Burgerrechten onder de EHDS: wat verandert ten opzichte van de AVG?

    - - / 16 februari 2026

    De European Health Data Space-verordening (EHDS) is op 26 maart 2025 in werking getreden. Deze Europese verordening moet betere uitwisseling van gezondheidsgegevens mogelijk maken, met als doel de zorg te verbeteren en onderzoek en innovatie te stimuleren. Tegelijkertijd versterkt de EHDS de positie van burgers door hen meer zeggenschap te geven over hun gezondheidsgegevens.

    De EHDS bouwt voort op de Algemene verordening gegevensbescherming (AVG) en vormt daarop een sectorspecifieke aanvulling voor elektronische gezondheidsgegevens. De AVG blijft het algemene kader voor de verwerking van persoonsgegevens, inclusief gezondheidsgegevens, terwijl de EHDS specifieke regels introduceert voor toegang, uitwisseling en hergebruik van die gegevens binnen de zorg. In dit blog bespreken we de verschillende rechten van burgers uit de EHDS en wat deze betekenen voor zorgaanbieders.

    Recht op toegang: van verzoek naar permanente beschikbaarheid

    Onder de AVG hebben patiënten het recht op inzage in en een kopie van hun persoonsgegevens, waaronder gegevens uit het medisch dossier. De EHDS sluit hierop aan, maar gaat een stap verder. Het verschil zit vooral in de manier waarop toegang wordt verleend. Waar zorgaanbieders op grond van de AVG in principe binnen één maand op een inzageverzoek moeten reageren (met mogelijke verlenging), vereist de EHDS dat patiënten direct toegang krijgen zodra gegevens in het dossier zijn geregistreerd. Die toegang moet kosteloos zijn en worden aangeboden in een leesbaar, toegankelijk en geconsolideerd formaat. Daarnaast moet het mogelijk zijn om een kopie te downloaden in een uniform Europees uitwisselingsformat.

    Voor zorgaanbieders betekent dit een belangrijke verschuiving naar het structureel beschikbaar stellen van gegevens via een toegangsdienst. In een eerdere blog stonden we stil bij de recent gepubliceerde kamerbrief over de implementatie van de EHDS, waarin Minister Bruijn aangaf dat hij momenteel onderzoekt hoe deze toegangsdiensten vorm moeten krijgen. De landelijke infrastructuur wordt grotendeels door de overheid ingericht, maar zorgaanbieders moeten ervoor zorgen dat zij hierop aangesloten zijn en hun processen daarop aanpassen. Via die toegangsdienst moet het bovendien mogelijk zijn om eenvoudig een gemachtigde (bijvoorbeeld een mantelzorger of familielid) aan te wijzen.

    De EHDS biedt lidstaten ruimte om in nationale wetgeving uitzonderingen op te nemen, bijvoorbeeld als onmiddellijke toegang tijdelijk moet worden uitgesteld vanwege ethiek of patiëntveiligheid. Denk aan gevoelige uitslagen die een arts eerst met de patiënt wil bespreken. Hoe hier in Nederland invulling aan wordt gegeven, moet nog blijken.

    Rectificatie en aanvulling: meer regie, maar met grenzen

    Het recht op rectificatie kennen we al uit de AVG. De EHDS maakt de uitoefening daarvan laagdrempeliger door te bepalen dat patiënten via de toegangsdienst eenvoudig een verzoek moeten kunnen indienen. De zorgaanbieder blijft verantwoordelijk voor het beoordelen van zo’n verzoek en het controleren van de juistheid van de gegevens.

    Het recht op rectificatie middels een verklaring op grond van de AVG blijft gelden, maar de EHDS introduceert het recht voor patiënten om zelf informatie aan hun dossier toe te voegen met de markering dat deze door de patiënt zijn ingevoerd. Patiënten mogen geen gegevens wijzigen die door zorgverleners zijn ingevoerd. Dit is begrijpelijk, aangezien door patiënten ingevoerde informatie niet dezelfde klinische en juridische waarde heeft als professioneel vastgelegde gegevens.

    Een vraag die hier blijft spelen, is hoe zorgaanbieders moeten omgaan met informatie die door patiënten wordt toegevoegd, met name wanneer die informatie mogelijk onjuist is. Het is daarbij van belang te benadrukken dat de beginselen uit de AVG van toepassing blijven op de door de patiënt toegevoegde gegevens, waaronder het beginsel van juistheid en dataminimalisatie. Persoonsgegevens moeten correct zijn en beperkt blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Dat is des te meer relevant nu deze gegevens onder de EHDS ook kunnen worden hergebruikt voor secundaire doeleinden, zoals onderzoek en innovatie (lees hierover meer in dit blog). De zorgaanbieder blijft verwerkingsverantwoordelijke voor het elektronisch patiëntendossier. Hoe de zorgaanbieder daar in de praktijk invulling aan moet geven, zal nog verder uitgewerkt moeten worden.

    Overdraagbaarheid: van beperkt AVG-recht naar standaardfunctionaliteit

    De EHDS bepaalt dat patiënten hun gezondheidsgegevens eenvoudig moeten kunnen laten overdragen aan een andere zorgaanbieder of zelf toegang moeten kunnen verlenen. Deze overdracht moet onmiddellijk, kosteloos en zonder belemmeringen plaatsvinden via het uniforme Europese gegevensuitwisselingsformat van de infrastructuur van MyHealth@EU. Daarnaast kunnen patiënten verzoeken om (een deel van) hun gegevens te delen met partijen in de sociale zekerheids- of vergoedingssector.

