Geen aparte ethische toets naast de EHDS

Posted on 13 april 202620 april 2026 by Antoinette

Geen aparte ethische toets

Waarom een nationale ethische toets schaadt

De European Health Data Space (EHDS) is een belangrijke pijler van de Europese datastrategie. De verordening heeft als doel om de beschikbaarheid van gezondheidsdata voor nuttig hergebruik te vergroten. Het belooft een einde te maken aan de juridische fragmentatie en de terughoudendheid om grensoverschrijdend data te delen. Hoewel de EHDS een geharmoniseerd systeem met Health Data Access Bodies (HDAB’s) introduceert, bevat de verordening een politiek compromis: lidstaten zijn bevoegdheid om een extra ethische beoordeling door een nationale instantie verplicht te stellen als voorwaarde voor een datavergunning. Ze zouden er echter goed aan doen om geen gebruik te maken van deze mogelijkheid.

De HDAB als alomvattende poortwachter

Een analyse van de regels laat zien dat een extra ethische toets overbodig is. De nieuwe HDAB’s zijn onder de EHDS en de AVG al verplicht om een buitengewoon uitgebreide toetsing uit te voeren:

EHDS toets en nut: De HDAB controleert of de aanvraag uitsluitend is voor erkende doeleinden zoals wetenschappelijk onderzoek gericht op de volksgezondheid, of er geen sprake is van verboden gebruik, en of er (naast het eventuele nut voor de aanvrager) ook sprake is van een meer algemeen belang. Ook wordt getoets of de aanvrager wel de juiste kwaliteiten heeft, en of het voorgestelde onderzoek deugdelijk in elkaar zit.
Privacy en AVG-compliance: De HDAB fungeert als poortwachter voor de AVG en verifieert continu de rechtmatige grondslag, proportionaliteit en subsidiariteit van de dataverwerking.
Strikte beveiliging: Data wordt niet direct overgedragen, maar mag enkel worden verwerkt binnen een gecontroleerde Secure Processing Environment (SPE), wat fungeert als de primaire technische waarborg voor de rechten van patiënten.
Patiënt-zeggenschap: De HDAB beheert de complexe beoordeling rondom opt-out en opt-in regimes, afhankelijk van de nationale wetgeving.

Wat zou het doel van een ethische toets zijn?

De Aanwijzingen voor de Regelgeving schrijven voor dat als er een wet wordt geschreven, er geanalyseerd moet worden of er daadwerkelijk een probleem bestaat en hoe dat het beste kan worden opgelost. Een ethische toets mag dus uitsluitend, als de toets van de HDAB nog een hiaat laat dat gevuld moet worden met een nationale wet. Maar daar lijkt geen sprake van. Fysieke risico’s voor de patiënt zijn er niet bij data-onderzoek (anders dan bij klinische trials.) En de privacy-aspecten worden volledig door de HDAB-toets afgedekt. Er geen resterend ‘ethisch vacuüm’ dat een aparte commissie nog zou moeten vullen.

Aparte commissies werkt juist nadelig

Soms stellen de huidige ethische commissies eisen die de EHDS nu juist expliciet afschaft: zoals dat de datahouder vermeldt moet worden als co-auteur, of een betaling die de kosten van het beschikbaar maken aanzienlijk te boven gaan. Bovendien heeft een ethische commissie juridische nadelen: een besluit op een EHDS-vergunningsaanvraag is een bestuursrechtelijk besluit. Dat moet dus voldoen aan onder meer het rechtszekerheidsbeginsel. En als niet strak bepaald is waarop die ethische commissie nog moet toetsen, dan is daar niet aan voldaan. De ethische commissies zullen bovendien per land andere besluiten nemen en zo het vrije verkeer van data beperken; wat dus rechtstreeks ingaat tegen de bedoeling van de EHDS Verordening.

Gevolgen voor innovatie en wetenschap

Voor de ontwikkeling van precisiegeneeskunde en de behandeling van zeldzame ziekten is een enorme statistische slagkracht nodig, wat samenvoeging van multinationale cohorten vereist. Als lidstaten afwijkende ethische criteria gaan hanteren, doorkruist dit direct het doel van de EHDS: een naadloos, pan-Europees ecosysteem voor gezondheidsdata. Het herintroduceert de administratieve wrijving waardoor belangrijke studies onder het oude systeem vaak onhaalbaar bleken. Lidstaten moeten daarom afzien van het toevoegen van extra nationale waarborgen bovenop dit Europese kader. De beste strategie is niet het dupliceren van besluitvorming, maar het integreren van de expertise van de leden van bestaande ethische commissies in de HDAB. Dit voorkomt belangenverstrengeling, garandeert rechtszekerheid en zorgt ervoor dat de potentie van de EHDS volledig benut kan worden.

Wilt u meer weten? Neem contact op met Mr. Dr. Antoinette Vlieger

De open data van semi-overheid

In Nederland heerst een hardnekkig misverstand. Veel semi-overheidsinstellingen en geprivatiseerde publieke diensten denken dat ze geen data beschikbaar hoeven te maken. De juridische realiteit is anders. De EU schrijft voor dat hoogwaardige datasets beschikbaar moeten worden gemaakt in het belang van innovatie en economische groei. Dus wetenschappers en ondernemers: grijp deze kans.

Het EPD moet voldoen aan Brusselse eisen

Ziekenhuizen en IT-leveranciers krijgen te maken met Europese eisen voor elektronische patiëntendossiers. De EHDS en de Nederlandse Wegiz botsen op essentiële punten.

De definitie van wetenschap in de digitale Omnibus

Hoe definieert de EU 'wetenschappelijk onderzoek' in de Digitale Omnibus? Antoinette Vlieger reageert op de kritiek. Wetenschap is iets anders dan goede wetenschap en dit moet zo blijven.

Het EPD moet voldoen aan Brusselse eisen

Posted on 13 april 202620 april 2026 by Antoinette

EHDS en het Europese EPD

Waarom het EPD straks aan Brusselse eisen moet voldoen

Voor ziekenhuizen, zorgaanbieders en IT-leveranciers verandert er veel in de komende tijd. De Nederlandse Wet Elektronische Gegevensuitwisseling in de Zorg (Wegiz) is geschreven voor betere gegevensuitwisseling en databeschikbaarheid in de zorg. Omdat dit een zeer grote operatie betreft, is ervoor gekozen om voor ‘geprioriteerde gegevensuitwisselingen’ normen te ontwikkelen, waarbij gebruik wordt gemaakt van Algemene Maatregelen van Bestuur (AMvB’s). Dat zijn door de regering vastgestelde besluiten, die wetten aanvullen. Hier komt de Tweede Kamer dus niet rechtstreeks aan te pas. Maar terwijl onze overheid aan Wegiz en AMvB’s werkte, werd in Brussel gewerkt aan de European Health Data Space (EHDS) verordening, die óók ziet op databeschikbaarheid in de zorg. Belangrijk om niet over het hoofd te zien: er is flink wat wetgevende macht overgedragen aan de EU.

Geen grensoverschrijdend feestje

Anders dan soms wel wordt gedacht, zal de EHDS niet alleen gelden voor grensoverschrijdend dataverkeer. Net als de AVG, wat ook een Europese wet is, geldt de EHDS altijd. Er staat niets in dat ruimte laat om de puur Nederlandse zorg aan de wet te onttrekken. En omdat Europese regelgeving altijd voorgaat op nationale regelgeving—zoals ook een gemeentelijke verordening niet het landelijke recht opzij kan zetten—mag de Wegiz niet in strijd met de EHDS zijn. Bovendien mogen bepalingen uit de EHDS niet in nationale wetten worden overgeschreven. De Minister van VWS berichtte dan ook aan de Tweede Kamer dat bij het huidige werk de EHDS inmiddels als basis wordt genomen. De nationale doelen vormen een aanvulling daarop, uitsluitend voor zover die in lijn zijn met de EHDS. Dat is, gezien de juridische rangorde, een logische werkmethode.

