De EHDS en de beveiligde verwerkingsomgeving

Technische Verseisten van de Europese Commissie

Er moet onder de EHDS worden gewerkt in een Beveiligde VerwerkingsOmgeving (BVO). Wetenschappers krijgen geen data, maar toegang daartoe in een BVO die voldoet aan krachtens de EHDS vastgestelde strenge technische en veiligheidsnormen. Wat deze vereisten exact gaan zijn, dat weten we nu nog niet. Deze worden uiterlijk maart 2027 door de Europese Commissie vastgesteld (zie tijdslijn). De Europese Commissie zal ook de lidstaten bijstaan om de veiligheid en de interoperabiliteit van de verschillende Beveiligde VerwerkingsOmgevingen te bevorderen. Dergelijke veiligheidsvereisten kunnen niet voorschreven worden in de EHDS zelf. Risico’s en beveiliging ontwikkelen zich immers sneller dan nieuwe Europese wetgeving.

HDAB en BG's houden toezicht

Let op: er zijn partijen die stellen dat er slechts één enkele BVO zal komen, die beheerd wordt door de HDAB. Dit zou dan een supercomputer worden waar alle Nederlandse gezondheidsgegevens in zouden komen te staan. Dit is niet het geval. De EHDS spreekt duidelijk van meerdere BVO’s. Iedere Betrouwbare Gegevenshouder (BG) moet ook beschikken over een BVO en waarschijnlijk kunnen onder meer de academische ziekenhuizen dit allemaal worden. De HDAB en de BG’s moeten altijd toezicht houden op wat er precies in hun BVO gebeurt, zodat aan de wetenschapper uitsluitend toegang wordt verleend in lijn met de exacte voorwaarden van zijn vergunning. Ergo, degene die over een BVO beschikt, moet in staat zijn om af te dwingen dat zowel de AVG als de EHDS nageleefd worden. Wetenschappers mogen niet zomaar een andere wetenschapper toegang verlenen als die niet ook op de vergunning staat. En uitsluitend niet-persoonsgebonden data (dus anonieme of geaggregeerde data) mogen vanuit een dergelijke BVO worden gedownload. Ze mogen uiteraard wel van de ene naar de andere BVO, waartoe interoperabiliteit moet worden gerealiseerd. De log-gegevens van de verwerkingen in de BVO moeten minstens een jaar bewaard worden om te kunnen controleren of de vergunningsvoorwaarden juist zijn nageleefd. Op deze manier is de BVO een essentiële waarborg om de rechten en vrijheden van patiënten met betrekking tot de verwerking van hun gezondheidsgegevens voor secundair gebruik te beschermen.

Die BVO moet altijd verplicht zijn

Er is kritiek hoorbaar op de EHDS, die beoogt om meer gezondheidsdata beschikbaar te maken voor nuttig hergebruik. Belangrijk is het om voor ogen te houden dat de idee van deze wet is om meer data beschikbaar te maken, juist door dit veiliger te maken; in de gecertificeerde BVO’s dus. Belangrijk is het hierbij om op te merken dat er mensen zijn die denken dat je straks vrijelijk kan kiezen of je een datavergunning aanvraagt, en dat je daarmee zelf zorgt dat je onder de EHDS valt. Daaruit volgt dat je dus ook zelf zou kunnen kiezen of je verplicht in een BVO moet werken of niet. Dat je mag kiezen of je ergens toe verplicht bent, lijkt mij een onhoudbaar standpunt. Maar mocht blijken dat ik ongelijk heb, en men weldegelijk vrijelijk kan kiezen of men een vergunning aanvraagt, dan zou in de uitvoeringswetgeving moeten worden opgenomen dat werken in een (door de Europese Commissie beschreven) BVO vanaf 2029 altijd verplicht is, ook als men niet de route via de HDAB bewandelt.

De Wet Zeggenschap Lichaamsmateriaal moet herschreven worden

De EHDS gaat over data en dus niet over lichaamsmateriaal. De concept-Wet Zeggenschap Lichaamsmateriaal gaat over materiaal en dus niet over data. Daarmee zou men dus kunnen denken dat er geen overlap is. Maar als je data uit materiaal haalt, dan doe je en iets met data, en ook iets met materiaal. Daarom bespreek ik hier wat ik vind van de concept-WZL. Spoiler alert: het is echt bagger.