    Dit is een duidelijke verruiming ten opzichte van de AVG. Onder de AVG is dataportabiliteit beperkt tot gegevens die door de betrokkene zelf zijn verstrekt, die geautomatiseerd worden verwerkt en waarvan de verwerking is gebaseerd op toestemming of uitvoering van een overeenkomst. Onder de EHDS krijgen patiënten een algemeen recht op dataportabiliteit, ongeacht de rechtsgrondslag voor de verwerking. Bovendien is het recht niet langer beperkt tot door de patiënt zelf verstrekte gegevens, maar omvat het ook bredere medische informatie, zoals diagnoses of adviezen. Gegevensoverdracht wordt daarmee een standaardfunctionaliteit van zorgsystemen, waardoor gezondheidsgegevens sneller en eenvoudiger beschikbaar worden voor andere zorgaanbieders.

    Transparantie en beperking van toegang

    De EHDS verplicht dat patiënten inzicht kunnen krijgen in wie toegang heeft gehad tot hun elektronische gezondheidsgegevens. Deze informatie moet kosteloos en zonder onnodige vertraging beschikbaar zijn en minimaal drie jaar kunnen worden geraadpleegd. Alleen als lidstaten dit via nationale wetgeving regelen, mag toegang tot deze informatie in uitzonderlijke gevallen worden beperkt, bijvoorbeeld ter bescherming van vitale belangen, de rechten van de zorgverlener of de veiligheid van de patiënt. Voor zorgaanbieders betekent dit dat toegangslogs op een toegankelijke manier aan patiënten moeten kunnen worden verstrekt en dat beleid hierop moet worden aangepast.

    Daarnaast kunnen patiënten het gebruik van hun gezondheidsgegevens beperken. Zij kunnen de toegang van zorgverleners en zorgaanbieders tot hun gegevens geheel of gedeeltelijk blokkeren. Een belangrijk uitgangspunt is dat zo’n beperking niet zichtbaar mag zijn voor zorgverleners. Tegelijkertijd kan dit grote gevolgen hebben voor de kwaliteit en veiligheid van de zorg. Daarom is het essentieel dat patiënten vooraf goed worden geïnformeerd over de mogelijke impact. Lidstaten hebben de ruimte om in nationale wetgeving een zogeheten ‘break-the-glass’-procedure op te nemen voor spoedeisende situaties.

    Ook hebben lidstaten de mogelijkheid een opt-out voor primair gebruik in te voeren. Nederland is voornemens dit recht toe te kennen. Dat betekent dat patiënten niet langer vooraf toestemming hoeven te geven voor gegevensuitwisseling ten behoeve van zorgverlening, maar dat zij dit actief kunnen weigeren. Zorgaanbieders moeten deze opt-outs vervolgens kunnen registreren, technisch verwerken en patiënten hierover informeren. Hoe deze beperkingsrechten precies worden ingebed in het Nederlandse stelsel, wordt nog verder uitgewerkt.

    Wat betekent dit voor zorgaanbieders?

    De EHDS-rechten brengen verplichtingen voor zorgaanbieders met zich mee en vragen om technische en organisatorische voorbereiding. Denk hierbij aan:

    • Aansluiting op een EHDS-conforme toegangsdienst en bijbehorende afstemming met leveranciers.

    • Duidelijke processen per patiëntenrecht en geactualiseerd beleid, waarbij eventuele beperkingen die via nationale wetgeving worden ingevoerd expliciet meegenomen worden.

    • Interne bewustwording en training van medewerkers over de nieuwe processen en het beleid rondom rechten van patiënten.

    • Actieve en begrijpelijke communicatie richting patiënten over hun rechten en hoe zij deze via de toegangsdiensten kunnen uitoefenen.

    Misschien voelt dit in eerste instantie als een extra last, want wéér een nieuwe verordening met nieuwe verplichtingen, maar de EHDS biedt ook kansen. Meer standaardisering in systemen en processen zorgt er op termijn juist voor dat de administratieve lasten voor zorgaanbieders afnemen.

    Begin op tijd met voorbereiden!

    De uit de EHDS voortvloeiende verplichtingen worden de komende jaren stapsgewijs ingevoerd. De hierboven beschreven rechten gelden vanaf 2029. Uiterlijk in 2031 moet Nederland klaar zijn voor volledige toepassing van de EHDS. Dat lijkt ver weg, maar implementatie kost tijd. Begin daarom nu al met een inventarisatie: wat is er binnen jouw organisatie technisch en organisatorisch nodig om straks aan de EHDS te voldoen? Lees hier meer over in onze EHDS cheatsheet. 

    De details zullen de komende jaren nog via uitvoeringshandelingen worden uitgewerkt. Het is daarom belangrijk deze ontwikkelingen goed te volgen, zodat nieuwe vereisten tijdig meegenomen kunnen worden in de voorbereidingen. Uiteraard houden wij je daarvan op de hoogte.

    Download cheatsheet
    Terug naar overzicht

    Jikke Spek

    Legal Counsel
    Lees meer
    CTA - Data & privacy

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    AI & algoritmes
    Data & privacy
    Security compliance
    ICT-contracten
    Zorg & ICT
    Ons team
    Vacatures
    Werving en Selectie
    Academy
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram