De European Health Data Space (EHDS) is op 26 maart 2025 in werking getreden en markeert een belangrijke stap richting een zogenaamde Europese gezondheidsruimte. De EHDS moet leiden tot betere databeschikbaarheid en dit moet vervolgens weer resulteren in betere zorg. Hoewel de bijbehorende verplichtingen de komende zes jaar gefaseerd worden ingevoerd, raden wij zorgaanbieders aan nu al vooruit te kijken. Een tijdige voorbereiding zal helpen bij een zo soepel mogelijke implementatie.
Wat is het doel van de EHDS?
Kortgezegd, creëert de EHDS een Europees kader voor de toegang tot en het gebruik van gezondheidsdata binnen de Europese Unie (EU), met als doel de kwaliteit van zorg te verbeteren en innovatie te stimuleren. Hierbij onderscheidt de EHDS drie pijlers:
-
primair gebruik; (zie ook ons blog over primair gebruik);
-
secundair gebruik; en
-
marktregulering van elektronisch patiëntendossier (EPD)-systemen en interoperabele wellness apps.
In dit blog zoomen we in op secundair gebruik vanuit het perspectief van de zorgaanbieder. Voor meer context lees ook ons eerdere blog.
Wat is secundair datagebruik?
Voordat we inzoomen op de rechten en plichten van zorgaanbieders, staan we eerst stil bij de term “secundair gebruik”. Want wat wordt hier eigenlijk mee bedoeld? De term secundair gebruik wordt geïntroduceerd in de EHDS en kennen we niet uit ons nationale recht. Bij secundair datagebruik gaat het om het hergebruiken van data voor andere doelen dan de directe zorgverlening aan de patiënt. Het gaat dan wel om het gebruik van data voor een aantal specifieke en limitatief omschreven doeleinden, namelijk:
-
het algemeen belang op het gebied van volksgezondheid;
-
beleid en regelgeving;
-
statistiek;
-
onderwijs in de gezondheids- of zorgsector; of
-
wetenschappelijk onderzoek.
Onder dit laatste doeleinde vallen ook expliciet ontwikkelings- en innovatieactiviteiten zoals het testen en evalueren van algoritmes en het verbeteren van de zorgverlening.
In de praktijk betekent dit bijvoorbeeld dat een medisch-techbedrijf dat software wil ontwikkelen om patiënten met taaislijmziekte beter te monitoren, gezondheidsdata kan opvragen via de route die in de EHDS wordt gecreëerd: de Health Data Access Body (HDAB)-route. Het bedrijf kan namelijk, mits zij aan alle voorwaarden van de EHDS voldoet, toegang krijgen tot veel meer gezondheidsdata, niet alleen in een nationale maar ook in een Europese context. Gezien dit een zeldzame aandoening is, is het combineren van data uit meerdere lidstaten van grote meerwaarde, omdat individuele landen doorgaans onvoldoende data hebben om gedegen onderzoek te doen.
Verboden doeleinden
Tot slot, geeft de EHDS ook een lijst van secundaire doeleinden waarvoor gezondheidsdata niet mogen worden gebruikt. Zo mogen de data bijvoorbeeld niet worden opgevraagd om schadelijke producten verder te ontwikkelen, zoals tabak of alcohol. Dit is natuurlijk ook logisch, want de EHDS moet leiden tot kwalitatief betere zorg. Het ontwikkelen van producten die schadelijk zijn voor de gezondheid staat hier lijnrecht tegenover.
HDAB-route
Via de EHDS moeten gezondheidsdata beter beschikbaar worden voor secundaire doeleinden via de zogenaamde HDAB-route. Maar hoe werkt dat nou eigenlijk?
Toegang tot data begint bij het aanvragen van een vergunning. Een dergelijke aanvraag wordt ingediend bij de HDAB. De HDAB is het nationale orgaan voor secundair datagebruik dat o.a. aanvragen beoordeelt en hiervoor vergunningen afgeeft.[1]
Een aanvraag voor secundair datagebruik wordt ingediend door een datagebruiker en bevat een duidelijke beschrijving van het doel, de benodigde data en de aanpak. De HDAB beoordeelt de aanvraag en verleent bij goedkeuring een vergunning, waarna de datahouder de data beschikbaar stelt (op basis van opt-out, zie ook onze cheatsheet).[2]
De data worden beschikbaar gesteld in een beveiligde werkomgeving en verlaten deze omgeving niet. In principe gaat het om anonieme data. Onderzoeksresultaten moeten worden gepubliceerd op de website van de HDAB, zodat het datagebruik de samenleving als geheel ten goede komt.
