EHDS Jurist

Menu

Tag: privacy

De Health Data Access Body

Posted on by Antoinette

De Health Data Access Body

Wie kan HDAB worden?

De Nederlandse overheid moet uiterlijk maart 2027 laten weten wie de Health Data Access Body zal worden; de instantie die gezondheidsdata beschikbaar gaat maken voor nuttig hergebruik. Deze HDAB verleent vergunningen, en is daarmee automatisch een overheidsorgaan. Immers, wie in een publiekrechtelijke wet is opgericht is overheid. Daarnaast is iedereen overheid die met openbaar gezag is bekleed, wat inhoudt dat men eenzijdig de rechtspositie van iemand kan vaststellen, zoals dus bepalen of iemand een vergunning krijgt. Er kan daarom bij het aanwijzen van de HDAB worden gekozen uit drie juridische opties:

  • men richt een geheel nieuw overheidsorgaan op in de Uitvoeringswetgeving-EHDS;
  • men wijst een bestaand overheidsorgaan aan als zijnde het orgaan dat voortaan ook de HDAB taken op zich neemt; of
  • men kiest voor een (bestaande of nieuwe) privaatrechtelijke organisatie, die met de uitvoeringswetgeving en de Kaderwet ZBO’s wordt ingebed in het publieke bestel en zo overheid wordt.

Juridische taken

Bij de inrichting van dit overheidsorgaan moet bedacht worden dat de HDAB zowel juridische, als feitelijke taken moet verrichten op grond van de EHDS. Alle juridische taken (die dus maken dat iets overheid is) kunnen niet worden uitbesteed. Dit betreft het verlenen van vergunningen, het opleggen van boetes of een last onder dwangsom. Deze bestuursrechtelijke besluitvorming zal niet eenvoudig zijn. De vergunningsaanvragen moeten worden getoetst aan de AVG en de EHDS, maar ook bijvoorbeeld aan het discriminatieverbod en de Europese vrij verkeersbepalingen. Er moet bovendien worden voldaan aan het overige Europese recht zoals de DataGovernanceVerordening, de DataVerordening en de Open Data Richtlijnen (geïmplementeerd in de Wet Hergebruik Overheidsinformatie), maar ook de Algemene wet bestuursrecht en het Intellectuele Eigendomsrecht. Er kan tegen een vergunning (of weigering ervan) bezwaar en beroep aangetekend worden. Als houders weigeren data beschikbaar te maken, moet een last onder bestuursdwang of dwangsom te worden opgelegd en ook daartegen kan geprocedeerd worden. De HDAB heeft dus flink wat goede juristen nodig.

Feitelijke taken

Daarnaast krijgt de HDAB onder de EHDS allerlei feitelijke taken, die eventueel wel kunnen worden uitbesteed. Het feit dat een overheid ergens verantwoordelijk voor is, betekent immers niet dat het dit zelf ook moet uitvoeren. Zo is de overheid ook verantwoordelijk voor goede scholen, maar dat zijn feitelijke taken, geen bestuursrechtelijke besluiten, en dus kan dit aan allerlei stichtingen worden uitbesteed. Op vergelijkbare wijze kan de HDAB opdrachten verlenen tot het uitvoeren van haar feitelijke taken, zoals het inrichten van een catalogus, anonimiseren of pseudonimiseren, het koppelen van databestanden, het in stand houden van een Nationaal Zeggenschapsregister, het controleren van de Beveiligde VerwerkingsOmgevingen, of het zorgen dat alle BVO’s interoperabel zijn. Dat zijn allemaal feitelijke taken die de HDAB zelf kan verrichten, maar die eventueel ook uitbesteed kunnen worden aan opdrachtnemers die dus niet overheid hoeven te zijn. 

Wie kan niet HDAB worden

De HDAB mag geen belangen hebben bij de data of de vergunningsaanvraag, vanwege het verbod op tegenstrijdige belangen. Dit maakt dat het CBS eigenlijk afvalt als mogelijkheid, vanwege de commerciële activiteiten van microdata-services. De HDAB kan ook niet de Autoriteit Persoonsgegevens zijn, want die twee organisaties hebben tegengestelde taken (alles geheimhouden, versus meer data delen). Op gelijke wijze wordt de Markt Autoriteit apart genoemd in de EHDS, waaruit lijkt te volgen dat ook de ACM niet de HDAB kan worden. Het gerucht gaat dat VWS ervoor kiest om een enkel, geheel nieuw orgaan op te richten. Belangrijk is wel dat er streng wordt vastgehouden aan de EHDS eis dat er in de HDAB geen sprake mag zijn van tegenstrijdige belangen; zowel op organisatieniveau als ten aanzien van de mensen die werkzaam zijn in de HDAB. Dat een bestuurder van de HDAB ook lid is van bijvoorbeeld de Raad van Toezicht van datahouders of datagebruikers, is dus zeer onwenselijk. 

