Spring naar inhoud
EHDS Jurist — Mr. Dr. Antoinette Vlieger
NL/EN
Terug naar de verordening
Artikel 68

Gegevensvergunning

  1. Met het oog op de verlening van toegang tot elektronische gezondheidsgegevens, beoordelen de instanties voor toegang tot gezondheidsgegevens of aan alle volgende criteria is voldaan:

    a) de in de aanvraag voor gegevenstoegang vermelde doeleinden komen overeen met één of meer van de in artikel 53, lid 1, genoemde doeleinden;

    b) de gevraagde gegevens zijn noodzakelijk en toereikend voor en staan in verhouding tot de doeleinden die zijn vermeld in de aanvraag voor toegang tot gezondheidsgegevens, rekening houdend met de in artikel 66 vastgestelde vereisten inzake minimale gegevensverwerking en doelbinding;

    c) de verwerking voldoet aan artikel 6, lid 1, van Verordening (EU) 2016/679 en, in het geval van gepseudonimiseerde gegevens, is voldoende gemotiveerd dat het doel niet door middel van geanonimiseerde gegevens kan worden bereikt;

    d) de aanvrager van gezondheidsgegevens is gekwalificeerd met betrekking tot de beoogde doeleinden waarvoor de gegevens zullen worden gebruikt en beschikt over passende expertise, zoals beroepskwalificaties op het gebied van gezondheidszorg, zorg, volksgezondheid of onderzoek, in overeenstemming met de ethische praktijk en de toepasselijke wet- en regelgeving;

    e) de aanvrager van gezondheidsgegevens toont voldoende technische en organisatorische maatregelen aan om misbruik van de elektronische gezondheidsgegevens te voorkomen en de rechten en belangen van de houder van gezondheidsgegevens en de betrokken natuurlijke personen te beschermen;

    f) de informatie over de in artikel 67, lid 2, punt j), bedoelde beoordeling van ethische aspecten van de verwerking is, indien van toepassing, in overeenstemming met het nationale recht;

    g) indien de aanvrager van gezondheidsgegevens voornemens is gebruik te maken van een uitzondering op grond van artikel 71, lid 4, moet hij of zij de verantwoording geven die uit hoofde van de krachtens dat artikel aangenomen nationale wetgeving vereist is;

70/96 ELI: http://data.europa.eu/eli/reg/2025/327/oj

h) de aanvrager van gezondheidsgegevens voldoet aan alle andere vereisten van dit hoofdstuk.

  1. De instantie voor toegang tot gezondheidsgegevens houdt ook rekening met:

    a) risico’s voor de nationale defensie en veiligheid, de openbare veiligheid en de openbare orde;

    b) het risico dat de vertrouwelijkheid van gegevens in overheidsdatabanken van regelgevende instanties wordt ondermijnd.

  2. Indien de instantie voor toegang tot gezondheidsgegevens tot de conclusie komt dat aan de vereisten van lid 1 is voldaan en dat de in lid 2 bedoelde risico’s voldoende worden beperkt, verleent de instantie voor toegang tot gezondheidsgegevens toegang tot elektronische gezondheidsgegevens door een gegevensvergunning af te geven. Instanties voor toegang tot gezondheidsgegevens wijzen alle aanvragen om toegang tot gezondheidsgegevens af wanneer niet aan de vereisten van dit hoofdstuk is voldaan.

Wanneer niet is voldaan aan de vereisten voor het afgeven van een gegevensvergunning, maar wel aan de vereisten voor het vertrekken van een antwoord in een geanonimiseerd statistisch format op grond van artikel 69, kan de instantie voor toegang tot gezondheidsgegevens besluiten een dergelijk antwoord te verstrekken op voorwaarde dat door dat antwoord de risico’s zouden worden beperkt en, indien het doel van de aanvraag voor toegang tot gezondheidsgegevens op die wijze kan worden verwezenlijkt, dat de aanvrager van gezondheidsgegevens ermee instemt een antwoord in een geanonimiseerd statistisch format op grond van artikel 69 te verkrijgen.

