet zo blijven.

The concept of Science in the Omnibus

How does the EU define 'scientific research' in the Digital Omnibus? There has been criticism of this, but it is unjustified.

De Wet Zeggenschap Lichaamsmateriaal moet herschreven worden

Posted on 26 augustus 202520 april 2026 by Antoinette

De concept-WZL moet echt volledig herschreven worden

De WZL versus de EHDS

De European Health Data Space-Verordening gaat over data en dus niet over lichaamsmateriaal. De concept-Wet Zeggenschap Lichaamsmateriaal gaat over materiaal en dus niet over data. Daarmee zou men dus op basis van de namen van de beide wetten, kunnen denken dat er geen overlap is. Dan zou er dus geen reden zijn om de WZL op deze website te bespreken. Ik bespreek het toch, omdat er meer overlap is dan men denkt. Als je data uit materiaal haalt, dan doe je en iets met data, en iets met materiaal. Daar komt bij dat de Aanwijzingen voor de Regelgeving (regels over hoe men wetten moet schrijven), bepalen dat er altijd goed moet worden nagedacht of nieuwe wetten echt nodig zijn. Bovendien moet zoveel mogelijk worden geharmoniseerd met bestaande regels. Bovendien denken velen (onterecht) dat de WZL weldegelijk over data uit materiaal gaat, terwijl de EHDS daar dus expliciet over gaat. Om deze drie redenen behandel ik hier toch de concept-WZL. Spoiler alert: het is bagger.

Waarom die WZL?

Allereerst iets over de achtergrond van de WZL. Voor wetenschappers is het meestal te doen om data uit het materiaal, niet om het materiaal zelf (tenzij men bijvoorbeeld materiaal nodig heeft voor een les chirurgie). Dat vinden ze zo logisch, dat de twee door elkaar worden gehaald. Voor juristen is lichaamsmateriaal echt iets anders dan data uit het materiaal. Voorheen was dit juridisch prima gescheiden. In de WGBO is er een wetsartikel over hergebruik van materiaal (7:467 BW) en een wetsartikel over hergebruik van patiëntgegevens (7:458). Omdat men veelal dus data uit materiaal wil halen, bepaalt de wet: “onder onderzoek met van het lichaam afgescheiden anonieme stoffen en delen wordt verstaan onderzoek waarbij is gewaarborgd dat het bij het onderzoek te gebruiken lichaamsmateriaal en de daaruit te verkrijgen gegevens niet tot de persoon herleidbaar zijn.” Zodra je dus patiëntgegevens uit het materiaal haalt, val je niet langer onder het artikel over het materiaal, maar onder het artikel over gegevens. Zo werd doublure voorkomen, en dat was prima geregeld. Het probleem is dat men in de loop der tijd het wetsartikel over materiaal anders is gaan lezen. Sommigen meenden dat als er herleidbare gegevens werden onttrokken, er altijd toestemming nodig was (mogelijk op grond van een ongeldige a contrario redenering toegepast op 7:467 BW?), terwijl het andere wetsartikel zegt (7:458 BW) : toestemming tenzij onredelijk.

Wat is anoniem?

Bovendien werd lichaamsmateriaal voorheen meestal beschouwd als anoniem: aan een druppel bloed kun je niet zien van wie het afkomstig is. Maar inmiddels kan men DNA uit een druppel bloed halen en dus betoogde men dat lichaamsmateriaal eigenlijk nooit meer anoniem is. Dat strookt niet met de Europese (AVG) jurisprudentie over wanneer iets een persoonsgegeven is. Daar wordt uitgegaan van een relatief begrip. Het is afhankelijk van de vraag wie de data verwerkt en wat die verwerking precies inhoudt, of de privacy in het geding is en of de AVG dus van toepassing is. Die (jurisprudentie over de ) AVG is relevant, omdat bij het schrijven van de Uitvoeringswet AVG (artikel 24) specifiek is verwezen naar de WGBO: het was de bedoeling dat deze artikelen hetzelfde zouden bepalen. Maar dit relatieve denken over persoonsgegevens lijkt geen effect te hebben gehad op het denken over lichaamsmateriaal. Mogelijk is dit veroorzaakt doordat de experts die hieromtrent worden aangehaald, medisch-wetenschappers en geen juristen zijn. Zij zullen hebben geconcludeerd dat materiaal technisch gezien nooit meer anoniem is, maar dat is iets anders dan de vraag of het juridisch gezien anoniem is.

Al die Biobanken...

Omdat de wet bepaalt dat men bij materiaal een opt-out kan uitoefenen tenzij het geen anoniem materiaal is, denken velen nu dat lichaamsmateriaal nooit anoniem is en er dus (bijna) altijd om toestemming moet worden gevraagd. Dat is voor wetenschappers vaak moeilijk werkbaar. Deze moeilijkheid zit wat mij betreft dus in een verkeerde lezing van de wetsartikelen en wat dit betreft was een wetswijziging mijns inziens dus ook niet nodig. Dat neemt niet weg dat tegelijkertijd de Tweede Kamer onrustig werd van het feit dat er inmiddels zeer veel materiaal (van miljoenen Nederlanders) opgeslagen bleek te liggen bij biobanken, zonder dat daar veel toezicht op wordt gehouden. Er moest dus een wet komen en dat argument is nog niet van tafel: en dus moet er “een” WZL komen. Maar de verwarring over materiaal versus data uit dat materiaal, is met deze concept-wet zeggenschap lichaamsmateriaal alleen maar groter geworden.