Ook Europese AMvB's

Om onnodig werk te voorkomen op de IT-afdelingen, is het wel belangrijk dat we stil staan bij het feit dat de EHDS bepaalde rechten toekent aan de Europese Commissie. Die krijgt namelijk het recht om Uitvoeringsverordeningen vast te stellen, wat feitelijk een soort Europese AMvB’s zijn. Ook daarvoor geldt dat het Europese Parlement er niet meer echt aan te pas komt. De impact hiervan mag niet worden onderschat, want de lijst nieuwe bevoegdheden van de Commissie uit de EHDS is behoorlijk lang. Wat dit betekent voor de werkvloer? De lijst bevat bijvoorbeeld de bevoegdheid om gegevenskwaliteitseisen vast te stellen voor de registratie van persoonlijke elektronische gezondheidsgegevens in een EPD-systeem. De inrichting van het EPD wordt daarmee in de toekomst dus niet meer bepaald door de Nederlandse regering, maar door besluiten uit Brussel

De open data van semi-overheid

Geen aparte ethische toets naast de EHDS

De EHDS schrijft al een uitgebreide toets voor. Een extra nationale ethische beoordeling als voorwaarde voor een datavergunning voegt niets toe en schaadt innovatie.

De definitie van wetenschap in de digitale Omnibus

Hoe definieert de EU 'wetenschappelijk onderzoek' in de Digitale Omnibus? Antoinette Vlieger reageert op de kritiek. Wetenschap is iets anders dan goede wetenschap en dit moet zo blijven.

De EHDS, PFAS en relatietherapie

Posted on 13 april 202620 april 2026 by Antoinette

De EHDS, PFAS en relatietherapie

Drie vragen die samensmolten

Vanmorgen lagen er bij toeval drie dingen samen op mijn bord: Een nieuwe opdracht over het nuttig hergebruik van gezondheidsgegevens, een artikel over de bizarre toename van depressieklachten bij vrouwen in de vijftig, en een theorie van een bevriende arts over PFAS: het verstoort hormonen, waardoor onze dochters mogelijk minder lang worden. In mijn hoofd smolt dit samen tot één grote onderzoeksvraag. Als PFAS zo’n impact heeft op hormonen, verklaart dat dan misschien ook waarom de overgang tegenwoordig zo heftig lijkt? En als we nog een stap verder speculeren: gaan vrouwen -toevallig- in de overgang scheiden, óf scheiden ze door klachten die hormonaal (of door milieuvervuiling) zijn aangejaagd?

PFAS en GGZ data combineren

Het antwoord is: nobody knows. Waarom niet? Omdat het op dit moment vrijwel onmogelijk is om op grote schaal data uit de geestelijke gezondheidszorg te koppelen aan andere datasets. Vanwege het stigma – en enorme juridische koudwatervrees – blijven ze achter slot en grendel. En dit is daarmee typisch een kwestie voor de European Health Data Space Regulation. Dat de EHDS nu een jaar in werking is, stemt mij als jurist hoopvol. Straks kun je als wetenschapper bij de nationale Health Data Access Body (HDAB) een vergunning aanvragen om dit soort prangende vragen te onderzoeken. Je krijgt dan toegang tot gepseudonimiseerde data in een zwaar beveiligde omgeving (een Secure Processing Environment). Zo kun je bijvoorbeeld gezondheidsdata over overgangsklachten eindelijk veilig combineren met geografische data over de verspreiding van PFAS.

EHDS zal de maatschappij dus veel brengen

Natuurlijk, speciaal voor GGZ-data gelden (terecht) de allerstrengste veiligheidswaarborgen. Maar we gaan weldegelijk van ‘data delen is een gunst’ naar ‘data voor onderzoek is een recht’ vanwege het enorme maatschappelijk belang. Want als blijkt dat milieuschade via onze hormonen leidt tot een toename in echtscheidingen of burn-outs, dan heeft de maatschappij iets anders nodig dan relatietherapie.

De open data van semi-overheid

Geen aparte ethische toets naast de EHDS

De EHDS schrijft al een uitgebreide toets voor. Een extra nationale ethische beoordeling als voorwaarde voor een datavergunning voegt niets toe en schaadt innovatie.

Het EPD moet voldoen aan Brusselse eisen

Ziekenhuizen en IT-leveranciers krijgen te maken met Europese eisen voor elektronische patiëntendossiers. De EHDS en de Nederlandse Wegiz botsen op essentiële punten.

Het vrije verkeer van Zorg ICT

Posted on 13 april 202620 april 2026 by Antoinette

Vrije verkeer van zorg-ICT

Ontwerp van Zorg-adressering

Het Ministerie van VWS heeft onlangs een consultatie geopend voor het Globaal Technisch Ontwerp (GTO) van de Generieke Functie Adressering: een soort adresboek voor zorgverleners. Een belangrijke stap voor de Nederlandse zorg, maar als je dit document door een Europese bril bekijkt, dan zie ik toch enige spanning.

Nationaal gezondheidsrecht versus vrij verkeer

VWS lijkt vanuit het gezondheidsrecht (art. 168 lid 7 VWEU & de autonomie van lidstaten om hun zorgstelsels in te richten) te beredeneren dat deze inrichting is toegestaan. Het systeem leunt op typisch Nederlandse ankers: de Kamer van Koophandel (KvK) en het UZI/DEZI-register. Maar mijn juridische intuïtie zegt me dat we hier de bredere Europese marktregels over het hoofd zien. Werpt dit technische ontwerp niet een muur op voor buitenlandse ICT-leveranciers?

Kan je een KvK inschrijving eisen?

Als een Duitse softwareontwikkelaar (bijv. van een EPD-oplossing) wordt gedwongen om een Nederlandse KvK-inschrijving te hebben om hun systemen te kunnen koppelen aan het LRZa, dan raakt dat direct aan artikel 56 VWEU (het vrije verkeer van diensten) en aan de Europese Dienstenrichtlijn, die verbiedt dat lidstaten buitenlandse dienstverleners dwingen zich in een lokaal of nationaal register in te schrijven om hun digitale diensten te mogen leveren. Daarnaast lijkt zo’n gesloten nationale benadering mij haaks te staan op het beoogde nuttig effect van de eIDAS-verordening en van de European Health Data Space (EHDS). Die zijn er immers juist om grensoverschrijdende digitale frictie en ‘vendor lock-in’ op nationaal niveau af te breken.

Welk ander Ministerie weet hier meer van?

Zijn er experts op het gebied van Europees recht en/of de Dienstenrichtlijn die dit spanningsveld herkennen? Bouwt Nederland hier aan een juridisch onhoudbare digitale grens? Ik zou graag sparren met iemand die veel weet over het vrije verkeer van ICT-diensten, om te zien of mijn intuïtie klopt, en of het zinvol is om samen te reageren op deze consultatie. Misschien iemand van het Ministerie van Economische Zaken en Klimaat ? Ik hoor graag jullie gedachten en suggesties voor experts.

De open data van semi-overheid

Geen aparte ethische toets naast de EHDS

De EHDS schrijft al een uitgebreide toets voor. Een extra nationale ethische beoordeling als voorwaarde voor een datavergunning voegt niets toe en schaadt innovatie.