  1. In afwijking van Verordening (EU) 2022/868 geeft de instantie voor toegang tot gezondheidsgegevens een gegevensvergunning af of weigert deze binnen drie maanden na ontvangst van een volledige aanvraag voor toegang tot gezondheidsgegevens. Indien de instantie voor toegang tot gezondheidsgegevens van mening is dat de aanvraag voor toegang tot gezondheidsgegevens onvolledig is, stelt zij de aanvrager van gezondheidsgegevens hiervan in kennis zodat hij of zij die aanvraag kan vervolledigen. Indien de aanvrager van gezondheidsgegevens de aanvraag voor toegang tot gezondheidsgegevens niet binnen vier weken vervolledigt, wordt de gegevensvergunning niet afgegeven.

De instantie voor toegang tot gezondheidsgegevens kan de termijn voor het beantwoorden van een aanvraag voor toegang tot gezondheidsgegevens zo nodig met nog eens drie maanden verlengen, rekening houdend met de urgentie en complexiteit van de aanvraag voor toegang tot gezondheidsgegevens en met het aantal aanvragen voor toegang tot gezondheidsgegevens die voor een besluit zijn voorgelegd. In dergelijke gevallen deelt de instantie voor toegang tot gezondheidsgegevens de aanvrager van gezondheidsgegevens zo spoedig mogelijk mee dat er meer tijd nodig is voor de behandeling van de aanvraag voor toegang tot gezondheidsgegevens, samen met de redenen voor de vertraging.

  1. Bij de behandeling van een aanvraag voor grensoverschrijdende toegang tot elektronische gezondheidsgegevens als bedoeld in artikel 67, lid 3, blijven de instanties voor toegang tot gezondheidsgegevens en de betrokken gemachtigde deelnemers in het kader van HealthData@EU als bedoeld in artikel 75 verantwoordelijk voor het vaststellen van besluiten om overeenkomstig dit hoofdstuk toegang te verlenen of te weigeren tot elektronische gezondheidsgegevens die onder hun bevoegdheid vallen.

De betrokken instanties voor toegang tot gezondheidsgegevens en gemachtigde deelnemers aan HealthData@EU stellen elkaar in kennis van hun besluiten. Zij kunnen met die informatie rekening houden wanneer zij besluiten toegang te verlenen of te weigeren tot elektronische gezondheidsgegevens.

Een door de ene instantie voor toegang tot gezondheidsgegevens afgegeven gegevensvergunning kan in aanmerking komen voor wederzijdse erkenning door de andere instanties voor toegang tot gezondheidsgegevens.

  1. De lidstaten voorzien in een versnelde procedure voor aanvragen voor toegang tot gezondheidsgegevens voor openbare lichamen en instellingen, organen en instanties van de Unie met een wettelijk mandaat op het gebied van volksgezondheid indien elektronische gezondheidsgegevens moeten worden verwerkt voor de in artikel 53, lid 1, punten a), b) en c), vastgestelde doeleinden.

Wanneer een dergelijke versnelde aanvraagprocedure wordt toegepast, geeft de instantie voor toegang tot gezondheidsgegevens een gegevensvergunning af of weigert ze deze binnen twee maanden na ontvangst van een volledige aanvraag voor toegang tot gezondheidsgegevens. De instantie voor toegang tot gezondheidsgegevens kan de termijn voor het beantwoorden van een aanvraag voor toegang tot gezondheidsgegevens zo nodig met één maand verlengen.

  1. Na de afgifte van de gegevensvergunning vraagt de instantie voor toegang tot gezondheidsgegevens de houder van gezondheidsgegevens onmiddellijk om de elektronische gezondheidsgegevens. De instantie voor toegang tot gezondheidsgegevens stelt de elektronische gezondheidsgegevens ter beschikking van de gebruiker van gezondheidsgegevens binnen twee maanden na ontvangst ervan van de houders van gezondheidsgegevens, tenzij de instantie voor toegang tot gezondheidsgegevens aangeeft dat de gegevens dienen te worden verstrekt binnen een welbepaalde langere termijn.

  2. In de in lid 5, eerste alinea, van dit artikel bedoelde gevallen kunnen de instanties voor toegang tot gezondheidsgegevens en gemachtigde deelnemers aan HealthData@EU die een gegevensvergunning, respectievelijk een toegangsgoedkeuring hebben afgegeven, besluiten toegang te verlenen tot de elektronische gezondheidsgegevens in de beveiligde verwerkingsomgeving waarin de Commissie overeenkomstig artikel 75, lid 9, voorziet.

