The Digital Omnibus and CJEU Scania

Posted on 13 april 202620 april 2026 by Antoinette

Does the draft Digital Omnibus (GDPR) abolish the Scania ruling? No.

Omnibus is being criticized

In various publications, the position is defended that the draft Digital Omnibus (concerning, among other things, amendments to the GDPR) would nullify the legal effect of the Scania judgment (C-319/22): in iBestuur among others, and on LinkedIn. However, a close reading of the text suggests otherwise. The Commission is not striking down Scania, but rather defining its scope.

Indirect personal data

In the Scania judgment, the EU Court ruled that if data (such as chassis numbers) constitute personal data for the recipient, they indirectly also constitute personal data for the provider. The fear of undermining this judgment is based on the addition proposed by the Commission to Article 4(1) of the GDPR: “Such information does not become personal for that entity merely because a potential subsequent recipient has means reasonably likely to be used to identify the natural person to whom the information relates.”

What is the difference

In my view, the crux of the correct interpretation of this sentence lies in the word ‘potential.’ A distinction must be made between an actual and a potential data transfer:

– The Scania doctrine (Actual transfer): In the Scania judgment, there was an actual provision of data to independent market participants. Because the data were actually transferred to a party with means of identification, the status of personal data indirectly extended to the original provider.

– The Omnibus text (Potential transfer): The proposed legislative text addresses exclusively the potential subsequent recipient. This provision aims to prevent internally processed, pseudonymized data from qualifying as personal data merely on the basis of the theoretical fact that there is a party somewhere in the world that could decrypt it.

A demarcation

Conclusion: With the draft Digital Omnibus, the European Commission does not annul the Scania judgment, but codifies the logical limits of the relative concept of personal data, as previously confirmed in the SRB case: if you actually transfer data to a party with identification capacity, the data also qualify as personal data for you. If it remains a hypothetical, potential recipient, this classification does not apply. The proposed addition thus offers, as the Commission itself states, a clarification of current case law, without undermining the Court’s fundamental principle of protection.

No separate ethical assessment alongside the EHDS

The EHDS prescribes a comprehensive and uniform assessment by the HDAB. A separate ethical assessment adds nothing and hinders science.

The concept of Science in the Omnibus

How does the EU define 'scientific research' in the Digital Omnibus? There has been criticism of this, but it is unjustified.

Long live AI, says AI!

Many people are afraid that their jobs are at risk due to AI. I decided to turn the question around and asked Gemini: which jobs are you going to take over, in a way that make us happy? Here is her own optimistic answer.

De Digitale Omnibus en het arrest Scania

Posted on 13 april 202620 april 2026 by Antoinette

Schaft de Digitale Omnibus (AVG) het Scania-arrest af? Nee

Omnibus onder vuur

In allerlei publicaties wordt de stelling verdedigd dat de concept-Digitale Omnibus (over onder meer aanpassingen in de AVG) de juridische werking van het Scania-arrest (C-319/22) teniet zou doen: in onder meer iBestuur, en op Linkedin. Een nauwkeurige lezing van de tekst suggereert echter anders. De Commissie zet geen streep door Scania, maar bakent de reikwijdte ervan af.

Indirect persoonsgegevens

In het arrest Scania oordeelde het EU Hof dat als gegevens (zoals chassis-nummers) voor de ontvanger persoonsgegevens zijn, zij dit indirect ook voor de verstrekker zijn. De vrees voor uitholling van dit arrest is gebaseerd op de door de Commissie voorgestelde toevoeging aan artikel 4 sub 1 AVG: “Such information does not become personal for that entity merely because a potential subsequent recipient has means reasonably likely to be used to identify the natural person to whom the information relates.” De crux voor de juiste lezing van deze zin, zit wat mij betreft in het woordje ‘potential.’

Wat is het verschil

Er moet een onderscheid worden gemaakt tussen een daadwerkelijke en een potentiële gegevensoverdracht:
– De Scania-doctrine (Daadwerkelijke overdracht): In het Scania-arrest was er sprake van een feitelijke terbeschikkingstelling van gegevens aan onafhankelijke marktdeelnemers. Omdat de data daadwerkelijk werden overgedragen aan een partij met identificatiemiddelen, werkte de status van persoonsgegeven indirect door naar de originele verstrekker.
– De Omnibus-tekst (Potentiële overdracht): De voorgestelde wetstekst adresseert uitsluitend de potentiële opvolgende ontvanger (“potential subsequent recipient”). Deze bepaling beoogt te voorkomen dat intern verwerkte, gepseudonimiseerde data kwalificeren als persoonsgegevens louter op basis van het theoretische feit dat er zich ergens in de wereld een partij bevindt die deze zou kunnen ontsleutelen.

