Als medisch wetenschapper kun je denken dat je (beroepsmatig) weinig te maken hebt met de rechtsstaat. Niets is minder waar. Begrip van de trias politica is bijvoorbeeld van belang om te weten wanneer je de AP kan negeren. Ook is het wel handig als je begrijpt dat een lobby begint met de vraag of VWS wel de juiste plek is.
Wie moet aanleveren aan de HDAB?
Acht stappen
EHDS-data moeten worden aangeleverd aan de Health Data Access Body als sprake is van een “houder” in de zin van de EHDS. Nu is dat een ingewikkeld geformuleerde kwestie en daarom moet ik hier een expliciet voorbehoud maken; ik doe een poging het te begrijpen en uit te leggen, meer dan dat is nu niet mogelijk. Alternatieve interpretaties heb ik evenwel (nog) niet kunnen vinden. Om te bepalen of data door iemand onder de EHDS moeten worden aangeleverd, moeten naar mijn idee zeven stappen worden doorlopen, waarvan onderstaande mij de meest logische volgorde leek:
- Zijn de betreffende data EHDS-data?
- Valt dit binnen de werkingssfeer van het EU recht?
- Uitzondering voor rechtspraak, strafrecht en veiligheid?
- De micro-uitzondering?
- Als sprake is van persoonsgegevens: is de houder verwerkingsverantwoordelijke?
- Beschikt men rechtmatig over de data?
- Kan men feitelijk beschikken over de data?
- Valt men ook verder binnen de definitie van een houder?
Welke data sowieso niet
Allereerst dient de vraag te worden beantwoord, of sowieso sprake is van EHDS-data. Als dat niet het geval is, dan is de EHDS niet van toepassing. Dat is ook niet het geval als iets buiten de werkingssfeer valt van het Europese recht. Nu is dat rijkelijk onduidelijk. In de AVG staat eenzelfde bepaling. Die onduidelijkheid is weggenomen doordat er in de UAVG is bepaald, dat de AVG ook geldt buiten de werkingssfeer van de EU. Laten we hopen dat voor de EHDS hetzelfde wordt gedaan, dan is dat maar duidelijk. Voor zover de EHDS- data in handen zijn van de rechterlijke macht, of overheden die zich bezighouden met strafrecht of openbare veiligheid, zijn de data ook niet op te vragen. De volgende vraag die moet worden beantwoord, is of de houder een beroep kan doen op de micro-uitzondering; er hoeven geen data te worden aangeleverd door partijen die daar te klein voor zijn. Brussel meende dat dit een te zware administratieve belasting zou vormen. Er staat daarom in de EHDS dat niet hoeft te worden voldaan aan deze verordening door natuurlijke personen, door individuele wetenschappers, of door organisaties die bestaan uit minder dan tien man en die een omzet draaien van minder dat 2 Mio. Echter, soms zijn data die cruciaal zijn voor medisch-wetenschappelijk onderzoek, nu juist in handen van dergelijke kleine partijen. In de uitvoeringswetgeving die in Nederland nog zal worden geschreven, kan daarom opgenomen worden dat dergelijke micro-data(houders) alsnog worden meegenomen onder het bereik van de EHDS.
Wel verantwoordelijken, niet verwerkers
Vervolgens dient te worden vastgesteld of de opgevraagde data persoonsgegevens zijn in de zin van de AVG. Dat zijn gegevens over personen die identificeerbaar zijn; de AVG is dus pas van toepassing als redelijkerwijs kan worden achterhaald over welke personen de gegevens gaan, want alleen dan is de privacy in het geding. Om te bepalen of een natuurlijke persoon identificeerbaar is (AVG overweging 26): “moet rekening worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren, bijvoorbeeld selectietechnieken.” Dit is een relatief criterium: wat voor mij geen persoonsgegevens zijn (zoals een lijstje met BSN nummers), zijn dat voor het CBS vaak wel. Het is bovendien een context en tijd gerelateerd criterium. Gegevens die voor mijzelf geen persoonsgegevens zijn, zijn dat opeens wel (ook voor mij dus) als ik ze overdraag aan iemand voor wie het wel persoonsgegevens zijn. Als (en alleen als) er sprake blijkt te zijn van persoonsgegevens, dan moet in het kader van de EHDS de vraag worden gesteld of de houder van die data verwerkingsverantwoordelijke is, of uitsluitend een verwerker. Een verwerker is iemand die data verwerkt in opdracht van een verantwoordelijke, ook wel (joint)-controller genoemd. De term verantwoordelijke is niet een moreel begrip (iemand die zich verantwoordelijk zou moeten voelen), maar een feitelijk begrip (degene die bepaalt wat er met persoonsgegevens gedaan wordt). Het gaat om degene die daadwerkelijk beslissingen neemt over wat er met data gedaan wordt en waarom. Bijvoorbeeld een boekhouder, ingeschakeld door een diëtiste, is uitsluitend verwerker. De diëtiste is de verantwoordelijke die de besluiten neemt en die daarom verplicht is om zich te houden aan de AVG, en binnenkort dus ook aan de EHDS. De verwerkings-verantwoordelijke moet beide wetten naleven, de verwerker laat dat over aan zijn opdrachtgever. Een administratiekantoor van een zorgverlener, hoeft dus geen gezondheidsgegevens beschikbaar te maken voor (o.a.) onderzoek. Let echter op; dit onderscheid geldt uitsluitend als het om persoonsgegevens gaat. Ten aanzien van geanonimiseerde data, kan iedereen een verzoek van de HDAB krijgen, zo lijkt. Overigens moet men in gedachten houden dat de EHDS-verplichtingen dus rusten op alle AVG-verantwoordelijken en niet alleen op de partijen waar de data zijn ontstaan. Dus als een universiteit data heeft gekregen van een ziekenhuis om te analyseren, dan rust de EHDS-verplichting vervolgens op allebei. Als men in een project samenwerkt als joint-controllers ook. Academische instellingen kunnen dus de vruchten gaan plukken van deze verordening, maar krijgen ook verplichtingen om zelf data beschikbaar te stellen.
