EHDS: struikelblok binnen huidig rechtskader voor gegevensbescherming

‘European Health Data Space’

De Europese Commissie publiceerde op 3 mei jl. het voorstel over de ‘European Health Data Space’ (EDHS) dat streeft naar een grensoverschrijdende infrastructuur die het gebruik van elektronische gezondheidsgegevens in de Europese Unie makkelijker moet maken.

Hoewel dit vergemakkelijken breed wordt toegejuicht, is er met de komst van de EHDS op Europees niveau vrees ontstaan voor een verzwakking van de (huidige) bescherming van het recht op privacy en gegevensbescherming van gezondheidsgegevens van patiënten.

‘Het lijkt daarom nodig het voorstel van de EHDS te harmoniseren met het al bestaande rechtskader voor gegevensbescherming’, stelt PwC’s legal en healthcare-expert Margriet Martin.

Gebruik van elektronische gezondheidsdata

Zowel op Europees als nationaal niveau bestaat uitgebreide regelgeving voor bescherming van gezondheidsgegevens. Denk aan de Algemene verordening gegevensbescherming (AVG), de Data Governance Act en andere recente (concept) wet- en regelgeving zoals de AI Act.

Om uitwisseling van gezondheidsgegevens te vergemakkelijken, voegt de EHDS bovenop het al bestaande rechtskader, een extra ‘laag’ toe aan bepalingen over de (verdere) verwerking van gezondheidsgegevens. Zo maakt de EHDS onderscheid tussen primair- en secundair datagebruik van elektronische gezondheidsgegevens.

Primair datagebruik beoogt patiënten meer controle en regie te geven over hun eigen gezondheidsgegevens. Secundair datagebruik beoogt gezondheidsgegevens van individuele personen open te stellen voor de samenleving en in te zetten voor secundaire doeleinden als betere zorgverlening, (wetenschappelijk) onderzoek, innovatie en beleidsvorming. Het begrip van secundair datagebruik onder de EHDS is nieuw.

Het begrip van secundair datagebruik is niet gelijk aan het begrip van ‘verdere verwerking’ onder de AVG. Een ‘verdere verwerking’ mag onder de AVG slechts plaatsvinden met toestemming van betrokkenen. Daarnaast moeten betrokkenen - voordat de gegevens voor een ander doel worden verwerkt - worden geïnformeerd over de doeleinden van de verdere verwerking en de mogelijkheid worden geboden hiertegen bezwaar te maken.

Onder de EHDS hebben patiënten echter niet het recht toegang tot secundair datagebruik te beperken. Het ontbreken van dit recht op bezwaar tegen verdere verwerking en daarmee de toegang tot hun gezondheidsgegevens te beperken, schuurt met het recht op informatie zoals geregeld in de AVG.

De ‘European Data Protection Board’ (EDPB) en de ‘European Data Protection Supervisor’ (EDPS) – twee Europese toezichthouders op gegevensbescherming – menen dat de complexiteit van de bepalingen van de EHDS dringend moet worden verminderd en in lijn moet komen met de AVG en andere specifieke wetgeving.

‘Inconsistenties of tegenstrijdigheden met (definities van) het bestaande rechtskader voor gegevensbescherming kan leiden tot rechtsonzekerheid bij patiënten, impact hebben op de rechten van patiënten en het huidige beschermingsniveau van patiënten aantasten’, stelt Martin.

Suggesties voor aanscherping en afbakening van de EHDS

Omdat de EHDS de verwerking van grote hoeveelheden gegevens van zeer gevoelige aard met zich meebrengt, vinden de EDPB en de EDPS het van groot belang dat de doeleinden voor secundair datagebruik afgebakend en verduidelijkt worden.

Zo kan in het kader van secundaire doeleinden als ‘ontwikkelings- en innovatieactiviteiten’ of ‘het opleiden, testen en evalueren van algoritmen’ toegang worden verleend tot elektronische gezondheidsgegevens als deze activiteiten bijdragen tot de ‘volksgezondheid’ of de ‘sociale zekerheid’. Wanneer er sprake is van voldoende verband met de volksgezondheid of respectievelijk de sociale zekerheid is op dit moment echter onvoldoende duidelijk.

Ook geven de EDPB en de EDPS in hun advies aan dat de reikwijdte van de EHDS moet worden beperkt door wellness- en andere digitale gezondheidstoepassingen uit te sluiten van secundair datagebruik. Deze toepassingen genereren een enorme hoeveelheid gegevens die voor bijkomende doeleinden kunnen worden verwerkt. Deze gegevens zijn invasief en ingrijpend op het dagelijks leven van personen. Denk aan gevoelige data zoals (eet)gewoonten die herleidbaar zijn tot de gezondheid of religieuze oriëntatie van een individu.

Balans tussen gegevensdeling en gegevensbescherming

Hoewel de EHDS in onze optiek een belangrijke impuls voor gegevensdeling in de zorg vormt, menen we – net als de EDPB en de EDPS - dat dit wel zorgvuldig moet gebeuren. ‘De EHDS zal een balans moeten vinden tussen het stimuleren van gegevensdeling voor goede doeleinden en de gegevensbescherming van bijzonder gevoelige gezondheidsgegevens van patiënten’, zegt Martin.

Om dit te bewerkstelligen zal de EHDS in lijn moeten worden gebracht met de reeds bestaande (complexe) verzameling van Europese en nationale wetgeving. Een heldere afbakening van definities en reikwijdte stimuleert gegevensuitwisseling voor de juiste doeleinden, biedt waarborging voor de bescherming van de rechten van patiënten en maakt bovendien op Europees niveau doeltreffend toezicht mogelijk. 

Wanneer de EHDS in werking treedt, is nog onduidelijk. De EDHS is een conceptverordening waarin nog wijzigingen kunnen worden doorgevoerd. Waarschijnlijk worden de suggesties van de EDPB en de EDPS meegenomen in het verdere wetgevingsproces.