Een afbakening dus

Conclusie: De Europese Commissie vernietigt met de concept- Digitale Omnibus het Scania-arrest niet, maar codificeert de logische grenzen van het relatieve persoonsgegevensbegrip, zoals eerder bevestigd in de SRB-zaak: indien u data daadwerkelijk overdraagt aan een partij met identificatiecapaciteit, kwalificeren de data ook voor u als persoonsgegevens. Blijft het bij een hypothetische, potentiële ontvanger, dan is deze kwalificatie niet aan de orde. De voorgestelde toevoeging biedt daarmee zoals de Commissie zelf ook stelt een verduidelijking van de huidige jurisprudentie, zonder afbreuk te doen aan de fundamentele beschermingsgedachte van het Hof.

De open data van semi-overheid

In Nederland heerst een hardnekkig misverstand. Veel semi-overheidsinstellingen en geprivatiseerde publieke diensten denken dat ze geen data beschikbaar hoeven te maken. De juridische realiteit is anders. De EU schrijft voor dat hoogwaardige datasets beschikbaar moeten worden gemaakt in het belang van innovatie en economische groei. Dus wetenschappers en ondernemers: grijp deze kans.

Geen aparte ethische toets naast de EHDS

De EHDS schrijft al een uitgebreide toets voor. Een extra nationale ethische beoordeling als voorwaarde voor een datavergunning voegt niets toe en schaadt innovatie.

Het EPD moet voldoen aan Brusselse eisen

Ziekenhuizen en IT-leveranciers krijgen te maken met Europese eisen voor elektronische patiëntendossiers. De EHDS en de Nederlandse Wegiz botsen op essentiële punten.

De Health Data Access Body

Posted on 10 augustus 202523 april 2026 by Antoinette

De HDAB van Nederland

Wie kan Health Data Access Body worden?

De Nederlandse overheid moet uiterlijk maart 2027 laten weten wie de Health Data Access Body zal worden; de instantie die gezondheidsdata beschikbaar gaat maken voor nuttig hergebruik. Deze HDAB verleent vergunningen, en is daarmee automatisch een overheidsorgaan. Immers, wie in een publiekrechtelijke wet is opgericht is overheid. Daarnaast is iedereen overheid die met openbaar gezag is bekleed, wat inhoudt dat men eenzijdig de rechtspositie van iemand kan vaststellen, zoals dus bepalen of iemand een vergunning krijgt. Er kan daarom bij het aanwijzen van de HDAB worden gekozen uit drie juridische opties:

men richt een geheel nieuw overheidsorgaan op in de Uitvoeringswetgeving-EHDS;
men wijst een bestaand overheidsorgaan aan als zijnde het orgaan dat voortaan ook de HDAB taken op zich neemt; of
men kiest voor een (bestaande of nieuwe) privaatrechtelijke organisatie, die met de uitvoeringswetgeving en de Kaderwet ZBO’s wordt ingebed in het publieke bestel en zo overheid wordt.

Juridische taken

Bij de inrichting van dit overheidsorgaan moet bedacht worden dat de HDAB zowel juridische, als feitelijke taken moet verrichten op grond van de EHDS. Alle juridische taken (die dus maken dat iets overheid is) kunnen niet worden uitbesteed. Dit betreft het verlenen van vergunningen, het opleggen van boetes of een last onder dwangsom. Deze bestuursrechtelijke besluitvorming zal niet eenvoudig zijn. De vergunningsaanvragen moeten worden getoetst aan de AVG en de EHDS, maar ook bijvoorbeeld aan het discriminatieverbod en de Europese vrij verkeersbepalingen.