Het EPD moet voldoen aan Brusselse eisen

Ziekenhuizen en IT-leveranciers krijgen te maken met Europese eisen voor elektronische patiëntendossiers. De EHDS en de Nederlandse Wegiz botsen op essentiële punten.

Wie mag er in de EHDS-Raad?

Posted on 13 april 202620 april 2026 by Antoinette

Wie mag in de EHDS-Raad?

Zit het RIVM straks in de EHDS-Raad?

De EHDS is een jaar van kracht en de Europese Commissie werkt hard aan de uitwerkingen. De eerste implementerende verordening (2026/771) is een feit: de oprichting van de EHDS-Raad. Maar wie mag daar namens Nederland in zitten? Dat is onduidelijker dan het lijkt. De EHDS zelf bepaalt dat de Raad bestaat uit “twee vertegenwoordigers” per lidstaat, één voor primair en één voor secundair gebruik. Dat klinkt ruim. Je zou zeggen: Nederland kan iedereen sturen die hier veel verstand van heeft, of dat nu iemand van de Health Data Access Body (HDAB) is, een hoogleraar, of een expert van het RIVM (een organisatie die bij uitstek zal profiteren van databeschikbaarheid).

Gelieerd aan een autoriteit?

Maar de nieuwe uitvoeringsverordening trekt de touwtjes strakker aan. Lidstaten moeten de namen van hun vertegenwoordigers doorgeven, plús “de autoriteit van de lidstaat waaraan zij gelieerd zijn.” Wat wordt hier precies mee bedoeld? Dit laat zich op twee manieren lezen:
– De ruime lezing: Het mag willekeurig welke publieke autoriteit van een lidstaat zijn (in lijn met de ruime Europese definitie van ‘autoriteit’, zoals in het Farrell-arrest). Het RIVM of ZonMw kan dan gewoon aanschuiven als lid, in plaats van als adviserend expert.
– De enge lezing: Het woord ‘autoriteit’ verwijst hier exclusief naar de Autoriteit Digitale Gezondheid (ADG) en de HDAB, analoog aan hoe de AVG met dit begrip omgaat. Dan zouden we dus snel deze organen in het leven moeten roepen, om sowieso mee te kunnen praten in de EHDS-raad.

Subgroepen in de EHDS-Raad

Artikel 92 lid 6 van de EHDS maakt het er niet helderder op. Dat stelt dat de Raad kan worden opgedeeld in subgroepen waarvan expliciet is bepaald dat de ADG’s en HDAB’s vertegenwoordigd moeten zijn. Betekent dit (a contrario) dat Raad zelf dus niet uitsluitend uit dergelijke vertegenwoordigers hoeft te bestaan? Of is dit juist het bewijs dat álle leden van de Raad uit die twee specifieke autoriteiten moeten komen?

Liever iemand die ziet welke voordelen de EHDS oplevert

Het antwoord op deze vraag is cruciaal voor de inrichting van de Nederlandse data-governance. Als de enge lezing klopt, mag een organisatie als het RIVM niet de Nederlandse zetel voor secundair gebruik innemen in de EHDS-raad. Dit terwijl het mij juist een uitstekend idee lijkt om een afgevaardigde te sturen die primair de voordelen en kansen van de EHDS in de praktijk ervaart, in plaats van een toezichthouder die vooral vanuit handhaving en risico’s zal acteren. Ik hoop dus op de ruime interpretatie, maar vrees de stringente. Als die laatste interpretatie juist is, dan is het wel zaak om zo snel mogelijk de ADG en de HDAB op te richten, om de eerste vergaderingen van de EHDS-Raad niet te missen.

De open data van semi-overheid

Geen aparte ethische toets naast de EHDS

De EHDS schrijft al een uitgebreide toets voor. Een extra nationale ethische beoordeling als voorwaarde voor een datavergunning voegt niets toe en schaadt innovatie.

Het EPD moet voldoen aan Brusselse eisen

Ziekenhuizen en IT-leveranciers krijgen te maken met Europese eisen voor elektronische patiëntendossiers. De EHDS en de Nederlandse Wegiz botsen op essentiële punten.

A persistent EHDS misunderstanding

Posted on 4 februari 202621 april 2026 by Antoinette

A persistent EHDS misunderstanding

Letter from the Dutch Minister of Helath

On January 20, 2026, the Dutch Minister of Health, Welfare and Sport sent a letter to the House of Representatives, informing it about the current status of the EHDS implementation. This letter was largely excellent and clear. However, it contained a persistent misunderstanding regarding the EHDS Catalogue and the Permit application process (DAAMS = Data Access Applications Management Solution).

On page 6, the letter lists four items or functions that must be developed in the coming years to ensure a well-functioning Health Data Access Body (HDAB)—the new government body where permits can be requested to reuse health data for public health purposes. The Minister describes the first of these as a national dataset catalog that provides insight into the location of data available for secondary use. This description is incorrect, as one can also apply for a permit concerning data that are not included in the catalog. Describing the catalog in this way would make the EHDS significantly less useful to science than the EU intended.

What should be included in the catalog?

To understand the difference between the EHDS Catalogue and the Permit DAAMS, we must first look at what belongs in the catalogue. Every entity (except micro entities) that holds EHDS data collected in a set is legally required to register those sets in the national catalogue. These datasets are defined as a “structured collection of electronic health data.” They must be labeled according to the Health DCAT-AP metadata standard so that researchers can more easily search throughout Europe for reusable datasets. The National Catalogue will hereto be linked to a European Catalogue.

What can you apply for at the HDAB?

However, what one can request from the HDAB, as a researcher, encompasses more than what is listed in the catalogue. One can apply for a permit to work with “data,” and this is defined separately in the EHDS (a definition that stems from the Data Governance Act). Data concerns: “any digital representation of acts, facts or information and any compilation of such acts, facts or information, including in the form of sound, visual or audiovisual recording.”

The difference is that datasets are “structured collections” of data, while “data” also includes all kinds of unstructured data that have never been collected in a structured set. Does it matter whether or not the application procedure (DAAMS) is restricted to the catalogue? Absolutely, it makes a big difference.

Dangers of limiting DAAMS to the Catalogue

Does it matter whether or not the application procedure (DAAMS) is restricted to the catalogue? Absolutely, it makes a big difference. Limiting the system creates three major obstacles:

You cannot label unstructured data: It is often mistakenly thought that data holders must register all unstructured data in the catalog. Healthcare institutions would have to inventory all healthcare data, regardless of scientific interest, which is highly inefficient and practically impossible to implement. Furthermore, providing metadata for unstructured data so that others understand it is extremely difficult. Because including all unstructured healthcare data in a catalog cannot be effectively implemented, it won’t work.
Unstructured data cannot be applied for: If not all EHDS data are in the catalogue, and the application process is limited to the catalogue, many types of data cannot be requested. Limiting the DAAMS to the catalogue means secondary use is restricted to data that has already been used for research or statistics. Extracting previously uncollected and unstructured data from the healthcare system will not be possible. Instead, it is more logical to search for data only when requested through a separate permit procedure.
Rare and new data cannot be collected: Existing datasets contain very little rare data, as scientists often choose readily available data to advance their careers. The EHDS licensing system is designed to solve the problem of data being difficult to find. If data holders must submit datasets annually and the application is limited to this, we could not request newly generated data during a pandemic. This contradicts the fact that the EHDS is explicitly intended to make fast data collection possible in such situations.

Split catalogue and application process for greater impact

The EHDS introduces a permit for both requesting data from society and reusing existing datasets. Article 67 of the EHDS contains a list of everything that must be submitted when applying for a permit. Notably, this article does not mention the catalog at all. It requires “a description of the requested electronic health data, including their scope, time range, format, sources and, where possible, the geographical coverage”. The word “data holder” surprisingly does not appear there.