HDAB versus Autoriteit Persoonsgegevens

Nota bene, de HDAB krijgt ook taken ten opzichte de natuurlijke personen op wie de data betrekking hebben (patiënten, of eigenlijk alle burgers). Het gaat daarbij om de manier waarop de HDAB zelf met persoonsgegevens omgaat. De HDAB moet aan allerlei AVG vereisten voldoen ten aanzien van transparantie. Daarnaast houdt de HDAB toezicht op datahouders en datagebruikers; ze toetst of een vergunningsaanvraag aan de AVG voldoet, en of er binnen de BVO’s gewerkt wordt conform de AVG. Maar als blijkt dat door iemand anders de AVG wordt geschonden, bijvoorbeeld omdat het Nationaal Zeggenschapsregister niet is gerespecteerd, dan geeft de HDAB die informatie aan de Autoriteit Persoonsgegevens, die zal optreden. Wat dit tweede betreft moet er dus door de HDAB worden samengewerkt met de Autoriteit Persoonsgegevens. Wat het eerste betreft staat de HDAB zoals andere overheden onder toezicht van de AP. 

Groot genoeg

Er kan tot slot gekozen worden voor een enkele HDAB of meerdere, waarbij er een als coördinerende HDAB moet worden aangewezen. Gezien het feit dat er een flink aantal goed opgeleide juristen nodig is in de HDAB, en gezien het feit dat we maar een klein landje zijn, lijkt het onlogisch om meerdere HDAB’s op te richten. Tegelijkertijd moet ervoor worden opgepast dat de HDAB die wordt opgericht, niet te klein is. Er is discussie over de vraag wanneer de EHDS van toepassing is. Er zijn mensen die zeggen dat dit alleen het geval is, als men er zelf voor kiest om gebruik te maken van de HDAB-route. Als men inderdaad zelf mag kiezen of men een vergunning aanvraagt of niet, dan hoeft de HDAB niet zo groot te zijn. Als men vrijwel altijd een vergunning nodig heeft (tenzij men zich kan beroepen op een van de uitzonderingen in artikel 1), dan zal de HDAB groot genoeg moeten zijn. Immers, als er door wetenschappers meer vergunningen worden aangevraagd dan de HDAB kan verwerken, dan kan het wetenschappelijk onderzoek in Nederland stagneren door capaciteitstekorten bij de HDAB. Dat is natuurlijk niet de bedoeling.

Lab gegevens medisch EHDS

De Wet Zeggenschap Lichaamsmateriaal moet herschreven worden

De EHDS gaat over data en dus niet over lichaamsmateriaal. De concept-Wet Zeggenschap Lichaamsmateriaal gaat over materiaal en dus niet over data. Daarmee zou men dus kunnen denken dat er geen overlap is. Maar als je data uit materiaal haalt, dan doe je en iets met data, en ook iets met materiaal. Daarom bespreek ik hier wat ik vind van de concept-WZL. Spoiler alert: het is echt bagger.

EHDS privacy juridisch data

De EHDS en de Beveiligde VerwerkingsOmgeving

Er moet onder de EHDS worden gewerkt in een Beveiligde VerwerkingsOmgeving (BVO). Wetenschappers krijgen geen data, maar toegang daartoe in een BVO die voldoet aan krachtens de EHDS vastgestelde strenge technische en veiligheidsnormen. Wat houdt dat in? En moet voortaan iedereen in een dergelijke BVO werken? Wordt dat een supercomputer met al onze gezondheidsdata?

Wanneer treedt de EHDS in werking?

De EHDS vereist flink wat voorbereiding. Er moet een Health Data Access Body worden opgericht, er moet van alles aan software en hardware worden gebouwd of aan elkaar geknoopt en er moet aanvullende wetgeving worden geschreven. Daarom zal de EHDS in verschillende fasen van kracht worden. Wat gebeurt er wanneer ten aanzien van het nuttig hergebruik van gezondheidsgegevens?