De Health Data Access Body

Het Ministerie van VWS gaat binnenkort bepalen wie de HDAB wordt; bij wie straks vergunningen worden aangevraagd voor nuttig hergebruik van gezondheidsgegevens. Wie kunnen dit worden, wie juist niet? En wat moet deze HDAB allemaal doen?

Wanneer treedt de EHDS in werking?

De EHDS vereist flink wat voorbereiding. Er moet een Health Data Access Body worden opgericht, er moet van alles aan software en hardware worden gebouwd of aan elkaar geknoopt en er moet aanvullende wetgeving worden geschreven. Daarom zal de EHDS in verschillende fasen van kracht worden. Wat gebeurt er wanneer ten aanzien van het nuttig hergebruik van gezondheidsgegevens?

De EHDS leidt juist tot meer gezondheids(data)veiligheid

De komst van de EHDS zorgt voor maatschappelijke onrust. Zijn onze gezondheidsgegevens straks nog wel veilig? De verordening zal inderdaad meer data beschikbaar maken voor nuttig hergebruik, zoals wetenschappelijk onderzoek. Maar de idee van de Verordening is om meer data beschikbaar maken, juist door het beter te beveiligen. Daartoe wordt de vergunning geïntroduceerd en moet er een HDAB opgericht worden als gezondheidsdata-politie. De EHDS bevat bovendien een lijst verboden gebruik, die weleens verstrekkende gevolgen kon gaan hebben voor onder meer de tabaksindustrie.

Vergunning vereist

Allereerst bepaalt de EHDS dat men voor het werken met gezondheidsdata een vergunning moet aanvragen. Er is discussie over de vraag of men mag kiezen of men die aanvraagt, zoals het Ministerie van VWS zegt. Ik vind het een vreemd standpunt: je mag ook niet kiezen of je een kapvergunning aanvraagt, een bouwvergunning, of een horecavergunning. Het hele idee van de vergunning is dat de overheid op deze manier kan meekijken, om te zorgen dat men zich aan alle (veiligheids)regels houdt. Er zal, zo lees ik de verordening, bijna altijd een vergunning vereist zijn. Vervolgens bepaalt de EHDS dat gezondheidsdata uitsluitend mogen worden gebruikt conform de voorwaarden in die vergunning. Daarin moet o.a. zijn opgenomen wie exact de onderzoekers zijn die toegang mogen krijgen tot de data. Staat men niet in de vergunning, dan kan men ook niet bij de data. Bovendien is het ten strengste verboden om te achterhalen over welke personen de (anonieme of pseudonieme) data gaan.

HDAB houdt toezicht

De vergunning wordt aangevraagd bij de Health Data Access Body. In Nederland is men nu druk doende met het ontwerpen van allerlei ICT-middelen voor deze HDAB. Maar wie de EHDS goed bestudeert, zie dat de nieuw op te richten overheidsinstantie toch vooral de gezondheidsdata-politie zal zijn. Houdt men zich niet aan de vergunningsvoorwaarden of aan overige wetgeving, dan kan de HDAB flinke boetes opleggen (tot 20 Mio of 4% van de jaaromzet). Bovendien: belanghebbenden kunnen handhavingsverzoeken indienen bij de HDAB en zo de overheid dwingen om op te treden als er te slordig wordt omgegaan met gezondheidsgegevens. Dat kon de Autoriteit Persoonsgegevens ook al, kan je denken, maar de EHDS gaat echt verder. Er staat namelijk een bijzonder interessante lijst in de EHDS: het verboden gebruik.