Moreover, recital 73 states that the HDAB should assist health data users in the selection of suitable datasets or data sources for secondary use. This means the scientist, together with the HDAB, has to locate the data. A general indication of the sources is enough for the application, after which the HDAB must further assist.

To make scientific progress in new directions possible, the system must be designed correctly. The EHDS Permit DAAMS therefore should not require an applicant to designate a dataset that is already neatly listed in the catalogue. Only by splitting the catalogue and the application process can the EHDS achieve its true potential.

No separate ethical assessment alongside the EHDS

The EHDS prescribes a comprehensive and uniform assessment by the HDAB. A separate ethical assessment adds nothing and hinders science.

The concept of Science in the Omnibus

How does the EU define 'scientific research' in the Digital Omnibus? There has been criticism of this, but it is unjustified.

Long live AI, says AI!

Many people are afraid that their jobs are at risk due to AI. I decided to turn the question around and asked Gemini: which jobs are you going to take over, in a way that make us happy? Here is her own optimistic answer.

Een hardnekkig EHDS misverstand

Posted on 4 februari 202620 april 2026 by Antoinette

Een hardnekkig EHDS misverstand

Brief van de Minister

Op 20 januari 2026 stuurde de Minister van VWS een brief naar de Tweede Kamer, om deze te informeren over stand van zaken rond de implementatie van de EHDS. Dit was grotendeels een uitstekende en heldere brief. Echter, er stond een hardnekkig misverstand in. Op pagina 6 staan vier zaken of functies die de komende jaren ontwikkeld moeten worden ten behoeve van een goed functionerende Health Data Access Body, het nieuwe overheidsorgaan waar vergunningen kunnen worden aangevraagd om gezondheidsdata te hergebruiken ten behoeve van de Volksgezondheid. De Minster beschrijft de eerste daarvan als volgt: “Een nationale datasetcatalogus: door middel van een catalogus wordt inzichtelijk gemaakt waar welke datacategorieën voor secundair gebruik zich bevinden.” Deze omschrijving klopt niet, omdat men bij de HDAB ook data kan opvragen die niet in de catalogus staan. De catalogus toch zo omschrijven, zal ertoe leiden dat de EHDS een stuk minder nut heeft voor de wetenschap, dan de EU heeft beoogd.

Wat moet er in de catalogus staan?

Iedereen die houder is van EHDS-data die verzameld zijn in een set, wordt wettelijk verplicht om die sets aan te melden in de nationale catalogus. Dit zou de catalogus van Health-Ri kunnen zijn, maar ook bijvoorbeeld de catalogus van DANS, opgezet door onder meer de Koninklijke Academie van Wetenschappen. DANS behoort tot de meest vooraanstaande repositories van Europa. De op te richten HDAB zal hierin een keuze moeten maken. Wat datahouders bij de HDAB moeten aanmelden (jaarlijks) om te worden opgenomen in de catalogus, zijn al hun datasets. Deze zijn gedefinieerd als: “een gestructureerde verzameling van elektronische gezondheidsgegevens.” Deze datasets moeten straks een etiket krijgen volgens Health DCAT-AP (een standaard voor metadata) zodat onderzoekers makkelijker in heel Europa naar datasets kunnen zoeken, die zij voor hun onderzoek kunnen hergebruiken. De Nationale Catalogus wordt namelijk gekoppeld aan een Europese Catalogus.

Wat kan je bij de HDAB aanvragen?

Wat men bij de HDAB kan aanvragen, als onderzoeker, omvat echter meer dan wat er in de catalogus staat. Men kan namelijk een vergunning aan vragen om te werken met “data” en dit wordt in de EHDS apart gedefinieerd (waarbij verwezen wordt naar de Data Governance Verordening). Data betreft: “elke digitale weergave van handelingen, feiten of informatie en elke compilatie van dergelijke handelingen, feiten of informatie, ook in de vorm van geluidsopnames of visuele of audiovisuele opnames.” Het verschil zit erin dat datasets dus “gestructureerde verzamelingen” van data zijn, terwijl “data” dus ook allerlei ongestructureerde data betreffen, die nog nooit zijn verzameld in een gestructureerde set. Maakt dit uit? Jazeker, dit maakt veel uit.

Ongestructureerde data kan je niet labellen

Het eerste probleem is dat men in Nederland veelal lijkt te denken, dat datahouders dus alle “data” moet aanmelden in de catalogus, inclusief alle ongestructureerde data. Men zou dan als zorginstelling alle gezondheidsdata die men in huis heeft moeten inventariseren en aanmelden voor de catalogus, ongeacht de vraag of er ooit een wetenschapper in geïnteresseerd gaat zijn. Dat is niet bijzonder efficiënt. Bovendien valt niet in te zien hoe hier uitvoering aan moet worden gegeven. Data zelf worden natuurlijk niet in de catalogus gezet, alleen de metadata; een omschrijving van de data. Maar als dit ongestructureerde data betreft, dan wordt het bijzonder moeilijk om deze van metadata te voorzien, op een manier dat anderen begrijpen waar die ongestructureerde data over gaan. Omdat niet valt in te zien hoe dit moet worden uitgevoerd (alle ongestructureerde gezondheidsdata in Nederland opnemen in een catalogus), zal dit niet lukken.

Ongestructureerde data niet op te vragen?

Dit leidt tot het tweede probleem. Als niet alle EHDS-data daadwerkelijk in de catalogus staan, terwijl het aanvraagproces zich wel beperkt tot wat er in de catalogus staat, dan kunnen allerlei data dus niet aangevraagd worden. Het beperken van de DAAMS tot de data in de catalogus, leidt er dus toe dat alleen hergebruik van data mogelijk zal zijn, die al eerder voor onderzoek of statistiek zijn gebruik. Wat niet zal kunnen, op deze manier, is het onttrekken van nog niet eerder verzamelde, en dus nog ongestructureerde data aan het zorgsysteem. Het EHDS-systeem beperkt zich dan tot data die al eerder zijn gebruikt voor wetenschap of statistiek, maar strekt zich niet uit tot het beschikbaar maken of genereren van geheel nieuwe datasets. Wie oog heeft hiervoor, kan inderdaad erop aandringen dat we toch zoveel mogelijk (ongestructureerde) data in de catalogus gaan opnemen, maar logischer en efficiënter lijkt het, om pas naar data te gaan zoeken als iemand er daadwerkelijk om vraagt, middels een vergunnings-aanvraagprocedure die geheel los staat van de catalogus en waarin men gewoon beschrijft wat men nodig heeft en waar dit waarschijnlijk gevonden kan worden

Zeldzame en nieuwe data alsnog niet te verzamelen

Het derde probleem is dat de bestaande datasets, die zijn ontstaan onder het huidige gebrekkige systeem, weinig zeldzame data betreffen. Wetenschappers die carrière willen maken, zullen veelal ervoor kiezen om te werken met data die makkelijker verkrijgbaar zijn, in plaats van op zoek te gaan naar uiterst zeldzame data (want wie schrijft die blijft). Maar het vergunningensysteem van de EHDS moet het niet alleen mogelijk maken om data op te vragen die nu geweigerd worden (om welke reden dan ook), maar ook data die nu moeilijk vindbaar zijn. Op grond van de tekst van de EHDS kan men bijvoorbeeld een internationaal verzoek indienen, ten aanzien van de data van patiënten waarbij in de komende vijf jaar zowel henoch shönlein purpura als Long-Covid worden vastgesteld (een volstrekt willekeurig voorbeeld). Er dient dan evenwel een systeem te bestaan waarlangs een melding wordt gedaan aan de coördinerende HDAB als een dergelijke patiënt inderdaad blijkt te bestaan. Bovendien, als men jaarlijks datasets moet aanmelden in de catalogus, en de aanvraagprocedure is daartoe beperkt, dan zou men tijden een pandemie dus niet data kunnen opvragen die pas net zijn ontstaan. Dit terwijl de EHDS expliciet aangeeft mede bedoeld te zijn voor het snel verzamelen van data in dergelijke situaties.

