Het Ministerie van VWS gaat binnenkort bepalen wie de HDAB wordt; bij wie straks vergunningen worden aangevraagd voor nuttig hergebruik van gezondheidsgegevens. Wie kunnen dit worden, wie juist niet? En wat moet deze HDAB allemaal doen?
Waarom is de EHDS revolutionair?
Meer data, want veiliger
De EHDS beoogt meer data beschikbaar te maken voor secundair gebruik door het veiliger te maken. De AVG blijft gewoon naast de EHDS gelden. Die privacy-verordening bepaalt reeds dat het gebruik van gezondheidsgegevens (kort samengevat) is toegestaan als er sprake is van een goed doel, als de wet gevolgd wordt en als er voldoende technische en organisatorische maatregelen zijn genomen. De EHDS bepaalt hetzelfde, maar meer in detail: men mag werken met gezondheidsgegevens als dit een nuttig doel heeft, zoals omschreven in de EHDS. Dit wordt getoetst door een nieuw op te richten overheidsorgaan, de Health Data Acces Body (HDAB), die behalve aan de EHDS ook toetst aan de AVG. Vervolgens krijgt men geen data, maar een vergunning om met die data te werken, waarin de exacte voorwaarden staan, zoals het feit dat gewerkt moet worden in een beveiligde verwerkingsomgeving (BVO). Men krijgt dus geen data maar toegang ertoe. De HDAB controleert periodiek of de BVO’s inderdaad (nog) veilig genoeg zijn.
Een recht op data
Tot zover lijkt er weinig nieuws te zijn; er moet een goed doel zijn, het moet rechtmatig gebeuren en er moet veilig gewerkt worden. Toch zijn de effecten van de EHDS, doordat een HDAB en een datavergunning in het leven worden geroepen, echt baanbrekend of revolutionair te noemen. Ten eerste omdat de data veel breder gedeeld moeten worden: als de HDAB bepaald heeft dat een wetenschapper met data mag werken (zoals beschreven in de vergunning), dan is de houder van de betreffende data verplicht om deze daadwerkelijk beschikbaar te maken. We hebben reeds allerlei wetten waarin staat dat houders verplicht zijn om data beschikbaar te stellen aan de overheid zelf, zoals in de CBS-wet en de Wet op het RIVM. Maar nu ontstaat er dus een plicht om data beschikbaar te maken aan vergunningshouders, zijnde niet-overheden. Als nu een academisch ziekenhuis data wil gebruiken van een verpleeghuis, dan kan dat verpleeghuis dit weigeren met een beroep op de AVG. Of dat beroep en die weigering terecht zijn, kan nooit ter toetsing voorgelegd worden aan een rechter, want het delen van data door het verpleeghuis is een gunst. Nu wordt dit dus een plicht. De keerzijde hiervan is dat het academische ziekenhuis feitelijk een recht op (het werken met) data krijgt. Dit staat niet letterlijk in de EHDS. Echter, een besluit op een vergunningsaanvraag, is een bestuursrechtelijk besluit. Als de vergunning geweigerd wordt, dan kan men bezwaar aantekenen (bij de DHAB zelf) en daarna zo nodig in beroep bij de bestuursrechter. Als die constateert dat het academisch ziekenhuis aan alle voorwaarden voor het verkrijgen van de vergunning voldoet, dan krijgt het die vergunning. Vergelijk het met een vergunning voor een dakkapel; als men aan alle voorwaarden voldoet, kan die niet meer zomaar geweigerd worden. Door een data-vergunning in het leven te roepen, creëert de EHDS dus indirect een recht op data.