Dubbele regels

De WZL bepaalt zelf expliciet “Deze wet is van toepassing op handelingen met lichaamsmateriaal (…).” Dit is al problematisch. Allereerst omdat het artikel uit de WGBO bepaalde: dit artikel is van toepassing op lichaamsmateriaal, tenzij je er (herleidbare) data uithaalt, want dan val je onder het artikel over data. Deze tenzij-bepaling staat niet in de WZL. Dat betekent, dat als men persoonsgegevens uit lichaamsmateriaal haalt, men straks onder de WZL valt omdat het lichaamsmateriaal betreft, en men ook onder de AVG (en straks de EHDS) valt omdat het persoonsgegevens (en gezondheidsgegevens) betreft. Dat betekent dat je op grond van de WZL moet controleren of er bezwaar is gemaakt (via een apart systeem) terwijl er ook op grond van de EHDS moet worden gecontroleerd of er bezwaar is gemaakt in het Nationaal Zeggenschapsregister. Dit terwijl men de administratieve lasten juist wil verlagen en de Aanwijzingen voor de Regelgeving voorschrijven dat er zoveel mogelijk moet worden geharmoniseerd. Waarom er in de WZL niet wordt aangesloten bij de EHDS, is me dan ook een raadsel. Nota bene, er kan dus niet voor worden gekozen om het verkrijgen van data uit materiaal alleen onder de WZL te laten vallen, want dat is een Nederlandse wet, die de Europese AVG niet opzij kan zetten. Het moet dus andersom: er moet expliciet bepaald dat als men persoonsgegevens aan materiaal onttrekt, men niet meer onder de WZL maar onder de AVG valt. Dat ontbreekt nu.

Maar de WZL gaat dus niet over de data zelf

Maar het is bovendien problematisch, omdat het vrijwel iedereen ontgaat dat de WZL gaat over handelingen met materiaal (waaronder het eruit halen van data), maar dus niet over die data. Zelfs de Raad van State schreef onlangs in een advies: “Ook wordt een regeling geïntroduceerd voor de (verdere) verwerking van persoonsgegevens (over de gezondheid) voor deze situatie.” Dat is dus niet zo. Maar als zelfs de Raad van State hierover in verwarring verkeert, dan zal dat bij vrijwel het gehele veld zo zijn. Nog ernstiger wordt het als men nader bekijkt wanneer de wet exact van toepassing wordt: “Deze wet is van toepassing op handelingen met lichaamsmateriaal dat is (…) afgenomen (…) in verband met de geneeskunst (…) en met welke handelingen een ander doel wordt beoogd dan (…) zijn gezondheidstoestand te beoordelen.” Lichaamsmateriaal (zoals druppels bloed of een stukje huid) wordt veelal afgenomen ten behoeve van zorg aan een specifieke patiënt. Daarna wordt het opgeslagen, nog steeds voor die specifieke patiënt, vanwege de verplichting om bij te houden wat men doet en waarom. De WZL zal daarop dus niet van toepassing zijn, terwijl het artikel uit de WGBO over materiaal wordt ingetrokken. Dat betekent dat, zolang er geen wetenschapper interesse heeft in het materiaal, er geen regeling op van toepassing is. Maar het wordt nog vreemder. Want als een wetenschapper na drie jaar interesse krijgt in het materiaal, dan wordt de WZL van toepassing en die bepaalt dan (in 2028) dat bij het afnemen informatie moet worden gegeven aan de patiënt. Maar dat was dus drie jaar eerder, in 2025. Hoe kan een wet nu bepalen dat deze van toepassing wordt in 2028, die dan op dat moment voorschrijft dan men drie jaar daarvoor iets moet doen? Ik begrijp het echt niet.

Niemand is eigenaar

Een volgend probleem is dat het wetsvoorstel lijkt te zijn gebaseerd op uitgangspunten die incorrect zijn. De Consultatieversie tweede nota van wijziging wetsvoorstel zeggenschap lichaamsmateriaal d.d. 10 juni 2024, verwijst viermaal naar een rapport. Dit bevat een aantal opmerkelijke stellingen. Zo is op p.55 te lezen: “Ons recht beschouwt van het lichaam afgescheiden materialen in eerste instantie als ‘voor menselijke beheersing vatbare stoffen’ (artikel 3:2 BW). Er kan dan van eigendom worden gesproken. Degene van wie het lichaamsmateriaal afkomstig is, wordt eigenaar van dat materiaal.” Dit is onjuist. Artikel 3:2 BW stelt “Zaken zijn de voor menselijke beheersing vatbare stoffelijke objecten,” waar artikel 5:1 BW aan toevoegt: “Eigendom is het meest omvattende recht dat een persoon op een zaak kan hebben.” Dit kan-hebben brengt geenszins mee dat elke zaak vatbaar is voor eigendom. Je kan pas eigenaar zijn van een zaak, als die ook vatbaar is voor bezit, want je kan alleen eigenaar worden door bezitsverschaffing, inbezitneming, of bezit plus verjaring. Alles “buiten de handel” zoals dat al eeuwen geduid wordt, is niet vatbaar voor bezit en daarmee ook niet vatbaar voor eigendom. Als er onterecht te veel huid wordt weggesneden, is dit mogelijk mishandeling, maar men kan geen aangifte doen van diefstal bij de politie. Niemand is eigenaar van lichaamsmateriaal, zoals ook niemand eigenaar is van gezondheidsdata (men kan geen eigenaar kan zijn van “de zon is heet,” en dus ook niet van “de patiënt heeft koorts.”

Wel zeggenschap, maar harmoniseer

Gevoelsmatig vinden we dat de patiënt misschien iets van zeggenschap zou moeten hebben over dat lichaamsmateriaal, maar dit staat los van het concept eigendom. Op gelijke wijze heeft de patiënt op grond van de AVG zeggenschapsrechten over data om zijn privacy te beschermen, die dus geheel los staan van de vraag of er sprake is van eigendom. De AVG stelt dat altijd een afweging moet worden gemaakt tussen het belang van privacy versus het belang van datagebruik. En zo zou het ook moeten zijn bij lichaamsmateriaal. De WZL zou dan ook, waar mogelijk, zoveel mogelijk moeten aansluiten bij de AVG en de aanstaande EHDS, en de subtiele balans die in deze twee verordeningen gezocht wordt tussen het belang van privacy en het belang van vrije data. Maar de WZL sluit onterecht helemaal niet aan bij de EHDS. Wat dat betreft was het recente rapport van de Raad van State weldegelijk juist. Een dergelijk gebrek aan harmonisatie is in strijd met artikel 2.45 van de voornoemde Aanwijzingen voor de Regelgeving dat voorschrijft dat daar wel zoveel mogelijk naar gestreefd moet worden.