Aanvraagproces van catalogus splitsen, voor meer effect

De EHDS introduceert dus een vergunning, zowel voor het opvragen van data uit de samenleving, als voor het hergebruik van bestaande datasets. Artikel 67 EHDS bevat immers de lijst met alles dat men moet aandragen of invullen bij het aanvragen van een vergunning. Daar staat allereerst niets in over de catalogus. Maar er staat bovendien wel dat men moet aangeven: “een beschrijving van de gevraagde elektronische gezondheidsgegevens, waaronder hun reikwijdte, tijdspanne, format, bronnen en, indien mogelijk, de geografische dekking. Er staat dus wel dat men moet aangeven wat de databronnen zijn, maar het woord datahouder staat daar opvallend genoeg niet. Bovendien staat in overweging 73: “De instantie voor toegang tot gezondheidsgegevens, en in voorkomend geval de houders van gezondheidsgegevens, moet de gebruikers van gezondheidsgegevens bijstaan bij de selectie van de geschikte datasets of gegevensbronnen voor het beoogde doeleind van secundair gebruik.” Dit betekent dat, anders dan nu, niet de wetenschapper, maar de wetenschapper samen met de HDAB de betreffende data moet lokaliseren. Het is bij de aanvraag dus niet nodig dat de wetenschapper zelf precies weet wie de data heeft; een algemene indicatie van de bronnen is genoeg, waarna de HDAB de wetenschapper verder moet bijstaan. Daardoor zal wetenschappelijke vooruitgang in allerlei nieuwe richtingen mogelijk zijn. Maar dan moet het systeem wel zo ingericht zijn, dat de DAAMS niet vereist dat je een dataset in de catalogus aanwijst.

De open data van semi-overheid

No separate ethical assessment alongside the EHDS

The EHDS prescribes a comprehensive and uniform assessment by the HDAB. A separate ethical assessment adds nothing and hinders science.

Geen aparte ethische toets naast de EHDS

De EHDS schrijft al een uitgebreide toets voor. Een extra nationale ethische beoordeling als voorwaarde voor een datavergunning voegt niets toe en schaadt innovatie.

De Wet Zeggenschap Lichaamsmateriaal moet herschreven worden

Posted on 26 augustus 202520 april 2026 by Antoinette

De concept-WZL moet echt volledig herschreven worden

De WZL versus de EHDS

De European Health Data Space-Verordening gaat over data en dus niet over lichaamsmateriaal. De concept-Wet Zeggenschap Lichaamsmateriaal gaat over materiaal en dus niet over data. Daarmee zou men dus op basis van de namen van de beide wetten, kunnen denken dat er geen overlap is. Dan zou er dus geen reden zijn om de WZL op deze website te bespreken. Ik bespreek het toch, omdat er meer overlap is dan men denkt. Als je data uit materiaal haalt, dan doe je en iets met data, en iets met materiaal. Daar komt bij dat de Aanwijzingen voor de Regelgeving (regels over hoe men wetten moet schrijven), bepalen dat er altijd goed moet worden nagedacht of nieuwe wetten echt nodig zijn. Bovendien moet zoveel mogelijk worden geharmoniseerd met bestaande regels. Bovendien denken velen (onterecht) dat de WZL weldegelijk over data uit materiaal gaat, terwijl de EHDS daar dus expliciet over gaat. Om deze drie redenen behandel ik hier toch de concept-WZL. Spoiler alert: het is bagger.

Waarom die WZL?

Allereerst iets over de achtergrond van de WZL. Voor wetenschappers is het meestal te doen om data uit het materiaal, niet om het materiaal zelf (tenzij men bijvoorbeeld materiaal nodig heeft voor een les chirurgie). Dat vinden ze zo logisch, dat de twee door elkaar worden gehaald. Voor juristen is lichaamsmateriaal echt iets anders dan data uit het materiaal. Voorheen was dit juridisch prima gescheiden. In de WGBO is er een wetsartikel over hergebruik van materiaal (7:467 BW) en een wetsartikel over hergebruik van patiëntgegevens (7:458). Omdat men veelal dus data uit materiaal wil halen, bepaalt de wet: “onder onderzoek met van het lichaam afgescheiden anonieme stoffen en delen wordt verstaan onderzoek waarbij is gewaarborgd dat het bij het onderzoek te gebruiken lichaamsmateriaal en de daaruit te verkrijgen gegevens niet tot de persoon herleidbaar zijn.” Zodra je dus patiëntgegevens uit het materiaal haalt, val je niet langer onder het artikel over het materiaal, maar onder het artikel over gegevens. Zo werd doublure voorkomen, en dat was prima geregeld. Het probleem is dat men in de loop der tijd het wetsartikel over materiaal anders is gaan lezen. Sommigen meenden dat als er herleidbare gegevens werden onttrokken, er altijd toestemming nodig was (mogelijk op grond van een ongeldige a contrario redenering toegepast op 7:467 BW?), terwijl het andere wetsartikel zegt (7:458 BW) : toestemming tenzij onredelijk.

Wat is anoniem?

Bovendien werd lichaamsmateriaal voorheen meestal beschouwd als anoniem: aan een druppel bloed kun je niet zien van wie het afkomstig is. Maar inmiddels kan men DNA uit een druppel bloed halen en dus betoogde men dat lichaamsmateriaal eigenlijk nooit meer anoniem is. Dat strookt niet met de Europese (AVG) jurisprudentie over wanneer iets een persoonsgegeven is. Daar wordt uitgegaan van een relatief begrip. Het is afhankelijk van de vraag wie de data verwerkt en wat die verwerking precies inhoudt, of de privacy in het geding is en of de AVG dus van toepassing is. Die (jurisprudentie over de ) AVG is relevant, omdat bij het schrijven van de Uitvoeringswet AVG (artikel 24) specifiek is verwezen naar de WGBO: het was de bedoeling dat deze artikelen hetzelfde zouden bepalen. Maar dit relatieve denken over persoonsgegevens lijkt geen effect te hebben gehad op het denken over lichaamsmateriaal. Mogelijk is dit veroorzaakt doordat de experts die hieromtrent worden aangehaald, medisch-wetenschappers en geen juristen zijn. Zij zullen hebben geconcludeerd dat materiaal technisch gezien nooit meer anoniem is, maar dat is iets anders dan de vraag of het juridisch gezien anoniem is.

Al die Biobanken...

Omdat de wet bepaalt dat men bij materiaal een opt-out kan uitoefenen tenzij het geen anoniem materiaal is, denken velen nu dat lichaamsmateriaal nooit anoniem is en er dus (bijna) altijd om toestemming moet worden gevraagd. Dat is voor wetenschappers vaak moeilijk werkbaar. Deze moeilijkheid zit wat mij betreft dus in een verkeerde lezing van de wetsartikelen en wat dit betreft was een wetswijziging mijns inziens dus ook niet nodig. Dat neemt niet weg dat tegelijkertijd de Tweede Kamer onrustig werd van het feit dat er inmiddels zeer veel materiaal (van miljoenen Nederlanders) opgeslagen bleek te liggen bij biobanken, zonder dat daar veel toezicht op wordt gehouden. Er moest dus een wet komen en dat argument is nog niet van tafel: en dus moet er “een” WZL komen. Maar de verwarring over materiaal versus data uit dat materiaal, is met deze concept-wet zeggenschap lichaamsmateriaal alleen maar groter geworden.

