Op 26 maart 2025 is de European Health Data Space (EHDS)-verordening in werking getreden. We raden leveranciers van elektronische patiëntendossiers (EPD’s) daarom aan om alvast de eerste stappen te zetten in de voorbereidingen. Over uiterlijk twee jaar gelden de eerste verplichtingen, en de impact op technische eisen, functionaliteiten en contracten is groot.
De EHDS vormt samen met de Data Act en de Data Governance Act onderdeel van de bredere Europese datastrategie. Waar de Data Act horizontale regels stelt over databeschikbaarheid en eerlijk gebruik van data in alle sectoren, richt de EHDS zich op één specifieke sector: de zorg.
In dit blog, als vervolg op ons eerdere blog over de verhouding tussen de Data Act en de EHDS, zetten we de belangrijkste gevolgen van deze verordeningen voor EPD-leveranciers op een rij en gaan we in op de vraag hoe de verplichtingen van de twee verordeningen elkaar in de praktijk aanvullen.
Van horizontaal naar sector-specifiek
Sinds 12 september 2025 is de Data Act officieel van toepassing. De Data Act introduceert algemene verplichtingen en rechten voor het delen van data die worden gegenereerd of verwerkt via apparaten of digitale diensten: de zogenoemde verbonden producten (zoals medische wearables) en gerelateerde diensten. Deze regels gelden voor iedereen die dergelijke producten binnen de EU aanbiedt of gebruikt: van fabrikant tot ziekenhuis, en zelfs de individuele patiënt met een slimme gezondheidsapp. Daarnaast geldt de Data Act ook voor aanbieders van dataverwerkingsdiensten (bijvoorbeeld SaaS- en cloudservices), die verplicht zijn data beschikbaar te stellen aan gebruikers en transparante voorwaarden te bieden.
De EHDS bouwt daarop voort, maar is nadrukkelijk gericht op de omgang met gezondheidsdata. De EHDS bepaalt bijvoorbeeld hoe medische data moet worden gedeeld tussen zorgverleners (nationaal en binnen Europa), dat er standaarden gelden voor interoperabiliteit en welke rechten burgers hebben ten aanzien van hun gezondheidsgegevens.
Kort gezegd: de Data Act schept het algemene kader voor datatoegang en -deling; de EHDS werkt dat concreet uit voor gezondheidsdata. Voldoen aan de EHDS betekent echter niet automatisch dat ook aan de Data Act is voldaan: er is overlap, maar er zijn ook belangrijke verschillen in reikwijdte en verplichtingen.
Verplichtingen voor leveranciers van EPD’s
De EHDS harmoniseert de regels voor productveiligheid, beveiliging en interoperabiliteit voor EPD-systemen en interoperabele wellnessapps. Dat betekent onder meer dat elk EPD-systeem een interoperabiliteitscomponent en een loggingcomponent moet bevatten. Het is de verantwoordelijkheid van de fabrikant om hieraan te voldoen. Fabrikanten moeten hun systemen zelf certificeren via een Europese testomgeving, waarin deze componenten worden getoetst. Daarnaast moeten zij technische documentatie opstellen en bijhouden en een klachtenprocedure inrichten. Nationale aanvullende eisen voor EPD-systemen zijn mogelijk.
Interoperabiliteit volgens Europese standaarden
Fabrikanten moeten hun systemen aanpassen aan de Europese technische specificaties die de Commissie de komende jaren vaststelt. Dit omvat standaarden voor gegevensuitwisselingsformaten, interoperabiliteit en het loggingcomponent voor het bijhouden van wie welke gegevens heeft geraadpleegd of gewijzigd. Voor logging is dit inmiddels duidelijker: de NPR 7523 helpt zorgaanbieders en softwareleveranciers te voldoen aan de loggingsverplichtingen van NEN 7513 en de bredere eisen uit de EHDS. Hoe de overige standaarden zich precies tot de Nederlandse NEN-normen verhouden, is nog onderwerp van evaluatie.
Certificering en markttoezicht
EPD-systemen vallen onder een nieuw Europees toezichtregime, dat uitgaat van zelfcertificering door fabrikanten. Gecertificeerde EPD-systemen worden opgenomen in een openbaar EU-register, zodat transparantie ontstaat over naleving. Lidstaten moeten daarnaast een markttoezichtautoriteit aanwijzen die risicogebaseerd toezicht uitoefent en kan ingrijpen bij niet-naleving. Dit betekent dat fabrikanten (en, waar relevant, leveranciers) moeten kunnen aantonen dat hun systeem aan de Europese regels voldoet, vooral bij updates of releases die effect hebben op interoperabiliteit, het loggingcomponent of veiligheid.