De EHDS en de Beveiligde VerwerkingsOmgeving

Posted on by Antoinette

De EHDS en de beveiligde verwerkingsomgeving

Technische Verseisten van de Europese Commissie

Er moet onder de EHDS worden gewerkt in een Beveiligde VerwerkingsOmgeving (BVO). Wetenschappers krijgen geen data, maar toegang daartoe in een BVO die voldoet aan krachtens de EHDS vastgestelde strenge technische en veiligheidsnormen. Wat deze vereisten exact gaan zijn, dat weten we nu nog niet. Deze worden uiterlijk maart 2027 door de Europese Commissie vastgesteld (zie tijdslijn). De Europese Commissie zal ook de lidstaten bijstaan om de veiligheid en de interoperabiliteit van de verschillende Beveiligde VerwerkingsOmgevingen te bevorderen. Dergelijke veiligheidsvereisten kunnen niet voorschreven worden in de EHDS zelf. Risico’s en beveiliging ontwikkelen zich immers sneller dan nieuwe Europese wetgeving.

HDAB en BG's houden toezicht

Let op: er zijn partijen die stellen dat er slechts één enkele BVO zal komen, die beheerd wordt door de HDAB. Dit zou dan een supercomputer worden waar alle Nederlandse gezondheidsgegevens in zouden komen te staan. Dit is niet het geval. De EHDS spreekt duidelijk van meerdere BVO’s. Iedere Betrouwbare Gegevenshouder (BG) moet ook beschikken over een BVO en waarschijnlijk kunnen onder meer de academische ziekenhuizen dit allemaal worden. De HDAB en de BG’s moeten altijd toezicht houden op wat er precies in hun BVO gebeurt, zodat aan de wetenschapper uitsluitend toegang wordt verleend in lijn met de exacte voorwaarden van zijn vergunning. Ergo, degene die over een BVO beschikt, moet in staat zijn om af te dwingen dat zowel de AVG als de EHDS nageleefd worden. Wetenschappers mogen niet zomaar een andere wetenschapper toegang verlenen als die niet ook op de vergunning staat. En uitsluitend niet-persoonsgebonden data (dus anonieme of geaggregeerde data) mogen vanuit een dergelijke BVO worden gedownload. Ze mogen uiteraard wel van de ene naar de andere BVO, waartoe interoperabiliteit moet worden gerealiseerd. De log-gegevens van de verwerkingen in de BVO moeten minstens een jaar bewaard worden om te kunnen controleren of de vergunningsvoorwaarden juist zijn nageleefd. Op deze manier is de BVO een essentiële waarborg om de rechten en vrijheden van patiënten met betrekking tot de verwerking van hun gezondheidsgegevens voor secundair gebruik te beschermen.

Die BVO moet altijd verplicht zijn

Er is kritiek hoorbaar op de EHDS, die beoogt om meer gezondheidsdata beschikbaar te maken voor nuttig hergebruik. Belangrijk is het om voor ogen te houden dat de idee van deze wet is om meer data beschikbaar te maken, juist door dit veiliger te maken; in de gecertificeerde BVO’s dus. Belangrijk is het hierbij om op te merken dat er mensen zijn die denken dat je straks vrijelijk kan kiezen of je een datavergunning aanvraagt, en dat je daarmee zelf zorgt dat je onder de EHDS valt. Daaruit volgt dat je dus ook zelf zou kunnen kiezen of je verplicht in een BVO moet werken of niet. Dat je mag kiezen of je ergens toe verplicht bent, lijkt mij een onhoudbaar standpunt. Maar mocht blijken dat ik ongelijk heb, en men weldegelijk vrijelijk kan kiezen of men een vergunning aanvraagt, dan zou in de uitvoeringswetgeving moeten worden opgenomen dat werken in een (door de Europese Commissie beschreven) BVO vanaf 2029 altijd verplicht is, ook als men niet de route via de HDAB bewandelt.

Lab gegevens medisch EHDS

De Wet Zeggenschap Lichaamsmateriaal moet herschreven worden

De EHDS gaat over data en dus niet over lichaamsmateriaal. De concept-Wet Zeggenschap Lichaamsmateriaal gaat over materiaal en dus niet over data. Daarmee zou men dus kunnen denken dat er geen overlap is. Maar als je data uit materiaal haalt, dan doe je en iets met data, en ook iets met materiaal. Daarom bespreek ik hier wat ik vind van de concept-WZL. Spoiler alert: het is echt bagger.

EHDS privacy juridisch data

De Health Data Access Body

Het Ministerie van VWS gaat binnenkort bepalen wie de HDAB wordt; bij wie straks vergunningen worden aangevraagd voor nuttig hergebruik van gezondheidsgegevens. Wie kunnen dit worden, wie juist niet? En wat moet deze HDAB allemaal doen?

