Wow wow wow! Hoor je regelmatig uit ons kantoor, bij het lezen van de laatste versie van de EHDS (de compromistekst). In de huidige termen zou ik de EHDS als “disruptive” wetgeving bestempelen. Wel wordt de “wow wow wow” vaak gevolgd door: “hoe gaan we dit naar de praktijk trekken?” Het doel is betere zorg in Europa via databeschikbaarheid en meer controle voor de patiënt op diens gegevens.
Onlangs gaf ik een presentatie over secundair gebruik en hoe dat er nou uit kan gaan zien in de praktijk. Stel je ontwikkelt een algoritme of traint een Large Language Model (LLM), heb je dan wat aan de EHDS? Zowel de organisaties in de zorg als de ICT-dienstverleners aan de zorg, wachten met smart op de mogelijkheid om LLMs te trainen met een grote set aan data, gezondheidsdata. Tot nog toe is dat lastig, want vaak is toestemming per patiënt nodig om de data te ontsluiten voor de training van een LLM. De EHDS biedt hier mogelijk de ‘heilige graal’.
In de EHDS wordt de rol van de Health Data Access Body (HDAB) beschreven. Via dit publieke orgaan, waarvan er per lidstaat een of meerdere worden ingericht, wordt data ontsloten voor secundair gebruik. Uiteraard alleen als de privacy voldoende wordt gewaarborgd. De waarborgen die nu zijn uitgewerkt in de EHDS gaan wel minder ver dan hoe wij in Nederland het beroepsgeheim tot nog toe hanteren. Zo zal er een opt-out gelden bij secundair gebruik, toestemming vooraf is niet nodig. Enkele uitzonderingen daargelaten, zoals genoomdata, daarvoor kan een lidstaat alsnog een opt-in inrichten.
De opt-out wordt ingeregeld door de lidstaten zelf. Een patiënt moet secundair gebruik van diens gezondheidsdata kunnen verbieden. Hoe en welk secundair gebruik mogelijk wordt gemaakt, wordt hieronder uitgewerkt aan de hand van de casus van de ontwikkelaar van een algoritme.
Stel je bent innovator en je hebt een grote set aan gezondheidsdata nodig om een algoritme te trainen. Dan kun je aankloppen bij de HDAB. Je legt uit welke data je voor welk doel nodig hebt.
In de EHDS is uitgewerkt welk gebruik wel en niet is toegestaan. Als het doel van het secundair gebruik is “een algoritme trainen waarmee wordt bepaald of iemand wel of geen zorgverzekering krijgt”, dan zal de HDAB geen vergunning verlenen. Als het doel is “het trainen van een algoritme om een juiste diagnose te kunnen stellen”, dan zal de HDAB wel een vergunning verlenen.
Voor de oplettende lezers, het trainen van een algoritme wordt in de verordening beschreven als toegestaan doel onder het kopje “wetenschappelijk onderzoek”. In de uitleg bij de EHDS wordt beschreven dat dit doel breed moet worden geïnterpreteerd, innovatie valt er ook onder. Er wordt niet gerept over een vereiste van wetenschappelijke publicaties.
Bij de beoordeling van de aanvraag wordt rekening gehouden met een aantal waarborgen van de privacy. Zo moet de dataset proportioneel zijn. Er mag niet meer dan je nodig hebt voor het bereiken van je doel, worden gevraagd of aangeleverd.
Na afgifte van de vergunning kan de HDAB de informatie opvragen bij datahouders. Dus een partij die gezondheidsdata digitaal voor handen heeft. Het gaat hier dan ook expliciet niet om een verplichting om te digitaliseren.
Een houder van gezondheidsdata kan een persoon zijn, kan een zorginstelling zijn, kan een fabrikant van een medisch hulpmiddel zijn, maar kan ook een publieke partij zijn actief in de gezondheidszorg of zorg.
