De kogel is eindelijk door de kerk: 17 december 2024 is de definitieve tekst van de European Health Data Space Act (EHDS) beschikbaar gesteld en 22 januari 2025 is hij goedgekeurd door de Raad. Nu is het wachten op publicatie in het Publicatieblad. Een belangrijke mijlpaal voor de gezondheidszorg. Welke impact heeft de EHDS en wanneer moeten we gaan voldoen? In deze blog stippen we de zes belangrijkste implicaties aan en zetten we de tijdslijn voor je uit. Alvast een tipje van de sluier: over twee jaar moet aan de eerste verplichtingen worden voldaan. Aan de slag dus!
EHDS in het kort
De EHDS heeft als doel via databeschikbaarheid betere gezondheidszorg te regelen in Europa, via een grensoverschrijdende infrastructuur. Deze verordening stelt het elektronisch verwerken van gezondheidsgegevens niet verplicht. Maar als gegevens elektronisch worden verwerkt, dan geldt de EHDS. De regels gaan boven nationale wetgeving zoals de Wet elektronische gegevensuitwisseling in de zorg (Wegiz), de Nederlandse equivalent van de EHDS.
De EHDS regelt:
- Het primair gebruik. Dat is het gebruik van (persoonlijke) elektronische gezondheidsgegevens voor het verlenen van zorg. De EHDS regelt ook de bijbehorende grensoverschrijdende infrastructuur, de rechten van patiënten, en toezicht op het naleven van de regels.
- Het secundair gebruik. Dat is het gebruik van (persoonlijke) elektronische gezondheidsgegevens voor onder andere wetenschappelijk onderzoek (hierover meer in deze blog). De EHDS regelt ook de bijbehorende grensoverschrijdende infrastructuur, de rechten van patiënten, en toezicht op het naleven van de regels.
- De marktregulering van systemen voor elektronische patiëntendossiers (EPD-systemen), met EPD-systemen interoperabele wellnessapps en het toezicht op die markt.
De zes belangrijkste implicaties
1. Opt-out wordt de standaard
In plaats van de opt-in regeling (toestemming) zoals die nu in Nederland geldt, zal de opt-out (bezwaarrecht) de standaard worden voor zowel primair als secundair gebruik. De patiënt hoeft dan geen toestemming te geven, maar kan dan het gebruik alsnog verbieden via de opt-out regeling. In Nederland kan een uitzondering gaan gelden voor het menselijk genoom. Een lidstaat kan strengere maatregelen treffen ten aanzien van deze gegevens. Gezien de lobby hiervoor vanuit Nederland, is het aannemelijk dat deze data enkel na opt-in gedeeld zal mogen worden.
Voor primair gebruik kan de lidstaat er zelfs voor kiezen geen opt-out te bieden. Dan mogen de gegevens uitgewisseld worden zonder toestemming van de patiënt en zonder dat de patiënt de gelegenheid heeft gekregen het gebruik te verbieden. Nederland is van plan om het opt-out recht wel toe te kennen.
Het voorgaande wijkt behoorlijk af van ons huidige nationale stelsel. Het grote verschil is dat de patiënt niet eerst toestemming hoeft te geven voordat de gegevens gebruikt mogen worden. Het huidige vereiste van toestemming gaat hand in hand met het beroepsgeheim zoals we die in Nederland kennen: patiënten hebben het recht dat hun gegevens geheim worden gehouden. Dit gedachtegoed met als basis expliciete toestemming werd al in 1989 beschreven en is al in geen dertig jaar van afgeweken.
Logischerwijs heeft deze omslag in Nederland dan ook de nodige voeten in de aarde gehad. De Tweede Kamer heeft middels een motie haar zorgen geuit over medisch beroepsgeheim in relatie tot de regeling uit de EHDS. De veel geuite kritiek is dat de EHDS het medisch beroepsgeheim uit ons nationale stelsel lijkt in te perken.