Er moet bovendien worden voldaan aan het overige Europese recht zoals de DataGovernanceVerordening, de DataVerordening en de Open Data Richtlijnen (geïmplementeerd in de Wet Hergebruik Overheidsinformatie), maar ook de Algemene wet bestuursrecht en het Intellectuele Eigendomsrecht. Er kan tegen een vergunning (of weigering ervan) bezwaar en beroep aangetekend worden. Als houders weigeren data beschikbaar te maken, moet een last onder bestuursdwang of dwangsom te worden opgelegd en ook daartegen kan geprocedeerd worden. De HDAB heeft dus flink wat goede juristen nodig.

Feitelijke taken

Daarnaast krijgt de HDAB onder de EHDS allerlei feitelijke taken, die eventueel wel kunnen worden uitbesteed. Het feit dat een overheid ergens verantwoordelijk voor is, betekent immers niet dat het dit zelf ook moet uitvoeren. Zo is de overheid ook verantwoordelijk voor goede scholen, maar dat zijn feitelijke taken, geen bestuursrechtelijke besluiten, en dus kan dit aan allerlei stichtingen worden uitbesteed.

Op vergelijkbare wijze kan de HDAB opdrachten verlenen tot het uitvoeren van haar feitelijke taken, zoals het inrichten van een catalogus, anonimiseren of pseudonimiseren, het koppelen van databestanden, het in stand houden van een Nationaal Zeggenschapsregister, het controleren van de Beveiligde VerwerkingsOmgevingen, of het zorgen dat alle BVO’s interoperabel zijn. Dat zijn allemaal feitelijke taken die de HDAB zelf kan verrichten, maar die eventueel ook uitbesteed kunnen worden aan opdrachtnemers die dus niet overheid hoeven te zijn.

Wie kan niet HDAB worden

De HDAB mag geen belangen hebben bij de data of de vergunningsaanvraag, vanwege het verbod op tegenstrijdige belangen. Dit maakt dat het CBS eigenlijk afvalt als mogelijkheid, vanwege de commerciële activiteiten van microdata-services. De HDAB kan ook niet de Autoriteit Persoonsgegevens zijn, want die twee organisaties hebben tegengestelde taken (alles geheimhouden, versus meer data delen). Op gelijke wijze wordt de Markt Autoriteit apart genoemd in de EHDS, waaruit lijkt te volgen dat ook de ACM niet de HDAB kan worden.

Het gerucht gaat dat VWS ervoor kiest om een enkel, geheel nieuw orgaan op te richten. Belangrijk is wel dat er streng wordt vastgehouden aan de EHDS eis dat er in de HDAB geen sprake mag zijn van tegenstrijdige belangen; zowel op organisatieniveau als ten aanzien van de mensen die werkzaam zijn in de HDAB. Dat een bestuurder van de HDAB ook lid is van bijvoorbeeld de Raad van Toezicht van datahouders of datagebruikers, is dus zeer onwenselijk.

HDAB versus Autoriteit Persoonsgegevens

Nota bene, de HDAB krijgt ook taken ten opzichte de natuurlijke personen op wie de data betrekking hebben (patiënten, of eigenlijk alle burgers). Het gaat daarbij om de manier waarop de HDAB zelf met persoonsgegevens omgaat. De HDAB moet aan allerlei AVG vereisten voldoen ten aanzien van transparantie. Daarnaast houdt de HDAB toezicht op datahouders en datagebruikers; ze toetst of een vergunningsaanvraag aan de AVG voldoet, en of er binnen de BVO’s gewerkt wordt conform de AVG.

Maar als blijkt dat door iemand anders de AVG wordt geschonden, bijvoorbeeld omdat het Nationaal Zeggenschapsregister niet is gerespecteerd, dan geeft de HDAB die informatie aan de Autoriteit Persoonsgegevens, die zal optreden. Wat dit tweede betreft moet er dus door de HDAB worden samengewerkt met de Autoriteit Persoonsgegevens. Wat het eerste betreft staat de HDAB zoals andere overheden onder toezicht van de AP.

Groot genoeg

Er kan tot slot gekozen worden voor een enkele HDAB of meerdere, waarbij er een als coördinerende HDAB moet worden aangewezen. Gezien het feit dat er een flink aantal goed opgeleide juristen nodig is in de HDAB, en gezien het feit dat we maar een klein landje zijn, lijkt het onlogisch om meerdere HDAB’s op te richten. Tegelijkertijd moet ervoor worden opgepast dat de HDAB die wordt opgericht, niet te klein is. Er is discussie over de vraag wanneer de EHDS van toepassing is. Er zijn mensen die zeggen dat dit alleen het geval is, als men er zelf voor kiest om gebruik te maken van de HDAB-route.