Lichamelijke integriteit niet in het geding

Dat er niet is gekozen voor maximale aansluiting bij de AVG en de EHDS, lijkt er bovendien mee samen te hangen (behalve dat data en materiaal door elkaar worden gehaald,) dat ook lichaam en lichaamsmateriaal door elkaar worden gehaald. Op het moment dat er materiaal wordt afgenomen van een patiënt, op dat moment, is de lichamelijke integriteit in het geding. Op het moment dat een sample vijf jaar later uit een archief getrokken wordt voor onderzoek, is dat niet meer het geval. Er zijn bij afname drie situaties te onderscheiden; afname voor zorg, afname voor zorg en onderzoek, en afname uitsluitend voor onderzoek. Op deze derde kwestie is de Wet medisch-wetenschappelijk onderzoek met mensen van toepassing (de WMO). Deze kent zware waarborgen ter bescherming van de gezondheid en lichamelijke integriteit van de patiënt. Er was onduidelijkheid over de vraag in hoeverre deze wet eveneens van toepassing was in situatie twee: bij afname van een extra buisje bloed. Ook in dat geval, is het lichaam van de patiënt in het geding en spelen er ethische vragen. Maar als er een bestaand sample uit de kast wordt getrokken voor onderzoek, dan spelen er uitsluitend privacy vraagstukken.

Dus waarom een ethische toets?

De WZL bepaalt desondanks dat beheerders van materiaal altijd een reglement moeten hebben waarover een ethische commissie een positief oordeel heeft gegeven. Maar dat is heel vreemd voor de situatie waarin er helemaal geen ethische vragen zijn: de situatie waarin materiaal uitsluitend is afgenomen ten behoeve van zorg. Als men pas achteraf bedenkt dat dit materiaal wellicht ook nuttig kan zijn voor onderzoek, is de lichamelijke integriteit totaal niet in het geding. Dan speelt uitsluitend de vraag of de privacy van de patiënt voldoende wordt beschermd, waar de AVG en de EHDS al op zien. Waarom daartoe een Medisch Ethische Toetsingscommissie moet worden ingeschakeld, is onbegrijpelijk. Deze toestingscommissies zijn uitermate waardevol bij medisch onderzoek met mensen. Patiënten die denken dat ze wellicht overlijden, zeggen op alles ja. En dan moet er dus een toetsingscommissie meekijken: of het risico voor de patiënt niet te groot is, of de kans op nuttig effect van het onderzoek niet te klein is. Die ethische constellatie speelt totaal niet bij het uit de kast trekken van een drie jaar eerder afgenomen stukje huid. En dus is het onbegrijpelijk waarom de ethische toetsingscommissie daarbij moet worden betrokken.

Kortom: terug naar de tekentafel

Al met al is de WZL een ondoorgrondelijk wet, terwijl de Memorie van Toelichting nu juist stelt dat deze beoogt om duidelijkheid te bieden. Ook is de WZL niet in lijn met de Aanwijzingen voor de Regelgeving omdat niet optimaal wordt aangesloten bij de AVG en de EHDS. Daarom moet de concept-WZL gewoon van tafel. Geen kleine aanpassinkjes, zoals eerder het geval was. Er dient een geheel nieuwe WZL geschreven te worden (i) die dubbele toepassing van regels op eenzelfde handeling uitsluit, (ii) die zoveel mogelijk aansluit bij de AVG en de EHDS, (iii) die zeggenschap regelt via het Nationaal Zeggenschapsregister, (iv) die in navolging van de AVG kiest voor een risico- en belangenafweging en (v) die de ethische toets nalaat als de privacy wel, maar de lichamelijke integriteit niet in het geding is.

De definitie van wetenschap in de digitale Omnibus

Hoe definieert de EU 'wetenschappelijk onderzoek' in de Digitale Omnibus? Antoinette Vlieger reageert op de kritiek. Wetenschap is iets anders dan goede wetenschap en dit moet zo blijven.

Lang leve AI, zegt AI!

De EHDS, PFAS en relatietherapie

De EHDS is vandaag één jaar van kracht. Maar wat hebben we daar in de praktijk aan? Denk bijvoorbeeld aan: PFAS, de overgang en relatietherapie.

De Health Data Access Body

Posted on 10 augustus 202523 april 2026 by Antoinette

De HDAB van Nederland

Wie kan Health Data Access Body worden?

De Nederlandse overheid moet uiterlijk maart 2027 laten weten wie de Health Data Access Body zal worden; de instantie die gezondheidsdata beschikbaar gaat maken voor nuttig hergebruik. Deze HDAB verleent vergunningen, en is daarmee automatisch een overheidsorgaan. Immers, wie in een publiekrechtelijke wet is opgericht is overheid. Daarnaast is iedereen overheid die met openbaar gezag is bekleed, wat inhoudt dat men eenzijdig de rechtspositie van iemand kan vaststellen, zoals dus bepalen of iemand een vergunning krijgt. Er kan daarom bij het aanwijzen van de HDAB worden gekozen uit drie juridische opties:

men richt een geheel nieuw overheidsorgaan op in de Uitvoeringswetgeving-EHDS;
men wijst een bestaand overheidsorgaan aan als zijnde het orgaan dat voortaan ook de HDAB taken op zich neemt; of
men kiest voor een (bestaande of nieuwe) privaatrechtelijke organisatie, die met de uitvoeringswetgeving en de Kaderwet ZBO’s wordt ingebed in het publieke bestel en zo overheid wordt.