Wat is het verschil tussen gezondheidszorg en zorg? Ik denk dat we dit in Nederland vaak “cure” en “care” noemen. “Care” of “zorg” zit meer in de hoek van het mensen ondersteunen bij hun dagelijkse leven vanwege een lichamelijke of geestelijke aandoening. Beide soorten organisaties kunnen dus datahouder zijn. De enige uitzondering die de EHDS biedt, is de uitzondering die een lidstaat kan formuleren voor micro-organisaties. Dit zijn organisaties met maximaal 10 medewerkers en/of een maximale omzet van 2 miljoen euro.
Goed om aan te geven, er kan ook grensoverschrijdend data worden opgevraagd. Als ik het goed begrijp worden er door de verschillende Europese HDABs nationale catalogus van datasets aangelegd. Je kunt de data onder andere via de eigen HDAB opvragen. De data wordt uiteindelijk opgehaald via nationale contactpunten en de HealthData@EU: de grensoverschrijdende infrastructuur voor secundair gebruik van elektronische gezondheidsdata.
De datahouder levert de data binnen 3 maanden aan de HDAB. De HDAB kan de termijn verlengen tot 6 maanden. Voor het aanleveren van de data kan een vergoeding in rekening worden gebracht die in verhouding staat tot de kosten die gemaakt worden voor het ontsluiten. De vergoeding mag de mededinging niet beperken.
De gegevens die ontsloten kunnen worden, zijn afkomstig uit verschillende bronnen. Gegevens uit Electronic Health Record systems (vrij vertaald, EPD’s), data automatisch gegenereerd door software as a medical device, gegevens verzameld bij clinical trials, gegevens over zorgprofessionals, data uit Wellness apps en nog veel meer.
Er worden geen specifieke eisen gesteld in de EHDS over de kwaliteit van de data. Hier loert mijns inziens dan ook het gevaar van “garbage in, is garbage out”. Een HDAB kan data wel labelen en daarmee bijvoorbeeld aangeven dat de data voldoet aan bepaalde standaarden.
In Nederland heeft healthRI samen met VWS, RIVM, CBS, ICTU in een consortium de handschoen opgepakt om een succes te maken van de HDAB en het ontsluiten van data voor secundair gebruik. Meer weten? Lees hier meer.
De data worden door de HDAB over het algemeen geanonimiseerd beschikbaar gesteld via een beveiligde omgeving. Met goede argumenten is het ook mogelijk om toegang te krijgen tot gepseudonimiseerde data.
Binnen de beveiligde omgeving mag de vergunninghouder gebruik maken van de data. De vergunninghouder mag geen derden toegang geven tot de data. Wat mij nog niet geheel duidelijk is, of de FDA wel toegang tot die data zou mogen hebben. De FDA stelt immers bepaalde eisen aan de data die gebruikt wordt voor het trainen van AI toepassingen, en wil dit kunnen controleren.
Een andere vraag die op-popt is, kan dat wel een algoritme ontwikkelen of een LLM trainen binnen de beveiligde omgeving van de HDAB? Ik heb daar niet direct een antwoord op, veel moet nog ontwikkeld worden.
De definitieve tekst van de EHDS wordt eind dit jaar verwacht. Begin 2025 wordt de EHDS dan gepubliceerd, en 20 dagen later treedt deze in werking. Over secundair gebruik staat in het laatste artikel van de EHDS dat men begin 2029 (4 jaar na inwerkingtreding) aan de regels moet voldoen en in sommige gevallen begin 2031 (6 jaar na in werkingtreding).
Of de EHDS ook in de praktijk de ‘heilige graal’ zal zijn voor innovaties in de zorg waarbij van data gebruik gemaakt moet worden, zal in de toekomst toch afhangen van onze HDAB. Ja, er komt een mijns inziens zeer welkome grondslag om veel data uit verschillende bronnen uit heel Europe te ontsluiten. Om ervoor te zorgen dat die data van voldoende kwaliteit is, en om ervoor te zorgen dat de “beveiligde omgeving” van de
HDABs volstaat om binnen te kunnen innoveren, is er behoorlijk wat werk aan de winkel voor het eerdergenoemde consortium van health RI, VWS, RIVM, CBS en ICTU.
Heb je vragen over dit onderwerp? Neem contact met ons op!
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.