Als men inderdaad zelf mag kiezen of men een vergunning aanvraagt of niet, dan hoeft de HDAB niet zo groot te zijn. Als men vrijwel altijd een vergunning nodig heeft (tenzij men zich kan beroepen op een van de uitzonderingen in artikel 1), dan zal de HDAB groot genoeg moeten zijn. Immers, als er door wetenschappers meer vergunningen worden aangevraagd dan de HDAB kan verwerken, dan kan het wetenschappelijk onderzoek in Nederland stagneren door capaciteitstekorten bij de HDAB. Dat is natuurlijk niet de bedoeling.

De open data van semi-overheid

Geen aparte ethische toets naast de EHDS

De EHDS schrijft al een uitgebreide toets voor. Een extra nationale ethische beoordeling als voorwaarde voor een datavergunning voegt niets toe en schaadt innovatie.

Het EPD moet voldoen aan Brusselse eisen

Ziekenhuizen en IT-leveranciers krijgen te maken met Europese eisen voor elektronische patiëntendossiers. De EHDS en de Nederlandse Wegiz botsen op essentiële punten.

De EHDS en de Beveiligde VerwerkingsOmgeving

Posted on 10 augustus 202523 april 2026 by Antoinette

De EHDS en de beveiligde verwerkingsomgeving

Technische Verseisten van de Europese Commissie

Er moet onder de EHDS worden gewerkt in een Beveiligde VerwerkingsOmgeving (BVO). Wetenschappers krijgen geen data, maar toegang daartoe in een BVO die voldoet aan krachtens de EHDS vastgestelde strenge technische en veiligheidsnormen. Wat deze vereisten exact gaan zijn, dat weten we nu nog niet. Deze worden uiterlijk maart 2027 door de Europese Commissie vastgesteld (zie tijdslijn). De Europese Commissie zal ook de lidstaten bijstaan om de veiligheid en de interoperabiliteit van de verschillende Beveiligde VerwerkingsOmgevingen te bevorderen. Dergelijke veiligheidsvereisten kunnen niet voorschreven worden in de EHDS zelf. Risico’s en beveiliging ontwikkelen zich immers sneller dan nieuwe Europese wetgeving.

HDAB en BG's houden toezicht

Let op: er zijn partijen die stellen dat er slechts één enkele BVO zal komen, die beheerd wordt door de HDAB. Dit zou dan een supercomputer worden waar alle Nederlandse gezondheidsgegevens in zouden komen te staan. Dit is niet het geval. De EHDS spreekt duidelijk van meerdere BVO’s. Iedere Betrouwbare Gegevenshouder (BG) moet ook beschikken over een BVO en waarschijnlijk kunnen onder meer de academische ziekenhuizen dit allemaal worden. De HDAB en de BG’s moeten altijd toezicht houden op wat er precies in hun BVO gebeurt, zodat aan de wetenschapper uitsluitend toegang wordt verleend in lijn met de exacte voorwaarden van zijn vergunning. Ergo, degene die over een BVO beschikt, moet in staat zijn om af te dwingen dat zowel de AVG als de EHDS nageleefd worden.

Wetenschappers mogen niet zomaar een andere wetenschapper toegang verlenen als die niet ook op de vergunning staat. En uitsluitend niet-persoonsgebonden data (dus anonieme of geaggregeerde data) mogen vanuit een dergelijke BVO worden gedownload. Ze mogen uiteraard wel van de ene naar de andere BVO, waartoe interoperabiliteit moet worden gerealiseerd. De log-gegevens van de verwerkingen in de BVO moeten minstens een jaar bewaard worden om te kunnen controleren of de vergunningsvoorwaarden juist zijn nageleefd. Op deze manier is de BVO een essentiële waarborg om de rechten en vrijheden van patiënten met betrekking tot de verwerking van hun gezondheidsgegevens voor secundair gebruik te beschermen.