Juridische taken

Bij de inrichting van dit overheidsorgaan moet bedacht worden dat de HDAB zowel juridische, als feitelijke taken moet verrichten op grond van de EHDS. Alle juridische taken (die dus maken dat iets overheid is) kunnen niet worden uitbesteed. Dit betreft het verlenen van vergunningen, het opleggen van boetes of een last onder dwangsom. Deze bestuursrechtelijke besluitvorming zal niet eenvoudig zijn. De vergunningsaanvragen moeten worden getoetst aan de AVG en de EHDS, maar ook bijvoorbeeld aan het discriminatieverbod en de Europese vrij verkeersbepalingen.

Er moet bovendien worden voldaan aan het overige Europese recht zoals de DataGovernanceVerordening, de DataVerordening en de Open Data Richtlijnen (geïmplementeerd in de Wet Hergebruik Overheidsinformatie), maar ook de Algemene wet bestuursrecht en het Intellectuele Eigendomsrecht. Er kan tegen een vergunning (of weigering ervan) bezwaar en beroep aangetekend worden. Als houders weigeren data beschikbaar te maken, moet een last onder bestuursdwang of dwangsom te worden opgelegd en ook daartegen kan geprocedeerd worden. De HDAB heeft dus flink wat goede juristen nodig.

Feitelijke taken

Daarnaast krijgt de HDAB onder de EHDS allerlei feitelijke taken, die eventueel wel kunnen worden uitbesteed. Het feit dat een overheid ergens verantwoordelijk voor is, betekent immers niet dat het dit zelf ook moet uitvoeren. Zo is de overheid ook verantwoordelijk voor goede scholen, maar dat zijn feitelijke taken, geen bestuursrechtelijke besluiten, en dus kan dit aan allerlei stichtingen worden uitbesteed.

Op vergelijkbare wijze kan de HDAB opdrachten verlenen tot het uitvoeren van haar feitelijke taken, zoals het inrichten van een catalogus, anonimiseren of pseudonimiseren, het koppelen van databestanden, het in stand houden van een Nationaal Zeggenschapsregister, het controleren van de Beveiligde VerwerkingsOmgevingen, of het zorgen dat alle BVO’s interoperabel zijn. Dat zijn allemaal feitelijke taken die de HDAB zelf kan verrichten, maar die eventueel ook uitbesteed kunnen worden aan opdrachtnemers die dus niet overheid hoeven te zijn.

Wie kan niet HDAB worden

De HDAB mag geen belangen hebben bij de data of de vergunningsaanvraag, vanwege het verbod op tegenstrijdige belangen. Dit maakt dat het CBS eigenlijk afvalt als mogelijkheid, vanwege de commerciële activiteiten van microdata-services. De HDAB kan ook niet de Autoriteit Persoonsgegevens zijn, want die twee organisaties hebben tegengestelde taken (alles geheimhouden, versus meer data delen). Op gelijke wijze wordt de Markt Autoriteit apart genoemd in de EHDS, waaruit lijkt te volgen dat ook de ACM niet de HDAB kan worden.

Het gerucht gaat dat VWS ervoor kiest om een enkel, geheel nieuw orgaan op te richten. Belangrijk is wel dat er streng wordt vastgehouden aan de EHDS eis dat er in de HDAB geen sprake mag zijn van tegenstrijdige belangen; zowel op organisatieniveau als ten aanzien van de mensen die werkzaam zijn in de HDAB. Dat een bestuurder van de HDAB ook lid is van bijvoorbeeld de Raad van Toezicht van datahouders of datagebruikers, is dus zeer onwenselijk.

HDAB versus Autoriteit Persoonsgegevens

Nota bene, de HDAB krijgt ook taken ten opzichte de natuurlijke personen op wie de data betrekking hebben (patiënten, of eigenlijk alle burgers). Het gaat daarbij om de manier waarop de HDAB zelf met persoonsgegevens omgaat. De HDAB moet aan allerlei AVG vereisten voldoen ten aanzien van transparantie. Daarnaast houdt de HDAB toezicht op datahouders en datagebruikers; ze toetst of een vergunningsaanvraag aan de AVG voldoet, en of er binnen de BVO’s gewerkt wordt conform de AVG.

Maar als blijkt dat door iemand anders de AVG wordt geschonden, bijvoorbeeld omdat het Nationaal Zeggenschapsregister niet is gerespecteerd, dan geeft de HDAB die informatie aan de Autoriteit Persoonsgegevens, die zal optreden. Wat dit tweede betreft moet er dus door de HDAB worden samengewerkt met de Autoriteit Persoonsgegevens. Wat het eerste betreft staat de HDAB zoals andere overheden onder toezicht van de AP.

Groot genoeg

Er kan tot slot gekozen worden voor een enkele HDAB of meerdere, waarbij er een als coördinerende HDAB moet worden aangewezen. Gezien het feit dat er een flink aantal goed opgeleide juristen nodig is in de HDAB, en gezien het feit dat we maar een klein landje zijn, lijkt het onlogisch om meerdere HDAB’s op te richten. Tegelijkertijd moet ervoor worden opgepast dat de HDAB die wordt opgericht, niet te klein is. Er is discussie over de vraag wanneer de EHDS van toepassing is. Er zijn mensen die zeggen dat dit alleen het geval is, als men er zelf voor kiest om gebruik te maken van de HDAB-route.

Als men inderdaad zelf mag kiezen of men een vergunning aanvraagt of niet, dan hoeft de HDAB niet zo groot te zijn. Als men vrijwel altijd een vergunning nodig heeft (tenzij men zich kan beroepen op een van de uitzonderingen in artikel 1), dan zal de HDAB groot genoeg moeten zijn. Immers, als er door wetenschappers meer vergunningen worden aangevraagd dan de HDAB kan verwerken, dan kan het wetenschappelijk onderzoek in Nederland stagneren door capaciteitstekorten bij de HDAB. Dat is natuurlijk niet de bedoeling.