Een andere belangrijke vraag: waar komt die data eigenlijk vandaan? Hier speelt de datahouder een cruciale rol. Dit is de organisatie die elektronische gezondheidsdata verwerkt en deze op verzoek beschikbaar moet stellen. Zorgaanbieders kwalificeren dus als datahouder. Wat dit concreet voor jou betekent, vatten we hieronder via de belangrijkste verplichtingen kort samen:
-
Maak inzichtelijk welke data je beheert: categoriseer je datasets en voeg per set een duidelijke beschrijving toe, en markeer eventuele bedrijfsgeheimen of intellectuele eigendomsrechten (IE). De beschikbare datacategorieën moeten met de HDAB worden gedeeld. De HDAB zal een catalogus van beschikbare datacategorieën beheren.
-
Controleer en actualiseer je data: je bent verplicht om de beschrijvingen van datasets jaarlijks te controleren en bij te werken in de nationale catalogus.
-
Werk constructief samen met de HDAB: is een vergunning verleend, dan moet je de gevraagde gezondheidsdata op basis van opt-out beschikbaarstellen.
-
Lever datasets tijdig aan: dit gebeurt binnen een termijn van drie tot zes maanden.
Tot slot is het goed om te vermelden dat deze route aanvullend geldt op de bestaande mogelijkheden voor het gebruik van secundaire data op grond van de Algemene verordening gegevensbescherming (AVG) en de Wet op de geneeskundige behandelingsovereenkomst (WGBO).
Niet alleen verplichtingen, maar ook nieuwe kansen
Met de komst van de EHDS komt er veel af op zorgaanbieders. Het is begrijpelijk dat dit in eerste instantie kan voelen als een extra set verplichtingen waaraan moet worden voldaan. Uiteraard brengt de EHDS inderdaad nieuwe verplichtingen met zich mee, maar het is ook belangrijk om oog te hebben voor de kansen die de EHDS jou als zorgaanbieder biedt, juist ook in het kader van secundair gebruik. Als zorgaanbieder kan je immers ook zelf data opvragen via de HDAB-route voor bijvoorbeeld wetenschappelijk onderzoek.
Hoe kun je je als zorgaanbieder nu al voorbereiden?
Wil je goed voorbereid zijn op de EHDS? Dan kun je nu al de volgende concrete stappen zetten:
-
Breng je datacategorieën in kaart
Maak inzichtelijk welke gezondheidsdata je beheert en in welke vorm deze beschikbaar zijn. De specifieke categorieën zijn te vinden in artikel 33 EHDS.
-
Investeer in datakwaliteit
Zorg ervoor dat datasets actueel, betrouwbaar en goed beschreven zijn, zodat zij later eenvoudig beschikbaar kunnen worden gesteld.
-
Verdeel verantwoordelijkheden binnen de organisatie
Bepaal wie binnen de organisatie verantwoordelijk is voor de besluitvorming, uitvoering en het toezicht op secundair gebruik van data onder de EHDS. Zorg dat alle relevante medewerkers tijdig worden aangehaakt en geïnformeerd zijn, zoals de privacy officer, de functionaris gegevensbescherming, de security officer en ICT.
-
Verken de kansen die de EHDS biedt
Kijk niet alleen naar verplichtingen, maar ook naar de mogelijkheden die de EHDS kan opleveren voor onderzoek, innovatie en samenwerking. Bespreek deze kansen met de wetenschappelijke tak van jouw organisatie.
-
Blijf betrokken en volg de ontwikkelingen
Denk mee, praat mee en blijf op de hoogte via www.datavoorgezondheid.nl. Wij volgen de ontwikkelingen ook nauwlettend voor je. Bekijk onze website of abonneer je op onze zorgnieuwsbrief.
Wil je ook inzicht krijgen in de impact voor zorgverleners, patiënten en ICT-dienstverleners? Bekijk dan onze EHDS cheatsheet.
[1] In Nederland wordt dit momenteel nog vormgegeven via het programma HDAB-NL, lees hier wat het programma HDAB-NL doet: https://www.datavoorgezondheid.nl/health-data-acces-body/programma.
[2] Voor zorgaanbieders die optreden als datahouder en die kwalificeren als micro-onderneming (minder dan tien werknemers en een omzet of balanstotaal van maximaal twee miljoen euro) gelden de EHDS-verplichtingen voor secundair datagebruik niet.
