De European Health Data Space (EHDS) komt eraan! De regels vloeien voort uit de Europese ambities voor een digitale gezondheidsruimte en hebben als doel om gegevensuitwisseling te verbeteren, veiligheid te waarborgen en burgers meer controle te geven over hun data. Maar wat betekenen deze verplichtingen concreet voor ICT-dienstverleners in Nederland? In deze blog duiken we in de details van de vijf verplichtingen en bespreken we wat je moet weten om compliant te zijn.
De EHDS richt zich zowel op primair gebruik (zorgverlening) als secundair gebruik (bijvoorbeeld voor onderzoek en beleid). Voor ICT-dienstverleners die systemen ontwikkelen en leveren– denk aan elektronische patiëntendossiers (EPD’s) of wellnessapps – vertaalt dit zich in vijf concrete verplichtingen:
1. Interoperabiliteit van systemen
Een van de pijlers van de nieuwe regels is dat systemen moeten voldoen aan het European Electronic Health Record Exchange Format (EEHRxF). Dit betekent dat gezondheidsdata uitgewisseld moet kunnen worden, niet alleen tussen systemen binnen Nederland, maar binnen heel Europa.
Voor ICT-dienstverleners houdt dit in dat zij hun systemen moeten aanpassen aan deze standaarden. In Nederland, waar we al werken met standaarden zoals de NEN-normen, kan dit een extra uitdaging opleveren. Hoe zorg je dat jouw systeem zowel nationaal als Europees compliant is?
2. Cybersecurity
Cybersecurity blijft een topprioriteit in de zorg. ICT-systemen moeten voldoen aan de Algemene Verordening Gegevensbescherming (AVG) én aan aanvullende richtlijnen zoals de Network and Information Security Directive 2 (NIS2). Dit betekent dat je als ICT-dienstverlener robuuste maatregelen moet treffen. Denk aan end-to-end encryptie van gegevens, gedetailleerde logging van wie toegang heeft tot welke data, en beveiliging tegen datalekken en cyberaanvallen.
De NIS2-richtlijn scherpt de eisen verder aan voor organisaties die als belangrijk of essentieel worden gezien. Je moet dan bijvoorbeeld een risicobeheerplan opstellen en incidenten binnen 24 uur melden. Dit vraagt niet alleen om technische aanpassingen, maar ook om organisatorische processen, zoals training van personeel en het opzetten van een incident response team (IRT).
3. Toegang tot medische data voor burgers
Patiënten krijgen steeds meer controle over hun eigen medische data, en ICT-dienstverleners spelen hierin een sleutelrol. Zij moeten ervoor zorgen dat burgers toegang hebben tot hun gegevens via Persoonlijke Gezondheidsomgevingen (PGO’s) of vergelijkbare tools. Dit betekent dat je als dienstverlener niet alleen data moet ontsluiten, maar ook moet garanderen dat dit op een gebruiksvriendelijke en veilige manier gebeurt.
In Nederland zijn PGO’s al in opkomst, mede dankzij het MedMij-programma. De Europese verplichting bouwt hierop voort, maar stelt ook eisen aan de toegankelijkheid en standaardisatie van de data die beschikbaar wordt gesteld.
4. Certificering
Een opvallend verschil met de Nederlandse aanpak is de eis van zelfcertificering. Systemen moeten een conformiteitslabel krijgen, waarbij je zelf beoordeelt of het systeem voldoet aan de Europese eisen. Dit label kan achteraf gecontroleerd worden door toezichthouders.
5. Databeschikbaarheid voor secundair gebruik
Tot slot moeten ICT-systemen data uit prioritaire categorieën – denk aan patiëntsamenvattingen, labresultaten en recepten – beschikbaar stellen voor secundair gebruik, zoals wetenschappelijk onderzoek en beleidsvorming. Dit gebeurt onder strikte voorwaarden, zoals anonimisering en een nieuw toestemmingsregime.
Dit betekent dat de systemen niet alleen het primair gebruik moeten ondersteunen, maar ook gestructureerde datasets moeten kunnen genereren voor externe partijen.
Praktische invulling: hoe ga je hiermee aan de slag?