De definitie van wetenschap in de digitale Omnibus

Hoe definieert de EU 'wetenschappelijk onderzoek' in de Digitale Omnibus? Antoinette Vlieger reageert op de kritiek. Wetenschap is iets anders dan goede wetenschap en dit moet zo blijven.

Lang leve AI, zegt AI!

Veel mensen zijn bang dat hun baan op de tocht staat door AI. Ik besloot de vraag om te draaien en vroeg Gemini: welke klussen ga jij overnemen waar we …

De EHDS, PFAS en relatietherapie

De EHDS is vandaag één jaar van kracht. Maar wat hebben we daar in de praktijk aan? Denk bijvoorbeeld aan: PFAS, de overgang en relatietherapie.

De EHDS en de Beveiligde VerwerkingsOmgeving

Posted on 10 augustus 202523 april 2026 by Antoinette

De EHDS en de beveiligde verwerkingsomgeving

Technische Verseisten van de Europese Commissie

Er moet onder de EHDS worden gewerkt in een Beveiligde VerwerkingsOmgeving (BVO). Wetenschappers krijgen geen data, maar toegang daartoe in een BVO die voldoet aan krachtens de EHDS vastgestelde strenge technische en veiligheidsnormen. Wat deze vereisten exact gaan zijn, dat weten we nu nog niet. Deze worden uiterlijk maart 2027 door de Europese Commissie vastgesteld (zie tijdslijn). De Europese Commissie zal ook de lidstaten bijstaan om de veiligheid en de interoperabiliteit van de verschillende Beveiligde VerwerkingsOmgevingen te bevorderen. Dergelijke veiligheidsvereisten kunnen niet voorschreven worden in de EHDS zelf. Risico’s en beveiliging ontwikkelen zich immers sneller dan nieuwe Europese wetgeving.

HDAB en BG's houden toezicht

Let op: er zijn partijen die stellen dat er slechts één enkele BVO zal komen, die beheerd wordt door de HDAB. Dit zou dan een supercomputer worden waar alle Nederlandse gezondheidsgegevens in zouden komen te staan. Dit is niet het geval. De EHDS spreekt duidelijk van meerdere BVO’s. Iedere Betrouwbare Gegevenshouder (BG) moet ook beschikken over een BVO en waarschijnlijk kunnen onder meer de academische ziekenhuizen dit allemaal worden. De HDAB en de BG’s moeten altijd toezicht houden op wat er precies in hun BVO gebeurt, zodat aan de wetenschapper uitsluitend toegang wordt verleend in lijn met de exacte voorwaarden van zijn vergunning. Ergo, degene die over een BVO beschikt, moet in staat zijn om af te dwingen dat zowel de AVG als de EHDS nageleefd worden.

Wetenschappers mogen niet zomaar een andere wetenschapper toegang verlenen als die niet ook op de vergunning staat. En uitsluitend niet-persoonsgebonden data (dus anonieme of geaggregeerde data) mogen vanuit een dergelijke BVO worden gedownload. Ze mogen uiteraard wel van de ene naar de andere BVO, waartoe interoperabiliteit moet worden gerealiseerd. De log-gegevens van de verwerkingen in de BVO moeten minstens een jaar bewaard worden om te kunnen controleren of de vergunningsvoorwaarden juist zijn nageleefd. Op deze manier is de BVO een essentiële waarborg om de rechten en vrijheden van patiënten met betrekking tot de verwerking van hun gezondheidsgegevens voor secundair gebruik te beschermen.

Die BVO moet altijd verplicht zijn

Er is kritiek hoorbaar op de EHDS, die beoogt om meer gezondheidsdata beschikbaar te maken voor nuttig hergebruik. Belangrijk is het om voor ogen te houden dat de idee van deze wet is om meer data beschikbaar te maken, juist door dit veiliger te maken; in de gecertificeerde BVO’s dus. Belangrijk is het hierbij om op te merken dat er mensen zijn die denken dat je straks vrijelijk kan kiezen of je een datavergunning aanvraagt, en dat je daarmee zelf zorgt dat je onder de EHDS valt. Daaruit volgt dat je dus ook zelf zou kunnen kiezen of je verplicht in een BVO moet werken of niet. Dat je mag kiezen of je ergens toe verplicht bent, lijkt mij een onhoudbaar standpunt. Maar mocht blijken dat ik ongelijk heb, en men weldegelijk vrijelijk kan kiezen of men een vergunning aanvraagt, dan zou in de uitvoeringswetgeving moeten worden opgenomen dat werken in een (door de Europese Commissie beschreven) BVO vanaf 2029 altijd verplicht is, ook als men niet de route via de HDAB bewandelt.

De definitie van wetenschap in de digitale Omnibus

Hoe definieert de EU 'wetenschappelijk onderzoek' in de Digitale Omnibus? Antoinette Vlieger reageert op de kritiek. Wetenschap is iets anders dan goede wetenschap en dit moet zo blijven.

Lang leve AI, zegt AI!

Veel mensen zijn bang dat hun baan op de tocht staat door AI. Ik besloot de vraag om te draaien en vroeg Gemini: welke klussen ga jij overnemen waar we …

De EHDS, PFAS en relatietherapie

De EHDS is vandaag één jaar van kracht. Maar wat hebben we daar in de praktijk aan? Denk bijvoorbeeld aan: PFAS, de overgang en relatietherapie.

Wanneer treedt de EHDS in werking?

Posted on 10 augustus 202523 april 2026 by Antoinette

EHDS Tijdlijn?

Primair in 2027, secundair in 2029

De EHDS vereist flink wat voorbereiding. Er moet een Health Data Access Body worden opgericht, er moet van alles aan software en hardware worden gebouwd of aan elkaar geknoopt en er moet aanvullende wetgeving worden geschreven. Daarom zal de EHDS in verschillende fasen van kracht worden. Op 26 maart 2027 worden de bepalingen rond primair gebruik al van kracht. Hoofdstuk IV over het hergebruik van gezondheidsgegevens, zal pas op 26 maart 2029 van toepassing zijn. Dat zijn de grote lijnen, maar sommige onderdelen van hoofdstuk IV treden ook al in werking per 26 maart 2027, andere juist later.

