Afgelopen dinsdag verzorgden wij (Marike Wiersma en Sari Jansen) een gratis live webinar over de European Health Data Space (EHDS) en de AI Act. Dat deden we met veel passie (want wij vinden het heerlijk om wet- en regelgeving helemaal uit te spitten en te vertalen naar de praktijk) en veel plezier (want wij werken graag met elkaar samen). Het belang van kennis over deze nieuwe wetgeving werd benadrukt door het feit dat er een gigantisch aantal deelnemers aanwezig was (waarvoor veel dank!).
In drie kwartier namen we de deelnemers in vogelvlucht mee langs de belangrijke elementen uit de EHDS en de AI Act, en bespraken we waar deze wetgeving samenkomt. In deze blog zetten we drie belangrijke takeaways uit het webinar voor je op een rij.
Door AI kan de gezondheidszorg er heel anders uit gaan zien. Denk aan een patiënt die wordt geopereerd door een AI gestuurde robot, mogelijk in de (verre?) toekomst zelfs binnen de eigen thuisomgeving. Om de kwaliteit van een AI-systeem voldoende te kunnen borgen, is het van belang dat AI getraind wordt met kwalitatief hoogwaardige data. Dat wil zeggen met datasets die relevant, representatief, accuraat en statistisch passend zijn voor het beoogde doel. Voor hoog risico AI-systemen is het gebruik hiervan zelfs een uitdrukkelijke verplichting onder de AI Act. Om tot de beste resultaten te komen voor de gezondheidszorg, hebben we daarvoor veel patiëntgegevens nodig van goede kwaliteit. Een AI-systeem baseert zijn output immers in zijn geheel op de regels (of andere informatie) die hij heeft afgeleid uit de dataset(s). De EHDS gaat deze data leveren.
Meer specifiek: de EHDS maakt het mogelijk om voor secundair gebruik (waaronder het trainen van AI) grote datasets te gebruiken. Daarbij kan ook gebruik gemaakt worden van data uit andere Europese landen. Houders van gezondheidsgegevens zijn verplicht om gegevens beschikbaar te stellen voor secundair gebruik als zij de gegevens digitaal voorhanden hebben.
Een aspirant gebruiker van die gegevens kan een vergunning aanvragen bij de Health Data Acces Body (HDAB) voor een bepaalde dataset. Als de HDAB een vergunning verleent, vraagt hij de gegevens op bij de verschillende datahouders (zoals zorgaanbieders). Binnen drie tot zes maanden stelt de HDAB de gegevens geanonimiseerd, of anders gepseudonimiseerd, beschikbaar binnen een beveiligde omgeving. Let op: wanneer de gegevens gepseudonimiseerd beschikbaar worden gesteld, geldt de Algemene verordening gegevensbescherming (AVG) in haar volledigheid. Dit betekent dat er zowel een grondslag als een uitzonderinggrond moet zijn voor de verwerking van persoonsgegevens in het kader van secundair gebruik.
De gebruiker kan deze grote dataset(s) vervolgens gebruiken voor het trainen van AI. Hierbij moet wel rekening worden gehouden met de vereisten van de AI Act. In principe is de AI Act niet van toepassing op onderzoeks-, test- en ontwikkelingsactiviteiten met betrekking tot AI-modellen en systemen voor zij in de handel worden gebracht of in gebruik worden gesteld. Met uitzondering van de situatie dat wordt getest in reëele omstandigheden. Hier stelt de AI Act namelijk wel specifieke eisen aan. Daarnaast kan andere wetgeving, zoals de Medical Device Regulation, ook bepaalde vereisten stellen aan het testen van systemen. In ieder geval zal je als je een AI-systeem ontwikkelt en in de handel brengt of in gebruik stelt, kwalificeren als aanbieder en zal je, afhankelijk van de kwalificatie van het systeem, aan alle toepasselijke verplichtingen moeten voldoen.
Door de EHDS kunnen patiëntgegevens gaan stromen door heel de EU. De EHDS introduceert namelijk het opt-out mechanisme. Dat betekent dat voor het gebruik van de gezondheidsgegevens niet meer voorafgaande toestemming van de patiënt nodig is, maar dat patiënten het gebruik kunnen verbieden middels de opt-out (bezwaar) regeling.
Opt-in (voorafgaande toestemming) bleek namelijk een groot obstakel voor de beschikbaarheid van (kwalitatief goede) gezondheidsgegevens. Burgers gaven simpelweg geen voorafgaande toestemming. En dat leidde tot onvoldoende toegang tot gegevens. Onder andere door COVID werd pijnlijk duidelijk dat voldoende toegang tot de relevante patiëntgegevens cruciaal is voor het kunnen verlenen van goede zorg.
Voor primair gebruik van patiëntgegevens (het verlenen van zorg) geldt onder de EHDS dat lidstaten de keuze hebben om de opt-out te implementeren; voor secundair gebruik is opt-out verplicht.
Een veel gehoord geluid, ook tijdens het webinar, is dat het recht op privacy van de patiënt in het geding komt door het vervallen van opt-in. De EHDS waakt daar voor. Er gelden namelijk strenge privacy- en veiligheidswaarborgen voor het gebruik van de patiëntgegevens. Zowel voor primair, als voor secundair gebruik. En niet te vergeten: de patiëntrechten onder de AVG worden juist door de EHDS uitgebreid, zoals het recht op inzage en dataportabiliteit.
De lidstaten zullen daarnaast een Digital Health Authority (DHA) moeten oprichten voor toezicht op de rechten van patiënten. De Autoriteit Persoonsgegevens werkt hierin samen met de DHA. De HDAB zal toezicht houden op de naleving van de regels ten aanzien van secundair gebruik. Uiteraard zal moeten uitwijzen hoe het toezicht er in de praktijk daadwerkelijk uit gaat zien.
De EHDS is afgelopen 26 maart in werking getreden, de AI Act vorig jaar augustus. De belangrijkste verplichtingen uit de EHDS zullen in de aankomende 2 tot 6 jaar gaan gelden en vanuit de AI Act gelden nu al een aantal verplichtingen. Vanaf augustus 2026 geldt de algemene toepassing van de AI Act met uitzondering van de regels voor hoog risico AI-systemen op basis van bijlage I (2027) en legacy IT-systemen (2030).
Het is belangrijk om nu al aan de slag te gaan. Een zorgaanbieder koopt over het algemeen ICT-toepassingen in voor een periode van 5 jaar of langer. Ook de inrichting en ontwikkeling van systemen zijn vaak voor lange tijd. Daarnaast kost het tijd en is het goed om de tijd te nemen om medewerkers te informeren en mee te nemen in de nieuwe ontwikkelingen.
Begin daarom nu al met inventariseren: welke systemen en datastromen zijn er binnen de organisatie of worden er ontwikkeld of ingekocht? Raken deze de EHDS en/of AI Act?
Op basis hiervan kun je wellicht al aan de slag met een roadmap (dit raden wij zeker aan), het beleggen van verantwoordelijkheden en het formuleren van concrete actiepunten. Houd daarbij ook altijd de ontwikkelingen goed in de gaten. De Europese Commissie moet bijvoorbeeld voor een aantal zaken nog uitvoeringshandelingen vaststellen (zoals het uitwisselingsformaat en gegevenskwaliteitseisen). Scherp blijven dus!
Zo, nu ben je weer een beetje bij. Benieuwd naar het hele webinar? Kijk deze dan gratis terug via deze link.
Wil je de belangrijkste elementen uit de EHDS rustig bekijken? Download dan onze EHDS cheatsheet.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.