Die BVO moet altijd verplicht zijn

Er is kritiek hoorbaar op de EHDS, die beoogt om meer gezondheidsdata beschikbaar te maken voor nuttig hergebruik. Belangrijk is het om voor ogen te houden dat de idee van deze wet is om meer data beschikbaar te maken, juist door dit veiliger te maken; in de gecertificeerde BVO’s dus. Belangrijk is het hierbij om op te merken dat er mensen zijn die denken dat je straks vrijelijk kan kiezen of je een datavergunning aanvraagt, en dat je daarmee zelf zorgt dat je onder de EHDS valt. Daaruit volgt dat je dus ook zelf zou kunnen kiezen of je verplicht in een BVO moet werken of niet. Dat je mag kiezen of je ergens toe verplicht bent, lijkt mij een onhoudbaar standpunt. Maar mocht blijken dat ik ongelijk heb, en men weldegelijk vrijelijk kan kiezen of men een vergunning aanvraagt, dan zou in de uitvoeringswetgeving moeten worden opgenomen dat werken in een (door de Europese Commissie beschreven) BVO vanaf 2029 altijd verplicht is, ook als men niet de route via de HDAB bewandelt.

De open data van semi-overheid

Geen aparte ethische toets naast de EHDS

De EHDS schrijft al een uitgebreide toets voor. Een extra nationale ethische beoordeling als voorwaarde voor een datavergunning voegt niets toe en schaadt innovatie.

Het EPD moet voldoen aan Brusselse eisen

Ziekenhuizen en IT-leveranciers krijgen te maken met Europese eisen voor elektronische patiëntendossiers. De EHDS en de Nederlandse Wegiz botsen op essentiële punten.

De EHDS leidt tot meer gezondheids(data)veiligheid

Posted on 10 augustus 202520 april 2026 by Antoinette

De EHDS leidt juist tot meer gezondheids(data)veiligheid

De komst van de EHDS zorgt voor maatschappelijke onrust. Zijn onze gezondheidsgegevens straks nog wel veilig? De verordening zal inderdaad meer data beschikbaar maken voor nuttig hergebruik, zoals wetenschappelijk onderzoek. Maar de idee van de Verordening is om meer data beschikbaar maken, juist door het beter te beveiligen. Daartoe wordt de vergunning geïntroduceerd en moet er een HDAB opgericht worden als gezondheidsdata-politie. De EHDS bevat bovendien een lijst verboden gebruik, die weleens verstrekkende gevolgen kon gaan hebben voor onder meer de tabaksindustrie.

Vergunning vereist

Allereerst bepaalt de EHDS dat men voor het werken met gezondheidsdata een vergunning moet aanvragen. Er is discussie over de vraag of men mag kiezen of men die aanvraagt, zoals het Ministerie van VWS zegt. Ik vind het een vreemd standpunt: je mag ook niet kiezen of je een kapvergunning aanvraagt, een bouwvergunning, of een horecavergunning. Het hele idee van de vergunning is dat de overheid op deze manier kan meekijken, om te zorgen dat men zich aan alle (veiligheids)regels houdt. Er zal, zo lees ik de verordening, bijna altijd een vergunning vereist zijn. Vervolgens bepaalt de EHDS dat gezondheidsdata uitsluitend mogen worden gebruikt conform de voorwaarden in die vergunning. Daarin moet o.a. zijn opgenomen wie exact de onderzoekers zijn die toegang mogen krijgen tot de data. Staat men niet in de vergunning, dan kan men ook niet bij de data. Bovendien is het ten strengste verboden om te achterhalen over welke personen de (anonieme of pseudonieme) data gaan.

HDAB houdt toezicht

De vergunning wordt aangevraagd bij de Health Data Access Body. In Nederland is men nu druk doende met het ontwerpen van allerlei ICT-middelen voor deze HDAB. Maar wie de EHDS goed bestudeert, zie dat de nieuw op te richten overheidsinstantie toch vooral de gezondheidsdata-politie zal zijn. Houdt men zich niet aan de vergunningsvoorwaarden of aan overige wetgeving, dan kan de HDAB flinke boetes opleggen (tot 20 Mio of 4% van de jaaromzet). Bovendien: belanghebbenden kunnen handhavingsverzoeken indienen bij de HDAB en zo de overheid dwingen om op te treden als er te slordig wordt omgegaan met gezondheidsgegevens. Dat kon de Autoriteit Persoonsgegevens ook al, kan je denken, maar de EHDS gaat echt verder. Er staat namelijk een bijzonder interessante lijst in de EHDS: het verboden gebruik.