Er moeten nog een aantal handelingen worden verricht, per maart 2027. Nederland moet de Europese Commissie vertellen wie haar Health Data Access Body wordt. Ook moet ze vertellen wie de NCPSD wordt, de digitale gateway die de Nederlandse Gezondheidsdata Catalogus koppelt aan de overige Europese catalogi (Nederland heeft al besloten dat dit gewoon de HDAB zelf wordt). De Europese Commissie op haar beurt moet:

modellen vaststellen voor het aanvragen van toegang tot gezondheidsgegevens (een vergunning of een statistische vraag);
de vereisten vaststellen waaraan Beveiligde VerwerkingsOmgevingen moeten voldoen;
de verdere vereisten vaststellen ten behoeve van het HealthData@EU systeem;
vaststellen welke metadata de houders van datasets moeten aanleveren voor de gezondheidsdata catalogus;
kwaliteits- en gebruikslabels vaststellen ten aanzien van datasets.

Vervolgens wordt dus op 26 maart 2029 de bulk van hoofdstuk IV van kracht, wat betekent dat gebruikers van gezondheidsdata vanaf dan vergunningen kunnen aanvragen, of statistische vragen kunnen indienen, terwijl houders verplicht zijn data aan te leveren. De Health Data Access Body (plus het nationale contactpunt) moeten dan volledig operationeel zijn. Daarnaast wordt hetgeen de Europese Commissie in 2027 heeft vastgesteld dan van kracht (zie hierboven).

Echter, de EHDS geldt dan nog niet ten aanzien van het nuttig hergebruik van alle soorten EHDS-data. Pas op 26 maart 2031 geldt de EHDS ook ten aanzien van deze meer sensitieve data:

gegevens over factoren die van invloed zijn op de gezondheid, met inbegrip van sociaal-economische, milieu- en gedragsdeterminanten van gezondheid;
humaan-genetische, epigenomische en genomische gegevens;
andere humaan-moleculaire gegevens, zoals proteomische, transcriptomische, metabolomische, lipidomische en andere “-omische” gegevens;
gegevens afkomstig van klinische proeven, klinische studies, klinische onderzoeken en prestatiestudies;
gegevens afkomstig van onderzoekscohorten, vragenlijsten en enquêtes in verband met gezondheid, zodra de daarmee verband houdende resultaten gepubliceerd zijn

Nog weer later (26 maart 2035) wordt ook artikel 75 lid 5 van kracht, dat bepaalt dat derde-landen of internationale organisaties zich kunnen aansluiten als deelnemers in de European Health Data Space.

De eerste verplichtingen moeten dus in het eerste kwartaal van 2027 zijn gerealiseerd. Het wetgevingstraject om dat alles mogelijk te maken, start daarom Q2 2025. Het is daarmee belangrijk dat elke belanghebbende bij de EHDS zich per direct oriënteert op de vraag wat voor haar belangrijk is, ten aanzien van de juiste interpretatie en vooral de optimale implementerende wetgeving. Het zou goed zijn om deze wet aan te grijpen om zoveel mogelijk problemen tegelijk en op een constructieve manier op te lossen, ten behoeve van de Volksgezondheid.

De definitie van wetenschap in de digitale Omnibus

Hoe definieert de EU 'wetenschappelijk onderzoek' in de Digitale Omnibus? Antoinette Vlieger reageert op de kritiek. Wetenschap is iets anders dan goede wetenschap en dit moet zo blijven.

Lang leve AI, zegt AI!

De EHDS, PFAS en relatietherapie

De EHDS is vandaag één jaar van kracht. Maar wat hebben we daar in de praktijk aan? Denk bijvoorbeeld aan: PFAS, de overgang en relatietherapie.

De EHDS leidt tot meer gezondheids(data)veiligheid

Posted on 10 augustus 202520 april 2026 by Antoinette

De EHDS leidt juist tot meer gezondheids(data)veiligheid

De komst van de EHDS zorgt voor maatschappelijke onrust. Zijn onze gezondheidsgegevens straks nog wel veilig? De verordening zal inderdaad meer data beschikbaar maken voor nuttig hergebruik, zoals wetenschappelijk onderzoek. Maar de idee van de Verordening is om meer data beschikbaar maken, juist door het beter te beveiligen. Daartoe wordt de vergunning geïntroduceerd en moet er een HDAB opgericht worden als gezondheidsdata-politie. De EHDS bevat bovendien een lijst verboden gebruik, die weleens verstrekkende gevolgen kon gaan hebben voor onder meer de tabaksindustrie.

Vergunning vereist

Allereerst bepaalt de EHDS dat men voor het werken met gezondheidsdata een vergunning moet aanvragen. Er is discussie over de vraag of men mag kiezen of men die aanvraagt, zoals het Ministerie van VWS zegt. Ik vind het een vreemd standpunt: je mag ook niet kiezen of je een kapvergunning aanvraagt, een bouwvergunning, of een horecavergunning. Het hele idee van de vergunning is dat de overheid op deze manier kan meekijken, om te zorgen dat men zich aan alle (veiligheids)regels houdt. Er zal, zo lees ik de verordening, bijna altijd een vergunning vereist zijn. Vervolgens bepaalt de EHDS dat gezondheidsdata uitsluitend mogen worden gebruikt conform de voorwaarden in die vergunning. Daarin moet o.a. zijn opgenomen wie exact de onderzoekers zijn die toegang mogen krijgen tot de data. Staat men niet in de vergunning, dan kan men ook niet bij de data. Bovendien is het ten strengste verboden om te achterhalen over welke personen de (anonieme of pseudonieme) data gaan.