Dubbele regels

De WZL bepaalt zelf expliciet “Deze wet is van toepassing op handelingen met lichaamsmateriaal (…).” Dit is al problematisch. Allereerst omdat het artikel uit de WGBO bepaalde: dit artikel is van toepassing op lichaamsmateriaal, tenzij je er (herleidbare) data uithaalt, want dan val je onder het artikel over data. Deze tenzij-bepaling staat niet in de WZL. Dat betekent, dat als men persoonsgegevens uit lichaamsmateriaal haalt, men straks onder de WZL valt omdat het lichaamsmateriaal betreft, en men ook onder de AVG (en straks de EHDS) valt omdat het persoonsgegevens (en gezondheidsgegevens) betreft. Dat betekent dat je op grond van de WZL moet controleren of er bezwaar is gemaakt (via een apart systeem) terwijl er ook op grond van de EHDS moet worden gecontroleerd of er bezwaar is gemaakt in het Nationaal Zeggenschapsregister. Dit terwijl men de administratieve lasten juist wil verlagen en de Aanwijzingen voor de Regelgeving voorschrijven dat er zoveel mogelijk moet worden geharmoniseerd. Waarom er in de WZL niet wordt aangesloten bij de EHDS, is me dan ook een raadsel. Nota bene, er kan dus niet voor worden gekozen om het verkrijgen van data uit materiaal alleen onder de WZL te laten vallen, want dat is een Nederlandse wet, die de Europese AVG niet opzij kan zetten. Het moet dus andersom: er moet expliciet bepaald dat als men persoonsgegevens aan materiaal onttrekt, men niet meer onder de WZL maar onder de AVG valt. Dat ontbreekt nu.

Maar de WZL gaat dus niet over de data zelf

Maar het is bovendien problematisch, omdat het vrijwel iedereen ontgaat dat de WZL gaat over handelingen met materiaal (waaronder het eruit halen van data), maar dus niet over die data. Zelfs de Raad van State schreef onlangs in een advies: “Ook wordt een regeling geïntroduceerd voor de (verdere) verwerking van persoonsgegevens (over de gezondheid) voor deze situatie.” Dat is dus niet zo. Maar als zelfs de Raad van State hierover in verwarring verkeert, dan zal dat bij vrijwel het gehele veld zo zijn. Nog ernstiger wordt het als men nader bekijkt wanneer de wet exact van toepassing wordt: “Deze wet is van toepassing op handelingen met lichaamsmateriaal dat is (…) afgenomen (…) in verband met de geneeskunst (…) en met welke handelingen een ander doel wordt beoogd dan (…) zijn gezondheidstoestand te beoordelen.” Lichaamsmateriaal (zoals druppels bloed of een stukje huid) wordt veelal afgenomen ten behoeve van zorg aan een specifieke patiënt. Daarna wordt het opgeslagen, nog steeds voor die specifieke patiënt, vanwege de verplichting om bij te houden wat men doet en waarom. De WZL zal daarop dus niet van toepassing zijn, terwijl het artikel uit de WGBO over materiaal wordt ingetrokken. Dat betekent dat, zolang er geen wetenschapper interesse heeft in het materiaal, er geen regeling op van toepassing is. Maar het wordt nog vreemder. Want als een wetenschapper na drie jaar interesse krijgt in het materiaal, dan wordt de WZL van toepassing en die bepaalt dan (in 2028) dat bij het afnemen informatie moet worden gegeven aan de patiënt. Maar dat was dus drie jaar eerder, in 2025. Hoe kan een wet nu bepalen dat deze van toepassing wordt in 2028, die dan op dat moment voorschrijft dan men drie jaar daarvoor iets moet doen? Ik begrijp het echt niet.

Niemand is eigenaar

Een volgend probleem is dat het wetsvoorstel lijkt te zijn gebaseerd op uitgangspunten die incorrect zijn. De Consultatieversie tweede nota van wijziging wetsvoorstel zeggenschap lichaamsmateriaal d.d. 10 juni 2024, verwijst viermaal naar een rapport. Dit bevat een aantal opmerkelijke stellingen. Zo is op p.55 te lezen: “Ons recht beschouwt van het lichaam afgescheiden materialen in eerste instantie als ‘voor menselijke beheersing vatbare stoffen’ (artikel 3:2 BW). Er kan dan van eigendom worden gesproken. Degene van wie het lichaamsmateriaal afkomstig is, wordt eigenaar van dat materiaal.” Dit is onjuist. Artikel 3:2 BW stelt “Zaken zijn de voor menselijke beheersing vatbare stoffelijke objecten,” waar artikel 5:1 BW aan toevoegt: “Eigendom is het meest omvattende recht dat een persoon op een zaak kan hebben.” Dit kan-hebben brengt geenszins mee dat elke zaak vatbaar is voor eigendom. Je kan pas eigenaar zijn van een zaak, als die ook vatbaar is voor bezit, want je kan alleen eigenaar worden door bezitsverschaffing, inbezitneming, of bezit plus verjaring. Alles “buiten de handel” zoals dat al eeuwen geduid wordt, is niet vatbaar voor bezit en daarmee ook niet vatbaar voor eigendom. Als er onterecht te veel huid wordt weggesneden, is dit mogelijk mishandeling, maar men kan geen aangifte doen van diefstal bij de politie. Niemand is eigenaar van lichaamsmateriaal, zoals ook niemand eigenaar is van gezondheidsdata (men kan geen eigenaar kan zijn van “de zon is heet,” en dus ook niet van “de patiënt heeft koorts.”

Wel zeggenschap, maar harmoniseer

Gevoelsmatig vinden we dat de patiënt misschien iets van zeggenschap zou moeten hebben over dat lichaamsmateriaal, maar dit staat los van het concept eigendom. Op gelijke wijze heeft de patiënt op grond van de AVG zeggenschapsrechten over data om zijn privacy te beschermen, die dus geheel los staan van de vraag of er sprake is van eigendom. De AVG stelt dat altijd een afweging moet worden gemaakt tussen het belang van privacy versus het belang van datagebruik. En zo zou het ook moeten zijn bij lichaamsmateriaal. De WZL zou dan ook, waar mogelijk, zoveel mogelijk moeten aansluiten bij de AVG en de aanstaande EHDS, en de subtiele balans die in deze twee verordeningen gezocht wordt tussen het belang van privacy en het belang van vrije data. Maar de WZL sluit onterecht helemaal niet aan bij de EHDS. Wat dat betreft was het recente rapport van de Raad van State weldegelijk juist. Een dergelijk gebrek aan harmonisatie is in strijd met artikel 2.45 van de voornoemde Aanwijzingen voor de Regelgeving dat voorschrijft dat daar wel zoveel mogelijk naar gestreefd moet worden.