Verplichte datatoegang en -uitwisseling
Fabrikanten moeten hun systemen zo inrichten dat zorgaanbieders toegang hebben tot elektronische gezondheidsgegevens via gestandaardiseerde interfaces. Dit omvat enerzijds het recht van patiënten op inzage en het ontvangen van elektronische kopieën, en anderzijds de toegang van zorgverleners tot gegevens binnen de Europese infrastructuur (MyHealth@EU) voor primair gebruik. Het onderscheid is belangrijk: inzagerecht en kopieerrecht gaan over toegang en informatie, terwijl MyHealth@EU bedoeld is voor het delen van gegevens tussen zorgverleners binnen de Europese infrastructuur.
De link met de Data Act: meer dan alleen gezondheidsdata
Hoewel de EHDS zich richt op elektronische gezondheidsgegevens, met name de prioritaire gegevens zoals patiëntsamenvattingen, recepten, uitslagen en medische beeldvorming, komen andere soorten data in beeld onder de Data Act zodra een EPD of gerelateerde dienst ook niet-gezondheidsgegevens verwerkt.
Een EPD kan bijvoorbeeld kwalificeren als een ‘gerelateerde dienst’ of als een ‘dataverwerkingsdienst’ onder de Data Act. Afhankelijk van deze kwalificatie gelden verschillende verplichtingen richting verschillende actoren, zoals zorginstellingen of, onder bepaalde omstandigheden, patiënten.
Voor gerelateerde diensten moeten leveranciers gebruikers in staat stellen data die via hun systemen is gegenereerd over te dragen naar een andere partij. Voor dataverwerkingsdiensten gelden aanvullende verplichtingen, zoals het faciliteren van het overstappen naar een alternatieve leverancier. In het kader van de Data Act gaat het om vrijwel alle data die via het systeem of de dienst wordt gegenereerd, bijvoorbeeld logbestanden, apparaatinstellingen of gebruiksstatistieken, dus niet de medische gegevens die onder de EHDS vallen.
Leveranciers moeten daarnaast transparant zijn over welke data wordt verzameld en beschikbaar gesteld, en interoperabiliteit waarborgen indien er sprake is van een dataverwerkingsdienst. De verplichtingen van de Data Act zijn daarmee breder dan de EHDS: ze omvatten ook niet-gezondheidsgegevens en regelen dat deze data beschikbaar en overdraagbaar is binnen de EU-infrastructuur.
Wat kun je nu al doen?
Inventariseer je datastromen en kwalificaties
Breng in kaart welke data jouw EPD genereert en verwerkt, en bepaal per type gegevens en per kwalificatie onder de EHDS en Data Act welke verplichtingen gelden en jegens welke partijen. Denk bijvoorbeeld aan elektronische gezondheidsgegevens (EHDS) versus gebruiksdata van apparaten of software (Data Act).
Controleer interoperabiliteit en documentatie
Inventariseer welke interfaces en technische documentatie nodig zijn om te voldoen aan de verplichtingen van beide wetten, inclusief interoperabiliteitsvereisten en gestandaardiseerde datatoegang.
Werk contractuele afspraken bij
Evalueer en actualiseer contracten, servicevoorwaarden en documentatie over datatoegang en datadeling, zodat deze aansluiten op de nieuwe verplichtingen onder EHDS en Data Act.
Volg nationale uitwerking en uitvoeringshandelingen
Veel details moeten nog via uitvoeringshandelingen worden uitgewerkt. Houd deze ontwikkelingen in de gaten om tijdig te kunnen anticiperen op vereisten die relevant zijn voor EPD-leveranciers.
De eerste verplichtingen van de EHDS gelden al vanaf 2027. Voor de Data Act zijn de verplichtingen sinds september 2025 van kracht, afhankelijk van de kwalificatie van de dienst of het product. Voor EPD-leveranciers betekent dit dat het nu het juiste moment is om de voorbereidingen te starten en te zorgen dat systemen, documentatie en processen tijdig compliant zijn.
Wil je weten hoe jouw organisatie zich kan voorbereiden op de EHDS en de Data Act? Wij helpen graag met het in kaart brengen van je juridische en organisatorische verplichtingen, het herzien van contractuele afspraken en het opstellen van een toekomstbestendige datastrategie.
Meer weten over de EHDS? Lees dan onze andere blogs!
EHDS-blogs