Deze verplichtingen klinken abstract, maar hoe geef je ze handen en voeten? De EHDS werkt met een gefaseerde invoering over zes jaar, vanaf de inwerkingtreding tot volledige toepasselijkheid in 2031.
EHDS-roadmap voor ICT-dienstverleners:
- 2025: Voorbereiding. Analyseer je systemen, stel een projectplan op en begin met eerste technische aanpassingen. De EHDS treedt in werking, maar directe verplichtingen zijn nog beperkt.
- 2026-2027: Zorg dat prioritaire categorieën (patiëntsamenvattingen, recepten) voldoen aan EEHRxF. Start met zelfcertificering.
- 2028-2029: Implementeer volledige interoperabiliteit voor alle categorieën (beeldmateriaal, labresultaten, ontslagbrieven) en de PGO-toegang wordt ingevoerd.
- 2030-2031: Systemen moeten volledig interoperabel, gecertificeerd en klaar zijn voor secundair gebruik. Er zal tegen deze tijd meer gehandhaafd worden.
Nu hoor ik je denken, verplichte standaarden. Dat geldt toch al? Dat klopt. De Wet elektronische gegevensuitwisseling in de zorg (Wegiz), sinds juli 2023 van kracht in Nederland, verplicht zorgaanbieders en ICT-leveranciers om specifieke gegevensuitwisselingen elektronisch te standaardiseren. Maar hoe verhoudt dit zich tot de EHDS? Er is overlap, maar ook verschil.
Op het eerste gezicht lijken de Wegiz en EHDS hetzelfde doel te dienen. Ze zijn beide gericht op het verbeteren van de elektronische uitwisseling van gezondheidsgegevens. Maar er zijn toch ook veel verschillen die compliance moeilijk maken. De Wegiz richt zich vooral op het primaire proces: gegevens delen tussen zorgverleners. De EHDS gaat een stap verder en regelt ook toegang tot data door burgers en het secundair gebruik. En dan is er nog de uitvoering. De Wegiz eist certificering via derden, gebaseerd op Nederlandse normen zoals NEN. De EHDS kent alleen zelfcertificering.
Ondertussen loopt de Meerjarenagenda van de Wegiz gewoon door. Met de Meerjarenagenda en de Algemene Maatregelen van Bestuur (AMvB’s) worden deadlines vastgesteld voor de elektronische standaarden die moeten worden gebruikt bij elektronische uitwisseling (de zogenoemde sporen). Elektronisch voorschrijven is al verplicht sinds 1 januari 2024 met NEN 7503. De Basisgegevensset Zorg (BgZ) moet in Q3 2025 verplicht zijn door te voldoen aan NEN 754 en medicatieoverdracht volgt in 2026. Dit alles steunt op Nederlandse NEN-normen. Maar de EHDS komt met een eigen standaard. Hoe hier mee om gegaan moet worden is nog onduidelijk. Het ministerie van VWS ziet de spanning ook en werkt aan een impactanalyse om dit helder te krijgen. Tot die er is, zit je als ICT-dienstverlener in een spagaat. Vol inzetten op de Wegiz met de kans dat de EHDS er overheen komt? Of wacht je af hoe Europa en Nederland dit gaan afstemmen?
Conclusie
Op korte termijn kun je niet om de Wegiz heen. Die deadline voor de BgZ komt eraan. Maar op lange termijn wordt het lastiger. Je systemen moeten niet alleen voldoen aan de Wegiz, maar ook aan de EHDS. De EHDS overschrijft de Wegiz niet, maar nationale regels mogen niet botsen met Europese eisen. Dat maakt het een lastige puzzel.
De EHDS zal een grote impact hebben op ICT-dienstverleners in de zorg. Door nu al stappen te zetten kunnen ICT-dienstverleners tijdig voldoen aan de nieuwe verplichtingen. Start met een interne analyse en stel een roadmap op om een soepele overgang naar EHDS-compliance te garanderen.
Bij ICTRecht helpen we je graag om deze vragen te beantwoorden. Of het nu gaat om ondersteuning bij de implementatie, juridische compliance of het bepalen en opstellen van een strategie - samen zorgen we dat je klaar bent voor de toekomst van digitale zorg.
Neem contact met ons op voor een vrijblijvend gesprek!