Verboden onder de EHDS is dit:

het nemen van besluiten die nadelig zijn voor een natuurlijke persoon of een groep van natuurlijke personen op basis van hun elektronische gezondheidsgegevens; om als “besluiten” te kunnen worden aangemerkt voor de toepassing van dit punt, moeten zij juridische, sociale of economische gevolgen hebben of die natuurlijke personen op vergelijkbare wijze aanmerkelijk treffen;
het nemen van besluiten met betrekking tot een natuurlijke persoon of een groep natuurlijke personen in verband met vacatures, het aanbieden van minder gunstige voorwaarden bij het leveren van goederen of diensten, onder meer om die personen of groepen een verzekerings- of kredietovereenkomst te ontzeggen, hun bijdragen en verzekeringspremies of leningsvoorwaarden te wijzigen, of andere besluiten te nemen met betrekking tot een natuurlijke persoon of een groep natuurlijke personen die ertoe leiden dat zij gediscrimineerd worden op basis van de verkregen gezondheidsgegevens;
het verrichten van reclame- of marketingactiviteiten;
het ontwikkelen van producten of diensten die schadelijk kunnen zijn voor personen, de volksgezondheid of de samenleving in het algemeen, zoals illegale drugs, alcoholhoudende dranken, tabaks- en nicotineproducten, wapens, of producten of diensten die zodanig zijn ontworpen of gewijzigd dat zij tot verslaving leiden, in strijd zijn met de openbare orde of een risico voor de menselijke gezondheid inhouden;
het verrichten van activiteiten die in strijd zijn met ethische bepalingen die zijn neergelegd in het nationale recht.

Laat het tot je doordringen wat hier staat; je mag geen gezondheidsgegevens gebruiken voor het ontwikkelen van verslavende producten. Er is als gezegd onduidelijkheid over de vraag wanneer de EHDS van toepassing is. De lezing van het Ministerie van VWS is dat je kan kiezen of je een vergunning aanvraagt en of je dus onder de EHDS valt. Dan kan de tabaksindustrie dus ook kiezen of ze zich aan de verboden lijst moeten houden. Dat lijkt mij een onhoudbaar standpunt. Er staat in de EHDS: gebruikers van gezondheidsgegevens mogen gezondheidsgegevens voor secundair gebruik alleen raadplegen en verwerken overeenkomstig een gegevensvergunning. Het lijkt mij dat je dan altijd een vergunning nodig hebt (tenzij de EHDS niet van toepassing is op grond van artikel 1; daarin staan enige uitzonderingen). Als mijn lezing juist is, dan zal het effect van de lijst van verboden gebruik aanzienlijk zijn! Want dan zal het voortaan verboden zijn om gezondheidsdata te gebruiken voor het ontwikkelen van welk verslavend product dan ook. Hulde aan de opstellers van deze verordening dus.

De EHDS is dus top!

De komst van de EHDS zorgt voor maatschappelijke onrust. Men vreest bijvoorbeeld dat secundair gebruik ertoe kan leiden dat iemand geen verzekering of baan meer krijgt. Hieruit blijkt dat men de EHDS niet heeft gelezen, want dit staat expliciet in de lijst van verboden gebruik. Omdat de EHDS zeer gunstig is voor medisch wetenschappelijk onderzoek, kan het dus nuttig zijn om te benadrukken dat de EHDS van alles expliciet verbiedt. Het gunstige van de lijst verboden gebruik is bovendien dat de nieuw op te richten HDAB wordt aangewezen als de autoriteit die dit moet handhaven, en waar dus ook handhavingsverzoeken kunnen worden ingediend. Maar bovenal moeten we ons realiseren dat de EU via een omweg ons een juridisch middel in handen lijkt te hebben gegeven tegen de tabaksindustrie. Het is vooralsnog niet gelukt om tabak te verbieden, maar het lijkt wel te zijn gelukt om te verbieden onderzoek te doen naar de vraag hoe tabak nog verslavender kan worden gemaakt. De toekomst zal uitwijzen hoeveel plezier we gaan hebben van deze verboden lijst. Misschien is dit ook in te zetten tegen het verslavend maken van apps? Krijgt de HDAB straks mijn kind van de socials af? Ik kijk met spanning uit naar de fantastische voordelen die de EHDS ons kan brengen.