  3. Wanneer de instantie voor toegang tot gezondheidsgegevens weigert een gegevensvergunning af te geven, motiveert zij die weigering aan de aanvrager van gezondheidsgegevens.

  4. Wanneer de instantie voor toegang tot gezondheidsgegevens een gegevensvergunning afgeeft, legt zij in die gegevensvergunning de algemene voorwaarden vast die van toepassing zijn op de gebruiker van gezondheidsgegevens. De gegevensvergunning bevat de volgende elementen:

a) de categorieën, de specificatie en het format van de elektronische gezondheidsgegevens waartoe toegang wordt verkregen en waarop de gegevensvergunning betrekking heeft, met inbegrip van de bronnen ervan, en een aanduiding of de elektronische gezondheidsgegevens in gepseudonimiseerd format in de beveiligde verwerkingsomgeving moeten worden ingezien;

b) een gedetailleerde beschrijving van het doel waarvoor de elektronische gezondheidsgegevens beschikbaar worden gesteld;

c) indien is voorzien in een mechanisme om een uitzondering ten uitvoer te leggen en dit toepasselijk is op grond van artikel 71, lid 4, informatie over de vraag of dit is toegepast en de reden voor de daarmee verband houdende besluiten;

d) de identiteit van gemachtigde personen, in het bijzonder van de hoofdonderzoeker, die het recht hebben op toegang tot de elektronische gezondheidsgegevens in de beveiligde verwerkingsomgeving;

e) de geldigheidsduur van de gegevensvergunning;

f) informatie over de technische kenmerken en instrumenten waarover de gebruiker van gezondheidsgegevens in de beveiligde verwerkingsomgeving beschikt;

g) de door de gebruiker van gezondheidsgegevens te betalen vergoedingen;

h) eventuele specifieke voorwaarden.

  1. Gebruikers van gezondheidsgegevens hebben het recht om de elektronische gezondheidsgegevens in te zien en te verwerken in een beveiligde verwerkingsomgeving in overeenstemming met de op grond van deze verordening aan hen afgegeven gegevensvergunning.

  2. Een gegevensvergunning wordt afgegeven voor de duur die nodig is om de gevraagde doeleinden te vervullen; die duur mag niet langer zijn dan tien jaar. Die termijn kan, op verzoek van de gebruiker van gezondheidsgegevens, eenmaal worden verlengd en wel voor een periode van ten hoogste tien jaar, mits die verlenging gerechtvaardigd is op basis van argumenten en documenten die één maand voor het verstrijken van de gegevensvergunning worden verstrekt. De instantie voor toegang tot gezondheidsgegevens kan vergoedingen in rekening brengen om rekening te houden met de kosten en risico’s van de opslag van elektronische gezondheidsgegevens voor een langere periode dan de oorspronkelijke periode. Om dergelijke kosten en vergoedingen te beperken, kan de instantie voor toegang tot gezondheidsgegevens de gebruiker van gezondheidsgegevens ook voorstellen de dataset op te slaan in een opslagsysteem met beperkte mogelijkheden. Die beperkte mogelijkheden hebben geen invloed op de beveiliging van de verwerkte dataset. De elektronische gezondheidsgegevens in de beveiligde verwerkingsomgeving worden binnen zes maanden na het verstrijken van de gegevensvergunning gewist. Op verzoek van de gebruiker van gezondheidsgegevens kan de formule voor het aanmaken van de gevraagde dataset worden opgeslagen door de instantie voor toegang tot gezondheidsgegevens.

  3. Indien de gegevensvergunning moet worden bijgewerkt, dient de gebruiker van gezondheidsgegevens een verzoek tot wijziging van de gegevensvergunning in.

  4. De Commissie kan door middel van een uitvoeringshandeling een logo ontwikkelen om de bijdrage van de EHDS te erkennen. Die uitvoeringshandeling wordt volgens de in artikel 98, lid 2, bedoelde onderzoeksprocedure vastgesteld.