De tijd van dikke papieren dossiers ligt achter ons. De zorgsector werkt steeds vaker met digitale toepassingen en slimme snufjes. Dat levert enorme hoeveelheden waardevolle data op, maar die worden verwerkt in steeds complexere systemen. Waar de AVG de basis legde voor bescherming en verantwoorde verwerking van persoonsgegevens, verschuift de aandacht nu naar het stimuleren van data-uitwisseling, interoperabiliteit en hergebruik om bij te dragen aan een goed functionerende interne markt voor data.
De Europese Commissie heeft de ambitie uitgesproken om de digitale transformatie van de zorg krachtig te versnellen. Data staat daarin centraal. Terwijl verschillende sectoren vaak eigen belangen en specifieke wetgevingen hebben, werkt de Europese Commissie met een sector overschrijdende Europese datastrategie. Een belangrijk onderdeel is de oprichting van een gezamenlijke Europese data-infrastructuur om waardevolle inzichten uit data te halen. Het doel is om Europa te positioneren als wereldleider in data-innovatie, waarbij Europese burgers meer controle krijgen over hun gegevens en de mogelijkheden voor innovatieve toepassingen worden vergroot.
Heeft jouw organisatie het overzicht?
De overvloed aan regelgeving maakt dat partijen in de zorg worden geconfronteerd met een steeds ingewikkelder juridisch landschap rondom het gebruik van data. Het is daarom lastig bijhouden welke verplichtingen precies gelden, en voor wie de regelgeving relevant is. Wist je bijvoorbeeld dat de Data Act sinds 12 september al geldt? In dit blog geven we duidelijkheid over de belangrijkste verhoudingen uit het gefragmenteerde kader met betrekking tot databeschikbaarheid. Ben je zodoende benieuwd of deze verordening ook voor jouw organisatie verplichtingen in het leven roept? Lees dan vooral verder.
Wettelijk kader
Om de samenhang binnen het huidige Europese databeleid goed te begrijpen, is het belangrijk de visie en doelstellingen van de Europese Commissie als uitgangspunt te nemen. Twee horizontale kaders vormen de basis: de Data Governance Act (DGA)en de Data Act (DA). Deze fungeren als kapstokwetgeving voor alle sectoren. Binnen dit algemene kader worden per sectorspecifieke dataruimten ingericht. De European Health Data Space (EHDS) is de eerste invulling van zo’n specifieke dataruimte. Deze wet vormt zodoende een aanvulling op het hiervoor genoemde horizontale kader, maar ook op de AVG, die, net zoals de DA en de DGA, sectoroverstijgend opereert.
EHDS
Even een korte herhaling: wat regelt de EHDS ook alweer? Omdat gezondheidsgegevens vaak gevoelig van aard zijn, geldt er een strenger beschermingsregime. De AVG blijft met betrekking tot de bescherming van persoonsgegevens het minimumkader. De EHDS bouwt hierop voort door aanvullende regels te stellen, bijvoorbeeld door een uitbreiding van de rechten van betrokkenen. De data dient voor burgers beter inzichtelijk en toegankelijk te zijn, en de gegevens dienen makkelijker gedeeld te kunnen worden met zorgverleners in het buitenland.
Daarnaast introduceert de EHDS gereguleerde datadeling via de Health Data Access Bodies (HDAB’s). Hiermee wordt secundair gebruik van gezondheidsdata (bijvoorbeeld voor onderzoek of innovatie) mogelijk gemaakt. De EHDS vormt dus een brug tussen gegevensbescherming en de behoefte aan efficiëntere, veilige gegevensuitwisseling in de zorg. De EHDS harmoniseert ook de regels voor (product)veiligheid, beveiliging en interoperabiliteit. Deze zijn voornamelijk van belang voor EPD-leveranciers en fabrikanten van interoperabele wellnessapps.
DA
Hoe zit het dan met de DA? Deze wet geeft een andere dimensie aan gegevensdeling. De DA reguleert het gebruik en de toegang tot data die door apparaten, diensten of applicaties wordt gegenereerd, ongeacht de sector en ongeacht of het persoonsgegevens betreft.[1] Zie voor de verhouding tussen de AVG en de DA ook dit blog. Daarbij richt de DA zich allereerst op de beschikbaarheid van data uit IoT-toepassingen en -diensten en transparantie daarover. Wanneer de IoT-toepassing een medisch device betreft, zal de EHDS het kader scheppen voor de deling van gezondheidsdata, en de DA voor de overige ‘gebruikersdata’ of apparaatgegevens. Zo is het mogelijk om niet alleen medische gegevens mee te nemen naar een andere zorgaanbieder, maar ook overige (technische) data opgeslagen in een bepaald device of gerelateerde dienst. In het kader van databeschikbaarheid geldt ook dat overheden data op kunnen vragen. Dit kan enkel in uitzonderlijke situaties, zoals een noodsituatie, en onder bepaalde voorwaarden. De ontvangers van dit soort verzoeken kunnen dus worden verplicht data te delen met overheden.