Lichamelijke integriteit niet in het geding

Dat er niet is gekozen voor maximale aansluiting bij de AVG en de EHDS, lijkt er bovendien mee samen te hangen (behalve dat data en materiaal door elkaar worden gehaald,) dat ook lichaam en lichaamsmateriaal door elkaar worden gehaald. Op het moment dat er materiaal wordt afgenomen van een patiënt, op dat moment, is de lichamelijke integriteit in het geding. Op het moment dat een sample vijf jaar later uit een archief getrokken wordt voor onderzoek, is dat niet meer het geval. Er zijn bij afname drie situaties te onderscheiden; afname voor zorg, afname voor zorg en onderzoek, en afname uitsluitend voor onderzoek. Op deze derde kwestie is de Wet medisch-wetenschappelijk onderzoek met mensen van toepassing (de WMO). Deze kent zware waarborgen ter bescherming van de gezondheid en lichamelijke integriteit van de patiënt. Er was onduidelijkheid over de vraag in hoeverre deze wet eveneens van toepassing was in situatie twee: bij afname van een extra buisje bloed. Ook in dat geval, is het lichaam van de patiënt in het geding en spelen er ethische vragen. Maar als er een bestaand sample uit de kast wordt getrokken voor onderzoek, dan spelen er uitsluitend privacy vraagstukken.

Dus waarom een ethische toets?

De WZL bepaalt desondanks dat beheerders van materiaal altijd een reglement moeten hebben waarover een ethische commissie een positief oordeel heeft gegeven. Maar dat is heel vreemd voor de situatie waarin er helemaal geen ethische vragen zijn: de situatie waarin materiaal uitsluitend is afgenomen ten behoeve van zorg. Als men pas achteraf bedenkt dat dit materiaal wellicht ook nuttig kan zijn voor onderzoek, is de lichamelijke integriteit totaal niet in het geding. Dan speelt uitsluitend de vraag of de privacy van de patiënt voldoende wordt beschermd, waar de AVG en de EHDS al op zien. Waarom daartoe een Medisch Ethische Toetsingscommissie moet worden ingeschakeld, is onbegrijpelijk. Deze toestingscommissies zijn uitermate waardevol bij medisch onderzoek met mensen. Patiënten die denken dat ze wellicht overlijden, zeggen op alles ja. En dan moet er dus een toetsingscommissie meekijken: of het risico voor de patiënt niet te groot is, of de kans op nuttig effect van het onderzoek niet te klein is. Die ethische constellatie speelt totaal niet bij het uit de kast trekken van een drie jaar eerder afgenomen stukje huid. En dus is het onbegrijpelijk waarom de ethische toetsingscommissie daarbij moet worden betrokken.

Kortom: terug naar de tekentafel

Al met al is de WZL een ondoorgrondelijk wet, terwijl de Memorie van Toelichting nu juist stelt dat deze beoogt om duidelijkheid te bieden. Ook is de WZL niet in lijn met de Aanwijzingen voor de Regelgeving omdat niet optimaal wordt aangesloten bij de AVG en de EHDS. Daarom moet de concept-WZL gewoon van tafel. Geen kleine aanpassinkjes, zoals eerder het geval was. Er dient een geheel nieuwe WZL geschreven te worden (i) die dubbele toepassing van regels op eenzelfde handeling uitsluit, (ii) die zoveel mogelijk aansluit bij de AVG en de EHDS, (iii) die zeggenschap regelt via het Nationaal Zeggenschapsregister, (iv) die in navolging van de AVG kiest voor een risico- en belangenafweging en (v) die de ethische toets nalaat als de privacy wel, maar de lichamelijke integriteit niet in het geding is.

De open data van semi-overheid

Geen aparte ethische toets naast de EHDS

De EHDS schrijft al een uitgebreide toets voor. Een extra nationale ethische beoordeling als voorwaarde voor een datavergunning voegt niets toe en schaadt innovatie.

Het EPD moet voldoen aan Brusselse eisen

Ziekenhuizen en IT-leveranciers krijgen te maken met Europese eisen voor elektronische patiëntendossiers. De EHDS en de Nederlandse Wegiz botsen op essentiële punten.

De Health Data Access Body

Posted on 10 augustus 202523 april 2026 by Antoinette

De HDAB van Nederland

Wie kan Health Data Access Body worden?

De Nederlandse overheid moet uiterlijk maart 2027 laten weten wie de Health Data Access Body zal worden; de instantie die gezondheidsdata beschikbaar gaat maken voor nuttig hergebruik. Deze HDAB verleent vergunningen, en is daarmee automatisch een overheidsorgaan. Immers, wie in een publiekrechtelijke wet is opgericht is overheid. Daarnaast is iedereen overheid die met openbaar gezag is bekleed, wat inhoudt dat men eenzijdig de rechtspositie van iemand kan vaststellen, zoals dus bepalen of iemand een vergunning krijgt. Er kan daarom bij het aanwijzen van de HDAB worden gekozen uit drie juridische opties:

men richt een geheel nieuw overheidsorgaan op in de Uitvoeringswetgeving-EHDS;
men wijst een bestaand overheidsorgaan aan als zijnde het orgaan dat voortaan ook de HDAB taken op zich neemt; of
men kiest voor een (bestaande of nieuwe) privaatrechtelijke organisatie, die met de uitvoeringswetgeving en de Kaderwet ZBO’s wordt ingebed in het publieke bestel en zo overheid wordt.

Juridische taken

Bij de inrichting van dit overheidsorgaan moet bedacht worden dat de HDAB zowel juridische, als feitelijke taken moet verrichten op grond van de EHDS. Alle juridische taken (die dus maken dat iets overheid is) kunnen niet worden uitbesteed. Dit betreft het verlenen van vergunningen, het opleggen van boetes of een last onder dwangsom. Deze bestuursrechtelijke besluitvorming zal niet eenvoudig zijn. De vergunningsaanvragen moeten worden getoetst aan de AVG en de EHDS, maar ook bijvoorbeeld aan het discriminatieverbod en de Europese vrij verkeersbepalingen.

Er moet bovendien worden voldaan aan het overige Europese recht zoals de DataGovernanceVerordening, de DataVerordening en de Open Data Richtlijnen (geïmplementeerd in de Wet Hergebruik Overheidsinformatie), maar ook de Algemene wet bestuursrecht en het Intellectuele Eigendomsrecht. Er kan tegen een vergunning (of weigering ervan) bezwaar en beroep aangetekend worden. Als houders weigeren data beschikbaar te maken, moet een last onder bestuursdwang of dwangsom te worden opgelegd en ook daartegen kan geprocedeerd worden. De HDAB heeft dus flink wat goede juristen nodig.

Feitelijke taken

Daarnaast krijgt de HDAB onder de EHDS allerlei feitelijke taken, die eventueel wel kunnen worden uitbesteed. Het feit dat een overheid ergens verantwoordelijk voor is, betekent immers niet dat het dit zelf ook moet uitvoeren. Zo is de overheid ook verantwoordelijk voor goede scholen, maar dat zijn feitelijke taken, geen bestuursrechtelijke besluiten, en dus kan dit aan allerlei stichtingen worden uitbesteed.

Op vergelijkbare wijze kan de HDAB opdrachten verlenen tot het uitvoeren van haar feitelijke taken, zoals het inrichten van een catalogus, anonimiseren of pseudonimiseren, het koppelen van databestanden, het in stand houden van een Nationaal Zeggenschapsregister, het controleren van de Beveiligde VerwerkingsOmgevingen, of het zorgen dat alle BVO’s interoperabel zijn. Dat zijn allemaal feitelijke taken die de HDAB zelf kan verrichten, maar die eventueel ook uitbesteed kunnen worden aan opdrachtnemers die dus niet overheid hoeven te zijn.

Wie kan niet HDAB worden

De HDAB mag geen belangen hebben bij de data of de vergunningsaanvraag, vanwege het verbod op tegenstrijdige belangen. Dit maakt dat het CBS eigenlijk afvalt als mogelijkheid, vanwege de commerciële activiteiten van microdata-services. De HDAB kan ook niet de Autoriteit Persoonsgegevens zijn, want die twee organisaties hebben tegengestelde taken (alles geheimhouden, versus meer data delen). Op gelijke wijze wordt de Markt Autoriteit apart genoemd in de EHDS, waaruit lijkt te volgen dat ook de ACM niet de HDAB kan worden.