Wanneer treedt de EHDS in werking?

De EHDS vereist flink wat voorbereiding. Er moet een Health Data Access Body worden opgericht, er moet van alles aan software en hardware worden gebouwd of aan elkaar geknoopt en er moet aanvullende wetgeving worden geschreven. Daarom zal de EHDS in verschillende fasen van kracht worden. Wat gebeurt er wanneer ten aanzien van het nuttig hergebruik van gezondheidsgegevens?

De EHDS leidt tot meer gezondheids(data)veiligheid

Posted on by Antoinette

De EHDS leidt juist tot meer gezondheids(data)veiligheid

De komst van de EHDS zorgt voor maatschappelijke onrust. Zijn onze gezondheidsgegevens straks nog wel veilig? De verordening zal inderdaad meer data beschikbaar maken voor nuttig hergebruik, zoals wetenschappelijk onderzoek. Maar de idee van de Verordening is om meer data beschikbaar maken, juist door het beter te beveiligen. Daartoe wordt de vergunning geïntroduceerd en moet er een HDAB opgericht worden als gezondheidsdata-politie. De EHDS bevat bovendien een lijst verboden gebruik, die weleens verstrekkende gevolgen kon gaan hebben voor onder meer de tabaksindustrie. 

Vergunning vereist

Allereerst bepaalt de EHDS dat men voor het werken met gezondheidsdata een vergunning moet aanvragen. Er is discussie over de vraag of men mag kiezen of men die aanvraagt, zoals het Ministerie van VWS zegt. Ik vind het een vreemd standpunt: je mag ook niet kiezen of je een kapvergunning aanvraagt, een bouwvergunning, of een horecavergunning. Het hele idee van de vergunning is dat de overheid op deze manier kan meekijken, om te zorgen dat men zich aan alle (veiligheids)regels houdt. Er zal, zo lees ik de verordening, bijna altijd een vergunning vereist zijn. Vervolgens bepaalt de EHDS dat gezondheidsdata uitsluitend mogen worden gebruikt conform de voorwaarden in die vergunning. Daarin moet o.a. zijn opgenomen wie exact de onderzoekers zijn die toegang mogen krijgen tot de data. Staat men niet in de vergunning, dan kan men ook niet bij de data. Bovendien is het ten strengste verboden om te achterhalen over welke personen de (anonieme of pseudonieme) data gaan. 

HDAB houdt toezicht

De vergunning wordt aangevraagd bij de Health Data Access Body. In Nederland is men nu druk doende met het ontwerpen van allerlei ICT-middelen voor deze HDAB. Maar wie de EHDS goed bestudeert, zie dat de nieuw op te richten overheidsinstantie toch vooral de gezondheidsdata-politie zal zijn. Houdt men zich niet aan de vergunningsvoorwaarden of aan overige wetgeving, dan kan de HDAB flinke boetes opleggen (tot 20 Mio of 4% van de jaaromzet). Bovendien: belanghebbenden kunnen handhavingsverzoeken indienen bij de HDAB en zo de overheid dwingen om op te treden als er te slordig wordt omgegaan met gezondheidsgegevens. Dat kon de Autoriteit Persoonsgegevens ook al, kan je denken, maar de EHDS gaat echt verder. Er staat namelijk een bijzonder interessante lijst in de EHDS: het verboden gebruik. 

Verboden onder de EHDS is dit:

  1. het nemen van besluiten die nadelig zijn voor een natuurlijke persoon of een groep van natuurlijke personen op basis van hun elektronische gezondheidsgegevens; om als “besluiten” te kunnen worden aangemerkt voor de toepassing van dit punt, moeten zij juridische, sociale of economische gevolgen hebben of die natuurlijke personen op vergelijkbare wijze aanmerkelijk treffen;
  2. het nemen van besluiten met betrekking tot een natuurlijke persoon of een groep natuurlijke personen in verband met vacatures, het aanbieden van minder gunstige voorwaarden bij het leveren van goederen of diensten, onder meer om die personen of groepen een verzekerings- of kredietovereenkomst te ontzeggen, hun bijdragen en verzekeringspremies of leningsvoorwaarden te wijzigen, of andere besluiten te nemen met betrekking tot een natuurlijke persoon of een groep natuurlijke personen die ertoe leiden dat zij gediscrimineerd worden op basis van de verkregen gezondheidsgegevens;
  3. het verrichten van reclame- of marketingactiviteiten;
  4. het ontwikkelen van producten of diensten die schadelijk kunnen zijn voor personen, de volksgezondheid of de samenleving in het algemeen, zoals illegale drugs, alcoholhoudende dranken, tabaks- en nicotineproducten, wapens, of producten of diensten die zodanig zijn ontworpen of gewijzigd dat zij tot verslaving leiden, in strijd zijn met de openbare orde of een risico voor de menselijke gezondheid inhouden;
  5. het verrichten van activiteiten die in strijd zijn met ethische bepalingen die zijn neergelegd in het nationale recht.

