We schreven er al eerder over: de European Health Data Space Verordening (“de EHDS-verordening”). De verordening beoogt een Europese ruimte voor gezondheidsgegevens (“EDHS”) op te richten, zodat de burgers binnen de Europese Economische Ruimte (“EER”) meer controle krijgen over hun elektronische gezondheidsgegevens. Daarnaast wordt beoogd om een uniform kader vast te stellen voor de ontwikkeling, marketing en het gebruik van elektronische patiëntendossiers (“EPD’s”). Het Europees Comité voor gegevensbescherming (“EDPB”) en de gegevensbeschermingsautoriteit voor de Europese Unie (“EDPS”) hebben hun gezamenlijk oordeel over het voorstel van de Europese Commissie voor de EHDS-verordening uitgebracht. In deze blog praten we u bij.
De EDPB en de EDPS zijn voorstanders van het idee om de zeggenschap van individuen over hun persoonlijke gezondheidsgegevens te versterken. Zij wijzen de wetgever echter op een aantal punten van zorg. Zo zijn ze bijvoorbeeld van mening dat de bijbehorende verwerkingsactiviteiten niet zonder risico’s zijn voor de rechten en vrijheden van de gebruikers. Het advies is daarom niet enkel rozengeur en maneschijn.
De voorzitter van de EDPB, verklaarde:
"De EHDS zal de verwerking van grote hoeveelheden bijzonder gevoelige gegevens met zich meebrengen. Daarom is het van het grootste belang dat de rechten van de personen in de EER door dit voorstel in geen geval worden ondermijnd. De EDHS-verordening kent nieuwe patiëntenrechten ten opzichte van de Algemene Verordening Gegevensbescherming (AVG). Omdat de beschrijving van de rechten niet strookt met de AVG zien wij een risico van rechtsonzekerheid voor personen die wellicht niet in staat zijn een onderscheid te maken tussen de twee soorten rechten. Wij dringen er bij de Europese Commissie sterk op aan om de wisselwerking tussen de verschillende rechten in het voorstel en de AVG te verduidelijken."
De EDPS benadrukt dat gezondheidsgegevens die worden gegenereerd door wellness- toepassingen niet van dezelfde kwaliteit zijn als de gegevens die worden gegenereerd door medische apparatuur. Bovendien genereren deze toepassingen een enorme hoeveelheid bijzonder gevoelige gegevens. De EDPS is van mening dat wellness-toepassingen daarom moeten worden uitgesloten van het beschikbaar stellen voor het zogenaamde secundaire gebruik. Secundair gebruik van data is het gebruik van de data voor wetenschappelijk onderzoek of ontwikkelings- en innovatieactiviteiten die bijdragen aan de volksgezondheid.
De EDPB en EDPS benadrukken beide dat dit voorstel nog een extra laag zal toevoegen aan de al bestaande complexe verzameling van wet- en regelgeving over de verwerking van medische gegevens. Om de EDHS tot een succes te maken zal overlap met artikelen in dit voorstel moeten worden voorkomen of zal de overlap in lijn gebracht moeten worden met de AVG en andere specifieke (nationale) zorgwetgeving.
Om een veilige verwerking te waarborgen roepen de EDPB en de EDPS op om aan het voorstel de eis toe te voegen dat de elektronische gezondheidsgegevens in de EER worden opgeslagen, ongeacht de artikelen hierover uit de AVG. Dit gezien de grote hoeveelheid elektronische gezondheidsgegevens die zouden worden verwerkt, de zeer gevoelige aard ervan, het risico van onrechtmatige toegang en de noodzaak om doeltreffend toezicht te waarborgen.
Wat de doeleinden voor secundair gebruik van gezondheidsgegevens betreft, zijn de EDPB en de EDPS van mening dat in het voorstel niet goed is afgebakend voor welke doeleinden de medische gegevens verder mogen worden verwerkt. Ze raden de wetgever aan om de doeleinden af te bakenen en te omschrijven wanneer er een voldoende verband is met de volksgezondheid.
Het laatste kritiekpunt gaat over het door het voorstel ingevoerde governancemodel. De taken en bevoegdheden van nieuwe aan te wijzen overheidsorganen moeten zorgvuldig worden afgestemd. Overlapping met bevoegdheden van de huidige gegevensbeschermingsautoriteiten (in Nederland de Autoriteit Persoonsgegevens) moet worden voorkomen. Zij zijn namelijk de enige bevoegde autoriteiten die verantwoordelijk zijn het toezicht op de verwerking van (medische) persoonsgegevens.
Kortom, de EDPB en de EDPS keuren het Europese voorstel voor een gezamenlijke veilige gegevensruimte goed. Wat er nu gaat gebeuren met het kritiek en de adviezen van de EDPB en de EDPS is onduidelijk. Het voorstel zal door de gewone wetgevingsprocedure gaan en op zijn vroegst van toepassing zijn 12 maanden na haar inwerkingtreding.
Meer lezen over dit onderwerp?
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.