HDAB houdt toezicht

De vergunning wordt aangevraagd bij de Health Data Access Body. In Nederland is men nu druk doende met het ontwerpen van allerlei ICT-middelen voor deze HDAB. Maar wie de EHDS goed bestudeert, zie dat de nieuw op te richten overheidsinstantie toch vooral de gezondheidsdata-politie zal zijn. Houdt men zich niet aan de vergunningsvoorwaarden of aan overige wetgeving, dan kan de HDAB flinke boetes opleggen (tot 20 Mio of 4% van de jaaromzet). Bovendien: belanghebbenden kunnen handhavingsverzoeken indienen bij de HDAB en zo de overheid dwingen om op te treden als er te slordig wordt omgegaan met gezondheidsgegevens. Dat kon de Autoriteit Persoonsgegevens ook al, kan je denken, maar de EHDS gaat echt verder. Er staat namelijk een bijzonder interessante lijst in de EHDS: het verboden gebruik.

Verboden onder de EHDS is dit:

het nemen van besluiten die nadelig zijn voor een natuurlijke persoon of een groep van natuurlijke personen op basis van hun elektronische gezondheidsgegevens; om als “besluiten” te kunnen worden aangemerkt voor de toepassing van dit punt, moeten zij juridische, sociale of economische gevolgen hebben of die natuurlijke personen op vergelijkbare wijze aanmerkelijk treffen;
het nemen van besluiten met betrekking tot een natuurlijke persoon of een groep natuurlijke personen in verband met vacatures, het aanbieden van minder gunstige voorwaarden bij het leveren van goederen of diensten, onder meer om die personen of groepen een verzekerings- of kredietovereenkomst te ontzeggen, hun bijdragen en verzekeringspremies of leningsvoorwaarden te wijzigen, of andere besluiten te nemen met betrekking tot een natuurlijke persoon of een groep natuurlijke personen die ertoe leiden dat zij gediscrimineerd worden op basis van de verkregen gezondheidsgegevens;
het verrichten van reclame- of marketingactiviteiten;
het ontwikkelen van producten of diensten die schadelijk kunnen zijn voor personen, de volksgezondheid of de samenleving in het algemeen, zoals illegale drugs, alcoholhoudende dranken, tabaks- en nicotineproducten, wapens, of producten of diensten die zodanig zijn ontworpen of gewijzigd dat zij tot verslaving leiden, in strijd zijn met de openbare orde of een risico voor de menselijke gezondheid inhouden;
het verrichten van activiteiten die in strijd zijn met ethische bepalingen die zijn neergelegd in het nationale recht.

Laat het tot je doordringen wat hier staat; je mag geen gezondheidsgegevens gebruiken voor het ontwikkelen van verslavende producten. Er is als gezegd onduidelijkheid over de vraag wanneer de EHDS van toepassing is. De lezing van het Ministerie van VWS is dat je kan kiezen of je een vergunning aanvraagt en of je dus onder de EHDS valt. Dan kan de tabaksindustrie dus ook kiezen of ze zich aan de verboden lijst moeten houden. Dat lijkt mij een onhoudbaar standpunt. Er staat in de EHDS: gebruikers van gezondheidsgegevens mogen gezondheidsgegevens voor secundair gebruik alleen raadplegen en verwerken overeenkomstig een gegevensvergunning. Het lijkt mij dat je dan altijd een vergunning nodig hebt (tenzij de EHDS niet van toepassing is op grond van artikel 1; daarin staan enige uitzonderingen). Als mijn lezing juist is, dan zal het effect van de lijst van verboden gebruik aanzienlijk zijn! Want dan zal het voortaan verboden zijn om gezondheidsdata te gebruiken voor het ontwikkelen van welk verslavend product dan ook. Hulde aan de opstellers van deze verordening dus.

De EHDS is dus top!

De komst van de EHDS zorgt voor maatschappelijke onrust. Men vreest bijvoorbeeld dat secundair gebruik ertoe kan leiden dat iemand geen verzekering of baan meer krijgt. Hieruit blijkt dat men de EHDS niet heeft gelezen, want dit staat expliciet in de lijst van verboden gebruik. Omdat de EHDS zeer gunstig is voor medisch wetenschappelijk onderzoek, kan het dus nuttig zijn om te benadrukken dat de EHDS van alles expliciet verbiedt. Het gunstige van de lijst verboden gebruik is bovendien dat de nieuw op te richten HDAB wordt aangewezen als de autoriteit die dit moet handhaven, en waar dus ook handhavingsverzoeken kunnen worden ingediend. Maar bovenal moeten we ons realiseren dat de EU via een omweg ons een juridisch middel in handen lijkt te hebben gegeven tegen de tabaksindustrie. Het is vooralsnog niet gelukt om tabak te verbieden, maar het lijkt wel te zijn gelukt om te verbieden onderzoek te doen naar de vraag hoe tabak nog verslavender kan worden gemaakt. De toekomst zal uitwijzen hoeveel plezier we gaan hebben van deze verboden lijst. Misschien is dit ook in te zetten tegen het verslavend maken van apps? Krijgt de HDAB straks mijn kind van de socials af? Ik kijk met spanning uit naar de fantastische voordelen die de EHDS ons kan brengen.

De definitie van wetenschap in de digitale Omnibus

Hoe definieert de EU 'wetenschappelijk onderzoek' in de Digitale Omnibus? Antoinette Vlieger reageert op de kritiek. Wetenschap is iets anders dan goede wetenschap en dit moet zo blijven.

Lang leve AI, zegt AI!

De EHDS, PFAS en relatietherapie

De EHDS is vandaag één jaar van kracht. Maar wat hebben we daar in de praktijk aan? Denk bijvoorbeeld aan: PFAS, de overgang en relatietherapie.

Het al bestaande vrije verkeer van gezondheidsgegevens

Posted on 2 juni 202520 april 2026 by Antoinette

Het (al bestaande) vrije verkeer van gezondheidsgegevens

Mijn data in mijn land?