Rechtmatigheidstoets
Check vervolgens aan de twee eisen die in de EHDS onder de definitie van houder staan. Samengevat komen die eisen erop neer dat men het recht (of de plicht) moet hebben om met de betreffende data te werken. De HDAB kan dus niet data opvragen die eigenlijk niet mogen bestaan, omdat ze bijvoorbeeld al lang geleden vernietigd hadden moeten worden. De andere eis is dat men de data feitelijk kan aanleveren. Een overheid mag immers nooit iemand een plicht opleggen waar hij niet aan kan voldoen. .
Tot slot: de vage definitie
De laatste vraag is of men een houder is in de zin van de EHDS: “een natuurlijke of rechtspersoon, overheidsinstantie, agentschap of ander orgaan in de gezondheidszorg- of de zorgsector, met inbegrip van, indien noodzakelijk, vergoedingsdiensten, alsook elke natuurlijke of rechtspersoon die producten of diensten ontwikkelt die bestemd zijn voor de gezondheids-, de gezondheidszorg- of de zorgsector, die wellnessapps ontwikkelt of vervaardigt, die wetenschappelijk onderzoek verricht in verband met de gezondheidszorg- of de zorgsector of optreedt als sterfteregister, alsook instellingen, organen of instanties van de Unie.” Het belangrijkste is dat het gaat om: “elke natuurlijke of rechtspersoon of overheidsinstantie (…) in de gezondheidszorg of de zorgsector.” Het gaat dus niet alleen om overheid, niet alleen om ondernemingen, maar ook om (grotere) maatschappen van artsen. Bovendien gaat het niet uitsluitend om datahouders in de gezondheidszorg, maar ook die in de zorg. De zorgsector is daarbij gedefinieerd als “elke professionele dienst (…) met inbegrip van preventieve en ondersteunende maatregelen, om essentiële activiteiten van het dagelijks leven uit te voeren.” Dus ook de gegevens van kinderdagverblijven, UvA student-begeleiders, of coaches van asielzoekers, lijken hieronder te vallen (maar de Europese rechters zullen dat t.z.t. bepalen). Bovendien zijn inbegrepen ieder “die producten of diensten ontwikkelt die bedoeld zijn voor de gezondheidszorg of de zorgsector.” Dit betekent dat commerciële partijen ook verplicht worden om data aan te leveren aan wetenschappers (als aan de overige voorwaarden is voldaan).
De definitie van houder is zo breed dat het niet zinvol lijkt om te onderzoeken wie er allemaal wél onder valt. Beter kan men de vraag stellen; als het gaat om gegevens zoals opgenomen in het EHDS-lijstje, als men AVG-verantwoordelijke is (ipv verwerker,) en men bovendien niet onder de micro-uitzondering valt, kan het dan zijn dat je niet valt binnen deze definitie van EHDS datahouder? Het enige antwoord dat mogelijkerwijs correct leek, was de (grotere) begrafenisondernemer. De laatste vraag, of men valt binnen deze definitie, zal dus meestal met ja worden beantwoord, als de eerdere 7 vragen bevestigend zijn beantwoord.
Pas op met het omdraaien van stappen
Tot slot: draai deze stappen niet zomaar om; je kunt weldegelijk EHDS-houder zijn (aanbieder van diensten aan zorgondernemingen, zoals vervoerders van lichaamsmaterialen), maar niet over EHDS-data beschikken. Vandaar dus dat het verstandiger is om te beginnen met de vraag of het sowieso EHDS data zijn, en als laatste vraag pas te beantwoorden of men houder is. Concluderend: zeer veel partijen zullen als houder van EHDS data deze op verzoek van de HDAB moeten aanleveren: alle gezondheidszorg- of zorgaanbieders, verpleeghuizen, dagopvang, alle vergoedingsdiensten, sterfteregisters, universiteiten, aanbieders van producten of diensten voor de gezondheidszorg aanbieden, inclusief aanbieders van fitbits, en dat alles ongeacht of het overheden, non-profit, of commerciële entiteiten zijn.
De EHDS creëert nieuwe rollen rond het hergebruik van gezondheidsgegevens. Bekend is de Health Data Acces Body, maar onbekend is de dataverzamelaar. Juist die dataverzamelaar is cruciaal voor het ontsluiten van data op een manier die efficiënter is, beter voor de wetenschap, en die bovenal kan bijdragen aan meer vertrouwen in het systeem. Het lijkt me nuttig als we in Nederland op congressen eens grondig gaan bespreken hoe we door gebruik van de rol van dataverzamelaar, het EHDS-systeem optimaal kunnen inrichten.
In discussies over het hergebruik van gezondheidsgegevens, wordt vaak gepraat over landsgrenzen. De privacy-aanhangers vinden veelal dat bij hergebruik “onze” data de grens niet over mogen. Wetenschappers stellen dat ze hun werk eigenlijk alleen kunnen doen als data uit verschillende landen kunnen worden gebruikt. Daarom verwelkomen ze de EHDS. Wat beide partijen over het hoofd zien, is dat er allang binnen de EU een vrij verkeer van gezondheidsdata bestaat.