Belangrijk tegengeluid is dat de EHDS behoorlijke privacy- en veiligheidswaarborgen inregelt en het niet de bedoeling is dat het integrale medische dossier wordt gedeeld. Er zijn in de EHDS namelijk een aantal categorieën van persoonlijke gezondheidsgegevens geprioriteerd die uitgewisseld moeten kunnen worden voor het verlenen van zorg. Denk hierbij aanessentiële patiëntgegevens.
2. De grondslag voor secundair gebruik wordt op Europees niveau gevestigd.
De EHDS maakt het mogelijk om met grote datasets bijvoorbeeld een AI-toepassing te trainen. Daarbij kan ook gebruik gemaakt worden van data uit andere Europese landen. Wel is een vergunning nodig. Dit biedt enorme kansen voor innovatie binnen de gezondheidszorg.
3. De Wegiz en de EHDS komen overeen maar zijn niet hetzelfde.
De EHDS en Wegiz gaan allebei uit van standaarden en normen om interoperabiliteit te kunnen waarborgen. Voor de prioritaire categorieën van gezondheidsgegevens in de EHDS zal de Europese Commissie technische specificaties vaststellen voor het uitwisselingsformaat. Het gaat hier om een interoperabiliteits- en loggingscomponent. Hoe deze specificaties zich zullen gaan verhouden tot de Nederlandse NEN-normen onder de Wegiz, moet nog blijken. In april 2024 is het Ministerie van Volksgezondheid, Welzijn en Sport gestart met de impact-analyse van de EHDS op de Wegiz. In ieder geval is het onder de EHDS wel mogelijk om aanvullende nationale vereisten te stellen aan EPD-systemen.
Zie over de verschillen tussen de Wegiz en de EHDS overigens ook mijn eerdere blog (let op: inmiddels is het delen van gezondheidsgegevens tussen zorgverleners en persoonlijke gezondheidsomgevingen van patiënten wél onderdeel van de Wegiz).
4. Er moeten nieuwe rollen vervuld worden in Nederland.
Er zijn een aantal rollen die in Nederland moeten worden vervuld, onder andere voor het houden van toezicht. Met name: de Digitale Zorg Autoriteit (primair gebruik), de Health Data Access Body (HDAB) (secundair gebruik) en de Market Surveillance Authority (marktregulering).
5. Houders van elektronische gezondheidsgegevens krijgen verplichtingen.
Datahouders, zoals zorgaanbieders maar ook fabrikanten van wellnessapps, die gezondheidsgegevens verwerken of die persoonlijke gezondheidsgegevens verwerken als (gezamenlijk) verwerkingsverantwoordelijke, worden verplicht om deze gegevens gestructureerd aan te leveren aan een HDAB. Wel kan hierbij gebruik gemaakt worden van bemiddelingsentiteiten voor gezondheidsgegevens om de houders van gezondheidsgegevens te ontlasten.
6. Patiëntrechten worden uitgebreid.
De patiëntrechten onder de AVG worden in de EHDS uitgebreid (zoals het recht op dataportabiliteit en inzage) en patiënten krijgen toegang tot hun gegevens via het MyHealth@EU-platform.
Wanneer gaat dit gelden en wat kun je nu al doen?
De EHDS treedt in werking op de 20e dag na publicatie. De publicatie wordt binnenkort verwacht. De verordening is van toepassing twee jaar na inwerkingtreding en zal binnen zes jaar volledig moeten zijn geïmplementeerd in de lidstaten. Om alvast voor te bereiden op de aankomende regels is het wijsheid om te inventariseren welke elektronische (persoonlijke) gezondheidsgegevens aanwezig zijn binnen je organisatie. Maak daarnaast, waar mogelijk, alvast gebruik van internationale standaarden om de toekomstige koppeling eenvoudiger in te kunnen regelen.
Mocht je vragen hebben over de EHDS, schroom niet om contact op te nemen. Wij denken graag met je mee.