De DA beoogt daarnaast een eerlijkere, transparantere markt voor data en cloudservices te bevorderen. Het overstappen van cloudprovider wordt namelijk makkelijker gemaakt, ook voor organisaties. Dit betekent dat cloudproviders, waaronder mogelijk EPD-leveranciers, hun voorwaarden opnieuw onder de loep dienen te nemen om een mogelijke overstap eerlijk en volgens de wet overeen te komen. Dit alles om een zogenaamde vendor lock-in te voorkomen.
Verschillende actoren, verschillende verplichtingen
De reikwijdte van de DA en de EHDS verschilt per type actor, en raakt uiteenlopende partijen. Daarom is er voor bijna iedereen werk aan de winkel. De leverancier van EPD's moet andere dingen doen dan de gebruiker ervan, maar iedereen wordt geraakt. Hieronder volgt een globale weergave van enkele verplichtingen die op partijen gaan rusten (niet uitputtend).
Voor EPD-leveranciers betekent de EHDS dat zij hun systemen moeten aanpassen aan de Europese eisen voor interoperabiliteit, beveiliging en (product)veiligheid. Onder de DA zullen zij bovendien moeten voldoen aan verplichtingen rond eerlijke contractvoorwaarden voor cloudservices en het vergemakkelijken van overstappen indien zij een dataverwerkingsdienst zijn. De regelgeving zal dus invloed hebben op de manier waarop EPD’s technisch en juridisch gezien zullen worden aangeboden op de markt.
Fabrikanten van (fysieke) medische apparatuur of gerelateerde diensten hebben ook te maken met meerdere lagen aan regelgeving m.b.t. databeschikbaarheid en veiligheid (denk bijv. ook aan de eventuele toepassing van de MDR). Onder de EHDS moeten zij zorgen dat hun apparaten interoperabel zijn met andere zorgsystemen en tevens voldoen aan strikte beveiligings- en veiligheidsstandaarden. Onder de DA geldt dat zij gebruikers (zowel patiënten als zorginstellingen) toegang moeten geven tot de door hun apparaten gegenereerde data, ook wanneer dit geen gezondheidsdata in de zin van de EHDS betreft. Dit kan betekenen dat zij technische voorzieningen moeten treffen om data uit hun apparaten op een gestandaardiseerde manier beschikbaar te maken en uitgebreid dienen te informeren welke data ze beschikbaar hebben.
Voor zorgaanbieders ligt de nadruk juist op de toegang tot en het delen van patiëntgegevens binnen de kaders van de EHDS. Zij krijgen een actieve rol in het (internationaal) beschikbaar stellen van gezondheidsdata voor primair gebruik en voor secundair gebruik (bijvoorbeeld wetenschappelijk onderzoek). Dit brengt nieuwe organisatorische en juridische verplichtingen met zich mee, zoals het inrichten van processen voor het voldoen aan de aanvullende rechten voor patiënten en voor gegevensuitwisseling via het Nationale Contactpunt voor e-Health (voor internationale toegang tot medische gegevens) en de Health Data Access Bodies (HDAB’s). Ook met de komst van de DA dienen zorgaanbieders processen in te regelen voor het beschikbaar stellen van data, bijv. aan overheidsinstanties.
Kortom: waar de EHDS primair verplichtingen schept rond de veilige en uniforme toegang tot en het delen van gezondheidsdata, legt de DA horizontale verplichtingen op met betrekking tot data-toegang, contractvoorwaarden en cloudportabiliteit. Voor organisaties in de zorg betekent dit dat zij beide kaders goed in samenhang moeten bezien om compliant te blijven.
Wat kun je doen?
Maak een inventarisatie van bestaande datastromen en alle geldende regels en zet een roadmap op om inzichtelijk te hebben welke regels per wanneer gelden voor jouw organisatie. Wil je meer hierover leren? Kijk dan vooral ook naar onze CHCO®-opleiding.
CHCO®-opleiding
[1] A. Engelfriet, Wetwijs in het digitale decennium, Amsterdam: Ius Mentis 2025, p. 90.