Laat het tot je doordringen wat hier staat; je mag geen gezondheidsgegevens gebruiken voor het ontwikkelen van verslavende producten. Er is als gezegd onduidelijkheid over de vraag wanneer de EHDS van toepassing is. De lezing van het Ministerie van VWS is dat je kan kiezen of je een vergunning aanvraagt en of je dus onder de EHDS valt. Dan kan de tabaksindustrie dus ook kiezen of ze zich aan de verboden lijst moeten houden. Dat lijkt mij een onhoudbaar standpunt. Er staat in de EHDS: gebruikers van gezondheidsgegevens mogen gezondheidsgegevens voor secundair gebruik alleen raadplegen en verwerken overeenkomstig een gegevensvergunning. Het lijkt mij dat je dan altijd een vergunning nodig hebt (tenzij de EHDS niet van toepassing is op grond van artikel 1; daarin staan enige uitzonderingen). Als mijn lezing juist is, dan zal het effect van de lijst van verboden gebruik aanzienlijk zijn! Want dan zal het voortaan verboden zijn om gezondheidsdata te gebruiken voor het ontwikkelen van welk verslavend product dan ook. Hulde aan de opstellers van deze verordening dus.

De EHDS is dus top!

De komst van de EHDS zorgt voor maatschappelijke onrust. Men vreest bijvoorbeeld dat secundair gebruik ertoe kan leiden dat iemand geen verzekering of baan meer krijgt. Hieruit blijkt dat men de EHDS niet heeft gelezen, want dit staat expliciet in de lijst van verboden gebruik. Omdat de EHDS zeer gunstig is voor medisch wetenschappelijk onderzoek, kan het dus nuttig zijn om te benadrukken dat de EHDS van alles expliciet verbiedt. Het gunstige van de lijst verboden gebruik is bovendien dat de nieuw op te richten HDAB wordt aangewezen als de autoriteit die dit moet handhaven, en waar dus ook handhavingsverzoeken kunnen worden ingediend. Maar bovenal moeten we ons realiseren dat de EU via een omweg ons een juridisch middel in handen lijkt te hebben gegeven tegen de tabaksindustrie. Het is vooralsnog niet gelukt om tabak te verbieden, maar het lijkt wel te zijn gelukt om te verbieden onderzoek te doen naar de vraag hoe tabak nog verslavender kan worden gemaakt. De toekomst zal uitwijzen hoeveel plezier we gaan hebben van deze verboden lijst. Misschien is dit ook in te zetten tegen het verslavend maken van apps? Krijgt de HDAB straks mijn kind van de socials af? Ik kijk met spanning uit naar de fantastische voordelen die de EHDS ons kan brengen. 

Lab gegevens medisch EHDS

De Wet Zeggenschap Lichaamsmateriaal moet herschreven worden

De EHDS gaat over data en dus niet over lichaamsmateriaal. De concept-Wet Zeggenschap Lichaamsmateriaal gaat over materiaal en dus niet over data. Daarmee zou men dus kunnen denken dat er geen overlap is. Maar als je data uit materiaal haalt, dan doe je en iets met data, en ook iets met materiaal. Daarom bespreek ik hier wat ik vind van de concept-WZL. Spoiler alert: het is echt bagger.

EHDS privacy juridisch data

De Health Data Access Body

Het Ministerie van VWS gaat binnenkort bepalen wie de HDAB wordt; bij wie straks vergunningen worden aangevraagd voor nuttig hergebruik van gezondheidsgegevens. Wie kunnen dit worden, wie juist niet? En wat moet deze HDAB allemaal doen?

EHDS privacy juridisch data

De EHDS en de Beveiligde VerwerkingsOmgeving

Er moet onder de EHDS worden gewerkt in een Beveiligde VerwerkingsOmgeving (BVO). Wetenschappers krijgen geen data, maar toegang daartoe in een BVO die voldoet aan krachtens de EHDS vastgestelde strenge technische en veiligheidsnormen. Wat houdt dat in? En moet voortaan iedereen in een dergelijke BVO werken? Wordt dat een supercomputer met al onze gezondheidsdata?