Verboden onder de EHDS is dit:

het nemen van besluiten die nadelig zijn voor een natuurlijke persoon of een groep van natuurlijke personen op basis van hun elektronische gezondheidsgegevens; om als “besluiten” te kunnen worden aangemerkt voor de toepassing van dit punt, moeten zij juridische, sociale of economische gevolgen hebben of die natuurlijke personen op vergelijkbare wijze aanmerkelijk treffen;
het nemen van besluiten met betrekking tot een natuurlijke persoon of een groep natuurlijke personen in verband met vacatures, het aanbieden van minder gunstige voorwaarden bij het leveren van goederen of diensten, onder meer om die personen of groepen een verzekerings- of kredietovereenkomst te ontzeggen, hun bijdragen en verzekeringspremies of leningsvoorwaarden te wijzigen, of andere besluiten te nemen met betrekking tot een natuurlijke persoon of een groep natuurlijke personen die ertoe leiden dat zij gediscrimineerd worden op basis van de verkregen gezondheidsgegevens;
het verrichten van reclame- of marketingactiviteiten;
het ontwikkelen van producten of diensten die schadelijk kunnen zijn voor personen, de volksgezondheid of de samenleving in het algemeen, zoals illegale drugs, alcoholhoudende dranken, tabaks- en nicotineproducten, wapens, of producten of diensten die zodanig zijn ontworpen of gewijzigd dat zij tot verslaving leiden, in strijd zijn met de openbare orde of een risico voor de menselijke gezondheid inhouden;
het verrichten van activiteiten die in strijd zijn met ethische bepalingen die zijn neergelegd in het nationale recht.

Laat het tot je doordringen wat hier staat; je mag geen gezondheidsgegevens gebruiken voor het ontwikkelen van verslavende producten. Er is als gezegd onduidelijkheid over de vraag wanneer de EHDS van toepassing is. De lezing van het Ministerie van VWS is dat je kan kiezen of je een vergunning aanvraagt en of je dus onder de EHDS valt. Dan kan de tabaksindustrie dus ook kiezen of ze zich aan de verboden lijst moeten houden. Dat lijkt mij een onhoudbaar standpunt. Er staat in de EHDS: gebruikers van gezondheidsgegevens mogen gezondheidsgegevens voor secundair gebruik alleen raadplegen en verwerken overeenkomstig een gegevensvergunning. Het lijkt mij dat je dan altijd een vergunning nodig hebt (tenzij de EHDS niet van toepassing is op grond van artikel 1; daarin staan enige uitzonderingen). Als mijn lezing juist is, dan zal het effect van de lijst van verboden gebruik aanzienlijk zijn! Want dan zal het voortaan verboden zijn om gezondheidsdata te gebruiken voor het ontwikkelen van welk verslavend product dan ook. Hulde aan de opstellers van deze verordening dus.

De EHDS is dus top!

De komst van de EHDS zorgt voor maatschappelijke onrust. Men vreest bijvoorbeeld dat secundair gebruik ertoe kan leiden dat iemand geen verzekering of baan meer krijgt. Hieruit blijkt dat men de EHDS niet heeft gelezen, want dit staat expliciet in de lijst van verboden gebruik. Omdat de EHDS zeer gunstig is voor medisch wetenschappelijk onderzoek, kan het dus nuttig zijn om te benadrukken dat de EHDS van alles expliciet verbiedt. Het gunstige van de lijst verboden gebruik is bovendien dat de nieuw op te richten HDAB wordt aangewezen als de autoriteit die dit moet handhaven, en waar dus ook handhavingsverzoeken kunnen worden ingediend. Maar bovenal moeten we ons realiseren dat de EU via een omweg ons een juridisch middel in handen lijkt te hebben gegeven tegen de tabaksindustrie. Het is vooralsnog niet gelukt om tabak te verbieden, maar het lijkt wel te zijn gelukt om te verbieden onderzoek te doen naar de vraag hoe tabak nog verslavender kan worden gemaakt. De toekomst zal uitwijzen hoeveel plezier we gaan hebben van deze verboden lijst. Misschien is dit ook in te zetten tegen het verslavend maken van apps? Krijgt de HDAB straks mijn kind van de socials af? Ik kijk met spanning uit naar de fantastische voordelen die de EHDS ons kan brengen.

De Wet Zeggenschap Lichaamsmateriaal moet herschreven worden

De Health Data Access Body