In de discussies over het hergebruik van gezondheidsgegevens, wordt vaak gepraat over landsgrenzen. Dit secundaire gebruik is iets waarbij de juiste balans moet worden gevonden tussen enerzijds privacy en anderzijds het belang van bijvoorbeeld wetenschappelijk onderzoek of het kunnen toetsen of bepaald beleid werkt. De privacy-aanhangers vinden veelal dat bij hergebruik “onze” data de grens niet over mogen, of dat je in elk geval in het Nationaal Zeggenschapsregister moet kunnen aangeven dat dit met “jouw” data niet mag. Wetenschappers stellen daartegenover dat bijvoorbeeld bij zeldzame ziektes, ze hun werk eigenlijk alleen goed kunnen doen als data uit verschillende landen kunnen worden gebruikt. Daarom verwelkomen ze de EHDS, waarin onder andere staat dat ze data uit heel Europa zullen kunnen opvragen. Wat beide partijen over het hoofd zien, is dat er allang binnen de EU een vrij verkeer van gezondheidsdata bestaat.

Europees recht over data

Een van de doelstellingen van de EHDS is: het vrije verkeer van gezondheidsgegevens ondersteunen. Er staat “ondersteunen” want dit vrije verkeer is er al. Volkomen onopgemerkt, is hetgeen bepaald is in artikel 1 van de AVG: “Het vrije verkeer van persoonsgegevens in de Unie wordt noch beperkt noch verboden om redenen die verband houden met de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens.” De AVG is alleen van toepassing op persoonsgegevens (waarbij men redelijkerwijs kan achterhalen over welke personen het gaat). Daarom bestaat hiernaast de volstrekt onbekende Verordening 2018/1807 betreffende “het vrije verkeer van niet-persoonsgebonden gegevens in de Europese Unie.” De Open Datarichtlijn 2019/1024 bepaalt verder: “De voorwaarden voor het hergebruik van documenten mogen niet discriminerend zijn voor vergelijkbare categorieën van hergebruik, met inbegrip van hergebruik over de landsgrenzen heen.”

Wetenschappers kunnen dit nu al gebruiken

Het vrije verkeer van diensten en goederen in de EU ontstond in 1993, met de invoering van de interne markt. Al snel daarna realiseerde men zich dat de interne markt niet mogelijk was zonder ook een vrij verkeer van data. Gegevensbescherming kan prima in de wet van een losse lidstaat geregeld worden, maar voor het vrije verkeer was het harmoniseren (gelijktrekken) van wetgeving nodig. Juist het vrije verkeer van data was dus een belangrijk doel van de AVG, vandaar dat het in artikel 1 staat. Dit alles houdt in dat men ook nu al rechtstreeks data kan aanvragen bij bijvoorbeeld FinData. Dit verzoek mag niet anders behandeld worden dan het verzoek van Finse onderzoekers, want er geldt bovendien een discriminatieverbod tussen Europeanen. Er mag dus bij een aanvraag geen onderscheid gemaakt worden tussen Nederlandse of Finse wetenschappers. De EHDS maakt het straks mogelijk dat men met een enkele aanvraag bij de Nederlandse HDAB data opvraagt uit heel Europa. Maar het zou goed zijn als wetenschappers en statistici zouden weten dat het ook nu al verboden is om data bij een binnengrens (een grens tussen EU-landen) tegen te houden. Zij kunnen dus per direct in heel Europa verzoeken indienen om met gezondheidsdata te werken.

Zeggenschap hetzelfde voor de hele EU

En patiënten kunnen straks via een Nationaal Zeggenschapsregister bezwaar maken tegen bepaald hergebruik van data die over hen gaan. Het Ministerie van VWS moet nu uitdokteren hoe dit register er precies uit gaat zien. Maar het is dus op grond van Europees recht verboden om dit register zo in te richten dat Nederlandse wetenschappers wel kunnen werken met “onze” data, maar Belgische wetenschappers niet. Als je bedenkt dat die wetenschappers proberen om een medicijn te vinden tegen bijvoorbeeld kanker, een medicijn dat vervolgens internationaal beschikbaar zal komen, dan is het bijzonder logisch dat een wetgever ervoor zorgt dat elke wetenschapper in de EU toegang krijgt tot data, en niet alleen die van onze eigen academische ziekenhuizen. Overigens mogen op grond van de AVG data nu ook al stromen naar landen ten aanzien waarvan een adequaatheidsbesluit is genomen door de EU. Dat houdt in dat men in Brussel vindt dat de privacy afdoende beschermd wordt in bijvoorbeeld Japan. Landen als Japan kunnen zich op termijn aansluiten bij de EHDS, maar omdat ze geen onderdeel zijn van de EU, mag er wel in het Nationale Zeggenschapsregister worden gevraagd of je er bezwaar tegen hebt dat data over jou ook stromen richting dergelijke niet-EU landen.

Dus het BSN mag ook niet tegengehouden worden

Nota bene: dit vrije verkeer van data was dus bedoeld om het vrije verkeer van goederen en diensten binnen de EU te ondersteunen. En de gedachte daarvan was; hoe groter de markt, hoe meer concurrentie, wat zal leiden tot hogere kwaliteit tegen lagere grenzen. Brussel wil dat een goede wijnboer in Italië rechtstreeks kan verkopen aan mensen in Wassenaar. Op gelijke wijze moet een goede radioloog rechtstreeks MRI’s in Griekenland kunnen beoordelen. Daardoor komt in Europa betere zorg beschikbaar tegen een lagere prijs. Het dataverkeer dat daaronder ligt, mag zoiets niet in de weg staan. In Nederland zijn er mensen die denken dat het BSN niet over de grens gebruikt mag worden, omdat er nergens in de wet staat dat dit mag. Maar dat lijkt mij dus typisch iets dat, als ons Nederlandse recht dat inderdaad zou meebrengen, onverbindend is op grond van artikel 1 AVG. Persoonsgegevens mogen niet worden tegengehouden aan een EU binnengrens en dat geldt ook voor het BSN.