Het gerucht gaat dat VWS ervoor kiest om een enkel, geheel nieuw orgaan op te richten. Belangrijk is wel dat er streng wordt vastgehouden aan de EHDS eis dat er in de HDAB geen sprake mag zijn van tegenstrijdige belangen; zowel op organisatieniveau als ten aanzien van de mensen die werkzaam zijn in de HDAB. Dat een bestuurder van de HDAB ook lid is van bijvoorbeeld de Raad van Toezicht van datahouders of datagebruikers, is dus zeer onwenselijk.

HDAB versus Autoriteit Persoonsgegevens

Nota bene, de HDAB krijgt ook taken ten opzichte de natuurlijke personen op wie de data betrekking hebben (patiënten, of eigenlijk alle burgers). Het gaat daarbij om de manier waarop de HDAB zelf met persoonsgegevens omgaat. De HDAB moet aan allerlei AVG vereisten voldoen ten aanzien van transparantie. Daarnaast houdt de HDAB toezicht op datahouders en datagebruikers; ze toetst of een vergunningsaanvraag aan de AVG voldoet, en of er binnen de BVO’s gewerkt wordt conform de AVG.

Maar als blijkt dat door iemand anders de AVG wordt geschonden, bijvoorbeeld omdat het Nationaal Zeggenschapsregister niet is gerespecteerd, dan geeft de HDAB die informatie aan de Autoriteit Persoonsgegevens, die zal optreden. Wat dit tweede betreft moet er dus door de HDAB worden samengewerkt met de Autoriteit Persoonsgegevens. Wat het eerste betreft staat de HDAB zoals andere overheden onder toezicht van de AP.

Groot genoeg

Er kan tot slot gekozen worden voor een enkele HDAB of meerdere, waarbij er een als coördinerende HDAB moet worden aangewezen. Gezien het feit dat er een flink aantal goed opgeleide juristen nodig is in de HDAB, en gezien het feit dat we maar een klein landje zijn, lijkt het onlogisch om meerdere HDAB’s op te richten. Tegelijkertijd moet ervoor worden opgepast dat de HDAB die wordt opgericht, niet te klein is. Er is discussie over de vraag wanneer de EHDS van toepassing is. Er zijn mensen die zeggen dat dit alleen het geval is, als men er zelf voor kiest om gebruik te maken van de HDAB-route.

Als men inderdaad zelf mag kiezen of men een vergunning aanvraagt of niet, dan hoeft de HDAB niet zo groot te zijn. Als men vrijwel altijd een vergunning nodig heeft (tenzij men zich kan beroepen op een van de uitzonderingen in artikel 1), dan zal de HDAB groot genoeg moeten zijn. Immers, als er door wetenschappers meer vergunningen worden aangevraagd dan de HDAB kan verwerken, dan kan het wetenschappelijk onderzoek in Nederland stagneren door capaciteitstekorten bij de HDAB. Dat is natuurlijk niet de bedoeling.

De open data van semi-overheid

Geen aparte ethische toets naast de EHDS

De EHDS schrijft al een uitgebreide toets voor. Een extra nationale ethische beoordeling als voorwaarde voor een datavergunning voegt niets toe en schaadt innovatie.

Het EPD moet voldoen aan Brusselse eisen

Ziekenhuizen en IT-leveranciers krijgen te maken met Europese eisen voor elektronische patiëntendossiers. De EHDS en de Nederlandse Wegiz botsen op essentiële punten.

De EHDS en de Beveiligde VerwerkingsOmgeving

Posted on 10 augustus 202523 april 2026 by Antoinette

De EHDS en de beveiligde verwerkingsomgeving

Technische Verseisten van de Europese Commissie

Er moet onder de EHDS worden gewerkt in een Beveiligde VerwerkingsOmgeving (BVO). Wetenschappers krijgen geen data, maar toegang daartoe in een BVO die voldoet aan krachtens de EHDS vastgestelde strenge technische en veiligheidsnormen. Wat deze vereisten exact gaan zijn, dat weten we nu nog niet. Deze worden uiterlijk maart 2027 door de Europese Commissie vastgesteld (zie tijdslijn). De Europese Commissie zal ook de lidstaten bijstaan om de veiligheid en de interoperabiliteit van de verschillende Beveiligde VerwerkingsOmgevingen te bevorderen. Dergelijke veiligheidsvereisten kunnen niet voorschreven worden in de EHDS zelf. Risico’s en beveiliging ontwikkelen zich immers sneller dan nieuwe Europese wetgeving.

HDAB en BG's houden toezicht

Let op: er zijn partijen die stellen dat er slechts één enkele BVO zal komen, die beheerd wordt door de HDAB. Dit zou dan een supercomputer worden waar alle Nederlandse gezondheidsgegevens in zouden komen te staan. Dit is niet het geval. De EHDS spreekt duidelijk van meerdere BVO’s. Iedere Betrouwbare Gegevenshouder (BG) moet ook beschikken over een BVO en waarschijnlijk kunnen onder meer de academische ziekenhuizen dit allemaal worden. De HDAB en de BG’s moeten altijd toezicht houden op wat er precies in hun BVO gebeurt, zodat aan de wetenschapper uitsluitend toegang wordt verleend in lijn met de exacte voorwaarden van zijn vergunning. Ergo, degene die over een BVO beschikt, moet in staat zijn om af te dwingen dat zowel de AVG als de EHDS nageleefd worden.

Wetenschappers mogen niet zomaar een andere wetenschapper toegang verlenen als die niet ook op de vergunning staat. En uitsluitend niet-persoonsgebonden data (dus anonieme of geaggregeerde data) mogen vanuit een dergelijke BVO worden gedownload. Ze mogen uiteraard wel van de ene naar de andere BVO, waartoe interoperabiliteit moet worden gerealiseerd. De log-gegevens van de verwerkingen in de BVO moeten minstens een jaar bewaard worden om te kunnen controleren of de vergunningsvoorwaarden juist zijn nageleefd. Op deze manier is de BVO een essentiële waarborg om de rechten en vrijheden van patiënten met betrekking tot de verwerking van hun gezondheidsgegevens voor secundair gebruik te beschermen.

Die BVO moet altijd verplicht zijn

Er is kritiek hoorbaar op de EHDS, die beoogt om meer gezondheidsdata beschikbaar te maken voor nuttig hergebruik. Belangrijk is het om voor ogen te houden dat de idee van deze wet is om meer data beschikbaar te maken, juist door dit veiliger te maken; in de gecertificeerde BVO’s dus. Belangrijk is het hierbij om op te merken dat er mensen zijn die denken dat je straks vrijelijk kan kiezen of je een datavergunning aanvraagt, en dat je daarmee zelf zorgt dat je onder de EHDS valt. Daaruit volgt dat je dus ook zelf zou kunnen kiezen of je verplicht in een BVO moet werken of niet. Dat je mag kiezen of je ergens toe verplicht bent, lijkt mij een onhoudbaar standpunt. Maar mocht blijken dat ik ongelijk heb, en men weldegelijk vrijelijk kan kiezen of men een vergunning aanvraagt, dan zou in de uitvoeringswetgeving moeten worden opgenomen dat werken in een (door de Europese Commissie beschreven) BVO vanaf 2029 altijd verplicht is, ook als men niet de route via de HDAB bewandelt.