Vrije wetenschap
Bovendien heeft in beginsel iedereen het recht om met gezondheidsdata te werken. Iedereen kan een vergunning aanvragen; elke natuurlijke en elke rechtspersoon in de hele Europese Unie. Wel is het voor het verkrijgen van een dergelijke vergunning nodig dat je een in de EHDS erkend doel nastreeft, maar er wordt dus geen onderscheid gemaakt tussen bijvoorbeeld citizen scientists en wetenschappers van academische instellingen. Uiteraard zal wel getoetst worden of de aanvrager gekwalificeerd is om de beoogde doelen te bereiken en dus beschikt over passende expertise. Maar mensen als Albert Einstein, die werken bij een octrooi-bureau, krijgen onder de EHDS dus meer mogelijkheden om te laten zien wat ze in huis hebben. Gevaarlijk is dat alles niet, omdat de HDAB de data zoveel mogelijk zal anonimiseren of pseudonimiseren, en niet overdraagt maar beschikbaar stelt in een beveiligde verwerkingsomgeving, waar geen data uit kunnen worden gehaald, alleen conclusies.
Verplaatsing van medisch geheim bij secundair gebruik
Het volgende frappante feit is dat de bevoegdheid om te beslissen over het secundaire gebruik van gezondheidsgegevens, wordt weggehaald bij individuele zorgverleners, en wordt neergelegd bij de HDAB, de nieuw op te richten overheidsinstantie. De EHDS wordt daarom in de medische sector wel gezien als een zorgwekkende inperking van het medisch geheim. Het kan wat mij betreft beter gezien worden als een gedeeltelijke verplaatsing van het medisch geheim, die bovendien niet onlogisch is. Bedenk dat het medisch geheim is ingevoerd door artsen zelf, in een tijd dat de rechtsstaat nog niet bestond; 2000 jaar geleden. Dat was natuurlijk fantastisch, maar inmiddels hebben we wél een goed functionerende rechtsstaat, en een overheidsorgaan dat toeziet op de bescherming van privacy. Vroeger was er geen keuze waar de besluitvorming over secundair gebruik van data neergelegd moest worden, maar die keuze is er nu wel. En dan is een onafhankelijke overheidsinstantie een logischer keuze dan de artsen zelf. De meeste artsen zijn natuurlijk integer en welwillend, maar in elke beroepsgroep zitten helaas rotte appels. Een slechte arts heeft een persoonlijk belang bij het medisch geheim. Een onafhankelijke overheidsinstantie heeft dat niet. Er staat expliciet in de EHDS dat ervoor gewaakt moet worden dat de HDAB onafhankelijk is en blijft; er mag geen sprake zijn van tegenstrijdige belangen. Die zijn er wel bij de individuele zorgverlener. Bovendien kunnen we van zorgverleners niet verwachten dat ze allemaal de AVG kennen, en van een HDAB wel. Het belang van de privacy van de individuele patiënt botst ten slotte met het belang van medische vooruitgang van de samenleving als geheel; het belang van ander patiënten en van toekomstige generaties bij het kunnen onderzoeken en vinden van nieuwe behandelmethodes. Een onafhankelijke instantie is in een betere positie om de individuele versus collectieve belangen, de huidige versus toekomstige belangen tegen elkaar af te wegen. Het medisch geheim wordt, ten aanzien van secundair gebruik van data dus niet zozeer ingeperkt, als wel verplaatst door de EHDS. En dat is in onze behoorlijk goed functionerende rechtsstaat, juridisch gezien best een logische keuze.
Er moet onder de EHDS worden gewerkt in een Beveiligde VerwerkingsOmgeving (BVO). Wetenschappers krijgen geen data, maar toegang daartoe in een BVO die voldoet aan krachtens de EHDS vastgestelde strenge technische en veiligheidsnormen. Wat houdt dat in? En moet voortaan iedereen in een dergelijke BVO werken? Wordt dat een supercomputer met al onze gezondheidsdata?
De EHDS vereist flink wat voorbereiding. Er moet een Health Data Access Body worden opgericht, er moet van alles aan software en hardware worden gebouwd of aan elkaar geknoopt en er moet aanvullende wetgeving worden geschreven. Daarom zal de EHDS in verschillende fasen van kracht worden. Wat gebeurt er wanneer ten aanzien van het nuttig hergebruik van gezondheidsgegevens?